EUROPA-KOMMISSIONEN
Bruxelles, den 20.1.2021
COM(2021) 21 final
2021/0009(COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV
om ændring af direktiv 2014/41/EU for så vidt angår tilpasning til EU-reglerne om beskyttelse af personoplysninger
BEGRUNDELSE
1.BAGGRUND FOR FORSLAGET
•Forslagets begrundelse og mål
Direktiv (EU) 2016/680 (direktivet om databeskyttelse på retshåndhævelsesområdet) trådte i kraft den 6. maj 2016, og medlemsstaterne havde indtil den 6. maj 2018 til at gennemføre det i national lovgivning. Det ophævede og erstattede Rådets rammeafgørelse 2008/977/RIA, men er et meget mere omfattende og generelt databeskyttelsesinstrument. Et vigtigt element er, at direktivet finder anvendelse på kompetente myndigheders både indenlandske og grænseoverskridende behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger og fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed (artikel 1, stk. 1).
Ifølge artikel 62, stk. 6, i direktivet om databeskyttelse på retshåndhævelsesområdet skal Kommissionen inden den 6. maj 2019 gennemgå andre EU-retsakter, der regulerer de kompetente myndigheders behandling af personoplysninger til retshåndhævelsesformål, for at vurdere behovet for at tilpasse dem til direktivet om databeskyttelse på retshåndhævelsesområdet, og, hvis det er hensigtsmæssigt, fremsætte forslag til ændring af dem for at sikre konsekvens i beskyttelsen af personoplysninger inden for anvendelsesområdet for direktivet om databeskyttelse på retshåndhævelsesområdet.
Kommissionen redegjorde for resultaterne af sin gennemgang i en meddelelse om Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne (24. juni 2020), som angiver ti retsakter, der bør tilpasses direktivet om databeskyttelse på retshåndhævelsesområdet og en tidsplan for dette. Listen omfatter Europa-Parlamentets og Rådets direktiv 2014/41/EU om den europæiske efterforskningskendelse i straffesager. Kommissionen meddelte, at den ville fremsætte målrettede ændringer af det pågældende direktiv i sidste kvartal af 2020; det er formålet med dette forslag.
Dette initiativ er ikke en del af programmet for målrettet og effektiv regulering (REFIT).
•Sammenhæng med de gældende regler på samme område
Forslaget sigter mod at tilpasse databeskyttelsesreglerne i direktiv 2014/41/EU efter de principper og regler, der er fastlagt i direktivet om databeskyttelse på retshåndhævelsesområdet, for at skabe en stærk og sammenhængende ramme for databeskyttelse i Unionen.
•Sammenhæng med Unionens politik på andre områder
2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET
•Retsgrundlag
Forslaget er baseret på artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde (TEUF).
Den oprindelige retsakt var baseret på tidligere artikel 34, stk. 2, litra b), i den tidligere traktat om Den Europæiske Union, som snarere svarer til artikel 82, stk. 1, i TEUF. Både formålet med og indholdet af den foreslåede ændring er dog klart begrænset til beskyttelse af personoplysninger.
I den henseende er artikel 16, stk. 2, i TEUF det mest hensigtsmæssige retsgrundlag. Det giver mulighed for at vedtage regler om beskyttelse af enkeltpersoner med hensyn til medlemsstaternes behandling af personoplysninger, når de udfører aktiviteter i henhold til EU-lovgivningen, og regler om fri udveksling af personoplysninger.
I henhold til artikel 2a i protokol nr. 22 er Danmark ikke bundet af regler fastlagt på grundlag af artikel 16 i TEUF, der vedrører behandling af personoplysninger i forbindelse med udførsel af aktiviteter, der falder inden for anvendelsesområdet for kapitel 4 og 5 i afsnit IV i tredje del af TEUF. Det samme gælder for Irland i henhold til artikel 6a i protokol nr. 21.
•Nærhedsprincippet (for ikke-eksklusiv kompetence)
Kun Unionen kan vedtage en retsakt om ændring af direktiv 2014/41/EU.
•Proportionalitetsprincippet
Dette forslag er begrænset til, hvad der er nødvendigt for at tilpasse direktiv 2014/41/EU til EU-lovgivningen om beskyttelse af personoplysninger (navnlig direktivet om databeskyttelse på retshåndhævelsesområdet) uden på nogen måde at ændre direktivets anvendelsesområde. Dette direktiv går ikke videre, end hvad der er nødvendigt for at nå de mål, der forfølges, jf. artikel 5, stk. 4, i traktaten om Den Europæiske Union.
•Valg af retsakt
For at ændre afgørelse 2014/41/EU er den mest hensigtsmæssige retsakt et direktiv.
