32021R1232

EUR-Lex

Access to European Union law

This document is an excerpt from the EUR-Lex website

EUROPA
EUR-Lex home
Forordning - 2021/1232 - EN - EUR-Lex

Help

Search tips

Need more search options? Use the Advanced search

Document 32021R1232

Help

Europa-Parlamentets og Rådets forordning (EU) 2021/1232 af 14. juli 2021 om en midlertidig undtagelse fra visse bestemmelser i direktiv 2002/58/EF, for så vidt angår den anvendelse af teknologier til behandling af personoplysninger og andre data, der foretages af udbydere af nummeruafhængige interpersonelle kommunikationstjenester med det formål at bekæmpe seksuelt misbrug af børn online (EØS-relevant tekst)

PE/38/2021/REV/1

EUT L 274 af 30.7.2021, p. 41–51 (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force: This act has been changed. Current consolidated version: 15/05/2024

ELI: http://data.europa.eu/eli/reg/2021/1232/oj

Date of document:: 14/07/2021; undertegnelsesdato
Date of effect:: 02/08/2021; ikrafttrædelse off.gørelsesdato +3 se art 10
Date of signature:: 14/07/2021
Deadline:: 03/09/2021; se art 3.2(b) og 3.3(b) og 4 og 7.1
Deadline:: 03/10/2021; se art 7.2
Deadline:: 03/02/2022; se art 3.1(vii)
Deadline:: 03/04/2022; se art 3.2 og 3.3
Deadline:: 03/08/2022; se art 8.1
Deadline:: 03/08/2023; se art 9.1
Deadline:: 03/12/2024; senest se art 3.4
Deadline:: 04/09/2025; se art 9.1 og
Date of end of validity:: 03/04/2026; forlænget ved 32024R1307

Author:: Europa-Parlamentet, Rådet for Den Europæiske Union
Form:: Forordning
Additional information:: interesse for EØS

Procedure number:

2020/0259/COD

Link

European Parliament - Legislative observatory

Treaty:

Traktat om Den Europæiske Unions funktionsmåde

Legal basis:

12016E016 - P2
12016E114 - P1

Proposal:

52020PC0568 Adopted on: 14/07/2021

Link

Select all documents based on this document

Link

Select all implementing acts based on this document

Link

Select all documents mentioning this document

Internal procedures based on this legislative basic act

Draft implementing regulation Processing of personal data by online service providers to combat online child sexual abuse – standard reporting form;
Draft implementing regulation Processing of personal data by online service providers to combat online child sexual abuse – standard reporting form;

Modifies:

Relation	Act	Comment	Subdivision concerned	From	To
Derogation	32002L0058		artikel 5 stykke 1	02/08/2021	03/08/2024
Derogation	32002L0058		artikel 6 stykke 1	02/08/2021	03/08/2024

Modified by:

Relation	Act	Comment	Subdivision concerned	From	To
Validity extended by	32024R1307			15/05/2024	03/04/2026
Modified by	32024R1307	erstatning	artikel 10 unummererede afsnit 2	15/05/2024
Modified by	32024R1307	tilføjelse	artikel 3 stykke 4	15/05/2024
Modified by	32024R1307	erstatning	artikel 9 stykke 1	15/05/2024
Modified by	32024R1307	tilføjelse	artikel 9a	15/05/2024

Subsequent related instruments:

Amendment proposed by 52022PC0209 Sletning
Amendment proposed by 52023PC0777

Instruments cited:

Link

EUROVOC descriptor:

Subject matter:

Directory code:

HTML

PDF

Official Journal

30.7.2021

Den Europæiske Unions Tidende

L 274/41

EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2021/1232

af 14. juli 2021

om en midlertidig undtagelse fra visse bestemmelser i direktiv 2002/58/EF, for så vidt angår den anvendelse af teknologier til behandling af personoplysninger og andre data, der foretages af udbydere af nummeruafhængige interpersonelle kommunikationstjenester med det formål at bekæmpe seksuelt misbrug af børn online

(EØS-relevant tekst)

EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2, sammenholdt med artikel 114, stk. 1,

under henvisning til forslag fra Europa-Kommissionen,

efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg (1),

efter den almindelige lovgivningsprocedure (2), og

ud fra følgende betragtninger:

(1)

Europa-Parlamentets og Rådets direktiv 2002/58/EF (3) indeholder bestemmelser, der sikrer retten til privatliv og fortrolighed for så vidt angår behandling af personoplysninger i forbindelse med udveksling af data inden for den elektroniske kommunikationssektor. Dette direktiv præciserer og supplerer Europa-Parlamentets og Rådets forordning (EU) 2016/679 (4).

