EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52012PC0010
Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data
Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter
Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter
/* COM/2012/010 final - 2012/0010 (COD) */
Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter /* COM/2012/010 final - 2012/0010 (COD) */
MOTIVERING
1.
BAKGRUND TILL FÖRSLAGET
I denna motivering ges en mer detaljerad
beskrivning av den strategi för den nya rättsliga ram för skyddet av
personuppgifter i EU som presenterades i meddelandet COM (2012) 9 final. Den
rättsliga ramen består av följande två lagstiftningsförslag: –
Förslag till Europaparlamentets och rådets
förordning om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter (allmän
uppgiftsskyddsförordning). –
Förslag till Europaparlamentets och rådets direktiv
om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter
i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter. Denna motivering avser det sistnämnda
förslaget. Grundstenen i den befintliga EU-lagstiftningen
om skydd av personuppgifter, direktiv 95/46/EG[1], antogs 1995 och hade till syfte att skydda
den grundläggande rätten till uppgiftsskydd och garantera det fria flödet av
personuppgifter mellan medlemsstaterna. Direktivet kompletterades av flera
instrument med särskilda uppgiftsskyddsbestämmelser på områdena för
polissamarbete och straffrättsligt samarbete[2] (f.d. tredje pelaren), däribland rambeslut
2008/977/RIF[3].
Europeiska rådet uppmanade kommissionen att utvärdera hur EU:s
instrument för uppgiftsskydd fungerar och vid behov ta
ytterligare initiativ på lagstiftningsområdet och på andra områden[4].
Europaparlamentet[5]
välkomnade i sin resolution om Stockholmsprogrammet ett övergripande system för
skydd av uppgifter i EU och efterlyste bland annat en översyn av rambeslutet.
Kommissionen underströk i sin handlingsplan för att genomföra
Stockholmsprogrammet[6]
behovet av att se till att den grundläggande rätten till skydd för
personuppgifter tillämpas på ett enhetligt sätt på EU:s alla politikområden. I
handlingsplanen framhölls att i ”en globaliserad värld som karaktäriseras av en
snabb teknisk utveckling och där informationsutbytet inte känner några gränser
är det särskilt viktigt att skydda människors privatliv. Unionen måste
se till att den grundläggande rätten till skydd för personuppgifter tillämpas
på ett enhetligt sätt. Vi behöver stärka EU:s hållning när det gäller
att skydda den enskildes personuppgifter inom alla EU:s politikområden,
inklusive brottsbekämpning och brottsförebyggande insatser, men även inom våra
internationella förbindelser.” I sitt meddelande om ett samlat grepp på
skyddet av personuppgifter i Europeiska unionen[7], drog kommissionen slutsatsen att EU behöver
en mer samlad och enhetlig strategi i fråga om den grundläggande rätten till
skydd av personuppgifter. Rambeslut 2008/977/RIF har ett begränsat
tillämpningsområde, eftersom det bara är tillämpligt på gränsöverskridande
behandling av uppgifter och inte på behandling som utförs av polisen eller de
rättsliga myndigheterna enbart på nationell nivå. Detta kan skapa svårigheter
för polis och andra behöriga myndigheterna på områdena för straffrättsligt
samarbete och polissamarbete. De kan inte alltid enkelt skilja mellan rent
inhemsk och gränsöverskridande behandling eller förutse om vissa
personuppgifter kan bli föremål för ett gränsöverskridande utbyte i ett senare
skede (se avsnitt 2 nedan). På grund av dess karaktär och innehåll ger
rambeslutet dessutom medlemsstaternas nationella lagstiftning stor frihet när
det gäller att genomföra bestämmelserna. Dessutom innehåller det inte någon
mekanism eller rådgivande grupp som liknar artikel 29-gruppen som bidrar till
en gemensam tolkning av dess bestämmelser, och ger inte heller kommissionen
några genomförandebefogenheter för att säkerställa ett gemensamt
tillvägagångssätt vid dess genomförande. I artikel 16.1 i fördraget om Europeiska
unionens funktionssätt (EUF-fördraget) fastställs principen att alla har rätt
till skydd av personuppgifter. Dessutom inför Lissabonfördraget, genom artikel
16.2 i EUF-fördraget, en särskild rättslig grund för antagande av bestämmelser
om skydd av personuppgifter som också gäller för straffrättsligt samarbete och
polissamarbete. I artikel 8 i Europeiska unionens stadga om de grundläggande
rättigheterna fastslås att skyddet av personuppgifter är en grundläggande
rättighet. Enligt artikel 16 i EUF-fördraget ska lagstiftaren fastställa
bestämmelser om skydd för enskilda personer när det gäller behandling av
personuppgifter också på områdena för straffrättsligt samarbete och
polissamarbete, och som omfattar både gränsöverskridande och inhemsk behandling
av personuppgifter. Därigenom kommer man att kunna skydda fysiska personers grundläggande
fri- och rättigheter, särskilt rätten till skydd av personuppgifter, och
samtidigt trygga utbytet av personuppgifter för att förebygga, utreda, avslöja
eller lagföra brott eller verkställa straffrättsliga påföljder. Detta kommer
att bidra till att underlätta samarbetet i kampen mot brottslighet i Europa. På grund av den särskilda karaktären hos
området polissamarbete och straffrättsligt samarbete erkändes det i förklaring
21[8] att det
kan visa sig bli nödvändigt med särskilda regler om skydd av personuppgifter
och om fri rörlighet för sådana uppgifter på detta område, på grundval av
artikel 16 i EUF-fördraget.
2.
RESULTAT AV SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR
Detta initiativ är resultatet av omfattande
samråd med alla viktigare berörda parter om en översyn av den befintliga
rättsliga ramen för skydd av personuppgifter, som omfattade offentliga samråd i
två etapper: –
Samråd om den rättsliga ramen för den
grundläggande rätten till skydd av personuppgifter,
från den 9 juli till den 31 december 2009. Kommissionen mottog 168 svar, varav
127 från enskilda personer, företagsorganisationer och sammanslutningar och 12
från offentliga myndigheter. De icke-konfidentiella bidragen finns på
kommissionens webbplats[9].
– Samråd om kommissionens samlade grepp på skydd av personuppgifter i
Europeiska unionen, från den 4 november 2010 till den
15 januari 2011. Kommissionen mottog 305 svar, varav 54 från enskilda, 31 från
offentliga myndigheter och 220 från privata organisationer, särskilt
företagssammanslutningar och icke-statliga organisationer. De
icke-konfidentiella bidragen finns på kommissionens webbplats[10]. Medan dessa samråd till stor del var inriktade
på översynen av direktiv 95/46/EG, genomfördes riktade samråd med berörda
parter inom brottsbekämpande arbete. Särskilt anordnades en workshop den 29
juni 2010 med medlemsstaternas myndigheter om tillämpningen av bestämmelserna
för dataskydd på offentliga myndigheter, inbegripet på området polissamarbete
och straffrättsligt samarbete. Dessutom sammankallade kommissionen den 2
februari 2011 en workshop med medlemsstaternas myndigheter för att diskutera
genomförandet av rambeslut 2008/977/RIF, och mer allmänt uppgiftsskyddsfrågor
på området polissamarbete och straffrättsligt samarbete. EU-medborgarna konsulterades genom en
Eurobarometerundersökning som genomfördes i november–december 2010.[11] Ett
antal undersökningar inleddes också.[12]
Artikel 29-gruppen[13]
lämnade flera synpunkter och värdefulla bidrag till kommissionen[14].
Europeiska datatillsynsmannen utfärdade också ett övergripande yttrande om de
frågor som dryftats i kommissionens meddelande från november 2010.[15] Europaparlamentet godkände genom sin
resolution av den 6 juli 2011 en rapport som stödde kommissionens strategi för
att reformera uppgiftsskyddsramen.[16]
Europeiska unionens råd antog den 24 februari 2011 slutsatser där det i
huvudsak stödjer kommissionens reform av ramen för uppgiftsskydd och håller med
om flera inslag i kommissionens strategi. Europeiska ekonomiska och sociala
kommittén stödde också kommissionens huvudinriktning att säkerställa en mer enhetlig
tillämpning av EU:s uppgiftsskyddsbestämmelser i alla medlemsstater och en
lämplig omarbetning av direktiv 95/46/EG.[17] I överensstämmelse med sin politik för bättre
lagstiftning gjorde kommissionen en konsekvensbedömning av policyalternativen[18].
Konsekvensbedömningen byggde på de tre politiska mål, som ökad inre marknad för
dataskydd, att göra utövandet av rättigheter till uppgiftsskydd av enskilda mer
effektiva och skapa en övergripande och enhetlig ram som omfattar alla områden
av unionens behörighetsområde, inbegripet polissamarbete och straffrättsligt
samarbete. I synnerhet när det gäller det sistnämnda målet bedömdes två
alternativ: ett första alternativ som i princip utvidgar tillämpningsområdet
för uppgiftsskyddsbestämmelserna på detta område och tar itu med brister och
andra frågor kring rambeslutet, och ett andra mer långtgående alternativ med
mycket krävande och stränga regler, som också skulle medföra en omedelbar
ändring av alla andra instrument inom den ”f.d. tredje pelaren”. Ett tredje
minimalistiskt alternativ som huvudsakligen grundar sig på tolkningsmeddelanden
och politiska stödåtgärder, såsom finansieringsprogram och tekniska instrument,
och med minimal lagstiftning, ansågs inte lämpligt för att ta itu med de
problem som konstaterats på detta område i fråga om skydd av personuppgifter. I enlighet med kommissionens vedertagna metod
bedömdes varje alternativ, med hjälp av en avdelningsövergripande styrgrupp,
med avseende på dess effektivitet när det gäller att uppnå de politiska målen,
dess ekonomiska konsekvenser för de berörda parterna (även på
EU-institutionernas budget), dess sociala konsekvenser och dess inverkan på de
grundläggande rättigheterna. Inga miljökonsekvenser konstaterades. Analysen av de övergripande konsekvenserna
ledde till en utveckling av det alternativ som föredras, vilket har införlivats
i föreliggande förslag. Enligt bedömningen kommer genomförandet av detta
alternativ att leda till en ytterligare stärkning av uppgiftsskyddet på detta
politikområde särskilt genom att inhemsk uppgiftsbehandling inbegrips,
varigenom man även stärker rättssäkerheten för de behöriga myndigheterna på
områdena för straffrättsligt samarbete och polissamarbete. Konsekvensbedömningsnämnden yttrade sig om
utkastet till konsekvensbedömning den 9 september 2011. Till följd av detta
yttrande gjordes framför allt följande ändringar av konsekvensbedömningen: –
Ett klargörande av målen för den nuvarande
rättsliga ramen (i vilken mån de har uppnåtts och i vilken mån de inte
uppnåtts) och målen för den planerade reformen. –
Fler bevis och ytterligare
förklaringar/klargöranden lades till i avsnittet om problemdefinitionen. Kommissionen har också utarbetat en
genomföranderapport på grundval av artikel 29.2 i rambeslut 2008/977/RIF, som
kommer att antas som en del av det aktuella uppgiftsskyddspaketet[19].
Resultaten av rapporten, som bygger på material från medlemsstaterna, användes
också i utarbetandet av konsekvensanalysen.
3.
FÖRSLAGETS RÄTTSLIGA ASPEKTER
3.1.
Rättslig grund
Förslaget grundar sig på artikel 16.2 i
EUF-fördraget, som är en ny, specifik rättslig grund som införts genom
Lissabonfördraget för antagande av bestämmelser om skydd för enskilda med
avseende på behandling av personuppgifter som utförs av unionens institutioner,
organ och byråer och av medlemsstaterna när de bedriver verksamhet som omfattas
av unionsrätten, och bestämmelser om den fria rörligheten för sådana uppgifter. Förslaget syftar till att garantera en
enhetlig och hög nivå på uppgiftsskyddet inom detta område och därmed öka det
ömsesidiga förtroendet mellan polis och rättsliga myndigheter i olika
medlemsstater och underlätta det fria flödet av uppgifter och samarbetet mellan
polis och rättsliga myndigheter.
3.2.
Subsidiaritets- och proportionalitetsprincipen
Enligt subsidiaritetsprincipen (artikel 5.3 i
EU-fördraget) ska åtgärder vidtas på EU-nivå endast om och i den mån som målen
för den planerade åtgärden inte i tillräcklig utsträckning kan uppnås av
medlemsstaterna och därför, på grund av den planerade åtgärdens omfattning
eller verkningar, bättre kan uppnås på unionsnivå. Mot bakgrund av de ovan
skisserade problemen visar subsidiaritetsanalysen att det är nödvändigt att
vidta åtgärder på EU-nivå på områdena för polissamarbete och straffrättsligt
samarbete av följande skäl: –
Rätten till skydd av personuppgifter, som fastläggs
i artikel 8 i stadgan om de grundläggande rättigheterna och i artikel 16.1 i
EUF-fördraget, innebär att samma nivå på uppgiftsskyddet ska gälla i hela
unionen. För detta krävs samma skyddsnivå för uppgifter som utbyts och
uppgifter som behandlas på inhemsk nivå. –
Det finns ett växande behov för de brottsbekämpande
myndigheterna i medlemsstaterna att behandla och utbyta uppgifter i allt större
omfattning för att förebygga och bekämpa gränsöverskridande brottslighet och
terrorism. I detta sammanhang kommer tydliga och enhetliga regler om skydd av
personuppgifter på EU-nivå att bidra till att främja samarbete mellan sådana
myndigheter. –
Dessutom finns det praktiska problem med
genomförandet av uppgiftsskyddslagstiftningen och ett behov av samarbete mellan
medlemsstaterna och deras myndigheter, vilket måste organiseras på EU-nivå för
att säkerställa att unionsrätten tillämpas enhetligt. I vissa situationer har
EU de bästa förutsättningarna att på ett ändamålsenligt och enhetligt sätt
garantera samma skyddsnivå för enskilda när deras personuppgifter överförs till
tredjeländer. –
Medlemsstaterna kan inte ensamma minska problemen i
den nuvarande situationen, särskilt inte de problem som beror på
fragmenteringen av de nationella lagstiftningarna. Det finns därför ett
särskilt behov av att införa en harmoniserad och sammanhängande ram som
möjliggör en smidig överföring av personuppgifter över gränserna inom EU,
samtidigt som man garanterar ett faktiskt skydd av alla enskilda i hela EU. –
De föreslagna lagstiftningsåtgärderna på EU-nivå
kommer sannolikt att vara effektivare än liknande åtgärder på medlemsstatsnivå
på grund av karaktären och omfattningen hos problemen, som inte är begränsade
till en eller flera medlemsstater. Enligt proportionalitetsprincipen ska alla
insatser vara riktade och inte gå utöver vad som är nödvändigt för att uppnå
målen. Denna princip har varit vägledande under förberedelsen av detta förslag,
från kartläggningen och utvärderingen av olika alternativ till utarbetandet av
lagstiftningsförslaget. Ett direktiv är därför det bästa instrumentet
för att säkerställa harmonisering på EU-nivå på detta område, samtidigt som man
ger medlemsstaterna erforderlig flexibilitet när de genomför principerna,
reglerna och deras undantag på nationell nivå. Med tanke på komplexiteten hos
de gällande nationella bestämmelserna för skydd av personuppgifter som
behandlas på området för polissamarbete och straffrättsligt samarbete och målet
att uppnå en omfattande harmonisering av dessa regler genom detta direktiv,
kommer kommissionen att behöva be medlemsstaterna att tillhandahålla
förklarande dokument om förhållandet mellan direktivets delar och motsvarande
delar av nationella rättsakter som införlivar bestämmelserna för att kunna
fullgöra sin uppgift att övervaka införlivandet av detta direktiv.
3.3.
Sammanfattning av frågor som rör de grundläggande
rättigheterna
Rätten till skydd av personuppgifter
fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande
rättigheterna och artikel 16 i EUF-fördraget samt artikel 8 i den europeiska
konventionen om skydd för de mänskliga rättigheterna. Europeiska unionens
domstol[20]
understryker att rätten till skydd av personuppgifter inte är en absolut
rättighet, utan måste beaktas i förhållande till dess funktion i samhället[21].
Uppgiftsskyddet är nära knutet till respekten för privatlivet och familjelivet
som skyddas genom artikel 7 i stadgan. Detta avspeglas i artikel 1.1 i
direktiv 95/46/EG som föreskriver att medlemsstaterna ska skydda fysiska
personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i
samband med behandling av personuppgifter. Andra grundläggande rättigheter som fastläggs
i stadgan och som skulle kunna påverkas är förbudet mot all diskriminering på grund av bland annat ras, etniskt ursprung,
genetiska särdrag, religion eller övertygelse, politisk eller annan åskådning,
funktionshinder eller sexuell läggning (artikel 21), barnets rättigheter
(artikel 24) och rätten till ett effektivt rättsmedel inför en domstol och till
en opartisk domstol (artikel 47).
3.4.
Närmare redogörelse för förslaget
3.4.1.
