|
|
DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
|
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter
|
|
of 24 October 1995
|
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV
|
|
on the protection of individuals with regard to the processing of personal data and on the free movement of such data
|
med beaktande av Fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 100a i detta,
|
|
|
med beaktande av kommissionens förslag (1),
|
|
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION,
|
med beaktande av Ekonomiska och sociala kommitténs yttrande (2),
|
|
Having regard to the Treaty establishing the European Community, and in particular Article 100a thereof,
|
i enlighet med det förfarande som anges i fördragets artikel 189b (3), och med beaktande av följande:
|
|
Having regard to the proposal from the Commission (1),
|
1) Gemenskapens målsättningar som uttryckts i fördraget, såsom detta ändrats genom Fördraget om Europeiska unionen, består i att förverkliga en allt fastare sammanslutning av de europeiska folken, i att upprätta allt närmare relationer mellan de stater som förenas i gemenskapen, i att säkerställa ekonomiska och sociala framsteg i sina länder genom gemensamma åtgärder för att undanröja de barriärer som delar Europa, i att fortgående förbättra levnadsvillkoren för dess folk, i att bevara och stärka fred och frihet och i att främja demokratin på grundval av de grundläggande rättigheter som erkänns i medlemsstaternas grundlagar och lagar liksom i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.
|
|
Having regard to the opinion of the Economic and Social Committee (2),
|
2) Systemen för databehandling av uppgifter är till för människornas skull. Oavsett fysiska personers medborgarskap eller hemvist måste systemen respektera dessa personers grundläggande fri- och rättigheter - särskilt rätten till privatlivet - och bidra till ekonomiska och sociala framsteg, handelns utveckling och enskilda personers välfärd.
|
|
Acting in accordance with the procedure referred to in Article 189b of the Treaty (3),
|
3) Upprättandet av den inre marknaden och dennas funktion, som i enlighet med artikel 7a i fördraget innebär fri rörlighet för varor, personer, tjänster och kapital, förutsätter inte bara att personuppgifter fritt kan överföras från en medlemsstat till en annan utan också att enskilda personers grundläggande rättigheter skyddas.
|
|
(1) Whereas the objectives of the Community, as laid down in the Treaty, as amended by the Treaty on European Union, include creating an ever closer union among the peoples of Europe, fostering closer relations between the States belonging to the Community, ensuring economic and social progress by common action to eliminate the barriers which divide Europe, encouraging the constant improvement of the living conditions of its peoples, preserving and strengthening peace and liberty and promoting democracy on the basis of the fundamental rights recognized in the constitution and laws of the Member States and in the European Convention for the Protection of Human Rights and Fundamental Freedoms;
|
4) Inom gemenskapen behandlas och används personuppgifter allt oftare inom olika ekonomiska och samhälleliga områden. Framstegen på informationsteknikens område har gjort det avsevärt lättare att behandla och utbyta sådana uppgifter.
|
|
(2) Whereas data-processing systems are designed to serve man; whereas they must, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably the right to privacy, and contribute to economic and social progress, trade expansion and the well-being of individuals;
|
5) Den ekonomiska och sociala integration som är en följd av upprättandet av den inre marknaden och dennas funktion i enlighet med artikel 7a i fördraget kommer med nödvändighet att leda till en betydande ökning av flödet av personuppgifter över gränserna mellan samtliga aktörer på de ekonomiska och samhälleliga områdena, oavsett om dessa aktörer tillhör den privata eller den offentliga sektorn. Utbytet av personuppgifter mellan företag i olika medlemsstater kommer att öka. De nationella myndigheterna i de olika medlemsstaterna måste som ett led i tillämpningen av gemenskapsrätten samarbeta och utbyta personuppgifter för att kunna fullgöra sina åligganden eller utföra arbetsuppgifter för en myndighet i en annan medlemsstat inom det område utan inre gränser som den inre marknaden innebär.
|
|
(3) Whereas the establishment and functioning of an internal market in which, in accordance with Article 7a of the Treaty, the free movement of goods, persons, services and capital is ensured require not only that personal data should be able to flow freely from one Member State to another, but also that the fundamental rights of individuals should be safeguarded;
|
6) Det ökade vetenskapliga och tekniska samarbetet liksom det samordnade införandet av nya telekommunikationsnät inom gemenskapen nödvändiggör och underlättar dessutom det gränsöverskridande flödet av personuppgifter.
|
|
(4) Whereas increasingly frequent recourse is being had in the Community to the processing of personal data in the various spheres of economic and social activity; whereas the progress made in information technology is making the processing and exchange of such data considerably easier;
|
7) Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans. Denna skillnad kan därför utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen och hindra myndigheterna att fullgöra de skyldigheter som åligger dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på olikheter i nationella lagar och andra författningar.
|
|
(5) Whereas the economic and social integration resulting from the establishment and functioning of the internal market within the meaning of Article 7a of the Treaty will necessarily lead to a substantial increase in cross-border flows of personal data between all those involved in a private or public capacity in economic and social activity in the Member States; whereas the exchange of personal data between undertakings in different Member States is set to increase; whereas the national authorities in the various Member States are being called upon by virtue of Community law to collaborate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State within the context of the area without internal frontiers as constituted by the internal market;
|
8) För att hindren mot flöden av personuppgifter skall kunna avskaffas måste skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana uppgifter vara likvärdig i alla medlemsstater. Denna målsättning är av grundläggande betydelse för den inre marknaden men kan inte uppnås genom åtgärder endast av medlemsstaterna, i synnerhet med tanke på omfattningen av de skillnader som för närvarande finns mellan nationell lagstiftning på området och med tanke på behovet av att samordna lagstiftningen i medlemsstaterna för att säkerställa en sådan enhetlig reglering av det gränsöverskridande flödet av personuppgifter som överensstämmer med målsättningen för den inre marknaden enligt artikel 7a i fördraget. Det är därför nödvändigt att gemenskapen vidtar åtgärder för att åstadkomma en tillnärmning av lagstiftningen.
|
|
(6) Whereas, furthermore, the increase in scientific and technical cooperation and the coordinated introduction of new telecommunications networks in the Community necessitate and facilitate cross-border flows of personal data;
|
9) Eftersom tillnärmningen av de nationella lagstiftningarna kommer att leda till ett likvärdigt skydd kommer medlemsstaterna inte längre att kunna hindra det fria flödet av personuppgifter mellan dem under hänvisning till enskilda personers fri- och rättigheter, särskilt rätten till privatliv. Medlemsstaterna kommer att få ett handlingsutrymme, som i samband med genomförandet av detta direktiv också kommer att kunna utnyttjas av näringslivet och arbetsmarknadens parter. Medlemsstaterna kommer därför att i sin nationella lagstiftning särskilt kunna ange de allmänna villkor som skall gälla för behandlingen av uppgifter. Medlemsstaterna skall härvid sträva efter att förbättra det skydd som deras nuvarande lagstiftning ger. Inom ramen för detta handlingsutrymme och i enlighet med gemenskapsrätten kan skillnader uppkomma vid genomförandet av direktivet, vilket kan påverka flödet av uppgifter såväl inom en medlemsstat som på gemenskapsnivå.
|
|
(7) Whereas the difference in levels of protection of the rights and freedoms of individuals, notably the right to privacy, with regard to the processing of personal data afforded in the Member States may prevent the transmission of such data from the territory of one Member State to that of another Member State; whereas this difference may therefore constitute an obstacle to the pursuit of a number of economic activities at Community level, distort competition and impede authorities in the discharge of their responsibilities under Community law; whereas this difference in levels of protection is due to the existence of a wide variety of national laws, regulations and administrative provisions;
|
10) Ändamålet med den nationella lagstiftningen om behandling av personuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och i gemenskapsrättens allmänna rättsprinciper. Av denna anledning får tillnärmningen av denna lagstiftning inte medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen.
|
|
(8) Whereas, in order to remove the obstacles to flows of personal data, the level of protection of the rights and freedoms of individuals with regard to the processing of such data must be equivalent in all Member States; whereas this objective is vital to the internal market but cannot be achieved by the Member States alone, especially in view of the scale of the divergences which currently exist between the relevant laws in the Member States and the need to coordinate the laws of the Member States so as to ensure that the cross-border flow of personal data is regulated in a consistent manner that is in keeping with the objective of the internal market as provided for in Article 7a of the Treaty; whereas Community action to approximate those laws is therefore needed;
|
11) De principer om skydd för enskilda personers fri- och rättigheter, särskilt rätten till privatlivet, som detta direktiv innehåller, utgör en precisering och en förstärkning av principerna i Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter.
|
|
(9) Whereas, given the equivalent protection resulting from the approximation of national laws, the Member States will no longer be able to inhibit the free movement between them of personal data on grounds relating to protection of the rights and freedoms of individuals, and in particular the right to privacy; whereas Member States will be left a margin for manoeuvre, which may, in the context of implementation of the Directive, also be exercised by the business and social partners; whereas Member States will therefore be able to specify in their national law the general conditions governing the lawfulness of data processing; whereas in doing so the Member States shall strive to improve the protection currently provided by their legislation; whereas, within the limits of this margin for manoeuvre and in accordance with Community law, disparities could arise in the implementation of the Directive, and this could have an effect on the movement of data within a Member State as well as within the Community;
|
12) Principerna för skyddet måste gälla för all behandling av personuppgifter som utförs av en person vars verksamhet regleras av gemenskapsrätten. En fysisk persons behandling av uppgifter uteslutande för personliga ändamål eller för hemmabruk, såsom korrespondens eller förande av adressregister, skall dock inte omfattas.
|
|
(10) Whereas the object of the national laws on the processing of personal data is to protect fundamental rights and freedoms, notably the right to privacy, which is recognized both in Article 8 of the European Convention for the Protection of Human Rights and Fundamental Freedoms and in the general principles of Community law; whereas, for that reason, the approximation of those laws must not result in any lessening of the protection they afford but must, on the contrary, seek to ensure a high level of protection in the Community;
|
13) Sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen och som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område faller inte inom tillämpningsområdet för gemenskapsrätten, dock med förbehåll för medlemsstaternas skyldigheter enligt artiklarna 56.2, 57 eller 100a i Fördraget om upprättandet av Europeiska gemenskapen. Sådan behandling av personuppgifter som är nödvändig för att skydda statens ekonomiska välstånd omfattas inte av detta direktiv, när behandlingen har samband med frågor om statens säkerhet.
|
|
(11) Whereas the principles of the protection of the rights and freedoms of individuals, notably the right to privacy, which are contained in this Directive, give substance to and amplify those contained in the Council of Europe Convention of 28 January 1981 for the Protection of Individuals with regard to Automatic Processing of Personal Data;
|
14) För närvarande görs inom ramen för informationssamhället betydande framsteg såvitt avser tekniken för att uppta, överföra, bearbeta, registrera, lagra eller lämna ut ljud- eller bilduppgifter om fysiska personer; detta direktiv bör därför tillämpas på behandling av sådana uppgifter.
|
|
(12) Whereas the protection principles must apply to all processing of personal data by any person whose activities are governed by Community law; whereas there should be excluded the processing of data carried out by a natural person in the exercise of activities which are exclusively personal or domestic, such as correspondence and the holding of records of addresses;
|
15) Behandlingen av sådana uppgifter omfattas av detta direktiv endast om den sker med hjälp av automatisk databehandling eller om de uppgifter som behandlas ingår eller avses ingå i ett register som är uppbyggt efter vissa med utgångspunkt i för enskilda personer utformade kriterier för att underlätta tillgång till de berörda uppgifterna.
|
|
(13) Whereas the acitivities referred to in Titles V and VI of the Treaty on European Union regarding public safety, defence, State security or the acitivities of the State in the area of criminal laws fall outside the scope of Community law, without prejudice to the obligations incumbent upon Member States under Article 56 (2), Article 57 or Article 100a of the Treaty establishing the European Community; whereas the processing of personal data that is necessary to safeguard the economic well-being of the State does not fall within the scope of this Directive where such processing relates to State security matters;
|
16) Behandlingen av ljud- och bilduppgifter - exempelvis i samband med videoövervakning - omfattas inte av detta direktiv om den utförs för att tillgodose den allmänna säkerheten, försvaret, statens säkerhet eller statens verksamhet på straffrättens område eller till annan verksamhet som inte faller inom gemenskapsrättens tillämpningsområde.
|
|
(14) Whereas, given the importance of the developments under way, in the framework of the information society, of the techniques used to capture, transmit, manipulate, record, store or communicate sound and image data relating to natural persons, this Directive should be applicable to processing involving such data;
|
17) När det gäller behandling av ljud- och bilduppgifter för journalistiska ändamål eller i litterärt eller konstnärligt skapande, särskilt på det audiovisuella området, skall direktivets principer i enlighet med bestämmelserna i artikel 9 tillämpas restriktivt.
|
|
(15) Whereas the processing of such data is covered by this Directive only if it is automated or if the data processed are contained or are intended to be contained in a filing system structured according to specific criteria relating to individuals, so as to permit easy access to the personal data in question;
|
18) För att undvika att en enskild person förvägras det skydd som tillkommer honom enligt detta direktiv skall varje behandling av personuppgifter inom gemenskapen ske i enlighet med lagstiftningen i en av medlemsstaterna. Med hänsyn till detta bör behandlingen av uppgifter som utförs av någon som på uppdrag av en registeransvarig som är etablerad i en medlemsstat regleras av den statens lagstiftning.
|
|
(16) Whereas the processing of sound and image data, such as in cases of video surveillance, does not come within the scope of this Directive if it is carried out for the purposes of public security, defence, national security or in the course of State activities relating to the area of criminal law or of other activities which do not come within the scope of Community law;
|
19) Etablering på en medlemsstats territorium förutsätter effektiv och faktisk verksamhet med hjälp av en stabil struktur. Härvid har den berörda verksamhetens rättsliga form inte avgörande betydelse, oavsett om det är fråga om en filial eller om ett dotterbolag som är en juridisk person. Om den ansvarige är etablerad på flera medlemsstaters territorier, särskilt genom dotterbolag, måste han för att undvika varje kringgående garantera att varje verksamhet uppfyller bestämmelserna i den nationella lagstiftning som gäller för aktiviteterna.