3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRING AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER
•Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning
Dette forslag følger resultaterne af Kommissionens revision i henhold til artikel 62, stk. 6, i direktivet om databeskyttelse på retshåndhævelsesområdet, som blev fremlagt i meddelelsen Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne. I denne meddelelse anføres punkter, hvor tilpasning er nødvendig. Navnlig udpeges behovet for at præcisere, at enhver behandling af personoplysninger i henhold til direktiv 2014/41/EU er underlagt enten direktivet om databeskyttelse på retshåndhævelsesområdet eller forordning (EU) 2016/679 (den generelle forordning om databeskyttelse — GDPR), afhængigt af om det finder sted i forbindelse med strafferetlige eller ikkestrafferetlige sager. Tilpasningen bør tydeliggøre, at oplysninger, der er opnået i henhold til direktiv 2014/41/EU, kun kan behandles til andre formål end dem, hvortil de indsamles, udelukkende på de betingelser, der er fastlagt i direktivet om databeskyttelse på retshåndhævelsesområdet (artikel 4, stk. 2, eller artikel 9, stk. 1) eller GDPR (artikel 6).
Ved at foreslå at artikel 20 i direktiv 2014/41/EU udgår, er dette forslag begrænset til, hvad der er nødvendigt for at løse ovenstående punkter.
•Høring af interesserede parter
•Indhentning og brug af ekspertise
I sin gennemgang tog Kommissionen højde for en undersøgelse, der blev gennemført som en del af pilotprojektet "gennemgang af grundlæggende rettigheder i Unionens dataindsamlingsinstrumenter og -programmer". Undersøgelsen kortlagde EU-retsakter omfattet af artikel 62, stk. 6, i direktivet om databeskyttelse på retshåndhævelsesområdet og udpegede bestemmelser, der potentielt kræver tilpasning til databeskyttelsesaspekter.
•Konsekvensanalyse
Virkningen af dette forslag er begrænset til kompetente myndigheders behandling af personoplysninger i de specifikke tilfælde, der er reguleret af direktiv 2014/41/EU. Virkningen af de nye forpligtelser som følge af direktivet om databeskyttelse på retshåndhævelsesområdet blev vurderet i forbindelse med det forberedende arbejde for direktivet om databeskyttelse på retshåndhævelsesområdet. Dette gør en specifik konsekvensanalyse for dette forslag unødvendig.
•Målrettet regulering og forenkling
•Grundlæggende rettigheder
Retten til beskyttelse af personoplysninger er fastlagt i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16 i TEUF. Som understreget af Den Europæiske Unions Domstol er retten til beskyttelse af personoplysninger ikke absolut, men skal tages i betragtning i forhold til dens funktion i samfundet. Databeskyttelse er også tæt knyttet til respekt for privatliv og familieliv, som beskyttet af chartrets artikel 7.
Dette forslag sikrer, at enhver behandling af personoplysninger i henhold til direktiv 2014/41/EU er underlagt de "horisontale" principper og regler i EU's databeskyttelseslovgivning, hvilket medfører yderligere gennemførelse af chartrets artikel 8. Denne lovgivning har til formål at sikre et højt niveau af beskyttelse af personoplysninger og vil med en præcisering af, at principperne og reglerne i direktiv 2016/680 finder anvendelse på databehandling i henhold til direktivet, få en positiv indvirkning på de grundlæggende rettigheder til privatlivets fred og databeskyttelse.
4.VIRKNINGER FOR BUDGETTET
5.ANDRE FORHOLD
•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering
•Forklarende dokumenter (for direktiver)
Dette forslag kræver ikke forklarende dokumenter om gennemførelse, da det omfatter, at en artikel i direktiv 2014/41/EU skal udgå.
•Nærmere redegørelse for de enkelte bestemmelser i forslaget
Ved artikel 1 udgår artikel 20 i direktiv 2014/41/EU. Dermed er dette forslag begrænset til, hvad der er nødvendigt for at løse ovenstående punkter. Ifølge artikel 20 skal enhver behandling af personoplysninger i henhold til direktivet overholde Rådets rammeafgørelse 2008/977/RIA og principperne i Europarådets konvention til beskyttelse af enkeltpersoner med hensyn til automatisk behandling af personoplysninger (28. januar 1981) og dens tillægsprotokol.
Direktivet om databeskyttelse på retshåndhævelsesområdet ophævede rammeafgørelsen med virkning fra 6. maj 2018. I henhold til artikel 59 i direktivet om databeskyttelse på retshåndhævelsesområdet skal henvisninger til rammeafgørelsen opfattes som henvisninger til direktivet om databeskyttelse på retshåndhævelsesområdet.
I henhold til artikel 2, stk. 1, finder direktivet om databeskyttelse på retshåndhævelsesområdet anvendelse på behandlingen af personoplysninger af kompetente myndigheder til de formål, der er beskrevet i artikel 1, stk. 1, med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder at beskytte mod og forhindre trusler mod den offentlige sikkerhed. Direktiv 2014/41/EU finder dog også anvendelse på visse typer ikkestrafferetlige sager — disse reguleres af GDPR.
