Avtal mellan Europeiska unionen och Amerikas förenta stater om säkerhet för sekretessbelagda uppgifter

Syftet med detta avtal är att höja säkerheten för Förenta staterna och Europeiska unionen samt för deras medborgare. De båda parterna förbinder sig att utveckla sitt samarbete genom att utbyta sekretessbelagda uppgifter. För ett sådant utbyte krävs det emellertid lämpliga säkerhetsåtgärder. Genom detta beslut föreslås därför flera olika åtgärder till skydd för de sekretessbelagda uppgifterna.

RÄTTSAKT

Rådets beslut 2007/274/RIF av den 23 april 2007 om ingående av avtalet mellan Europeiska unionen och Amerikas förenta staters regering om säkerhet för sekretessbelagda uppgifter.

SAMMANFATTNING

Förenta staterna och EU förbinder sig att utveckla sitt samarbete i frågor av gemensamt intresse avseende säkerhet samt utbyte av sekretessbelagda uppgifter. Tillgång till dessa uppgifter krävs för att samarbetet ska vara effektivt. Men ett sådant utbyte av uppgifter förutsätter att det finns lämpliga säkerhetsåtgärder.

Den sekretessbelagda informationen kan vara i muntlig, visuell, elektronisk form, magnetisk form eller dokumentform, eller i form av material, inklusive utrustning eller teknik. Den avser uppgifter som

• om de spreds obehörigen skulle kunna skada de båda parternas intressen,
• kräver skydd mot obehörigt röjande med hänsyn till EU:s eller Förenta staternas säkerhetsintresse,
• har en sekretessgrad som har fastställts av någondera parten.

Den tillhandahållande partens namn och sekretessgrad ska anges för samtliga sekretessbelagda uppgifter. För Förenta staterna ska följande märkning användas: "top secret", "secret" eller "confidential". För EU ska märkningen vara: "très secret UE", "EU top secret", "secret UE", "confidentiel UE" eller "restreint UE".

Skyddsåtgärder

De båda parterna förbinder sig att

• ha infört ett avancerat och likvärdigt säkerhetssystem,
• överföra information om sina säkerhetsnormer, säkerhetsförfaranden och säkerhetsrutiner,
• behandla de tillhandahållna och mottagna uppgifterna med en hög skyddsnivå.

Den mottagande parten

• ska inte använda uppgifterna för andra ändamål än de avsedda, utan föregående godkännande,
• ska inte lämna vidare de mottagna uppgifterna,
• ska respektera den tillhandahållande partens eventuella begränsningar när det gäller att lämna vidare uppgifterna,
• ska se till att rättigheterna för denna information, liksom immateriella rättigheter, upphovsrätter och affärshemligheter, skyddas.

Prövning av personal

Tillgång till sekretessbelagda uppgifter ska endast beviljas personer som har genomgått en prövning och som behöver uppgifterna för sin tjänsteutövning. Parterna ska se till att denna prövning har genomförts innan personalen beviljas tillgång till uppgifterna. De ska också se till att alla personer detta gäller är införstådda med ansvaret det innebär.

Varje part ska ha tillgång till all tillgänglig information om lojalitet, integritet och pålitlighet innan personen i fråga prövas. Genom en ingående utredning fastställs det sedan om personen i fråga har dessa egenskaper.

Regler för överlämnande

Den tillhandahållande parten ska skydda de sekretessbelagda uppgifterna till dess att de överlämnas till den mottagande parten. När uppgifterna har lämnats i denna parts förvar ska denna part se till att dessa uppgifter får ett maximalt skydd.

När det gäller EU ska de sekretessbelagda uppgifterna i skriftlig form sändas till chefsregistratorn vid Europeiska unionens råd. Denna person ansvarar för att uppgifterna vidarebefordras till medlemsstaterna och Europeiska kommissionen. De amerikanska uppgifterna ska sändas via Amerikas förenta staters beskickning vid Europeiska unionen.

Uppgifter som överförs elektroniskt ska krypteras i enlighet med den tillhandahållande partens krav. Dessa krav ska uppfyllas vid överföring, lagring och bearbetning av uppgifterna.

Säkerhet och tekniskt arrangemang

Varje part ska svara för säkerheten vid anläggningar och inrättningar där uppgifterna förvaras. Den tillhandahållande parten får genomföra besök för att bedöma åtgärdernas effektivitet. Värdparten ska åta sig att hjälpa till under besöket. Innan det sker något utbyte av sekretessbelagda uppgifter ska de ansvariga säkerhetsmyndigheterna avgöra om den mottagande parten kan garantera uppgifternas säkerhet.

Uppgifterna kan tillhandahållas en uppdragstagare, under förutsättning att den tillhandahållande parten har lämnat ett skriftligt medgivande på förhand. Den mottagande parten ska förvissa sig om att uppdragstagaren har kapacitet att skydda uppgifterna.

Ett tekniskt arrangemang utformas för att fastställa säkerhetsnormer när det gäller skydd för de uppgifter som utbytts. Följande parter ansvarar för att utarbeta detta tekniska arrangemang:

• Förenta staternas utrikesdepartement.
• Säkerhetsbyrån vid rådets generalsekretariat.
• Säkerhetsdirektoratet vid Europeiska kommissionen (för EU:s del ska arrangemanget godkännas av rådets säkerhetskommitté).

Särskilda fall

Om parterna är eniga om att sekretessbelagda uppgifter inte längre kräver något skydd, kan dessa inplaceras i en lägre sekretessgrad. Den tillhandahållande parten kan sänka nivån för sina egna uppgifter. Den mottagande parten får inte besluta om inplacering i en lägre sekretessgrad utan att detta först har godkänts av den tillhandahållande parten.

Den mottagande parten ska snarast möjligt informera den tillhandahållande parten om varje förlust eller sekretessbrott. Den mottagande parten ska inleda en undersökning och meddela resultaten till den tillhandahållande parten.

Senast ändrat den 11.01.2012