|
|
(17) Whereas, as far as the processing of sound and image data carried out for purposes of journalism or the purposes of literary or artistic expression is concerned, in particular in the audiovisual field, the principles of the Directive are to apply in a restricted manner according to the provisions laid down in Article 9;
|
20) Den omständigheten att den registeransvarige är etablerad i ett tredje land får inte utgöra ett hinder för det skydd som enskilda personer ges i detta direktiv. I sådana fall skall på behandlingen av uppgifter tillämpas den medlemsstats lagstiftning som innehåller de hjälpmedel som används för behandlingen. Det bör finnas garantier för att de rättigheter som följer av detta direktiv respekteras i praktiken.
|
|
(18) Whereas, in order to ensure that individuals are not deprived of the protection to which they are entitled under this Directive, any processing of personal data in the Community must be carried out in accordance with the law of one of the Member States; whereas, in this connection, processing carried out under the responsibility of a controller who is established in a Member State should be governed by the law of that State;
|
21) Detta direktiv påverkar inte de territorialitetsregler som gäller på straffrättens område.
|
|
(19) Whereas establishment on the territory of a Member State implies the effective and real exercise of activity through stable arrangements; whereas the legal form of such an establishment, whether simply branch or a subsidiary with a legal personality, is not the determining factor in this respect; whereas, when a single controller is established on the territory of several Member States, particularly by means of subsidiaries, he must ensure, in order to avoid any circumvention of national rules, that each of the establishments fulfils the obligations imposed by the national law applicable to its activities;
|
22) Medlemsstaterna bör i sin lagstiftning eller genom andra bestämmelser som antas för att genomföra detta direktiv närmare ange de allmänna villkoren för att en behandling skall vara tillåten. Särskilt artikel 5 jämförd med artiklarna 7 och 8 tillåter medlemsstaterna att, oavsett de allmänna regler som gäller, ange särskilda villkor för behandlingen av uppgifter på särskilda områden och för de olika kategorier av uppgifter som behandlas i artikel 8.
|
|
(20) Whereas the fact that the processing of data is carried out by a person established in a third country must not stand in the way of the protection of individuals provided for in this Directive; whereas in these cases, the processing should be governed by the law of the Member State in which the means used are located, and there should be guarantees to ensure that the rights and obligations provided for in this Directive are respected in practice;
|
23) Medlemsstaterna har befogenhet att genomföra skyddet för enskilda personer både genom en generell lagstiftning om skydd för enskilda personer såvitt avser behandling av personuppgifter och genom särskild lagstiftning som till exempel om statistiska institut.
|
|
(21) Whereas this Directive is without prejudice to the rules of territoriality applicable in criminal matters;
|
24) Sådan lagstiftning som rör skydd för juridiska personer med avseende på behandling av uppgifter som angår dem berörs inte av detta direktiv.
|
|
(22) Whereas Member States shall more precisely define in the laws they enact or when bringing into force the measures taken under this Directive the general circumstances in which processing is lawful; whereas in particular Article 5, in conjunction with Articles 7 and 8, allows Member States, independently of general rules, to provide for special processing conditions for specific sectors and for the various categories of data covered by Article 8;
|
25) Principerna för skyddet måste avspeglas dels i de förpliktelser som åvilar personer, myndigheter, företag, institutioner, organ eller andra registeransvariga särskilt med avseende på uppgifternas kvalitet, den tekniska säkerheten, anmälningar till tillsynsmyndigheten och de omständigheter under vilka behandling får utföras, dels i de rättigheter som tillkommer enskilda personer, vilkas personuppgifter blir föremål för behandling, att bli informerade om att behandling sker, att få tillgång till uppgifterna, att begära rättelse och att under vissa omständigheter invända mot behandlingen.
|
|
(23) Whereas Member States are empowered to ensure the implementation of the protection of individuals both by means of a general law on the protection of individuals as regards the processing of personal data and by sectorial laws such as those relating, for example, to statistical institutes;
|
26) Principerna för skyddet måste gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar skall härvid beaktas alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den registeransvarige eller av någon annan person. Skyddsprinciperna gäller inte för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. En sådan uppförandekodex som avses i artikel 27 kan vara ett användbart redskap för att ge vägledning om hur uppgifter kan göras anonyma och behållas i en form som gör det omöjligt att identifiera den registrerade.
|
|
(24) Whereas the legislation concerning the protection of legal persons with regard to the processing data which concerns them is not affected by this Directive;
|
27) Enskilda personer skall skyddas både i samband med automatisk databehandling av uppgifterna och i samband med manuell behandling. Omfattningen av detta skydd får inte faktiskt bero på den teknik som används eftersom detta skulle kunna skapa en allvarlig risk för kringgående. När det gäller manuell behandling omfattar detta direktiv endast register och inte ostrukturerade akter. Särskilt innehållet i ett register måste vara strukturerat efter bestämda kriterier som avser enskilda personer, för att lätt ge tillgång till personuppgifter. I enlighet med definitionen i artikel 2 c) kan de olika kriterier som gör det möjligt att fastställa de enskilda delarna av en strukturerad samling personuppgifter och de olika kriterier som reglerar möjligheten att få tillgång till en sådan samling utformas av varje medlemsstat. Akter eller grupper av akter liksom dessas omslag, vilka inte är strukturerade enligt särskilda kriterier, faller inte under några omständigheter inom detta direktivs tillämpningsområde.
|
|
(25) Whereas the principles of protection must be reflected, on the one hand, in the obligations imposed on persons, public authorities, enterprises, agencies or other bodies responsible for processing, in particular regarding data quality, technical security, notification to the supervisory authority, and the circumstances under which processing can be carried out, and, on the other hand, in the right conferred on individuals, the data on whom are the subject of processing, to be informed that processing is taking place, to consult the data, to request corrections and even to object to processing in certain circumstances;
|
28) Varje behandling av personuppgifter måste vara laglig och korrekt gentemot berörda personer. Uppgifterna måste särskilt vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Dessa ändamål skall vara uttryckligt angivna, berättigade och bestämda vid tiden för insamling av uppgifterna. Sådana ändamål med behandlingen som läggs fast sedan uppgifterna samlats in får inte vara oförenliga med de ändamål som ursprungligen angavs.
|
|
(26) Whereas the principles of protection must apply to any information concerning an identified or identifiable person; whereas, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person; whereas the principles of protection shall not apply to data rendered anonymous in such a way that the data subject is no longer identifiable; whereas codes of conduct within the meaning of Article 27 may be a useful instrument for providing guidance as to the ways in which data may be rendered anonymous and retained in a form in which identification of the data subject is no longer possible;
|
29) Senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål kan - förutsatt att medlemsstaterna ger lämpliga garantier - inte allmänt sett anses oförenliga med de ändamål för vilka uppgifterna tidigare samlades in. Dessa garantier skall särskilt hindra att uppgifterna används för att vidta åtgärder mot eller fatta beslut som rör en viss person.
|
|
(27) Whereas the protection of individuals must apply as much to automatic processing of data as to manual processing; whereas the scope of this protection must not in effect depend on the techniques used, otherwise this would create a serious risk of circumvention; whereas, nonetheless, as regards manual processing, this Directive covers only filing systems, not unstructured files; whereas, in particular, the content of a filing system must be structured according to specific criteria relating to individuals allowing easy access to the personal data; whereas, in line with the definition in Article 2 (c), the different criteria for determining the constituents of a structured set of personal data, and the different criteria governing access to such a set, may be laid down by each Member State; whereas files or sets of files as well as their cover pages, which are not structured according to specific criteria, shall under no circumstances fall within the scope of this Directive;
|
30) För att vara tillåten skall en behandling av personuppgifter dessutom utföras med den registrerades samtycke eller vara nödvändig för ingåendet eller utförandet av förpliktelser i enlighet med ett avtal som är bindande för den registrerade, eller fordras enligt lagstiftning vid utförandet av något som är i det allmännas intresse eller är ett led i myndighetsutövning eller vara i en fysisk eller juridisk persons intresse förutsatt att skyddet av den registrerades fri- och rättigheter inte går före. För att särskilt garantera jämvikt mellan de berörda intressena och för att samtidigt säkerställa en effektiv konkurrens får medlemsstaterna närmare ange på vilka villkor användning och utlämnande till tredje man av personuppgifter får äga rum inom ramen för tillåtna aktiviteter som av företag och andra organ utövas i deras löpande verksamhet. Medlemsstaterna får även närmare ange på vilka villkor personuppgifter i marknadsföringssyfte får vidarebefordras till tredje man, oavsett om detta sker kommersiellt eller av välgörenhetsorganisationer, föreningar eller stiftelser, exempelvis av politisk karaktär, men förutsatt att regler iakttas som har till syfte att ge den registrerade möjlighet att invända mot att de uppgifter som rör honom behandlas utan att behöva ange sina skäl och utan att åsamkas kostnader för detta.
|
|
(28) Whereas any processing of personal data must be lawful and fair to the individuals concerned; whereas, in particular, the data must be adequate, relevant and not excessive in relation to the purposes for which they are processed; whereas such purposes must be explicit and legitimate and must be determined at the time of collection of the data; whereas the purposes of processing further to collection shall not be incompatible with the purposes as they were originally specified;
|
31) Behandling av personuppgifter måste även anses tillåten när den utförs för att skydda ett intresse som är av avgörande betydelse för den registrerades liv.
|
|
(29) Whereas the further processing of personal data for historical, statistical or scientific purposes is not generally to be considered incompatible with the purposes for which the data have previously been collected provided that Member States furnish suitable safeguards; whereas these safeguards must in particular rule out the use of the data in support of measures or decisions regarding any particular individual;
|
32) Det ankommer på den nationella lagstiftningen att avgöra om den som ansvarar för en behandling som utförs i det allmännas intresse eller vid myndighetsutövning skall vara en myndighet eller något annat offentligrättsligt eller civilrättsligt subjekt, såsom exempelvis en yrkesorganisation.
|
|
(30) Whereas, in order to be lawful, the processing of personal data must in addition be carried out with the consent of the data subject or be necessary for the conclusion or performance of a contract binding on the data subject, or as a legal requirement, or for the performance of a task carried out in the public interest or in the exercise of official authority, or in the legitimate interests of a natural or legal person, provided that the interests or the rights and freedoms of the data subject are not overriding; whereas, in particular, in order to maintain a balance between the interests involved while guaranteeing effective competition, Member States may determine the circumstances in which personal data may be used or disclosed to a third party in the context of the legitimate ordinary business activities of companies and other bodies; whereas Member States may similarly specify the conditions under which personal data may be disclosed to a third party for the purposes of marketing whether carried out commercially or by a charitable organization or by any other association or foundation, of a political nature for example, subject to the provisions allowing a data subject to object to the processing of data regarding him, at no cost and without having to state his reasons;
|
33) Uppgifter som på grund av sin natur kan kränka grundläggande fri- och rättigheter eller privatlivets helgd får inte behandlas utan samtycke av den registrerade. Dock måste det finnas en uttrycklig möjlighet att för att tillgodose särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för ändamål som har samband med hälso- och sjukvården av personer som är underkastade tystnadsplikt eller för att genomföra berättigade åtgärder av vissa föreningar eller stiftelser vilkas syften är att skydda utövningen av vissa grundläggande fri- och rättigheter.
|
|
(31) Whereas the processing of personal data must equally be regarded as lawful where it is carried out in order to protect an interest which is essential for the data subject's life;
|
34) När det av hänsyn till viktiga allmänna intressen är nödvändigt, måste medlemsstaterna kunna avvika från förbudet mot att behandla känsliga kategorier av uppgifter på sådana områden som exempelvis folkhälsa och socialskydd, särskilt för att säkerställa kvalitet och lönsamhet när det gäller förfaranden som används i samband med ansökningar om förmåner och tjänster inom sjukförsäkringssystemet, i samband med vetenskaplig forskning och i samband med offentlig statistik. Dock åligger det medlemsstaterna att sörja för att det finns lämpliga och konkreta garantier för att skydda enskilda personers grundläggande rättigheter och privatliv.
|
|
(32) Whereas it is for national legislation to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public administration or another natural or legal person governed by public law, or by private law such as a professional association;
|
35) Myndigheters behandling av personuppgifter för officiellt erkända religiösa sammanslutningars räkning för att uppfylla målsättningar som uttrycks i grundlagen eller folkrätten utförs för att tillgodose viktiga samhälleliga intressen.
|
|
(33) Whereas data which are capable by their nature of infringing fundamental freedoms or privacy should not be processed unless the data subject gives his explicit consent; whereas, however, derogations from this prohibition must be explicitly provided for in respect of specific needs, in particular where the processing of these data is carried out for certain health-related purposes by persons subject to a legal obligation of professional secrecy or in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms;
|
36) Om det i samband med att allmänna val hålls för att det demokratiska systemet skall fungera är nödvändigt att de politiska partierna i vissa medlemsstater samlar in uppgifter om enskilda personers politiska uppfattning får behandling av sådana uppgifter tillåtas av hänsyn till viktiga allmänna intressen, på villkor att bestämmelser om lämpliga garantier föreskrivs.
|
|
(34) Whereas Member States must also be authorized, when justified by grounds of important public interest, to derogate from the prohibition on processing sensitive categories of data where important reasons of public interest so justify in areas such as public health and social protection - especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system - scientific research and government statistics; whereas it is incumbent on them, however, to provide specific and suitable safeguards so as to protect the fundamental rights and the privacy of individuals;
|
37) För sådan behandling av personuppgifter som sker för journalistiska ändamål eller för konstnärligt eller litterärt skapande - särskilt på det audiovisuella området - bör det fastställas undantag från eller begränsningar i förhållande till vissa bestämmelser i detta direktiv så långt detta är nödvändigt för att förena enskilda personers grundläggande rättigheter med yttrandefriheten, särskilt den rätt att ta emot och lämna upplysningar som särskilt fastslås i artikel 10 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. För att åstadkomma en avvägning mellan de grundläggande fri- och rättigheterna åligger det medlemsstaterna att besluta om nödvändiga undantag och begränsningar såvitt avser de generella åtgärder som har avseende på uppgiftsbehandlingens berättigande, åtgärder för att vidareföra uppgifter till tredje land och tillsynsmyndighetens befogenheter. Detta får dock inte leda till att medlemsstaterna beslutar om undantag från åtgärder som vidtas för att säkerställa behandlingens säkerhet. Den tillsynsmyndighet som är behörig på området bör utrustas med i vart fall vissa befogenheter att utövas efter behandlingen i fråga, exempelvis befogenhet att med jämna mellanrum offentliggöra en rapport eller att överlämna ärenden till rättsliga myndigheter.
