|
|
Council Framework Decision 2008/977/JHA
|
Rådets rambeslut 2008/977/RIF
|
|
of 27 November 2008
|
av den 27 november 2008
|
|
on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters
|
om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete
|
|
THE COUNCIL OF THE EUROPEAN UNION,
|
EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA BESLUT
|
|
Having regard to the Treaty on European Union, and in particular Articles 30, 31 and 34(2)(b) thereof,
|
med beaktande av fördraget om Europeiska unionen, särskilt artiklarna 30, 31 och artikel 34.2 b,
|
|
Having regard to the proposal from the Commission,
|
med beaktande av kommissionens förslag,
|
|
Having regard to the opinion of the European Parliament [1],
|
med beaktande av Europaparlamentets yttrande [1], och
|
|
Whereas:
|
av följande skäl:
|
|
(1) The European Union has set itself the objective of maintaining and developing the Union as an area of freedom, security and justice in which a high level of safety is to be provided by common action among the Member States in the fields of police and judicial cooperation in criminal matters.
|
(1) Europeiska unionen har som mål att bevara och utveckla unionen som ett område med frihet, säkerhet och rättvisa inom vilket en hög säkerhetsnivå ska uppnås genom gemensamma insatser från medlemsstaternas sida när det gäller polissamarbete och straffrättsligt samarbete.
|
|
(2) Common action in the field of police cooperation under Article 30(1)(b) of the Treaty on European Union and common action on judicial cooperation in criminal matters under Article 31(1)(a) of the Treaty on European Union imply a need to process the relevant information which should be subject to appropriate provisions on the protection of personal data.
|
(2) Gemensamma insatser på polissamarbetets område i enlighet med artikel 30.1 b i fördraget om Europeiska unionen och gemensamma insatser rörande straffrättsligt samarbete i enlighet med artikel 31.1 a i samma fördrag innebär att det blir nödvändigt att behandla relevant information, vilket bör omfattas av lämpliga bestämmelser om skydd av personuppgifter.
|
|
(3) Legislation falling within the scope of Title VI of the Treaty on European Union should foster police and judicial cooperation in criminal matters with regard to its efficiency as well as its legitimacy and compliance with fundamental rights, in particular the right to privacy and to the protection of personal data. Common standards regarding the processing and protection of personal data processed for the purpose of preventing and combating crime contribute to the achieving of both aims.
|
(3) Lagstiftning som omfattas av avdelning VI i fördraget om Europeiska unionen syftar till att främja polissamarbete och rättsligt samarbete med avseende på såväl samarbetets effektivitet som dess lagenlighet och överensstämmelse med grundläggande rättigheter, särskilt rätten till ett privatliv och rätten till skydd av personuppgifter. Gemensamma normer för behandling och skydd av personuppgifter i syfte att förebygga och bekämpa brott kan bidra till att uppnå dessa båda mål.
|
|
(4) The Hague Programme on strengthening freedom, security and justice in the European Union, adopted by the European Council on 4 November 2004, stressed the need for an innovative approach to the cross-border exchange of law-enforcement information under the strict observation of key conditions in the area of data protection and invited the Commission to submit proposals in this regard by the end of 2005 at the latest. This was reflected in the Council and Commission Action Plan implementing the Hague Programme on strengthening freedom, security and justice in the European Union [2].
|
(4) I Haagprogrammet för ett stärkt område med frihet, säkerhet och rättvisa i Europeiska unionen, som antogs av Europeiska rådet den 4 november 2004, understryks behovet av en innovativ strategi i fråga om gränsöverskridande utbyte av information om brottsbekämpning, under noggrant iakttagande av centrala villkor på området skydd av personuppgifter. Kommissionen uppmanades att senast i slutet av 2005 lägga fram förslag om detta. Detta återspeglas i rådets och kommissionens handlingsplan för genomförande av Haagprogrammet för ett stärkt område med frihet, säkerhet och rättvisa [2].
|
|
(5) The exchange of personal data within the framework of police and judicial cooperation in criminal matters, notably under the principle of availability of information as laid down in the Hague Programme, should be supported by clear rules enhancing mutual trust between the competent authorities and ensuring that the relevant information is protected in a way that excludes any discrimination in respect of such cooperation between the Member States while fully respecting fundamental rights of individuals. Existing instruments at the European level do not suffice; Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data [3] does not apply to the processing of personal data in the course of an activity which falls outside the scope of Community law, such as those provided for by Title VI of the Treaty on European Union, nor, in any case, to processing operations concerning public security, defence, state security or the activities of the State in areas of criminal law.
|
(5) Utbytet av personuppgifter inom ramen för polissamarbetet och det straffrättsliga samarbetet, särskilt enligt den princip om tillgänglighet som tas upp i Haagprogrammet, bör bygga på klara regler som stärker det ömsesidiga förtroendet mellan behöriga myndigheter och garanterar att den relevanta informationen skyddas på ett sätt som utesluter all diskriminering med avseende på sådant samarbete mellan medlemsstaterna samtidigt som enskildas grundläggande rättigheter respekteras fullt ut. Befintliga instrument på europeisk nivå är inte tillräckliga; Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [3] är inte tillämpligt i fråga om behandling av personuppgifter i samband med verksamheter som faller utanför gemenskapsrättens tillämpningsområde, till exempel sådana som anges i avdelning VI i fördraget om Europeiska unionen, och under inga omständigheter på uppgiftsbehandling som rör allmän säkerhet, försvar, nationell säkerhet eller statlig verksamhet på det straffrättsliga området.
|
|
(6) This Framework Decision applies only to data gathered or processed by competent authorities for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. This Framework Decision should leave it to Member States to determine more precisely at national level which other purposes are to be considered as incompatible with the purpose for which the personal data were originally collected. In general, further processing for historical, statistical or scientific purposes should not be considered as incompatible with the original purpose of the processing.
|
(6) Detta rambeslut är endast tillämpligt på uppgifter som de behöriga myndigheterna samlar in eller behandlar för att kunna förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. I detta rambeslut bör det överlåtas till medlemsstaterna att på nationell nivå mer exakt besluta vilka andra ändamål som ska anses oförenliga med det ändamål för vilket personuppgifterna ursprungligen insamlades. I allmänhet bör vidarebehandling för historiska, statistiska eller vetenskapliga ändamål inte anses vara oförenlig med det ursprungliga ändamålet för behandlingen.
|
|
(7) The scope of this Framework Decision is limited to the processing of personal data transmitted or made available between Member States. No conclusions should be inferred from this limitation regarding the competence of the Union to adopt acts relating to the collection and processing of personal data at national level or the expediency for the Union to do so in the future.
|
(7) Tillämpningsområdet för detta rambeslut begränsas till behandlingen av sådana personuppgifter som överförs eller görs tillgängliga mellan medlemsstaterna. Inga slutsatser bör dras av denna begränsning beträffande unionens behörighet att anta rättsakter om insamling och behandling av personuppgifter på nationell nivå eller det lämpliga i att unionen gör detta i framtiden.
|
|
(8) In order to facilitate data exchanges within the Union, Member States intend to ensure that the standard of data protection achieved in national data processing matches that provided for in this Framework Decision. With regard to national data processing, this Framework Decision does not preclude Member States from providing safeguards for the protection of personal data higher than those established in this Framework Decision.
|
(8) I syfte att underlätta informationsutbytet inom unionen vill medlemsstaterna säkerställa att den standard i fråga om dataskydd som fastställs inom nationell databehandling ska motsvara den som föreskrivs i rambeslutet. När det gäller nationell databehandling hindrar detta rambeslut inte medlemsstaterna från att föreskriva garantier för skydd av personuppgifter högre än dem som fastställs i detta rambeslut.
|
|
(9) This Framework Decision should not apply to personal data which a Member State has obtained within the scope of this Framework Decision and which originated in that Member State.
|
(9) Detta rambeslut bör inte tillämpas på personuppgifter som en medlemsstat erhållit inom tillämpningsområdet för detta rambeslut och som härrör från denna medlemsstat.
|
|
(10) The approximation of Member States’ laws should not result in any lessening of the data protection they afford but should, on the contrary, seek to ensure a high level of protection within the Union.
|
(10) Tillnärmningen av medlemsstaternas lagstiftningar bör inte leda till några försämringar i det dataskydd de ger utan i stället syfta till att garantera en hög skyddsnivå inom unionen.
|
|
(11) It is necessary to specify the objectives of data protection within the framework of police and judicial activities and to lay down rules concerning the lawfulness of processing of personal data in order to ensure that any information that might be exchanged has been processed lawfully and in accordance with fundamental principles relating to data quality. At the same time the legitimate activities of the police, customs, judicial and other competent authorities should not be jeopardised in any way.
|
(11) Det är nödvändigt att precisera målen med skyddet av personuppgifter inom ramen för polisens och rättsväsendets verksamheter och att införa bestämmelser om vilken behandling av personuppgifter som är tillåten i syfte att säkerställa att uppgifter som kan komma att utbytas har behandlats på lagligt sätt och i enlighet med grundläggande principer i fråga om uppgifters kvalitet. Samtidigt är det viktigt att inte polisens, tullens, domstolarnas eller andra behöriga myndigheters legitima verksamheter äventyras.
|
|
(12) The principle of accuracy of data is to be applied taking account of the nature and purpose of the processing concerned. For example, in particular in judicial proceedings data are based on the subjective perception of individuals and in some cases are totally unverifiable. Consequently, the requirement of accuracy cannot appertain to the accuracy of a statement but merely to the fact that a specific statement has been made.
|
(12) Principen om uppgifters korrekthet ska tillämpas med beaktande av den aktuella behandlingens art och syfte. Så grundar sig exempelvis uppgifterna inom framför allt rättsliga förfaranden på enskilda personers subjektiva uppfattning och kan i vissa fall omöjligen kontrolleras. Följaktligen kan inte korrekthetskravet röra korrektheten i ett uttalande utan blott och bart det faktum att ett visst uttalande har gjorts.
|
|
(13) Archiving in a separate data set should be permissible only if the data are no longer required and used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. Archiving in a separate data set should also be permissible if the archived data are stored in a database with other data in such a way that they can no longer be used for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. The appropriateness of the archiving period should depend on the purposes of archiving and the legitimate interests of the data subjects. In the case of archiving for historical purposes a very long period may be envisaged.
