MOTIVERING

1. BAKGRUND TILL FÖRSLAGET

I denna motivering ges en mer detaljerad beskrivning av den strategi för den nya rättsliga ram för skyddet av personuppgifter i EU som presenterades i meddelandet COM (2012) 9 final. Den rättsliga ramen består av följande två lagstiftningsförslag:

– Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning).

– Förslag till Europaparlamentets och rådets direktiv om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter.

Denna motivering avser det sistnämnda förslaget.

Grundstenen i den befintliga EU-lagstiftningen om skydd av personuppgifter, direktiv 95/46/EG[1], antogs 1995 och hade till syfte att skydda den grundläggande rätten till uppgiftsskydd och garantera det fria flödet av personuppgifter mellan medlemsstaterna. Direktivet kompletterades av flera instrument med särskilda uppgiftsskyddsbestämmelser på områdena för polissamarbete och straffrättsligt samarbete[2] (f.d. tredje pelaren), däribland rambeslut 2008/977/RIF[3].

Europeiska rådet uppmanade kommissionen att utvärdera hur EU:s instrument för uppgiftsskydd fungerar och vid behov ta ytterligare initiativ på lagstiftningsområdet och på andra områden[4]. Europaparlamentet[5] välkomnade i sin resolution om Stockholmsprogrammet ett övergripande system för skydd av uppgifter i EU och efterlyste bland annat en översyn av rambeslutet. Kommissionen underströk i sin handlingsplan för att genomföra Stockholmsprogrammet[6] behovet av att se till att den grundläggande rätten till skydd för personuppgifter tillämpas på ett enhetligt sätt på EU:s alla politikområden. I handlingsplanen framhölls att i ”en globaliserad värld som karaktäriseras av en snabb teknisk utveckling och där informationsutbytet inte känner några gränser är det särskilt viktigt att skydda människors privatliv. Unionen måste se till att den grundläggande rätten till skydd för personuppgifter tillämpas på ett enhetligt sätt. Vi behöver stärka EU:s hållning när det gäller att skydda den enskildes personuppgifter inom alla EU:s politikområden, inklusive brottsbekämpning och brottsförebyggande insatser, men även inom våra internationella förbindelser.”

I sitt meddelande om ett samlat grepp på skyddet av personuppgifter i Europeiska unionen[7], drog kommissionen slutsatsen att EU behöver en mer samlad och enhetlig strategi i fråga om den grundläggande rätten till skydd av personuppgifter.

Rambeslut 2008/977/RIF har ett begränsat tillämpningsområde, eftersom det bara är tillämpligt på gränsöverskridande behandling av uppgifter och inte på behandling som utförs av polisen eller de rättsliga myndigheterna enbart på nationell nivå. Detta kan skapa svårigheter för polis och andra behöriga myndigheterna på områdena för straffrättsligt samarbete och polissamarbete. De kan inte alltid enkelt skilja mellan rent inhemsk och gränsöverskridande behandling eller förutse om vissa personuppgifter kan bli föremål för ett gränsöverskridande utbyte i ett senare skede (se avsnitt 2 nedan). På grund av dess karaktär och innehåll ger rambeslutet dessutom medlemsstaternas nationella lagstiftning stor frihet när det gäller att genomföra bestämmelserna. Dessutom innehåller det inte någon mekanism eller rådgivande grupp som liknar artikel 29-gruppen som bidrar till en gemensam tolkning av dess bestämmelser, och ger inte heller kommissionen några genomförandebefogenheter för att säkerställa ett gemensamt tillvägagångssätt vid dess genomförande.

I artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) fastställs principen att alla har rätt till skydd av personuppgifter. Dessutom inför Lissabonfördraget, genom artikel 16.2 i EUF-fördraget, en särskild rättslig grund för antagande av bestämmelser om skydd av personuppgifter som också gäller för straffrättsligt samarbete och polissamarbete. I artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna fastslås att skyddet av personuppgifter är en grundläggande rättighet. Enligt artikel 16 i EUF-fördraget ska lagstiftaren fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter också på områdena för straffrättsligt samarbete och polissamarbete, och som omfattar både gränsöverskridande och inhemsk behandling av personuppgifter. Därigenom kommer man att kunna skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till skydd av personuppgifter, och samtidigt trygga utbytet av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. Detta kommer att bidra till att underlätta samarbetet i kampen mot brottslighet i Europa.

På grund av den särskilda karaktären hos området polissamarbete och straffrättsligt samarbete erkändes det i förklaring 21[8] att det kan visa sig bli nödvändigt med särskilda regler om skydd av personuppgifter och om fri rörlighet för sådana uppgifter på detta område, på grundval av artikel 16 i EUF-fördraget.

2. RESULTAT AV SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

Detta initiativ är resultatet av omfattande samråd med alla viktigare berörda parter om en översyn av den befintliga rättsliga ramen för skydd av personuppgifter, som omfattade offentliga samråd i två etapper:

– Samråd om den rättsliga ramen för den grundläggande rätten till skydd av personuppgifter, från den 9 juli till den 31 december 2009. Kommissionen mottog 168 svar, varav 127 från enskilda personer, företagsorganisationer och sammanslutningar och 12 från offentliga myndigheter. De icke-konfidentiella bidragen finns på kommissionens webbplats[9].

– Samråd om kommissionens samlade grepp på skydd av personuppgifter i Europeiska unionen, från den 4 november 2010 till den 15 januari 2011. Kommissionen mottog 305 svar, varav 54 från enskilda, 31 från offentliga myndigheter och 220 från privata organisationer, särskilt företagssammanslutningar och icke-statliga organisationer. De icke-konfidentiella bidragen finns på kommissionens webbplats[10].

Medan dessa samråd till stor del var inriktade på översynen av direktiv 95/46/EG, genomfördes riktade samråd med berörda parter inom brottsbekämpande arbete. Särskilt anordnades en workshop den 29 juni 2010 med medlemsstaternas myndigheter om tillämpningen av bestämmelserna för dataskydd på offentliga myndigheter, inbegripet på området polissamarbete och straffrättsligt samarbete. Dessutom sammankallade kommissionen den 2 februari 2011 en workshop med medlemsstaternas myndigheter för att diskutera genomförandet av rambeslut 2008/977/RIF, och mer allmänt uppgiftsskyddsfrågor på området polissamarbete och straffrättsligt samarbete.

EU-medborgarna konsulterades genom en Eurobarometerundersökning som genomfördes i november–december 2010.[11] Ett antal undersökningar inleddes också.[12] Artikel 29-gruppen[13] lämnade flera synpunkter och värdefulla bidrag till kommissionen[14]. Europeiska datatillsynsmannen utfärdade också ett övergripande yttrande om de frågor som dryftats i kommissionens meddelande från november 2010.[15]

Europaparlamentet godkände genom sin resolution av den 6 juli 2011 en rapport som stödde kommissionens strategi för att reformera uppgiftsskyddsramen.[16] Europeiska unionens råd antog den 24 februari 2011 slutsatser där det i huvudsak stödjer kommissionens reform av ramen för uppgiftsskydd och håller med om flera inslag i kommissionens strategi. Europeiska ekonomiska och sociala kommittén stödde också kommissionens huvudinriktning att säkerställa en mer enhetlig tillämpning av EU:s uppgiftsskyddsbestämmelser i alla medlemsstater och en lämplig omarbetning av direktiv 95/46/EG.[17]

I överensstämmelse med sin politik för bättre lagstiftning gjorde kommissionen en konsekvensbedömning av policyalternativen[18]. Konsekvensbedömningen byggde på de tre politiska mål, som ökad inre marknad för dataskydd, att göra utövandet av rättigheter till uppgiftsskydd av enskilda mer effektiva och skapa en övergripande och enhetlig ram som omfattar alla områden av unionens behörighetsområde, inbegripet polissamarbete och straffrättsligt samarbete. I synnerhet när det gäller det sistnämnda målet bedömdes två alternativ: ett första alternativ som i princip utvidgar tillämpningsområdet för uppgiftsskyddsbestämmelserna på detta område och tar itu med brister och andra frågor kring rambeslutet, och ett andra mer långtgående alternativ med mycket krävande och stränga regler, som också skulle medföra en omedelbar ändring av alla andra instrument inom den ”f.d. tredje pelaren”. Ett tredje minimalistiskt alternativ som huvudsakligen grundar sig på tolkningsmeddelanden och politiska stödåtgärder, såsom finansieringsprogram och tekniska instrument, och med minimal lagstiftning, ansågs inte lämpligt för att ta itu med de problem som konstaterats på detta område i fråga om skydd av personuppgifter.

I enlighet med kommissionens vedertagna metod bedömdes varje alternativ, med hjälp av en avdelningsövergripande styrgrupp, med avseende på dess effektivitet när det gäller att uppnå de politiska målen, dess ekonomiska konsekvenser för de berörda parterna (även på EU-institutionernas budget), dess sociala konsekvenser och dess inverkan på de grundläggande rättigheterna. Inga miljökonsekvenser konstaterades.

Analysen av de övergripande konsekvenserna ledde till en utveckling av det alternativ som föredras, vilket har införlivats i föreliggande förslag. Enligt bedömningen kommer genomförandet av detta alternativ att leda till en ytterligare stärkning av uppgiftsskyddet på detta politikområde särskilt genom att inhemsk uppgiftsbehandling inbegrips, varigenom man även stärker rättssäkerheten för de behöriga myndigheterna på områdena för straffrättsligt samarbete och polissamarbete.

Konsekvensbedömningsnämnden yttrade sig om utkastet till konsekvensbedömning den 9 september 2011. Till följd av detta yttrande gjordes framför allt följande ändringar av konsekvensbedömningen:

– Ett klargörande av målen för den nuvarande rättsliga ramen (i vilken mån de har uppnåtts och i vilken mån de inte uppnåtts) och målen för den planerade reformen.

– Fler bevis och ytterligare förklaringar/klargöranden lades till i avsnittet om problemdefinitionen.

Kommissionen har också utarbetat en genomföranderapport på grundval av artikel 29.2 i rambeslut 2008/977/RIF, som kommer att antas som en del av det aktuella uppgiftsskyddspaketet[19]. Resultaten av rapporten, som bygger på material från medlemsstaterna, användes också i utarbetandet av konsekvensanalysen.

3. FÖRSLAGETS RÄTTSLIGA ASPEKTER 3.1. Rättslig grund

Förslaget grundar sig på artikel 16.2 i EUF-fördraget, som är en ny, specifik rättslig grund som införts genom Lissabonfördraget för antagande av bestämmelser om skydd för enskilda med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och av medlemsstaterna när de bedriver verksamhet som omfattas av unionsrätten, och bestämmelser om den fria rörligheten för sådana uppgifter.

Förslaget syftar till att garantera en enhetlig och hög nivå på uppgiftsskyddet inom detta område och därmed öka det ömsesidiga förtroendet mellan polis och rättsliga myndigheter i olika medlemsstater och underlätta det fria flödet av uppgifter och samarbetet mellan polis och rättsliga myndigheter.

3.2. Subsidiaritets- och proportionalitetsprincipen

Enligt subsidiaritetsprincipen (artikel 5.3 i EU-fördraget) ska åtgärder vidtas på EU-nivå endast om och i den mån som målen för den planerade åtgärden inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och därför, på grund av den planerade åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå. Mot bakgrund av de ovan skisserade problemen visar subsidiaritetsanalysen att det är nödvändigt att vidta åtgärder på EU-nivå på områdena för polissamarbete och straffrättsligt samarbete av följande skäl:

– Rätten till skydd av personuppgifter, som fastläggs i artikel 8 i stadgan om de grundläggande rättigheterna och i artikel 16.1 i EUF-fördraget, innebär att samma nivå på uppgiftsskyddet ska gälla i hela unionen. För detta krävs samma skyddsnivå för uppgifter som utbyts och uppgifter som behandlas på inhemsk nivå.

– Det finns ett växande behov för de brottsbekämpande myndigheterna i medlemsstaterna att behandla och utbyta uppgifter i allt större omfattning för att förebygga och bekämpa gränsöverskridande brottslighet och terrorism. I detta sammanhang kommer tydliga och enhetliga regler om skydd av personuppgifter på EU-nivå att bidra till att främja samarbete mellan sådana myndigheter.

– Dessutom finns det praktiska problem med genomförandet av uppgiftsskyddslagstiftningen och ett behov av samarbete mellan medlemsstaterna och deras myndigheter, vilket måste organiseras på EU-nivå för att säkerställa att unionsrätten tillämpas enhetligt. I vissa situationer har EU de bästa förutsättningarna att på ett ändamålsenligt och enhetligt sätt garantera samma skyddsnivå för enskilda när deras personuppgifter överförs till tredjeländer.

– Medlemsstaterna kan inte ensamma minska problemen i den nuvarande situationen, särskilt inte de problem som beror på fragmenteringen av de nationella lagstiftningarna. Det finns därför ett särskilt behov av att införa en harmoniserad och sammanhängande ram som möjliggör en smidig överföring av personuppgifter över gränserna inom EU, samtidigt som man garanterar ett faktiskt skydd av alla enskilda i hela EU.

– De föreslagna lagstiftningsåtgärderna på EU-nivå kommer sannolikt att vara effektivare än liknande åtgärder på medlemsstatsnivå på grund av karaktären och omfattningen hos problemen, som inte är begränsade till en eller flera medlemsstater.

Enligt proportionalitetsprincipen ska alla insatser vara riktade och inte gå utöver vad som är nödvändigt för att uppnå målen. Denna princip har varit vägledande under förberedelsen av detta förslag, från kartläggningen och utvärderingen av olika alternativ till utarbetandet av lagstiftningsförslaget.