|
|
(35) Whereas, moreover, the processing of personal data by official authorities for achieving aims, laid down in constitutional law or international public law, of officially recognized religious associations is carried out on important grounds of public interest;
|
38) En korrekt behandling av uppgifter förutsätter att de registrerade kan få kännedom om behandlingen och att de - när uppgifter samlas in hos dem - kan få korrekt och fullständig information med hänsyn till de närmare omständigheterna vid insamlingen.
|
|
(36) Whereas where, in the course of electoral activities, the operation of the democratic system requires in certain Member States that political parties compile data on people's political opinion, the processing of such data may be permitted for reasons of important public interest, provided that appropriate safeguards are established;
|
39) I vissa fall rör behandlingen uppgifter som den registeransvarige inte har samlat in direkt från den registrerade. Vidare kan utlämnande av uppgifter till tredje man vara tillåten även om utlämnandet inte kunde förutses när uppgifterna samlades in från den registrerade. I samtliga dessa fall skall den registrerade informeras när uppgifterna registreras eller senast när uppgifterna för första gången lämnas ut till tredje man.
|
|
(37) Whereas the processing of personal data for purposes of journalism or for purposes of literary of artistic expression, in particular in the audiovisual field, should qualify for exemption from the requirements of certain provisions of this Directive in so far as this is necessary to reconcile the fundamental rights of individuals with freedom of information and notably the right to receive and impart information, as guaranteed in particular in Article 10 of the European Convention for the Protection of Human Rights and Fundamental Freedoms; whereas Member States should therefore lay down exemptions and derogations necessary for the purpose of balance between fundamental rights as regards general measures on the legitimacy of data processing, measures on the transfer of data to third countries and the power of the supervisory authority; whereas this should not, however, lead Member States to lay down exemptions from the measures to ensure security of processing; whereas at least the supervisory authority responsible for this sector should also be provided with certain ex-post powers, e.g. to publish a regular report or to refer matters to the judicial authorities;
|
40) Det är dock inte nödvändigt att ställa detta krav om den registrerade redan känner till informationen. Detta krav behöver inte heller ställas om registreringen eller utlämnandet uttryckligen regleras i lagstiftningen eller om lämnande av information till den berörda personen visar sig vara omöjligt eller innebära oproportionerligt stora ansträngningar, vilket skulle kunna vara fallet i samband med behandling för historiska, statistiska eller vetenskapliga ändamål. I detta sammanhang kan antalet registrerade, uppgifternas ålder och de kompensatoriska åtgärder som kan vidtas tas i beaktande.
|
|
(38) Whereas, if the processing of data is to be fair, the data subject must be in a position to learn of the existence of a processing operation and, where data are collected from him, must be given accurate and full information, bearing in mind the circumstances of the collection;
|
41) Alla måste kunna utöva sin rätt att få tillgång till uppgifter som rör dem och som är föremål för behandling, för att i detalj kunna försäkra sig om att uppgifterna är korrekta och om att behandlingen är tillåten. Av samma anledning måste var och en ha rätt att få reda på den logik som gäller för den automatiska databehandlingen av uppgifter som rör honom, åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1. Denna rättighet får inte kränka affärshemligheten eller upphovsrätten, särskilt inte den upphovsrätt som skyddar programvaran. Detta bör dock inte få resultera i att den registrerade nekas all information.
|
|
(39) Whereas certain processing operations involve data which the controller has not collected directly from the data subject; whereas, furthermore, data can be legitimately disclosed to a third party, even if the disclosure was not anticipated at the time the data were collected from the data subject; whereas, in all these cases, the data subject should be informed when the data are recorded or at the latest when the data are first disclosed to a third party;
|
42) Medlemsstaterna kan av hänsyn till intresset hos den registrerade eller till andras fri- och rättigheter begränsa rätten till tillgång till uppgifter och information. De kan till exempel besluta att tillgång till uppgifter av medicinsk art endast får erhållas genom förmedling av någon som är yrkesmässigt verksam inom hälso- och sjukvården.
|
|
(40) Whereas, however, it is not necessary to impose this obligation of the data subject already has the information; whereas, moreover, there will be no such obligation if the recording or disclosure are expressly provided for by law or if the provision of information to the data subject proves impossible or would involve disproportionate efforts, which could be the case where processing is for historical, statistical or scientific purposes; whereas, in this regard, the number of data subjects, the age of the data, and any compensatory measures adopted may be taken into consideration;
|
43) Rätten till tillgång till uppgifter och information samt vissa skyldigheter hos den registeransvarige kan inskränkas av medlemsstaterna i den utsträckning som det är nödvändigt för att skydda till exempel statens säkerhet, försvaret, allmän säkerhet eller viktiga ekonomiska eller finansiella intressen som är av betydelse för en medlemsstat eller för unionen, liksom för brottsutredningar och åtal och åtgärder som rör överträdelser av etiska regler som gäller för sådana yrken som särskilt regleras i lagstiftning. På förteckningen över undantag och begränsningar bör upptas de uppgifter för övervakning, tillsyn eller reglering som är nödvändiga på de tre sistnämnda områdena, nämligen allmän säkerhet, ekonomiska och finansiella intressen samt beivrande av brott. Uppräkningen av uppgifter på dessa tre områden påverkar inte undantag eller begränsningar av hänsyn till statens säkerhet och försvaret.
|
|
(41) Whereas any person must be able to exercise the right of access to data relating to him which are being processed, in order to verify in particular the accuracy of the data and the lawfulness of the processing; whereas, for the same reasons, every data subject must also have the right to know the logic involved in the automatic processing of data concerning him, at least in the case of the automated decisions referred to in Article 15 (1); whereas this right must not adversely affect trade secrets or intellectual property and in particular the copyright protecting the software; whereas these considerations must not, however, result in the data subject being refused all information;
|
44) För att uppfylla vissa av de nämnda målsättningarna kan medlemsstaterna på grund av bestämmelser i gemenskapsrätten tvingas att avvika från bestämmelserna i detta direktiv om rätten till tillgång till uppgifter, skyldigheten att informera enskilda personer och kvaliteten på uppgifterna.
|
|
(42) Whereas Member States may, in the interest of the data subject or so as to protect the rights and freedoms of others, restrict rights of access and information; whereas they may, for example, specify that access to medical data may be obtained only through a health professional;
|
45) I sådana fall då uppgifter av hänsyn till allmänna intressen, på grund av myndighetsutövning eller av hänsyn till en persons berättigade intressen kan bli föremål för tillåten behandling, skall varje berörd person ändå, på berättigade och avgörande skäl som avser hans särskilda situation, ha rätt att invända mot att uppgifter som rör honom själv behandlas. Medlemsstaterna har dock möjlighet att anta bestämmelser av motsatt innehåll.
|
|
(43) Whereas restrictions on the rights of access and information and on certain obligations of the controller may similarly be imposed by Member States in so far as they are necessary to safeguard, for example, national security, defence, public safety, or important economic or financial interests of a Member State or the Union, as well as criminal investigations and prosecutions and action in respect of breaches of ethics in the regulated professions; whereas the list of exceptions and limitations should include the tasks of monitoring, inspection or regulation necessary in the three last-mentioned areas concerning public security, economic or financial interests and crime prevention; whereas the listing of tasks in these three areas does not affect the legitimacy of exceptions or restrictions for reasons of State security or defence;
|
46) Skyddet för de registrerades fri- och rättigheter förutsätter såvitt avser behandling av personuppgifter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet för behandlingen utformas och när själva behandlingen sker, särskilt för att garantera säkerheten och för att på så sätt hindra all otillåten behandling. Det åligger medlemsstaterna att säkerställa att de registeransvariga respekterar dessa åtgärder. Åtgärderna skall garantera en lämplig säkerhetsnivå med hänsyn till den nuvarande utvecklingsnivån och till kostnaderna för genomförandet under hänsynstagande till de risker som behandlingen innebär och arten av de uppgifter som skall skyddas.
|
|
(44) Whereas Member States may also be led, by virtue of the provisions of Community law, to derogate from the provisions of this Directive concerning the right of access, the obligation to inform individuals, and the quality of data, in order to secure certain of the purposes referred to above;
|
47) När ett meddelande som innehåller personuppgifter översänds genom förmedling av en organisation för telekommunikation eller elektronisk post, vars enda ändamål är att översända sådana meddelanden, blir det normalt den från vilken meddelandet härrör och inte den person som erbjuder nämnda tjänst som anses ansvara för behandlingen av personuppgifterna. De som erbjuder sådana tjänster kommer dock normalt att anses som ansvariga för behandlingen av de ytterligare personuppgifter som fordras för att tjänsten skall kunna användas.
|
|
(45) Whereas, in cases where data might lawfully be processed on grounds of public interest, official authority or the legitimate interests of a natural or legal person, any data subject should nevertheless be entitled, on legitimate and compelling grounds relating to his particular situation, to object to the processing of any data relating to himself; whereas Member States may nevertheless lay down national provisions to the contrary;
|
48) Anmälningsförfarandet är avsett för att göra en behandlings syfte och viktigaste egenskaper allmänt kända för att säkerställa att behandlingen sker i enlighet med de nationella åtgärder som vidtas för att genomföra detta direktiv.
|
|
(46) Whereas the protection of the rights and freedoms of data subjects with regard to the processing of personal data requires that appropriate technical and organizational measures be taken, both at the time of the design of the processing system and at the time of the processing itself, particularly in order to maintain security and thereby to prevent any unauthorized processing; whereas it is incumbent on the Member States to ensure that controllers comply with these measures; whereas these measures must ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks inherent in the processing and the nature of the data to be protected;
|
49) För att undvika olämpliga administrativa formaliteter kan medlemsstaterna besluta om undantag från och förenklingar av anmälningsplikten såvitt avser sådana fall då behandlingen sannolikt inte kommer att kränka de berörda personernas fri- och rättigheter, förutsatt att detta är i överensstämmelse med en åtgärd som vidtagits av en medlemsstat och som särskilt anger begränsningarna. Medlemsstaterna kan även besluta om undantag och förenklingar i fall då någon som utsetts av den registeransvarige försäkrar sig om att de utförda behandlingarna inte kommer att kränka de registrerades fri- och rättigheter. Den person som sålunda utsetts att skydda uppgifterna måste - vare sig han är anställd av den registeransvarige eller inte - ha möjlighet att utöva sin verksamhet på ett fullständigt oberoende sätt.
|
|
(47) Whereas where a message containing personal data is transmitted by means of a telecommunications or electronic mail service, the sole purpose of which is the transmission of such messages, the controller in respect of the personal data contained in the message will normally be considered to be the person from whom the message originates, rather than the person offering the transmission services; whereas, nevertheless, those offering such services will normally be considered controllers in respect of the processing of the additional personal data necessary for the operation of the service;
|
50) Undantag från anmälningsplikten och förenklad anmälan bör kunna tillåtas särskilt då det är fråga om behandling av uppgifter som endast syftar till att ett register skall föras, som är avsett för att i enlighet med nationell lagstiftning ge allmänheten information och som är tillgängligt för allmänheten eller var och en som kan styrka att han har ett berättigat intresse.
|
|
(48) Whereas the procedures for notifying the supervisory authority are designed to ensure disclosure of the purposes and main features of any processing operation for the purpose of verification that the operation is in accordance with the national measures taken under this Directive;
|
51) Det förhållandet att den registeransvarige omfattas av förenklat anmälningsförfarande eller är undantagen från anmälningsplikt befriar honom inte från de övriga förpliktelser som följer av detta direktiv.
|
|
(49) Whereas, in order to avoid unsuitable administrative formalities, exemptions from the obligation to notify and simplification of the notification required may be provided for by Member States in cases where processing is unlikely adversely to affect the rights and freedoms of data subjects, provided that it is in accordance with a measure taken by a Member State specifying its limits; whereas exemption or simplification may similarly be provided for by Member States where a person appointed by the controller ensures that the processing carried out is not likely adversely to affect the rights and freedoms of data subjects; whereas such a data protection official, whether or not an employee of the controller, must be in a position to exercise his functions in complete independence;
|
52) I detta sammanhang måste en efterföljande kontroll från den behöriga myndighetens sida i allmänhet anses som en tillräcklig åtgärd.
|
|
(50) Whereas exemption or simplification could be provided for in cases of processing operations whose sole purpose is the keeping of a register intended, according to national law, to provide information to the public and open to consultation by the public or by any person demonstrating a legitimate interest;
|
53) Vissa typer av behandling - till exempel behandling som har till ändamål att utesluta den berörde från möjligheten att utöva en rättighet, motta en förmån eller ingå ett avtal eller sådan behandling som innebär användning av ny teknik - kan på grund av sin natur, sin omfattning eller sitt ändamål innebära särskilda risker för att de registrerades fri- och rättigheter skall kränkas. Medlemsstaterna kan om de önskar det precisera dessa risker i sin lagstiftning.
|
|
(51) Whereas, nevertheless, simplification or exemption from the obligation to notify shall not release the controller from any of the other obligations resulting from this Directive;
|
54) Med tanke på omfattningen av den behandling av uppgifter som utförs i samhället torde det antal behandlingar som innebär särskilda risker vara mycket begränsat. Medlemsstaterna måste föreskriva att tillsynsmyndigheten eller den som utövar tillsyn i samråd med tillsynsmyndigheten företar en förhandskontroll av dessa behandlingar innan de utförs. Sedan en sådan förhandskontroll genomförts får tillsynsmyndigheten i enlighet med den nationella lagstiftningen som gäller för myndigheten yttra sig över eller tillåta behandlingen. En sådan kontroll kan även företas som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens art och anger lämpliga skyddsåtgärder.
|
|
(52) Whereas, in this context, ex post facto verification by the competent authorities must in general be considered a sufficient measure;
|
55) För de fall då den registeransvarige inte respekterar de registrerades rättigheter måste det i medlemsstatens lagstiftning finnas möjlighet till rättslig prövning. Personer som lider skada till följd av otillåten behandling skall ha rätt till ersättning av den registeransvarige, vilken kan befrias från skadeståndsansvar om han kan visa att han inte är ansvarig för skadan, särskilt i fall då han kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure. Sanktioner skall vidtas mot såväl privaträttsliga som offentligrättsliga subjekt som överträder de nationella bestämmelser som antagits för att genomföra detta direktiv.
