EUROPA-KOMMISSIONEN
Bruxelles, den 20.1.2021
COM(2021) 20 final
2021/0008(COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV
om ændring af Rådets rammeafgørelse 2002/465/RIA for så vidt angår tilpasning til EU-reglerne om beskyttelse af personoplysninger
BEGRUNDELSE
1.BAGGRUND FOR FORSLAGET
•Forslagets begrundelse og formål
Direktiv (EU) 2016/680 (direktivet om databeskyttelse på retshåndhævelsesområdet) trådte i kraft den 6. maj 2016, og medlemsstaterne havde indtil den 6. maj 2018 til at gennemføre det i national lovgivning. Det ophævede og erstattede Rådets rammeafgørelse 2008/977/RIA, men er et meget mere omfattende og generelt databeskyttelsesinstrument. Et vigtigt element er, at direktivet finder anvendelse på kompetente myndigheders både indenlandske og grænseoverskridende behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger og fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed (artikel 1, stk. 1).
Ifølge artikel 62, stk. 6, i direktivet om databeskyttelse på retshåndhævelsesområdet skal Kommissionen inden den 6. maj 2019 gennemgå andre EU-retsakter, der regulerer de kompetente myndigheders behandling af personoplysninger til retshåndhævelsesformål, for at vurdere behovet for at tilpasse dem til direktivet om databeskyttelse på retshåndhævelsesområdet, og, hvis det er hensigtsmæssigt, fremsætte forslag til ændring af dem for at sikre konsekvens i beskyttelsen af personoplysninger inden for anvendelsesområdet for direktivet om databeskyttelse på retshåndhævelsesområdet.
Kommissionen redegjorde for resultaterne af sin revision i en meddelelse om Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne (24. juni 2020), som angiver ti retsakter, der bør tilpasses direktivet om databeskyttelse på retshåndhævelsesområdet og en tidsplan for dette. Listen omfatter Rådets rammeafgørelse 2002/465/RIA om fælles efterforskningshold. Kommissionen meddelte, at den ville fremsætte målrettede ændringer af afgørelsen i sidste kvartal af 2020; det er formålet med dette forslag.
Dette initiativ er ikke en del af programmet for målrettet og effektiv regulering (REFIT).
•Sammenhæng med de gældende regler på samme område
Forslaget sigter mod at tilpasse databeskyttelsesreglerne i afgørelse 2002/465/RIA efter de principper og regler, der er fastlagt i direktivet om databeskyttelse på retshåndhævelsesområdet, for at skabe en stærk og sammenhængende ramme for databeskyttelse i Unionen.
•Overensstemmelse med andre EU-politikker
2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET
•Retsgrundlag
Forslaget er baseret på artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde (TEUF).
Den oprindelige retsakt var baseret på tidligere artikel 34, stk. 2, litra b), i den tidligere traktat om Den Europæiske Union, som snarere svarer til artikel 82, stk. 1, i TEUF. Både formålet med og indholdet af den foreslåede ændring er dog klart begrænset til beskyttelse af personoplysninger.
I den henseende er artikel 16, stk. 2, i TEUF det mest hensigtsmæssige retsgrundlag. Det giver mulighed for at vedtage regler om beskyttelse af enkeltpersoner for så vidt angår medlemsstaternes behandling af personoplysninger, når de udfører aktiviteter i henhold til EU-lovgivningen, og regler om fri udveksling af personoplysninger.
I henhold til artikel 2a i protokol nr. 22 er Danmark ikke bundet af regler fastlagt på grundlag af artikel 16 i TEUF, der vedrører behandling af personoplysninger i forbindelse med udførsel af aktiviteter, som falder inden for anvendelsesområdet for TEUF, tredje del, afsnit IV, kapitel 4 og 5. Det samme gælder for Irland i henhold til artikel 6a i protokol nr. 21.
•Nærhedsprincippet (for ikke-eksklusiv kompetence)
Kun Unionen kan vedtage en retsakt om ændring af afgørelse 2002/465/RIA.