|
(13) Arkivering i ett separat dataset bör tillåtas endast om uppgifterna inte längre krävs eller används för förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder. Arkivering i ett separat dataset bör även tillåtas om de arkiverade uppgifterna lagras i en databas tillsammans med andra uppgifter på ett sådant sätt att de inte längre kan användas för förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder. Lämplig längd av arkiveringsperioden bör vara avhängig av syftet med arkiveringen och de registrerade personernas legitima intressen. I fråga om arkivering för historiska ändamål kan man fastställa en mycket lång period.
|
|
(14) Data may also be erased by destroying the data medium.
|
(14) Uppgifter får också raderas genom att datamediet förstörs.
|
|
(15) As regards inaccurate, incomplete or no longer up-to-date data transmitted or made available to another Member State and further processed by quasi-judicial authorities, meaning authorities with powers to make legally binding decisions, its rectification, erasure or blocking should be carried out in accordance with national law.
|
(15) När det gäller icke korrekta, ofullständiga eller inte längre aktuella uppgifter som överförts eller gjorts tillgängliga för en annan medlemsstat och vidarebehandlas av domstolsliknande myndigheter, med vilket avses myndigheter med behörighet att fatta rättsligen bindande beslut, bör rättelse, strykning eller blockerande utföras enligt nationell lagstiftning.
|
|
(16) Ensuring a high level of protection of the personal data of individuals requires common provisions to determine the lawfulness and the quality of data processed by competent authorities in other Member States.
|
(16) För att kunna garantera en hög skyddsnivå för personuppgifter om enskilda personer krävs det gemensamma bestämmelser för att fastställa om de uppgifter som behandlas av behöriga myndigheter i medlemsstaterna uppfyller laglighets- och kvalitetskraven.
|
|
(17) It is appropriate to lay down at the European level the conditions under which competent authorities of the Member States should be allowed to transmit and make available personal data received from other Member States to authorities and private parties in Member States. In many cases the transmission of personal data by the judiciary, police or customs to private parties is necessary to prosecute crime or to prevent an immediate and serious threat to public security or to prevent serious harm to the rights of individuals, for example, by issuing alerts concerning forgeries of securities to banks and credit institutions, or, in the area of vehicle crime, by communicating personal data to insurance companies in order to prevent illicit trafficking in stolen motor vehicles or to improve the conditions for the recovery of stolen motor vehicles from abroad. This is not tantamount to the transfer of police or judicial tasks to private parties.
|
(17) Därför bör man på europeisk nivå fastställa de villkor som ska vara uppfyllda för att medlemsstaternas behöriga myndigheter ska ha rätt att till myndigheter och privata parter i medlemsstater överföra och göra tillgängliga personuppgifter som erhållits från andra medlemsstater. I många fall är överföring av personuppgifter från domstolsväsendet, polisen eller tullen till privata parter nödvändig för att lagföra brott eller för att avvärja en omedelbar och allvarlig fara för allmän säkerhet eller förhindra att enskilda personers rättigheter lider allvarlig skada, till exempel genom att utfärda varningar avseende förfalskningar av värdepapper till banker och kreditinstitut eller, i fråga om fordonsstölder, genom att överföra personuppgifter till försäkringsbolag för att förhindra olaglig handel med stulna motorfordon eller för att förbättra villkoren för återförande av stulna motorfordon från utlandet. Detta innebär inte överföring av arbetsuppgifter från polis och domstolar till privata parter.
|
|
(18) The rules in this Framework Decision regarding the transmission of personal data by the judiciary, police or customs to private parties do not apply to the disclosure of data to private parties (such as defence lawyers and victims) in the context of criminal proceedings.
|
(18) Reglerna i detta rambeslut avseende överföring av personuppgifter från domstolsväsendet, polisen eller tullen till privata parter tillämpas inte på utlämnandet av uppgifter till privata parter (såsom försvarsadvokater och brottsoffer) i samband med brottmål.
|
|
(19) The further processing of personal data received from, or made available by, the competent authority of another Member State, in particular the further transmission of or making available such data, should be subject to common rules at European level.
|
(19) Den vidare behandlingen av personuppgifter som erhållits från eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat, särskilt det att vidarebefordra sådana uppgifter eller göra dem tillgängliga på nytt, bör omfattas av gemensamma bestämmelser på europeisk nivå.
|
|
(20) Where personal data may be further processed after the Member State from which the data were obtained has given its consent, each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or categories of further processing.
|
(20) När personuppgifter får vidarebehandlas efter det att den medlemsstat från vilken uppgifterna erhållits har givit sitt samtycke bör varje medlemsstat ha möjlighet att fastställa de närmare villkoren för att ge sådant samtycke, inbegripet exempelvis allmänt samtycke för kategorier av information och kategorier av ytterligare behandling.
|
|
(21) Where personal data may be further processed for administrative proceedings, these proceedings also include activities by regulatory and supervisory bodies.
|
(21) När personuppgifter får vidarebehandlas för administrativa förfaranden inbegriper dessa förfaranden också åtgärder av reglerings- och tillsynsorgan.
|
|
(22) The legitimate activities of the police, customs, judicial and other competent authorities may require that data are sent to authorities in third States or international bodies that have obligations for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties.
|
(22) Polisens, tullens, domstolarnas eller andra behöriga myndigheters legitima verksamheter kan kräva att uppgifter sänds till myndigheter i tredjestater eller internationella organ som har skyldigheter i fråga om att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
|
|
(23) Where personal data are transferred from a Member State to third States or international bodies, these data should, in principle, benefit from an adequate level of protection.
|
(23) Om uppgifter överförs från en medlemsstat till tredjestater eller internationella organ ska uppgifterna i princip omfattas av ett adekvat skydd.
|
|
(24) Where personal data are transferred from a Member State to third States or international bodies, such transfer should, in principle, take place only after the Member State from which the data were obtained has given its consent to the transfer. Each Member State should be able to determine the modalities of such consent, including, for example, by means of a general consent for categories of information or for specified third States.
|
(24) Om personuppgifter överförs från en medlemsstat till tredjestater eller internationella organ bör en sådan överföring i princip ske först efter det att den medlemsstat som har lämnat uppgifterna har gett sitt samtycke till överföringen. Varje medlemsstat bör få bestämma de närmare villkoren för att ge sådant samtycke, till exempel genom ett generellt samtycke för kategorier av uppgifter eller för vissa angivna tredjestater.
|
|
(25) The interests of efficient law enforcement cooperation require that where the nature of a threat to the public security of a Member State or a third State is so immediate as to render it impossible to obtain prior consent in good time, the competent authority should be able to transfer the relevant personal data to the third State concerned without such prior consent. The same could apply where other essential interests of a Member State of equal importance are at stake, for example where the critical infrastructure of a Member State could be the subject of an immediate and serious threat or where a Member State’s financial system could be seriously disrupted.
|
(25) För ett effektivt samarbete i fråga om brottsbekämpning krävs att om ett hot mot en medlemsstats eller en tredjestats allmänna säkerhet är så överhängande att det är omöjligt att i tid inhämta ett förhandsmedgivande bör den behöriga myndigheten få överföra de relevanta personuppgifterna till den berörda tredjestaten utan sådant förhandsmedgivande. Detsamma kan gälla om andra väsentliga, lika betydelsefulla, intressen i en medlemsstat står på spel, exempelvis om en medlemsstats kritiska infrastruktur kan bli föremål för ett överhängande hot eller om en medlemsstats finansiella system kan drabbas av allvarliga störningar.
|
|
(26) It may be necessary to inform data subjects regarding the processing of their data, in particular where there has been particularly serious encroachment on their rights as a result of secret data collection measures, in order to ensure that data subjects can have effective legal protection.
|
(26) För att tillförsäkra den registrerade personen ett effektivt rättsskydd kan det bli nödvändigt att informera denne om behandlingen av dennes personuppgifter, särskilt vid synnerligen allvarlig kränkning av dennes rättigheter som ett resultat av hemlig insamling av uppgifter.
|
|
(27) Member States should ensure that the data subject is informed that the personal data could be or are being collected, processed or transmitted to another Member State for the purpose of prevention, investigation, detection, and prosecution of criminal offences or the execution of criminal penalties. The modalities of the right of the data subject to be informed and the exceptions thereto should be determined by national law. This may take a general form, for example, through the law or through the publication of a list of the processing operations.
|
(27) Medlemsstaterna bör se till att den registrerade personen informeras om att personuppgifter kan eller håller på att samlas in, behandlas eller kan överföras till en annan medlemsstat för att förebygga, utreda, avslöja och lagföra brott eller verkställa straffrättsliga påföljder. De närmare villkoren för den registrerade personens rätt att bli informerad och undantag från denna rätt bör fastställas i den nationella lagstiftningen. Detta kan genomföras på ett generellt sätt, t.ex. genom lagstiftning eller offentliggörande av en förteckning över olika typer av uppgiftsbehandling.
|
|
(28) In order to ensure the protection of personal data without jeopardising the interests of criminal investigations, it is necessary to define the rights of the data subject.
|
(28) För att kunna garantera skyddet av personuppgifter utan att äventyra ändamålet med brottsutredningar måste man fastställa den registrerades rättigheter.
|
|
(29) Some Member States have provided for the right of access of the data subject in criminal matters through a system where the national supervisory authority, in place of the data subject, has access to all the personal data related to the data subject without any restriction and may also rectify, erase or update inaccurate data. In such a case of indirect access, the national law of those Member States may provide that the national supervisory authority will inform the data subject only that all the necessary verifications have taken place. However, those Member States also provide for possibilities of direct access for the data subject in specific cases, such as access to judicial records, in order to obtain copies of own criminal records or of documents relating to own hearings by the police services.
|
(29) Några medlemsstater har gett den berörda personen rätt till tillgång till uppgifter i brottmål genom ett system där det nationella tillsynsorganet, i den berörda personens ställe, utan någon restriktion har tillgång till alla personuppgifter som rör den berörda personen och även får rätta, stryka eller uppdatera icke korrekta uppgifter. I sådana fall med indirekt tillgång får det i den nationella lagstiftningen i dessa medlemsstater föreskrivas att det nationella tillsynsorganet endast kommer att informera den berörda personen om att alla nödvändiga kontroller har utförts. Dessa medlemsstater tillhandahåller emellertid i särskilda fall även möjligheter till direkt tillgång för den berörda personen, såsom tillgång till rättsliga register för att erhålla kopior av egna kriminalregisteruppgifter eller handlingar avseende egna förhör hos polismyndigheterna.
|
|
(30) It is appropriate to establish common rules on confidentiality and security of processing, on liability and penalties for unlawful use by competent authorities and on judicial remedies available to the data subject. It is, however, for each Member State to determine the nature of its tort rules and of the penalties applicable to violations of domestic data protection provisions.