|
|
(53) Whereas, however, certain processing operation are likely to pose specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes, such as that of excluding individuals from a right, benefit or a contract, or by virtue of the specific use of new technologies; whereas it is for Member States, if they so wish, to specify such risks in their legislation;
|
56) Gränsöverskridande flöden av personuppgifter är nödvändiga för den internationella handelns utveckling. Det skydd som genom detta direktiv tillförsäkras enskilda personer inom gemenskapen hindrar inte att personuppgifter överförs till sådana tredje länder som garanterar en adekvat skyddsnivå. Frågan om skyddsnivåns adekvans skall bedömas med hänsyn till alla de omständigheter som har samband med en överföring eller en grupp av överföringar.
|
|
(54) Whereas with regard to all the processing undertaken in society, the amount posing such specific risks should be very limited; whereas Member States must provide that the supervisory authority, or the data protection official in cooperation with the authority, check such processing prior to it being carried out; whereas following this prior check, the supervisory authority may, according to its national law, give an opinion or an authorization regarding the processing; whereas such checking may equally take place in the course of the preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which defines the nature of the processing and lays down appropriate safeguards;
|
57) Om ett tredje land inte garanterar en adekvat skyddsnivå skall överföring av personuppgifter till det landet förbjudas.
|
|
(55) Whereas, if the controller fails to respect the rights of data subjects, national legislation must provide for a judicial remedy; whereas any damage which a person may suffer as a result of unlawful processing must be compensated for by the controller, who may be exempted from liability if he proves that he is not responsible for the damage, in particular in cases where he establishes fault on the part of the data subject or in case of force majeure; whereas sanctions must be imposed on any person, whether governed by private of public law, who fails to comply with the national measures taken under this Directive;
|
58) Undantag från detta förbud skall under vissa omständigheter kunna medges om den registrerade lämnar sitt samtycke, om överföring är nödvändig för ett avtal eller ett rättsligt anspråk, när skyddet av väsentliga samhällsintressen kräver det, till exempel vid internationellt utbyte av uppgifter mellan skattemyndigheter eller tullmyndigheter eller mellan socialförsäkringsmyndigheter eller om överföringen utförs med utgångspunkt i ett register som upprättats genom lagstiftning och som är avsett att vara tillgängligt för allmänheten eller för personer som har ett berättigat intresse. En sådan överföring bör inte omfatta alla uppgifter eller hela kategorier av uppgifter som finns i registret. När registret är avsett att vara tillgängligt för personer med ett berättigat intresse skall överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.
|
|
(56) Whereas cross-border flows of personal data are necessary to the expansion of international trade; whereas the protection of individuals guaranteed in the Community by this Directive does not stand in the way of transfers of personal data to third countries which ensure an adequate level of protection; whereas the adequacy of the level of protection afforded by a third country must be assessed in the light of all the circumstances surrounding the transfer operation or set of transfer operations;
|
59) Särskilda åtgärder kan vidtas för att uppväga en otillräcklig skyddsnivå i ett tredje land om den registeransvarige ställer lämpliga garantier. Bestämmelser om förfaranden för förhandling mellan gemenskapen och tredje land måste antas.
|
|
(57) Whereas, on the other hand, the transfer of personal data to a third country which does not ensure an adequate level of protection must be prohibited;
|
60) Överföring till tredje land får i vilket fall som helst endast utföras i enlighet med bestämmelser som medlemsstaterna antagit för genomförande av detta direktiv, särskilt artikel 8 i detta.
|
|
(58) Whereas provisions should be made for exemptions from this prohibition in certain circumstances where the data subject has given his consent, where the transfer is necessary in relation to a contract or a legal claim, where protection of an important public interest so requires, for example in cases of international transfers of data between tax or customs administrations or between services competent for social security matters, or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest; whereas in this case such a transfer should not involve the entirety of the data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or if they are to be the recipients;
|
61) Medlemsstaterna och kommissionen måste på sina respektive kompetensområden uppmuntra berörda delar av näringslivet att anta uppförandekodexar för att underlätta genomförandet av detta direktiv med beaktande av de särskilda former av behandling som utförs på vissa områden och med respekt för de nationella bestämmelser som antagits för dess genomförande.
|
|
(59) Whereas particular measures may be taken to compensate for the lack of protection in a third country in cases where the controller offers appropriate safeguards; whereas, moreover, provision must be made for procedures for negotiations between the Community and such third countries;
|
62) För skyddet av enskilda personer med avseende på behandlingen av personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar oberoende tillsynsmyndigheter.
|
|
(60) Whereas, in any event, transfers to third countries may be effected only in full compliance with the provisions adopted by the Member States pursuant to this Directive, and in particular Article 8 thereof;
|
63) Dessa myndigheter måste ges nödvändiga resurser för att utföra sina uppgifter, såsom befogenhet att - särskilt när det gäller klagomål från enskilda personer - undersöka och intervenera samt befogenheter att inleda rättsliga förfaranden. De måste även bidra till att garantera insyn i behandlingen av uppgifter i de medlemsstater under vilkas jurisdiktion de hör.
|
|
(61) Whereas Member States and the Commission, in their respective spheres of competence, must encourage the trade associations and other representative organizations concerned to draw up codes of conduct so as to facilitate the application of this Directive, taking account of the specific characteristics of the processing carried out in certain sectors, and respecting the national provisions adopted for its implementation;
|
64) Tillsynsmyndigheterna i de olika medlemsstaterna kommer att behöva bistå varandra i samband med utförandet av de uppgifter som åligger dem för att säkerställa att skyddsreglerna respekteras på ett tillfredsställande sätt i hela Europeiska unionen.
|
|
(62) Whereas the establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of individuals with regard to the processing of personal data;
|
65) En arbetsgrupp för skydd av enskilda personer i samband med behandling av personuppgifter skall inrättas på gemenskapsnivå. Gruppen skall vid utförandet av sina uppgifter vara fullständigt oberoende. Gruppen skall med hänsyn till sin särskilda karaktär ge kommissionen råd och bidra till den enhetliga tillämpningen av de nationella regler som antagits för att genomföra detta direktiv.
|
|
(63) Whereas such authorities must have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, and powers to engage in legal proceedings; whereas such authorities must help to ensure transparency of processing in the Member States within whose jurisdiction they fall;
|
66) Med avseende på överföring av uppgifter till tredje land fordrar genomförandet av detta direktiv att kommissionen ges befogenhet att besluta om genomförandet och att ett förfarande i enlighet med riktlinjerna i rådets beslut 87/373/EEG (4) införs.
|
|
(64) Whereas the authorities in the different Member States will need to assist one another in performing their duties so as to ensure that the rules of protection are properly respected throughout the European Union;
|
67) Den 20 december 1994 träffade Europaparlamentet, rådet och kommissionen en överenskommelse om ett modus vivendi beträffande genomförandeåtgärder för rättsakter som antagits i enlighet med förfarandet i artikel 189b i Romfördraget.
|
|
(65) Whereas, at Community level, a Working Party on the Protection of Individuals with regard to the Processing of Personal Data must be set up and be completely independent in the performance of its functions; whereas, having regard to its specific nature, it must advise the Commission and, in particular, contribute to the uniform application of the national rules adopted pursuant to this Directive;
|
68) De principer för skyddet av enskilda personers fri- och rättigheter, och då särskilt rätten till privatliv, som i detta direktiv uppställs med avseende på behandling av personuppgifter skall för vissa områdens vidkommande kunna kompletteras eller preciseras med hjälp av särskilda bestämmelser som skall överensstämma med dessa principer.
|
|
(66) Whereas, with regard to the transfer of data to third countries, the application of this Directive calls for the conferment of powers of implementation on the Commission and the establishment of a procedure as laid down in Council Decision 87/373/EEC (1);
|
69) Medlemsstaterna bör ges en frist på högst tre år räknat från ikraftträdandet av de nationella bestämmelser som antas för att genomföra detta direktiv, så att de stegvis kan tillämpa de nya nationella bestämmelserna på alla sådana behandlingar som redan påbörjats. För att möjliggöra ett kostnadseffektivt genomförande av dessa bestämmelser skall medlemsstaterna tillåtas att under ytterligare en tidsperiod, som löper ut tolv år efter dagen för antagandet av detta direktiv, vidta åtgärder för att säkerställa att då befintliga manuella register bringas i överensstämmelse med vissa av direktivets bestämmelser. Uppgifter som ingår i dessa register och som behandlas manuellt under denna förlängda övergångsperiod skall dock när det är föremål för en ytterligare sådan behandling bringas i överensstämmelse med dessa bestämmelser.
|
|
(67) Whereas an agreement on a modus vivendi between the European Parliament, the Council and the Commission concerning the implementing measures for acts adopted in accordance with the procedure laid down in Article 189b of the EC Treaty was reached on 20 December 1994;
|
70) Det är inte nödvändigt att den registrerade på nytt lämnar sitt samtycke till att den registeransvarige fortsätter att behandla känsliga uppgifter, när en sådan behandling är nödvändig för genomförandet av att avtal som har slutits på grundval av frivilligt och informerat samtycke före dessa bestämmelsers ikraftträdande.
|
|
(68) Whereas the principles set out in this Directive regarding the protection of the rights and freedoms of individuals, notably their right to privacy, with regard to the processing of personal data may be supplemented or clarified, in particular as far as certain sectors are concerned, by specific rules based on those principles;
|
71) Detta direktiv hindrar inte en medlemsstat från att anta bestämmelser för att reglera sådan marknadsföring som riktar sig till konsumenter som har hemvist inom dess territorium, förutsatt att dessa regler inte rör skyddet av enskilda personer med avseende på behandling av personuppgifter.
|
|
(69) Whereas Member States should be allowed a period of not more than three years from the entry into force of the national measures transposing this Directive in which to apply such new national rules progressively to all processing operations already under way; whereas, in order to facilitate their cost-effective implementation, a further period expiring 12 years after the date on which this Directive is adopted will be allowed to Member States to ensure the conformity of existing manual filing systems with certain of the Directive's provisions; whereas, where data contained in such filing systems are manually processed during this extended transition period, those systems must be brought into conformity with these provisions at the time of such processing;
|
72) Detta direktiv gör det möjligt att vid genomförandet av dessa bestämmelser ta hänsyn till principen om allmänhetens rätt till tillgång till allmänna handlingar.
|
|
(70) Whereas it is not necessary for the data subject to give his consent again so as to allow the controller to continue to process, after the national provisions taken pursuant to this Directive enter into force, any sensitive data necessary for the performance of a contract concluded on the basis of free and informed consent before the entry into force of these provisions;
|
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
|
|
(71) Whereas this Directive does not stand in the way of a Member State's regulating marketing activities aimed at consumers residing in territory in so far as such regulation does not concern the protection of individuals with regard to the processing of personal data;
|
|
|
(72) Whereas this Directive allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Directive,
|
|
|
HAVE ADOPTED THIS DIRECTIVE:
|
KAPITEL 1 ALLMÄNNA BESTÄMMELSER
|
|
|
|
|
|
Artikel 1
|
|
CHAPTER I GENERAL PROVISIONS
|
Direktivets syfte
|
|
|
1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
|
|
Article 1
|
2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.
|
|
Object of the Directive
|
|
|
1. In accordance with this Directive, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy with respect to the processing of personal data.
|
Artikel 2
|
|
2. Member States shall neither restrict nor prohibit the free flow of personal data between Member States for reasons connected with the protection afforded under paragraph 1.
|
Definitioner
|
|
|
I detta direktiv avses med
|
|
Article 2
|
a) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet,
|
|
Definitions
|
b) behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring,
|
|
For the purposes of this Directive:
|
c) register med personuppgifter (register): varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden,
|
|
(a) 'personal data' shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
|
d) registeransvarig: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen och medlen för behandlingen bestäms av nationella lagar och andra författningar eller av gemenskapsrätten kan den registeransvarige eller de särskilda kriterierna för att utse honom anges i nationell rätt eller i gemenskapsrätten,
|
|
(b) 'processing of personal data' ('processing') shall mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organization, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
|
e) registerförare: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som behandlar personuppgifter för den registeransvariges räkning,
|
|
(c) 'personal data filing system' ('filing system') shall mean any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis;
|
f) tredje man: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ än den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförarens direkta ansvar har befogenhet att behandla uppgifterna,
|
|
(d) 'controller' shall mean the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data; where the purposes and means of processing are determined by national or Community laws or regulations, the controller or the specific criteria for his nomination may be designated by national or Community law;
|
g) mottagare: den fysiska eller juridiska person, den myndighet, den institution eller det andra organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. Myndigheter som kan komma att motta uppgifter inom ramen för ett särskilt uppdrag skall dock inte betraktas som mottagare,
|
|
(e) 'processor' shall mean a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;
|
h) den registrerades samtycke: varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.
|
|
(f) 'third party' shall mean any natural or legal person, public authority, agency or any other body other than the data subject, the controller, the processor and the persons who, under the direct authority of the controller or the processor, are authorized to process the data;
|
|
|
(g) 'recipient' shall mean a natural or legal person, public authority, agency or any other body to whom data are disclosed, whether a third party or not; however, authorities which may receive data in the framework of a particular inquiry shall not be regarded as recipients;
|
Artikel 3
|
|
(h) 'the data subject's consent' shall mean any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed.
|
Tillämpningsområde
|
|
|
1. Detta direktiv gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
|
|
Article 3
|
2. Detta direktiv gäller inte för sådan behandling av personuppgifter
|
|
Scope
|
- som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område,
|
|
1. This Directive shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means of personal data which form part of a filing system or are intended to form part of a filing system.
|
- av en fysisk person som ett led i verksamhet av rent privat natur eller som har samband med hans hushåll.
|
|
2. This Directive shall not apply to the processing of personal data:
|
|
|
- in the course of an activity which falls outside the scope of Community law, such as those provided for by Titles V and VI of the Treaty on European Union and in any case to processing operations concerning public security, defence, State security (including the economic well-being of the State when the processing operation relates to State security matters) and the activities of the State in areas of criminal law,
|
Artikel 4
|
|
- by a natural person in the course of a purely personal or household activity.
|
Tillämplig nationell rätt
|
|
|
1. Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när
|
|
Article 4
|
a) behandlingen utförs som ett led i verksamhet inom den medlemsstats territorium, där den registeransvarige är etablerad. Om en registeransvarig är etablerad inom flera medlemsstaters territorier skall han vidta nödvändiga åtgärder för att säkerställa att alla verksamheter uppfyller kraven enligt den tillämpliga nationella lagstiftningen,
|
|
National law applicable
|
b) den registeransvarige inte är etablerad inom en medlemsstats territorium utan på en plats där medlemsstatens lagstiftning gäller på grund av folkrätten,
|
|
1. Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where:
|
c) den registeransvarige inte är etablerad på gemenskapens territorium och för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på den nämnda medlemsstatens territorium, om inte sådan utrustning endast används för att låta uppgifter passera genom gemenskapen.