KAPITEL I – ALLMÄNNA BESTÄMMELSER
I artikel 1 fastställs direktivets syfte, dvs.
bestämmelser om behandling av personuppgifter för att förebygga, utreda,
avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och
fastställs direktivets dubbla målsättning, dvs. att skydda fysiska personers
grundläggande fri- och rättigheter, särskilt rätten till skydd av personuppgifter,
samtidigt som man garanterar en hög skyddsnivå för den allmänna säkerheten, och
att säkerställa utbytet av personuppgifter mellan behöriga myndigheter inom
unionen. I artikel 2 fastställs direktivets
tillämpningsområde. Direktivets tillämpningsområde är inte begränsat till
gränsöverskridande uppgiftsbehandling, utan omfattar all behandling som utförs
av ”behöriga myndigheter” (enligt definitionen i artikel 3.14). Direktivet
gäller inte heller för behandling i samband med en verksamhet som faller
utanför unionslagstiftningens tillämpningsområde och inte heller för behandling
som utförs av unionens institutioner, organ och byråer, vilken omfattas av
förordning (EG) nr 45/2001 och annan särskild lagstiftning. Artikel 3 innehåller definitioner av begrepp
som används i förordningen. Vissa definitioner har övertagits från direktiv
95/46/EG och rambeslut 2008/977/RIF, medan andra har ändrats och kompletteras
med fler eller nyligen införda element. De nya definitionerna avser
”personuppgiftsbrott”, ”genetiska uppgifter” och ”biometriska uppgifter”,
”behöriga myndigheter” (på grundval av artikel 87 i EUF-fördraget och artikel 2
h i rambeslut 2008/977/RIF) samt ”barn”, på grundval av FN:s konvention om
barnets rättigheter[22].
3.4.2.
KAPITEL – II PRINCIPER
Genom artikel 4 fastställs principerna för
behandling av personuppgifter på ett sätt som återspeglar artikel 6 i direktiv
95/46/EG och artikel 3 i rambeslut 2008/977/RIF, samtidigt som de anpassas till
det specifika sammanhanget i detta direktiv. Enligt artikel 5 krävs att åtskillnad när så
är möjligt görs mellan personuppgifter som rör olika kategorier av registrerade
av olika kategorier av registrerade. Detta är en ny bestämmelse som varken
ingår i direktiv 95/46/EG eller i rambeslut 2008/977/RIF, men som kommissionen
hade föreslagit i sitt ursprungliga förslag till rambeslutet[23]. Det
bygger på Europarådets rekommendation nr R (87) 15. Liknande bestämmelser finns
redan för Europol[24]
och Eurojust[25]. Artikel 6 om olika grader av korrekthet och
tillförlitlighet återspeglar princip 3.2 i Europarådets rekommendation nr R
(87)15. Liknande bestämmelser, som också ingick i kommissionens förslag till
rambeslutet, finns för Europol[26].
I artikel 7 fastställs grunderna för när
behandling får genomföras, om det är nödvändigt för att utföra en arbetsuppgift
som utförs av en behörig myndighet på grundval av nationell lagstiftning, för
att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, för att
skydda intressen som är av grundläggande betydelse för den registrerade eller
en annan person eller för att avvärja ett omedelbart och allvarligt hot mot den
allmänna säkerheten. De övriga grunderna för när behandling får genomföras i
artikel 7 i direktiv 95/46/EG passar inte för behandling på området för
polissamarbete och straffrättsligt samarbete. I artikel 8 anges ett generellt förbud mot
behandling av särskilda kategorier av personuppgifter och undantagen från denna
allmänna regel, på grundval av artikel 8 i direktiv 95/46/EG och med tillägg av
genetiska uppgifter, enligt Europadomstolens rättspraxis[27]. Artikel 9 fastställs ett förbud mot åtgärder
som enbart grundas på automatisk behandling av personuppgifter, om detta inte
godkänns enligt lagstiftning som innehåller bestämmelser om lämpliga
skyddsåtgärder, i enlighet med artikel 7 i rambeslut 2008/977/RIF.
3.4.3.
KAPITEL III – DEN REGISTRERADES RÄTTIGHETER
Genom artikel 10 införs skyldigheten för
medlemsstaterna att tillhandahålla lätt tillgänglig och begriplig information,
först och främst inspirerad av princip 10 i Madridresolutionen om
internationella normer för skydd av personuppgifter och integritet[28], och att
ålägga registeransvariga att inrätta förfaranden och rutiner för att underlätta
utövandet av den registrerades rättigheter. Detta inbegriper kravet att
utövandet av rättigheterna i princip ska vara kostnadsfritt. I artikel 11 anges en skyldighet för
medlemsstaterna att se till att den registrerade informeras. Dessa skyldigheter
bygger på artiklarna 10 och 11 i direktiv 95/46/EG, utan separata artiklar som
skiljer på huruvida informationen samlas in från den registrerade eller inte,
men utökar den information som ska tillhandahållas. I direktivet fastställs
undantag från skyldigheten att informera, när sådana undantag är proportionella
och nödvändiga i ett demokratiskt samhälle för att utföra de uppgifter som
åligger behöriga myndigheter (inspirerat av artikel 13 i direktiv 95/46/EG och
artikel 17 i rambeslut 2008/977/RIF). I artikel 12 föreskrivs att medlemsstaterna
ska garantera den registrerades rätt att få tillgång till sina personuppgifter.
Den följer artikel 12 a i direktiv 95/46/EG och lägger till nya punkter i
informationen till de registrerade (om lagringsperioden, rätten till rättelse,
radering eller begränsning samt om rätten att inge klagomål). I artikel 13 föreskrivs att medlemsstaterna
får anta lagstiftning som begränsar rätten till tillgång, om så krävs på grund
av den särskilda karaktären hos uppgiftsbehandlingen på polisområdet och det
straffrättsliga området. Artikeln rör också informationen till den registrerade
om en begränsning av tillgången, på grundval av artikel 17.2 och 3 i rambeslut
2008/977/RIF. I artikel 14 införs bestämmelsen att den
registrerade, om den direkta tillgången är begränsad, ska informeras om
möjligheten att få indirekt tillgång via tillsynsmyndigheten, som bör utöva
rätten för den registrerades räkning och ska underrätta den registrerade om
resultatet av sina kontroller. Artikel 15 om rätten till rättelse följer
artikel 12 b i direktiv 95/46/EG, och, när det gäller förpliktelserna vid en
vägran, artikel 18.1 i rambeslut 2008/977/RIF. Artikel 16 om rätten till radering följer
artikel 12 b i direktiv 95/46/EG, och, när det gäller förpliktelserna vid en
vägran, artikel 18.1 i rambeslut 2008/977/RIF. Den inbegriper också rätten att
få till stånd en märkning av behandlingen i vissa fall, varvid man undviker det
tvetydiga begreppet "blockering", som används i artikel 12 b i
direktiv 95/46/EG och artikel 18.1 i rambeslut 2008/977/RIF. Artikel 17 om rättelse, radering och
begränsning av behandling i rättsliga förfaranden ger förtydliganden som
grundar sig på artikel 4.4 i rambeslut 2008/977/RIF.
3.4.4.
KAPITEL IV – REGISTERANSVARIG OCH REGISTERFÖRARE
3.4.4.1.
AVSNITT 1 ALLMÄNNA SKYLDIGHETER
I Artikel 18 beskrivs de registeransvarigas
ansvar att följa detta direktiv och säkerställa att bestämmelserna följs, bland
annat genom att anta policyer och rutiner för att garantera efterlevnad. I artikel 19 anges att medlemsstaterna ska se
till att den registeransvarige fullgör de skyldigheter som följer av
principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard. Genom artikel 20 om gemensamma
registeransvariga klargörs gemensamma registeransvarigas ställning vad avser
förhållandet dem emellan. Genom artikel 21 klargörs registerförarnas
ställning och skyldighet, delvis på grundval av artikel 17.2 i direktiv
95/46/EG och med nya inslag, bland annat att en registerförare som behandlar
andra uppgifter än de som anges i den registeransvariges instruktioner ska
anses som en gemensam registeransvarig. Artikel 22 om bearbetning under den
registeransvariges och registerförarens överinseende följer artikel 16 i
direktiv 95/46/EG. Genom artikel 23 införs skyldigheten för
registeransvariga och registerförare att bevara dokumentation om alla system
och förfaranden för behandling som ligger inom deras ansvarsområde. Artikel 24 gäller registerföring, i enlighet
med artikel 10.1 i rambeslut 2008/977, samtidigt som det ger ytterligare
klargöranden. Genom artikel 25 klargörs registeransvarigas
och registerförares skyldigheter att samarbeta med tillsynsmyndigheterna. Artikel 26 avser de fall där samråd med
tillsynsmyndigheten är obligatoriskt före behandlingen, på grundval av artikel
23 i rambeslut 2008/977/RIF.
3.4.4.2.
AVSNITT 2 DATASÄKERHET
Artikel 27 om säkerhet i samband med
behandlingen av uppgifter bygger på den nuvarande artikel 17.1 i direktiv 95/46
om säkerhet vid behandling, och artikel 22 i rambeslut 2008/977/RIF, men utökar
de tillhörande skyldigheterna för registerförare, oberoende av deras avtal med
den registeransvarige. I artiklarna 28 och 29 införs en skyldighet
att anmäla personuppgiftsbrott, som inspirerats av anmälan av
personuppgiftsbrott i artikel 4.3 i direktiv 2002/58/EC om
integritet och elektronisk kommunikation, att klargöra och särskilja
skyldigheterna att underrätta tillsynsmyndigheten (artikel 28) och att, under
vissa omständigheter, informera den registrerade (artikel 29). Artikel 29
föreskrivs också undantag med hänvisning till artikel 11.4.
3.4.4.3.
AVSNITT 3 UPPGIFTSSKYDDSOMBUD
I Artikel 30 införs en förpliktelse för den
registeransvarige att utnämna ett obligatoriskt uppgiftsskyddsombud som ska
fullgöra de uppgifter som förtecknas i artikel 32. Om flera behöriga
myndigheter agerar under tillsyn av en central myndighet, som fungerar som
registeransvarig, bör åtminstone denna centrala myndighet utnämna ett sådant
uppgiftsskyddsombud. Artikel 18.2 i direktiv 95/46/EG gav medlemsstaterna
möjlighet att införa ett sådant krav som en ersättning för det allmänna
anmälningskravet i det direktivet. Genom artikel 31 redogörs för
uppgiftsskyddsombudets ställning. Genom artikel 32 föreskrivs
uppgiftsskyddsombudets uppgifter.
3.4.5.
KAPITEL V – ÖVERFÖRING AV PERSONUPPGIFTER TILL
TREDJELÄNDER ELLER INTERNATIONELLA ORGANISATIONER
I artikel 33 anges de allmänna principerna för
överföring av personuppgifter till tredjeländer eller internationella
organisationer på området för polissamarbete och straffrättsligt samarbete,
inklusive vidare överföring. Det klargörs att överföringar till tredjeland
endast får ske om överföringen är nödvändig för att förebygga, utreda, avslöja
eller lagföra brott eller verkställa straffrättsliga påföljder. I artikel 34 fastställs att överföringar får
ske till tredjeländer för vilka kommissionen har antagit ett beslut om adekvat
skyddsnivå enligt förordning …./../201X eller specifikt på området för
polissamarbete och straffrättsligt samarbete, eller, i avsaknad av ett sådant
beslut, om lämpliga skyddsåtgärder har vidtagits. Så länge som beslut om
adekvat skyddsnivå inte finns garanterar direktivet att överföringar kan
fortsätta att ske på grundval av lämpliga skyddsåtgärder och undantag. Det
fastställer dessutom kriterier för kommissionens bedömning av en adekvat eller
icke-adekvat skyddsnivå, och inbegriper uttryckligen rättsstatsprincipen,
rättslig prövning och oberoende övervakning. Enligt artikeln ges också
kommissionen möjlighet att bedöma nivån på det skydd som lämnas av ett
territorium eller en behandlande sektor i ett tredjeland. Den fastställer att
ett allmänt beslut om adekvat skyddsnivå som antas i enlighet med förfarandena
i artikel 38 i den allmänna uppgiftsskyddsförordningen, ska tillämpas inom
detta direktivs tillämpningsområde. Alternativt kan ett beslut om adekvat
skyddsnivå antas av kommissionen uteslutande för de ändamål som avses i detta
direktiv. I artikel 35 fastställs de lämpliga
skyddsåtgärder som krävs före internationella överföringar, i avsaknad av ett
kommissionsbeslut om adekvat skyddsnivå. Dessa skyddsåtgärder kan vidtas genom
rättsligt bindande instrument såsom internationella avtal. Alternativt kan den
registeransvarige på grundval av en bedömning av omständigheterna i samband med
överföringen dra slutsatsen att de föreligger. I artikel 36 anges undantagen för
uppgiftsöverföring på grundval av artikel 26 i direktiv 95/46/EG och artikel 13
i rambeslut 2008/977/RIF. Artikel 37 ålägger medlemsstaterna att
föreskriva att den registeransvarige ska underrätta mottagaren om eventuella
begränsningar av behandlingen och vidta alla rimliga åtgärder för att
säkerställa att dessa begränsningar följs av mottagarna av personuppgifter i
tredjelandet eller den internationella organisationen. I artikel 38 lämnas uttryckligen föreskrifter
för internationella samarbetsmekanismer för skydd av personuppgifter mellan
kommissionen och tillsynsmyndigheter i tredjeländer, särskilt de som anses
erbjuda en adekvat skyddsnivå, med hänsyn tagen till OECD:s rekommendation om
gränsöverskridande samarbete vid tillämpningen av lagstiftning om
integritetsskydd av den 12 juni 2007. KAPITEL VI – NATIONELLA TILLSYNSMYNDIGHETER
3.4.5.1.
AVSNITT 1 OBEROENDE STÄLLNING
Enligt artikel 39 ska varje medlemsstat
inrätta en tillsynsmyndighet enligt artikel 28.1 i direktiv 95/46/EG och
artikel 25 i rambeslut 2008/977/RIF, och utvidga dessa myndigheters uppdrag för
att bidra till en enhetlig tillämpning av direktivet inom hela unionen. Denna
tillsynsmyndighet kan vara den tillsynsmyndighet som inrättats enligt den
allmänna uppgiftsskyddsförordningen. Genom artikel 40 klargörs villkoren för
tillsynsmyndigheternas oberoende, varvid EU-domstolens rättspraxis genomförs[29], och
inspiration även hämtas från artikel 44 i förordning (EG) nr 45/2001[30]. Genom artikel 41 föreskrivs allmänna villkor
för tillsynsmyndighetens ledamöter, varigenom relevant rättspraxis genomförs[31] och
inspiration även hämtas från artikel 42.2–42.6 i förordning (EG) nr 45/2001. I artikel 42 fastställs bestämmelser angående
inrättandet av tillsynsmyndigheten som medlemsstaterna ska föreskriva i lag,
inklusive om villkoren för dess ledamöter. Artikel 43 om tystnadsplikt för
tillsynsmyndighetens ledamöter och personal följer artikel 28.7 i direktiv
95/46/EG och artikel 25.4 i rambeslut 2008/977/RIF.
3.4.5.2.
AVSNITT 2 UPPDRAG OCH BEFOGENHETER
I artikel 44 fastställs tillsynsmyndigheternas
behörighet, på grundval av artikel 28.6 i direktiv 95/46/EG och artikel 25.1 i
rambeslut 2008/977/RIF. Domstolar är i sin dömande verksamhet undantagna från
övervakning av tillsynsmyndigheten, men inte från tillämpningen av de
materiella reglerna om uppgiftsskydd. I artikel 45 föreskrivs medlemsstaternas
skyldighet att föreskriva tillsynsmyndighetens ansvarsområden, bland annat att
ta emot och utreda klagomål och att öka allmänhetens medvetenhet om risker,
regler, skyddsåtgärder och rättigheter. En särskild arbetsuppgift för
tillsynsmyndigheterna i samband med detta direktiv är att, om direkt tillgång
vägras eller begränsas, utöva rätten till tillgång för den registrerades
räkning och att kontrollera att uppgiftsbehandlingen är tillåten. I artikel 46 föreskrivs tillsynsmyndighetens
befogenheter, på grundval av artikel 28.3 i direktiv 95/46/EG, artikel 25.2 och
25.3 i rambeslut 2008/977/RIF. Enligt artikel 47 ska tillsynsmyndigheterna
utarbeta årliga verksamhetsrapporter, som grundar sig på artikel 28.5 i
direktiv 95/46/EG.
3.4.6.
KAPITEL VII – SAMARBETE
I artikel 48 införs bestämmelser om
obligatoriskt ömsesidigt bistånd. Artikel 28.6 i direktiv 95/46/EG föreskrev
bara en allmän skyldighet att samarbeta, utan närmare precisering. Artikel 49 föreskriver att Europeiska
dataskyddsstyrelsen, som inrättats genom den allmänna uppgiftsskyddsförordningen,
ska utöva sina uppgifter även i fråga om behandling inom detta direktivs
tillämpningsområde. För att tillhandahålla kompletterande stöd, kommer
kommissionen att rådfråga företrädare för myndigheter som är behöriga att
förebygga, utreda, avslöja eller lagföra brott i medlemsstaterna, samt
företrädare för Europol och Eurojust, med hjälp av en expertgrupp för de
aspekter på uppgiftsskydd som rör brottsbekämpning.
3.4.7.
KAPITEL VIII – RÄTTSMEDEL, ANSVAR, PÅFÖLJDER OCH
ADMINISTRATIVA SANKTIONER
Artikel 50 föreskriver att alla registrerade
har rätt att inge klagomål till en tillsynsmyndighet, på grundval av artikel
28.4 i direktiv 95/46/EG, och avser alla överträdelser av direktivet som rör
den klagande. Här specificeras även vilka organ, organisationer eller
sammanslutningar som kan lämna klagomål på en registrerad persons vägnar och
även vid personuppgiftsbrott, oberoende av en registrerad persons klagomål. Artikel 51 rör rätten till rättsmedel mot en
tillsynsmyndighets beslut. Den bygger på den allmänna bestämmelsen i artikel
28.3 i direktiv 95/46/EG, och föreskriver särskilt att den registrerade får
väcka talan för att tvinga tillsynsmyndigheten att agera vid ett klagomål. Artikel 52 gäller rätten till rättsmedel mot
en registeransvarig eller registerförare, på grundval av artikel 22 i direktiv
95/46/EG och artikel 20 i rambeslut 2008/977/RIF. Genom artikel 53 införs gemensamma
bestämmelser för domstolsförfaranden, bl.a. rättigheterna för organ,
organisationer eller sammanslutningar att företräda registrerade personer inför
domstolarna, tillsynsmyndigheternas rätt att delta i rättsliga förfaranden.
