17.12.2009

DA

Den Europæiske Unions Tidende

L 332/17

---

RÅDETS AFGØRELSE 2009/968/RIA

af 30. november 2009

om vedtagelse af bestemmelser om fortrolighed vedrørende Europols informationer

RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til Rådets afgørelse 2009/371/RIA af 6. april 2009 om oprettelse af Den Europæiske Politienhed (Europol) (1) (i det følgende benævnt »Europolafgørelsen«), særlig artikel 40,

under henvisning til det af Styrelsesrådet forelagte udkast til bestemmelser,

under henvisning til udtalelse fra Europa-Parlamentet, og

ud fra følgende betragtninger:

I henhold til Europolafgørelsen tilkommer det Rådet med kvalificeret flertal efter høring af Europa-Parlamentet at vedtage gennemførelsesbestemmelser om fortroligheden af informationer, som tilvejebringes af eller udveksles med Europol (i det følgende benævnt »bestemmelserne«) —

TRUFFET FØLGENDE AFGØRELSE:

KAPITEL I

DEFINITIONER OG ANVENDELSESOMRÅDE

Artikel 1

Definitioner

I forbindelse med disse bestemmelser forstås ved:

a)

»behandling af informationer« eller »behandling«: enhver operation eller række af operationer, med eller uden brug af elektronisk databehandling, som personoplysninger eller andre informationer gøres til genstand for, såsom indsamling, registrering, organisering, lagring, bearbejdning eller ændring, fremfinding, søgning, anvendelse, videregivelse, formidling eller enhver anden form for tilrådighedsstillelse af informationerne, matching eller samkøring samt blokering, sletning eller tilintetgørelse

b)	»tredjepart«: en enhed som omhandlet i Europolafgørelsens artikel 22, stk. 1, og artikel 23, stk. 1

c)	»sikkerhedsudvalg«: det udvalg bestående af repræsentanter for medlemsstaterne og Europol, der er beskrevet i artikel 4

d)	»sikkerhedskoordinator«: den vicedirektør, til hvem direktøren — i overensstemmelse med Europolafgørelsens artikel 38, stk. 2 — ud over hans øvrige opgaver overdrager koordinations- og kontrolfunktionen på sikkerhedsområdet

e)	»sikkerhedsrådgivere«: de Europolansatte, der udpeges af direktøren, og som er ansvarlige for sikkerhedsspørgsmål i overensstemmelse med artikel 6

f)	»sikkerhedshåndbog«: den håndbog til gennemførelse af disse bestemmelser, der skal udarbejdes i overensstemmelse med artikel 7

g)	»klassifikationsgrad«: en sikkerhedsmærkning, som anføres på et dokument, der behandles af eller gennem Europol, som omhandlet i artikel 10

h)	»sikkerhedskompleks«: en bestemt kombination af sikkerhedsforanstaltninger, som skal anvendes på informationer, som har en Europolklassifikationsgrad, som omhandlet i artikel 10

i)	»grundlæggende beskyttelsesniveau«: det beskyttelsesniveau, der gælder for alle informationer, der behandles af eller gennem Europol, undtagen informationer, der udtrykkeligt er mærket eller klart genkendelige som offentligt tilgængelige, som omhandlet i artikel 10, stk. 1

j)	»personale«: midlertidigt ansatte og kontraktansatte som defineret i artikel 39, stk. 4, i Europolafgørelsen

k)

»Europols klassificerede informationer«: alle informationer samt materiale i enhver form, der i tilfælde af uautoriseret videregivelse i forskellig grad vil kunne forvolde Europols eller en eller flere medlemsstaters væsentlige interesser skade, og som kræver anvendelse af passende sikkerhedsforanstaltninger som defineret i artikel 7, stk. 2, litra b).

Artikel 2

Anvendelsesområde

1.   Disse bestemmelser fastlægger, hvilke sikkerhedsforanstaltninger der skal anvendes på alle de informationer, der behandles af eller gennem Europol.