(2)

Direktiv 2002/58/EF finder anvendelse på behandling af personoplysninger i forbindelse med ydelse af offentligt tilgængelige elektroniske kommunikationstjenester. Indtil den 21. december 2020 fandt definitionen af »elektronisk kommunikationstjeneste« i artikel 2, litra c), i Europa-Parlamentets og Rådets direktiv 2002/21/EF (5) anvendelse. På den dato blev direktiv 2002/21/EF ophævet ved Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 (6). Definitionen af »elektronisk kommunikationstjeneste« i artikel 2, nr. 4, i direktiv (EU) 2018/1972 omfatter nummeruafhængige interpersonelle kommunikationstjenester som defineret i nævnte direktivs artikel 2, nr. 7. Nummeruafhængige interpersonelle kommunikationstjenester, som omfatter f.eks. internettelefoni, meddelelsestjenester og webbaserede e-mailtjenester, blev derfor bragt inden for anvendelsesområdet for direktiv 2002/58/EF den 21. december 2020.

(3)

I overensstemmelse med artikel 6, stk. 1, i traktaten om Den Europæiske Union (TEU) anerkender Unionen de rettigheder, friheder og principper, der er nedfældet i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«). I artikel 7 i chartret beskyttes enhvers ret til respekt for sit privatliv og familieliv, sit hjem og sin kommunikation, hvilket omfatter kommunikationshemmelighed. Chartrets artikel 8 indeholder retten til beskyttelse af personoplysninger.

(4)

Artikel 3, stk. 1, i De Forenede Nationers konvention fra 1989 om barnets rettigheder (»børnekonventionen«) og chartrets artikel 24, stk. 2, fastslår, at barnets tarv skal komme i første række i alle handlinger vedrørende børn, uanset om de udføres af offentlige myndigheder eller private institutioner. Børnekonventionens artikel 3, stk. 2, og chartrets artikel 24, stk. 1, fremhæver derudover børns ret til den beskyttelse og omsorg, der er nødvendig for deres trivsel.

(5)

Beskyttelse af børn, såvel offline som online, er en af Unionens prioriteter. Seksuelt misbrug og seksuel udnyttelse af børn udgør alvorlige krænkelser af menneskerettighederne og de grundlæggende rettigheder, navnlig børns ret til beskyttelse mod alle former for vold, misbrug, forsømmelse, mishandling og udnyttelse, herunder seksuelt misbrug, som fastlagt ved børnekonventionen og chartret. Digitalisering har medført mange fordele for samfundet og økonomien, men har også medført udfordringer, herunder en stigning i seksuelt misbrug af børn online. Kommissionen vedtog den 24. juli 2020 en meddelelse med titlen »EU-strategi om en mere effektiv bekæmpelse af seksuelt misbrug af børn« (»strategien«). Strategien har til formål at sikre, at der gøres en effektiv indsats på EU-plan for at bekæmpe seksuelt misbrug af børn.

(6)

I overensstemmelse med Europa-Parlamentets og Rådets direktiv 2011/93/EU (7) regulerer denne forordning ikke medlemsstaternes politik med hensyn til kønslig omgængelse, til hvilken der er givet samtykke, som børn deltager i, og som kan betragtes som normal opdagelse af seksualitet i menneskets udvikling, under hensyntagen til de forskellige kulturelle og juridiske traditioner og nye måder at etablere og vedligeholde relationer mellem børn og unge på, herunder gennem informations- og kommunikationsteknologier.

(7)

Nogle udbydere af visse nummeruafhængige interpersonelle kommunikationstjenester (»udbydere«), såsom webmail- og meddelelsestjenester, anvender allerede på frivillig basis specifikke teknologier til at opdage seksuelt misbrug af børn online på deres tjenester og indberette det til de retshåndhævende myndigheder og til organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn, ved at scanne enten indholdet såsom billeder og tekst eller trafikdataene for kommunikation, idet der i visse tilfælde benyttes historiske data. Den teknologi, der anvendes til disse aktiviteter, kunne være hashkodeteknologi til billeder og videoer og klassifikatorer og kunstig intelligens til analyse af tekst- eller trafikdata. Når hashkodeteknologi anvendes, bliver der rapporteret om online materiale, der viser seksuelt misbrug af børn, når der kommer et positivt hit, hvilket vil sige et match fra en sammenligning mellem et billede eller en video og en unik, ikkekonvertibel digital signatur (»hash«) fra en database, der forvaltes af en organisation, der handler i offentlighedens interesse mod seksuelt misbrug af børn, og som indeholder verificeret online materiale, der viser seksuelt misbrug af børn. Disse udbydere henvender sig til nationale hotlines til indberetning af online materiale, der viser seksuelt misbrug af børn, og til organisationer, såvel inden for Unionen som i tredjelande, der har til formål at identificere børn, begrænse seksuel udnyttelse og seksuelt misbrug af børn og forebygge, at børn bliver ofre. Sådanne organisationer er måske ikke omfattet af forordning (EU) 2016/679. Tilsammen spiller sådanne frivillige aktiviteter en værdifuld rolle med hensyn til at gøre det muligt at identificere og redde ofre, hvis grundlæggende rettigheder til menneskelig værdighed og til fysisk og mental integritet krænkes alvorligt. Sådanne frivillige aktiviteter er også vigtige med hensyn til at reducere den yderligere udbredelse af online materiale, der viser seksuelt misbrug af børn og bidrage til identifikation og efterforskning af gerningsmænd og til forebyggelse, opdagelse, efterforskning og retsforfølgning af tilfælde af seksuelt misbrug af børn.