Ett direktiv är därför det bästa instrumentet för att säkerställa harmonisering på EU-nivå på detta område, samtidigt som man ger medlemsstaterna erforderlig flexibilitet när de genomför principerna, reglerna och deras undantag på nationell nivå. Med tanke på komplexiteten hos de gällande nationella bestämmelserna för skydd av personuppgifter som behandlas på området för polissamarbete och straffrättsligt samarbete och målet att uppnå en omfattande harmonisering av dessa regler genom detta direktiv, kommer kommissionen att behöva be medlemsstaterna att tillhandahålla förklarande dokument om förhållandet mellan direktivets delar och motsvarande delar av nationella rättsakter som införlivar bestämmelserna för att kunna fullgöra sin uppgift att övervaka införlivandet av detta direktiv.

3.3. Sammanfattning av frågor som rör de grundläggande rättigheterna

Rätten till skydd av personuppgifter fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16 i EUF-fördraget samt artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna. Europeiska unionens domstol[20] understryker att rätten till skydd av personuppgifter inte är en absolut rättighet, utan måste beaktas i förhållande till dess funktion i samhället[21]. Uppgiftsskyddet är nära knutet till respekten för privatlivet och familjelivet som skyddas genom artikel 7 i stadgan. Detta avspeglas i artikel 1.1 i direktiv 95/46/EG som föreskriver att medlemsstaterna ska skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

Andra grundläggande rättigheter som fastläggs i stadgan och som skulle kunna påverkas är förbudet mot all diskriminering på grund av bland annat ras, etniskt ursprung, genetiska särdrag, religion eller övertygelse, politisk eller annan åskådning, funktionshinder eller sexuell läggning (artikel 21), barnets rättigheter (artikel 24) och rätten till ett effektivt rättsmedel inför en domstol och till en opartisk domstol (artikel 47).

3.4. Närmare redogörelse för förslaget 3.4.1. KAPITEL I – ALLMÄNNA BESTÄMMELSER

I artikel 1 fastställs direktivets syfte, dvs. bestämmelser om behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och fastställs direktivets dubbla målsättning, dvs. att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till skydd av personuppgifter, samtidigt som man garanterar en hög skyddsnivå för den allmänna säkerheten, och att säkerställa utbytet av personuppgifter mellan behöriga myndigheter inom unionen.

I artikel 2 fastställs direktivets tillämpningsområde. Direktivets tillämpningsområde är inte begränsat till gränsöverskridande uppgiftsbehandling, utan omfattar all behandling som utförs av ”behöriga myndigheter” (enligt definitionen i artikel 3.14). Direktivet gäller inte heller för behandling i samband med en verksamhet som faller utanför unionslagstiftningens tillämpningsområde och inte heller för behandling som utförs av unionens institutioner, organ och byråer, vilken omfattas av förordning (EG) nr 45/2001 och annan särskild lagstiftning.

Artikel 3 innehåller definitioner av begrepp som används i förordningen. Vissa definitioner har övertagits från direktiv 95/46/EG och rambeslut 2008/977/RIF, medan andra har ändrats och kompletteras med fler eller nyligen införda element. De nya definitionerna avser ”personuppgiftsbrott”, ”genetiska uppgifter” och ”biometriska uppgifter”, ”behöriga myndigheter” (på grundval av artikel 87 i EUF-fördraget och artikel 2 h i rambeslut 2008/977/RIF) samt ”barn”, på grundval av FN:s konvention om barnets rättigheter[22].

3.4.2. KAPITEL – II PRINCIPER

Genom artikel 4 fastställs principerna för behandling av personuppgifter på ett sätt som återspeglar artikel 6 i direktiv 95/46/EG och artikel 3 i rambeslut 2008/977/RIF, samtidigt som de anpassas till det specifika sammanhanget i detta direktiv.

Enligt artikel 5 krävs att åtskillnad när så är möjligt görs mellan personuppgifter som rör olika kategorier av registrerade av olika kategorier av registrerade. Detta är en ny bestämmelse som varken ingår i direktiv 95/46/EG eller i rambeslut 2008/977/RIF, men som kommissionen hade föreslagit i sitt ursprungliga förslag till rambeslutet[23]. Det bygger på Europarådets rekommendation nr R (87) 15. Liknande bestämmelser finns redan för Europol[24] och Eurojust[25].

Artikel 6 om olika grader av korrekthet och tillförlitlighet återspeglar princip 3.2 i Europarådets rekommendation nr R (87)15. Liknande bestämmelser, som också ingick i kommissionens förslag till rambeslutet, finns för Europol[26].

I artikel 7 fastställs grunderna för när behandling får genomföras, om det är nödvändigt för att utföra en arbetsuppgift som utförs av en behörig myndighet på grundval av nationell lagstiftning, för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten. De övriga grunderna för när behandling får genomföras i artikel 7 i direktiv 95/46/EG passar inte för behandling på området för polissamarbete och straffrättsligt samarbete.

I artikel 8 anges ett generellt förbud mot behandling av särskilda kategorier av personuppgifter och undantagen från denna allmänna regel, på grundval av artikel 8 i direktiv 95/46/EG och med tillägg av genetiska uppgifter, enligt Europadomstolens rättspraxis[27].

Artikel 9 fastställs ett förbud mot åtgärder som enbart grundas på automatisk behandling av personuppgifter, om detta inte godkänns enligt lagstiftning som innehåller bestämmelser om lämpliga skyddsåtgärder, i enlighet med artikel 7 i rambeslut 2008/977/RIF.

3.4.3. KAPITEL III – DEN REGISTRERADES RÄTTIGHETER

Genom artikel 10 införs skyldigheten för medlemsstaterna att tillhandahålla lätt tillgänglig och begriplig information, först och främst inspirerad av princip 10 i Madridresolutionen om internationella normer för skydd av personuppgifter och integritet[28], och att ålägga registeransvariga att inrätta förfaranden och rutiner för att underlätta utövandet av den registrerades rättigheter. Detta inbegriper kravet att utövandet av rättigheterna i princip ska vara kostnadsfritt.

I artikel 11 anges en skyldighet för medlemsstaterna att se till att den registrerade informeras. Dessa skyldigheter bygger på artiklarna 10 och 11 i direktiv 95/46/EG, utan separata artiklar som skiljer på huruvida informationen samlas in från den registrerade eller inte, men utökar den information som ska tillhandahållas. I direktivet fastställs undantag från skyldigheten att informera, när sådana undantag är proportionella och nödvändiga i ett demokratiskt samhälle för att utföra de uppgifter som åligger behöriga myndigheter (inspirerat av artikel 13 i direktiv 95/46/EG och artikel 17 i rambeslut 2008/977/RIF).

I artikel 12 föreskrivs att medlemsstaterna ska garantera den registrerades rätt att få tillgång till sina personuppgifter. Den följer artikel 12 a i direktiv 95/46/EG och lägger till nya punkter i informationen till de registrerade (om lagringsperioden, rätten till rättelse, radering eller begränsning samt om rätten att inge klagomål).

I artikel 13 föreskrivs att medlemsstaterna får anta lagstiftning som begränsar rätten till tillgång, om så krävs på grund av den särskilda karaktären hos uppgiftsbehandlingen på polisområdet och det straffrättsliga området. Artikeln rör också informationen till den registrerade om en begränsning av tillgången, på grundval av artikel 17.2 och 3 i rambeslut 2008/977/RIF.

I artikel 14 införs bestämmelsen att den registrerade, om den direkta tillgången är begränsad, ska informeras om möjligheten att få indirekt tillgång via tillsynsmyndigheten, som bör utöva rätten för den registrerades räkning och ska underrätta den registrerade om resultatet av sina kontroller.

Artikel 15 om rätten till rättelse följer artikel 12 b i direktiv 95/46/EG, och, när det gäller förpliktelserna vid en vägran, artikel 18.1 i rambeslut 2008/977/RIF.

Artikel 16 om rätten till radering följer artikel 12 b i direktiv 95/46/EG, och, när det gäller förpliktelserna vid en vägran, artikel 18.1 i rambeslut 2008/977/RIF. Den inbegriper också rätten att få till stånd en märkning av behandlingen i vissa fall, varvid man undviker det tvetydiga begreppet "blockering", som används i artikel 12 b i direktiv 95/46/EG och artikel 18.1 i rambeslut 2008/977/RIF.

Artikel 17 om rättelse, radering och begränsning av behandling i rättsliga förfaranden ger förtydliganden som grundar sig på artikel 4.4 i rambeslut 2008/977/RIF.

3.4.4. KAPITEL IV – REGISTERANSVARIG OCH REGISTERFÖRARE 3.4.4.1. AVSNITT 1 ALLMÄNNA SKYLDIGHETER

I Artikel 18 beskrivs de registeransvarigas ansvar att följa detta direktiv och säkerställa att bestämmelserna följs, bland annat genom att anta policyer och rutiner för att garantera efterlevnad.

I artikel 19 anges att medlemsstaterna ska se till att den registeransvarige fullgör de skyldigheter som följer av principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard.

Genom artikel 20 om gemensamma registeransvariga klargörs gemensamma registeransvarigas ställning vad avser förhållandet dem emellan.

Genom artikel 21 klargörs registerförarnas ställning och skyldighet, delvis på grundval av artikel 17.2 i direktiv 95/46/EG och med nya inslag, bland annat att en registerförare som behandlar andra uppgifter än de som anges i den registeransvariges instruktioner ska anses som en gemensam registeransvarig.

Artikel 22 om bearbetning under den registeransvariges och registerförarens överinseende följer artikel 16 i direktiv 95/46/EG.

Genom artikel 23 införs skyldigheten för registeransvariga och registerförare att bevara dokumentation om alla system och förfaranden för behandling som ligger inom deras ansvarsområde.

Artikel 24 gäller registerföring, i enlighet med artikel 10.1 i rambeslut 2008/977, samtidigt som det ger ytterligare klargöranden.

Genom artikel 25 klargörs registeransvarigas och registerförares skyldigheter att samarbeta med tillsynsmyndigheterna.

Artikel 26 avser de fall där samråd med tillsynsmyndigheten är obligatoriskt före behandlingen, på grundval av artikel 23 i rambeslut 2008/977/RIF.

3.4.4.2. AVSNITT 2 DATASÄKERHET

Artikel 27 om säkerhet i samband med behandlingen av uppgifter bygger på den nuvarande artikel 17.1 i direktiv 95/46 om säkerhet vid behandling, och artikel 22 i rambeslut 2008/977/RIF, men utökar de tillhörande skyldigheterna för registerförare, oberoende av deras avtal med den registeransvarige.

I artiklarna 28 och 29 införs en skyldighet att anmäla personuppgiftsbrott, som inspirerats av anmälan av personuppgiftsbrott i artikel 4.3 i direktiv 2002/58/EC om integritet och elektronisk kommunikation, att klargöra och särskilja skyldigheterna att underrätta tillsynsmyndigheten (artikel 28) och att, under vissa omständigheter, informera den registrerade (artikel 29). Artikel 29 föreskrivs också undantag med hänvisning till artikel 11.4.

3.4.4.3. AVSNITT 3 UPPGIFTSSKYDDSOMBUD

I Artikel 30 införs en förpliktelse för den registeransvarige att utnämna ett obligatoriskt uppgiftsskyddsombud som ska fullgöra de uppgifter som förtecknas i artikel 32. Om flera behöriga myndigheter agerar under tillsyn av en central myndighet, som fungerar som registeransvarig, bör åtminstone denna centrala myndighet utnämna ett sådant uppgiftsskyddsombud. Artikel 18.2 i direktiv 95/46/EG gav medlemsstaterna möjlighet att införa ett sådant krav som en ersättning för det allmänna anmälningskravet i det direktivet.

Genom artikel 31 redogörs för uppgiftsskyddsombudets ställning.

Genom artikel 32 föreskrivs uppgiftsskyddsombudets uppgifter.

3.4.5. KAPITEL V – ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER INTERNATIONELLA ORGANISATIONER

I artikel 33 anges de allmänna principerna för överföring av personuppgifter till tredjeländer eller internationella organisationer på området för polissamarbete och straffrättsligt samarbete, inklusive vidare överföring. Det klargörs att överföringar till tredjeland endast får ske om överföringen är nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

I artikel 34 fastställs att överföringar får ske till tredjeländer för vilka kommissionen har antagit ett beslut om adekvat skyddsnivå enligt förordning …./../201X eller specifikt på området för polissamarbete och straffrättsligt samarbete, eller, i avsaknad av ett sådant beslut, om lämpliga skyddsåtgärder har vidtagits. Så länge som beslut om adekvat skyddsnivå inte finns garanterar direktivet att överföringar kan fortsätta att ske på grundval av lämpliga skyddsåtgärder och undantag. Det fastställer dessutom kriterier för kommissionens bedömning av en adekvat eller icke-adekvat skyddsnivå, och inbegriper uttryckligen rättsstatsprincipen, rättslig prövning och oberoende övervakning. Enligt artikeln ges också kommissionen möjlighet att bedöma nivån på det skydd som lämnas av ett territorium eller en behandlande sektor i ett tredjeland. Den fastställer att ett allmänt beslut om adekvat skyddsnivå som antas i enlighet med förfarandena i artikel 38 i den allmänna uppgiftsskyddsförordningen, ska tillämpas inom detta direktivs tillämpningsområde. Alternativt kan ett beslut om adekvat skyddsnivå antas av kommissionen uteslutande för de ändamål som avses i detta direktiv.