|
(30) Det bör införas gemensamma bestämmelser om konfidentiell och säker uppgiftsbehandling, om ansvar och påföljder när uppgifterna används på otillåtet sätt av de behöriga myndigheterna samt om möjligheter för den registrerade till rättslig prövning. Det ankommer dock på varje medlemsstat att själv fastställa utformningen av bestämmelserna om skadeståndsgrundande överträdelser och om vilka påföljder som ska tillämpas vid överträdelse av de nationella dataskyddsbestämmelserna.
|
|
(31) This Framework Decision allows the principle of public access to official documents to be taken into account when implementing the principles set out in this Framework Decision.
|
(31) Detta rambeslut gör att principen om allmänhetens tillgång till offentliga handlingar kan tillgodoses vid tillämpningen av principerna i detta.
|
|
(32) When necessary to protect personal data in relation to processing which by scale or by type holds specific risks for fundamental rights and freedoms, for example processing by means of new technologies, mechanisms or procedures, it is appropriate to ensure that the competent national supervisory authorities are consulted prior to the establishment of filing systems aimed at the processing of these data.
|
(32) När så behövs för att skydda personuppgifter med avseende på behandling som genom sin omfattning eller typ innebär särskilda risker för grundläggande rättigheter och friheter, till exempel behandling med ny teknik, nya mekanismer eller förfaranden, bör man säkerställa att den behöriga nationella tillsynsmyndigheten rådfrågas före upprättandet av behandlingssystem för dessa uppgifter.
|
|
(33) The establishment in Member States of supervisory authorities, exercising their functions with complete independence, is an essential component of the protection of personal data processed within the framework of police and judicial cooperation between the Member States.
|
(33) Inrättandet i medlemsstaterna av tillsynsmyndigheter, som fullständigt oberoende genomför sina åligganden, är en mycket viktig del av skyddet av personuppgifter som behandlas inom ramen för polissamarbetet och det straffrättsliga samarbetet mellan medlemsstaterna.
|
|
(34) The supervisory authorities already established in Member States under Directive 95/46/EC should also be able to assume responsibility for the tasks to be performed by the national supervisory authorities to be established under this Framework Decision.
|
(34) De tillsynsmyndigheter som redan inrättats i medlemsstaterna i enlighet med direktiv 95/46/EG bör också kunna axla ansvaret för de uppgifter som ska utföras av de nationella tillsynsmyndigheter som ska inrättas i enlighet med detta rambeslut.
|
|
(35) Such supervisory authorities should have the necessary means to perform their duties, including powers of investigation and intervention, particularly in cases of complaints from individuals, or powers to engage in legal proceedings. These supervisory authorities should help to ensure transparency of processing in the Member States within whose jurisdiction they fall. However, their powers should not interfere with specific rules set out for criminal proceedings or the independence of the judiciary.
|
(35) Dessa tillsynsmyndigheter bör ha nödvändiga resurser för att kunna genomföra sina uppgifter, inklusive befogenhet att – särskilt när det gäller klagomål från enskilda personer – undersöka och ingripa eller befogenhet att inleda rättsliga förfaranden. Dessa tillsynsmyndigheter bör även bidra till att sörja för insyn i behandlingen av uppgifter i sina respektive medlemsstater. Emellertid bör deras befogenheter inte inkräkta på särskilda regler som fastställts för brottmål eller domstolsväsendets oberoende.
|
|
(36) Article 47 of the Treaty on European Union stipulates that nothing in it is to affect the Treaties establishing the European Communities or the subsequent Treaties and Acts modifying or supplementing them. Accordingly, this Framework Decision does not affect the protection of personal data under Community law, in particular as provided for in Directive 95/46/EC, in Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data [4] and in Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) [5].
|
(36) I artikel 47 i fördraget om Europeiska unionen föreskrivs det att ingenting i det fördraget ska inverka på fördragen om upprättandet av Europeiska gemenskaperna eller på senare fördrag och rättsakter om ändring eller komplettering av dessa. Följaktligen påverkar detta rambeslut inte skyddet av personuppgifter enligt gemenskapsrätten, särskilt inte det skydd som föreskrivs i direktiv 95/46/EG, Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter [4] och Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) [5].
|
|
(37) This Framework Decision is without prejudice to the rules pertaining to illicit access to data laid down in Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems [6].
|
(37) Detta rambeslut påverkar inte bestämmelserna om sådan olaglig tillgång till uppgifter som avses i rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem [6].
|
|
(38) This Framework Decision is without prejudice to existing obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States. Future agreements should comply with the rules on exchanges with third States.
|
(38) Detta rambeslut påverkar inte medlemsstaternas eller unionens gällande skyldigheter och åtaganden enligt bilaterala och/eller multilaterala avtal med tredjestater. Framtida avtal bör följa bestämmelserna om utbyte med tredjestater.
|
|
(39) Several acts, adopted on the basis of Title VI of the Treaty on European Union, contain specific provisions on the protection of personal data exchanged or otherwise processed pursuant to those acts. In some cases these provisions constitute a complete and coherent set of rules covering all relevant aspects of data protection (principles of data quality, rules on data security, regulation of the rights and safeguards of data subjects, organisation of supervision and liability) and they regulate these matters in more detail than this Framework Decision. The relevant set of data protection provisions of those acts, in particular those governing the functioning of Europol, Eurojust, the Schengen Information System (SIS) and the Customs Information System (CIS), as well as those introducing direct access for the authorities of Member States to certain data systems of other Member States, should not be affected by this Framework Decision. The same applies in respect of the data protection provisions governing the automated transfer between Member States of DNA profiles, dactyloscopic data and national vehicle registration data pursuant to the Council Decision 2008/615/JHA of 23 June 2008 on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime [7].
|
(39) Flera rättsakter som antagits på grundval av avdelning VI i fördraget om Europeiska unionen innehåller särskilda bestämmelser om skydd av personuppgifter som överförs eller på något annat sätt behandlas i enlighet med de rättsakterna. I några fall utgör dessa bestämmelser en komplett och enhetlig uppsättning regler som omfattar alla relevanta aspekter av dataskydd (principer om uppgifternas kvalitet, regler om datasäkerhet, reglering av de registrerades rättigheter och skydd, organisation av tillsyn och ansvar) och i dessa regleras frågor mer detaljerat än i detta rambeslut. De tillämpliga dataskyddsbestämmelserna i dessa rättsakter, särskilt de som reglerar funktionssättet för Europol, Eurojust, Schengens informationssystem (SIS) och tullinformationssystemet (TIS) samt de rättsakter genom vilka medlemsstaternas myndigheter ges direkt tillgång till vissa datasystem i andra medlemsstater, bör inte påverkas av detta rambeslut. Detsamma gäller de dataskyddsbestämmelser som reglerar automatisk överföring av DNA-profiler, fingeravtrycksuppgifter och uppgifter ur nationella fordonsregister i enlighet med rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet [7].
|
|
(40) In other cases the provisions on data protection in acts, adopted on the basis of Title VI of the Treaty on European Union, are more limited in scope. They often set specific conditions for the Member State receiving information containing personal data from other Member States as to the purposes for which it can use those data, but refer for other aspects of data protection to the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data of 28 January 1981 or to national law. To the extent that the provisions of those acts imposing conditions on receiving Member States as to the use or further transfer of personal data are more restrictive than those contained in the corresponding provisions of this Framework Decision, the former provisions should remain unaffected. However, for all other aspects the rules set out in this Framework Decision should be applied.
|
(40) I andra fall är räckvidden för dataskyddsbestämmelser i rättsakter som antagits i enlighet med avdelning VI i fördraget om Europeiska unionen mer begränsade. Ofta fastställs det i dessa rättsakter särskilda villkor för den medlemsstat som från en annan medlemsstat tar emot information innehållande personuppgifter i fråga om de ändamål för vilka mottagaren kan använda uppgifterna, medan det i fråga om övriga dataskyddsaspekter hänvisas till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter av den 28 januari 1981 eller till nationell lagstiftning. I den mån det i bestämmelserna i dessa rättsakter fastställs villkor för mottagande medlemsstater för användning eller vidare överföring av personuppgifter vilka är strängare än villkoren i motsvarande bestämmelser i detta rambeslut, ska dessa förstnämnda inte heller påverkas. I alla övriga avseenden ska de regler som fastställs i detta rambeslut gälla.
|
|
(41) This Framework Decision does not affect the Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, the Additional Protocol to that Convention of 8 November 2001 or the Council of Europe conventions on judicial cooperation in criminal matters.
|
(41) Detta rambeslut påverkar inte Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter eller tilläggsprotokollet av den 8 november 2001 till denna konvention eller Europarådets konventioner om straffrättsligt samarbete.
|
|
(42) Since the objective of this Framework Decision, namely the determination of common rules for the protection of personal data processed in the framework of police and judicial cooperation in criminal matters, cannot be sufficiently achieved by the Member States, and can therefore, by reason of the scale and effects of the action, be better achieved at the Union level, the Union may adopt measures in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty establishing the European Community and referred to in Article 2 of the Treaty on European Union. In accordance with the principle of proportionality as set out in Article 5 of the Treaty establishing the European Community, this Framework Decision does not go beyond what is necessary to achieve that objective.
|
(42) Eftersom målet för detta rambeslut, nämligen att fastställa gemensamma bestämmelser om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och det därför, på grund av åtgärdens omfattning och verkningar, bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om upprättandet av Europeiska gemenskapen, till vilken det hänvisas i artikel 2 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i artikel 5 i fördraget om upprättandet av Europeiska gemenskapen går detta rambeslut inte utöver vad som är nödvändigt för att uppnå detta mål.
|
|
(43) The United Kingdom is taking part in this Framework Decision, in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 8(2) of Council Decision 2000/365/EC of 29 May 2000 concerning the request of the United Kingdom of Great Britain and Northern Ireland to take part in some of the provisions of the Schengen acquis [8].
|
(43) Förenade kungariket deltar i detta rambeslut i enlighet med artikel 5 i protokollet om införlivande av Schengenregelverket inom Europeiska unionens ramar, fogat till fördraget om Europeiska unionen och fördraget om upprättandet av Europeiska gemenskapen, och i enlighet med artikel 8.2 i rådets beslut 2000/365/EG av den 29 maj 2000 om en begäran från Förenade konungariket Storbritannien och Nordirland om att få delta i vissa bestämmelser i Schengenregelverket [8].