Medlemsstaternas skyldighet att säkerställa snabb domstolbehandling har
inspirerats av artikel 18.1 i direktiv 2000/31/EG[32] om
elektronisk handel. Enligt artikel 54 ska medlemsstaterna sörja
för rätten till ersättning. Den bygger på artikel 23 i direktiv 95/46/EG och
artikel 19.1 i rambeslut 2008/977/RIF, utvidgar denna rätt till skador
förorsakade av registerförare och klargör gemensamma registeransvarigas och
gemensamma registerförares ansvar. Genom artikel 55 förpliktigas medlemsstaterna
att fastställa påföljder, att bestraffa överträdelser av direktivet, och att
säkerställa genomförandet.
3.4.8.
KAPITEL IX – DELEGERADE AKTER OCH GENOMFÖRANDEAKTER
Artikel 56 innehåller standardbestämmelser för
utövandet av delegering i enlighet med artikel 290 i EUF-fördraget. Enligt
denna artikel kan lagstiftaren till kommissionen delegera befogenheten att anta
akter med allmän räckvidd som inte är lagstiftningsakter och som kompletterar
eller ändrar vissa icke väsentliga delar av en lagstiftningsakt. Artikel 57 innehåller bestämmelserna för
kommittéförfarandet då kommissionen tilldelas genomförandebefogenheter när
enhetliga villkor behövs för genomförandet av unionens rättsligt bindande
akter, i enlighet med artikel 291 i EUF-fördraget. Granskningsförfarandet är
tillämpligt.
3.4.9.
KAPITEL X – SLUTBESTÄMMELSER
Artikel 58 upphäver rambeslut 2008/977/RIF. I artikel 59 fastställs att särskilda
bestämmelser som avser behandling av personuppgifter som utförs av behöriga
myndigheterna för att förebygga, utreda, avslöja eller lagföra brott eller
verkställa straffrättsliga påföljder och som finns i unionsrättsakter, som
reglerar behandlingen av personuppgifter eller tillgång till informationssystem
inom direktivets tillämpningsområde, och som antagits före antagandet av detta
direktiv, inte påverkas. Artikel 60 klargör förhållandet mellan detta
direktiv och internationella avtal som tidigare ingåtts av medlemsstaterna på
området för straffrättsligt samarbete och polissamarbete. I artikel 61 föreskrivs en skyldighet för
kommissionen att utvärdera och rapportera om genomförandet av direktivet, i
syfte att bedöma behovet av att anpassa de tidigare antagna särskilda
bestämmelser som avses i artikel 59 till detta direktiv. I artikel 62 fastställs skyldigheten för
medlemsstaterna att införliva direktivet i sin nationella lagstiftning och till
kommissionen anmäla de bestämmelser som antagits i enlighet med direktivet. I artikel 63 fastställs datumet för
direktivets ikraftträdande. I artikel 64 fastställs till vem detta
direktiv riktar sig. 4. BUDGETKONSEKVENSER Den finansieringsöversikt för rättsakt som
åtföljer förslaget till allmän uppgiftsskyddsförordning omfattar såväl
förordningens som detta direktivs budgetkonsekvenser. 2012/0010 (COD) Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV om skydd för enskilda personer med avseende
på behöriga myndigheters behandling av personuppgifter för att förebygga,
utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,
och det fria flödet av sådana uppgifter EUROPAPARLAMENTET OCH EUROPEISKA
UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV med beaktande av fördraget om Europeiska
unionens funktionssätt, särskilt artikel 16.2, med beaktande av Europeiska kommissionens
förslag, efter översändande av utkastet till
lagstiftningsakt till de nationella parlamenten, efter att ha hört Europeiska
datatillsynsmannen[33],
i enlighet med det ordinarie
lagstiftningsförfarandet, och av följande skäl: (1)
Skyddet av fysiska personer vid behandling av
personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska
unionens stadga om de grundläggande rättigheterna och artikel 16.1 i fördraget
om Europeiska unionens funktionssätt garanterar var och en rätten till skydd av
de personuppgifter som rör honom eller henne. (2)
Avsikten med att behandla personuppgifter är att
betjäna människor. Principerna och reglerna för skyddet av enskilda personer
vid behandling av deras personuppgifter bör, oavsett medborgarskap eller
hemvist, respektera deras grundläggande rättigheter och friheter, främst deras
rätt till skydd av personuppgifter. Behandlingen av personuppgifter bör bidra
till att skapa ett område av frihet, säkerhet och rättvisa. (3)
Den snabba tekniska utvecklingen och
globaliseringen har ställt oss inför nya utmaningar vad gäller skyddet av
personuppgifter. Omfattningen på datadelning och insamling av uppgifter har
ökat spektakulärt. Teknik skapar förutsättningar för behöriga myndigheter att i
sin verksamhet använda personuppgifter i en aldrig tidigare skådad omfattning. (4)
Detta gör det nödvändigt att underlätta det fria
flödet av uppgifter mellan behöriga myndigheter inom unionen samt överföringar
till tredjeländer och internationella organisationer, och samtidigt säkerställa
en hög skyddsnivå för personuppgifter. Dessa utvecklingstendenser kräver en
stark och mer sammanhängande ram för uppgiftsskyddet inom unionen, uppbackad av
kraftfullt tillsynsarbete. (5)
Europaparlamentets och rådet direktiv 95/46/EG av
den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling
av personuppgifter och om det fria flödet av sådana uppgifter[34] är
tillämpligt på all behandling av personuppgifter som förekommer i
medlemsstaterna, såväl inom den offentliga som inom den privata sektorn. Det är
emellertid inte tillämpligt på behandling av personuppgifter ”som utgör ett led
i en verksamhet som inte omfattas av gemenskapsrätten”, t.ex. verksamhet på
områdena för straffrättsligt samarbete och polissamarbete. (6)
Rådets rambeslut 2008/977/RIF av den 27 november
2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete
och straffrättsligt samarbete[35]
är tillämpligt på områdena för straffrättsligt samarbete och polissamarbete.
Tillämpningsområdet för detta rambeslut begränsas till behandlingen av sådana
personuppgifter som överförs eller görs tillgängliga mellan medlemsstaterna. (7)
Att garantera en enhetlig och hög nivå på skyddet
av enskildas personuppgifter och underlätta utbytet av personuppgifter mellan
behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att
säkerställa ett effektivt straffrättsligt samarbete och polissamarbete. Därför
måste skyddet av enskildas fri- och rättigheter i samband med behöriga
myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja
eller lagföra brott eller verkställa straffrättsliga påföljder vara likvärdigt
i alla medlemsstater. Ett effektivt skydd av personuppgifter i hela unionen
förutsätter att de registrerades rättigheter stärks och att skyldigheterna för
dem som behandlar sådana uppgifter klargörs, men också likvärdiga befogenheter
för de myndigheter och organ som har ansvaret för att övervaka och säkerställa
efterlevnaden av bestämmelserna om skydd av personuppgifter i medlemsstaterna. (8)
I artikel 16.2 i fördraget om Europeiska unionens
funktionssätt anges att Europaparlamentet och rådet ska fastställa bestämmelser
om skydd för enskilda personer när det gäller behandling av personuppgifter
samt om den fria rörligheten för sådana uppgifter. (9)
Därför fastställs i Europaparlamentets och rådets
förordning EU …../2012 om skydd för enskilda personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana uppgifter
(allmän uppgiftsskyddsförordning) allmänna bestämmelser om skydd av enskilda i
samband med behandling av personuppgifter och om den fria rörligheten för
sådana uppgifter inom unionen. (10)
I förklaring 21 om skydd av personuppgifter på
området för straffrättsligt samarbete och polissamarbete, som är fogad till
slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade
konferensen att särskilda regler om skydd av personuppgifter och om fri
rörlighet för sådana uppgifter på områdena för straffrättsligt samarbete och
polissamarbete på grundval av artikel 16 i fördraget om Europeiska unionens
funktionssätt kan visa sig nödvändig på grund av dessa områden särskilda natur. (11)
Ett särskilt direktiv bör således vara anpassat
till den särskilda karaktären hos dessa områden och fastställa bestämmelser om
skydd för enskilda i samband med behöriga myndigheters behandling av
personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller
verkställa straffrättsliga påföljder. (12)
För att säkerställa en enhetlig skyddsnivå för
enskilda genom rättsligt bindande rättigheter i hela unionen och undvika
avvikelser som hämmar utbytet av personuppgifter mellan behöriga myndigheter,
bör direktivet innehålla harmoniserade bestämmelser om skydd och fri rörlighet
för personuppgifter på områdena för straffrättsligt samarbete och polissamarbete.
(13)
Detta direktiv gör det möjligt att vid
tillämpningen av dess bestämmelser ta hänsyn till principen om allmänhetens
rätt att få tillgång till allmänna handlingar. (14)
Det skydd som ska tillhandahållas enligt detta
direktiv gäller vid behandling av enskildas personuppgifter, oavsett de berörda
personernas medborgarskap eller hemvist. (15)
Skyddet av enskilda bör vara tekniskt neutralt, det
vill säga inte vara beroende av den teknik som används, eftersom detta skulle
skapa en allvarlig risk för att reglerna kringgås. Skyddet av enskilda bör vara
tillämpligt på både automatisk och manuell behandling av personuppgifter, om
uppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller
grupper av akter, liksom deras omslag, som inte är ordnade enligt särskilda
kriterier, bör inte omfattas av detta direktiv. Detta direktiv bör inte
tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet
som inte omfattas av unionsrätten, särskilt verksamhet som rör nationell
säkerhet, eller av uppgifter som behandlats av unionens institutioner, organ
och byråer, t.ex. Europol eller Eurojust. (16)
Principerna för skyddet bör gälla all information
som rör en identifierad eller identifierbar fysisk person. Vid bedömningen av
om en fysisk person är identifierbar bör man ta hänsyn till alla hjälpmedel som
den registeransvarige eller någon annan person rimligen kan komma att använda
för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för
uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte
längre är identifierbar. (17)
Personuppgifter som rör hälsa bör särskilt omfatta
alla uppgifter som hänför sig till en registrerad persons hälsotillstånd,
uppgifter om registrering av personen för tillhandahållande av hälso- och
sjukvårdstjänster, uppgifter om betalning för eller rätt till hälso- och
sjukvård avseende personen i fråga, ett nummer, en symbol eller ett kännetecken
som personen tilldelats för att identifiera denne uteslutande för hälso- och
sjukvårdsändamål, alla uppgifter om personen som insamlats i samband med hälso-
och sjukvårdstjänster som personen utnyttjat, uppgifter som härrör från tester
eller undersökningar av en kroppsdel eller kroppssubstans, däribland biologiska
prover, Identifiering av en person som tillhandahåller hälso- och sjukvård till
den registrerade, eller andra uppgifter om t.ex. en sjukdom, funktionshinder,
sjukdomsrisk, sjukdomshistoria, klinisk behandling, eller den registrerades
faktiska fysiologiska eller biomedicinska tillstånd oberoende av källan,
exempelvis från en läkare eller annan sjukvårdspersonal, ett sjukhus, en
medicinteknisk produkt eller ett diagnostiskt in vitro-test. (18)
Varje behandling av personuppgifter måste vara tillåten,
rättvis och öppen i förhållande till berörda enskilda. I synnerhet bör de särskilda
ändamål för vilka uppgifterna behandlas formuleras tydligt. (19)
För att ge behöriga myndigheter förutsättningar att
förebygga, utreda och lagföra brott är det viktigt att de kan bevara och
behandla personuppgifter som insamlats i samband med sådan verksamhet också för
andra ändamål, så att det blir möjligt att utveckla kunskap om olika
brottsföreteelser och brottstrender, samla in underrättelser om kriminella
nätverk och göra kopplingar mellan olika brott. (20)
Personuppgifter bör inte behandlas för ändamål som
är oförenliga med det ändamål för vilket de samlades in. Personuppgifter ska
vara adekvata, relevanta och inte överdrivet omfattande med hänsyn till
ändamålet med behandlingen. Alla rimliga åtgärder bör vidtas för att
säkerställa att oriktiga personuppgifter rättas eller raderas. (21)
Principen om uppgifters riktighet ska tillämpas med
hänsyn till vilken typ av behandling det är fråga om och syftet med denna.