•Proportionalitetsprincippet
Dette forslag er begrænset til, hvad der er nødvendigt for at tilpasse afgørelse 2002/465/RIA til EU-lovgivningen om beskyttelse af personoplysninger (herunder direktivet om databeskyttelse på retshåndhævelsesområdet) uden at ændre mekanismerne for samarbejde mellem medlemsstater, der nedsætter et fælles efterforskningshold. Dette direktiv går ikke videre, end hvad der er nødvendigt for at nå de mål, der forfølges, jf. artikel 5, stk. 4, i traktaten om Den Europæiske Union.
•Valg af retsakt
For at ændre afgørelse 2002/465/RIA er den mest hensigtsmæssige retsakt et direktiv.
3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRING AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER
•Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning
Dette forslag følger resultaterne af Kommissionens revision i henhold til artikel 62, stk. 6, i direktivet om databeskyttelse på retshåndhævelsesområdet, som blev fremlagt i meddelelsen Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne. I denne meddelelse anføres punkter, hvor tilpasning er nødvendig. Navnlig udpeges behovet for at præcisere, at enhver behandling af personoplysninger i henhold til afgørelse 2002/465/RIA er underlagt enten direktivet om databeskyttelse på retshåndhævelsesområdet eller forordning (EU) 2016/679 (den generelle forordning om databeskyttelse — GDPR), afhængigt af om det finder sted i forbindelse med strafferetlige eller ikkestrafferetlige sager. Tilpasningen bør tydeliggøre, at oplysninger, der er opnået i henhold til afgørelsen, kun kan behandles til andre formål end dem, hvortil de indsamles, udelukkende på de betingelser, der er fastlagt i direktivet om databeskyttelse på retshåndhævelsesområdet (artikel 4, stk. 2, eller artikel 9, stk. 1) eller GDPR (artikel 6, stk. 4).
Ved at foreslå ændring af artikel 1, stk. 10, i afgørelse 2002/465/RIA er dette forslag begrænset til, hvad der er nødvendigt for at løse ovenstående punkter.
•Høring af interesserede parter
•Indhentning og brug af ekspertise
I sin gennemgang tog Kommissionen højde for en undersøgelse, der blev gennemført som en del af pilotprojektet "gennemgang af grundlæggende rettigheder i Unionens dataindsamlingsinstrumenter og -programmer". Undersøgelsen kortlagde EU-retsakter omfattet af artikel 62, stk. 6, i direktivet om databeskyttelse på retshåndhævelsesområdet og udpegede bestemmelser, der potentielt kræver tilpasning til databeskyttelsesaspekter.
•Konsekvensanalyse
Virkningen af dette forslag er begrænset til kompetente myndigheders behandling af personoplysninger i forbindelse med afgørelse 2002/465/RIA. Virkningen af de nye forpligtelser som følge af direktivet om databeskyttelse på retshåndhævelsesområdet blev vurderet i forbindelse med det forberedende arbejde til direktivet om databeskyttelse på retshåndhævelsesområdet. Dette gør en specifik konsekvensanalyse for dette forslag unødvendig.
•Målrettet regulering og forenkling
Ikke relevant
•Grundlæggende rettigheder
Retten til beskyttelse af personoplysninger er fastlagt i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16 i TEUF. Databeskyttelse er også tæt knyttet til respekten for privatliv og familieliv, som beskyttet af chartrets artikel 7.
Dette forslag sikrer, at enhver behandling af personoplysninger i henhold til afgørelse 2002/465/RIA er underlagt de "horisontale" principper og regler i EU's databeskyttelseslovgivning, hvilket betyder yderligere gennemførelse af chartrets artikel 8. Denne lovgivning har til formål at sikre et højt niveau af beskyttelse af personoplysninger og vil med en præcisering af, at principperne og reglerne i EU's databeskyttelseslovgivning fuldt ud gælder for databehandling i henhold til afgørelsen, få en positiv indvirkning på de grundlæggende rettigheder til privatlivets fred og databeskyttelse.
4.VIRKNINGER FOR BUDGETTET
5.ANDRE FORHOLD
•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering
•Forklarende dokumenter (for direktiver)
Dette forslag kræver ikke forklarende dokumenter om gennemførelse, da det involverer en målrettet ændring af en artikel i afgørelse 2002/465/RIA.