|
|
(44) Ireland is taking part in this Framework Decision in accordance with Article 5 of the Protocol integrating the Schengen acquis into the framework of the European Union annexed to the Treaty on European Union and to the Treaty establishing the European Community, and Article 6(2) of Council Decision 2002/192/EC of 28 February 2002 concerning Ireland’s request to take part in some of the provisions of the Schengen acquis [9].
|
(44) Irland deltar i detta rambeslut i enlighet med artikel 5 i protokollet om införlivande av Schengenregelverket inom Europeiska unionens ramar, fogat till fördraget om Europeiska unionen och fördraget om upprättandet av Europeiska gemenskapen, och i enlighet med artikel 6.2 i rådets beslut 2002/192/EG av den 28 februari 2002 om Irlands begäran om att få delta i vissa bestämmelser i Schengenregelverket [9].
|
|
(45) As regards Iceland and Norway, this Framework Decision constitutes a development of provisions of the Schengen acquis within the meaning of the Agreement concluded by the Council of the European Union and the Republic of Iceland and the Kingdom of Norway concerning the latter’s association with the implementation, application and development of the Schengen acquis [10], which fall within the area referred to in Article 1, points H and I of Council Decision 1999/437/EC [11] on certain arrangements for the application of that Agreement.
|
(45) När det gäller Island och Norge utgör detta rambeslut, i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket [10], en utveckling av bestämmelser i Schengenregelverket vilka rör det område som avses i artikel 1.H och 1.I i rådets beslut 1999/437/EG [11] om vissa tillämpningsföreskrifter för det avtalet.
|
|
(46) As regards Switzerland, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis [12], which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/149/JHA [13] on the conclusion of that Agreement on behalf of the European Union.
|
(46) När det gäller Schweiz utgör detta rambeslut, i enlighet med avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket [12], en utveckling av de bestämmelser i Schengenregelverket vilka rör det område som avses i artikel 1.H och 1.I i beslut 1999/437/EG, jämförd med artikel 3 i rådets beslut 2008/149/RIF [13], om ingående av det avtalet på Europeiska unionens vägnar.
|
|
(47) As regards Liechtenstein, this Framework Decision constitutes a development of the provisions of the Schengen acquis within the meaning of the Protocol signed between the European Union, the European Community, the Swiss Confederation and the Principality of Liechtenstein on the accession of the Principality of Liechtenstein to the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis, which fall within the area referred to in Article 1, point H and I of Decision 1999/437/EC read in conjunction with Article 3 of Council Decision 2008/262/JHA [14] on the signature of that Protocol on behalf of the European Union.
|
(47) När det gäller Liechtenstein utgör detta rambeslut, i enlighet med protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelser i Schengenregelverket vilka omfattas av det område som avses i artikel 1.H och 1.I i beslut 1999/437/EG, jämförd med artikel 3 i rådets beslut 2008/262/RIF [14], om undertecknande av det protokollet på Europeiska unionens vägnar.
|
|
(48) This Framework Decision respects the fundamental rights and observes the principles recognised in particular by the Charter of Fundamental Rights of the European Union [15]. This Framework Decision seeks to ensure full respect for the rights to privacy and the protection of personal data reflected in Articles 7 and 8 of the Charter,
|
(48) Detta rambeslut står i överensstämmelse med de grundläggande rättigheter och principer som erkänns framför allt i Europeiska unionens stadga om de grundläggande rättigheterna [15]. Detta rambeslut syftar till att garantera full respekt för rätten till det skydd för privatlivet och det skydd av personuppgifter som kommer till uttryck i artiklarna 7 och 8 i stadgan.
|
|
HAS ADOPTED THIS FRAMEWORK DECISION:
|
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
|
|
Article 1
|
Artikel 1
|
|
Purpose and scope
|
Syfte och tillämpningsområde
|
|
1. The purpose of this Framework Decision is to ensure a high level of protection of the fundamental rights and freedoms of natural persons, and in particular their right to privacy, with respect to the processing of personal data in the framework of police and judicial cooperation in criminal matters, provided for by Title VI of the Treaty on European Union, while guaranteeing a high level of public safety.
|
1. Syftet med detta rambeslut är att säkerställa en hög skyddsnivå för fysiska personers grundläggande fri- och rättigheter, särskilt när det gäller deras rätt till privatliv, med avseende på behandling av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete enligt avdelning VI i fördraget om Europeiska unionen och samtidigt garantera en allmän säkerhet på hög nivå.
|
|
2. In accordance with this Framework Decision, Member States shall protect the fundamental rights and freedoms of natural persons, and in particular their right to privacy when, for the purpose of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, personal data:
|
2. I enlighet med detta rambeslut ska medlemsstaterna skydda fysiska personers grundläggande fri- och rättigheter, och särskilt deras rätt till privatliv, när personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder
|
|
(a) are or have been transmitted or made available between Member States;
|
a) överförs, har överförts, görs eller har gjorts tillgängliga mellan medlemsstaterna,
|
|
(b) are or have been transmitted or made available by Member States to authorities or to information systems established on the basis of Title VI of the Treaty on European Union; or
|
b) överförs, har överförts, görs eller har gjorts tillgängliga av medlemsstaterna till myndigheter eller informationssystem som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen, eller
|
|
(c) are or have been transmitted or made available to the competent authorities of the Member States by authorities or information systems established on the basis of the Treaty on European Union or the Treaty establishing the European Community.
|
c) överförs, har överförts, görs eller har gjorts tillgängliga för medlemsstaternas behöriga myndigheter av myndigheter eller informationssystem som inrättats i enlighet med fördraget om Europeiska unionen eller fördraget om upprättandet av Europeiska gemenskapen.
|
|
3. This Framework Decision shall apply to the processing of personal data wholly or partly by automatic means, and to the processing otherwise than by automatic means, of personal data which form part of a filing system or are intended to form part of a filing system.
|
3. Detta rambeslut gäller för sådan behandling av personuppgifter som helt eller delvis utförs automatiskt samt för annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register.
|
|
4. This Framework Decision is without prejudice to essential national security interests and specific intelligence activities in the field of national security.
|
4. Detta rambeslut påverkar inte viktiga nationella säkerhetsintressen och särskild underrättelseverksamhet inom området nationell säkerhet.
|
|
5. This Framework Decision shall not preclude Member States from providing, for the protection of personal data collected or processed at national level, higher safeguards than those established in this Framework Decision.
|
5. Detta rambeslut hindrar inte medlemsstaterna från att föreskriva strängare säkerhetsåtgärder för skydd av personuppgifter som samlas in eller behandlas på nationell nivå än de som fastställs i detta rambeslut.
|
|
Article 2
|
Artikel 2
|
|
Definitions
|
Definitioner
|
|
For the purposes of this Framework Decision:
|
I detta rambeslut gäller följande definitioner:
|
|
(a) "personal data" mean any information relating to an identified or identifiable natural person ("data subject"); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity;
|
a) personuppgifter : varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifieringsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.
|
|
(b) "processing of personal data" and "processing" mean any operation or set of operations which is performed upon personal data, whether or not by automatic means, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, blocking, erasure or destruction;
|
b) behandling av personuppgifter och behandling : varje åtgärd eller serie av åtgärder som vidtas med personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, hämtning, läsning, användning, utlämnande genom överföring, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, radering eller förstöring.
|
|
(c) "blocking" means the marking of stored personal data with the aim of limiting their processing in future;
|
c) blockering : markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.
|
|
(d) "personal data filing system" and "filing system" mean any structured set of personal data which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis;
|
d) register med personuppgifter och register : varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.
|
|
(e) "processor" means any body which processes personal data on behalf of the controller;
|
e) registerförare : varje organ som behandlar personuppgifter för den registeransvariges räkning.
|
|
(f) "recipient" means any body to which data are disclosed;
|
f) mottagare : varje organ till vilken uppgifterna utlämnas.
|
|
(g) "the data subject’s consent" means any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed;
|
g) den registrerades samtycke : varje slag av frivillig, uttrycklig och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom.
|
|
(h) "competent authorities" mean agencies or bodies established by legal acts adopted by the Council pursuant to Title VI of the Treaty on European Union, as well as police, customs, judicial and other competent authorities of the Member States that are authorised by national law to process personal data within the scope of this Framework Decision;
|
h) behöriga myndigheter : byråer eller organ som inrättats genom rättsakter antagna av rådet enligt avdelning VI i fördraget om Europeiska unionen, samt polismyndigheter, tullmyndigheter, domstolar eller andra behöriga myndigheter i medlemsstaterna som genom nationell lagstiftning är bemyndigade att behandla personuppgifter inom tillämpningsområdet för detta rambeslut.
|
|
(i) "controller" means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes and means of the processing of personal data;
|
i) registeransvarig : en fysisk eller en juridisk person, en myndighet, en byrå eller varje annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.
|
|
(j) "referencing" means the marking of stored personal data without the aim of limiting their processing in future;
|
j) markering : markering av lagrade personuppgifter utan syfte att begränsa behandlingen av dessa i framtiden.
|
|
(k) "to make anonymous" means to modify personal data in such a way that details of personal or material circumstances can no longer or only with disproportionate investment of time, cost and labour be attributed to an identified or identifiable natural person.
|
k) avidentifiering : att ändra personuppgifter på ett sådant sätt att detaljerna beträffande personliga eller sakliga förhållanden inte längre eller endast med oproportionerligt stor insats i fråga om tid, kostnader och arbete kan tillskrivas en identifierad eller identifierbar fysisk person.
|
|
Article 3
|
Artikel 3
|
|
Principles of lawfulness, proportionality and purpose
|
Principerna om lagenlighet, proportionalitet och ändamål
|
|
1. Personal data may be collected by the competent authorities only for specified, explicit and legitimate purposes in the framework of their tasks and may be processed only for the same purpose for which data were collected. Processing of the data shall be lawful and adequate, relevant and not excessive in relation to the purposes for which they are collected.
|
1. De behöriga myndigheterna får inom ramen för sina uppgifter samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får endast behandlas för det ändamål som låg till grund för insamlingen av dem. Behandlingen av uppgifterna ska vara lagenlig och adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket de samlades in.
|
|
2. Further processing for another purpose shall be permitted in so far as:
|
2. Vidare behandling för ett annat ändamål är tillåten om
|
|
(a) it is not incompatible with the purposes for which the data were collected;
|
a) denna vidare behandling inte är oförenlig med de ändamål för vilket uppgifterna samlades in,
|
|
(b) the competent authorities are authorised to process such data for such other purpose in accordance with the applicable legal provisions; and
|
b) de behöriga myndigheterna i enlighet med tillämpliga rättsliga bestämmelser är bemyndigade att behandla sådana uppgifter för ett sådant annat ändamål, och
|
|
(c) processing is necessary and proportionate to that other purpose.