I artikel 35 fastställs de lämpliga skyddsåtgärder som krävs före internationella överföringar, i avsaknad av ett kommissionsbeslut om adekvat skyddsnivå. Dessa skyddsåtgärder kan vidtas genom rättsligt bindande instrument såsom internationella avtal. Alternativt kan den registeransvarige på grundval av en bedömning av omständigheterna i samband med överföringen dra slutsatsen att de föreligger.

I artikel 36 anges undantagen för uppgiftsöverföring på grundval av artikel 26 i direktiv 95/46/EG och artikel 13 i rambeslut 2008/977/RIF.

Artikel 37 ålägger medlemsstaterna att föreskriva att den registeransvarige ska underrätta mottagaren om eventuella begränsningar av behandlingen och vidta alla rimliga åtgärder för att säkerställa att dessa begränsningar följs av mottagarna av personuppgifter i tredjelandet eller den internationella organisationen.

I artikel 38 lämnas uttryckligen föreskrifter för internationella samarbetsmekanismer för skydd av personuppgifter mellan kommissionen och tillsynsmyndigheter i tredjeländer, särskilt de som anses erbjuda en adekvat skyddsnivå, med hänsyn tagen till OECD:s rekommendation om gränsöverskridande samarbete vid tillämpningen av lagstiftning om integritetsskydd av den 12 juni 2007.

KAPITEL VI – NATIONELLA TILLSYNSMYNDIGHETER

3.4.5.1. AVSNITT 1 OBEROENDE STÄLLNING

Enligt artikel 39 ska varje medlemsstat inrätta en tillsynsmyndighet enligt artikel 28.1 i direktiv 95/46/EG och artikel 25 i rambeslut 2008/977/RIF, och utvidga dessa myndigheters uppdrag för att bidra till en enhetlig tillämpning av direktivet inom hela unionen. Denna tillsynsmyndighet kan vara den tillsynsmyndighet som inrättats enligt den allmänna uppgiftsskyddsförordningen.

Genom artikel 40 klargörs villkoren för tillsynsmyndigheternas oberoende, varvid EU-domstolens rättspraxis genomförs[29], och inspiration även hämtas från artikel 44 i förordning (EG) nr 45/2001[30].

Genom artikel 41 föreskrivs allmänna villkor för tillsynsmyndighetens ledamöter, varigenom relevant rättspraxis genomförs[31] och inspiration även hämtas från artikel 42.2–42.6 i förordning (EG) nr 45/2001.

I artikel 42 fastställs bestämmelser angående inrättandet av tillsynsmyndigheten som medlemsstaterna ska föreskriva i lag, inklusive om villkoren för dess ledamöter.

Artikel 43 om tystnadsplikt för tillsynsmyndighetens ledamöter och personal följer artikel 28.7 i direktiv 95/46/EG och artikel 25.4 i rambeslut 2008/977/RIF.

3.4.5.2. AVSNITT 2 UPPDRAG OCH BEFOGENHETER

I artikel 44 fastställs tillsynsmyndigheternas behörighet, på grundval av artikel 28.6 i direktiv 95/46/EG och artikel 25.1 i rambeslut 2008/977/RIF. Domstolar är i sin dömande verksamhet undantagna från övervakning av tillsynsmyndigheten, men inte från tillämpningen av de materiella reglerna om uppgiftsskydd.

I artikel 45 föreskrivs medlemsstaternas skyldighet att föreskriva tillsynsmyndighetens ansvarsområden, bland annat att ta emot och utreda klagomål och att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter. En särskild arbetsuppgift för tillsynsmyndigheterna i samband med detta direktiv är att, om direkt tillgång vägras eller begränsas, utöva rätten till tillgång för den registrerades räkning och att kontrollera att uppgiftsbehandlingen är tillåten.

I artikel 46 föreskrivs tillsynsmyndighetens befogenheter, på grundval av artikel 28.3 i direktiv 95/46/EG, artikel 25.2 och 25.3 i rambeslut 2008/977/RIF. Enligt artikel 47 ska tillsynsmyndigheterna utarbeta årliga verksamhetsrapporter, som grundar sig på artikel 28.5 i direktiv 95/46/EG.

3.4.6. KAPITEL VII – SAMARBETE

I artikel 48 införs bestämmelser om obligatoriskt ömsesidigt bistånd. Artikel 28.6 i direktiv 95/46/EG föreskrev bara en allmän skyldighet att samarbeta, utan närmare precisering.

Artikel 49 föreskriver att Europeiska dataskyddsstyrelsen, som inrättats genom den allmänna uppgiftsskyddsförordningen, ska utöva sina uppgifter även i fråga om behandling inom detta direktivs tillämpningsområde. För att tillhandahålla kompletterande stöd, kommer kommissionen att rådfråga företrädare för myndigheter som är behöriga att förebygga, utreda, avslöja eller lagföra brott i medlemsstaterna, samt företrädare för Europol och Eurojust, med hjälp av en expertgrupp för de aspekter på uppgiftsskydd som rör brottsbekämpning.

3.4.7. KAPITEL VIII – RÄTTSMEDEL, ANSVAR, PÅFÖLJDER OCH ADMINISTRATIVA SANKTIONER

Artikel 50 föreskriver att alla registrerade har rätt att inge klagomål till en tillsynsmyndighet, på grundval av artikel 28.4 i direktiv 95/46/EG, och avser alla överträdelser av direktivet som rör den klagande. Här specificeras även vilka organ, organisationer eller sammanslutningar som kan lämna klagomål på en registrerad persons vägnar och även vid personuppgiftsbrott, oberoende av en registrerad persons klagomål.

Artikel 51 rör rätten till rättsmedel mot en tillsynsmyndighets beslut. Den bygger på den allmänna bestämmelsen i artikel 28.3 i direktiv 95/46/EG, och föreskriver särskilt att den registrerade får väcka talan för att tvinga tillsynsmyndigheten att agera vid ett klagomål.

Artikel 52 gäller rätten till rättsmedel mot en registeransvarig eller registerförare, på grundval av artikel 22 i direktiv 95/46/EG och artikel 20 i rambeslut 2008/977/RIF.

Genom artikel 53 införs gemensamma bestämmelser för domstolsförfaranden, bl.a. rättigheterna för organ, organisationer eller sammanslutningar att företräda registrerade personer inför domstolarna, tillsynsmyndigheternas rätt att delta i rättsliga förfaranden. Medlemsstaternas skyldighet att säkerställa snabb domstolbehandling har inspirerats av artikel 18.1 i direktiv 2000/31/EG[32] om elektronisk handel.

Enligt artikel 54 ska medlemsstaterna sörja för rätten till ersättning. Den bygger på artikel 23 i direktiv 95/46/EG och artikel 19.1 i rambeslut 2008/977/RIF, utvidgar denna rätt till skador förorsakade av registerförare och klargör gemensamma registeransvarigas och gemensamma registerförares ansvar.

Genom artikel 55 förpliktigas medlemsstaterna att fastställa påföljder, att bestraffa överträdelser av direktivet, och att säkerställa genomförandet.

3.4.8. KAPITEL IX – DELEGERADE AKTER OCH GENOMFÖRANDEAKTER

Artikel 56 innehåller standardbestämmelser för utövandet av delegering i enlighet med artikel 290 i EUF-fördraget. Enligt denna artikel kan lagstiftaren till kommissionen delegera befogenheten att anta akter med allmän räckvidd som inte är lagstiftningsakter och som kompletterar eller ändrar vissa icke väsentliga delar av en lagstiftningsakt.

Artikel 57 innehåller bestämmelserna för kommittéförfarandet då kommissionen tilldelas genomförandebefogenheter när enhetliga villkor behövs för genomförandet av unionens rättsligt bindande akter, i enlighet med artikel 291 i EUF-fördraget. Granskningsförfarandet är tillämpligt.

3.4.9. KAPITEL X – SLUTBESTÄMMELSER

Artikel 58 upphäver rambeslut 2008/977/RIF.

I artikel 59 fastställs att särskilda bestämmelser som avser behandling av personuppgifter som utförs av behöriga myndigheterna för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder och som finns i unionsrättsakter, som reglerar behandlingen av personuppgifter eller tillgång till informationssystem inom direktivets tillämpningsområde, och som antagits före antagandet av detta direktiv, inte påverkas.

Artikel 60 klargör förhållandet mellan detta direktiv och internationella avtal som tidigare ingåtts av medlemsstaterna på området för straffrättsligt samarbete och polissamarbete.

I artikel 61 föreskrivs en skyldighet för kommissionen att utvärdera och rapportera om genomförandet av direktivet, i syfte att bedöma behovet av att anpassa de tidigare antagna särskilda bestämmelser som avses i artikel 59 till detta direktiv.

I artikel 62 fastställs skyldigheten för medlemsstaterna att införliva direktivet i sin nationella lagstiftning och till kommissionen anmäla de bestämmelser som antagits i enlighet med direktivet.

I artikel 63 fastställs datumet för direktivets ikraftträdande.

I artikel 64 fastställs till vem detta direktiv riktar sig.

4.         BUDGETKONSEKVENSER

Den finansieringsöversikt för rättsakt som åtföljer förslaget till allmän uppgiftsskyddsförordning omfattar såväl förordningens som detta direktivs budgetkonsekvenser.

2012/0010 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV

om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

efter att ha hört Europeiska datatillsynsmannen[33],

i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1) Skyddet av fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16.1 i fördraget om Europeiska unionens funktionssätt garanterar var och en rätten till skydd av de personuppgifter som rör honom eller henne.

(2) Avsikten med att behandla personuppgifter är att betjäna människor. Principerna och reglerna för skyddet av enskilda personer vid behandling av deras personuppgifter bör, oavsett medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, främst deras rätt till skydd av personuppgifter. Behandlingen av personuppgifter bör bidra till att skapa ett område av frihet, säkerhet och rättvisa.

(3) Den snabba tekniska utvecklingen och globaliseringen har ställt oss inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Teknik skapar förutsättningar för behöriga myndigheter att i sin verksamhet använda personuppgifter i en aldrig tidigare skådad omfattning.

(4) Detta gör det nödvändigt att underlätta det fria flödet av uppgifter mellan behöriga myndigheter inom unionen samt överföringar till tredjeländer och internationella organisationer, och samtidigt säkerställa en hög skyddsnivå för personuppgifter. Dessa utvecklingstendenser kräver en stark och mer sammanhängande ram för uppgiftsskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete.

(5) Europaparlamentets och rådet direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter[34] är tillämpligt på all behandling av personuppgifter som förekommer i medlemsstaterna, såväl inom den offentliga som inom den privata sektorn. Det är emellertid inte tillämpligt på behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten”, t.ex. verksamhet på områdena för straffrättsligt samarbete och polissamarbete.

(6) Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete[35] är tillämpligt på områdena för straffrättsligt samarbete och polissamarbete. Tillämpningsområdet för detta rambeslut begränsas till behandlingen av sådana personuppgifter som överförs eller görs tillgängliga mellan medlemsstaterna.

(7) Att garantera en enhetlig och hög nivå på skyddet av enskildas personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete. Därför måste skyddet av enskildas fri- och rättigheter i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder vara likvärdigt i alla medlemsstater. Ett effektivt skydd av personuppgifter i hela unionen förutsätter att de registrerades rättigheter stärks och att skyldigheterna för dem som behandlar sådana uppgifter klargörs, men också likvärdiga befogenheter för de myndigheter och organ som har ansvaret för att övervaka och säkerställa efterlevnaden av bestämmelserna om skydd av personuppgifter i medlemsstaterna.

(8) I artikel 16.2 i fördraget om Europeiska unionens funktionssätt anges att Europaparlamentet och rådet ska fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter samt om den fria rörligheten för sådana uppgifter.

(9) Därför fastställs i Europaparlamentets och rådets förordning EU …../2012 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) allmänna bestämmelser om skydd av enskilda i samband med behandling av personuppgifter och om den fria rörligheten för sådana uppgifter inom unionen.

(10) I förklaring 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, som är fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att särskilda regler om skydd av personuppgifter och om fri rörlighet för sådana uppgifter på områdena för straffrättsligt samarbete och polissamarbete på grundval av artikel 16 i fördraget om Europeiska unionens funktionssätt kan visa sig nödvändig på grund av dessa områden särskilda natur.

(11) Ett särskilt direktiv bör således vara anpassat till den särskilda karaktären hos dessa områden och fastställa bestämmelser om skydd för enskilda i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

(12) För att säkerställa en enhetlig skyddsnivå för enskilda genom rättsligt bindande rättigheter i hela unionen och undvika avvikelser som hämmar utbytet av personuppgifter mellan behöriga myndigheter, bör direktivet innehålla harmoniserade bestämmelser om skydd och fri rörlighet för personuppgifter på områdena för straffrättsligt samarbete och polissamarbete.

(13) Detta direktiv gör det möjligt att vid tillämpningen av dess bestämmelser ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar.

(14) Det skydd som ska tillhandahållas enligt detta direktiv gäller vid behandling av enskildas personuppgifter, oavsett de berörda personernas medborgarskap eller hemvist.

(15) Skyddet av enskilda bör vara tekniskt neutralt, det vill säga inte vara beroende av den teknik som används, eftersom detta skulle skapa en allvarlig risk för att reglerna kringgås. Skyddet av enskilda bör vara tillämpligt på både automatisk och manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter, liksom deras omslag, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av detta direktiv. Detta direktiv bör inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, särskilt verksamhet som rör nationell säkerhet, eller av uppgifter som behandlats av unionens institutioner, organ och byråer, t.ex. Europol eller Eurojust.

(16) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Vid bedömningen av om en fysisk person är identifierbar bör man ta hänsyn till alla hjälpmedel som den registeransvarige eller någon annan person rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar.