Särskilt i domstolsförfaranden baseras utsagor som innehåller personuppgifter
på individers subjektiva uppfattningar, med följden att uppgifterna i vissa
fall inte kan verifieras. Följaktligen bör inte riktighetskravet ha någon
relevans för frågan om huruvida ett uttalande är riktigt, utan endast för det
faktum att ett visst uttalande har gjorts. (22)
Vid tolkning och tillämpning av allmänna principer
avseende behöriga myndigheters behandling av personuppgifter för att förebygga,
utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder
bör hänsyn tas till de specifika förhållandena inom den berörda sektorn,
inklusive de särskilda mål som eftersträvas. (23)
Behandling av personuppgifter på områdena för
straffrättsligt samarbete och polissamarbete innebär av naturliga skäl att
personuppgifter om olika kategorier av registrerade behandlas. Därför är det
viktigt att i möjligaste mån göra en klar åtskillnad mellan personuppgifter om
olika kategorier av registrerade, t.ex. brottsmisstänkta, brottsdömda och
brottsoffer samt andra som berörs av ett brottmål, t.ex. vittnen, personer med
relevant information eller personer med kontakter eller band till
brottsmisstänkta och brottsdömda. (24)
Personuppgifter bör i möjligaste mån delas in efter
grad av riktighet och tillförlitlighet. Sakförhållanden bör hållas isär från
personliga bedömningar, så att det blir möjligt att garantera såväl skydd för
enskilda personer som kvalitet och tillförlitlighet i den information som
behandlas av behöriga myndigheter. (25)
För att vara laglig bör behandlingen av
personuppgifter vara nödvändig för att fullgöra en rättslig förpliktelse som
åvilar den registeransvarige, för att utföra en arbetsuppgift av allmänt
intresse som en behörig myndighet ansvarar för enligt lag, för att skydda
intressen av grundläggande betydelse för den registrerade eller en annan person
eller för att förebygga ett omedelbart och allvarligt hot mot den allmänna
säkerheten. (26)
Personuppgifter som till sin natur är särskilt
känsliga med hänsyn till grundläggande rättigheter eller skyddet av
privatlivet, däribland genetiska data, förtjänar ett särskilt skydd. Sådana uppgifter
bör inte behandlas, om inte behandlingen är godkänd enligt lagstiftning som
föreskriver lämpliga åtgärder för att säkerställa den registrerades berättigade
intressen, behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade eller en annan person eller
behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den
registrerade. (27)
Varje fysisk person bör ha rätt att inte bli
föremål för åtgärder som endast grundar sig på automatisk uppgiftsbehandling om
detta skulle medföra negativa rättsliga verkningar för denna person, såvida
inte behandlingen är tillåten enligt lag och omfattas av lämpliga åtgärder för
att skydda den registrerades berättigade intressen. (28)
För att den registrerade ska kunna utöva sina
rättigheter bör all information som riktar sig till denne vara lättillgänglig
och lätt att förstå, vilket inbegriper användning av ett klart och enkelt
språk. (29)
Det bör finnas arrangemang som underlättar för
registrerade att utöva sina rättigheter enligt detta direktiv, bl.a. rutiner
för att kostnadsfritt begära särskilt tillgång till uppgifterna samt rättelse
och radering av dessa. Den registeransvarige bör vara skyldig att besvara
framställningar från den registrerade utan onödigt dröjsmål. (30)
Principen om rättvis uppgiftsbehandling innebär att
registrerade ska informeras särskilt om att behandling sker och syftet med
behandlingen, hur länge uppgifterna kommer att lagras, rätten att få tillgång
till, rätta eller radera uppgifter samt rätten att lämna in klagomål. När
uppgifterna samlas in från de registrerade bör dessa även informeras om
huruvida de är skyldiga att tillhandahålla uppgifterna, och om vilka
konsekvenserna blir om de inte lämnar dem. (31)
Informationen till de registrerade om behandlingen
av uppgifter om dem bör överlämnas i samband med att uppgifterna samlas in
eller, om uppgifterna inte har erhållits från de registrerade, vid tidpunkten
för registreringen, eller inom en skälig tid efter insamlingen, med hänsyn
tagen till de särskilda förhållanden under vilka uppgifterna behandlas. (32)
Alla bör ha rätt att få tillgång till uppgifter som
insamlats om dem och enkelt kunna utöva denna rätt så att de är införstådda med
att behandling sker och kan kontrollera att den är tillåten. Därför bör varje
registrerad har rätt att känna till och underrättas om i synnerhet de ändamål
för vilka uppgifterna behandlas, hur länge behandlingen kommer att pågå och
vilka som kommer att få del av uppgifterna, inbegripet mottagare i
tredjeländer. Registrerade bör ha rätt till en kopia av de uppgifter som
behandlas. (33)
Medlemsstaterna bör ha möjlighet att genom
lagstiftning vidta åtgärder som innebär att informationen till de registrerade
eller de registrerades tillgång till sina uppgifter senareläggs, begränsas
eller utelämnas, i den utsträckning och så länge som en sådan partiell eller
fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett
demokratiskt samhälle med hänsyn tagen till den berörda personens berättigade
intressen, och syftet är att förebygga obstruktion av officiella eller
rättsliga utredningar, undersökningar eller förfaranden, undvika menlig
inverkan på förebyggande, upptäckt, utredning och lagföring av brott eller
verkställighet av straffrättsliga påföljder, skydda allmän eller nationell
säkerhet eller skydda den registrerade eller andra personers fri- och
rättigheter. (34)
Varje vägran att ge den registrerade tillgång till
sina uppgifter och varje begränsning av sådan tillgång bör meddelas den
registrerade skriftligen, inklusive de faktiska eller rättsliga skäl som
beslutet grundar sig på. (35)
När medlemsstater har antagit lagstiftning som helt
eller delvis begränsar rätten till tillgång, bör de registrerade ha rätt att
begära att den behöriga nationella tillsynsmyndigheten kontrollerar behandlingens
laglighet. De registrerade bör informeras om denna rättighet. När en
tillsynsmyndighet utövar rätten att få tillgång till uppgifter för de
registrerades räkning, bör tillsynsmyndigheten informera dem åtminstone om att
tillsynsmyndigheten har utfört alla nödvändiga kontroller och om resultatet av
dessa kontroller när det gäller lagligheten av behandlingen i fråga. (36)
Var och en bör ha rätt att få felaktiga
personuppgifter om sig rättade samt rätt till radering om behandlingen av
sådana uppgifter inte föreenlig med de grundläggande principerna i detta
direktiv. När personuppgifter behandlas inom ramen för en brottsutredning och
ett brottmål, bör rätten till rättelse, information, tillgång och radering samt
till begränsning av behandlingen kunna säkerställas i enlighet med nationella
bestämmelser om rättsliga förfaranden. (37)
Registeransvariga bör åläggas ett övergripande
ansvar för all behandling av personuppgifter som de utför eller som utförs på
deras vägnar. Den registeransvarige bör särskilt se till att behandlingen är
förenlig med de bestämmelser som antas i enlighet med detta direktiv. (38)
Skyddet av de registrerades rättigheter i samband
med behandlingen av personuppgifter kräver lämpliga tekniska och
organisatoriska åtgärder för att säkerställa att direktivets krav uppfylls. För
att garantera överensstämmelse med de bestämmelser som antas enligt detta
direktiv, bör den registeransvarige anta strategier och genomföra lämpliga
åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och
uppgiftsskydd som standard. (39)
Skyddet av de registrerades rättigheter och
friheter samt de registeransvarigas och registerförarnas ansvar kräver en
tydlig fördelning av ansvar enligt detta direktiv, inklusive när en
registeransvarig bestämmer ändamålen med och villkoren och medlen för
behandlingen tillsammans med andra registeransvariga eller när behandlingen
utförs på uppdrag av en registeransvarig. (40)
Behandling av personuppgifter bör dokumenteras av
den registeransvarige eller av registerföraren, i syfte att övervaka
efterlevnaden av detta direktiv. Varje registeransvarig och registerförare bör
vara skyldig att samarbeta med tillsynsmyndigheten och på dennas begäran göra
dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av
behandlingen. (41)
I syfte att säkerställa ett effektivt skydd av de
registrerades rättigheter och friheter genom förebyggande åtgärder, bör den
registeransvarige eller registerföraren i vissa fall samråda med
tillsynsmyndigheten innan uppgifterna behandlas. (42)
Ett personuppgiftsbrott kan, om det inte snabbt
blir föremål för lämpliga åtgärder, medföra skada, inklusive med avseende på
den berörda personens anseende. Så snart som den registeransvarige blir
medveten om att ett sådant brott har inträffat, bör denne anmäla brottet till
den behöriga nationella myndigheten. Enskilda personer vars personuppgifter
eller integritet kan utsättas för negativ påverkan genom brottet bör meddelas
utan onödigt dröjsmål, så att de får tillfälle att vidta nödvändiga
försiktighetsåtgärder. Ett brott bör anses ha en menlig inverkan på en individs
personuppgifter och integritet om det kan leda till exempelvis identitetsstöld
eller identitetsbedrägeri, personskada, betydande förödmjukelse eller skadat
anseende i samband med behandlingen av personuppgifter. (43)
När närmare bestämmelser fastställs för tillämpliga
format och förfaranden för anmälan av personuppgiftsbrott bör vederbörlig
hänsyn tas till omständigheterna kring brottet, däribland om personuppgifterna
var omgärdade av lämpligt tekniskt skydd som betydligt begränsade sannolikheten
för missbruk. Bestämmelserna och förfarandena bör dessutom beakta behöriga
myndigheters berättigade intressen i fall där ett tidigt utlämnande kan riskera
att i onödan hämma utredningen av omständigheterna kring ett brott. (44)
Registeransvariga eller registerförare bör utse en
person som kan hjälpa dem med att övervaka efterlevnaden av de bestämmelser som
antas i enlighet med detta direktiv. Flera enheter inom den behöriga
myndigheten kan gemensamt utse uppgiftsskyddsombud. Uppgiftsskyddsombuden måste
kunna utföra sina uppdrag och arbetsuppgifter på ett oberoende och effektivt
sätt. (45)
Medlemsstaterna bör se till att överföringar till
ett tredjeland endast kan äga rum om detta är nödvändigt för att förebygga,
utreda, avslöja eller lagföra brott eller för att verkställa straffrättsliga
påföljder, och den registeransvarige i tredjelandet eller den internationella
organisationen är en myndighet som är behörig i den mening som avses i detta
direktiv. En överföring kan äga rum när kommissionen har beslutat att
skyddsnivån i ett tredjeland eller en internationell organisation är adekvat,
eller när lämpliga skyddsåtgärder föreligger. (46)
Kommissionen kan med verkan för hela unionen
fastställa att vissa tredjeländer, ett visst territorium eller en viss
behandlande sektor i ett tredjeland eller en internationell organisation kan
garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och
enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella
organisationer. I dessa fall får överföringar av personuppgifter till dessa
länder ske utan behov av ytterligare tillstånd. (47)
I linje med de grundläggande värderingar som
unionen vilar på, allra främst skyddet av de mänskliga rättigheterna, bör
kommissionen beakta hur rättsstatsprincipen, möjlighet till rättslig prövning
samt internationella människorättsliga normer och standarder respekteras i det
tredjelandet. (48)
Kommissionen bör likaledes kunna konstatera att ett
tredjeland eller ett territorium eller en behandlande sektor inom ett
tredjeland, eller en internationell organisation, inte erbjuder en adekvat nivå
på skyddet av uppgifterna. Följaktligen bör överföringar av personuppgifter
till det tredjelandet förbjudas utom när de bygger på internationella avtal,
omgärdas av lämpliga skyddsåtgärder eller grundas på ett undantag. Bestämmelser
bör fastställas för förfaranden för samråd mellan kommissionen och dessa
tredjeländer eller internationella organisationer. Ett sådant kommissionsbeslut
ska dock inte påverka möjligheten att göra överföringar när dessa är omgärdade
av lämpliga skyddsåtgärder eller grundas på ett undantag som finns fastställt i
direktivet. (49)
Överföringar som inte grundar sig på ett sådant
beslut om adekvat skyddsnivå bör endast tillåtas om lämpliga skyddsåtgärder vidtagits
genom ett rättsligt bindande instrument, som säkrar skyddet av
personuppgifterna eller om den registeransvarige eller registerföraren har
gjort en bedömning av alla omständigheterna kring en uppgiftsöverföring eller
en serie uppgiftsöverföringar och på grundval av denna bedömning anser att
lämpliga skyddsåtgärder föreligger vad avser skyddet av personuppgifter. När
skäl saknas för att tillåta en överföring, bör undantag medges om överföringen
är nödvändig för att skydda intressen som är av grundläggande betydelse för den
registrerade eller en annan person, eller för att skydda den registrerades
berättigade intressen om lagstiftningen i den medlemsstat som överför
uppgifterna föreskriver detta, eller om det är avgörande för att avvärja en
omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat
eller i ett tredjeland, eller i enskilda fall när det är nödvändigt för att
förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga
påföljder, eller i enskilda fall för att fastslå, göra gällande eller försvara
rättsliga anspråk. (50)
När personuppgifter förs över gränserna kan detta
öka risken för att enskilda inte kan utöva sina uppgiftsskyddsrättigheter att
skydda sig från otillåten användning eller utlämnande av dessa uppgifter.
Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga
klagomål eller göra utredningar som gäller verksamheter utanför gränserna för
deras land. Deras strävan att samarbeta i ett gränsöverskridande sammanhang kan
också försvåras på grund av otillräckliga preventiva eller korrigerande
befogenheter eller oenhetliga rättsliga regelverk. Närmare samarbete mellan
tillsynsmyndigheter bör därför främjas för att hjälpa dem att utbyta
information med sina utländska motsvarigheter. (51)
För att skydda enskilda vid behandling av
personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar
tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende.
Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i detta
direktiv och bidra till enhetlig tillämpning i hela unionen, för att skydda
fysiska personer när deras personuppgifter behandlas. För detta ändamål bör
tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen. (52)
Medlemsstaterna får anförtro en tillsynsmyndighet
som de redan inrättat i enlighet med förordning (EU) …./2012 ansvaret för de
arbetsuppgifter som ska skötas av de nationella tillsynsmyndigheter som ska
inrättas med anledning av detta direktiv. (53)
Medlemsstaterna bör kunna inrätta mer än en
tillsynsmyndighet för att återspegla sin konstitutionella, organisatoriska och
administrativa struktur. Varje tillsynsmyndighet bör tilldelas de ekonomiska
och personella resurser och lokalutrymmen samt den infrastruktur som krävs för
att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de
arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga
tillsynsmyndigheter i hela unionen. (54)
De allmänna villkoren för tillsynsmyndighetens
ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör
bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av
medlemsstatens regering, och inkludera regler om deras personliga
kvalifikationer och ställning. (55)
Detta direktiv är visserligen tillämpligt på
nationella domstolars verksamheter, men tillsynsmyndigheterna bör inte ha
behörighet att övervaka behandling av personuppgifter i domstolar när detta
sker som en del av domstolarnas dömande verksamhet. Syftet är att garantera
domarnas oberoende när de utför sina rättsliga arbetsuppgifter. Detta undantag
bör dock vara inskränkt till genuint rättsliga verksamheter i domstolsmål och
inte vara tillämpligt på övriga verksamheter där domare i enlighet med
nationell lagstiftning kan medverka. (56)
För att detta direktiv ska övervakas och
verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndigheterna i
alla medlemsstater ha samma uppdrag och effektiva befogenheter, bl.a.
befogenheter att utreda, vidta rättsligt bindande åtgärder, fatta beslut och
ålägga påföljder, särskilt vid klagomål från enskilda, samt delta i rättsliga
förfaranden. (57)
Tillsynsmyndigheterna bör ta emot klagomål som
lämnas in av registrerade och utreda ärendena i fråga. Utredningen av ett
klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den
utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i
rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider
och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller
samordning med en annan tillsynsmyndighet bör den registrerade underrättas även
om detta. (58)
Tillsynsmyndigheterna bör bistå varandra när de
utför sitt uppdrag och ge ömsesidigt bistånd för att se till att bestämmelser
som antas i enlighet med i detta direktiv efterlevs och tillämpas enhetligt. (59)
Europeiska dataskyddsstyrelsen som inrättats genom
förordning (EU) …./2012 bör bidra till detta direktivs enhetliga tillämpning i
hela unionen, bl.a. genom att lämna råd till kommissionen och främja samarbetet
mellan tillsynsmyndigheterna i hela unionen. (60)
Alla registrerade bör ha rätt att klaga hos en
tillsynsmyndighet i en medlemsstat och ha rätt till rättsmedel om de anser att
deras rättigheter enligt detta direktiv har kränkts eller om
tillsynsmyndigheten inte agerar med anledning av ett klagomål eller inte agerar
när så är nödvändigt för att skydda de registrerades rättigheter. (61)
Alla organ, organisationer eller sammanslutningar
som syftar till att skydda registrerades rättigheter vad gäller skyddet av
personuppgifter och som inrättats i enlighet med lagstiftningen i en
medlemsstat bör ha rätt att på de registrerades vägnar, om de av dessa
vederbörligen fått detta uppdrag, klaga eller utöva rätten till rättsmedel,
eller att oberoende av en registrerad persons klagomål själv klaga när de anser
att ett personuppgiftsbrott har begåtts. (62)
Varje fysisk eller juridisk person bör ha rätt till
ett rättsmedel mot beslut rörande dem som meddelats av en tillsynsmyndighet. En
eventuell talan mot en tillsynsmyndighet bör väckas vid domstolarna i den
medlemsstat där tillsynsmyndigheten har sitt säte. (63)
Medlemsstaterna bör se till att
domstolsförfarandena, för att vara effektiva, medger att åtgärder snabbt vidtas
för att åtgärda eller förhindra överträdelser av detta direktiv. (64)
Personer som lider skada till följd av otillåten
behandling bör ha rätt till ersättning av registeransvariga eller
registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa
att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel
begåtts av den registrerade eller i fall av force majeure. (65)
Om någon fysisk eller juridisk person underlåter
att följa detta direktiv bör detta leda till påföljder, oavsett om personen i
fråga omfattas av privaträttslig eller offentligrättslig lagstiftning.
Medlemsstaterna bör se till att påföljderna är effektiva, proportionella och
avskräckande och ska vidta alla åtgärder som krävs för att påföljderna ska
verkställas. (66)
I syfte att uppnå målen för detta direktiv,
nämligen att skydda fysiska personers grundläggande fri- och rättigheter, och i
synnerhet deras rätt till skydd av personuppgifter och för att säkra fritt
utbyte av personuppgifter mellan behöriga myndigheter inom unionen bör
befogenheten att anta akter i enlighet med artikel 290 i fördraget om
Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas i fråga om
anmälningar av personuppgiftsbrott till tillsynsmyndigheterna. Det är av
särskild betydelse att kommissionen genomför lämpliga samråd under sitt
förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den
förbereder och utarbetar delegerande akter, se till att relevanta handlingar
översänds samtidigt till Europaparlamentet och rådet och att detta sker så
snabbt som möjligt och på lämpligt sätt. (67)
Genomförandebefogenheterna bör delegeras till
kommissionen för att förutsättningarna för genomförandet av detta direktiv ska
bli enhetliga i fråga om registeransvarigas och registerförares dokumentation,
uppgiftsbehandlingens säkerhet, särskilt vad gäller krypteringsstandarder,
anmälningar av personuppgiftsbrott till tillsynsmyndigheten samt adekvata
skyddsnivåer i ett tredjeland eller ett territorium eller en behandlande sektor
inom detta tredjeland eller en internationell organisation. Dessa befogenheter
bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr
182/2011 av den 16 februari 2011 om fastställande av allmänna regler och
principer för medlemsstaternas kontroll av kommissionens utövande av sina
genomförandebefogenheter[36]. (68)
Mot bakgrund av att dessa rättsakter har allmän
räckvidd bör granskningsförfarandet användas åtgärder vidtas som gäller
registeransvarigas och registerförares dokumentation, uppgiftsbehandlingens
säkerhet, anmälningar av personuppgiftsbrott till tillsynsmyndigheterna samt
adekvat skyddsnivå i ett tredjeland eller ett territorium eller en behandlande
sektor inom detta tredjeland eller en internationell organisation. (69)
När tvingande skäl till skyndsamhet föreligger bör
kommissionen i vederbörligen motiverade fall anta omedelbart tillämpliga
genomförandeakter avseende ett tredjeland eller ett territorium eller en
behandlande sektor inom detta tredjeland eller en internationell organisation
vars skyddsnivå inte är adekvat. (70)
Eftersom målen för detta direktiv, nämligen att
skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras
rätt till skydd av personuppgifter, och för att säkerställa ett fritt utbyte av
personuppgifter mellan behöriga myndigheter inom unionen, inte i tillräcklig
utsträckning kan uppnås av medlemsstaterna och de därför, på grund av åtgärdens
omfattning eller verkningar, bättre kan uppnås på unionsnivå, kan unionen vidta
åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om
Europeiska unionen. I enlighet med proportionalitetsprincipen i samma
artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå det
målet. (71)
Rambeslut 2008/977/RIF bör upphävas genom detta
direktiv. (72)
Särskilda bestämmelser som avser behöriga
myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja
eller lagföra brott eller verkställa straffrättsliga påföljder som finns i
unionsakter, antagna före dagen för antagandet av detta direktiv, och som
reglerar behandlingen av personuppgifter mellan medlemsstaterna eller tillträde
för utsedda myndigheter i medlemsstater till informationssystem som inrättats i
enlighet med fördragen, bör kvarstå oförändrade. Kommissionen bör utvärdera
situationen vad gäller förhållandet mellan detta direktiv och rättsakter,
antagna före dagen för antagandet av detta direktiv, som reglerar behandling av
personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter
i medlemsstater till informationssystem som inrättats i enlighet med fördragen,
i syfte att bedöma om dessa särskilda bestämmelser behöver anpassas till detta
direktiv. (73)
För att säkerställa ett övergripande och enhetligt
skydd av personuppgifter i unionen, bör internationella avtal som
medlemsstaterna ingått före ikraftträdandet av detta direktiv ändras så att de
överensstämmer med detta direktiv. (74)
Detta direktiv påverkar inte bestämmelserna om
bekämpande av sexuella övergrepp mot barn och sexuell exploatering av barn och
barnpornografi i Europaparlamentets och rådets direktiv 2011/92/EU av den 13
december 2011[37]. (75)
I enlighet med artikel 6a i protokollet om Förenade
kungarikets och Irlands ställning med avseende på området med frihet, säkerhet
och rättvisa, som fogats till fördraget om Europeiska unionen och fördraget om
Europeiska unionens funktionssätt, är Förenade kungariket och Irland inte
bundna av bestämmelserna i detta direktiv, i det fall då Förenade kungariket
och Irland inte är bundna av bestämmelserna om formerna för straffrättsligt
samarbete eller polissamarbete inom ramen för vilka de bestämmelser måste
iakttas som fastställs på grundval av artikel 16 i fördraget om Europeiska
unionens funktionssätt. (76)
I enlighet med artiklarna 2 och 2a i
protokollet om Danmarks ställning, som fogats till fördraget om Europeiska
unionen och fördraget om Europeiska unionens funktionssätt, är detta direktiv
inte bindande för eller tillämpligt på Danmark. Eftersom detta direktiv innebär
en utbyggnad av Schengenregelverket, som omfattas av avdelning V i tredje delen
av fördraget om Europeiska unionens funktionssätt, ska Danmark i enlighet med
artikel 4 i protokollet inom en tid av sex månader efter antagandet av detta
direktiv besluta huruvida landet ska genomföra det i sin nationella
lagstiftning. (77)
När det gäller Island och Norge utgör detta
direktiv en vidareutveckling av Schengenregelverket i enlighet med avtalet
mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om
dessa staters associering till genomförandet, tillämpningen och utvecklingen av
Schengenregelverket[38].