|
c) denna behandling är nödvändig och står i proportion till det andra ändamålet.
|
|
The competent authorities may also further process the transmitted personal data for historical, statistical or scientific purposes, provided that Member States provide appropriate safeguards, such as making the data anonymous.
|
Dessutom får de överförda personuppgifterna behandlas vidare av den behöriga myndigheten för historiska, statistiska eller vetenskapliga ändamål, under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, som avidentifiering av uppgifterna.
|
|
Article 4
|
Artikel 4
|
|
Rectification, erasure and blocking
|
Rättelse, radering och blockering
|
|
1. Personal data shall be rectified if inaccurate and, where this is possible and necessary, completed or updated.
|
1. Personuppgifter ska rättas om de är felaktiga samt, om så är möjligt och nödvändigt, kompletteras eller aktualiseras.
|
|
2. Personal data shall be erased or made anonymous when they are no longer required for the purposes for which they were lawfully collected or are lawfully further processed. Archiving of those data in a separate data set for an appropriate period in accordance with national law shall not be affected by this provision.
|
2. Personuppgifter ska raderas eller avidentifieras när dessa inte längre behövs för de ändamål för vilka de lagligen insamlades eller lagligen vidare bearbetas. Arkivering av de uppgifter som införts i ett separat dataset under en lämplig period i överensstämmelse med national lagstiftning ska inte påverkas av denna bestämmelse.
|
|
3. Personal data shall be blocked instead of erased if there are reasonable grounds to believe that erasure could affect the legitimate interests of the data subject. Blocked data shall be processed only for the purpose which prevented their erasure.
|
3. Personuppgifter ska inte raderas utan blockeras, om det finns skälig grund att anta att en radering skulle kunna påverka den registrerades legitima intressen. Blockerade uppgifter får endast behandlas för det ändamål som hindrade att de raderades.
|
|
4. When the personal data are contained in a judicial decision or record related to the issuance of a judicial decision, the rectification, erasure or blocking shall be carried out in accordance with national rules on judicial proceedings.
|
4. Om personuppgifterna ingår i ett domstolsbeslut eller akten i samband med utfärdandet av ett rättsligt beslut ska rättelse, radering eller blockering utföras i enlighet med nationella bestämmelser om rättsliga förfaranden.
|
|
Article 5
|
Artikel 5
|
|
Establishment of time limits for erasure and review
|
Fastställande av tidsfrister för radering och kontroll
|
|
Appropriate time limits shall be established for the erasure of personal data or for a periodic review of the need for the storage of the data. Procedural measures shall ensure that these time limits are observed.
|
För radering av personuppgifter eller en regelbunden kontroll av nödvändigheten av lagringen av uppgifterna ska lämpliga tidsfrister fastställas. Genom föreskrifter om förfarandena ska det garanteras att tidsfristerna efterlevs.
|
|
Article 6
|
Artikel 6
|
|
Processing of special categories of data
|
Behandling av särskilda kategorier av uppgifter
|
|
The processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs or trade-union membership and the processing of data concerning health or sex life shall be permitted only when this is strictly necessary and when the national law provides adequate safeguards.
|
Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv får endast förekomma när detta är absolut nödvändigt och om det i den nationella lagstiftningen tillhandahålls tillräckliga skyddsåtgärder.
|
|
Article 7
|
Artikel 7
|
|
Automated individual decisions
|
Datoriserade beslut
|
|
A decision which produces an adverse legal effect for the data subject or significantly affects him and which is based solely on automated processing of data intended to evaluate certain personal aspects relating to the data subject shall be permitted only if authorised by a law which also lays down measures to safeguard the data subject’s legitimate interests.
|
Ett beslut som har negativa rättsliga följder för den registrerade eller som väsentligt berör honom eller henne och som enbart grundas på en automatisk behandling av uppgifter avsedd att bedöma vissa personliga egenskaper hos den registrerade ska endast vara tillåtet om detta föreskrivs i en lag där det även föreskrivs bestämmelser till skydd för den registrerades legitima intressen.
|
|
Article 8
|
Artikel 8
|
|
Verification of quality of data that are transmitted or made available
|
Kontroll av kvaliteten på de uppgifter som överförs eller görs tillgängliga
|
|
1. The competent authorities shall take all reasonable steps to provide that personal data which are inaccurate, incomplete or no longer up to date are not transmitted or made available. To that end, the competent authorities shall, as far as practicable, verify the quality of personal data before they are transmitted or made available. As far as possible, in all transmissions of data, available information shall be added which enables the receiving Member State to assess the degree of accuracy, completeness, up-to-dateness and reliability. If personal data were transmitted without request the receiving authority shall verify without delay whether these data are necessary for the purpose for which they were transmitted.
|
1. De behöriga myndigheterna ska vidta alla rimliga åtgärder för att se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. De behöriga myndigheterna ska därför i görligaste mån kontrollera kvaliteten på personuppgifterna innan dessa överförs eller görs tillgängliga. Vid all överföring av uppgifter ska, så långt detta är möjligt, sådan tillgänglig information läggas till som gör att den mottagande medlemsstaten kan bedöma graden av korrekthet, fullständighet, aktualitet och tillförlitlighet. Om personuppgifter överförs utan att någon begäran har gjorts ska den mottagande myndigheten utan dröjsmål bedöma huruvida dessa uppgifter är nödvändiga för det ändamål som låg till grund för överföringen.
|
|
2. If it emerges that incorrect data have been transmitted or data have been unlawfully transmitted, the recipient must be notified without delay. The data must be rectified, erased, or blocked without delay in accordance with Article 4.
|
2. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter olovligen har överförts ska mottagaren omedelbart underrättas om detta. Uppgifterna måste ofördröjligen rättas, raderas eller blockeras i enlighet med artikel 4.
|
|
Article 9
|
Artikel 9
|
|
Time limits
|
Tidsfrister
|
|
1. Upon transmission or making available of the data, the transmitting authority may in line with the national law and in accordance with Articles 4 and 5, indicate the time limits for the retention of data, upon the expiry of which the recipient must erase or block the data or review whether or not they are still needed. This obligation shall not apply if, at the time of the expiry of these time limits, the data are required for a current investigation, prosecution of criminal offences or enforcement of criminal penalties.
|
1. När den överförande myndigheten överför uppgifter eller gör dessa tillgängliga, får den enligt nationell lagstiftning och i enlighet med artiklarna 4 och 5 meddela de tidsfrister för lagring av uppgifterna efter vilka mottagaren ska radera eller blockera uppgifterna eller kontrollera om dessa fortfarande behövs. Denna skyldighet ska inte tillämpas, om dessa uppgifter vid utgången av tidsfristerna krävs för en pågående utredning, lagföring av brott eller verkställighet av straffrättsliga påföljder.
|
|
2. Where the transmitting authority has not indicated a time limit in accordance with paragraph 1, the time limits referred to in Articles 4 and 5 for the retention of data provided for under the national law of the receiving Member State shall apply.
|
2. Om den överförande myndigheten inte har angivit en tidsfrist enligt punkt 1 ska de tidsfrister som avses i artiklarna 4 och 5 för lagring av uppgifterna enligt de mottagande medlemsstaternas nationella lagstiftning tillämpas.
|
|
Article 10
|
Artikel 10
|
|
Logging and documentation
|
Registrering och dokumentation
|
|
1. All transmissions of personal data are to be logged or documented for the purposes of verification of the lawfulness of the data processing, self-monitoring and ensuring proper data integrity and security.
|
1. Varje överföring av personuppgifter ska registreras eller dokumenteras för att man ska kunna kontrollera om behandlingen av uppgifterna är lagenlig, utföra egenkontroll samt garantera integritet och säkerhet för uppgifterna.
|
|
2. Logs or documentation prepared under paragraph 1 shall be communicated on request to the competent supervisory authority for the control of data protection. The competent supervisory authority shall use this information only for the control of data protection and for ensuring proper data processing as well as data integrity and security.
|
2. Registrering och dokumentation enligt punkt 1 ska på begäran översändas till den för skydd av uppgifter behöriga tillsynsmyndigheten. Den behöriga tillsynsmyndigheten får använda dessa uppgifter endast för att kontrollera skyddet av personuppgifter, för att se till att behandlingen fungerar tillfredsställande och för att sörja för uppgifternas integritet och säker uppgiftsbehandling.
|
|
Article 11
|
Artikel 11
|
|
Processing of personal data received from or made available by another Member State
|
Behandling av personuppgifter som överförts från eller gjorts tillgängliga av en annan medlemsstat
|
|
Personal data received from or made available by the competent authority of another Member State may, in accordance with the requirements of Article 3(2), be further processed only for the following purposes other than those for which they were transmitted or made available:
|
Personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får, i enlighet med kraven i artikel 3.2, endast vidarebehandlas för följande ändamål, utöver dem för vilka de överfördes eller gjordes tillgängliga:
|
|
(a) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties other than those for which they were transmitted or made available;
|
a) För att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än de för vilka uppgifterna överfördes eller gjordes tillgängliga.
|
|
(b) other judicial and administrative proceedings directly related to the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
b) För andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder.
|
|
(c) the prevention of an immediate and serious threat to public security; or
|
c) För att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten.
|
|
(d) any other purpose only with the prior consent of the transmitting Member State or with the consent of the data subject, given in accordance with national law.
|
d) För varje annat syfte endast med förhandsmedgivande från den överförande medlemsstaten eller med den registrerades samtycke givet i överensstämmelse med nationell lagstiftning.
|
|
The competent authorities may also further process the transmitted personal data for historical, statistical or scientific purposes, provided that Member States provide appropriate safeguards, such as, for example, making the data anonymous.
|
Dessutom får de överförda personuppgifterna behandlas vidare av de behöriga myndigheterna för historiska, statistiska eller vetenskapliga ändamål under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder som exempelvis avidentifiering av uppgifterna.
|
|
Article 12
|
Artikel 12
|
|
Compliance with national processing restrictions
|
Iakttagande av nationella restriktioner för behandling av uppgifter
|
|
1. Where, under the law of the transmitting Member State, specific processing restrictions apply in specific circumstances to data exchanges between competent authorities within that Member State, the transmitting authority shall inform the recipient of such restrictions. The recipient shall ensure that these processing restrictions are met.