(17) Personuppgifter som rör hälsa bör särskilt omfatta alla uppgifter som hänför sig till en registrerad persons hälsotillstånd, uppgifter om registrering av personen för tillhandahållande av hälso- och sjukvårdstjänster, uppgifter om betalning för eller rätt till hälso- och sjukvård avseende personen i fråga, ett nummer, en symbol eller ett kännetecken som personen tilldelats för att identifiera denne uteslutande för hälso- och sjukvårdsändamål, alla uppgifter om personen som insamlats i samband med hälso- och sjukvårdstjänster som personen utnyttjat, uppgifter som härrör från tester eller undersökningar av en kroppsdel eller kroppssubstans, däribland biologiska prover, Identifiering av en person som tillhandahåller hälso- och sjukvård till den registrerade, eller andra uppgifter om t.ex. en sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling, eller den registrerades faktiska fysiologiska eller biomedicinska tillstånd oberoende av källan, exempelvis från en läkare eller annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(18) Varje behandling av personuppgifter måste vara tillåten, rättvis och öppen i förhållande till berörda enskilda. I synnerhet bör de särskilda ändamål för vilka uppgifterna behandlas formuleras tydligt.

(19) För att ge behöriga myndigheter förutsättningar att förebygga, utreda och lagföra brott är det viktigt att de kan bevara och behandla personuppgifter som insamlats i samband med sådan verksamhet också för andra ändamål, så att det blir möjligt att utveckla kunskap om olika brottsföreteelser och brottstrender, samla in underrättelser om kriminella nätverk och göra kopplingar mellan olika brott.

(20) Personuppgifter bör inte behandlas för ändamål som är oförenliga med det ändamål för vilket de samlades in. Personuppgifter ska vara adekvata, relevanta och inte överdrivet omfattande med hänsyn till ändamålet med behandlingen. Alla rimliga åtgärder bör vidtas för att säkerställa att oriktiga personuppgifter rättas eller raderas.

(21) Principen om uppgifters riktighet ska tillämpas med hänsyn till vilken typ av behandling det är fråga om och syftet med denna. Särskilt i domstolsförfaranden baseras utsagor som innehåller personuppgifter på individers subjektiva uppfattningar, med följden att uppgifterna i vissa fall inte kan verifieras. Följaktligen bör inte riktighetskravet ha någon relevans för frågan om huruvida ett uttalande är riktigt, utan endast för det faktum att ett visst uttalande har gjorts.

(22) Vid tolkning och tillämpning av allmänna principer avseende behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder bör hänsyn tas till de specifika förhållandena inom den berörda sektorn, inklusive de särskilda mål som eftersträvas.

(23) Behandling av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete innebär av naturliga skäl att personuppgifter om olika kategorier av registrerade behandlas. Därför är det viktigt att i möjligaste mån göra en klar åtskillnad mellan personuppgifter om olika kategorier av registrerade, t.ex. brottsmisstänkta, brottsdömda och brottsoffer samt andra som berörs av ett brottmål, t.ex. vittnen, personer med relevant information eller personer med kontakter eller band till brottsmisstänkta och brottsdömda.

(24) Personuppgifter bör i möjligaste mån delas in efter grad av riktighet och tillförlitlighet. Sakförhållanden bör hållas isär från personliga bedömningar, så att det blir möjligt att garantera såväl skydd för enskilda personer som kvalitet och tillförlitlighet i den information som behandlas av behöriga myndigheter.

(25) För att vara laglig bör behandlingen av personuppgifter vara nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, för att utföra en arbetsuppgift av allmänt intresse som en behörig myndighet ansvarar för enligt lag, för att skydda intressen av grundläggande betydelse för den registrerade eller en annan person eller för att förebygga ett omedelbart och allvarligt hot mot den allmänna säkerheten.

(26) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter eller skyddet av privatlivet, däribland genetiska data, förtjänar ett särskilt skydd. Sådana uppgifter bör inte behandlas, om inte behandlingen är godkänd enligt lagstiftning som föreskriver lämpliga åtgärder för att säkerställa den registrerades berättigade intressen, behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person eller behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

(27) Varje fysisk person bör ha rätt att inte bli föremål för åtgärder som endast grundar sig på automatisk uppgiftsbehandling om detta skulle medföra negativa rättsliga verkningar för denna person, såvida inte behandlingen är tillåten enligt lag och omfattas av lämpliga åtgärder för att skydda den registrerades berättigade intressen.

(28) För att den registrerade ska kunna utöva sina rättigheter bör all information som riktar sig till denne vara lättillgänglig och lätt att förstå, vilket inbegriper användning av ett klart och enkelt språk.

(29) Det bör finnas arrangemang som underlättar för registrerade att utöva sina rättigheter enligt detta direktiv, bl.a. rutiner för att kostnadsfritt begära särskilt tillgång till uppgifterna samt rättelse och radering av dessa. Den registeransvarige bör vara skyldig att besvara framställningar från den registrerade utan onödigt dröjsmål.

(30) Principen om rättvis uppgiftsbehandling innebär att registrerade ska informeras särskilt om att behandling sker och syftet med behandlingen, hur länge uppgifterna kommer att lagras, rätten att få tillgång till, rätta eller radera uppgifter samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att tillhandahålla uppgifterna, och om vilka konsekvenserna blir om de inte lämnar dem.

(31) Informationen till de registrerade om behandlingen av uppgifter om dem bör överlämnas i samband med att uppgifterna samlas in eller, om uppgifterna inte har erhållits från de registrerade, vid tidpunkten för registreringen, eller inom en skälig tid efter insamlingen, med hänsyn tagen till de särskilda förhållanden under vilka uppgifterna behandlas.

(32) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är införstådda med att behandling sker och kan kontrollera att den är tillåten. Därför bör varje registrerad har rätt att känna till och underrättas om i synnerhet de ändamål för vilka uppgifterna behandlas, hur länge behandlingen kommer att pågå och vilka som kommer att få del av uppgifterna, inbegripet mottagare i tredjeländer. Registrerade bör ha rätt till en kopia av de uppgifter som behandlas.

(33) Medlemsstaterna bör ha möjlighet att genom lagstiftning vidta åtgärder som innebär att informationen till de registrerade eller de registrerades tillgång till sina uppgifter senareläggs, begränsas eller utelämnas, i den utsträckning och så länge som en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens berättigade intressen, och syftet är att förebygga obstruktion av officiella eller rättsliga utredningar, undersökningar eller förfaranden, undvika menlig inverkan på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder, skydda allmän eller nationell säkerhet eller skydda den registrerade eller andra personers fri- och rättigheter.

(34) Varje vägran att ge den registrerade tillgång till sina uppgifter och varje begränsning av sådan tillgång bör meddelas den registrerade skriftligen, inklusive de faktiska eller rättsliga skäl som beslutet grundar sig på.

(35) När medlemsstater har antagit lagstiftning som helt eller delvis begränsar rätten till tillgång, bör de registrerade ha rätt att begära att den behöriga nationella tillsynsmyndigheten kontrollerar behandlingens laglighet. De registrerade bör informeras om denna rättighet. När en tillsynsmyndighet utövar rätten att få tillgång till uppgifter för de registrerades räkning, bör tillsynsmyndigheten informera dem åtminstone om att tillsynsmyndigheten har utfört alla nödvändiga kontroller och om resultatet av dessa kontroller när det gäller lagligheten av behandlingen i fråga.

(36) Var och en bör ha rätt att få felaktiga personuppgifter om sig rättade samt rätt till radering om behandlingen av sådana uppgifter inte föreenlig med de grundläggande principerna i detta direktiv. När personuppgifter behandlas inom ramen för en brottsutredning och ett brottmål, bör rätten till rättelse, information, tillgång och radering samt till begränsning av behandlingen kunna säkerställas i enlighet med nationella bestämmelser om rättsliga förfaranden.

(37) Registeransvariga bör åläggas ett övergripande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Den registeransvarige bör särskilt se till att behandlingen är förenlig med de bestämmelser som antas i enlighet med detta direktiv.

(38) Skyddet av de registrerades rättigheter i samband med behandlingen av personuppgifter kräver lämpliga tekniska och organisatoriska åtgärder för att säkerställa att direktivets krav uppfylls. För att garantera överensstämmelse med de bestämmelser som antas enligt detta direktiv, bör den registeransvarige anta strategier och genomföra lämpliga åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard.

(39) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarnas ansvar kräver en tydlig fördelning av ansvar enligt detta direktiv, inklusive när en registeransvarig bestämmer ändamålen med och villkoren och medlen för behandlingen tillsammans med andra registeransvariga eller när behandlingen utförs på uppdrag av en registeransvarig.

(40) Behandling av personuppgifter bör dokumenteras av den registeransvarige eller av registerföraren, i syfte att övervaka efterlevnaden av detta direktiv. Varje registeransvarig och registerförare bör vara skyldig att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen.

(41) I syfte att säkerställa ett effektivt skydd av de registrerades rättigheter och friheter genom förebyggande åtgärder, bör den registeransvarige eller registerföraren i vissa fall samråda med tillsynsmyndigheten innan uppgifterna behandlas.

(42) Ett personuppgiftsbrott kan, om det inte snabbt blir föremål för lämpliga åtgärder, medföra skada, inklusive med avseende på den berörda personens anseende. Så snart som den registeransvarige blir medveten om att ett sådant brott har inträffat, bör denne anmäla brottet till den behöriga nationella myndigheten. Enskilda personer vars personuppgifter eller integritet kan utsättas för negativ påverkan genom brottet bör meddelas utan onödigt dröjsmål, så att de får tillfälle att vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses ha en menlig inverkan på en individs personuppgifter och integritet om det kan leda till exempelvis identitetsstöld eller identitetsbedrägeri, personskada, betydande förödmjukelse eller skadat anseende i samband med behandlingen av personuppgifter.

(43) När närmare bestämmelser fastställs för tillämpliga format och förfaranden för anmälan av personuppgiftsbrott bör vederbörlig hänsyn tas till omständigheterna kring brottet, däribland om personuppgifterna var omgärdade av lämpligt tekniskt skydd som betydligt begränsade sannolikheten för missbruk. Bestämmelserna och förfarandena bör dessutom beakta behöriga myndigheters berättigade intressen i fall där ett tidigt utlämnande kan riskera att i onödan hämma utredningen av omständigheterna kring ett brott.

(44) Registeransvariga eller registerförare bör utse en person som kan hjälpa dem med att övervaka efterlevnaden av de bestämmelser som antas i enlighet med detta direktiv. Flera enheter inom den behöriga myndigheten kan gemensamt utse uppgiftsskyddsombud. Uppgiftsskyddsombuden måste kunna utföra sina uppdrag och arbetsuppgifter på ett oberoende och effektivt sätt.

(45) Medlemsstaterna bör se till att överföringar till ett tredjeland endast kan äga rum om detta är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott eller för att verkställa straffrättsliga påföljder, och den registeransvarige i tredjelandet eller den internationella organisationen är en myndighet som är behörig i den mening som avses i detta direktiv. En överföring kan äga rum när kommissionen har beslutat att skyddsnivån i ett tredjeland eller en internationell organisation är adekvat, eller när lämpliga skyddsåtgärder föreligger.

(46) Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. I dessa fall får överföringar av personuppgifter till dessa länder ske utan behov av ytterligare tillstånd.

(47) I linje med de grundläggande värderingar som unionen vilar på, allra främst skyddet av de mänskliga rättigheterna, bör kommissionen beakta hur rättsstatsprincipen, möjlighet till rättslig prövning samt internationella människorättsliga normer och standarder respekteras i det tredjelandet.

(48) Kommissionen bör likaledes kunna konstatera att ett tredjeland eller ett territorium eller en behandlande sektor inom ett tredjeland, eller en internationell organisation, inte erbjuder en adekvat nivå på skyddet av uppgifterna. Följaktligen bör överföringar av personuppgifter till det tredjelandet förbjudas utom när de bygger på internationella avtal, omgärdas av lämpliga skyddsåtgärder eller grundas på ett undantag. Bestämmelser bör fastställas för förfaranden för samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Ett sådant kommissionsbeslut ska dock inte påverka möjligheten att göra överföringar när dessa är omgärdade av lämpliga skyddsåtgärder eller grundas på ett undantag som finns fastställt i direktivet.

(49) Överföringar som inte grundar sig på ett sådant beslut om adekvat skyddsnivå bör endast tillåtas om lämpliga skyddsåtgärder vidtagits genom ett rättsligt bindande instrument, som säkrar skyddet av personuppgifterna eller om den registeransvarige eller registerföraren har gjort en bedömning av alla omständigheterna kring en uppgiftsöverföring eller en serie uppgiftsöverföringar och på grundval av denna bedömning anser att lämpliga skyddsåtgärder föreligger vad avser skyddet av personuppgifter. När skäl saknas för att tillåta en överföring, bör undantag medges om överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta, eller om det är avgörande för att avvärja en omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller i ett tredjeland, eller i enskilda fall när det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, eller i enskilda fall för att fastslå, göra gällande eller försvara rättsliga anspråk.

(50) När personuppgifter förs över gränserna kan detta öka risken för att enskilda inte kan utöva sina uppgiftsskyddsrättigheter att skydda sig från otillåten användning eller utlämnande av dessa uppgifter. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att samarbeta i ett gränsöverskridande sammanhang kan också försvåras på grund av otillräckliga preventiva eller korrigerande befogenheter eller oenhetliga rättsliga regelverk. Närmare samarbete mellan tillsynsmyndigheter bör därför främjas för att hjälpa dem att utbyta information med sina utländska motsvarigheter.