Det faktum, at artikel 20 i direktiv 2014/41/EU henviser til rammeafgørelsen, kunne skabe forvirring om, hvorvidt direktivet om databeskyttelse på retshåndhævelsesområdet også gælder for behandling af personoplysninger vedrørende europæiske efterforskningskendelser i forbindelse med ikkestrafferetlige sager (hvilket ikke ligger inden for anvendelsesområdet for direktivet om databeskyttelse på retshåndhævelsesområdet). Artikel 20 udgår, hvilket er tilstrækkelig til at afhjælpe denne situation. Direktivet om databeskyttelse på retshåndhævelsesområdet gælder fortsat for behandling af personoplysninger i henhold til direktiv 2014/41/EU inden for dets anvendelsesområde.
Fordi direktivet om databeskyttelse på retshåndhævelsesområdet og GDPR (hver inden for sit anvendelsesområde) finder anvendelse på behandling af personoplysninger i henhold til direktiv 2014/41/EU, vil behandling af sådanne data til andre formål end det, hvortil de indsamles, blive udført i overensstemmelse med direktivet om databeskyttelse på retshåndhævelsesområdet (artikel 4, stk. 2, og artikel 9, stk. 1) eller GDPR (artikel 6, stk. 4). Der er ikke behov for nogen ny bestemmelse herom.
Ifølge artikel 20 i direktiv 2014/41/EU skal adgang til personoplysninger også begrænses, med forbehold af den registreredes rettigheder, og udelukkende autoriserede personer skal have adgang til sådanne data. Med direktivet om databeskyttelse på retshåndhævelsesområdet og GDPR indføres en omfattende ramme for registreredes rettigheder og den dataansvarliges forpligtelser, herunder med hensyn til databeskyttelse gennem design og gennem standardindstillinger, og behandlingssikkerhed. Artikel 20, andet afsnit, er derfor overflødig.
Da direktiv 2014/41/EU ikke indeholder specifikke databeskyttelsesregler, er der ikke behov for yderligere ændringer vedrørende databeskyttelse.
I artikel 2 fastsættes fristen for gennemførelse af det foreslåede nye direktiv.
I artikel 3 fastsættes dette direktivs ikrafttrædelsesdato.
I artikel 4 angives, at dette direktiv er rettet til medlemsstaterne.
2021/0009 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV
om ændring af direktiv 2014/41/EU for så vidt angår tilpasning til EU-reglerne om beskyttelse af personoplysninger
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
efter den almindelige lovgivningsprocedure, og
ud fra følgende betragtninger:
(1)I henhold til artikel 62, stk. 6, i direktiv (EU) 2016/680 skal Kommissionen gennemgå andre EU-retsakter, som regulerer de kompetente myndigheders behandling af personoplysninger med henblik på artikel 1, stk. 1, i nævnte direktiv for at vurdere behovet for at tilpasse disse retsakter til direktivet og, hvis det er hensigtsmæssigt, at fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af personoplysninger inden for nævnte direktivs anvendelsesområde. Denne gennemgang har ført til, at direktiv 2014/41/EU er udpeget som en af de retsakter, der skal ændres.
(2)Af hensyn til sammenhæng og effektiv beskyttelse af personoplysninger bør behandling af personoplysninger i henhold til direktiv 2014/41/EU overholde reglerne i direktiv (EU) 2016/680, hvor det er relevant. Forordning (EU) 2016/679 bør finde anvendelse på behandling af personoplysninger i forbindelse med procedurer som omhandlet i artikel 4, litra b), c) og d), i direktiv 2014/41/EU, hvor en sådan behandling ikke er omfattet af direktiv (EU) 2016/680.
(3)I medfør af artikel 1, 2 og artikel 4a, stk. 1, i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, og med forbehold af artikel 4 i samme protokol, deltager Irland ikke i vedtagelsen af dette direktiv, som derfor ikke er bindende for og ikke finder anvendelse i Irland.
(4)I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af dette direktiv, som derfor ikke er bindende for og ikke finder anvendelse i Danmark.
(5)Direktiv 2014/41/EU bør derfor ændres i overensstemmelse hermed.
(6)Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i overensstemmelse med artikel 42 i forordning (EU) 2018/1725 og afgav en udtalelse om XX XXXX —
VEDTAGET DETTE DIREKTIV:
Artikel 1
Ændring af direktiv 2014/41/EU
Artikel 20 i direktiv 2014/41/EU udgår.
Artikel 2
1.Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest [et år efter vedtagelsen]. De meddeler straks Kommissionen disse love og bestemmelser.
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.
2.Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.
Artikel 3
Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Artikel 4
Dette direktiv er rettet til medlemsstaterne i overensstemmelse med traktaterne.
Udfærdiget i Bruxelles, den […].
Til Europa-Parlamentet
Til Rådet
Formand
Formand