|
1. Om det, enligt den överförande medlemsstatens nationella lagstiftning, under särskilda omständigheter gäller särskilda begränsningar i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. Mottagaren ska se till att dessa begränsningar för behandlingen följs.
|
|
2. When applying paragraph 1, Member States shall not apply restrictions regarding data transmissions to other Member States or to agencies or bodies established pursuant to Title VI of the Treaty on European Union other than those applicable to similar national data transmissions.
|
2. Vid tillämpning av punkt 1 ska medlemsstaterna inte tillämpa några andra begränsningar när det gäller överföringen av uppgifter till andra medlemsstater eller till byråer eller organ som inrättats i enlighet med avdelning VI i fördraget om Europeiska unionen än de som gäller motsvarande nationella överföringar av uppgifter.
|
|
Article 13
|
Artikel 13
|
|
Transfer to competent authorities in third States or to international bodies
|
Överföring till behöriga myndigheter i tredjestater eller till internationella organ
|
|
1. Member States shall provide that personal data transmitted or made available by the competent authority of another Member State may be transferred to third States or international bodies, only if:
|
1. Medlemsstaterna ska föreskriva att personuppgifter som överförts eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat får överföras till tredjestater eller internationella organ endast om
|
|
(a) it is necessary for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
a) detta är nödvändigt för förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder,
|
|
(b) the receiving authority in the third State or receiving international body is responsible for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
b) den mottagande myndigheten i tredjestaten eller det mottagande internationella organet har ansvar för förebyggande, utredning, avslöjande eller lagföring av brott eller för verkställigheten av straffrättsliga påföljder,
|
|
(c) the Member State from which the data were obtained has given its consent to transfer in compliance with its national law; and
|
c) den medlemsstat från vilken uppgifterna erhölls har gett sitt samtycke till överföringen i enlighet med sin nationella lagstiftning, och om
|
|
(d) the third State or international body concerned ensures an adequate level of protection for the intended data processing.
|
d) berörd tredjestat eller internationellt organ sörjer för en adekvat skyddsnivå för den avsedda databehandlingen.
|
|
2. Transfer without prior consent in accordance with paragraph 1(c) shall be permitted only if transfer of the data is essential for the prevention of an immediate and serious threat to public security of a Member State or a third State or to essential interests of a Member State and the prior consent cannot be obtained in good time. The authority responsible for giving consent shall be informed without delay.
|
2. Överföring utan förhandsmedgivande enligt punkt 1 c ska tillåtas endast om överföringen av uppgifter är absolut nödvändig för att kunna avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller en tredjestat eller för en medlemsstat väsentliga intressen och ett förhandsmedgivande inte kan erhållas i tid. Den myndighet som ansvarar för att bevilja medgivandet ska informeras utan dröjsmål.
|
|
3. By way of derogation from paragraph 1(d), personal data may be transferred if:
|
3. Med avvikelse från punkt 1 d får personuppgifter överföras om
|
|
(a) the national law of the Member State transferring the data so provides because of:
|
a) den nationella lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta på grund av
|
|
(i) legitimate specific interests of the data subject; or
|
i) den registrerades legitima specifika intressen, eller
|
|
(ii) legitimate prevailing interests, especially important public interests; or
|
ii) legitima faktiska intressen, främst viktiga allmänna intressen, eller
|
|
(b) the third State or receiving international body provides safeguards which are deemed adequate by the Member State concerned according to its national law.
|
b) tredjestaten eller mottagande internationella organ sörjer för skyddsåtgärder som av den berörda medlemsstaten bedöms som adekvata i enlighet med dennas nationella lagstiftning.
|
|
4. The adequacy of the level of protection referred to in paragraph 1(d) shall be assessed in the light of all the circumstances surrounding a data transfer operation or a set of data transfer operations. Particular consideration shall be given to the nature of the data, the purpose and duration of the proposed processing operation or operations, the State of origin and the State or international body of final destination of the data, the rules of law, both general and sectoral, in force in the third State or international body in question and the professional rules and security measures which apply.
|
4. Bedömningen av om den skyddsnivå som avses i punkt 1 d är adekvat ska ske på grundval av alla de förhållanden som har samband med en eller flera överföringar av personuppgifter. Särskild hänsyn ska tas till uppgifternas art, den föreslagna behandlingens eller behandlingarnas ändamål och varaktighet, ursprungsstaten och den stat eller internationella organ som utgör slutdestination för uppgifterna, den lagstiftning, både allmän och sektoriell, som gäller i den berörda tredjestaten eller för det berörda internationella organet samt de yrkesregler och säkerhetsbestämmelser som ska tillämpas.
|
|
Article 14
|
Artikel 14
|
|
Transmission to private parties in Member States
|
Överföring till privata parter i medlemsstaterna
|
|
1. Member States shall provide that personal data received from or made available by the competent authority of another Member State may be transmitted to private parties only if:
|
1. Medlemsstaterna ska föreskriva att personuppgifter som överförts från eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat endast får överföras till privata parter om
|
|
(a) the competent authority of the Member State from which the data were obtained has consented to transmission in compliance with its national law;
|
a) den behöriga myndigheten i den medlemsstat från vilken uppgifterna erhållits har samtyckt till överföring i enlighet med sin nationella lagstiftning,
|
|
(b) no legitimate specific interests of the data subject prevent transmission; and
|
b) inga legitima specifika intressen för den registrerade personen hindrar överföringen, och om
|
|
(c) in particular cases transfer is essential for the competent authority transmitting the data to a private party for:
|
c) överföringen i särskilda fall är absolut nödvändig för att den behöriga myndighet som överför uppgifterna till en privat part ska kunna
|
|
(i) the performance of a task lawfully assigned to it;
|
i) utföra en uppgift den lagenligen tilldelats,
|
|
(ii) the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties;
|
ii) förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,
|
|
(iii) the prevention of an immediate and serious threat to public security; or
|
iii) avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller
|
|
(iv) the prevention of serious harm to the rights of individuals.
|
iv) förhindra att enskilda personers rättigheter lider allvarlig skada.
|
|
2. The competent authority transmitting the data to a private party shall inform the latter of the purposes for which the data may exclusively be used.
|
2. Den behöriga myndighet som överför uppgifterna till en privat part ska underrätta denna om för vilka ändamål uppgifterna uteslutande får användas.
|
|
Article 15
|
Artikel 15
|
|
Information on request of the competent authority
|
Information på begäran av den behöriga myndigheten
|
|
The recipient shall, on request, inform the competent authority which transmitted or made available the personal data about their processing.
|
Mottagaren ska på begäran informera den behöriga myndighet som har överfört uppgifter eller gjort dem tillgängliga om hur dessa behandlas.
|
|
Article 16
|
Artikel 16
|
|
Information for the data subject
|
Information till den registrerade
|
|
1. Member States shall ensure that the data subject is informed regarding the collection or processing of personal data by their competent authorities, in accordance with national law.
|
1. Medlemsstaterna ska se till att den registrerade informeras om insamling eller behandling av personuppgifter av deras behöriga myndigheter i enlighet med nationell lagstiftning.
|
|
2. When personal data have been transmitted or made available between Member States, each Member State may, in accordance with the provisions of its national law referred to in paragraph 1, ask that the other Member State does not inform the data subject. In such case the latter Member State shall not inform the data subject without the prior consent of the other Member State.
|
2. Om personuppgifter har överförts eller gjorts tillgängliga mellan medlemsstaterna, får varje medlemsstat i enlighet med bestämmelserna i sin nationella lagstiftning enligt punkt 1, begära att den andra medlemsstaten inte informerar den registrerade. I sådana fall ska den senare medlemsstaten inte informera den registrerade utan förhandsmedgivande från den andra medlemsstaten.
|
|
Article 17
|
Artikel 17
|
|
Right of access
|
Rätt till tillgång
|
|
1. Every data subject shall have the right to obtain, following requests made at reasonable intervals, without constraint and without excessive delay or expense:
|
1. Varje registrerad ska ha rätt att på begäran, med rimliga intervall, utan hinder och utan större tidsutdräkt eller kostnader erhålla
|
|
(a) at least a confirmation from the controller or from the national supervisory authority as to whether or not data relating to him have been transmitted or made available and information on the recipients or categories of recipients to whom the data have been disclosed and communication of the data undergoing processing; or
|
a) åtminstone en bekräftelse från den registeransvarige eller från den behöriga nationella tillsynsmyndigheten på huruvida uppgifter som rör honom eller henne har överförts eller gjorts tillgängliga samt information om till vilka mottagare eller mottagarkategorier uppgifterna har lämnats ut och information om vilka uppgifter som behandlas, eller
|
|
(b) at least a confirmation from the national supervisory authority that all necessary verifications have taken place.
|
b) åtminstone en bekräftelse från den behöriga nationella tillsynsmyndigheten på att alla nödvändiga kontroller har utförts.
|
|
2. The Member States may adopt legislative measures restricting access to information pursuant to paragraph 1(a), where such a restriction, with due regard for the legitimate interests of the person concerned, constitutes a necessary and proportional measure:
|
2. Medlemsstaterna får anta lagstiftning som begränsar tillgången till information enligt punkt 1 a, om denna begränsning med vederbörligt beaktande av vederbörandes legitima intressen är en nödvändig och rimlig åtgärd för att
|
|
(a) to avoid obstructing official or legal inquiries, investigations or procedures;
|
a) hindra obstruktion mot officiella eller rättsliga utredningar, förundersökningar eller förfaranden,
|
|
(b) to avoid prejudicing the prevention, detection, investigation and prosecution of criminal offences or for the execution of criminal penalties;
|
b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,
|
|
(c) to protect public security;
|
c) skydda allmän säkerhet,
|
|
(d) to protect national security;
|
d) skydda nationell säkerhet,
|
|
(e) to protect the data subject or the rights and freedoms of others.
|
e) skydda den registrerade eller andra personers fri- och rättigheter.
|
|
3. Any refusal or restriction of access shall be set out in writing to the data subject. At the same time, the factual or legal reasons on which the decision is based shall also be communicated to him. The latter communication may be omitted where a reason under paragraph 2(a) to (e) exists. In all of these cases the data subject shall be advised that he may appeal to the competent national supervisory authority, a judicial authority or to a court.