•Nærmere redegørelse for de enkelte bestemmelser i forslaget
Direktivet om databeskyttelse på retshåndhævelsesområdet fastlægger de retlige rammer for kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger og fuldbyrde strafferetlige sanktioner, herunder at beskytte mod og forhindre trusler mod den offentlige sikkerhed. I artikel 4, stk. 2, og artikel 9, stk. 1, reguleres behandlingen af personoplysninger til andre formål end det, hvortil de indsamles.
Specifikt bestemmes i artikel 1, stk. 10, i afgørelse 2002/465/RIA, at visse personoplysninger på visse betingelser kan behandles til andre formål end dem, de oprindeligt blev indsamlet til. Det går ud over betingelserne direktivet om databeskyttelse på retshåndhævelsesområdet og skal derfor tilpasses hertil. Artikel 1 i dette direktiv ændrer artikel 1, stk. 10, i afgørelsen ved:
–at tilpasse anvendelsesmuligheder for personoplysninger indsamlet af fælles efterforskningshold (artikel 1, stk. 10, litra b)) til princippet om formålsbegrænsning som reguleret af direktivet om databeskyttelse på retshåndhævelsesområdet og
–at artikel 1, stk. 10, litra c) til d) udgår.
I artikel 2 fastsættes fristen for gennemførelse af dette direktiv.
I artikel 3 fastsættes dette direktivs ikrafttrædelsesdato.
I artikel 4 angives, at dette direktiv er rettet til medlemsstaterne.
2021/0008 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV
om ændring af Rådets rammeafgørelse 2002/465/RIA for så vidt angår tilpasning til EU-reglerne om beskyttelse af personoplysninger
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
efter den almindelige lovgivningsprocedure, og
ud fra følgende betragtninger:
(1)I henhold til artikel 62, stk. 6, i direktiv (EU) 2016/680 skal Kommissionen gennemgå andre EU-retsakter, som regulerer de kompetente myndigheders behandling af personoplysninger med henblik på artikel 1, stk. 1, i nævnte direktiv for at vurdere behovet for at tilpasse disse retsakter til direktivet og, hvis det er hensigtsmæssigt, fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af personoplysninger inden for nævnte direktivs anvendelsesområde. Denne gennemgang har ført til, at Rådets rammeafgørelse 2002/465/RIA er udpeget som en af de retsakter, der skal ændres.
(2)Af hensyn til sammenhæng og effektiv beskyttelse af personoplysninger bør behandling af personoplysninger, der udføres i henhold til rammeafgørelse 2002/465/RIA, overholde reglerne i direktiv (EU) 2016/680.
(3)I medfør af artikel 1, 2 og artikel 4a, stk. 1, i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, og med forbehold af artikel 4 i samme protokol, deltager Irland ikke i vedtagelsen af dette direktiv, som derfor ikke er bindende for og ikke finder anvendelse i Irland.
(4)I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af dette direktiv, som derfor ikke er bindende for og ikke finder anvendelse i Danmark.
(5)Rammeafgørelse 2002/465/RIA bør derfor ændres i overensstemmelse hermed.
(6)Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i overensstemmelse med artikel 42 i forordning (EU) 2018/1725 og afgav en udtalelse om XX XXXX —
VEDTAGET DETTE DIREKTIV:
Artikel 1
I rammeafgørelse 2002/465/RIA foretages følgende ændringer:
(1)Artikel 1, stk. 10, litra b), affattes således:
"b) til andre formål i overensstemmelse med artikel 4, stk. 2, i direktiv 2016/680.".
(2)Artikel 1, stk. 10, litra c) og d), udgår.
Artikel 2
1.Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest [et år efter vedtagelsen]. De meddeler straks Kommissionen disse love og bestemmelser.
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.
2.Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.
Artikel 3
Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Artikel 4
Dette direktiv er rettet til medlemsstaterne i overensstemmelse med traktaterne.
Udfærdiget i Bruxelles, den […].
Til Europa-Parlamentet
Til Rådet
Formand
Formand