(51) För att skydda enskilda vid behandling av personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i detta direktiv och bidra till enhetlig tillämpning i hela unionen, för att skydda fysiska personer när deras personuppgifter behandlas. För detta ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen.

(52) Medlemsstaterna får anförtro en tillsynsmyndighet som de redan inrättat i enlighet med förordning (EU) …./2012 ansvaret för de arbetsuppgifter som ska skötas av de nationella tillsynsmyndigheter som ska inrättas med anledning av detta direktiv.

(53) Medlemsstaterna bör kunna inrätta mer än en tillsynsmyndighet för att återspegla sin konstitutionella, organisatoriska och administrativa struktur. Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen.

(54) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, och inkludera regler om deras personliga kvalifikationer och ställning.

(55) Detta direktiv är visserligen tillämpligt på nationella domstolars verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter i domstolar när detta sker som en del av domstolarnas dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga arbetsuppgifter. Detta undantag bör dock vara inskränkt till genuint rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga verksamheter där domare i enlighet med nationell lagstiftning kan medverka.

(56) För att detta direktiv ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndigheterna i alla medlemsstater ha samma uppdrag och effektiva befogenheter, bl.a. befogenheter att utreda, vidta rättsligt bindande åtgärder, fatta beslut och ålägga påföljder, särskilt vid klagomål från enskilda, samt delta i rättsliga förfaranden.

(57) Tillsynsmyndigheterna bör ta emot klagomål som lämnas in av registrerade och utreda ärendena i fråga. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta.

(58) Tillsynsmyndigheterna bör bistå varandra när de utför sitt uppdrag och ge ömsesidigt bistånd för att se till att bestämmelser som antas i enlighet med i detta direktiv efterlevs och tillämpas enhetligt.

(59) Europeiska dataskyddsstyrelsen som inrättats genom förordning (EU) …./2012 bör bidra till detta direktivs enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen och främja samarbetet mellan tillsynsmyndigheterna i hela unionen.

(60) Alla registrerade bör ha rätt att klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till rättsmedel om de anser att deras rättigheter enligt detta direktiv har kränkts eller om tillsynsmyndigheten inte agerar med anledning av ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter.

(61) Alla organ, organisationer eller sammanslutningar som syftar till att skydda registrerades rättigheter vad gäller skyddet av personuppgifter och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att på de registrerades vägnar, om de av dessa vederbörligen fått detta uppdrag, klaga eller utöva rätten till rättsmedel, eller att oberoende av en registrerad persons klagomål själv klaga när de anser att ett personuppgiftsbrott har begåtts.

(62) Varje fysisk eller juridisk person bör ha rätt till ett rättsmedel mot beslut rörande dem som meddelats av en tillsynsmyndighet. En eventuell talan mot en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

(63) Medlemsstaterna bör se till att domstolsförfarandena, för att vara effektiva, medger att åtgärder snabbt vidtas för att åtgärda eller förhindra överträdelser av detta direktiv.

(64) Personer som lider skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure.

(65) Om någon fysisk eller juridisk person underlåter att följa detta direktiv bör detta leda till påföljder, oavsett om personen i fråga omfattas av privaträttslig eller offentligrättslig lagstiftning. Medlemsstaterna bör se till att påföljderna är effektiva, proportionella och avskräckande och ska vidta alla åtgärder som krävs för att påföljderna ska verkställas.

(66) I syfte att uppnå målen för detta direktiv, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, och i synnerhet deras rätt till skydd av personuppgifter och för att säkra fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas i fråga om anmälningar av personuppgiftsbrott till tillsynsmyndigheterna. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerande akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt.

(67) Genomförandebefogenheterna bör delegeras till kommissionen för att förutsättningarna för genomförandet av detta direktiv ska bli enhetliga i fråga om registeransvarigas och registerförares dokumentation, uppgiftsbehandlingens säkerhet, särskilt vad gäller krypteringsstandarder, anmälningar av personuppgiftsbrott till tillsynsmyndigheten samt adekvata skyddsnivåer i ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter[36].

(68) Mot bakgrund av att dessa rättsakter har allmän räckvidd bör granskningsförfarandet användas åtgärder vidtas som gäller registeransvarigas och registerförares dokumentation, uppgiftsbehandlingens säkerhet, anmälningar av personuppgiftsbrott till tillsynsmyndigheterna samt adekvat skyddsnivå i ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation.

(69) När tvingande skäl till skyndsamhet föreligger bör kommissionen i vederbörligen motiverade fall anta omedelbart tillämpliga genomförandeakter avseende ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation vars skyddsnivå inte är adekvat.

(70) Eftersom målen för detta direktiv, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, och för att säkerställa ett fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför, på grund av åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå det målet.

(71) Rambeslut 2008/977/RIF bör upphävas genom detta direktiv.

(72) Särskilda bestämmelser som avser behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder som finns i unionsakter, antagna före dagen för antagandet av detta direktiv, och som reglerar behandlingen av personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater till informationssystem som inrättats i enlighet med fördragen, bör kvarstå oförändrade. Kommissionen bör utvärdera situationen vad gäller förhållandet mellan detta direktiv och rättsakter, antagna före dagen för antagandet av detta direktiv, som reglerar behandling av personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater till informationssystem som inrättats i enlighet med fördragen, i syfte att bedöma om dessa särskilda bestämmelser behöver anpassas till detta direktiv.

(73) För att säkerställa ett övergripande och enhetligt skydd av personuppgifter i unionen, bör internationella avtal som medlemsstaterna ingått före ikraftträdandet av detta direktiv ändras så att de överensstämmer med detta direktiv.

(74) Detta direktiv påverkar inte bestämmelserna om bekämpande av sexuella övergrepp mot barn och sexuell exploatering av barn och barnpornografi i Europaparlamentets och rådets direktiv 2011/92/EU av den 13 december 2011[37].

(75) I enlighet med artikel 6a i protokollet om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, som fogats till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, är Förenade kungariket och Irland inte bundna av bestämmelserna i detta direktiv, i det fall då Förenade kungariket och Irland inte är bundna av bestämmelserna om formerna för straffrättsligt samarbete eller polissamarbete inom ramen för vilka de bestämmelser måste iakttas som fastställs på grundval av artikel 16 i fördraget om Europeiska unionens funktionssätt.

(76) I enlighet med artiklarna 2 och 2a i protokollet om Danmarks ställning, som fogats till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, är detta direktiv inte bindande för eller tillämpligt på Danmark. Eftersom detta direktiv innebär en utbyggnad av Schengenregelverket, som omfattas av avdelning V i tredje delen av fördraget om Europeiska unionens funktionssätt, ska Danmark i enlighet med artikel 4 i protokollet inom en tid av sex månader efter antagandet av detta direktiv besluta huruvida landet ska genomföra det i sin nationella lagstiftning.

(77) När det gäller Island och Norge utgör detta direktiv en vidareutveckling av Schengenregelverket i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket[38].

(78) När det gäller Schweiz utgör detta direktiv, i enlighet med avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenregelverket[39].

(79) När det gäller Liechtenstein utgör detta direktiv en vidareutveckling av bestämmelserna i Schengenregelverket i enlighet med protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket[40].

(80) Detta direktiv respekterar de grundläggande rättigheterna och iakttar de principer som erkänns i Europeiska unionens stadga om de grundläggande rättigheterna som fastställs i fördraget, bl.a. rätten till respekt för privatlivet och familjelivet, rätten till skydd av personuppgifter, rätt till ett effektivt rättsmedel och till en opartisk domstol. De inskränkningar som gjorts av dessa rättigheter överensstämmer med artikel 52.1 i stadgan eftersom de är nödvändiga för att uppnå av unionen erkända mål av allmänt intresse eller för att skydda andras fri- och rättigheter.

(81) I enlighet med medlemsstaternas och kommissionens gemensamma politiska förklaring om förklarande dokument av den 28 september 2011 har medlemsstaterna, i de fall detta är motiverat, åtagit sig att till anmälan av införlivandeåtgärder bifoga ett eller flera dokument som förklarar förhållandet mellan ett direktivs olika delar och motsvarande delar i de nationella instrumenten för införlivande. När det gäller detta direktiv anser lagstiftaren det vara motiverat att sådana dokument lämnas in.

(82) Detta direktiv bör inte hindra medlemsstaterna från att i nationell straffprocesslagstiftning genomföra bestämmelser om registrerades utövande av sina rättigheter vad gäller information, tillgång, rättelse, radering och begränsning av sina personuppgifter som behandlas i samband med straffrättsliga förfaranden samt eventuella begränsningar av dessa rättigheter.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1 Syfte och mål

1.           I detta direktiv fastställs bestämmelser om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

2.           Enligt detta direktiv ska medlemsstaterna

a)      skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, och

b)      se till att behöriga myndigheters utbyte av personuppgifter inom unionen varken begränsas eller förbjuds av skäl som rör skyddet för enskilda personer med avseende på behandlingen av personuppgifter.

Artikel 2 Tillämpningsområde

1.           Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.

2.           Direktivet ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

3.           Direktivet ska inte tillämpas på behandling av personuppgifter

a)      som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen, särskilt avseende nationell säkerhet,

b)      som utförs av unionens institutioner, organ och byråer.

Artikel 3 Definitioner

I detta direktiv gäller följande definitioner:

(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

(2) personuppgifter: varje upplysning som avser den registrerade.

(3) behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

(4) begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

(5) register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

(6) registeransvarig: en behörig offentlig myndighet som ensam eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne kan utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning.

(7) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning.

(8) mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas.

(9) personuppgiftsbrott: ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

(10) genetiska uppgifter: alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling.

(11) biometriska uppgifter: alla uppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter.

(12) uppgifter om hälsa: alla uppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen.

(13) barn: alla personer som är yngre än arton år.

(14) behöriga myndigheter: varje offentlig myndighet med behörighet att förebygga, utreda, avslöja eller lagföra brott eller att verkställa straffrättsliga påföljder.

(15) tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 39.

KAPITEL II

Principer

Artikel 4 Principer om behandling av personuppgifter

Medlemsstaterna ska föreskriva att personuppgifter ska

a)      behandlas på ett korrekt och lagligt sätt,

b)      samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål,

c)      vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

d)      vara riktiga och om nödvändigt hållas aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål,

e)      förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas,

f)       behandlas under ansvar av den registeransvarige, som ska se till att kraven i de bestämmelser som antas i enlighet med detta direktiv uppfylls.

.

Artikel 5 Åtskillnad mellan olika kategorier av registrerade

1.           Medlemsstaterna ska föreskriva att den registeransvarige, så långt det är möjligt, ska göra en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom

a)      personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott,

b)      personer som dömts för brott,

c)      brottsoffer, eller personer avseende vilka det finns vissa omständigheter som ger anledning att anta att de kan ha blivit offer för ett brott,

d)      andra som berörs av brottet, såsom personer som kan komma att kallas att vittna i samband med brottsutredningar eller senare straffrättsliga förfaranden, personer som kan ge information om brott, eller personer med kontakter eller band till någon av de personer som avses i a och b, och

e)      personer som inte passar in i någon av de kategorier som anges ovan.

Artikel 6 Olika grader av korrekthet och tillförlitlighet hos personuppgifter

1.           Medlemsstaterna ska se till att de olika kategorier av personuppgifter som behandlas, så långt det är möjligt, åtskiljs i enlighet med deras korrekthets- och tillförlitlighetsgrad.

2.           Medlemsstaterna ska se till att personuppgifter som grundar sig på fakta så långt det är möjligt åtskiljs från personuppgifter som grundar sig på personliga bedömningar.

Artikel 7 När personuppgifter får behandlas

Medlemsstaterna ska föreskriva att behandling av personuppgifter är tillåten endast om och i den mån som behandlingen är nödvändig

(a) för att utföra en arbetsuppgift som utförs av en behörig myndighet, på grundval av lagstiftning och för de ändamål som anges i artikel 1.1, eller

(b) för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller

(c) för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

(d) för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten.

Artikel 8 Behandling av särskilda kategorier av personuppgifter

1.           Medlemsstaterna ska förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv.

2.           Punkt 1 ska inte gälla om

a)      behandlingen godkänns av lagstiftning med bestämmelser om lämpliga skyddsåtgärder, eller

b)      behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

c)      behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

Artikel 9 Åtgärder som grundar sig på profilering och automatisk behandling

1.           Medlemsstaterna ska föreskriva att åtgärder som har negativa rättsliga följder för den registrerade eller som väsentligt berör honom eller henne och som enbart grundas på en automatisk behandling av uppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska förbjudas om åtgärderna inte godkänns av lagstiftning som också innehåller bestämmelser till skydd för den registrerades berättigade intressen.

2.           Automatisk behandling av personuppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska inte grunda sig enbart på de särskilda kategorier av personuppgifter som anges i artikel 8.

KAPITEL III

DEN REGISTRERADES RÄTTIGHETER

Artikel 10 Villkor för utövandet av den registrerades rättigheter

1.           Medlemsstaterna ska föreskriva att den registeransvarige ska vidta alla rimliga åtgärder för att ha en klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

2.           Medlemsstaterna ska föreskriva att all information och kommunikation som rör behandlingen av personuppgifter ska tillhandahållas av den registeransvarige till den registrerade i en begriplig form, med användning av klart och tydligt språk.

3.           Medlemsstaterna ska föreskriva att den registeransvarige ska vidta alla rimliga åtgärder för att fastställa förfaranden för tillhandahållandet av den information som anges i artikel 11 och för utövandet av den registrerades rättigheter enligt i artiklarna 12–17.