|
3. Varje vägran till tillgång eller begränsning av denna ska skriftligen meddelas den registrerade. De sakliga och rättsliga skäl som beslutet grundar sig på ska därvid också meddelas. Det sistnämnda meddelandet kan underlåtas om skäl enligt punkt 2 a-e föreligger. I samtliga dessa fall ska den registrerade meddelas att han eller hon kan överklaga till den behöriga nationella tillsynsmyndigheten, en rättslig myndighet eller domstol.
|
|
Article 18
|
Artikel 18
|
|
Right to rectification, erasure or blocking
|
Rätt till rättelse, radering eller blockering av uppgifter
|
|
1. The data subject shall have the right to expect the controller to fulfil its duties in accordance with Articles 4, 8 and 9 concerning the rectification, erasure or blocking of personal data which arise from this Framework Decision. Member States shall lay down whether the data subject may assert this right directly against the controller or through the intermediary of the competent national supervisory authority. If the controller refuses rectification, erasure or blocking, the refusal must be communicated in writing to the data subject who must be informed of the possibilities provided for in national law for lodging a complaint or seeking judicial remedy. Upon examination of the complaint or judicial remedy, the data subject shall be informed whether the controller acted properly or not. Member States may also provide that the data subject shall be informed by the competent national supervisory authority that a review has taken place.
|
1. Den registrerade ska ha rätt att förvänta sig att den registeransvarige fullgör sin skyldighet enligt artiklarna 4, 8 och 9 att rätta, radera eller blockera personuppgifter som registrerats inom ramen för detta rambeslut. Medlemsstaterna ska fastställa huruvida den registrerade får göra anspråk på denna rättighet direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten. Om den registeransvarige vägrar att rätta, radera eller blockera måste vägran meddelas skriftligen och den registrerade måste informeras om de möjligheter som tillhandahålls inom den nationella lagstiftningen att anföra klagomål eller begära prövning. När klagomålet eller begäran om prövning behandlats ska den registrerade informeras om huruvida den registeransvarige handlat korrekt eller ej. Medlemsstaterna får även föreskriva att den registrerade ska informeras av den behöriga nationella tillsynsmyndigheten om att en översyn har utförts.
|
|
2. If the accuracy of an item of personal data is contested by the data subject and its accuracy or inaccuracy cannot be ascertained, referencing of that item of data may take place.
|
2. Om den registrerade bestrider korrektheten av en personuppgift och det inte kan fastställas huruvida denna är korrekt får denna uppgift markeras.
|
|
Article 19
|
Artikel 19
|
|
Right to compensation
|
Rätt till ersättning
|
|
1. Any person who has suffered damage as a result of an unlawful processing operation or of any act incompatible with the national provisions adopted pursuant to this Framework Decision shall be entitled to receive compensation for the damage suffered from the controller or other authority competent under national law.
|
1. Var och en som lidit skada till följd av en otillåten behandling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta rambeslut ska ha rätt till ersättning för den skada han lidit av den registeransvarige eller av en annan ansvarig myndighet enligt nationell lagstiftning.
|
|
2. Where a competent authority of a Member State has transmitted personal data, the recipient cannot, in the context of its liability vis-à-vis the injured party in accordance with national law, cite in its defence that the data transmitted were inaccurate. If the recipient pays compensation for damage caused by the use of incorrectly transmitted data, the transmitting competent authority shall refund to the recipient the amount paid in damages, taking into account any fault that may lie with the recipient.
|
2. Om den behöriga myndigheten i en medlemsstat överför personuppgifter kan mottagaren inte åberopa det faktum att de överförda uppgifterna varit felaktiga för att undgå det ansvar som denne i enlighet med den nationella lagstiftningen har gentemot den skadelidande. Om mottagaren utbetalar skadestånd för en skada som vållats av att felaktigt överförda uppgifter kommit till användning ska den överförande behöriga myndigheten ersätta mottagaren det skadestånd som utbetalats men därvid ta med i beräkningen eventuella felaktigheter som kan ha begåtts av mottagaren.
|
|
Article 20
|
Artikel 20
|
|
Judicial remedies
|
Rättsmedel
|
|
Without prejudice to any administrative remedy for which provision may be made prior to referral to the judicial authority, the data subject shall have the right to a judicial remedy for any breach of the rights guaranteed to him by the applicable national law.
|
Utan att det påverkar något administrativt förfarande som kan användas innan ett ärende anhängiggörs vid en rättslig instans ska den registrerade ha rätt att inför domstol föra talan mot kränkningar av sådana rättigheter som skyddas av den tillämpliga nationella lagstiftningen.
|
|
Article 21
|
Artikel 21
|
|
Confidentiality of processing
|
Sekretess i samband med behandlingen av uppgifter
|
|
1. Any person who has access to personal data which fall within the scope of this Framework Decision may process such data only if that person is a member of, or acts on instructions of, the competent authority, unless he is required to do so by law.
|
1. Var och en som får tillgång till personuppgifter som faller under tillämpningsområdet för detta rambeslut får endast behandla dessa i sin egenskap av anställd vid den behöriga myndigheten eller efter instruktioner från denna, såvida det inte föreligger rättsliga skyldigheter till annan behandling.
|
|
2. Persons working for a competent authority of a Member State shall be bound by all the data protection rules which apply to the competent authority in question.
|
2. Var och en som arbetar för en behörig myndighet i en medlemsstat ska vara bunden av samtliga dataskyddsbestämmelser som gäller för respektive behörig myndighet.
|
|
Article 22
|
Artikel 22
|
|
Security of processing
|
Säkerhet i samband med behandlingen av uppgifter
|
|
1. Member States shall provide that the competent authorities must implement appropriate technical and organisational measures to protect personal data against accidental or unlawful destruction or accidental loss, alteration, unauthorised disclosure or access, in particular where the processing involves the transmission over a network or the making available by granting direct automated access, and against all other unlawful forms of processing, taking into account in particular the risks represented by the processing and the nature of the data to be protected. Having regard to the state of the art and the cost of their implementation, such measures shall ensure a level of security appropriate to the risks represented by the processing and the nature of the data to be protected.
|
1. Medlemsstaterna ska se till att de behöriga myndigheterna vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från att utplånas genom olyckshändelse eller otillåtna handlingar och från att gå förlorade genom olyckshändelse samt från ändringar, otillåten spridning av eller otillåten tillgång till uppgifter, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk och/eller om uppgifterna gjorts tillgängliga genom direkt automatisk åtkomst, samt mot varje annat slag av otillåten behandling, varvid hänsyn särskilt ska tas till de risker som behandlingen innebär och arten av de uppgifter som ska skyddas. Dessa åtgärder ska med beaktande av den befintliga tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande leda till att en lämplig säkerhetsnivå uppnås i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som ska skyddas.
|
|
2. In respect of automated data processing each Member State shall implement measures designed to:
|
2. När det gäller automatisk databehandling ska varje medlemsstat vidta lämpliga åtgärder för att
|
|
(a) deny unauthorised persons access to data-processing equipment used for processing personal data (equipment access control);
|
a) förhindra att obehöriga kommer åt datorutrustning som används för behandling av personuppgifter (åtkomstskydd för utrustning),
|
|
(b) prevent the unauthorised reading, copying, modification or removal of data media (data media control);
|
b) förhindra att databärare läses, kopieras, ändras eller avlägsnas av obehöriga (databärarkontroll),
|
|
(c) prevent the unauthorised input of data and the unauthorised inspection, modification or deletion of stored personal data (storage control);
|
c) förhindra obehörig införing av uppgifter och obehörig granskning, ändring eller radering av lagrade personuppgifter (lagringskontroll),
|
|
(d) prevent the use of automated data-processing systems by unauthorised persons using data communication equipment (user control);
|
d) förhindra att obehöriga kan använda system för automatisk databehandling med hjälp av utrustning för dataöverföring (användarkontroll),
|
|
(e) ensure that persons authorised to use an automated data-processing system only have access to the data covered by their access authorisation (data access control);
|
e) se till att personer som är behöriga att använda ett system för automatisk databehandling endast har tillgång till uppgifter som omfattas av deras behörighet (åtkomstkontroll),
|
|
(f) ensure that it is possible to verify and establish to which bodies personal data have been or may be transmitted or made available using data communication equipment (communication control);
|
f) se till att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring (kommunikationskontroll),
|
|
(g) ensure that it is subsequently possible to verify and establish which personal data have been input into automated data-processing systems and when and by whom the data were input (input control);
|
g) se till att det finns möjlighet att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiskt databehandlingssystem, samt när och av vem uppgifterna infördes (indatakontroll),
|
|
(h) prevent the unauthorised reading, copying, modification or deletion of personal data during transfers of personal data or during transportation of data media (transport control);
|
h) förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),
|
|
(i) ensure that installed systems may, in case of interruption, be restored (recovery);
|
i) se till att de system som används kan återställas vid störningar (återställande),
|
|
(j) ensure that the functions of the system perform, that the appearance of faults in the functions is reported (reliability) and that stored data cannot be corrupted by means of a malfunctioning of the system (integrity).
|
j) se till att system fungerar, att funktionsfel rapporteras (driftsäkerhet) och att de lagrade uppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet).
|
|
3. Member States shall provide that processors may be designated only if they guarantee that they observe the requisite technical and organisational measures under paragraph 1 and comply with the instructions under Article 21. The competent authority shall monitor the processor in those respects.
|
3. Medlemsstaternas ska sörja för att endast sådana personer får utses till registerförare som kan ge garantier för att vidta de nödvändiga tekniska och organisatoriska åtgärderna enligt punkt 1 och beaktar anvisningarna i artikel 21. Den behöriga myndigheten ska övervaka registerföraren i dessa avseenden.
|
|
4. Personal data may be processed by a processor only on the basis of a legal act or a written contract.
|
4. Personuppgifter får endast behandlas av en registerförare på grundval av en rättsakt eller ett skriftligt avtal.
|
|
Article 23
|
Artikel 23
|
|
Prior consultation
|
Föregående samråd
|
|
Member States shall ensure that the competent national supervisory authorities are consulted prior to the processing of personal data which will form part of a new filing system to be created where:
|
Medlemsstaterna ska sörja för att de behöriga nationella tillsynsmyndigheterna rådfrågas före behandling av personuppgifter när nya behandlingssystem inrättas om
|
|
(a) special categories of data referred to in Article 6 are to be processed; or
|
a) särskilda uppgiftskategorier enligt artikel 6 behandlas, eller om
|
|
(b) the type of processing, in particular using new technologies, mechanism or procedures, holds otherwise specific risks for the fundamental rights and freedoms, and in particular the privacy, of the data subject.