2.   Kommunikationskanaler mellem Europol og medlemsstaternes nationale enheder, som omhandlet i Europolafgørelsens artikel 8, skal have et beskyttelsesniveau svarende til det niveau, som disse sikkerhedsforanstaltninger giver. En fælles standard for disse kommunikationskanaler skal godkendes af sikkerhedsudvalget.

3.   Bilaget indeholder en sammenlignende oversigt mellem Europolklassifikationsgrader som omhandlet i artikel 10 og de hertil svarende mærkninger, som medlemsstaterne på nuværende tidspunkt anvender på informationer, der er undergivet disse klassifikationsgrader. Når en medlemsstat giver de øvrige medlemsstater samt Europol underretning om ændringer af sine nationale bestemmelser vedrørende klassifikationsgraderne eller de tilsvarende mærkninger, udarbejder Europol en revideret udgave af oversigten i bilaget. Sikkerhedsudvalget undersøger mindst én gang om året, om oversigten er ajourført.

KAPITEL II

SIKKERHEDSANSVAR

Artikel 3

Medlemsstaternes ansvar

1.   Medlemsstaterne forpligter sig til at sikre, at Europols informationer på deres område tildeles et beskyttelsesniveau svarende til det beskyttelsesniveau, som de sikkerhedsforanstaltninger, der er fastlagt i henhold til nærværende bestemmelser, giver.

2.   Medlemsstaterne forpligter sig til at underrette sikkerhedskoordinatoren om alle brud på sikkerheden, der kan kompromittere Europols eller en medlemsstats interesser. I sidstnævnte tilfælde skal den berørte medlemsstat også underrettes direkte gennem den nationale enhed.

Artikel 4

Sikkerhedsudvalg

1.   Der nedsættes et sikkerhedsudvalg, som består af repræsentanter for medlemsstaterne og for Europol, og som holder møde mindst to gange om året.

2.   Sikkerhedsudvalget har til opgave at rådgive Europols Styrelsesråd og direktør om spørgsmål vedrørende sikkerhedspolitikken, herunder anvendelse af sikkerhedshåndbogen.

3.   Sikkerhedsudvalget fastsætter selv sin forretningsorden. Sikkerhedskoordinatoren leder møderne i sikkerhedsudvalget.

Artikel 5

Sikkerhedskoordinator

1.   Sikkerhedskoordinatoren har det overordnede ansvar for alle spørgsmål vedrørende sikkerhed, herunder de sikkerhedsforanstaltninger, der er fastsat i disse bestemmelser og i sikkerhedshåndbogen. Sikkerhedskoordinatoren overvåger håndhævelsen af sikkerhedsforskrifterne og underretter direktøren om alle brud på sikkerheden. I alvorlige tilfælde underretter direktøren Styrelsesrådet. Såfremt sådanne brud på sikkerheden medfører fare for en medlemsstats interesser, underrettes denne medlemsstat ligeledes.

2.   Sikkerhedskoordinatoren er direkte ansvarlig over for Europols direktør.

3.   Sikkerhedskoordinatoren skal sikkerhedsgodkendes på højeste niveau i overensstemmelse med de love og bestemmelser, der gælder i den medlemsstat, hvor sikkerhedskoordinatoren er statsborger.

Artikel 6

Sikkerhedsrådgivere

1.   Sikkerhedsrådgiverne støtter direktøren i gennemførelsen af de sikkerhedsforanstaltninger, der er fastsat i disse bestemmelser og i sikkerhedshåndbogen. Sikkerhedsrådgiverne er direkte ansvarlige over for sikkerhedskoordinatoren. Sikkerhedsrådgivernes specifikke opgaver er:

a)	at instruere, bistå og rådgive alle personer ved Europol — samt enhver anden person, der er involveret i Europolrelaterede aktiviteter, og som har særlig tavsheds- eller fortrolighedspligt — vedrørende deres opgaver i henhold til disse bestemmelser og i henhold til sikkerhedshåndbogen