|
|
(a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable;
|
2. Under de omständigheter som avses i punkt 1 c) måste den registeransvarige utse en företrädare som är etablerad inom den berörda medlemsstatens territorium, utan att detta i övrigt påverkar de eventuella rättsliga åtgärder som kan komma att inledas mot den ansvarige själv.
|
|
(b) the controller is not established on the Member State's territory, but in a place where its national law applies by virtue of international public law;
|
|
|
(c) the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.
|
KAPITEL II ALLMÄNNA BESTÄMMELSER OM NÄR PERSONUPPGIFTER FÅR BEHANDLAS
|
|
2. In the circumstances referred to in paragraph 1 (c), the controller must designate a representative established in the territory of that Member State, without prejudice to legal actions which could be initiated against the controller himself.
|
|
|
|
Artikel 5
|
|
CHAPTER II GENERAL RULES ON THE LAWFULNESS OF THE PROCESSING OF PERSONAL DATA
|
Medlemsstaterna skall inom de begränsningar som bestämmelserna i detta kapitel innebär, precisera på vilka villkor behandling av personuppgifter är tillåten.
|
|
|
|
|
Article 5
|
AVDELNING I PRINCIPER OM UPPGIFTERNAS KVALITET
|
|
Member States shall, within the limits of the provisions of this Chapter, determine more precisely the conditions under which the processing of personal data is lawful.
|
|
|
SECTION I
|
Artikel 6
|
|
PRINCIPLES RELATING TO DATA QUALITY
|
1. Medlemsstaterna skall föreskriva att personuppgifter
|
|
|
a) skall behandlas på ett korrekt och lagligt sätt,
|
|
Article 6
|
b) skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses oförenlig med dessa ändamål förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder,
|
|
1. Member States shall provide that personal data must be:
|
c) skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,
|
|
(a) processed fairly and lawfully;
|
d) skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas,
|
|
(b) collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes. Further processing of data for historical, statistical or scientific purposes shall not be considered as incompatible provided that Member States provide appropriate safeguards;
|
e) förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades. Medlemsstaterna skall vidta lämpliga skyddsåtgärder för de personuppgifter som lagras under längre perioder för historiska, statistiska eller vetenskapliga ändamål.
|
|
(c) adequate, relevant and not excessive in relation to the purposes for which they are collected and/or further processed;
|
2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.
|
|
(d) accurate and, where necessary, kept up to date; every reasonable step must be taken to ensure that data which are inaccurate or incomplete, having regard to the purposes for which they were collected or for which they are further processed, are erased or rectified;
|
|
|
(e) kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the data were collected or for which they are further processed. Member States shall lay down appropriate safeguards for personal data stored for longer periods for historical, statistical or scientific use.
|
AVDELNING II PRINCIPER SOM GÖR ATT UPPGIFTSBEHANDLING KAN TILLÅTAS
|
|
2. It shall be for the controller to ensure that paragraph 1 is complied with.
|
|
|
SECTION II
|
Artikel 7
|
|
CRITERIA FOR MAKING DATA PROCESSING LEGITIMATE
|
Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om
|
|
|
a) den registrerade otvetydigt har lämnat sitt samtycke, eller
|
|
Article 7
|
b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller
|
|
Member States shall provide that personal data may be processed only if:
|
c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller
|
|
(a) the data subject has unambiguously given his consent; or
|
d) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, eller
|
|
(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract; or
|
e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den registeransvarige eller tredje man till vilken uppgifterna har lämnats ut, eller
|
|
(c) processing is necessary for compliance with a legal obligation to which the controller is subject; or
|
f) behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige eller hos den eller de tredje män till vilka uppgifterna har lämnats ut, utom när sådana intressen uppvägs av den registrerades intressen eller dennes grundläggande fri- och rättigheter som kräver skydd under artikel 1.1.
|
|
(d) processing is necessary in order to protect the vital interests of the data subject; or
|
|
|
(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller or in a third party to whom the data are disclosed; or
|
AVDELNING III SÄRSKILDA BEHANDLINGSKATEGORIER
|
|
(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by the third party or parties to whom the data are disclosed, except where such interests are overridden by the interests for fundamental rights and freedoms of the data subject which require protection under Article 1 (1).
|
|
|
SECTION III
|
Artikel 8
|
|
SPECIAL CATEGORIES OF PROCESSING
|
Behandlingen av särskilda kategorier av uppgifter
|
|
|
1. Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.
|
|
Article 8
|
2. Punkt 1 gäller inte om
|
|
The processing of special categories of data
|
a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller
|
|
1. Member States shall prohibit the processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning health or sex life.
|
b) behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder, eller
|
|
2. Paragraph 1 shall not apply where:
|
c) behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller
|
|
(a) the data subject has given his explicit consent to the processing of those data, except where the laws of the Member State provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject's giving his consent; or
|
d) behandlingen utförs inom ramen för berättigad verksamhet hos en stiftelse, en förening eller ett annat icke vinstdrivande organ, som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör sådana organs medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med detta och uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke, eller
|
|
(b) processing is necessary for the purposes of carrying out the obligations and specific rights of the controller in the field of employment law in so far as it is authorized by national law providing for adequate safeguards; or
|
e) behandlingen rör uppgifter som på ett tydligt sätt offentliggörs av den registrerade eller är nödvändiga för att kunna fastslå, göra gällande eller försvara rättsliga anspråk.
|
|
(c) processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving his consent; or
|
3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt.
|
|
(d) processing is carried out in the course of its legitimate activities with appropriate guarantees by a foundation, association or any other non-profit-seeking body with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members of the body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed to a third party without the consent of the data subjects; or
|
4. Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2.
|
|
(e) the processing relates to data which are manifestly made public by the data subject or is necessary for the establishment, exercise or defence of legal claims.
|
5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller - om lämpliga skyddsåtgärder finns i nationell lag - med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet.
|
|
3. Paragraph 1 shall not apply where processing of the data is required for the purposes of preventive medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject under national law or rules established by national competent bodies to the obligation of professional secrecy or by another person also subject to an equivalent obligation of secrecy.
|
Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet.
|
|
4. Subject to the provision of suitable safeguards, Member States may, for reasons of substantial public interest, lay down exemptions in addition to those laid down in paragraph 2 either by national law or by decision of the supervisory authority.
|
6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen.
|
|
5. Processing of data relating to offences, criminal convictions or security measures may be carried out only under the control of official authority, or if suitable specific safeguards are provided under national law, subject to derogations which may be granted by the Member State under national provisions providing suitable specific safeguards. However, a complete register of criminal convictions may be kept only under the control of official authority.
|
7. Medlemsstaterna skall bestämma på vilka villkor ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering får behandlas.
|
|
Member States may provide that data relating to administrative sanctions or judgements in civil cases shall also be processed under the control of official authority.
|
|
|
6. Derogations from paragraph 1 provided for in paragraphs 4 and 5 shall be notified to the Commission.
|
Artikel 9
|
|
7. Member States shall determine the conditions under which a national identification number or any other identifier of general application may be processed.
|
Behandling av personuppgifter och yttrandefriheten
|
|
|
Medlemsstaterna skall med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.
|
|
Article 9
|
|
|
Processing of personal data and freedom of expression
|
AVDELNING IV INFORMATIONSPLIKT TILL DEN REGISTRERADE
|
|
Member States shall provide for exemptions or derogations from the provisions of this Chapter, Chapter IV and Chapter VI for the processing of personal data carried out solely for journalistic purposes or the purpose of artistic or literary expression only if they are necessary to reconcile the right to privacy with the rules governing freedom of expression.
|
|
|
SECTION IV
|
Artikel 10
|
|
INFORMATION TO BE GIVEN TO THE DATA SUBJECT
|
Information vid insamling av uppgifter från den registrerade
|
|
|
Medlemsstaterna skall föreskriva att den registeransvarige eller hans företrädare i vart fall skall ge den person från vilken uppgifter om honom själv samlas in följande information, utom i fall då han redan känner till informationen:
|
|
Article 10
|
a) Den registeransvariges och dennes eventuella företrädares identitet.
|
|
Information in cases of collection of data from the data subject
|
b) Ändamålen med den behandling för vilken uppgifterna är avsedda.
|
|
Member States shall provide that the controller or his representative must provide a data subject from whom data relating to himself are collected with at least the following information, except where he already has it:
|
c) All ytterligare information, exempelvis
|
|
(a) the identity of the controller and of his representative, if any;
|
- mottagarna eller de kategorier som mottar uppgifterna,
|
|
(b) the purposes of the processing for which the data are intended;
|
- huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara,
|
|
(c) any further information such as
|
- förekomsten av rättigheter att få tillgång till och att erhålla rättelse av uppgifter som rör honom,
|
|
- the recipients or categories of recipients of the data,
|
i den utsträckning som den ytterligare informationen - med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in - är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
|
|
- whether replies to the questions are obligatory or voluntary, as well as the possible consequences of failure to reply,
|
|
|
- the existence of the right of access to and the right to rectify the data concerning him
|
Artikel 11
|
|
in so far as such further information is necessary, having regard to the specific circumstances in which the data are collected, to guarantee fair processing in respect of the data subject.
|
Information när uppgifterna inte har samlats in från den registrerade
|
|
|
1. Om uppgifterna inte har samlats in från den registrerade, skall medlemsstaterna föreskriva att den registeransvarige eller hans företrädare vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till informationen:
|
|
Article 11
|
a) Den registeransvariges och dennes eventuella företrädares identitet.
|
|
Information where the data have not been obtained from the data subject
|
b) Ändamålen med behandlingen.
|
|
1. Where the data have not been obtained from the data subject, Member States shall provide that the controller or his representative must at the time of undertaking the recording of personal data or if a disclosure to a third party is envisaged, no later than the time when the data are first disclosed provide the data subject with at least the following information, except where he already has it:
|
c) All ytterligare information, exempelvis
|
|
(a) the identity of the controller and of his representative, if any;
|
- de kategorier av uppgifter som behandlingen gäller,
|
|
(b) the purposes of the processing;
|
- mottagarna eller de kategorier som mottar uppgifterna,
|
|
(c) any further information such as
|
- förekomsten av rättigheter att få tillgång till och att erhålla rättelse av de uppgifter som rör honom,
|
|
- the categories of data concerned,
|
i den utsträckning som den ytterligare informationen - med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in - är nödvändig för att tillförsäkra den registrerade en korrekt behandling.
|
|
- the recipients or categories of recipients,
|
2. Bestämmelserna i punkt 1 skall inte gälla när det - särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål - visar sig omöjligt eller innebära en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder.
|
|
- the existence of the right of access to and the right to rectify the data concerning him
|
|
|
in so far as such further information is necessary, having regard to the specific circumstances in which the data are processed, to guarantee fair processing in respect of the data subject.
|
AVDELNING V DEN REGISTRERADES RÄTT ATT FÅ TILLGÅNG TILL UPPGIFTER
|
|
2. Paragraph 1 shall not apply where, in particular for processing for statistical purposes or for the purposes of historical or scientific research, the provision of such information proves impossible or would involve a disproportionate effort or if recording or disclosure is expressly laid down by law. In these cases Member States shall provide appropriate safeguards.
|
|
|
SECTION V
|
Artikel 12
|
|
THE DATA SUBJECT'S RIGHT OF ACCESS TO DATA
|
Rätt till tillgång
|
|
|
Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige
|
|
Article 12
|
a) utan hinder och med rimliga intervall samt utan större tidsutdräkt eller kostnader
|
|
Right of access
|
- få bekräftelse på om uppgifter som rör honom behandlas eller inte och information om åtminstone ändamålen med behandlingen, de berörda uppgiftskategorierna och mottagarna eller mottagarkategorierna till vilka uppgifterna utlämnas,
|
|
Member States shall guarantee every data subject the right to obtain from the controller:
|
- få begriplig information om vilka uppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer,
|
|
(a) without constraint at reasonable intervals and without excessive delay or expense:
|
- få kännedom om den logik som används när uppgifter som rör honom behandlas på automatisk väg åtminstone såvitt avser sådana automatiska beslut som avses i artikel 15.1,
|
|
- confirmation as to whether or not data relating to him are being processed and information at least as to the purposes of the processing, the categories of data concerned, and the recipients or categories of recipients to whom the data are disclosed,
|
b) i förekommande fall få sådana uppgifter som inte behandlats i enlighet med bestämmelserna i detta direktiv rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga,
|
|
- communication to him in an intelligible form of the data undergoing processing and of any available information as to their source,
|
c) få genomfört att en tredje man till vilken sådana uppgifter utlämnats underrättas om varje rättelse, utplåning eller blockering som utförts i enlighet med punkt b), om detta inte visar sig vara omöjligt eller innebär en oproportionerligt stor ansträngning.
|
|
- knowledge of the logic involved in any automatic processing of data concerning him at least in the case of the automated decisions referred to in Article 15 (1);
|
|
|
(b) as appropriate the rectification, erasure or blocking of data the processing of which does not comply with the provisions of this Directive, in particular because of the incomplete or inaccurate nature of the data;
|
AVDELNING VI UNDANTAG OCH BEGRÄNSNINGAR
|
|
(c) notification to third parties to whom the data have been disclosed of any rectification, erasure or blocking carried out in compliance with (b), unless this proves impossible or involves a disproportionate effort.
|
|
|
SECTION VI
|
Artikel 13
|
|
EXEMPTIONS AND RESTRICTIONS
|
Undantag och begränsningar
|
|
|
1. Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till
|
|
Article 13
|
a) statens säkerhet,
|
|
Exemptions and restrictions
|
b) försvaret,
|
|
1. Member States may adopt legislative measures to restrict the scope of the obligations and rights provided for in Articles 6 (1), 10, 11 (1), 12 and 21 when such a restriction constitutes a necessary measures to safeguard:
|
c) allmän säkerhet,
|
|
(a) national security;
|
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,
|
|
(b) defence;
|
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,
|
|
(c) public security;
|
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,
|
|
(d) the prevention, investigation, detection and prosecution of criminal offences, or of breaches of ethics for regulated professions;
|
g) skydd av den registrerades eller andras fri- och rättigheter.