(78)
När det gäller Schweiz utgör detta direktiv, i
enlighet med avtalet mellan Europeiska unionen, Europeiska gemenskapen och
Schweiziska edsförbundet om Schweiziska edsförbundets associering till
genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en
utveckling av bestämmelserna i Schengenregelverket[39]. (79)
När det gäller Liechtenstein utgör detta direktiv
en vidareutveckling av bestämmelserna i Schengenregelverket i enlighet med
protokollet mellan Europeiska unionen, Europeiska gemenskapen,
Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet
Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska
gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets
associering till genomförandet, tillämpningen och utvecklingen av
Schengenregelverket[40]. (80)
Detta direktiv respekterar de grundläggande
rättigheterna och iakttar de principer som erkänns i Europeiska unionens stadga
om de grundläggande rättigheterna som fastställs i fördraget, bl.a. rätten till
respekt för privatlivet och familjelivet, rätten till skydd av personuppgifter,
rätt till ett effektivt rättsmedel och till en opartisk domstol. De
inskränkningar som gjorts av dessa rättigheter överensstämmer med artikel 52.1
i stadgan eftersom de är nödvändiga för att uppnå av unionen erkända mål av
allmänt intresse eller för att skydda andras fri- och rättigheter. (81)
I enlighet med medlemsstaternas och kommissionens
gemensamma politiska förklaring om förklarande dokument av den 28 september
2011 har medlemsstaterna, i de fall detta är motiverat, åtagit sig att till
anmälan av införlivandeåtgärder bifoga ett eller flera dokument som förklarar
förhållandet mellan ett direktivs olika delar och motsvarande delar i de
nationella instrumenten för införlivande. När det gäller detta direktiv anser
lagstiftaren det vara motiverat att sådana dokument lämnas in. (82)
Detta direktiv bör inte hindra medlemsstaterna från
att i nationell straffprocesslagstiftning genomföra bestämmelser om
registrerades utövande av sina rättigheter vad gäller information, tillgång,
rättelse, radering och begränsning av sina personuppgifter som behandlas i
samband med straffrättsliga förfaranden samt eventuella begränsningar av dessa
rättigheter. HÄRIGENOM FÖRESKRIVS FÖLJANDE. KAPITEL I ALLMÄNNA BESTÄMMELSER Artikel 1
Syfte och mål 1. I detta direktiv fastställs
bestämmelser om skydd för enskilda personer med avseende på behandling av
personuppgifter som utförs av behöriga myndigheter i syfte att förebygga,
utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. 2. Enligt detta direktiv ska
medlemsstaterna a) skydda fysiska personers grundläggande
fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, och b) se till att behöriga myndigheters utbyte
av personuppgifter inom unionen varken begränsas eller förbjuds av skäl som rör
skyddet för enskilda personer med avseende på behandlingen av personuppgifter. Artikel 2
Tillämpningsområde 1. Detta direktiv ska tillämpas
på behandling av personuppgifter som utförs av behöriga myndigheter för de
ändamål som anges i artikel 1.1. 2. Direktivet ska tillämpas på
sådan behandling av personuppgifter som helt eller delvis företas på automatisk
väg samt på annan behandling än automatisk av personuppgifter som ingår i eller
kommer att ingå i ett register. 3. Direktivet ska inte
tillämpas på behandling av personuppgifter a) som utgör ett led i en verksamhet som
inte omfattas av unionslagstiftningen, särskilt avseende nationell säkerhet, b) som utförs av unionens institutioner,
organ och byråer. Artikel 3
Definitioner I detta direktiv gäller följande definitioner: (1)
den registrerade: en
fysisk person som är direkt eller indirekt identifierad eller identifierbar,
med medel som rimligen kan komma att användas av den registeransvarige eller av
någon annan fysisk eller juridisk person, framför allt med hänvisning till ett
identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer,
eller till en eller fler faktorer som är specifika för personens fysiska,
fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. (2)
personuppgifter: varje
upplysning som avser den registrerade. (3)
behandling: varje
åtgärd eller kombination av åtgärder beträffande personuppgifter eller
uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller
ej, såsom insamling, registrering, organisering, strukturering, lagring,
bearbetning eller ändring, framtagning, läsning, användning, utlämning genom
överföring, spridning eller tillhandahållande på annat sätt, justering eller
sammanförande, begränsning, radering eller förstöring. (4)
begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa
behandlingen av dessa i framtiden. (5)
register: varje
strukturerad samling av personuppgifter som är tillgänglig enligt särskilda
kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd
på grundval av funktionella eller geografiska förhållanden. (6)
registeransvarig: en
behörig offentlig myndighet som ensam eller tillsammans med andra bestämmer
ändamålen, villkoren och medlen för behandlingen av personuppgifter; om
ändamålen, villkoren och medlen för behandlingen bestäms av
unionslagstiftningen eller medlemsstaternas lagstiftning kan den
registeransvarige eller de särskilda kriterierna för hur denne kan utses anges
i unionslagstiftningen eller i medlemsstaternas lagstiftning. (7)
registerförare: en
fysisk eller juridisk person, myndighet, institution eller annat organ som
behandlar personuppgifter för den registeransvariges räkning. (8)
mottagare: en fysisk
eller juridisk person, myndighet, institution eller annat organ till vilket
uppgifterna utlämnas. (9)
personuppgiftsbrott:
ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom
olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller
obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat
sätt behandlats. (10)
genetiska uppgifter:
alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person
som är nedärvda eller har erhållits under tidig prenatal utveckling. (11)
biometriska uppgifter:
alla uppgifter som rör en enskild persons fysiska, fysiologiska eller
beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller
henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter. (12)
uppgifter om hälsa:
alla uppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de
hälso- och sjukvårdstjänster som tillhandahållits personen. (13)
barn: alla personer som
är yngre än arton år. (14)
behöriga myndigheter:
varje offentlig myndighet med behörighet att förebygga, utreda, avslöja eller
lagföra brott eller att verkställa straffrättsliga påföljder. (15)
tillsynsmyndighet: en
myndighet som är etablerad av en medlemsstat i enlighet med artikel 39. KAPITEL II Principer Artikel 4
Principer om behandling av personuppgifter Medlemsstaterna ska föreskriva att
personuppgifter ska a) behandlas på ett korrekt och lagligt
sätt, b) samlas in för särskilda, uttryckligt
angivna och berättigade ändamål och inte senare behandlas på ett sätt som är
oförenligt med dessa ändamål, c) vara adekvata, relevanta och inte för
omfattande i förhållande till de syften för vilka de behandlas, d) vara riktiga och om nödvändigt hållas
aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att
personuppgifter som är felaktiga i förhållande till de ändamål för vilka de
behandlas raderas eller rättas utan dröjsmål, e) förvaras i en form som förhindrar
identifiering av den registrerade under en längre tid än vad som är nödvändigt
för de ändamål för vilka personuppgifterna behandlas, f) behandlas under ansvar av den
registeransvarige, som ska se till att kraven i de bestämmelser som antas i
enlighet med detta direktiv uppfylls. . Artikel 5
Åtskillnad mellan olika kategorier av registrerade 1. Medlemsstaterna ska
föreskriva att den registeransvarige, så långt det är möjligt, ska göra en klar
åtskillnad mellan personuppgifter som rör olika kategorier av registrerade,
såsom a) personer avseende vilka det finns tungt
vägande skäl att anta att de har begått eller är på väg att begå ett brott, b) personer som dömts för brott, c) brottsoffer, eller personer avseende
vilka det finns vissa omständigheter som ger anledning att anta att de kan ha
blivit offer för ett brott, d) andra som berörs av brottet, såsom
personer som kan komma att kallas att vittna i samband med brottsutredningar
eller senare straffrättsliga förfaranden, personer som kan ge information om
brott, eller personer med kontakter eller band till någon av de personer som
avses i a och b, och e) personer som inte passar in i någon av de
kategorier som anges ovan. Artikel 6
Olika grader av korrekthet och tillförlitlighet hos personuppgifter 1. Medlemsstaterna ska se till att de
olika kategorier av personuppgifter som behandlas, så långt det är möjligt,
åtskiljs i enlighet med deras korrekthets- och tillförlitlighetsgrad. 2. Medlemsstaterna ska se till att
personuppgifter som grundar sig på fakta så långt det är möjligt åtskiljs från
personuppgifter som grundar sig på personliga bedömningar. Artikel 7
När personuppgifter får behandlas Medlemsstaterna ska föreskriva att behandling
av personuppgifter är tillåten endast om och i den mån som behandlingen är
nödvändig (a)
för att utföra en arbetsuppgift som utförs av en
behörig myndighet, på grundval av lagstiftning och för de ändamål som anges i
artikel 1.1, eller (b)
för att fullgöra en rättslig förpliktelse som
åvilar den registeransvarige, eller (c)
för att skydda intressen som är av grundläggande
betydelse för den registrerade eller en annan person, eller (d)
för att avvärja ett omedelbart och allvarligt hot
mot den allmänna säkerheten. Artikel 8
Behandling av särskilda kategorier av personuppgifter 1. Medlemsstaterna ska förbjuda
behandling av personuppgifter som avslöjar ras eller etniskt ursprung,
politiska åsikter, religion eller övertygelse eller medlemskap i fackförening,
samt behandling av genetiska uppgifter eller uppgifter om hälsa eller
sexualliv. 2. Punkt 1 ska inte gälla om a) behandlingen godkänns av lagstiftning med
bestämmelser om lämpliga skyddsåtgärder, eller b) behandlingen är nödvändig för att skydda
intressen som är av grundläggande betydelse för den registrerade eller en annan
person, eller c) behandlingen rör uppgifter som på ett
tydligt sätt har offentliggjorts av den registrerade. Artikel 9
Åtgärder som grundar sig på profilering och automatisk behandling 1. Medlemsstaterna ska
föreskriva att åtgärder som har negativa rättsliga följder för den registrerade
eller som väsentligt berör honom eller henne och som enbart grundas på en
automatisk behandling av uppgifter som är avsedd att bedöma vissa personliga
egenskaper hos den registrerade ska förbjudas om åtgärderna inte godkänns av
lagstiftning som också innehåller bestämmelser till skydd för den registrerades
berättigade intressen. 2. Automatisk behandling av
personuppgifter som är avsedd att bedöma vissa personliga egenskaper hos den
registrerade ska inte grunda sig enbart på de särskilda kategorier av
personuppgifter som anges i artikel 8. KAPITEL III DEN REGISTRERADES RÄTTIGHETER Artikel 10
Villkor för utövandet av den registrerades rättigheter 1. Medlemsstaterna ska
föreskriva att den registeransvarige ska vidta alla rimliga åtgärder för att ha
en klar och tydlig och lätt tillgänglig policy för behandlingen av
personuppgifter och för utövandet av den registrerades rättigheter. 2. Medlemsstaterna ska
föreskriva att all information och kommunikation som rör behandlingen av
personuppgifter ska tillhandahållas av den registeransvarige till den
registrerade i en begriplig form, med användning av klart och tydligt språk. 3. Medlemsstaterna ska föreskriva
att den registeransvarige ska vidta alla rimliga åtgärder för att fastställa
förfaranden för tillhandahållandet av den information som anges i artikel 11
och för utövandet av den registrerades rättigheter enligt i artiklarna 12–17. 4. Medlemsstaterna ska
föreskriva att den registeransvarige ska informera den registrerade om
uppföljningen av hans eller hennes begäran utan onödigt dröjsmål. 5. Medlemsstaterna ska
föreskriva att den information och de åtgärder som vidtas av den
registeransvarige på sådan begäran som avses i punkterna 3 och 4 ska vara
gratis. Om begäran är särskilt betungande, särskilt på grund av dess repetitiva
karaktär, storlek eller volym, får den registeransvarige ta ut en avgift för
att tillhandahålla den information eller vidta den åtgärd som begärts, och får
om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det
åligga den registeransvarige att visa att begäran är särskilt betungande. Artikel 11
Information till den registrerade 1. Om personuppgifter som rör en
registrerad person samlas in, ska medlemsstaterna se till att den
registeransvarige vidtar alla lämpliga åtgärder för att till den registrerade
åtminstone lämna information om följande: a) Identitet och kontaktuppgifter för den
registeransvarige och uppgiftsskyddsombudet. b) Ändamålen med den behandling för vilken
personuppgifterna är avsedda. c) Den period under vilken personuppgifterna
kommer att lagras. d) Förekomsten av rättigheten att av den
registeransvarige begära tillgång till och rättelse, radering eller begränsning
av behandlingen av de personuppgifter som rör den registrerade. e) Rätten att inge ett klagomål till den
tillsynsmyndighet som avses i artikel 39, samt dess kontaktuppgifter. f) Mottagarna eller de kategorier av
mottagare som ska ta del av personuppgifterna, inbegripet i tredjeländer eller
internationella organisationer. g) Eventuell ytterligare information i den
utsträckning som den ytterligare informationen är nödvändig för att garantera
en korrekt behandling när det gäller den registrerade, med hänsyn tagen till de
särskilda omständigheter under vilka personuppgifter behandlas. 2. Om personuppgifterna samlas
in från den registrerade ska den registeransvarige, utöver den information som
anges i punkt 1, till den registrerade också lämna information om huruvida
tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt
om de möjliga följderna om sådana uppgifter inte lämnas. 3. Den registeransvarige ska
lämna den information som anges i punkt 1 a) vid den tidpunkt när personuppgifterna
erhålls från den registrerade, eller b) om personuppgifterna inte samlas in från
den registrerade, vid tidpunkten för registreringen eller inom en rimlig period
efter insamlingen, med hänsyn tagen till de särskilda omständigheter under
vilka uppgifterna behandlas. 4. Medlemsstaterna får genom
lagstiftning vidta åtgärder som gör att informationen till den registrerade
senareläggs, begränsas eller utelämnas, i den utsträckning och så länge som, en
sådan partiell eller fullständig begränsning utgör en nödvändig och
proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den
berörda personens berättigade intressen, i syfte att (a)
hindra obstruktion av officiella eller
rättsliga utredningar, förundersökningar eller förfaranden, (b)
inte inverka menligt på förebyggande, upptäckt,
utredning och lagföring av brott eller verkställighet av straffrättsliga
påföljder, (c)
skydda allmän säkerhet, (d)
skydda nationell säkerhet, (e)
skydda andra personers fri- och rättigheter. 5. Medlemsstaterna får fastställa
kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i
punkt 4. Artikel 12
Den registrerades rätt till tillgång 1. Medlemsstaterna ska
föreskriva att den registrerade ska ha rätt att av den registeransvarige få
bekräftelse på huruvida personuppgifter som rör den registrerade håller på att
behandlas. Om sådana personuppgifter håller på att behandlas ska den
registeransvarige tillhandahålla följande information: a) Ändamålen med behandlingen. b) De kategorier av personuppgifter som
behandlingen gäller. c) De mottagare eller kategorier av
mottagare till vilka personuppgifterna har lämnats ut, särskilt mottagare i
tredjeländer. d) Den period under vilken personuppgifterna
kommer att lagras. e) Förekomsten av rättigheten att av den
registeransvarige begära rättelse, radering eller begränsning av behandling av
personuppgifter som rör den registrerade, f) Rätten att inge klagomål till
tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter. g) Information om vilka personuppgifter som
behandlas och all tillgänglig information om varifrån dessa uppgifter kommer. 2. Medlemsstaterna ska
föreskriva att den registrerade ska ha rätt att av den registeransvarige
erhålla en kopia av de personuppgifter som håller på att behandlas. Artikel 13
Begränsningar av rätten till tillgång 1.
Medlemsstaterna får anta lagstiftning som helt
eller delvis begränsar den registrerades rätt till tillgång i den utsträckning
som en sådan partiell eller fullständig begränsning utgör en nödvändig och
proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den
berörda personens berättigade intressen, i syfte att (a)
hindra obstruktion av officiella eller rättsliga
utredningar, förundersökningar eller förfaranden, (b)
inte inverka menligt på förebyggande, upptäckt,
utredning och lagföring av brott eller verkställighet av straffrättsliga
påföljder, (c)
skydda allmän säkerhet, (d)
skydda nationell säkerhet, (e)
skydda andra personers fri- och rättigheter. 2.