4.           Medlemsstaterna ska föreskriva att den registeransvarige ska informera den registrerade om uppföljningen av hans eller hennes begäran utan onödigt dröjsmål.

5.           Medlemsstaterna ska föreskriva att den information och de åtgärder som vidtas av den registeransvarige på sådan begäran som avses i punkterna 3 och 4 ska vara gratis. Om begäran är särskilt betungande, särskilt på grund av dess repetitiva karaktär, storlek eller volym, får den registeransvarige ta ut en avgift för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är särskilt betungande.

Artikel 11 Information till den registrerade

1.           Om personuppgifter som rör en registrerad person samlas in, ska medlemsstaterna se till att den registeransvarige vidtar alla lämpliga åtgärder för att till den registrerade åtminstone lämna information om följande:

a)      Identitet och kontaktuppgifter för den registeransvarige och uppgiftsskyddsombudet.

b)      Ändamålen med den behandling för vilken personuppgifterna är avsedda.

c)      Den period under vilken personuppgifterna kommer att lagras.

d)      Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse, radering eller begränsning av behandlingen av de personuppgifter som rör den registrerade.

e)      Rätten att inge ett klagomål till den tillsynsmyndighet som avses i artikel 39, samt dess kontaktuppgifter.

f)       Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet i tredjeländer eller internationella organisationer.

g)      Eventuell ytterligare information i den utsträckning som den ytterligare informationen är nödvändig för att garantera en korrekt behandling när det gäller den registrerade, med hänsyn tagen till de särskilda omständigheter under vilka personuppgifter behandlas.

2.           Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas.

3.           Den registeransvarige ska lämna den information som anges i punkt 1

a)      vid den tidpunkt när personuppgifterna erhålls från den registrerade, eller

b)      om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna behandlas.

4.           Medlemsstaterna får genom lagstiftning vidta åtgärder som gör att informationen till den registrerade senareläggs, begränsas eller utelämnas, i den utsträckning och så länge som, en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens berättigade intressen, i syfte att

(a) hindra obstruktion av officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

(b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

(c) skydda allmän säkerhet,

(d) skydda nationell säkerhet,

(e) skydda andra personers fri- och rättigheter.

5.           Medlemsstaterna får fastställa kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 4.

Artikel 12 Den registrerades rätt till tillgång

1.           Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Om sådana personuppgifter håller på att behandlas ska den registeransvarige tillhandahålla följande information:

a)      Ändamålen med behandlingen.

b)      De kategorier av personuppgifter som behandlingen gäller.

c)      De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut, särskilt mottagare i tredjeländer.

d)      Den period under vilken personuppgifterna kommer att lagras.

e)      Förekomsten av rättigheten att av den registeransvarige begära rättelse, radering eller begränsning av behandling av personuppgifter som rör den registrerade,

f)       Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

g)      Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer.

2.           Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige erhålla en kopia av de personuppgifter som håller på att behandlas.

Artikel 13 Begränsningar av rätten till tillgång

1. Medlemsstaterna får anta lagstiftning som helt eller delvis begränsar den registrerades rätt till tillgång i den utsträckning som en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens berättigade intressen, i syfte att

(a) hindra obstruktion av officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

(b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

(c) skydda allmän säkerhet,

(d) skydda nationell säkerhet,

(e) skydda andra personers fri- och rättigheter.

2. Medlemsstaterna får i lag fastställa kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 1.

3. I de fall som avses i punkterna 1 och 2 ska medlemsstaterna föreskriva att den registeransvarige ska informera den registrerade skriftligen om varje vägran att ge tillgång eller begränsning av tillgången, om skälen för vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning. Information om den sakliga eller rättsliga grunden för beslutet får utelämnas om tillhandahållande av sådan information skulle undergräva ett ändamål enligt punkt 1.

4. Medlemsstaterna ska se till att den registeransvarige dokumenterar skälen till utelämnandet av informationen om de sakliga och rättsliga grunderna för beslutet.

Artikel 14 Villkor för att utöva rätten till tillgång

1.           Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att begära att tillsynsmyndigheten kontrollerar att behandlingen är tillåten, särskilt i de fall som anges i artikel 13.

2.           Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade om rätten att begära att tillsynsmyndigheten ska ingripa enligt punkt 1.

3.           När den rätt som avses i punkt 1 utövas, ska tillsynsmyndigheten åtminstone underrätta den registrerade om att tillsynsmyndighetens alla nödvändiga kontroller har ägt rum, och om resultatet när det gäller huruvida den berörda behandlingen är tillåten.

Artikel 15 Rätt till rättelse

1.           Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige erhålla rättelse av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade ska ha rätt att få till stånd komplettering av ofullständiga personuppgifter, i synnerhet genom en korrigering.

2.           Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen om eventuell vägran att medge rättelse, om skälen för vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättsmedel.

Artikel 16 Rätt till radering

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas om behandlingen inte uppfyller kraven i de bestämmelser som antas enligt artiklarna 4 a–e, 7 och 8 i det här direktivet.

2. Den registeransvarige ska genomföra raderingen utan dröjsmål.

3. I stället för radering ska den registeransvarige märka personuppgifterna om

(a) den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta,

(b) personuppgifterna måste bevaras för bevisändamål,

(c) den registrerade motsätter sig att de raderas och i stället begär att deras användning begränsas.

4. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen om eventuell vägran att radera eller eventuell märkning av behandlingen, om skälen till vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

Artikel 17 Den registrerades rättigheter i brottsutredningar och straffrättsliga förfaranden

Medlemsstaterna får föreskriva att de rättigheter till information, tillgång, rättelse, radering och begränsning av behandling som avses i artiklarna 11–16 ska genomföras i enlighet med nationella bestämmelser om rättsliga förfaranden om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll som behandlas i samband med brottsutredningar och straffrättsliga förfaranden.

KAPITEL IV REGISTERANSVARIG OCH REGISTERFÖRARE

AVSNITT 1 ALLMÄNNA SKYLDIGHETER

Artikel 18 Den registeransvariges ansvar

1.           Medlemsstaterna ska föreskriva att den registeransvarige ska anta policyer och vidta lämpliga åtgärder för att se till att behandlingen av personuppgifter uppfyller kraven i de bestämmelser som antas i enlighet med detta direktiv.

2.           De åtgärder som avses i punkt 1 ska särskilt avse att

a)      förvara den dokumentation som avses i artikel 23,

b)      uppfylla kraven på förhandssamråd enligt artikel 26,

c)      genomföra de krav på datasäkerhet som fastställs i artikel 27,

d)      utse ett uppgiftsskyddsombud enligt artikel 30.

3.           Den registeransvarige ska införa rutiner för att säkerställa kontrollen av att de åtgärder som anges i punkt 1 i denna artikel är verkningsfulla. Om det är proportionellt, ska denna kontroll utföras av oberoende interna eller externa granskare.

Artikel 19 Inbyggt uppgiftsskydd och uppgiftsskydd som standard

1.           Medlemsstaterna ska föreskriva att den registeransvarige, med beaktande av dagens tillgängliga teknik och genomförandekostnaden, ska genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i bestämmelser som antas i enlighet med detta direktiv och säkerställa skydd av den registrerades rättigheter.

2.           Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast sådana personuppgifter som är nödvändiga för behandlingens ändamål behandlas.

Artikel 20 Gemensamma registeransvariga

Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra, ska medlemsstaterna föreskriva att de gemensamma registeransvariga måste fastställa sitt respektive ansvar för att uppfylla villkoren i de bestämmelser som antas i enlighet med detta direktiv, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan.

Artikel 21 Registerförare

1. Om behandlingen utförs på uppdrag av en registeransvarig ska medlemsstaterna föreskriva att den registeransvarige måste välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i de bestämmelser som antas i enlighet med detta direktiv och säkerställa skyddet av den registrerades rättigheter.

2. Medlemsstaterna ska föreskriva att en registerförares behandling av uppgifter ska regleras av en rättsligt bindande handling mellan registerföraren och den registeransvarige och att det i handlingen särskilt ska föreskrivas att registerföraren endast får handla på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden.

3. Om en registerförare behandlar andra personuppgifter än de som den registeransvarige gett instruktioner om ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 20.

Artikel 22 Behandling under den registeransvariges och registerförarens överinseende

Medlemsstaterna ska föreskriva att registerföraren och personer som utför arbete under den registeransvariges eller registerförarens överinseende, och som får tillgång till personuppgifter, endast får behandla dessa enligt instruktion från den registeransvarige, eller där så krävs enligt unionslagstiftningen eller medlemsstaternas lagstiftning.

Artikel 23 Dokumentation

1.           Medlemsstaterna ska föreskriva att varje registeransvarig och registerförare ska bevara dokumentation om alla system och förfaranden för uppgiftsbehandling som ligger inom deras ansvarsområde.

2.           Dokumentationen ska innehålla åtminstone följande uppgifter:

a)      Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare.

b)      Ändamålen med behandlingen.

c)      Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

d)      Överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen.

3.           Den registeransvarige och registerföraren ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten.

Artikel 24 Registerföring

1.           Medlemsstaterna ska se till att register förs över åtminstone följande typer av behandlingar: insamling, ändring, läsning, utlämning, sammanförande eller radering. Registren över läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan behandling och i möjligaste mån identifikationen av den person som har läst eller lämnat ut personuppgifter.

2.           Registren får endast användas för att kontrollera om behandlingen av uppgifterna är tillåten, för egenkontroll samt för att garantera dataintegritet och datasäkerhet.

Artikel 25 Samarbete med tillsynsmyndigheten

1.           Medlemsstaterna ska föreskriva att den registeransvarige och registerföraren på begäran ska samarbeta med tillsynsmyndigheten i dess tjänsteutövning, särskilt genom att tillhandahålla all den information som krävs för att tillsynsmyndigheten ska kunna utföra sina uppgifter.

2.           Som reaktion på tillsynsmyndighetens utövande av sina befogenheter enligt artikel 46 a och b ska den registeransvarige och registerföraren svara tillsynsmyndigheten inom en rimlig period. Svaret ska inbegripa en beskrivning av de åtgärder som vidtagits och de resultat som uppnåtts som svar på tillsynsmyndighetens anmärkningar.

Artikel 26 Förhandssamråd med tillsynsmyndigheten

1. Medlemsstaterna ska se till att den registeransvarige eller registerföraren samråder med tillsynsmyndigheten innan man behandlar personuppgifter som ska ingå i ett nytt register som ska inrättas, om

a)      särskilda kategorier av uppgifter enligt artikel 8 ska behandlas,

b)      behandlingens typ, särskilt användning av ny teknik, rutiner eller förfaranden, i övrigt innebär särskilda risker för de registrerades grundläggande fri- och rättigheter och särskilt skyddet av personuppgifter.

2. Medlemsstaterna får föreskriva att tillsynsmyndigheten ska upprätta en förteckning över de olika typer av uppgiftsbehandling som omfattas av förhandssamråd enligt punkt 1.

AVSNITT 2 DATASÄKERHET

Artikel 27 Säkerhet i samband med behandlingen av uppgifter

1.           Medlemsstaterna ska föreskriva att den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och kostnaden för att vidta åtgärderna.

2.           När det gäller automatisk uppgiftsbehandling ska varje medlemsstat föreskriva att den registeransvarige eller registerföraren, efter en bedömning av riskerna, ska vidta åtgärder i syfte att

(a) vägra varje obehörig person åtkomst till datorutrustning som används för behandling av personuppgifter (åtkomstskydd för utrustning),

(b) förhindra att datamedier läses, kopieras, ändras eller avlägsnas av obehöriga (kontroll av datamedier),

(c) förhindra obehörig registrering av data och obehörig kännedom om, ändring eller radering av lagrade personuppgifter,

(d) förhindra att obehöriga kan använda system för automatisk databehandling med hjälp av utrustning för dataöverföring (användarkontroll),

(e) se till att personer som är behöriga att använda ett system för automatisk databehandling endast har tillgång till uppgifter som omfattas av deras behörighet (åtkomstkontroll),

(f) se till att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring (kommunikationskontroll),

(g) se till att det finns möjlighet att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiskt databehandlingssystem, samt när och av vem uppgifterna infördes (indatakontroll),

(h) förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),

(i) se till att de system som används kan återställas vid störningar (återställande),

(j) se till att system fungerar, att funktionsfel rapporteras (driftsäkerhet) och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet).

3.           När så är nödvändigt får kommissionen anta genomförandeakter i syfte att precisera kraven i punkterna 1 och 2 för olika situationer, särskilt krypteringsstandarder. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.

Artikel 28 Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten

1.           Medlemsstaterna ska föreskriva att den registeransvarige vid ett personuppgiftsbrott utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, ska anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan inte görs inom 24 timmar ska den registeransvarige på begäran lämna en utförlig motivering till tillsynsmyndigheten.

2.           Registerföraren ska underrätta och informera den registeransvarige omedelbart efter att ha fått vetskap om ett personuppgiftsbrott.

3.           Den anmälan som avses i punkt 1 ska åtminstone

a)      beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs,

b)      förmedla identiteten på och kontaktuppgifterna för det uppgiftsskyddsombud som avses i artikel 30 eller andra kontaktpunkter där mer information kan erhållas,

c)      rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet,

d)      beskriva de möjliga konsekvenserna av personuppgiftsbrottet,

e)      beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet.

4.           Medlemsstaterna ska föreskriva att den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål.

5.           Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 56 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet.