|
|
(e) an important economic or financial interest of a Member State or of the European Union, including monetary, budgetary and taxation matters;
|
2. Under förutsättning av lämpliga rättsliga garantier får medlemsstaterna, i synnerhet om uppgifterna inte används för åtgärder eller beslut som avser särskilda registrerade personer, i fall då det uppenbarligen inte föreligger någon risk att den berörda personens privatliv kränks, genom lagstiftning begränsa de rättigheter som anges i artikel 12 när uppgifterna endast behandlas för ändamål som har med vetenskaplig forskning att göra eller när uppgifterna endast lagras i form av personuppgifter under en begränsad tid som inte överstiger den tid som är nödvändig för att framställa statistik.
|
|
(f) a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (c), (d) and (e);
|
|
|
(g) the protection of the data subject or of the rights and freedoms of others.
|
AVDELNING VII DEN REGISTRERADES RÄTT ATT GÖRA INVÄNDNINGAR
|
|
2. Subject to adequate legal safeguards, in particular that the data are not used for taking measures or decisions regarding any particular individual, Member States may, where there is clearly no risk of breaching the privacy of the data subject, restrict by a legislative measure the rights provided for in Article 12 when data are processed solely for purposes of scientific research or are kept in personal form for a period which does not exceed the period necessary for the sole purpose of creating statistics.
|
|
|
SECTION VII
|
Artikel 14
|
|
THE DATA SUBJECT'S RIGHT TO OBJECT
|
Den registrerades rätt att göra invändningar
|
|
|
Medlemsstaterna skall tillförsäkra den registrerade rätten att
|
|
Article 14
|
a) åtminstone i de fall som avses i artikel 7 e) och f) när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter,
|
|
The data subject's right to object
|
b) efter anmodan och utan kostnader motsätta sig behandling av personuppgifter som rör honom och som den registeransvarige bedömer kan komma att behandlas för ändamål som rör direkt marknadsföring, eller att bli informerad innan personuppgifter för första gången lämnas ut till tredje man eller används för tredje mans räkning för ändamål som rör direkt marknadsföring, och att uttryckligen få erbjudande om att utan kostnader motsätta sig ett sådant utlämnande eller sådan användning.
|
|
Member States shall grant the data subject the right:
|
Medlemsstaterna skall vidta nödvändiga åtgärder för att säkerställa att de registrerade känner till den rättighet som anges i första stycket i b).
|
|
(a) at least in the cases referred to in Article 7 (e) and (f), to object at any time on compelling legitimate grounds relating to his particular situation to the processing of data relating to him, save where otherwise provided by national legislation. Where there is a justified objection, the processing instigated by the controller may no longer involve those data;
|
|
|
(b) to object, on request and free of charge, to the processing of personal data relating to him which the controller anticipates being processed for the purposes of direct marketing, or to be informed before personal data are disclosed for the first time to third parties or used on their behalf for the purposes of direct marketing, and to be expressly offered the right to object free of charge to such disclosures or uses.
|
Artikel 15
|
|
Member States shall take the necessary measures to ensure that data subjects are aware of the existence of the right referred to in the first subparagraph of (b).
|
Databehandlade beslut
|
|
|
1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande.
|
|
Article 15
|
2. Om inte annat följer av övriga bestämmelser i detta direktiv skall medlemsstaterna föreskriva att en person får bli föremål för ett beslut av det slag som avses i punkt 1 om beslutet
|
|
Automated individual decisions
|
a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt att den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller att det vidtas lämpliga åtgärder för att skydda hans berättigade intressen, exempelvis möjligheten för honom att göra sin uppfattning gällande, eller
|
|
1. Member States shall grant the right to every person not to be subject to a decision which produces legal effects concerning him or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to him, such as his performance at work, creditworthiness, reliability, conduct, etc.
|
b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen.
|
|
2. Subject to the other Articles of this Directive, Member States shall provide that a person may be subjected to a decision of the kind referred to in paragraph 1 if that decision:
|
|
|
(a) is taken in the course of the entering into or performance of a contract, provided the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or that there are suitable measures to safeguard his legitimate interests, such as arrangements allowing him to put his point of view; or
|
AVDELNING VIII SEKRETESS OCH SÄKERHET VID BEHANDLING
|
|
(b) is authorized by a law which also lays down measures to safeguard the data subject's legitimate interests.
|
|
|
SECTION VIII
|
Artikel 16
|
|
CONFIDENTIALITY AND SECURITY OF PROCESSING
|
Sekretess vid behandling
|
|
|
Den som utför arbete under den registeransvarige eller registerföraren, liksom registerföraren själv, och som får tillgång till personuppgifter, får behandla dem endast enligt instruktion från den registeransvarige, om han inte är skyldig att göra det enligt lag.
|
|
Article 16
|
|
|
Confidentiality of processing
|
Artikel 17
|
|
Any person acting under the authority of the controller or of the processor, including the processor himself, who has access to personal data must not process them except on instructions from the controller, unless he is required to do so by law.
|
Säkerhet vid behandling
|
|
|
1. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.
|
|
Article 17
|
Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas.
|
|
Security of processing
|
2. Medlemsstaterna skall föreskriva att den registeransvarige, när behandlingen utförs för dennes räkning, skall välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som måste vidtas och tillse att dessa åtgärder genomförs.
|
|
1. Member States shall provide that the controller must implement appropriate technical and organizational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorized disclosure or access, in particular where the processing involves the transmission of data over a network, and against all other unlawful forms of processing.
|
3. När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan registerföraren och den registeransvarige och i handlingen skall särskilt föreskrivas att
|
|
Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
|
- registerföraren endast får handla på instruktioner från den registeransvarige,
|
|
2. The Member States shall provide that the controller must, where processing is carried out on his behalf, choose a processor providing sufficient guarantees in respect of the technical security measures and organizational measures governing the processing to be carried out, and must ensure compliance with those measures.
|
- de skyldigheter som anges i punkt 1, såsom de definieras i lagstiftningen i den medlemsstat i vilken registerföraren är etablerad, även skall åvila registerföraren.
|
|
3. The carrying out of processing by way of a processor must be governed by a contract or legal act binding the processor to the controller and stipulating in particular that:
|
4. För att säkra bevisning skall de delar av avtalet eller den rättsligt bindande handlingen som rör skyddet av uppgifter och de krav som rör åtgärder som anges i punkt 1 föreligga i skriftlig eller därmed jämförlig form.
|
|
- the processor shall act only on instructions from the controller,
|
|
|
- the obligations set out in paragraph 1, as defined by the law of the Member State in which the processor is established, shall also be incumbent on the processor.
|
AVDELNING IX ANMÄLAN
|
|
4. For the purposes of keeping proof, the parts of the contract or the legal act relating to data protection and the requirements relating to the measures referred to in paragraph 1 shall be in writing or in another equivalent form.
|
|
|
SECTION IX
|
Artikel 18
|
|
NOTIFICATION
|
Anmälningsplikt gentemot tillsynsmyndigheten
|
|
|
1. Medlemsstaterna skall föreskriva att den registeransvarige eller hans eventuelle företrädare före genomförandet av en behandling eller en serie behandlingar som helt eller delvis genomförs på automatisk väg och som har samma eller flera närbesläktade ändamål skall underrätta den tillsynsmyndighet som avses i artikel 28.
|
|
Article 18
|
2. Medlemsstaterna får endast i följande fall och på följande villkor föreskriva om undantag från anmälningsplikten eller förenklad anmälningsplikt:
|
|
Obligation to notify the supervisory authority
|
- Om medlemsstaten för de typer av behandling, i samband med vilka det med hänsyn till de behandlade uppgifterna inte är sannolikt att de registrerades fri- och rättigheter kränks, anger behandlingens ändamål, vilka uppgifter eller kategorier av uppgifter som behandlas, vilka registrerade eller kategorier av registrerade som avses, till vilka mottagare eller kategorier av mottagare uppgifterna lämnas ut samt hur länge uppgifterna skall bevaras och/eller
|
|
1. Member States shall provide that the controller or his representative, if any, must notify the supervisory authority referred to in Article 28 before carrying out any wholly or partly automatic processing operation or set of such operations intended to serve a single purpose or several related purposes.
|
- om den registeransvarige i enlighet med den nationella lagstiftning som gäller för denne, utser ett uppgiftsskyddsombud, som särskilt skall ha till uppgift
|
|
2. Member States may provide for the simplification of or exemption from notification only in the following cases and under the following conditions:
|
- att på ett oberoende sätt säkerställa den interna tillämpningen av de nationella bestämmelser som antagits till följd av detta direktiv,
|
|
- where, for categories of processing operations which are unlikely, taking account of the data to be processed, to affect adversely the rights and freedoms of data subjects, they specify the purposes of the processing, the data or categories of data undergoing processing, the category or categories of data subject, the recipients or categories of recipient to whom the data are to be disclosed and the length of time the data are to be stored, and/or
|
- att föra ett register över de behandlingar som utförs av den registeransvarige, vilket register skall innehålla den information som nämns i artikel 21.2,
|
|
- where the controller, in compliance with the national law which governs him, appoints a personal data protection official, responsible in particular:
|
för att på detta sätt säkerställa att de registrerades fri- och rättigheter sannolikt inte kommer att kränkas som en följd av behandlingarna.
|
|
- for ensuring in an independent manner the internal application of the national provisions taken pursuant to this Directive
|
3. Medlemsstaterna får föreskriva att punkt 1 inte skall gälla för en sådan behandling vars enda syfte är förandet av ett register, som enligt lagar eller andra författningar är avsett att förse allmänheten med information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse.
|
|
- for keeping the register of processing operations carried out by the controller, containing the items of information referred to in Article 21 (2),
|
4. Medlemsstaterna får föreskriva undantag från anmälningsplikten eller ett förenklat anmälningsförfarande för sådan behandling som avses i artikel 8.2 d).
|
|
thereby ensuring that the rights and freedoms of the data subjects are unlikely to be adversely affected by the processing operations.
|
5. Medlemsstaterna får föreskriva att vissa eller alla icke-automatiska behandlingar av personuppgifter skall anmälas eller att ett förenklat anmälningsförfarande skall gälla för dem.
|
|
3. Member States may provide that paragraph 1 does not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person demonstrating a legitimate interest.
|
|
|
4. Member States may provide for an exemption from the obligation to notify or a simplification of the notification in the case of processing operations referred to in Article 8 (2) (d).
|
Artikel 19
|
|
5. Member States may stipulate that certain or all non-automatic processing operations involving personal data shall be notified, or provide for these processing operations to be subject to simplified notification.
|
Anmälans innehåll
|
|
|
1. Medlemsstaterna skall precisera vilka uppgifter som anmälan skall innehålla. Den skall åtminstone innehålla
|
|
Article 19
|
a) den registeransvariges och dennes eventuella företrädares namn och adress,
|
|
Contents of notification
|
b) ändamålen med behandlingen,
|
|
1. Member States shall specify the information to be given in the notification. It shall include at least:
|
c) en beskrivning av den eller de kategorier av registrerade som berörs och av de uppgifter eller kategorier av uppgifter som hänför sig till dem,
|
|
(a) the name and address of the controller and of his representative, if any;
|
d) mottagarna eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut,
|
|
(b) the purpose or purposes of the processing;
|
e) föreslagna överföringar av uppgifter till tredje land,
|
|
(c) a description of the category or categories of data subject and of the data or categories of data relating to them;
|
f) en allmän beskrivning som gör det möjligt att preliminärt bedöma lämpligheten av de åtgärder som i enlighet med artikel 17 vidtagits för att trygga säkerheten i behandlingen.
|
|
(d) the recipients or categories of recipient to whom the data might be disclosed;
|
2. Medlemsstaterna skall ange villkoren för anmälan till tillsynsmyndigheten av förändringar som rör den i punkt 1 angivna informationen.
|
|
(e) proposed transfers of data to third countries;
|
|
|
(f) a general description allowing a preliminary assessment to be made of the appropriateness of the measures taken pursuant to Article 17 to ensure security of processing.
|
Artikel 20
|
|
2. Member States shall specify the procedures under which any change affecting the information referred to in paragraph 1 must be notified to the supervisory authority.
|
Förhandskontroll
|
|
|
1. Medlemsstaterna skall bestämma vilka behandlingar som kan innebära särskilda risker för den registrerades fri- och rättigheter och skall säkerställa att dessa behandlingar kontrolleras innan de påbörjas.
|
|
Article 20
|
2. Sådana förhandskontroller skall utföras av tillsynsmyndigheten när den mottagit anmälan från den registeransvarige eller från uppgiftsskyddsombudet, som i tveksamma fall skall rådfråga tillsynsmyndigheten.
|
|
Prior checking
|
3. Medlemsstaterna kan också utföra sådana kontroller som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd, som definierar behandlingens art och anger lämpliga skyddsåtgärder.
|
|
1. Member States shall determine the processing operations likely to present specific risks to the rights and freedoms of data subjects and shall check that these processing operations are examined prior to the start thereof.
|
|
|
2. Such prior checks shall be carried out by the supervisory authority following receipt of a notification from the controller or by the data protection official, who, in cases of doubt, must consult the supervisory authority.
|
Artikel 21
|
|
3. Member States may also carry out such checks in the context of preparation either of a measure of the national parliament or of a measure based on such a legislative measure, which define the nature of the processing and lay down appropriate safeguards.
|
Behandlingarnas offentlighet
|
|
|
1. Medlemsstaterna skall vidta åtgärder för att tillse att behandlingarna görs offentligt tillgängliga.
|
|
Article 21
|
2. Medlemsstaterna skall föreskriva att tillsynsmyndigheten skall föra ett register över sådana behandlingar som har anmälts i enlighet med artikel 18.
|
|
Publicizing of processing operations
|
Registret skall innehålla åtminstone den information som anges i artikel 19.1 a) e).
|
|
1. Member States shall take measures to ensure that processing operations are publicized.
|
Registret skall vara allmänt tillgängligt.
|
|
2. Member States shall provide that a register of processing operations notified in accordance with Article 18 shall be kept by the supervisory authority.
|
3. För sådan behandling som inte omfattas av anmälningsplikt skall medlemsstaterna föreskriva att de registeransvariga eller något annat organ, som medlemsstaterna utser, på lämpligt sätt skall tillhandahålla var och en som begär det åtminstone den information som anges i artikel 19.1 a) e).