b)	at håndhæve sikkerhedsforskrifterne, undersøge overtrædelser heraf og omgående underrette sikkerhedskoordinatoren herom

c)

regelmæssigt at undersøge, om sikkerhedsforanstaltningerne er tilstrækkelige på grundlag af risikovurderinger; med henblik herpå skal de aflægge rapport til sikkerhedskoordinatoren mindst én gang om måneden og, i særlige tilfælde, hver gang det skønnes at være nødvendigt, ligesom de skal fremsætte passende henstillinger og rådgivning

d)	at udføre de opgaver, der pålægges dem i henhold til disse bestemmelser og i henhold til sikkerhedshåndbogen, og

e)	at udføre enhver anden opgave, der pålægges dem af sikkerhedskoordinatoren.

2.   Sikkerhedsrådgiverne skal sikkerhedsgodkendes på et passende niveau, som kræves af deres opgaver, og i overensstemmelse med de love og bestemmelser, der gælder i de medlemsstater, hvor de er statsborgere.

Artikel 7

Sikkerhedshåndbog, procedure og indhold

1.   Sikkerhedshåndbogen vedtages af Styrelsesrådet efter høring af sikkerhedsudvalget.

2.   Sikkerhedshåndbogen giver retningslinjer for styring af og støtte til sikkerheden i overensstemmelse med forretningsmæssige krav og fastlægger Europols tilgang til styring af sikkerheden. Sikkerhedshåndbogen skal indeholde:

a)

detaljerede regler vedrørende de sikkerhedsforanstaltninger, der skal anvendes inden for Europol med henblik på at sikre et grundlæggende beskyttelsesniveau som omhandlet i artikel 10, stk. 1, i disse bestemmelser, baseret på Europolafgørelsens artikel 35 og artikel 41, stk. 2, og under hensyntagen til artikel 40, stk. 3, heri og

b)	detaljerede regler vedrørende de sikkerhedsforanstaltninger, der er forbundet med de forskellige Europolklassifikationsgrader, og de tilsvarende sikkerhedskomplekser, som omhandlet i artikel 10, stk. 2 og 3; sikkerhedshåndbogen tager også hensyn til Europolafgørelsens artikel 46.

3.   Sikkerhedshåndbogen revideres regelmæssigt, eller når der sker betydelige ændringer, for at sikre, at den fortsat er egnet, fyldestgørende og effektiv.

4.   Ændringer til sikkerhedshåndbogen vedtages efter proceduren i stk. 1.

Artikel 8

Sikkerhedsakkreditering af systemer

1.   Alle Europolsystemer, der anvendes til at behandle Europols klassificerede informationer, akkrediteres af Styrelsesrådet efter høring af sikkerhedsudvalget og efter garanti for effektiv gennemførelse af de krævede sikkerhedsforanstaltninger, der skyldes de systemspecifikke sikkerhedskrav (SSSK), informationsrisikoregistret og anden relevant dokumentation. Undersystemer og fjernterminaler eller arbejdsstationer akkrediteres som en del af alle de systemer, de er forbundet med.

2.   SSSK vedtages og ændres af Styrelsesrådet efter høring af sikkerhedsudvalget. Disse SSSK skal være i overensstemmelse med sikkerhedshåndbogens relevante bestemmelser.

Artikel 9

Overholdelse

1.   De sikkerhedsforanstaltninger, der er fastsat i disse bestemmelser og i sikkerhedshåndbogen, skal overholdes af hele Europols personale samt af enhver anden person, der er involveret i Europolrelaterede aktiviteter, og som har særlig tavsheds- eller fortrolighedspligt.

2.   Direktøren, forbindelseskontorerne og Europols nationale enheder er ansvarlige for at sikre, at disse bestemmelser og sikkerhedshåndbogen overholdes i overensstemmelse med stk. 1.