6.           Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

Artikel 29 Information till den registrerade om ett personuppgiftsbrott

1.           Medlemsstaterna ska föreskriva att den registeransvarige, om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter eller integritet, efter den anmälan som avses i artikel 28 utan onödigt dröjsmål ska informera den registrerade om personuppgiftsbrottet.

2.           Den information till den registrerade som avses i punkt 1 ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 28.3 b och c.

3.           Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de personuppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

4.           Informationen till den registrerade kan senareläggas, begränsas eller utelämnas av de skäl som anges i artikel 11.4.

AVSNITT 3 UPPGIFTSSKYDDSOMBUD

Artikel 30 Utnämning av uppgiftsskyddsombudet

1. Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska utnämna ett uppgiftsskyddsombud.

2. Uppgiftsskyddsombudet ska utnämnas på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de uppgifter som avses i artikel 32.

3. Uppgiftsskyddsombudet får utnämnas för flera enheter, med hänsyn tagen till den behöriga myndighetens struktur.

Artikel 31 Uppgiftsskyddsombudets ställning

1. Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2. Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet ges möjlighet att fullgöra sina skyldigheter och utföra sina uppgifter enligt artikel 32 på ett verkningsfullt och oberoende sätt, och att han eller hon inte tar emot några instruktioner när det gäller utövandet av funktionen.

Artikel 32 Uppgiftsskyddsombudets uppgifter

Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande uppgifter:

(a) Att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt de bestämmelser som antas i enlighet med detta direktiv och att dokumentera denna verksamhet och de inkomna svaren.

(b) Att övervaka genomförandet och tillämpningen av policyn för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning.

(c) Att övervaka genomförandet och tillämpningen av de bestämmelser som antas i enlighet med detta direktiv, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt de bestämmelser som antas i enlighet med detta direktiv.

(d) Att se till att den dokumentation som avses i artikel 23 bevaras.

(e) Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 28 och 29.

(f) Att övervaka ansökan till tillsynsmyndigheten om förhandssamråd, om så krävs enligt artikel 26.

(g) Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ.

h)      Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på uppgiftsskyddsombudets eget initiativ.

KAPITEL V ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER INTERNATIONELLA ORGANISATIONER

Artikel 33 Allmänna principer för överföringar av personuppgifter

Medlemsstaterna ska föreskriva att de behöriga myndigheterna endast får överföra personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation, inklusive för vidare överföring till ett annat tredjeland eller en annan internationell organisation, under förutsättning att

a)      överföringen är nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och

b)      att den registeransvarige och registerföraren följer villkoren i detta kapitel.

Artikel 34 Överföring efter beslut om adekvat skyddsnivå

1.           Medlemsstaterna ska föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation får ske om kommissionen i enlighet med artikel 41 i förordning (EU) nr …./2012 eller i enlighet med punkt 3 i denna artikel beslutar att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet, eller en internationell organisation utgör en garant för en adekvat skyddsnivå. I dessa fall ska det inte krävas något ytterligare tillstånd.

2.           Om inget beslut enligt artikel 41 i förordning (EU) nr …./2012 föreligger ska kommissionen bedöma om skyddsnivån är adekvat, och då ta hänsyn till

a)      rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, samt huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs.

(b)     huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och

c)      vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort.

3.           Kommissionen får inom tillämpningsområdet för detta direktiv besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet, eller en internationell organisation utgör en garant för en adekvat skyddsnivå i den mening som avses i punkt 2. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

4.           Den geografiska och sektorsmässiga tillämpningen ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b.

5.           Kommissionen får inom tillämpningsområdet för detta direktiv fastställa att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för de registrerade vars personuppgifter överförs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 57.2 eller, i fall som är ytterst brådskande för den individ vars personuppgifter behöver skyddas, enligt förfarandet i artikel 57.3.

6.           Medlemsstaterna ska säkerställa att om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga; detta ska inte påverka överföringar enligt artiklarna 35.1 eller 36. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5.

7.           Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning över de tredjeländer, territorier och behandlande sektorer i tredjeländer eller de internationella organisationer för vilka den har beslutat att en adekvat skyddsnivå inte kan garanteras.

8.           Kommissionen ska övervaka tillämpningen av de genomförandeakter som avses i punkterna 3 och 5.

Artikel 35 Överföring med stöd av lämpliga skyddsåtgärder

1.           Om kommissionen inte har fattat något beslut enligt artikel 34 ska medlemsstaterna föreskriva att överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation får äga rum om

a)      lämpliga skyddsåtgärder för personuppgifter har vidtagits genom ett rättsligt bindande instrument, eller

b)      den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring av personuppgifter och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.

2.           Beslutet om överföringar enligt punkt 1 b måste göras av vederbörligen bemyndigad personal. De måste också dokumenteras, och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten.

Artikel 36 Undantag

Genom undantag från artiklarna 34 och 35 ska medlemsstaterna föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation endast får ske om något av följande villkor är uppfyllda:

a)       Överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person.

b)       Överföringen är nödvändig för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta.

c)       Överföringen av uppgifter är avgörande för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.

d)       Överföring är i ett enskilt fall nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

e)       Överföring är i ett enskilt fall nödvändig för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställandet av en specifik straffrättslig påföljd.

Artikel 37 Särskilda villkor för överföring av personuppgifter

Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta mottagaren av personuppgifter om eventuella begränsningar av behandlingen av uppgifterna och vidta alla rimliga åtgärder för att säkerställa att dessa begränsningar följs.

Artikel 38 Internationellt samarbete för skydd av personuppgifter

1.           I förbindelser med tredjeland och internationella organisationer ska kommissionen och medlemsstaterna vidta lämpliga åtgärder för att

(a) utveckla ändamålsenliga rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

(b) på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom rutiner för anmälan, hänskjutande av klagomål, assistans vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra grundläggande rättigheter och friheter,

(c) involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

(d) främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter.

2.           Vid tillämpningen av punkt 1 ska kommissionen vidta lämpliga åtgärder för att vidareutveckla förbindelserna med tredjeländer och internationella organisationer, och särskilt med deras tillsynsmyndigheter, i de fall då kommissionen har bedömt att motparten i fråga garanterar en adekvat skyddsnivå i den mening som avses i artikel 34.3.

KAPITEL VI OBEROENDE TILLSYNSMYNDIGHETER

AVSNITT 1 OBEROENDE STÄLLNING

Artikel 39 Tillsynsmyndighet

1. Varje medlemsstat ska utse en eller flera offentliga myndigheter som ska vara ansvariga för att övervaka tillämpningen av de bestämmelser som antas som en följd av detta direktiv och medverka till direktivets enhetliga tillämpning i hela unionen, i syfte att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av deras personuppgifter samt underlätta det fria flödet av sådana uppgifter inom unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen.

2. En medlemsstat får föreskriva att den tillsynsmyndighet som har inrättats i medlemsstaten enligt förordning (EG) …./2012 tar på sig de arbetsuppgifter som ska utföras av den tillsynsmyndighet som inrättas enligt punkt 1 i denna artikel.

3. Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska fungera som enda kontaktpunkt, så att myndigheten i fråga kan delta effektivt i Europeiska dataskyddsstyrelsens arbete.

Artikel 40 Oberoende

1.           Medlemsstaterna ska se till att tillsynsmyndigheterna är fullständigt oberoende i utövandet av de uppdrag och befogenheter som de anförtrotts.

2.           Medlemsstaterna ska föreskriva att tillsynsmyndigheternas ledamöter i sin tjänsteutövning varken får begära eller ta emot instruktioner från någon.

3.           Tillsynsmyndighetens ledamöter ska avstå från alla handlingar som står i strid med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras uppdrag.

4.           Efter sin mandattid ska tillsynsmyndighetens ledamöter visa integritet och omdöme i fråga om att acceptera utnämningar och ta emot förmåner.

5.           Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över tillräckliga mänskliga, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utöva sina uppdrag och befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och det aktiva deltagandet i Europeiska dataskyddsstyrelsens verksamhet.

6            Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över egen personal, som ska tillsättas av och ta instruktioner från tillsynsmyndighetens chef.

7.           Medlemsstaterna ska se till att tillsynsmyndigheterna också blir föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndigheternas oberoende. Medlemsstaterna ska också se till att tillsynsmyndigheterna förfogar över en egen årsbudget. Denna budget ska offentliggöras.

Artikel 41 Allmänna villkor för tillsynsmyndighetens ledamöter

1.           Varje medlemsstat ska fastställa att tillsynsmyndighetens ledamöter ska utses antingen av medlemsstatens parlament eller av dess regering.

2.           Ledamöterna ska utses bland personer vars oberoende är ställt utom varje tvivel och som har erkänd erfarenhet och sakkunskap för att utföra sitt uppdrag.

3.           Varje ledamots uppdrag ska i enlighet med punkt 5 upphöra då mandattiden löper ut eller då ledamoten avgår eller avsätts från sin tjänst.

4.           En ledamot kan avsättas eller berövas rätten till pension eller andra förmåner av den behöriga nationella domstolen om han eller hon inte längre uppfyller villkoren för att utöva uppdraget eller har gjort sig skyldig till ett allvarligt fel.

5.           När mandattiden löper ut eller ledamoten avgår ska han eller hon fortsätta utföra sina uppdrag tills en ny ledamot tillsatts.

Artikel 42 Regler för inrättandet av en tillsynsmyndighet

Varje medlemsstat ska fastställa följande i lag:

a)           Att en tillsynsmyndighet ska inrättas och vilken ställning denna myndighet ska ha, i enlighet med artiklarna 39 och 40.

b)           Vilken kompetens, erfarenhet och sakkunskap som krävs för att utöva uppdragen som ledamot vid tillsynsmyndigheten.

c)           Regler och förfaranden för att utse tillsynsmyndighetens ledamöter samt regler om vilka handlingar och vilken yrkesverksamhet som ska vara oförenliga med ledamöternas befogenheter under deras mandattid.

d)           Mandattiden för tillsynsmyndighetens ledamöter, vilken inte får understiga fyra år utom vid tillsättandet av de första ledamöterna efter det att detta direktiv trätt i kraft, då mandattiden får vara kortare för några av ledamöterna.

e)           Huruvida myndighetens ledamöter får ges förnyat mandat.

f)            Vilka bestämmelser och allmänna villkor som myndighetens ledamöter och personal omfattas av.

g)           Bestämmelser och förfaranden för när tillsynsmyndighetens ledamöter ska fråntas sitt uppdrag, bland annat om de inte längre uppfyller villkoren för att utöva uppdraget eller om de gjort sig skyldiga till ett allvarligt fel.

Artikel 43 Tystnadsplikt

Medlemsstaterna ska föreskriva att tillsynsmyndighetens ledamöter och personal både under och efter sin mandattid respektive anställning ska omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen.

AVSNITT 2 UPPDRAG OCH BEFOGENHETER

Artikel 44 Behörighet

1.           Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inom dess territorium ska utöva de befogenheter som tilldelas den i enlighet med detta direktiv.

2.           Medlemsstaterna ska föreskriva att tillsynsmyndigheterna inte ska vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter som en del av sin dömande verksamhet.

Artikel 45 Uppdrag

1.           Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ansvara för följande:

(a) Övervaka och garantera tillämpningen av de bestämmelser som antas till följd av detta direktiv och dess genomförandeåtgärder.

(b) Ta emot klagomål från registrerade eller från sammanslutningar som representerar registrerade och handlar på deras uppdrag enligt artikel 50, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

(c) Kontrollera att behandling av uppgifter enligt artikel 14 är tillåten och inom en rimlig period informera den registrerade om resultatet av kontrollen eller om skälen till att kontrollen inte har genomförts.

(d) Utbyta ömsesidigt bistånd med andra tillsynsmyndigheter och se till att de bestämmelser som antagits till följd av detta direktiv tillämpas och verkställs enhetligt.

(e) Utföra undersökningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och, om en undersökning grundar sig på ett klagomål som lämnats in av en registrerad, underrätta den registrerade om resultatet inom rimlig tid.

(f) Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunikationsteknik.

(g) Ge råd till institutioner och organ i medlemsstaterna i fråga om lagstiftningsåtgärder och administrativa åtgärder som rör skyddet av enskildas fri- och rättigheter i samband med behandling av personuppgifter.

(h) Ge råd om behandling av personuppgifter enligt artikel 26.

(i) Delta i Europeiska dataskyddsstyrelsens verksamhet.

2.           Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Särskild uppmärksamhet ska ägnas åt verksamhet som riktar sig till barn.

3.           En tillsynsmyndighet ska på begäran ge råd till registrerade om hur de ska utöva sina rättigheter enligt de bestämmelser som antagits till följd av detta direktiv, och ska om så är lämpligt samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

4.           För klagomål enligt punkt 1 b ska tillsynsmyndigheten bistå med ett särskilt formulär för ändamålet, vilket ska kunna fyllas i elektroniskt; det elektroniska formuläret ska inte utesluta andra kommunikationsformer.

5.           Medlemsstaterna ska föreskriva att tillsynsmyndighetens tjänster ska vara avgiftsfria för den registrerade.

6.           Om en registrerad begär tjänster som är särskilt betungande, till exempel på grund av repetitiv karaktär, får tillsynsmyndigheten ta ut en avgift eller avstå från att utföra de tjänster som den registrerade begär. I så fall ska det åligga tillsynsmyndigheten att visa att begäran är särskilt betungande.