|
|
The register shall contain at least the information listed in Article 19 (1) (a) to (e).
|
Medlemsstaterna får föreskriva att denna bestämmelse inte skall tillämpas på sådan behandling vars enda ändamål är att föra ett register, som i enlighet med lagar eller andra författningar är avsett att ge allmänheten information och som är tillgängligt för allmänheten eller för var och en som kan styrka ett berättigat intresse.
|
|
The register may be inspected by any person.
|
|
|
3. Member States shall provide, in relation to processing operations not subject to notification, that controllers or another body appointed by the Member States make available at least the information referred to in Article 19 (1) (a) to (e) in an appropriate form to any person on request.
|
KAPITEL III RÄTTSLIG PRÖVNING, ANSVAR OCH SANKTIONER
|
|
Member States may provide that this provision does not apply to processing whose sole purpose is the keeping of a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can provide proof of a legitimate interest.
|
|
|
|
Artikel 22
|
|
CHAPTER III JUDICIAL REMEDIES, LIABILITY AND SANCTIONS
|
Rättslig prövning
|
|
|
Medlemsstaterna skall - utan att det påverkar möjligheten att utnyttja något administrativt förfarande, till exempel vid den tillsynsmyndighet som avses i artikel 28, som kan användas innan ett ärende anhängiggörs hos en rättslig instans - föreskriva att var och en har rätt att föra talan inför domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig på ifrågavarande behandling.
|
|
Article 22
|
|
|
Remedies
|
Artikel 23
|
|
Without prejudice to any administrative remedy for which provision may be made, inter alia before the supervisory authority referred to in Article 28, prior to referral to the judicial authority, Member States shall provide for the right of every person to a judicial remedy for any breach of the rights guaranteed him by the national law applicable to the processing in question.
|
Ansvar
|
|
|
1. Medlemsstaterna skall föreskriva att var och en som lidit skada till följd av en otillåten behandling eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv, har rätt till ersättning av den registeransvarige för den skada som han har lidit.
|
|
Article 23
|
2. Den registeransvarige kan helt eller delvis undgå detta ansvar om han bevisar att han inte är ansvarig för den händelse som orsakade skadan.
|
|
Liability
|
|
|
1. Member States shall provide that any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Directive is entitled to receive compensation from the controller for the damage suffered.
|
Artikel 24
|
|
2. The controller may be exempted from this liability, in whole or in part, if he proves that he is not responsible for the event giving rise to the damage.
|
Sanktioner
|
|
|
Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv.
|
|
Article 24
|
|
|
Sanctions
|
KAPITEL IV ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJE LAND
|
|
The Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Directive and shall in particular lay down the sanctions to be imposed in case of infringement of the provisions adopted pursuant to this Directive.
|
|
|
|
Artikel 25
|
|
CHAPTER IV TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES
|
Principer
|
|
|
1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredje land - utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv - säkerställer en adekvat skyddsnivå.
|
|
Article 25
|
2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där.
|
|
Principles
|
3. Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2.
|
|
1. The Member States shall provide that the transfer to a third country of personal data which are undergoing processing or are intended for processing after transfer may take place only if, without prejudice to compliance with the national provisions adopted pursuant to the other provisions of this Directive, the third country in question ensures an adequate level of protection.
|
4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till ifrågavarande tredje land.
|
|
2. The adequacy of the level of protection afforded by a third country shall be assessed in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations; particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the country of origin and country of final destination, the rules of law, both general and sectoral, in force in the third country in question and the professional rules and security measures which are complied with in that country.
|
5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att avhjälpa den situation som uppstått när kommissionen kommit till den slutsats som anges i punkt 4.
|
|
3. The Member States and the Commission shall inform each other of cases where they consider that a third country does not ensure an adequate level of protection within the meaning of paragraph 2.
|
6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som - särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter - åligger landet har en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel.
|
|
4. Where the Commission finds, under the procedure provided for in Article 31 (2), that a third country does not ensure an adequate level of protection within the meaning of paragraph 2 of this Article, Member States shall take the measures necessary to prevent any transfer of data of the same type to the third country in question.
|
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.
|
|
5. At the appropriate time, the Commission shall enter into negotiations with a view to remedying the situation resulting from the finding made pursuant to paragraph 4.
|
|
|
6. The Commission may find, in accordance with the procedure referred to in Article 31 (2), that a third country ensures an adequate level of protection within the meaning of paragraph 2 of this Article, by reason of its domestic law or of the international commitments it has entered into, particularly upon conclusion of the negotiations referred to in paragraph 5, for the protection of the private lives and basic freedoms and rights of individuals.
|
Artikel 26
|
|
Member States shall take the measures necessary to comply with the Commission's decision.
|
Undantag
|
|
|
1. Med undantag från artikel 25 skall medlemsstaterna - om det inte finns tvingande regler om detta i deras lagstiftning - föreskriva att överföring av personuppgifter till ett tredje land som inte har en adekvat skyddsnivå i den mening som avses i artikel 25.2 får ske om
|
|
Article 26
|
a) den registrerade otvetydigt har samtyckt till den planerade överföringen, eller
|
|
Derogations
|
b) överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att på den registrerades begäran genomföra åtgärder som vidtas innan avtalet ingås, eller
|
|
1. By way of derogation from Article 25 and save where otherwise provided by domestic law governing particular cases, Member States shall provide that a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2) may take place on condition that:
|
c) överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den registeransvarige och tredje man i den registrerades intresse, eller
|
|
(a) the data subject has given his consent unambiguously to the proposed transfer; or
|
d) överföringen är nödvändig eller bindande enligt författning av skäl som rör viktiga allmänna intressen eller för att fastslå, göra gällande eller försvara rättsliga anspråk, eller
|
|
(b) the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of precontractual measures taken in response to the data subject's request; or
|
e) överföringen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerade, eller
|
|
(c) the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and a third party; or
|
f) överföringen görs från ett offentligt register som enligt lagar eller andra författningar är avsett att ge allmänheten information och som är tillgängligt antingen för allmänheten eller för var och en som kan styrka ett berättigat intresse, i den utsträckning som de i lagstiftningen angivna villkoren för tillgänglighet uppfylls i det enskilda fallet.
|
|
(d) the transfer is necessary or legally required on important public interest grounds, or for the establishment, exercise or defence of legal claims; or
|
2. Utan att detta påverkar tillämpningen av punkt 1 får en medlemsstat tillåta överföring av personuppgifter till ett tredje land som inte säkerställer en skyddsnivå som är adekvat enligt artikel 25.2, om den registeransvarige ställer tillräckliga garantier för att privatliv och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter. Sådana garantier kan framgå av lämpliga avtalsklausuler.
|
|
(e) the transfer is necessary in order to protect the vital interests of the data subject; or
|
3. Medlemsstaten skall informera kommissionen och de övriga medlemsstaterna om de överföringar som tillåtits enligt punkt 2.
|
|
(f) the transfer is made from a register which according to laws or regulations is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in law for consultation are fulfilled in the particular case.
|
Om en medlemsstat eller kommissionen på grunder som är berättigade med hänsyn till skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter gör en invändning skall kommissionen vidta lämpliga åtgärder i enlighet med det förfarande som avses i artikel 31.2.
|
|
2. Without prejudice to paragraph 1, a Member State may authorize a transfer or a set of transfers of personal data to a third country which does not ensure an adequate level of protection within the meaning of Article 25 (2), where the controller adduces adequate safeguards with respect to the protection of the privacy and fundamental rights and freedoms of individuals and as regards the exercise of the corresponding rights; such safeguards may in particular result from appropriate contractual clauses.
|
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.
|
|
3. The Member State shall inform the Commission and the other Member States of the authorizations it grants pursuant to paragraph 2.
|
4. Om kommissionen i enlighet med det förfarande som anges i artikel 31.2 beslutar att vissa standardavtalsklausuler erbjuder tillräckliga garantier enligt punkt 2, skall medlemsstaterna vidta nödvändiga åtgärder för att följa kommissionens beslut.
|
|
If a Member State or the Commission objects on justified grounds involving the protection of the privacy and fundamental rights and freedoms of individuals, the Commission shall take appropriate measures in accordance with the procedure laid down in Article 31 (2).
|
|
|
Member States shall take the necessary measures to comply with the Commission's decision.
|
KAPITEL V UPPFÖRANDEKODEX
|
|
4. Where the Commission decides, in accordance with the procedure referred to in Article 31 (2), that certain standard contractual clauses offer sufficient safeguards as required by paragraph 2, Member States shall take the necessary measures to comply with the Commission's decision.
|
|
|
|
Artikel 27
|
|
CHAPTER V CODES OF CONDUCT
|
1. Medlemsstaterna och kommissionen skall uppmuntra utarbetande av uppförandekodexar som - med beaktande av de särskilda förhållandena på olika områden - skall bidra till att på ett riktigt sätt genomföra de nationella bestämmelser som medlemsstaterna antar för att genomföra detta direktiv.
|
|
|
2. Medlemsstaterna skall föreskriva att branschorganisationer eller andra organ som företräder andra kategorier av registeransvariga, som har upprättat förslag till nationella kodexar eller som avser att ändra eller utöka existerande nationella kodexar, kan lägga fram dessa för bedömning av den nationella myndigheten.
|
|
Article 27
|
Medlemsstaterna skall föreskriva att denna myndighet bland annat skall kontrollera att de förslag som har lagts fram för myndigheten är i överensstämmelse med de nationella bestämmelser som antagits till följd av detta direktiv. Om myndigheten anser det lämpligt skall den inhämta synpunkter från de registrerade eller deras företrädare.
|
|
1. The Member States and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper implementation of the national provisions adopted by the Member States pursuant to this Directive, taking account of the specific features of the various sectors.
|
3. Förslag till gemenskapskodexar och förslag till ändringar eller tillägg till existerande sådana kodexar kan läggas fram för den arbetsgrupp som avses i artikel 29. Denna arbetsgrupp skall bland annat avgöra om de förslag som lagts fram för gruppen är i överensstämmelse med de nationella bestämmelser som antagits för att genomföra detta direktiv. Om gruppen anser det lämpligt skall den inhämta synpunkter från de registrerade eller deras företrädare. Kommissionen kan tillse att de kodexar som godkänts av arbetsgruppen offentliggörs på lämpligt sätt.
|
|
2. Member States shall make provision for trade associations and other bodies representing other categories of controllers which have drawn up draft national codes or which have the intention of amending or extending existing national codes to be able to submit them to the opinion of the national authority.
|
|
|
Member States shall make provision for this authority to ascertain, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives.
|
KAPITEL VI TILLSYNSMYNDIGHET OCH ARBETSGRUPP FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER
|
|
3. Draft Community codes, and amendments or extensions to existing Community codes, may be submitted to the Working Party referred to in Article 29. This Working Party shall determine, among other things, whether the drafts submitted to it are in accordance with the national provisions adopted pursuant to this Directive. If it sees fit, the authority shall seek the views of data subjects or their representatives. The Commission may ensure appropriate publicity for the codes which have been approved by the Working Party.
|
|
|
|
Artikel 28
|
|
CHAPTER VI SUPERVISORY AUTHORITY AND WORKING PARTY ON THE PROTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA
|
Tillsynsmyndighet
|
|
|
1. Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.
|
|
Article 28
|
Dessa myndigheter skall fullständigt oberoende utöva de uppgifter som åläggs dem.
|
|
Supervisory authority
|
2. Varje medlemsstat skall tillse att tillsynsmyndigheten hörs när sådana lagar eller andra författningar utarbetas som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter.
|
|
1. Each Member State shall provide that one or more public authorities are responsible for monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Directive.
|
3. Varje tillsynsmyndighet skall särskilt ha
|
|
These authorities shall act with complete independence in exercising the functions entrusted to them.
|
- undersökningsbefogenheter, såsom befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att inhämta alla uppgifter som är nödvändiga för att sköta tillsynen,
|
|
2. Each Member State shall provide that the supervisory authorities are consulted when drawing up administrative measures or regulations relating to the protection of individuals' rights and freedoms with regard to the processing of personal data.
|
- effektiva befogenheter att ingripa, som till exempel att kunna avge yttranden i enlighet med artikel 20 innan en behandling äger rum, och se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, utplåning eller förstöring av uppgifter, att kunna besluta om tillfälligt eller slutligt förbud mot behandling, att kunna ge den registeransvarige varning eller tillrättavisning eller att kunna hänvisa saken till nationella parlament eller till andra politiska institutioner,
|
|
3. Each authority shall in particular be endowed with:
|
- befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta direktiv har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.
|
|
- investigative powers, such as powers of access to data forming the subject-matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties,
|
Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.
|
|
- effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, in accordance with Article 20, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions,
|
4. Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått.
|
|
- the power to engage in legal proceedings where the national provisions adopted pursuant to this Directive have been violated or to bring these violations to the attention of the judicial authorities.
|
Var och en kan i samband med tillämpningen av de nationella bestämmelser som har antagits med stöd av artikel 13 i detta direktiv till tillsynsmyndigheten ge in en begäran om att få kontrollera om en behandling är tillåten. Den berörda personen skall informeras om vilka följder hans begäran har fått.
|
|
Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.
|
5. Varje tillsynsmyndighet skall regelbundet upprätta en rapport om sin verksamhet. Denna rapport skall offentliggöras.
|
|
4. Each supervisory authority shall hear claims lodged by any person, or by an association representing that person, concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.
|
6. En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.
|
|
Each supervisory authority shall, in particular, hear claims for checks on the lawfulness of data processing lodged by any person when the national provisions adopted pursuant to Article 13 of this Directive apply. The person shall at any rate be informed that a check has taken place.
|
De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.
|
|
5. Each supervisory authority shall draw up a report on its activities at regular intervals. The report shall be made public.
|
7. Medlemsstaterna skall föreskriva att tillsynsmyndighetens ledamöter och personal, även sedan deras anställning upphört, skall ha tystnadsplikt med avseende på förtrolig information som de har tillgång till.
|
|
6. Each supervisory authority is competent, whatever the national law applicable to the processing in question, to exercise, on the territory of its own Member State, the powers conferred on it in accordance with paragraph 3. Each authority may be requested to exercise its powers by an authority of another Member State.
|
|
|
The supervisory authorities shall cooperate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.
|
Artikel 29
|
|
7. Member States shall provide that the members and staff of the supervisory authority, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.