Medlemsstaterna får i lag fastställa kategorier av
uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 1. 3.
I de fall som avses i punkterna 1 och 2 ska
medlemsstaterna föreskriva att den registeransvarige ska informera den
registrerade skriftligen om varje vägran att ge tillgång eller begränsning av
tillgången, om skälen för vägran och om möjligheterna att inge ett klagomål
till tillsynsmyndigheten och begära rättslig prövning. Information om den
sakliga eller rättsliga grunden för beslutet får utelämnas om tillhandahållande
av sådan information skulle undergräva ett ändamål enligt punkt 1. 4.
Medlemsstaterna ska se till att den
registeransvarige dokumenterar skälen till utelämnandet av informationen om de
sakliga och rättsliga grunderna för beslutet. Artikel 14
Villkor för att utöva rätten till tillgång 1. Medlemsstaterna
ska föreskriva att den registrerade ska ha rätt att begära att
tillsynsmyndigheten kontrollerar att behandlingen är tillåten, särskilt i de
fall som anges i artikel 13. 2. Medlemsstaterna ska
föreskriva att den registeransvarige ska underrätta den registrerade om rätten
att begära att tillsynsmyndigheten ska ingripa enligt punkt 1. 3. När den rätt som avses i
punkt 1 utövas, ska tillsynsmyndigheten åtminstone underrätta den registrerade
om att tillsynsmyndighetens alla nödvändiga kontroller har ägt rum, och om
resultatet när det gäller huruvida den berörda behandlingen är tillåten. Artikel 15
Rätt till rättelse 1. Medlemsstaterna ska
föreskriva att den registrerade ska ha rätt att av den registeransvarige
erhålla rättelse av personuppgifter som rör vederbörande och som är felaktiga.
Den registrerade ska ha rätt att få till stånd komplettering av ofullständiga
personuppgifter, i synnerhet genom en korrigering. 2. Medlemsstaterna ska
föreskriva att den registeransvarige ska underrätta den registrerade
skriftligen om eventuell vägran att medge rättelse, om skälen för vägran och om
möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära
rättsmedel. Artikel 16
Rätt till radering 1.
Medlemsstaterna ska föreskriva att den registrerade
ska ha rätt att av den registeransvarige utverka att personuppgifter som rör
vederbörande raderas om behandlingen inte uppfyller kraven i de bestämmelser
som antas enligt artiklarna 4 a–e, 7 och 8 i det här direktivet. 2.
Den registeransvarige ska genomföra raderingen utan
dröjsmål. 3.
I stället för radering ska den registeransvarige
märka personuppgifterna om (a)
den registrerade bestrider deras korrekthet, under
en tid som ger den registeransvarige möjlighet att kontrollera om
personuppgifterna är korrekta, (b)
personuppgifterna måste bevaras för bevisändamål, (c)
den registrerade motsätter sig att de raderas och i
stället begär att deras användning begränsas. 4.
Medlemsstaterna ska föreskriva att den
registeransvarige ska underrätta den registrerade skriftligen om eventuell
vägran att radera eller eventuell märkning av behandlingen, om skälen till
vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och
begära rättslig prövning. Artikel 17
Den registrerades rättigheter i brottsutredningar och straffrättsliga
förfaranden Medlemsstaterna får föreskriva att de
rättigheter till information, tillgång, rättelse, radering och begränsning av
behandling som avses i artiklarna 11–16 ska genomföras i enlighet med
nationella bestämmelser om rättsliga förfaranden om personuppgifterna ingår i
ett domstolsbeslut eller ett rättsligt protokoll som behandlas i samband med
brottsutredningar och straffrättsliga förfaranden. KAPITEL IV
REGISTERANSVARIG OCH REGISTERFÖRARE AVSNITT 1
ALLMÄNNA SKYLDIGHETER Artikel 18
Den registeransvariges ansvar 1. Medlemsstaterna ska
föreskriva att den registeransvarige ska anta policyer och vidta lämpliga
åtgärder för att se till att behandlingen av personuppgifter uppfyller kraven i
de bestämmelser som antas i enlighet med detta direktiv. 2. De åtgärder som avses i punkt
1 ska särskilt avse att a) förvara den dokumentation som avses i
artikel 23, b) uppfylla kraven på förhandssamråd enligt
artikel 26, c) genomföra de krav på datasäkerhet som
fastställs i artikel 27, d) utse ett uppgiftsskyddsombud enligt
artikel 30. 3. Den registeransvarige ska
införa rutiner för att säkerställa kontrollen av att de åtgärder som anges i
punkt 1 i denna artikel är verkningsfulla. Om
det är proportionellt, ska denna kontroll utföras av oberoende interna eller
externa granskare. Artikel 19
Inbyggt uppgiftsskydd och uppgiftsskydd som standard 1. Medlemsstaterna ska
föreskriva att den registeransvarige, med beaktande av dagens tillgängliga
teknik och genomförandekostnaden, ska genomföra lämpliga tekniska och organisatoriska
åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i
bestämmelser som antas i enlighet med detta direktiv och säkerställa skydd av
den registrerades rättigheter. 2. Den registeransvarige ska
införa rutiner för att se till att, i standardfallet, endast sådana
personuppgifter som är nödvändiga för behandlingens ändamål behandlas. Artikel 20
Gemensamma registeransvariga Om en registeransvarig fastställer ändamålen,
villkoren och medlen för behandlingen av personuppgifter tillsammans med andra,
ska medlemsstaterna föreskriva att de gemensamma registeransvariga måste
fastställa sitt respektive ansvar för att uppfylla villkoren i de bestämmelser
som antas i enlighet med detta direktiv, särskilt avseende förfarandena och rutinerna
för den registrerades utövande av sina rättigheter, genom ett arrangemang som
de enas om sinsemellan. Artikel 21
Registerförare 1.
Om behandlingen utförs på uppdrag av en
registeransvarig ska medlemsstaterna föreskriva att den registeransvarige måste
välja en registerförare som ger tillräckliga garantier för att genomföra
lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant
sätt att behandlingen uppfyller kraven i de bestämmelser som antas i enlighet
med detta direktiv och säkerställa skyddet av den registrerades rättigheter. 2.
Medlemsstaterna ska föreskriva att en
registerförares behandling av uppgifter ska regleras av en rättsligt bindande
handling mellan registerföraren och den registeransvarige och att det i
handlingen särskilt ska föreskrivas att registerföraren endast får handla på
instruktioner från den registeransvarige, särskilt om överföringen av de
personuppgifter som används är förbjuden. 3.
Om en registerförare behandlar andra
personuppgifter än de som den registeransvarige gett instruktioner om ska
registerföraren anses vara en registeransvarig med avseende på den behandlingen
och ska omfattas av de bestämmelser om gemensamma registeransvariga som
fastställs i artikel 20. Artikel 22
Behandling under den registeransvariges och registerförarens överinseende Medlemsstaterna ska föreskriva att
registerföraren och personer som utför arbete under den registeransvariges
eller registerförarens överinseende, och som får tillgång till personuppgifter,
endast får behandla dessa enligt instruktion från den registeransvarige, eller
där så krävs enligt unionslagstiftningen eller medlemsstaternas lagstiftning. Artikel 23
Dokumentation 1. Medlemsstaterna ska
föreskriva att varje registeransvarig och registerförare ska bevara dokumentation
om alla system och förfaranden för uppgiftsbehandling som ligger inom deras
ansvarsområde. 2. Dokumentationen ska innehålla
åtminstone följande uppgifter: a) Namn och kontaktuppgifter för den
registeransvarige, eller eventuella gemensamma registeransvariga eller
registerförare. b) Ändamålen med behandlingen. c) Mottagarna eller de kategorier av
mottagare som ska ta del av personuppgifterna. d) Överföringar av uppgifter till ett
tredjeland eller en internationell organisation, inbegripet identifiering av
tredjelandet eller den internationella organisationen. 3. Den registeransvarige och
registerföraren ska på begäran göra dokumentationen tillgänglig för
tillsynsmyndigheten. Artikel 24
Registerföring 1. Medlemsstaterna ska se till
att register förs över åtminstone följande typer av behandlingar: insamling,
ändring, läsning, utlämning, sammanförande eller radering. Registren över
läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan
behandling och i möjligaste mån identifikationen av den person som har läst
eller lämnat ut personuppgifter. 2. Registren får endast användas
för att kontrollera om behandlingen av uppgifterna är tillåten, för
egenkontroll samt för att garantera dataintegritet och datasäkerhet. Artikel 25
Samarbete med tillsynsmyndigheten 1. Medlemsstaterna
ska föreskriva att den registeransvarige och registerföraren på begäran ska
samarbeta med tillsynsmyndigheten i dess tjänsteutövning, särskilt genom att
tillhandahålla all den information som krävs för att tillsynsmyndigheten ska
kunna utföra sina uppgifter. 2. Som
reaktion på tillsynsmyndighetens utövande av sina befogenheter enligt artikel
46 a och b ska den registeransvarige och registerföraren svara
tillsynsmyndigheten inom en rimlig period. Svaret ska inbegripa en beskrivning
av de åtgärder som vidtagits och de resultat som uppnåtts som svar på
tillsynsmyndighetens anmärkningar. Artikel 26
Förhandssamråd med tillsynsmyndigheten 1.
Medlemsstaterna ska se till att den
registeransvarige eller registerföraren samråder med tillsynsmyndigheten innan
man behandlar personuppgifter som ska ingå i ett nytt register som ska
inrättas, om a) särskilda kategorier av uppgifter enligt
artikel 8 ska behandlas, b) behandlingens typ, särskilt användning av
ny teknik, rutiner eller förfaranden, i övrigt innebär särskilda risker för de
registrerades grundläggande fri- och rättigheter och särskilt skyddet av
personuppgifter. 2.
Medlemsstaterna får föreskriva att
tillsynsmyndigheten ska upprätta en förteckning över de olika typer av
uppgiftsbehandling som omfattas av förhandssamråd enligt punkt 1. AVSNITT 2
DATASÄKERHET Artikel 27
Säkerhet i samband med behandlingen av uppgifter 1. Medlemsstaterna
ska föreskriva att den registeransvarige och registerföraren ska vidta lämpliga
tekniska och organisatoriska åtgärder för att säkerställa en lämplig
säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos
de uppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och
kostnaden för att vidta åtgärderna. 2. När
det gäller automatisk uppgiftsbehandling ska varje medlemsstat föreskriva att
den registeransvarige eller registerföraren, efter en bedömning av riskerna,
ska vidta åtgärder i syfte att (a)
vägra varje obehörig person åtkomst till
datorutrustning som används för behandling av personuppgifter (åtkomstskydd för
utrustning), (b)
förhindra att datamedier läses, kopieras, ändras
eller avlägsnas av obehöriga (kontroll av datamedier), (c)
förhindra obehörig registrering av data och
obehörig kännedom om, ändring eller radering av lagrade personuppgifter, (d)
förhindra att obehöriga kan använda system för
automatisk databehandling med hjälp av utrustning för dataöverföring
(användarkontroll), (e)
se till att personer som är behöriga att använda
ett system för automatisk databehandling endast har tillgång till uppgifter som
omfattas av deras behörighet (åtkomstkontroll), (f)
se till att det kan kontrolleras och fastställas
till vilka organ personuppgifter har överförts eller kan överföras och för
vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga
med hjälp av utrustning för dataöverföring (kommunikationskontroll), (g)
se till att det finns möjlighet att i efterhand
kontrollera och fastställa vilka personuppgifter som förts in i ett automatiskt
databehandlingssystem, samt när och av vem uppgifterna infördes
(indatakontroll), (h)
förhindra obehörig läsning, kopiering, ändring
eller radering av personuppgifter i samband med överföring av sådana uppgifter
eller under transport av databärare (transportkontroll), (i)
se till att de system som används kan återställas
vid störningar (återställande), (j)
se till att system fungerar, att funktionsfel
rapporteras (driftsäkerhet) och att de lagrade personuppgifterna inte kan
förvanskas genom funktionsfel i systemet (dataintegritet). 3. När
så är nödvändigt får kommissionen anta genomförandeakter i syfte att precisera
kraven i punkterna 1 och 2 för olika situationer, särskilt
krypteringsstandarder. Genomförandeakterna ska antas i enlighet med det
granskningsförfarande som avses i artikel 57. Artikel 28
Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten 1. Medlemsstaterna ska
föreskriva att den registeransvarige vid ett personuppgiftsbrott utan onödigt
dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått
vetskap om det, ska anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om
anmälan inte görs inom 24 timmar ska den registeransvarige på begäran lämna en
utförlig motivering till tillsynsmyndigheten. 2. Registerföraren ska
underrätta och informera den registeransvarige omedelbart efter att ha fått
vetskap om ett personuppgiftsbrott. 3. Den anmälan som avses i punkt
1 ska åtminstone a) beskriva personuppgiftsbrottets karaktär,
inbegripet de kategorier av och antalet registrerade som berörs samt de
kategorier av och antalet uppgiftsposter som berörs, b) förmedla identiteten på och
kontaktuppgifterna för det uppgiftsskyddsombud som avses i artikel 30 eller
andra kontaktpunkter där mer information kan erhållas, c) rekommendera åtgärder för att begränsa de
möjliga negativa effekterna av personuppgiftsbrottet, d) beskriva de möjliga konsekvenserna av
personuppgiftsbrottet, e) beskriva de åtgärder som den
registeransvarige föreslagit eller vidtagit för att åtgärda
personuppgiftsbrottet. 4. Medlemsstaterna ska
föreskriva att den registeransvarige ska dokumentera alla personuppgiftsbrott,
inbegripet omständigheterna kring brottet, dess effekter och de korrigerande
åtgärder som vidtagits. Dokumentationen ska göra det möjligt för
tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel.
Dokumentationen ska endast innehålla den information som behövs för detta
ändamål. 5. Kommissionen ska ha
befogenhet att anta delegerade akter enligt artikel 56 i syfte att närmare
precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som
avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en
registeransvarig och en registerförare ska anmäla personuppgiftsbrottet. 6. Kommissionen får fastställa
standardformatet för sådana anmälningar till tillsynsmyndigheten, de
förfaranden som gäller för anmälningskravet och formen och villkoren för den
dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av
informationen i denna. Genomförandeakterna ska antas i enlighet med det
granskningsförfarande som avses i artikel 57.2. Artikel 29
Information till den registrerade om ett personuppgiftsbrott 1. Medlemsstaterna ska
föreskriva att den registeransvarige, om personuppgiftsbrottet sannolikt har en
negativ inverkan på skyddet av den registrerades personuppgifter eller
integritet, efter den anmälan som avses i artikel 28 utan onödigt dröjsmål ska
informera den registrerade om personuppgiftsbrottet. 2. Den information till den
registrerade som avses i punkt 1 ska innehålla en beskrivning av personuppgiftsbrottets
karaktär och åtminstone de upplysningar och de rekommendationer som anges i
artikel 28.3 b och c. 3. Det ska inte vara ett krav
att informera den registrerade om personuppgiftsbrottet om den
registeransvarige tillfredsställande visar för den behöriga myndigheten att den
har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder
tillämpats på de personuppgifter som berördes av personuppgiftsbrottet. Sådana
tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte
är behöriga att få tillgång till uppgifterna. 4. Informationen till den
registrerade kan senareläggas, begränsas eller utelämnas av de skäl som anges i
artikel 11.4. AVSNITT 3
UPPGIFTSSKYDDSOMBUD Artikel 30
Utnämning av uppgiftsskyddsombudet 1.
Medlemsstaterna ska föreskriva att den
registeransvarige eller registerföraren ska utnämna ett uppgiftsskyddsombud. 2.
Uppgiftsskyddsombudet ska utnämnas på grundval av
yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning
och praxis avseende uppgiftsskydd samt förmåga att fullgöra de uppgifter som
avses i artikel 32. 3.
Uppgiftsskyddsombudet får utnämnas för flera
enheter, med hänsyn tagen till den behöriga myndighetens struktur. Artikel 31
Uppgiftsskyddsombudets ställning 1.
Medlemsstaterna ska föreskriva att den
registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet
på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av
personuppgifter. 2.