Artikel 46 Befogenheter

Medlemsstaterna ska föreskriva att varje tillsynsmyndighet särskilt förses med

a)      utredande befogenheter, så som befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att samla in all information som är nödvändig för att utföra tillsynen,

b)      befogenheter att agera, bland annat genom att lägga fram yttranden innan uppgifter behandlas, se till att sådana yttranden offentliggörs på lämpligt sätt, beordra att uppgifter ska begränsas, raderas eller förstöras, besluta om tillfälligt eller definitivt förbud mot behandling, varna eller tillrättavisa den registeransvarige eller hänvisa saken till nationella parlament eller till andra politiska institutioner,

c)      befogenhet att inleda rättsliga förfaranden när bestämmelser som har antagits till följd av detta direktiv har överträtts, eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.

Artikel 47 Verksamhetsrapport

Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet. Rapporten ska göras tillgänglig för kommissionen och Europeiska dataskyddsstyrelsen.

KAPITEL VII SAMARBETE

Artikel 48 Ömsesidigt bistånd

1.           Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ge varandra ömsesidigt bistånd i arbetet för att genomföra och tillämpa de bestämmelser som antas till följd av detta direktiv på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom at begära att den andra myndigheten utför förhandssamråd, inspektioner och utredningar.

2.           Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska vidta alla lämpliga åtgärder för att besvara en begäran från en annan tillsynsmyndighet.

3.           Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om resultatet eller, i förekommande fall, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider.

Artikel 49 Europeiska dataskyddsstyrelsens arbetsuppgifter

1.           Europeiska dataskyddsstyrelsen, som inrättats genom förordning (EU) …./2012, ska i samband med behandling av uppgifter inom tillämpningsområdet för detta direktiv ha följande arbetsuppgifter:

(a) Ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella förslag till ändring av detta direktiv.

(b) På begäran av kommissionen, på eget initiativ eller på initiativ av en av sina ledamöter undersöka frågor om tillämpningen av de bestämmelser som antas till följd av detta direktiv och sprida riktlinjer, rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av dessa bestämmelser.

(c) Se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta.

(d) Yttra sig till kommissionen i fråga om skyddsnivån i tredjeländer eller internationella organisationer.

(e) Främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna.

(f) Främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer.

(g) Främja utbyte av kunskap och dokumentation, bland annat om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen.

2.       När kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning.

3.           Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till kommissionen och till den kommitté som avses i artikel 57.1, samt offentliggöra dem.

4.           Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis.

KAPITEL VIII RÄTTSMEDEL, ANSVAR, PÅFÖLJDER OCH ADMINISTRATIVA SANKTIONER

Artikel 50 Rätt till klagomål mot beslut som fattats av en tillsynsmyndighet

1.           Utan att det påverkar andra rättsmedel av administrativ eller rättslig natur ska medlemsstaterna föreskriva att varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med de bestämmelser som antas till följd av detta direktiv har rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat.

2.           Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter, och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt detta direktiv har åsidosatts som en följd av behandling av vederbörandes personuppgifter. Organisationen eller sammanslutningen ska på vederbörligt sätt ha anförtrotts att handla på den eller de registrerades uppdrag.

3.           Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som avses i punkt 2, oberoende av om det föreligger ett klagomål från en registrerad, ska ha rätt att klaga hos en tillsynsmyndighet i en medlemsstat om den anser att en överträdelse har skett.

Artikel 51 Rätt att begära rättsmedel mot en tillsynsmyndighets beslut

1. Medlemsstaterna ska fastställa rätten till rättsmedel mot en tillsynsmyndighets beslut.

2. Varje registrerad ska ha rätt till ett rättsmedel som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 45.1 b.

3. Medlemsstaterna ska föreskriva att talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

Artikel 52 Rätt till rättsmedel mot en registeransvarig eller en registerförare

Utan att det påverkar tillgängliga administrativa rättsmedel, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet, ska medlemsstaterna föreskriva en rätt att begära rättsmedel för varje fysisk person som anser att hans eller hennes rättigheter enligt de bestämmelser som antas till följd av detta direktiv har åsidosatts som en följd av att personuppgifter har behandlats på ett sätt som inte är förenligt med dessa bestämmelser.

Artikel 53 Gemensamma regler om domstolsförfaranden

1.           Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som avses i artikel 50.2 har rätt att utöva de rättigheter som anges i artiklarna 51 och 52 på uppdrag av en eller flera registrerade.

2.           Varje tillsynsmyndighet ska ha rätt att delta i rättsliga förfaranden och väcka talan vid domstol för att säkerställa tillämpningen av de bestämmelser som antas till följd av detta direktiv eller för att garantera ett enhetligt skydd av personuppgifter i unionen.

3.           Medlemsstaterna ska se till att de möjligheter att föra talan inför domstol som är tillgängliga enligt nationell lagstiftning gör det möjligt att snabbt vidta åtgärder, även interimistiska sådana, i syfte att avbryta den påstådda överträdelsen och hindra ytterligare skada av berörda intressen.

Artikel 54 Ansvar och rätt till ersättning

1.           Medlemsstaterna ska föreskriva att var och en som lidit skada till följd av en otillåten behandling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv har rätt till ersättning av den registeransvarige för denna skada.

2.           Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna skadan.

3.           Den registeransvarige eller registerföraren kan helt eller delvis undgå detta ansvar om vederbörande bevisar att han inte är ansvarig för den händelse som orsakade skadan.

Artikel 55 Påföljder

Medlemsstaterna ska föreskriva påföljder för överträdelser av bestämmelser som har utfärdats med tillämpning av detta direktiv och ska vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas. Påföljderna ska vara effektiva, proportionerliga och avskräckande.

KAPITEL IX DELEGERADE AKTER OCH GENOMFÖRANDEAKTER

Artikel 56 Utövande av delegering

1.           Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.           Den delegering av befogenhet som avses i artikel 28.5 ska ges till kommissionen under en obegränsad tid från och med det datum då detta direktiv träder i kraft.

3.           Den delegering av befogenhet som avses i artikel 28.5 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan trätt i kraft.

4.           Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet detta.

5.           En delegerad akt som antas enligt artikel 28.5 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

Artikel 57 Kommittéförfarande

1. Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2. När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

3. När det hänvisas till denna punkt, ska artikel 8 i förordning (EU) nr 182/2011 jämförd med artikel 5 i den förordningen tillämpas.

KAPITEL X SLUTBESTÄMMELSER

Artikel 58 Upphävande

1.           Rådets rambeslut 2008/977/RIF ska upphöra att gälla.

2.           Hänvisningar till det upphävda rambeslut som avses i punkt 1 ska anses som hänvisningar till detta direktiv.

Artikel 59 Förhållande till tidigare antagna unionsakter för straffrättsligt samarbete och polissamarbete

Direktivet ska inte påverka särskilda bestämmelser om skydd av personuppgifter när behöriga myndigheter behandlar personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder i sådana unionsakter som antagits före det datum då detta direktiv antas och som reglerar behandlingen av personuppgifter medlemsstaterna emellan och medlemsstaternas utsedda myndigheters tillgång till informationssystem som inrättats på grundval av fördragen och som är relevanta för direktivets tillämpningsområde.

Artikel 60 Förhållande till tidigare ingångna internationella avtal på området för polissamarbete och straffrättsligt samarbete

Internationella avtal som ingåtts av medlemsstaterna innan detta direktiv trädde i kraft ska där så krävs ändras behov inom fem år efter det att direktivet trätt i kraft.

Artikel 61 Utvärdering

1.           Kommissionen ska utvärdera tillämpningen av detta direktiv.

2.           Kommissionen ska inom tre år efter det att detta direktiv har trätt i kraft se över andra rättsakter som antagits av Europeiska unionen och som reglerar behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i synnerhet de unionsakter som avses i artikel 59, i syfte att bedöma om de behöver anpassas till detta direktiv och, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter för att slå vakt om ett enhetligt tillvägagångssätt för skydd av personuppgifter inom tillämpningsområdet för detta direktiv.

3.           Kommissionen ska i kraft av punkt 1 regelbundet överlämna rapporter om tillämpningen och översynen av detta direktiv till Europaparlamentet och rådet. Den första rapporten ska överlämnas senast fyra år efter det att detta direktiv träder i kraft. Därefter ska rapporter överlämnas vart fjärde år. Kommissionen ska om så krävs lägga fram lämpliga förslag om ändring av detta direktiv och om anpassning av andra rättsinstrument. Rapporten ska offentliggöras.

Artikel 62 Genomförande

1.           Medlemsstaterna ska senast [datum, två år efter ikraftträdandet] anta och offentliggöra de lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska genast överlämna texten till dessa bestämmelser till kommissionen.

De ska tillämpa dessa bestämmelser från och med [datum/xx.xx.201x, två år efter ikraftträdandet].

När en medlemsstat antar sådana bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

2.           Medlemsstaterna ska till kommissionen överlämna texten till de centrala bestämmelser i nationell lagstiftning som de antar inom det område som omfattas av detta direktiv.

Artikel 63 Ikraftträdande och tillämpning

Detta direktiv träder i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Artikel 64 Adressater

Detta direktiv riktar sig till medlemsstaterna.

Utfärdat i Bryssel den 25.1.2012

På Europaparlamentets vägnar                    På rådets vägnar

Ordförande                                                    Ordförande

[1]               Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, 23.11.1995, s. 31.

[2]               Se den fullständiga förteckningen i bilaga 3 till konsekvensbedömningen (SEC(2012) 72).

[3]               Rådets rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete som är strikt nödvändiga, EUT L 350, 31.12.2008, s. 60.

[4]               I Stockholmsprogrammet, EGT C 115, 4.5.2010, s. 1.

[5]               Se Europaparlamentets resolution om Stockholmsprogrammet, som antogs den 25 november 2009.

[6]               KOM(2010) 171 slutlig.

[7]               Europeiska kommissionen, Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen, KOM(2010) 609 slutlig, 4.11.2010.

[8]               Förklaring 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete (bifogad till slutakten från den regeringskonferens som antog Lissabonfördraget, 13.12.2007).

[9]               http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.

[10]             http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.

[11]             Special Eurobarometer (EB) 359, Attitudes on Data Protection and Electronic

Identity in the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.

[12]             Se undersökningen av de ekonomiska fördelarna med integritetshöjande teknik och den jämförande undersökningen av olika strategier för att hantera nya integritetsutmaningar, särskilt mot bakgrund av den tekniska utvecklingen, januari 2010.  (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).

[13]             Arbetsgruppen, som har en rådgivande ställning, inrättades 1996 (genom artikel 29 i direktiv 95/46/EG) och består av företrädare för nationella tillsynsmyndigheter med ansvar för uppgiftsskydd, Europeiska datatillsynsmannen och kommissionen. Mer information om dess verksamhet finns på http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.

[14]             Se särskilt följande yttranden: om ”integritetens framtid” (2009, WP 168), Om begreppen registeransvarig och registerförare (1/2010, WP 169), om beteendebaserad reklam på internet (2/2010, WP 171), om principen om ansvarsskyldighet (3/2010, WP 173), om tillämplig lagstiftning (8/2010, WP 179) och om samtycke (15/2011, WP 187). På kommissionens begäran antog den också följande tre rådgivande dokument om anmälningar, om känsliga uppgifter och om det praktiska genomförandet av artikel 28.6 i direktiv 95/46/EG. De finns alla att tillgå på http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm.

[15]             Tillgängligt på Europeiska datatillsynsmannens webbplats: http://www.edps.europa.eu/EDPSWEB/.

[16]             Europaparlamentets resolution av den 6 juli 2011 om ett samlat grepp på skyddet av personuppgifter i Europeiska unionen (2011/2025 (INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244 (föredragande: Europaparlamentariker Axel Voss (EPP/DE).

[17]             CESE 999/2011.

[18]             SEC(2012)72.

[19]             COM(2012) 12.

[20]             EU-domstolens dom av den 9 november 2010, förenade målen C-92/09 och C-93/09 Volker und Markus Schecke och Eifert, REU 2010, s. I-0000.

[21]             I enlighet med artikel 52.1 i stadgan får utövandet av rätten till uppgiftsskydd begränsas, under förutsättning att begränsningarna föreskrivs i lag, att de i allt väsentligt är förenliga med rättigheter och friheter och, med beaktande av proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter.

[22]             Som också nämns i artikel 2 a i Europaparlamentets och rådets direktiv 2011/93/EU av den 13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut 2004/68/RIF, EUT L 335, 17.12.2011, s. 1.

[23]             KOM(2005) 475 slutlig.

[24]             Artikel 14 i Europolbeslutet 2009/371/RIF.

[25]             Artikel 15 i Eurojustbeslutet 2009/426/RIF.

[26]             Artikel 14 i Europolbeslutet 2009/371/RIF.

[27]             Europadomstolens dom, 4.12.2008, S. och Marper mot Förenade kungariket (talan nr 30562/04 och 30566/04). 

[28]             Antagen av den internationella konferensen för uppgiftsskyddsmyndigheter (International Conference of Data Protection and Privacy Commissioners) den 5 november 2009.

[29]             EU-domstolens dom av den 9 mars 2010, kommissionen / Tyskland, mål (C-518/07, REU 2010 s. I-1885).

[30]             Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

[31]             Op. cit., fotnot 27.

[32]             Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter på informationssamhällets tjänster, särskilt elektronisk handel, på den inre marknaden (”direktiv om elektronisk handel”), EGT L 178, 17.7.2000, s. 1.

[33]             EUT C …., …..s. …..

[34]             EUT L 281, 23.11.2011, s. 31.

[35]             EUT L 350, 30.12.2008, s. 60.

[36]             EUT L 55, 28.2.2011, s. 13.

[37]             EUT L 335, 17.12.2011, s. 1.

[38]             EGT L 176, 10.7.1999, s. 36.

[39]             EUT L 53, 27.2.2008, s. 52.  

[40]             EUT L 160, 18.6.2011, s. 19.