EUROPA-KOMMISSIONEN

Bruxelles, den 20.1.2021

COM(2021) 21 final

2021/0009(COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om ændring af direktiv 2014/41/EU for så vidt angår tilpasning til EU-reglerne om beskyttelse af personoplysninger

BEGRUNDELSE

1.BAGGRUND FOR FORSLAGET

•Forslagets begrundelse og mål

Direktiv (EU) 2016/680 1 (direktivet om databeskyttelse på retshåndhævelsesområdet) trådte i kraft den 6. maj 2016, og medlemsstaterne havde indtil den 6. maj 2018 til at gennemføre det i national lovgivning. Det ophævede og erstattede Rådets rammeafgørelse 2008/977/RIA 2 , men er et meget mere omfattende og generelt databeskyttelsesinstrument. Et vigtigt element er, at direktivet finder anvendelse på kompetente myndigheders både indenlandske og grænseoverskridende behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger og fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed (artikel 1, stk. 1).

Ifølge artikel 62, stk. 6, i direktivet om databeskyttelse på retshåndhævelsesområdet skal Kommissionen inden den 6. maj 2019 gennemgå andre EU-retsakter, der regulerer de kompetente myndigheders behandling af personoplysninger til retshåndhævelsesformål, for at vurdere behovet for at tilpasse dem til direktivet om databeskyttelse på retshåndhævelsesområdet, og, hvis det er hensigtsmæssigt, fremsætte forslag til ændring af dem for at sikre konsekvens i beskyttelsen af personoplysninger inden for anvendelsesområdet for direktivet om databeskyttelse på retshåndhævelsesområdet.

Kommissionen redegjorde for resultaterne af sin gennemgang i en meddelelse om Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne (24. juni 2020) 3 , som angiver ti retsakter, der bør tilpasses direktivet om databeskyttelse på retshåndhævelsesområdet og en tidsplan for dette. Listen omfatter Europa-Parlamentets og Rådets direktiv 2014/41/EU om den europæiske efterforskningskendelse i straffesager 4 . Kommissionen meddelte, at den ville fremsætte målrettede ændringer af det pågældende direktiv i sidste kvartal af 2020; det er formålet med dette forslag.

•Sammenhæng med de gældende regler på samme område

Forslaget sigter mod at tilpasse databeskyttelsesreglerne i direktiv 2014/41/EU efter de principper og regler, der er fastlagt i direktivet om databeskyttelse på retshåndhævelsesområdet, for at skabe en stærk og sammenhængende ramme for databeskyttelse i Unionen.

•Sammenhæng med Unionens politik på andre områder

2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

•Retsgrundlag

Forslaget er baseret på artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

Den oprindelige retsakt var baseret på tidligere artikel 34, stk. 2, litra b), i den tidligere traktat om Den Europæiske Union, som snarere svarer til artikel 82, stk. 1, i TEUF. Både formålet med og indholdet af den foreslåede ændring er dog klart begrænset til beskyttelse af personoplysninger.

 •Nærhedsprincippet (for ikke-eksklusiv kompetence)

•Proportionalitetsprincippet

•Valg af retsakt

3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRING AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

•Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning

Dette forslag følger resultaterne af Kommissionens revision i henhold til artikel 62, stk. 6, i direktivet om databeskyttelse på retshåndhævelsesområdet, som blev fremlagt i meddelelsen Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne. I denne meddelelse anføres punkter, hvor tilpasning er nødvendig. Navnlig udpeges behovet for at præcisere, at enhver behandling af personoplysninger i henhold til direktiv 2014/41/EU er underlagt enten direktivet om databeskyttelse på retshåndhævelsesområdet eller forordning (EU) 2016/679 5 (den generelle forordning om databeskyttelse — GDPR), afhængigt af om det finder sted i forbindelse med strafferetlige eller ikkestrafferetlige sager. Tilpasningen bør tydeliggøre, at oplysninger, der er opnået i henhold til direktiv 2014/41/EU, kun kan behandles til andre formål end dem, hvortil de indsamles, udelukkende på de betingelser, der er fastlagt i direktivet om databeskyttelse på retshåndhævelsesområdet (artikel 4, stk. 2, eller artikel 9, stk. 1) eller GDPR (artikel 6).

 •Høring af interesserede parter

•Indhentning og brug af ekspertise

•Konsekvensanalyse

Virkningen af dette forslag er begrænset til kompetente myndigheders behandling af personoplysninger i de specifikke tilfælde, der er reguleret af direktiv 2014/41/EU. Virkningen af de nye forpligtelser som følge af direktivet om databeskyttelse på retshåndhævelsesområdet blev vurderet i forbindelse med det forberedende arbejde for direktivet om databeskyttelse på retshåndhævelsesområdet. Dette gør en specifik konsekvensanalyse for dette forslag unødvendig.

 •Målrettet regulering og forenkling

 •Grundlæggende rettigheder

Retten til beskyttelse af personoplysninger er fastlagt i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16 i TEUF. Som understreget af Den Europæiske Unions Domstol 7 er retten til beskyttelse af personoplysninger ikke absolut, men skal tages i betragtning i forhold til dens funktion i samfundet 8 . Databeskyttelse er også tæt knyttet til respekt for privatliv og familieliv, som beskyttet af chartrets artikel 7.