|
Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter
|
|
|
1. En arbetsgrupp för skydd av enskilda med avseende på behandling av personuppgifter, hädanefter kallad "arbetsgruppen" inrättas härmed.
|
|
Article 29
|
Arbetsgruppen skall vara rådgivande och oberoende.
|
|
Working Party on the Protection of Individuals with regard to the Processing of Personal Data
|
2. Arbetsgruppen skall vara sammansatt av en företrädare för den eller de tillsynsmyndigheter som utsetts av varje medlemsstat, av en företrädare för den eller de myndigheter som har inrättats för gemenskapens institutioner och organ samt av en företrädare för kommissionen.
|
|
1. A Working Party on the Protection of Individuals with regard to the Processing of Personal Data, hereinafter referred to as 'the Working Party', is hereby set up.
|
Varje medlem av arbetsgruppen skall utses av den institution eller av den eller de myndigheter som han företräder. När en medlemsstat har fler tillsynsmyndigheter än en, skall dessa utse en gemensam företrädare. Detsamma skall gälla för de myndigheter som inrättats för gemenskapens institutioner och organ.
|
|
It shall have advisory status and act independently.
|
3. Arbetsgruppen skall fatta beslut med enkel majoritet av tillsynsmyndigheternas företrädare.
|
|
2. The Working Party shall be composed of a representative of the supervisory authority or authorities designated by each Member State and of a representative of the authority or authorities established for the Community institutions and bodies, and of a representative of the Commission.
|
4. Arbetsgruppen skall välja sin ordförande. Ordförandens mandattid skall vara två år. Mandatet kan förlängas.
|
|
Each member of the Working Party shall be designated by the institution, authority or authorities which he represents. Where a Member State has designated more than one supervisory authority, they shall nominate a joint representative. The same shall apply to the authorities established for Community institutions and bodies.
|
5. Arbetsgruppens sekretariatsuppgifter skall ombesörjas av kommissionen.
|
|
3. The Working Party shall take decisions by a simple majority of the representatives of the supervisory authorities.
|
6. Arbetsgruppen skall själv fastställa sin arbetsordning.
|
|
4. The Working Party shall elect its chairman. The chairman's term of office shall be two years. His appointment shall be renewable.
|
7. Arbetsgruppen skall behandla frågor som förts upp på dess dagordning av ordföranden, antingen på dennes eget initiativ eller på begäran av en företrädare för tillsynsmyndigheterna eller för kommissionen.
|
|
5. The Working Party's secretariat shall be provided by the Commission.
|
|
|
6. The Working Party shall adopt its own rules of procedure.
|
Artikel 30
|
|
7. The Working Party shall consider items placed on its agenda by its chairman, either on his own initiative or at the request of a representative of the supervisory authorities or at the Commission's request.
|
1. Arbetsgruppen skall
|
|
|
a) utreda varje fråga som rör tillämpningen av de nationella bestämmelser som antagits för genomförandet av detta direktiv, för att bidra till en enhetlig tillämpning av bestämmelserna,
|
|
Article 30
|
b) yttra sig till kommissionen om skyddsnivån inom gemenskapen och i tredje land,
|
|
1. The Working Party shall:
|
c) ge kommissionen råd om varje föreslagen ändring av detta direktiv, om vilka ytterligare eller särskilda åtgärder som bör vidtas för att skydda fysiska personers fri- och rättigheter med avseende på behandling av personuppgifter och om alla andra föreslagna gemenskapsåtgärder som rör sådana fri- och rättigheter,
|
|
(a) examine any question covering the application of the national measures adopted under this Directive in order to contribute to the uniform application of such measures;
|
d) avge yttranden om de uppförandekodexar som utarbetas på gemenskapsnivå.
|
|
(b) give the Commission an opinion on the level of protection in the Community and in third countries;
|
2. Om arbetsgruppen konstaterar förekomsten av sådana skillnader mellan medlemsstaternas lagstiftning eller praxis, som kan vara till nackdel för likvärdigheten i skyddet för personer med avseende på behandlingen av personuppgifter inom gemenskapen, skall gruppen informera kommissionen om detta.
|
|
(c) advise the Commission on any proposed amendment of this Directive, on any additional or specific measures to safeguard the rights and freedoms of natural persons with regard to the processing of personal data and on any other proposed Community measures affecting such rights and freedoms;
|
3. Arbetsgruppen kan på eget initiativ utfärda rekommendationer i alla frågor som rör skyddet av personer med avseende på behandlingen av personuppgifter inom gemenskapen.
|
|
(d) give an opinion on codes of conduct drawn up at Community level.
|
4. Arbetsgruppens yttranden och rekommendationer skall framläggas för kommissionen och den kommitté som avses i artikel 31.
|
|
2. If the Working Party finds that divergences likely to affect the equivalence of protection for persons with regard to the processing of personal data in the Community are arising between the laws or practices of Member States, it shall inform the Commission accordingly.
|
5. Kommissionen skall informera arbetsgruppen om det sätt på vilket den har tagit hänsyn till yttrandena och rekommendationerna. För att göra detta skall kommissionen utarbeta en rapport som också skall framläggas för Europaparlamentet och rådet. Rapporten skall offentliggöras.
|
|
3. The Working Party may, on its own initiative, make recommendations on all matters relating to the protection of persons with regard to the processing of personal data in the Community.
|
6. Arbetsgruppen skall utarbeta en årsrapport om situationen rörande skyddet för fysiska personer med avseende på behandlingen av personuppgifter inom gemenskapen och i tredje land, som den skall översända till kommissionen, Europaparlamentet och rådet. Rapporten skall offentliggöras.
|
|
4. The Working Party's opinions and recommendations shall be forwarded to the Commission and to the committee referred to in Article 31.
|
|
|
5. The Commission shall inform the Working Party of the action it has taken in response to its opinions and recommendations. It shall do so in a report which shall also be forwarded to the European Parliament and the Council. The report shall be made public.
|
KAPITEL VII GEMENSKAPENS ÅTGÄRDER FÖR GENOMFÖRANDE
|
|
6. The Working Party shall draw up an annual report on the situation regarding the protection of natural persons with regard to the processing of personal data in the Community and in third countries, which it shall transmit to the Commission, the European Parliament and the Council. The report shall be made public.
|
|
|
|
Artikel 31
|
|
CHAPTER VII COMMUNITY IMPLEMENTING MEASURES
|
Kommittén
|
|
|
1. Kommissionen skall biträdas av en kommitté som är sammansatt av företrädare för medlemsstaterna och som har kommissionens företrädare som ordförande.
|
|
Article 31
|
2. Kommissionens företrädare skall förelägga kommittén ett förslag till åtgärder. Kommittén skall yttra sig över förslaget inom en tid som ordföranden bestämmer med hänsyn till hur brådskande ärendet är.
|
|
The Committee
|
Yttrandet skall avges med den majoritet som anges i artikel 148.2 i fördraget. Vid omröstning i kommittén skall medlemsstaternas röster vägas på det sätt som anges i den artikeln. Ordföranden skall inte rösta.
|
|
1. The Commission shall be assisted by a committee composed of the representatives of the Member States and chaired by the representative of the Commission.
|
Kommissionen skall besluta om åtgärder som skall ha omedelbar verkan. Om emellertid åtgärderna avviker från kommitténs yttrande, skall kommissionen omedelbart underställa rådet ärendet. I detta fall gäller följande:
|
|
2. The representative of the Commission shall submit to the committee a draft of the measures to be taken. The committee shall deliver its opinion on the draft within a time limit which the chairman may lay down according to the urgency of the matter.
|
- Kommissionen skall uppskjuta genomförandet av åtgärderna under en tidsfrist om tre månader räknad från meddelandedatum.
|
|
The opinion shall be delivered by the majority laid down in Article 148 (2) of the Treaty. The votes of the representatives of the Member States within the committee shall be weighted in the manner set out in that Article. The chairman shall not vote.
|
- Rådet kan med kvalificerad majoritet fatta ett avvikande beslut inom den tidsfrist som anges i den första strecksatsen.
|
|
The Commission shall adopt measures which shall apply immediately. However, if these measures are not in accordance with the opinion of the committee, they shall be communicated by the Commission to the Council forthwith. It that event:
|
|
|
- the Commission shall defer application of the measures which it has decided for a period of three months from the date of communication,
|
SLUTBESTÄMMELSER
|
|
- the Council, acting by a qualified majority, may take a different decision within the time limit referred to in the first indent.
|
|
|
|
Artikel 32
|
|
FINAL PROVISIONS
|
1. Medlemsstaterna skall sätta i kraft de lagar och andra författningar, som är nödvändiga för att följa detta direktiv, senast tre år efter dess antagande.
|
|
|
När en medlemsstat antar dessa bestämmelser skall de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen skall göras skall varje medlemsstat själv utfärda.
|
|
Article 32
|
2. Medlemsstaterna skall se till att sådan behandling som redan pågår när de nationella bestämmelser som antas till följd av detta direktiv träder i kraft bringas i överensstämmelse med dessa bestämmelser inom tre år från denna tidpunkt.
|
|
1. Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with this Directive at the latest at the end of a period of three years from the date of its adoption.
|
I fråga om sådana uppgifter som redan finns i manuella register vid ikraftträdandet av de nationella bestämmelser som antas för att genomföra detta direktiv får medlemsstaterna, med avvikelse från föregående stycke, föreskriva att behandlingen skall bringas i överensstämmelse med artiklarna 6 8 i detta direktiv inom tolv år räknat från dagen för direktivets antagande. Medlemsstaterna skall dock ge den registrerade rätt att på begäran och särskilt i samband med att han utövar sin rätt till tillgång till uppgifter, erhålla rättelse, utplåning eller blockering av uppgifter som är ofullständiga, felaktiga eller lagrade på ett sätt som inte är förenligt med de legitima ändamål som den registeransvarige vill uppnå.
|
|
When Member States adopt these measures, they shall contain a reference to this Directive or be accompanied by such reference on the occasion of their official publication. The methods of making such reference shall be laid down by the Member States.
|
3. Med undantag från punkt 2 kan medlemsstaterna under förutsättning av lämpliga skyddsåtgärder föreskriva att uppgifter som endast bevaras för historisk forskning inte behöver överensstämma med artiklarna 6 8 i detta direktiv.
|
|
2. Member States shall ensure that processing already under way on the date the national provisions adopted pursuant to this Directive enter into force, is brought into conformity with these provisions within three years of this date.
|
4. Medlemsstaterna skall till kommissionen överlämna texten till de nationella bestämmelser som de antar inom det område som omfattas av detta direktiv.
|
|
By way of derogation from the preceding subparagraph, Member States may provide that the processing of data already held in manual filing systems on the date of entry into force of the national provisions adopted in implementation of this Directive shall be brought into conformity with Articles 6, 7 and 8 of this Directive within 12 years of the date on which it is adopted. Member States shall, however, grant the data subject the right to obtain, at his request and in particular at the time of exercising his right of access, the rectification, erasure or blocking of data which are incomplete, inaccurate or stored in a way incompatible with the legitimate purposes pursued by the controller.
|
|
|
3. By way of derogation from paragraph 2, Member States may provide, subject to suitable safeguards, that data kept for the sole purpose of historical research need not be brought into conformity with Articles 6, 7 and 8 of this Directive.
|
Artikel 33
|
|
4. Member States shall communicate to the Commission the text of the provisions of domestic law which they adopt in the field covered by this Directive.
|
Kommissionen skall första gången senast tre år efter den tidpunkt som anges i artikel 32.1 och därefter regelbundet till rådet och Europaparlamentet avge en rapport om genomförandet av detta direktiv, eventuellt försedd med lämpliga ändringsförslag. Rapporten skall offentliggöras.
|
|
|
Kommissionen skall särskilt undersöka tillämpningen av detta direktiv på behandling av ljud- och bilduppgifter som rör fysiska personer och skall framlägga alla lämpliga förslag som med beaktande av informationsteknikens och informationssamhällets utveckling visar sig nödvändiga.
|
|
Article 33
|
|
|
The Commission shall report to the Council and the European Parliament at regular intervals, starting not later than three years after the date referred to in Article 32 (1), on the implementation of this Directive, attaching to its report, if necessary, suitable proposals for amendments. The report shall be made public.
|
Artikel 34
|
|
The Commission shall examine, in particular, the application of this Directive to the data processing of sound and image data relating to natural persons and shall submit any appropriate proposals which prove to be necessary, taking account of developments in information technology and in the light of the state of progress in the information society.
|
Detta direktiv riktar sig till medlemsstaterna.
|
|
|
|
|
Article 34
|
Utfärdat i Luxemburg den 24 oktober 1995.
|
|
This Directive is addressed to the Member States.
|
På Europaparlamentets vägnar
|
|
|
K. HÄNSCH
|
|
Done at Luxembourg, 24 October 1995.
|
Ordförande
|
|
For the European Parliament
|
På rådets vägnar
|
|
The President
|
L. ATIENZA SERNA
|
|
K. HAENSCH
|
Ordförande
|
|
For the Council
|
|
|
The President
|
(1) EGT nr C 277, 5.11.1990, s. 3, och EGT nr C 311, 27.11.1992, s. 30.
|
|
L. ATIENZA SERNA
|
(2) EGT nr C 159, 17.6.1991, s. 38.
|
|
|
(3) Europaparlamentets yttrande av den 11 mars 1992 (EGT nr C 94, 13.4.1992, s. 198), bekräftat den 2 december 1993 (EGT nr C 342, 20.12.1993, s. 30), rådets gemensamma ståndpunkt av den 20 februari 1995 (EGT nr C 93, 13.4.1995, s. 1) och Europaparlamentets beslut av den 15 juni 1995 (EGT nr C 166, 3.7.1995).
|
|
(1) OJ No C 277, 5. 11. 1990, p. 3 and OJ No C 311, 27. 11. 1992, p. 30.
|
(4) EGT nr L 197, 18.7.1987, s. 33.
|
|
(2) OJ No C 159, 17. 6. 1991, p 38.
|
|
|
(3) Opinion of the European Parliament of 11 March 1992 (OJ No C 94, 13. 4. 1992, p. 198), confirmed on 2 December 1993 (OJ No C 342, 20. 12. 1993, p. 30); Council common position of 20 February 1995 (OJ No C 93, 13. 4. 1995, p. 1) and Decision of the European Parliament of 15 June 1995 (OJ No C 166, 3. 7. 1995).
|
|
|
(1) OJ No L 197, 18. 7. 1987, p. 33.
|
|
|
|
|
|
|
|