|
b) behandlingens typ, särskilt användning av ny teknik, nya mekanismer eller förfaranden, i övrigt innebär särskilda risker för registrerades grundläggande fri- och rättigheter och framför allt deras rätt till privatliv.
|
|
Article 24
|
Artikel 24
|
|
Penalties
|
Påföljder
|
|
Member States shall adopt suitable measures to ensure the full implementation of the provisions of this Framework Decision and shall in particular lay down effective, proportionate and dissuasive penalties to be imposed in case of infringements of the provisions adopted pursuant to this Framework Decision.
|
Medlemsstaterna ska anta lämpliga bestämmelser för att säkerställa att detta rambeslut genomförs fullt ut och framför allt föreskriva effektiva, proportionella och avskräckande påföljder för överträdelse av bestämmelser som antagits i enlighet med detta rambeslut.
|
|
Article 25
|
Artikel 25
|
|
National supervisory authorities
|
Nationella tillsynsmyndigheter
|
|
1. Each Member State shall provide that one or more public authorities are responsible for advising and monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Framework Decision. These authorities shall act with complete independence in exercising the functions entrusted to them.
|
1. Varje medlemsstat ska se till att det utses en eller flera myndigheter med uppgift att inom dess territorium vägleda och övervaka tillämpningen av de bestämmelser som medlemsstaterna antagit i enlighet med detta rambeslut. Dessa myndigheter ska vara fullt oberoende när de fullgör sina åligganden.
|
|
2. Each authority shall in particular be endowed with:
|
2. Varje tillsynsmyndighet ska framför allt ha
|
|
(a) investigative powers, such as powers of access to data forming the subject matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties;
|
a) utredande befogenheter, som befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att samla in all information som är nödvändig för att utföra tillsynen,
|
|
(b) effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions;
|
b) faktisk befogenhet att ingripa, som till exempel att kunna avge yttranden innan en behandling äger rum, att se till att sådana yttranden i lämplig omfattning offentliggörs, att kunna besluta om blockering, radering eller förstöring av uppgifter, att kunna besluta om tillfälligt eller definitivt förbud mot behandling, att kunna ge den registeransvarige en varning eller tillrättavisning eller att kunna hänskjuta frågor till nationella parlament eller andra politiska institutioner,
|
|
(c) the power to engage in legal proceedings where the national provisions adopted pursuant to this Framework Decision have been infringed or to bring this infringement to the attention of the judicial authorities. Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.
|
c) befogenhet att inleda rättsliga förfaranden när de nationella bestämmelser som antagits till följd av detta rambeslut har överträtts eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Beslut av tillsynsmyndigheten, som ger upphov till klagomål bör kunna överklagas till domstol.
|
|
3. Each supervisory authority shall hear claims lodged by any person concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.
|
3. Var och en ska kunna vända sig till tillsynsmyndigheten med en begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen ska informeras om vilka följder hans begäran har fått.
|
|
4. Member States shall provide that the members and staff of the supervisory authority are bound by the data protection provisions applicable to the competent authority in question and, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.
|
4. Medlemsstaterna ska föreskriva att tillsynsmyndighetens ledamöter och personal ska vara bundna av de för respektive behörig myndighet gällande dataskyddsbestämmelserna och ha tystnadsplikt med avseende på konfidentiell information som de har tillgång till även sedan deras uppdrag eller anställning upphört.
|
|
Article 26
|
Artikel 26
|
|
Relationship to agreements with third States
|
Förhållande till avtal med tredjestater
|
|
This Framework Decision is without prejudice to any obligations and commitments incumbent upon Member States or upon the Union by virtue of bilateral and/or multilateral agreements with third States existing at the time of adoption of this Framework Decision.
|
Detta rambeslut ska inte påverka medlemsstaternas eller unionens skyldigheter och åtaganden enligt de bilaterala och/eller multilaterala avtal med tredjestater som förelåg när detta rambeslut antogs.
|
|
In the application of these agreements, the transfer to a third State of personal data obtained from another Member State, shall be carried out while respecting Article 13(1)(c) or (2), as appropriate.
|
När dessa avtal tillämpas ska överföringen till en tredjestat av personuppgifter som erhållits från en annan medlemsstat genomföras med respekt för artikel 13.1 c eller 13.2, i tillämpliga fall.
|
|
Article 27
|
Artikel 27
|
|
Evaluation
|
Utvärdering
|
|
1. Member States shall report to the Commission by 27 November 2013 on the national measures they have taken to ensure full compliance with this Framework Decision, and particularly with regard to those provisions that already have to be complied with when data is collected. The Commission shall examine in particular the implications of those provisions for the scope of this Framework Decision as laid down in Article 1(2).
|
1. Medlemsstaterna ska senast den 27 november 2013 rapportera till kommissionen om de nationella åtgärder som de har vidtagit för att säkerställa fullständig efterlevnad av detta rambeslut, framför allt när det gäller de bestämmelser som redan ska följas när uppgifter samlas in. Kommissionen ska särskilt undersöka konsekvenserna av dessa bestämmelser för tillämpningsområdet för detta rambeslut i enlighet med i artikel 1.2.
|
|
2. The Commission shall report to the European Parliament and the Council within one year on the outcome of the evaluation referred to in paragraph 1, and shall accompany its report with any appropriate proposals for amendments to this Framework Decision.
|
2. Kommissionen ska inom ett år lämna rapport till Europaparlamentet och rådet om resultatet av den utvärdering som avses i punkt 1 och tillsammans med rapporten lämna lämpliga förslag till ändringar av detta rambeslut.
|
|
Article 28
|
Artikel 28
|
|
Relationship to previously adopted acts of the Union
|
Förhållande till tidigare antagna unionsakter
|
|
Where in acts, adopted under Title VI of the Treaty on European Union prior to the date of entry into force of this Framework Decision and regulating the exchange of personal data between Member States or the access of designated authorities of Member States to information systems established pursuant to the Treaty establishing the European Community, specific conditions have been introduced as to the use of such data by the receiving Member State, these conditions shall take precedence over the provisions of this Framework Decision on the use of data received from or made available by another Member State.
|
Om rättsakter som antagits enligt avdelning VI i fördraget om Europeiska unionen före den dag då detta rambeslut träder i kraft och som reglerar utbytet av personuppgifter mellan medlemsstaterna eller tillgång för medlemsstaternas utsedda myndigheter till informationssystem som inrättats enligt fördraget om upprättandet av Europeiska gemenskapen innehåller särskilda villkor för den mottagande medlemsstatens användning av sådana uppgifter, ska dessa villkor ha företräde framför bestämmelserna i rambeslutet när det gäller användning av uppgifter som tagits emot eller gjorts tillgängliga av en annan medlemsstat.
|
|
Article 29
|
Artikel 29
|
|
Implementation
|
Genomförande
|
|
1. Member States shall take the necessary measures to comply with the provisions of this Framework Decision before 27 November 2010.
|
1. Medlemsstaterna ska vidta de åtgärder som är nödvändiga för att följa bestämmelserna i detta rambeslut före den 27 november 2010.
|
|
2. By the same date Member States shall transmit to the General Secretariat of the Council and to the Commission the text of the provisions transposing into their national law the obligations imposed on them under this Framework Decision, as well as information on the supervisory authorities referred to in Article 25. On the basis of a report established using this information by the Commission, the Council shall, before 27 November 2011, assess the extent to which Member States have complied with the provisions of this Framework Decision.
|
2. Senast vid denna tidpunkt ska medlemsstaterna till rådets generalsekretariat och kommissionen överlämna texten till de bestämmelser genom vilka skyldigheterna enligt detta rambeslut införlivas med deras nationella lagstiftning samt upplysningar om de tillsynsmyndigheter som avses i artikel 25. På grundval av denna information och en skriftlig rapport som kommissionen utarbetar med hjälp av denna information ska rådet före den 27 november 2011 bedöma i vilken utsträckning medlemsstaterna har följt bestämmelserna i detta rambeslut.
|
|
Article 30
|
Artikel 30
|
|
Entry into force
|
Ikraftträdande
|
|
This Framework Decision shall enter into force on the 20th day following its publication in the Official Journal of the European Union.
|
Detta rambeslut träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
|
|
|
|
|
Done at Brussels, 27 November 2008.
|
Utfärdat i Bryssel den 27 november 2008.
|
|
For the Council
|
På rådets vägnar
|
|
The President
|
M. Alliot-Marie
|
|
M. Alliot-Marie
|
Ordförande
|
|
[1] OJ C 125 E, 22.5.2008, p. 154.
|
[1] EUT C 125 E, 22.5.2008, s. 154.
|
|
[2] OJ C 198, 12.8.2005, p. 1.
|
[2] EUT C 198, 12.8.2005, s. 1.
|
|
[3] OJ L 281, 23.11.1995, p. 31.
|
[3] EGT L 281, 23.11.1995, s. 31.
|
|
[4] OJ L 8, 12.1.2001, p. 1.
|
[4] EGT L 8, 12.1.2001, s. 1.
|
|
[5] OJ L 201, 31.7.2002, p. 37.
|
[5] EGT L 201, 31.7.2002, s. 37.
|
|
[6] OJ L 69, 16.3.2005, p. 67.
|
[6] EUT L 69, 16.3.2005, s. 67.
|
|
[7] OJ L 210, 6.8.2008, p. 1.
|
[7] EUT L 210, 6.8.2008, s. 1.
|
|
[8] OJ L 131, 1.6.2000, p. 43.
|
[8] EGT L 131, 1.6.2000, s. 43.
|
|
[9] OJ L 64, 7.3.2002, p. 20.
|
[9] EGT L 64, 7.3.2002, s. 20.
|
|
[10] OJ L 176, 10.7.1999, p. 36.
|
[10] EGT L 176, 10.7.1999, s. 36.
|
|
[11] OJ L 176, 10.7.1999, p. 31.
|
[11] EGT L 176, 10.7.1999, s. 31.
|
|
[12] OJ L 53, 27.2.2008, p. 52.
|
[12] EUT L 53, 27.2.2008, s. 52.
|
|
[13] OJ L 53, 27.2.2008, p. 50.
|
[13] EUT L 53, 27.2.2008, s. 50.
|
|
[14] OJ L 83, 26.3.2008, p. 5.
|
[14] EUT L 83, 26.3.2008, s. 5.
|
|
[15] OJ C 303, 14.12.2007, p. 1.
|
[15] EUT C 303, 14.12.2007, s. 1.
|
|
--------------------------------------------------
|
--------------------------------------------------
|