KAPITEL III

GENERELLE PRINCIPPER

Artikel 10

Grundlæggende beskyttelsesniveau, klassifikationsgrader og sikkerhedskomplekser

1.   Alle informationer, der behandles af eller gennem Europol, undtagen informationer, der udtrykkeligt er mærket eller er let genkendelige som offentligt tilgængelige, skal være undergivet et grundlæggende beskyttelsesniveau inden for Europol samt i medlemsstaterne.

2.   I overensstemmelse med artikel 3 skal medlemsstaterne sikre, at det grundlæggende beskyttelsesniveau som omhandlet i stk. 1 overholdes ved hjælp af en række foranstaltninger i overensstemmelse med national lovgivning og nationale bestemmelser, herunder tavsheds- og fortrolighedspligt, begrænsning af adgangen til informationer til autoriseret personale, krav til databeskyttelse med hensyn til personoplysninger og generelle tekniske og proceduremæssige foranstaltninger med henblik på at beskytte informationernes sikkerhed, under hensyntagen til Europolafgørelsens artikel 41, stk. 2.

3.   Informationer, der kræver yderligere sikkerhedsforanstaltninger, skal være undergivet en Europolklassifikationsgrad, der angives ved en særlig mærkning. Informationerne må kun undergives en sådan klassifikationsgrad, hvis det er strengt nødvendigt, og kun for det nødvendige tidsrum.

4.   Der anvendes følgende Europolklassifikationsgrader:

a)   »RESTREINT UE/EU RESTRICTED«: denne klassifikation anvendes til informationer og materiale, hvis uautoriserede videregivelse vil være uhensigtsmæssig for Europols, EU's eller en eller flere medlemsstaters interesser

b)   »CONFIDENTIEL UE/EU CONFIDENTIAL«: denne klassifikation anvendes til informationer og materiale, hvis uautoriserede videregivelse kunne forvolde Europols, EU's eller en eller flere medlemsstaters væsentlige interesser skade

c)   »SECRET UE/EU SECRET«: denne klassifikation anvendes til informationer og materiale, hvis uautoriserede videregivelse kunne forvolde Europols, EU's eller en eller flere medlemsstaters væsentlige interesser alvorlig skade

d)   »TRES SECRET UE/EU TOP SECRET«: denne klassifikation anvendes til informationer og materiale, hvis uautoriserede videregivelse kunne forvolde Europols, EU's eller en eller flere medlemsstaters væsentlige interesser overordentlig alvorlig skade.

Sådanne klassificerede informationer og materiale skal bære en supplerende mærkning (»EUROPOL«) under klassifikationsmærkningen for at indikere, at de hidrører fra Europol.

Hver Europolklassifikationsgrad henviser til et bestemt sikkerhedskompleks, der skal anvendes inden for Europol. Sikkerhedskomplekserne giver forskellige beskyttelsesniveauer alt efter informationernes indhold og under hensyn til den skade, som uautoriseret adgang, formidling eller anvendelse af informationerne vil kunne tilføje Europols eller medlemsstaternes interesser.

Når der indsamles informationer, som er klassificeret i forskellige grader, skal den klassifikationsgrad, som skal anvendes, være mindst lige så høj som den grad, der anvendes på de højest klassificerede informationer. Under alle omstændigheder kan en gruppe af informationer gives et højere beskyttelsesniveau end de enkelte informationer hver for sig.

Oversættelse af et klassificeret dokument skal gives samme klassifikationsgrad og have samme beskyttelse som det oprindelige dokument.

5.   Der kan anvendes en særlig påtegning til at angive yderligere betingelser som f.eks. begrænsning af distributionen af informationer til specifikke informationsudvekslingskanaler, embargo og en særlig distribution på en »need-to-know«-basis. Sådanne særlige påtegninger defineres i sikkerhedshåndbogen.

6.   Sikkerhedskomplekserne består af forskellige fysiske, tekniske, organisatoriske eller administrative foranstaltninger som fastsat i sikkerhedshåndbogen.