Dette forslag sikrer, at enhver behandling af personoplysninger i henhold til direktiv 2014/41/EU er underlagt de "horisontale" principper og regler i EU's databeskyttelseslovgivning, hvilket medfører yderligere gennemførelse af chartrets artikel 8. Denne lovgivning har til formål at sikre et højt niveau af beskyttelse af personoplysninger og vil med en præcisering af, at principperne og reglerne i direktiv 2016/680 finder anvendelse på databehandling i henhold til direktivet, få en positiv indvirkning på de grundlæggende rettigheder til privatlivets fred og databeskyttelse.

4.VIRKNINGER FOR BUDGETTET

5.ANDRE FORHOLD

•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

•Forklarende dokumenter (for direktiver)

•Nærmere redegørelse for de enkelte bestemmelser i forslaget

2021/0009 (COD)

Forslag til

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV

om ændring af direktiv 2014/41/EU for så vidt angår tilpasning til EU-reglerne om beskyttelse af personoplysninger

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

efter den almindelige lovgivningsprocedure, og

ud fra følgende betragtninger:

(1)I henhold til artikel 62, stk. 6, i direktiv (EU) 2016/680 9 skal Kommissionen gennemgå andre EU-retsakter, som regulerer de kompetente myndigheders behandling af personoplysninger med henblik på artikel 1, stk. 1, i nævnte direktiv for at vurdere behovet for at tilpasse disse retsakter til direktivet og, hvis det er hensigtsmæssigt, at fremsætte de forslag til ændring af disse retsakter, der måtte være nødvendige for at sikre en konsekvent tilgang til beskyttelse af personoplysninger inden for nævnte direktivs anvendelsesområde. Denne gennemgang har ført til, at direktiv 2014/41/EU 10 er udpeget som en af de retsakter, der skal ændres.

(2)Af hensyn til sammenhæng og effektiv beskyttelse af personoplysninger bør behandling af personoplysninger i henhold til direktiv 2014/41/EU overholde reglerne i direktiv (EU) 2016/680, hvor det er relevant. Forordning (EU) 2016/679 11 bør finde anvendelse på behandling af personoplysninger i forbindelse med procedurer som omhandlet i artikel 4, litra b), c) og d), i direktiv 2014/41/EU, hvor en sådan behandling ikke er omfattet af direktiv (EU) 2016/680.

(3)I medfør af artikel 1, 2 og artikel 4a, stk. 1, i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, og med forbehold af artikel 4 i samme protokol, deltager Irland ikke i vedtagelsen af dette direktiv, som derfor ikke er bindende for og ikke finder anvendelse i Irland.

(4)I medfør af artikel 1 og 2 i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af dette direktiv, som derfor ikke er bindende for og ikke finder anvendelse i Danmark.

(5)Direktiv 2014/41/EU bør derfor ændres i overensstemmelse hermed.

(6)Den Europæiske Tilsynsførende for Databeskyttelse blev hørt i overensstemmelse med artikel 42 i forordning (EU) 2018/1725 12 og afgav en udtalelse om XX XXXX 13 —

VEDTAGET DETTE DIREKTIV:

Artikel 1

Ændring af direktiv 2014/41/EU

Artikel 20 i direktiv 2014/41/EU udgår.

Artikel 2

1.Medlemsstaterne sætter de nødvendige love og administrative bestemmelser i kraft for at efterkomme dette direktiv senest [et år efter vedtagelsen]. De meddeler straks Kommissionen disse love og bestemmelser.

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

2.Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 3

Dette direktiv træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 4

Dette direktiv er rettet til medlemsstaterne i overensstemmelse med traktaterne.

Udfærdiget i Bruxelles, den […].

(1)    Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(2)    Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger behandlet inden for rammerne af politisamarbejde og retligt samarbejde i straffesager (EUT L 350 af 30.12.2008, s. 60).

(3)    COM(2020) 262 final.

(4)    EUT L 130 af 1.5.2014, s. 1.

(5)    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(6)

   Pilotprojektet blev anmodet af Europa-Parlamentet, forvaltet af Kommissionen og udført af en kontrahent (gruppe af uafhængige eksperter). Kommissionen udvalgte kontrahenten på baggrund af kriterier, der blev fastlagt af Parlamentet. Projektresultaterne afspejler kun kontrahentens synspunkter og udtalelser, og Kommissionen kan ikke holdes ansvarlig for, hvordan oplysningerne heri anvendes. Resultaterne offentliggøres på http://www.fondazionebrodolini.it/en/projects/pilot-project-fundamental-rights-review-eu-data-collectioninstruments-and-programmes . 

(7)

   Domstolens dom af 9. november 2010, Volker und Markus Schecke og Eifert, forenede sager C-92/09 og C-93/09 (ECLI:EU:C:2009:284, punkt 48).

(8)

   I overensstemmelse med chartrets artikel 52, stk. 1, kan udøvelsen af retten til databeskyttelse være underlagt begrænsninger, der er fastsat ved lov, respekterer disse rettigheders og friheders væsentligste indhold og (under iagttagelse af proportionalitetsprincippet) er nødvendige og faktisk opfylder mål af almen interesse, som er anerkendt af Unionen, eller behovet for at beskytte andres rettigheder og friheder.

(9)    Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).

(10)    Europa-Parlamentets og Rådets direktiv 2014/41/EU af 3. april 2014 om den europæiske efterforskningskendelse i straffesager (EUT L 130 af 1.5.2014, s. 1).

(11)    Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(12)    Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).