Den registeransvarige eller registerföraren ska se
till att uppgiftsskyddsombudet ges möjlighet att fullgöra sina skyldigheter och
utföra sina uppgifter enligt artikel 32 på ett verkningsfullt och oberoende
sätt, och att han eller hon inte tar emot några instruktioner när det gäller
utövandet av funktionen. Artikel 32
Uppgiftsskyddsombudets uppgifter Medlemsstaterna ska föreskriva att den
registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet
åtminstone följande uppgifter: (a)
Att informera och ge råd till den registeransvarige
eller registerföraren om deras skyldigheter enligt de bestämmelser som antas i
enlighet med detta direktiv och att dokumentera denna verksamhet och de inkomna
svaren. (b)
Att övervaka genomförandet och tillämpningen av
policyn för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning
av personal som deltar i behandlingen och tillhörande granskning. (c)
Att övervaka genomförandet och tillämpningen av de
bestämmelser som antas i enlighet med detta direktiv, särskilt när det gäller
de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och
datasäkerhet samt information till de registrerade och deras begäranden i
utövandet av sina rättigheter enligt de bestämmelser som antas i enlighet med
detta direktiv. (d)
Att se till att den dokumentation som avses i
artikel 23 bevaras. (e)
Att övervaka dokumentationen om, anmälan av och
informationen om personuppgiftsbrott enligt artiklarna 28 och 29. (f)
Att övervaka ansökan till tillsynsmyndigheten om
förhandssamråd, om så krävs enligt artikel 26. (g)
Att övervaka svaret på begäranden från tillsynsmyndigheten,
och, inom uppgiftsskyddsombudets behörighet, att samarbeta med
tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget
initiativ. h) Att fungera som kontaktpunkt för
tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt,
samråda med tillsynsmyndigheten på uppgiftsskyddsombudets eget initiativ. KAPITEL V
ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER INTERNATIONELLA
ORGANISATIONER Artikel 33
Allmänna principer för överföringar av personuppgifter Medlemsstaterna ska föreskriva att de behöriga
myndigheterna endast får överföra personuppgifter som håller på att behandlas
eller är avsedda att behandlas efter det att de överförts till ett tredjeland
eller en internationell organisation, inklusive för vidare överföring till ett
annat tredjeland eller en annan internationell organisation, under
förutsättning att a) överföringen är nödvändig för att
förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga
påföljder, och b) att den registeransvarige och
registerföraren följer villkoren i detta kapitel. Artikel 34
Överföring efter beslut om adekvat skyddsnivå 1. Medlemsstaterna ska
föreskriva att överföring av personuppgifter till ett tredjeland eller en
internationell organisation får ske om kommissionen i enlighet med artikel 41 i
förordning (EU) nr …./2012 eller i enlighet med punkt 3 i denna artikel
beslutar att ett tredjeland, ett territorium eller en behandlande sektor inom
tredjelandet, eller en internationell organisation utgör en garant för en
adekvat skyddsnivå. I dessa fall ska det inte krävas något ytterligare
tillstånd. 2. Om inget beslut enligt
artikel 41 i förordning (EU) nr …./2012 föreligger ska kommissionen bedöma om
skyddsnivån är adekvat, och då ta hänsyn till a) rättsstatsprincipen, befintlig allmän och
sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar,
nationell säkerhet och straffrätt och säkerhetsbestämmelser som ska följas i
det tredjeland eller inom den internationella organisation som berörs, samt
huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till
effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet
för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter
överförs. (b) huruvida det finns en eller flera
effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom
den internationella organisationen med ansvar för att se till att
bestämmelserna för uppgiftsskydd följs, ge de registrerade råd och assistans
när det gäller utövandet av deras rättigheter och samarbeta med unionens och
medlemsstaternas tillsynsmyndigheter, och c) vilka internationella åtaganden
tredjelandet eller den internationella organisationen har gjort. 3. Kommissionen får inom
tillämpningsområdet för detta direktiv besluta att ett tredjeland, ett
territorium eller en behandlande sektor inom tredjelandet, eller en
internationell organisation utgör en garant för en adekvat skyddsnivå i den
mening som avses i punkt 2. Genomförandeakterna ska antas i enlighet med det
granskningsförfarande som avses i artikel 57.2. 4. Den geografiska och
sektorsmässiga tillämpningen ska regleras i genomförandeakten, där det också i
förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt
punkt 2 b. 5. Kommissionen får inom
tillämpningsområdet för detta direktiv fastställa att ett tredjeland, ett
territorium eller en behandlande sektor inom tredjelandet i fråga eller en
internationell organisation inte kan garantera en adekvat skyddsnivå i den
mening som avses i punkt 2, särskilt om den relevanta allmänna eller
sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den
internationella organisationen inte garanterar faktiska och lagstadgade
rättigheter inklusive tillgång till effektiv administrativ eller rättslig
prövning för de registrerade, i synnerhet för de registrerade vars
personuppgifter överförs. Genomförandeakterna ska antas enligt det
granskningsförfarande som avses i artikel 57.2 eller, i fall som är ytterst brådskande
för den individ vars personuppgifter behöver skyddas, enligt förfarandet i
artikel 57.3. 6. Medlemsstaterna ska
säkerställa att om kommissionen fattar beslut enligt punkt 5 får inga uppgifter
överföras till tredjelandet, territoriet eller den behandlande sektorn inom
tredjelandet, eller den internationella organisationen i fråga; detta ska inte
påverka överföringar enligt artiklarna 35.1 eller 36. Kommissionen ska vid
lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen
i fråga för att lösa den situation som uppstått som följd av beslutet enligt
punkt 5. 7. Kommissionen ska
offentliggöra en förteckning i Europeiska unionens officiella tidning
över de tredjeländer, territorier och behandlande sektorer i tredjeländer eller
de internationella organisationer för vilka den har beslutat att en adekvat
skyddsnivå inte kan garanteras. 8. Kommissionen ska övervaka
tillämpningen av de genomförandeakter som avses i punkterna 3 och 5. Artikel 35
Överföring med stöd av lämpliga skyddsåtgärder 1. Om kommissionen inte har
fattat något beslut enligt artikel 34 ska medlemsstaterna föreskriva att
överföring av personuppgifter till en mottagare i ett tredjeland eller en
internationell organisation får äga rum om a) lämpliga skyddsåtgärder för
personuppgifter har vidtagits genom ett rättsligt bindande instrument, eller b) den registeransvarige eller
registerföraren har bedömt alla omständigheter kring en överföring av
personuppgifter och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna
föreligger. 2. Beslutet om överföringar
enligt punkt 1 b måste göras av vederbörligen bemyndigad personal. De måste
också dokumenteras, och dokumentationen ska på begäran göras tillgänglig för
tillsynsmyndigheten. Artikel 36
Undantag Genom undantag
från artiklarna 34 och 35 ska medlemsstaterna föreskriva att överföring av
personuppgifter till ett tredjeland eller en internationell organisation endast
får ske om något av följande villkor är uppfyllda: a) Överföringen är nödvändig för att skydda
intressen som är av grundläggande betydelse för den registrerade eller för en
annan person. b) Överföringen är nödvändig för att skydda
den registrerades berättigade intressen om lagstiftningen i den medlemsstat som
överför uppgifterna föreskriver detta. c) Överföringen av uppgifter är avgörande
för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i
en medlemsstat eller ett tredjeland. d) Överföring är i ett enskilt fall
nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller
verkställa straffrättsliga påföljder. e) Överföring är i ett enskilt fall
nödvändig för att fastslå, göra gällande eller försvara rättsliga anspråk som
hänför sig till förebyggande, utredning, avslöjande eller lagföring av brott
eller verkställandet av en specifik straffrättslig påföljd. Artikel 37
Särskilda villkor för överföring av personuppgifter Medlemsstaterna ska föreskriva att den
registeransvarige ska underrätta mottagaren av personuppgifter om eventuella
begränsningar av behandlingen av uppgifterna och vidta alla rimliga åtgärder
för att säkerställa att dessa begränsningar följs. Artikel 38
Internationellt samarbete för skydd av personuppgifter 1. I förbindelser med tredjeland
och internationella organisationer ska kommissionen och medlemsstaterna vidta
lämpliga åtgärder för att (a)
utveckla ändamålsenliga rutiner för det
internationella samarbetet för att underlätta en effektiv tillämpning av
lagstiftningen om skydd av personuppgifter, (b)
på internationell nivå erbjuda ömsesidigt bistånd
för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,
bland annat genom rutiner för anmälan, hänskjutande av klagomål, assistans vid
utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder
för personuppgifter samt skyddet av andra grundläggande rättigheter och
friheter, (c)
involvera berörda aktörer i
diskussioner och åtgärder som syftar till att öka det internationella
samarbetet när det gäller tillämpningen av lagstiftningen om skydd av
personuppgifter, (d)
främja utbyte och dokumentation om lagstiftning och
praxis för skydd av personuppgifter. 2. Vid tillämpningen av punkt 1
ska kommissionen vidta lämpliga åtgärder för att vidareutveckla förbindelserna
med tredjeländer och internationella organisationer, och särskilt med deras
tillsynsmyndigheter, i de fall då kommissionen har bedömt att motparten i fråga
garanterar en adekvat skyddsnivå i den mening som avses i artikel 34.3. KAPITEL VI
OBEROENDE TILLSYNSMYNDIGHETER AVSNITT 1
OBEROENDE STÄLLNING Artikel 39
Tillsynsmyndighet 1.
Varje medlemsstat ska utse en eller flera
offentliga myndigheter som ska vara ansvariga för att övervaka tillämpningen av
de bestämmelser som antas som en följd av detta direktiv och medverka till
direktivets enhetliga tillämpning i hela unionen, i syfte att skydda fysiska
personers grundläggande fri- och rättigheter i samband med behandling av deras
personuppgifter samt underlätta det fria flödet av sådana uppgifter inom
unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan
som med kommissionen. 2.
En medlemsstat får föreskriva att den
tillsynsmyndighet som har inrättats i medlemsstaten enligt förordning (EG)
…./2012 tar på sig de arbetsuppgifter som ska utföras av den tillsynsmyndighet
som inrättas enligt punkt 1 i denna artikel. 3.
Om det finns fler än en tillsynsmyndighet i en
medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska fungera som
enda kontaktpunkt, så att myndigheten i fråga kan delta effektivt i Europeiska
dataskyddsstyrelsens arbete. Artikel 40
Oberoende 1. Medlemsstaterna ska se till
att tillsynsmyndigheterna är fullständigt oberoende i utövandet av de uppdrag
och befogenheter som de anförtrotts. 2. Medlemsstaterna ska
föreskriva att tillsynsmyndigheternas ledamöter i sin tjänsteutövning varken
får begära eller ta emot instruktioner från någon. 3. Tillsynsmyndighetens
ledamöter ska avstå från alla handlingar som står i strid med deras
tjänsteutövning och under sin mandattid avstå från all annan avlönad eller
oavlönad yrkesverksamhet som står i strid med deras uppdrag. 4. Efter sin mandattid ska
tillsynsmyndighetens ledamöter visa integritet och omdöme i fråga om att
acceptera utnämningar och ta emot förmåner. 5. Varje medlemsstat ska se till
att tillsynsmyndigheten förfogar över tillräckliga mänskliga, tekniska och
finansiella resurser samt de lokaler och den infrastruktur som behövs för att
myndigheten ska kunna utöva sina uppdrag och befogenheter, inklusive inom ramen
för det ömsesidiga biståndet, samarbetet och det aktiva deltagandet i
Europeiska dataskyddsstyrelsens verksamhet. 6 Varje medlemsstat ska se till
att tillsynsmyndigheten förfogar över egen personal, som ska tillsättas av och
ta instruktioner från tillsynsmyndighetens chef. 7. Medlemsstaterna ska se till
att tillsynsmyndigheterna också blir föremål för finansiell kontroll, utan att
detta påverkar tillsynsmyndigheternas oberoende. Medlemsstaterna ska också se
till att tillsynsmyndigheterna förfogar över en egen årsbudget. Denna budget
ska offentliggöras. Artikel 41
Allmänna villkor för tillsynsmyndighetens ledamöter 1. Varje medlemsstat ska
fastställa att tillsynsmyndighetens ledamöter ska utses antingen av
medlemsstatens parlament eller av dess regering. 2. Ledamöterna ska utses bland
personer vars oberoende är ställt utom varje tvivel och som har erkänd
erfarenhet och sakkunskap för att utföra sitt uppdrag. 3. Varje ledamots uppdrag ska i
enlighet med punkt 5 upphöra då mandattiden löper ut eller då ledamoten avgår
eller avsätts från sin tjänst. 4. En ledamot kan avsättas eller
berövas rätten till pension eller andra förmåner av den behöriga nationella
domstolen om han eller hon inte längre uppfyller villkoren för att utöva
uppdraget eller har gjort sig skyldig till ett allvarligt fel. 5. När mandattiden löper ut
eller ledamoten avgår ska han eller hon fortsätta utföra sina uppdrag tills en
ny ledamot tillsatts. Artikel 42
Regler för inrättandet av en tillsynsmyndighet Varje medlemsstat ska fastställa följande
i lag: a) Att en tillsynsmyndighet ska
inrättas och vilken ställning denna myndighet ska ha, i enlighet med artiklarna
39 och 40. b) Vilken kompetens, erfarenhet och
sakkunskap som krävs för att utöva uppdragen som ledamot vid
tillsynsmyndigheten. c) Regler och förfaranden för att utse
tillsynsmyndighetens ledamöter samt regler om vilka handlingar och vilken
yrkesverksamhet som ska vara oförenliga med ledamöternas befogenheter under
deras mandattid. d) Mandattiden för tillsynsmyndighetens
ledamöter, vilken inte får understiga fyra år utom vid tillsättandet av de
första ledamöterna efter det att detta direktiv trätt i kraft, då mandattiden
får vara kortare för några av ledamöterna. e) Huruvida myndighetens ledamöter får
ges förnyat mandat. f) Vilka bestämmelser och allmänna
villkor som myndighetens ledamöter och personal omfattas av. g) Bestämmelser och förfaranden för när
tillsynsmyndighetens ledamöter ska fråntas sitt uppdrag, bland annat om de inte
längre uppfyller villkoren för att utöva uppdraget eller om de gjort sig
skyldiga till ett allvarligt fel. Artikel 43
Tystnadsplikt Medlemsstaterna ska föreskriva att
tillsynsmyndighetens ledamöter och personal både under och efter sin mandattid
respektive anställning ska omfattas av tystnadsplikt vad avser konfidentiell
information som har kommit till deras kännedom under tjänsteutövningen. AVSNITT 2
UPPDRAG OCH BEFOGENHETER Artikel 44
Behörighet 1. Varje medlemsstat ska
föreskriva att varje tillsynsmyndighet inom dess territorium ska utöva de
befogenheter som tilldelas den i enlighet med detta direktiv. 2. Medlemsstaterna ska
föreskriva att tillsynsmyndigheterna inte ska vara behöriga att utöva tillsyn
över domstolar som behandlar personuppgifter som en del av sin dömande
verksamhet. Artikel 45
Uppdrag 1. Medlemsstaterna ska
föreskriva att tillsynsmyndigheterna ska ansvara för följande: (a)
Övervaka och garantera tillämpningen av de
bestämmelser som antas till följd av detta direktiv och dess
genomförandeåtgärder. (b)
Ta emot klagomål från registrerade eller från
sammanslutningar som representerar registrerade och handlar på deras uppdrag
enligt artikel 50, där så är lämpligt undersöka sakfrågan och inom rimlig tid
underrätta den registrerade eller sammanslutningen om hur behandlingen av
klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs
ytterligare undersökningar eller samordning med en annan tillsynsmyndighet. (c)
Kontrollera att behandling av uppgifter enligt
artikel 14 är tillåten och inom en rimlig period informera den registrerade om
resultatet av kontrollen eller om skälen till att kontrollen inte har
genomförts. (d)
Utbyta ömsesidigt bistånd med andra
tillsynsmyndigheter och se till att de bestämmelser som antagits till följd av
detta direktiv tillämpas och verkställs enhetligt. (e)
Utföra undersökningar på eget initiativ, på
grundval av klagomål eller på begäran av en annan tillsynsmyndighet och, om en
undersökning grundar sig på ett klagomål som lämnats in av en registrerad,
underrätta den registrerade om resultatet inom rimlig tid. (f)
Följa sådan utveckling som påverkar skyddet av
personuppgifter, bland annat inom informations- och kommunikationsteknik. (g)
Ge råd till institutioner och organ i
medlemsstaterna i fråga om lagstiftningsåtgärder och administrativa åtgärder
som rör skyddet av enskildas fri- och rättigheter i samband med behandling av
personuppgifter. (h)
Ge råd om behandling av personuppgifter enligt
artikel 26. (i)
Delta i Europeiska dataskyddsstyrelsens verksamhet. 2. Alla tillsynsmyndigheter har
i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder
och rättigheter i fråga om behandlingen av personuppgifter. Särskild
uppmärksamhet ska ägnas åt verksamhet som riktar sig till barn. 3. En tillsynsmyndighet ska på
begäran ge råd till registrerade om hur de ska utöva sina rättigheter enligt de
bestämmelser som antagits till följd av detta direktiv, och ska om så är
lämpligt samarbeta med tillsynsmyndigheter i andra medlemsstater för detta
ändamål. 4. För klagomål enligt punkt 1 b
ska tillsynsmyndigheten bistå med ett särskilt formulär för ändamålet, vilket
ska kunna fyllas i elektroniskt; det elektroniska formuläret ska inte utesluta
andra kommunikationsformer. 5. Medlemsstaterna ska
föreskriva att tillsynsmyndighetens tjänster ska vara avgiftsfria för den
registrerade. 6. Om en registrerad begär
tjänster som är särskilt betungande, till exempel på grund av repetitiv
karaktär, får tillsynsmyndigheten ta ut en avgift eller avstå från att utföra
de tjänster som den registrerade begär. I så fall ska det åligga
tillsynsmyndigheten att visa att begäran är särskilt betungande. Artikel 46
Befogenheter Medlemsstaterna ska föreskriva att varje
tillsynsmyndighet särskilt förses med a) utredande befogenheter, så som befogenhet
att få tillgång till uppgifter som blir föremål för behandling och befogenhet
att samla in all information som är nödvändig för att utföra tillsynen, b) befogenheter att agera, bland annat genom
att lägga fram yttranden innan uppgifter behandlas, se till att sådana
yttranden offentliggörs på lämpligt sätt, beordra att uppgifter ska begränsas,
raderas eller förstöras, besluta om tillfälligt eller definitivt förbud mot
behandling, varna eller tillrättavisa den registeransvarige eller hänvisa saken
till nationella parlament eller till andra politiska institutioner, c) befogenhet att inleda rättsliga
förfaranden när bestämmelser som har antagits till följd av detta direktiv har
överträtts, eller att uppmärksamma de rättsliga myndigheterna på dessa
överträdelser. Artikel 47
Verksamhetsrapport Medlemsstaterna ska föreskriva att varje
tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet. Rapporten
ska göras tillgänglig för kommissionen och Europeiska dataskyddsstyrelsen. KAPITEL VII
SAMARBETE Artikel 48
Ömsesidigt bistånd 1. Medlemsstaterna ska
föreskriva att tillsynsmyndigheterna ska ge varandra ömsesidigt bistånd i
arbetet för att genomföra och tillämpa de bestämmelser som antas till följd av
detta direktiv på ett enhetligt sätt, och ska införa åtgärder som bidrar till
ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska
tillsynsmyndigheterna bland annat kunna begära information från varandra och
bistå varandra i tillsynsarbetet, till exempel genom at begära att den andra
myndigheten utför förhandssamråd, inspektioner och utredningar. 2. Medlemsstaterna ska
föreskriva att varje tillsynsmyndighet ska vidta alla lämpliga åtgärder för att
besvara en begäran från en annan tillsynsmyndighet. 3. Den tillsynsmyndighet som
tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om
resultatet eller, i förekommande fall, om hur de åtgärder som vidtagits för att
tillmötesgå begäran fortskrider. Artikel 49
Europeiska dataskyddsstyrelsens arbetsuppgifter 1. Europeiska
dataskyddsstyrelsen, som inrättats genom förordning (EU) …./2012, ska i samband
med behandling av uppgifter inom tillämpningsområdet för detta direktiv ha följande
arbetsuppgifter: (a)
Ge kommissionen råd i alla frågor som gäller skydd
av personuppgifter inom unionen, inklusive om eventuella förslag till ändring
av detta direktiv. (b)
På begäran av kommissionen, på eget initiativ eller
på initiativ av en av sina ledamöter undersöka frågor om tillämpningen av de
bestämmelser som antas till följd av detta direktiv och sprida riktlinjer,
rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte
att främja en enhetlig tillämpning av dessa bestämmelser. (c)
Se över den praktiska tillämpningen av de
riktlinjer, rekommendationer och exempel på god praxis som avses i b samt
rapportera regelbundet till kommissionen om detta. (d)
Yttra sig till kommissionen i fråga om skyddsnivån
i tredjeländer eller internationella organisationer. (e)
Främja samarbete och effektivt bilateralt och
multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna. (f)
Främja gemensamma utbildningsprogram och underlätta
personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med
tillsynsmyndigheter i tredjeland och internationella organisationer. (g)
Främja utbyte av kunskap och dokumentation, bland
annat om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter
för uppgiftsskydd i andra delar av världen. 2. När kommissionen begär rådgivning från
Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är
fastställa en tidsfrist för denna rådgivning. 3. Europeiska
dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer
och exempel på god praxis till kommissionen och till den kommitté som avses i
artikel 57.1, samt offentliggöra dem. 4. Kommissionen ska hålla
Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en
följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god
praxis. KAPITEL VIII
RÄTTSMEDEL, ANSVAR, PÅFÖLJDER OCH ADMINISTRATIVA SANKTIONER Artikel 50
Rätt till klagomål mot beslut som fattats av en tillsynsmyndighet 1. Utan att det påverkar andra
rättsmedel av administrativ eller rättslig natur ska medlemsstaterna föreskriva
att varje registrerad som anser att uppgifter rörande henne eller honom inte är
förenliga med de bestämmelser som antas till följd av detta direktiv har rätt
att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat. 2. Medlemsstaterna ska
föreskriva att varje organisation eller sammanslutning som har till uppgift att
skydda registrerades rättigheter och intressen när det gäller skyddet av deras
personuppgifter, och som har inrättats på vederbörligt sätt i enlighet med
lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en
tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om
den anser att de rättigheter som tillkommer en registrerad enligt detta
direktiv har åsidosatts som en följd av behandling av vederbörandes
personuppgifter. Organisationen eller sammanslutningen ska på vederbörligt sätt
ha anförtrotts att handla på den eller de registrerades uppdrag. 3. Medlemsstaterna ska
föreskriva att varje organisation eller sammanslutning som avses i
punkt 2, oberoende av om det föreligger ett klagomål från en registrerad,
ska ha rätt att klaga hos en tillsynsmyndighet i en medlemsstat om den anser
att en överträdelse har skett. Artikel 51
Rätt att begära rättsmedel mot en tillsynsmyndighets beslut 1.