Artikel 11

Valg af klassifikationsgrad

1.   Den medlemsstat, der videregiver informationer til Europol, er ansvarlig for valget af en passende klassifikationsgrad for disse informationer i overensstemmelse med artikel 10. Når det er relevant, markerer medlemsstaten dem med en Europolklassifikationsgrad som omhandlet i artikel 10, stk. 4, når den videregiver informationer til Europol.

2.   Medlemsstaterne skal ved valg af klassifikationsgrad tage hensyn til klassifikationen af informationerne i henhold til deres nationale bestemmelser, den operationelle fleksibilitet, der er påkrævet for, at Europol kan fungere tilfredsstillende, og kravet om, at klassifikation af informationer vedrørende retshåndhævelse bør være undtagelsen, og at det, hvis sådanne informationer skal klassificeres, bør være den lavest mulige grad, der vælges.

3.   Hvis Europol på grundlag af informationer, som den allerede er i besiddelse af, kommer til den konklusion, at en klassifikationsgrad må ændres (f.eks. at en klassifikationsgrad eventuelt skal ophæves eller tilføjes, eller at der skal tilføjes en klassifikationsgrad til et dokument, der tidligere har haft det grundlæggende beskyttelsesniveau), underretter Europol den berørte medlemsstat og forsøger at nå til enighed med denne om en passende klassifikationsgrad. Europol må hverken fastlægge, ændre, tilføje eller ophæve en klassifikationsgrad uden at have opnået denne enighed.

4.   Når informationer, der udarbejdes af Europol, bygger på eller indeholder informationer, som er videregivet af en medlemsstat, skal Europol i forståelse med den berørte medlemsstat afgøre, om det grundlæggende beskyttelsesniveau er tilstrækkeligt, eller om der skal anvendes en Europolklassifikationsgrad.

5.   Når informationer udarbejdes af Europol selv, og disse informationer hverken bygger på eller indeholder informationer, som er videregivet af en medlemsstat, fastlægger Europol en passende klassifikationsgrad for sådanne informationer under anvendelse af kriterier, som fastlægges af sikkerhedsudvalget. Om nødvendigt skal Europol mærke informationerne i overensstemmelse hermed.

6.   Når informationer også vedrører en anden medlemsstats væsentlige interesser, skal medlemsstaterne og Europol rådføre sig med denne medlemsstat om, hvorvidt informationerne skal klassificeres, og i bekræftende fald hvilken klassifikationsgrad der skal anvendes.

Artikel 12

Ændring af klassifikationsgrad

1.   En medlemsstat, der har videregivet informationer til Europol, kan når som helst kræve, at den valgte klassifikationsgrad ændres, herunder at en sådan klassifikationsgrad ophæves eller tilføjes. Europol har pligt til at ophæve, ændre eller tilføje en klassifikationsgrad i overensstemmelse med den berørte medlemsstats ønsker.

2.   Den berørte medlemsstat skal, så snart omstændighederne tillader det, anmode om, at en klassifikationsgrad ændres til en lavere grad eller ophæves.

3.   En medlemsstat, der videregiver informationer til Europol, kan angive, i hvor lang tid valget af en klassifikationsgrad skal gælde, og hvilke ændringer der eventuelt vil skulle foretages af klassifikationsgraden herefter.

4.   Når Europol har fastlagt det grundlæggende beskyttelsesniveau eller den grundlæggende klassifikationsgrad i overensstemmelse med artikel 11, stk. 4, ændrer Europol kun det grundlæggende beskyttelsesniveau eller den grundlæggende klassifikationsgrad efter aftale med de berørte medlemsstater.

5.   Når Europol har fastlagt klassifikationsgraden i overensstemmelse med artikel 11, stk. 5, kan Europol når som helst ændre eller ophæve klassifikationsgraden, hvis det skønnes nødvendigt.

6.   Såfremt informationer, hvis klassifikationsgrad ændres i overensstemmelse med denne artikel, allerede er givet videre til andre medlemsstater, underretter Europol modtagerne om ændringen af klassifikationsgraden.

Artikel 13

Behandling af og adgang til informationer samt sikkerhedsgodkendelse

1.   Adgang til og besiddelse af informationer inden for Europolorganisationen er begrænset til de personer, der i kraft af deres stilling eller af tjenstlige grunde har behov for at gøre sig bekendt med eller at behandle sådanne informationer. Personer, der har til opgave at behandle informationer, skal have opnået passende sikkerhedsgodkendelse og skal desuden gennemgå en særlig uddannelse.

2.   Alle personer, der kan have adgang til klassificerede informationer, som behandles af Europol, skal sikkerhedsgodkendes i overensstemmelse med Europolafgørelsens artikel 40, stk. 2, og sikkerhedshåndbogen. Sikkerhedskoordinatoren giver på grundlag af resultatet af sikkerhedsgodkendelsesproceduren og i henhold til sikkerhedshåndbogens bestemmelser autorisation til de personer, der er sikkerhedsgodkendt på det passende nationale niveau, og som i kraft af deres stilling eller af tjenstlige grunde har behov for at gøre sig bekendt med informationer, der har en Europolklassifikationsgrad. Sikkerhedskoordinatoren tager regelmæssigt autorisationen op til nyvurdering. Sikkerhedskoordinatoren kan inddrage autorisationen øjeblikkeligt, når der er berettiget grund hertil. Sikkerhedskoordinatoren er også ansvarlig for at sikre gennemførelsen af stk. 3.

3.   Ingen personer må få adgang til klassificerede informationer uden at være sikkerhedsgodkendt på det passende niveau. Sikkerhedskoordinatoren kan dog efter at have rådført sig med en sikkerhedsrådgiver undtagelsesvis:

a)

give personer, som er sikkerhedsgodkendt på niveau »CONFIDENTIEL UE/EU CONFIDENTIAL«, særlig og begrænset autorisation til at få adgang til bestemte informationer, som er klassificeret op til niveau »SECRET UE/EU SECRET«, såfremt de i kraft af deres stilling eller tjenstlige grunde i et bestemt tilfælde har behov for at gøre sig bekendt med informationer, som er klassificeret i en højere Europolklassifikationsgrad, eller

b)

give midlertidig autorisation til adgang til klassificerede informationer i en periode på højst seks måneder i afventen af resultatet af den i stk. 2 omhandlede sikkerhedsgodkendelse, hvis det er i Europols interesse og efter at have underrettet de kompetente myndigheder, og forudsat at de ikke reagerer inden for tre måneder; sikkerhedskoordinatoren underretter de berørte nationale kompetente myndigheder om, at der er givet en sådan midlertidig autorisation. Denne midlertidige autorisation giver ikke adgang til informationer, der er klassificeret som »SECRET UE/EU SECRET« og derover.

4.   En sådan autorisation gives ikke, hvis en medlemsstat ved videregivelsen af de pågældende informationer har bestemt, at den skønsbeføjelse, der er tillagt sikkerhedskoordinatoren i henhold til stk. 3, ikke må udøves i forbindelse med disse informationer.

Artikel 14

Tredjeparter

Når Europol indgår fortrolighedsaftaler med tredjeparter, eller når den indgår aftaler i overensstemmelse med Europolafgørelsens artikel 22, stk. 4, og artikel 23, stk. 7, tager den hensyn til de principper, der er fastlagt i disse bestemmelser og i sikkerhedshåndbogen, som følgelig bør anvendes på informationer, der udveksles med sådanne tredjeparter.

KAPITEL IV

AFSLUTTENDE BESTEMMELSER

Artikel 15

Revision af bestemmelserne

Styrelsesrådet tager stilling til eventuelle forslag til ændringer af disse bestemmelser med henblik på Rådets vedtagelse heraf i overensstemmelse med proceduren i Europolafgørelsens artikel 40, stk. 1.

Artikel 16

Ikrafttræden

Disse bestemmelser træder i kraft den 1. januar 2010.

---

(1)  EUT L 121 af 15.5.2009, s. 37.

---

---