Medlemsstaterna ska fastställa rätten till
rättsmedel mot en tillsynsmyndighets beslut. 2.
Varje registrerad ska ha rätt till ett rättsmedel
som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som
krävs för att skydda den registrerades rättigheter inte har fattats eller om
tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur
ärendet fortskrider eller vilket beslut som har fattats med anledning av
klagomålet i enlighet med artikel 45.1 b. 3.
Medlemsstaterna ska föreskriva att talan mot beslut
som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den
medlemsstat där tillsynsmyndigheten har sitt säte. Artikel 52
Rätt till rättsmedel mot en registeransvarig eller en registerförare Utan att det påverkar tillgängliga
administrativa rättsmedel, inbegripet rätten att lämna in ett klagomål till en
tillsynsmyndighet, ska medlemsstaterna föreskriva en rätt att begära rättsmedel
för varje fysisk person som anser att hans eller hennes rättigheter enligt de
bestämmelser som antas till följd av detta direktiv har åsidosatts som en följd
av att personuppgifter har behandlats på ett sätt som inte är förenligt med
dessa bestämmelser. Artikel 53
Gemensamma regler om domstolsförfaranden 1. Medlemsstaterna ska
föreskriva att varje organisation eller sammanslutning som avses i artikel 50.2
har rätt att utöva de rättigheter som anges i artiklarna 51 och 52 på uppdrag
av en eller flera registrerade. 2. Varje tillsynsmyndighet ska
ha rätt att delta i rättsliga förfaranden och väcka talan vid domstol för att
säkerställa tillämpningen av de bestämmelser som antas till följd av detta
direktiv eller för att garantera ett enhetligt skydd av personuppgifter i
unionen. 3. Medlemsstaterna ska se till
att de möjligheter att föra talan inför domstol som är tillgängliga enligt
nationell lagstiftning gör det möjligt att snabbt vidta åtgärder, även
interimistiska sådana, i syfte att avbryta den påstådda överträdelsen och
hindra ytterligare skada av berörda intressen. Artikel 54
Ansvar och rätt till ersättning 1. Medlemsstaterna ska
föreskriva att var och en som lidit skada till följd av en otillåten behandling
av personuppgifter eller av någon annan åtgärd som är oförenlig med de
nationella bestämmelser som antagits till följd av detta direktiv har rätt till
ersättning av den registeransvarige för denna skada. 2. Om fler än en
registeransvarig eller registerförare har medverkat vid behandlingen av
uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna
skadan. 3. Den registeransvarige eller
registerföraren kan helt eller delvis undgå detta ansvar om vederbörande
bevisar att han inte är ansvarig för den händelse som orsakade skadan. Artikel 55
Påföljder Medlemsstaterna ska föreskriva påföljder för
överträdelser av bestämmelser som har utfärdats med tillämpning av detta
direktiv och ska vidta de åtgärder som krävs för att se till att dessa
påföljder tillämpas. Påföljderna ska vara effektiva, proportionerliga och
avskräckande. KAPITEL IX
DELEGERADE AKTER OCH GENOMFÖRANDEAKTER Artikel 56
Utövande av delegering 1. Befogenheten att anta
delegerade akter ges till kommissionen med förbehåll för de villkor som anges i
denna artikel. 2. Den delegering av befogenhet
som avses i artikel 28.5 ska ges till kommissionen under en obegränsad tid
från och med det datum då detta direktiv träder i kraft. 3. Den delegering av befogenhet
som avses i artikel 28.5 får när som helst återkallas av Europaparlamentet
eller rådet. Ett beslut om återkallelse innebär att delegeringen av den
befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen
efter det att det offentliggörs i Europeiska unionens officiella tidning,
eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av
delegerade akter som redan trätt i kraft. 4. Så snart kommissionen antar
en delegerad akt ska den samtidigt delge Europaparlamentet och rådet detta. 5. En delegerad akt som antas
enligt artikel 28.5 ska träda i kraft endast om varken Europaparlamentet eller
rådet har gjort invändningar mot den delegerade akten inom en period av två
månader från den dag då akten delgavs Europaparlamentet och rådet, eller om
både Europaparlamentet och rådet, före utgången av den perioden, har
underrättat kommissionen om att de inte kommer att invända. Denna period ska
förlängas med två månader på Europaparlamentets eller rådets initiativ. Artikel 57
Kommittéförfarande 1.
Kommissionen ska biträdas av en kommitté. Denna
kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr
182/2011. 2.
När det hänvisas till denna punkt ska artikel 5 i
förordning (EU) nr 182/2011 tillämpas. 3.
När det hänvisas till denna punkt, ska artikel 8 i
förordning (EU) nr 182/2011 jämförd med artikel 5 i den förordningen tillämpas. KAPITEL X
SLUTBESTÄMMELSER Artikel 58
Upphävande 1. Rådets rambeslut 2008/977/RIF
ska upphöra att gälla. 2. Hänvisningar till det
upphävda rambeslut som avses i punkt 1 ska anses som hänvisningar till detta
direktiv. Artikel 59
Förhållande till tidigare antagna unionsakter för straffrättsligt samarbete
och polissamarbete Direktivet ska inte påverka särskilda
bestämmelser om skydd av personuppgifter när behöriga myndigheter behandlar
personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller
verkställa straffrättsliga påföljder i sådana unionsakter som antagits före det
datum då detta direktiv antas och som reglerar behandlingen av personuppgifter
medlemsstaterna emellan och medlemsstaternas utsedda myndigheters tillgång till
informationssystem som inrättats på grundval av fördragen och som är relevanta
för direktivets tillämpningsområde. Artikel 60
Förhållande till tidigare ingångna internationella avtal på området för
polissamarbete och straffrättsligt samarbete Internationella avtal som ingåtts av
medlemsstaterna innan detta direktiv trädde i kraft ska där så krävs ändras
behov inom fem år efter det att direktivet trätt i kraft. Artikel 61
Utvärdering 1. Kommissionen ska utvärdera
tillämpningen av detta direktiv. 2. Kommissionen
ska inom tre år efter det att detta direktiv har trätt i kraft se över andra
rättsakter som antagits av Europeiska unionen och som reglerar behöriga
myndigheters behandling av personuppgifter i syfte att förebygga, utreda,
avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i
synnerhet de unionsakter som avses i artikel 59, i syfte att bedöma om de
behöver anpassas till detta direktiv och, i förekommande fall, lägga fram
förslag till ändring av dessa rättsakter för att slå vakt om ett enhetligt
tillvägagångssätt för skydd av personuppgifter inom tillämpningsområdet för
detta direktiv. 3. Kommissionen ska i kraft av
punkt 1 regelbundet överlämna rapporter om tillämpningen och översynen av detta
direktiv till Europaparlamentet och rådet. Den första rapporten ska överlämnas
senast fyra år efter det att detta direktiv träder i kraft. Därefter ska
rapporter överlämnas vart fjärde år. Kommissionen ska om så krävs lägga fram
lämpliga förslag om ändring av detta direktiv och om anpassning av andra rättsinstrument.
Rapporten ska offentliggöras. Artikel 62
Genomförande 1. Medlemsstaterna ska senast
[datum, två år efter ikraftträdandet] anta och offentliggöra de lagar och andra
författningar som är nödvändiga för att följa detta direktiv. De ska genast överlämna
texten till dessa bestämmelser till kommissionen. De ska tillämpa dessa bestämmelser från och med
[datum/xx.xx.201x, två år efter ikraftträdandet]. När en medlemsstat antar sådana bestämmelser ska
de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan
hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska
göras ska varje medlemsstat själv utfärda. 2. Medlemsstaterna ska till
kommissionen överlämna texten till de centrala bestämmelser i nationell
lagstiftning som de antar inom det område som omfattas av detta direktiv. Artikel 63
Ikraftträdande och tillämpning Detta direktiv
träder i kraft dagen efter det att det har offentliggjorts i Europeiska
unionens officiella tidning. Artikel 64
Adressater Detta direktiv
riktar sig till medlemsstaterna. Utfärdat i Bryssel den 25.1.2012 På Europaparlamentets vägnar På
rådets vägnar Ordförande Ordförande [1] Europaparlamentets
och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda
personer med avseende på behandling av personuppgifter och om det fria flödet
av sådana uppgifter, EGT L 281, 23.11.1995, s. 31. [2] Se den
fullständiga förteckningen i bilaga 3 till konsekvensbedömningen (SEC(2012)
72). [3] Rådets
rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för
polissamarbete och straffrättsligt samarbete som är strikt nödvändiga, EUT L
350, 31.12.2008, s. 60. [4] I
Stockholmsprogrammet, EGT C 115, 4.5.2010, s. 1. [5] Se
Europaparlamentets resolution om Stockholmsprogrammet, som antogs den 25
november 2009. [6] KOM(2010)
171 slutlig. [7] Europeiska
kommissionen, Ett samlat grepp på skyddet av personuppgifter i Europeiska
unionen, KOM(2010) 609 slutlig, 4.11.2010. [8] Förklaring
21 om skydd av personuppgifter på området för straffrättsligt samarbete och
polissamarbete (bifogad till slutakten från den regeringskonferens som antog
Lissabonfördraget, 13.12.2007). [9] http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. [10] http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. [11] Special
Eurobarometer (EB) 359, Attitudes on Data Protection and Electronic Identity in the European Union (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. [12] Se
undersökningen av de ekonomiska fördelarna med integritetshöjande teknik och
den jämförande undersökningen av olika strategier för att hantera nya
integritetsutmaningar, särskilt mot bakgrund av den tekniska utvecklingen,
januari 2010.
(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[13] Arbetsgruppen,
som har en rådgivande ställning, inrättades 1996 (genom artikel 29 i direktiv
95/46/EG) och består av företrädare för nationella tillsynsmyndigheter med
ansvar för uppgiftsskydd, Europeiska datatillsynsmannen och kommissionen. Mer
information om dess verksamhet finns på http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
[14] Se
särskilt följande yttranden: om ”integritetens framtid” (2009, WP 168), Om
begreppen registeransvarig och registerförare (1/2010, WP 169), om
beteendebaserad reklam på internet (2/2010, WP 171), om principen om
ansvarsskyldighet (3/2010, WP 173), om tillämplig lagstiftning (8/2010, WP 179)
och om samtycke (15/2011, WP 187). På kommissionens begäran antog den också
följande tre rådgivande dokument om anmälningar, om känsliga uppgifter och om
det praktiska genomförandet av artikel 28.6 i direktiv 95/46/EG. De finns alla
att tillgå på http://ec.europa.eu/justice/data-protection/article-29/documentation/index_en.htm. [15] Tillgängligt
på Europeiska datatillsynsmannens webbplats: http://www.edps.europa.eu/EDPSWEB/. [16] Europaparlamentets
resolution av den 6 juli 2011 om ett samlat grepp på skyddet av personuppgifter
i Europeiska unionen (2011/2025 (INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-0323&language=EN&ring=A7-2011-0244
(föredragande: Europaparlamentariker Axel Voss (EPP/DE). [17] CESE
999/2011. [18] SEC(2012)72. [19] COM(2012)
12. [20] EU-domstolens
dom av den 9 november 2010, förenade målen C-92/09 och C-93/09 Volker und
Markus Schecke och Eifert, REU 2010, s. I-0000. [21] I enlighet
med artikel 52.1 i stadgan får utövandet av rätten till uppgiftsskydd
begränsas, under förutsättning att begränsningarna föreskrivs i lag, att de i
allt väsentligt är förenliga med rättigheter och friheter och, med beaktande av
proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar
mot mål av allmänt samhällsintresse som erkänns av unionen eller mot
behovet av skydd för andra människors rättigheter och friheter. [22] Som också
nämns i artikel 2 a i Europaparlamentets och rådets direktiv 2011/93/EU av den
13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell
exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut
2004/68/RIF, EUT L 335, 17.12.2011, s. 1. [23] KOM(2005) 475 slutlig. [24] Artikel 14 i Europolbeslutet 2009/371/RIF. [25] Artikel 15
i Eurojustbeslutet 2009/426/RIF. [26] Artikel 14
i Europolbeslutet 2009/371/RIF. [27] Europadomstolens
dom, 4.12.2008, S. och Marper mot Förenade kungariket (talan nr 30562/04 och
30566/04). [28] Antagen av
den internationella konferensen för uppgiftsskyddsmyndigheter (International
Conference of Data Protection and Privacy Commissioners) den 5 november
2009. [29] EU-domstolens
dom av den 9 mars 2010, kommissionen / Tyskland, mål (C-518/07, REU 2010 s.
I-1885). [30] Europaparlamentets
och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för
enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar
personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8,
12.1.2001, s. 1). [31] Op. cit.,
fotnot 27. [32] Europaparlamentets
och rådets direktiv 2000/31/EG av den 8 juni 2000 om vissa rättsliga aspekter
på informationssamhällets tjänster, särskilt elektronisk handel, på den inre
marknaden (”direktiv om elektronisk handel”), EGT L 178, 17.7.2000, s. 1. [33] EUT C …., …..s. ….. [34] EUT L 281, 23.11.2011,
s. 31. [35] EUT L 350, 30.12.2008,
s. 60. [36] EUT L 55, 28.2.2011, s.
13. [37] EUT L 335, 17.12.2011,
s. 1. [38] EGT L 176, 10.7.1999, s.
36. [39] EUT L 53, 27.2.2008, s.
52. [40] EUT L 160, 18.6.2011, s.
19.