(8)

Uanset deres legitime formål udgør udbyderes frivillige aktiviteter for at opdage seksuelt misbrug af børn online på deres tjenester og indberette det en indgriben i den grundlæggende ret til respekt for privatliv og familieliv og til beskyttelse af personoplysninger for alle brugere af nummeruafhængige interpersonelle kommunikationstjenester (»brugere«). Enhver begrænsning af udøvelsen af den grundlæggende ret til respekt for privatliv og familieliv, herunder kommunikationshemmeligheden, kan ikke begrundes alene med, at udbydere brugte visse teknologier på et tidspunkt, hvor nummeruafhængige interpersonelle kommunikationstjenester ikke faldt ind under definitionen af »elektroniske kommunikationstjenester«. Sådanne begrænsninger er kun mulige på visse betingelser. I henhold til chartrets artikel 52, stk. 1, skal sådanne begrænsninger være fastlagt i lovgivningen og skal respektere det væsentligste indhold i rettighederne til privatliv og familieliv og til beskyttelse af personoplysninger og, under iagttagelse af proportionalitetsprincippet, de skal være nødvendige og faktisk svare til mål af almen interesse, der er anerkendt af Unionen, eller et behov for at beskytte andres rettigheder og friheder. Hvor sådanne begrænsninger permanent indebærer en generel og vilkårlig overvågning og analyse af alle brugeres kommunikation, griber de ind i retten til kommunikationshemmelighed.

(9)

Indtil den 20. december 2020 var behandlingen af personoplysninger foretaget af udbydere ved hjælp af frivillige foranstaltninger med det formål at opdage seksuelt misbrug af børn online på deres tjenester og indberette det og at fjerne online materiale, der viser seksuelt misbrug af børn, udelukkende reguleret ved forordning (EU) 2016/679. Direktiv (EU) 2018/1972, som skulle gennemføres i national ret inden den 20. december 2020, bragte udbydere ind under anvendelsesområdet for direktiv 2002/58/EF. For at fortsætte med at anvende sådanne frivillige foranstaltninger efter den 20. december 2020 bør udbydere opfylde betingelserne i nærværende forordning. Forordning (EU) 2016/679 vil fortsat finde anvendelse på behandling af personoplysninger, der udføres ved hjælp af sådanne frivillige foranstaltninger.

(10)

Direktiv 2002/58/EF indeholder ingen specifikke bestemmelser om udbyderes behandling af personoplysninger i forbindelse med ydelse af elektroniske kommunikationstjenester med det formål at opdage seksuelt misbrug af børn online på deres tjenester og indberette det og fjerne online materiale, der viser seksuelt misbrug af børn, fra deres tjenester. I henhold til artikel 15, stk. 1, i direktiv 2002/58/EF kan medlemsstaterne imidlertid vedtage retsforskrifter med henblik på at indskrænke rækkevidden af de rettigheder og forpligtelser, der er omhandlet bl.a. i nævnte direktivs artikel 5 og 6, som vedrører kommunikationshemmeligheden og trafikdata, med henblik på forebyggelse, afsløring, efterforskning og retsforfølgning af strafbare handlinger knyttet til seksuelt misbrug af børn. I mangel af sådanne nationale retsforskrifter og i afventning af vedtagelsen af en mere langsigtet retlig ramme for bekæmpelse af seksuelt misbrug af børn på EU-plan kan udbydere ikke længere påberåbe sig forordning (EU) 2016/679 som grundlag for at fortsætte med at bruge frivillige foranstaltninger for at opdage seksuelt misbrug af børn online på deres tjenester og indberette det og for at fjerne online materiale, der viser seksuelt misbrug af børn, fra deres tjenester efter den 21. december 2020. Nærværende forordning fastsætter ikke noget retsgrundlag for udbyderes behandling af personoplysninger med det ene formål at afsløre seksuelt misbrug af børn online på deres tjenester og indberette det og at fjerne online materiale, der viser seksuelt misbrug af børn, fra deres tjenester, men den fastsætter, at der kan gøres en undtagelse fra visse bestemmelser i direktiv 2002/58/EF. Nærværende forordning fastsætter yderligere garantier, som skal respekteres af udbyderne, hvis de ønsker at påberåbe sig den.

(11)

Behandlingen af oplysninger med henblik på denne forordning vil kunne indebære behandling af særlige kategorier af personoplysninger som fastsat i forordning (EU) 2016/679. Behandling af billeder og videoer ved hjælp af specifikke tekniske midler, der muliggør en entydig identifikation eller autentificering af en fysisk person, betragtes som behandling af særlige kategorier af personoplysninger.

(12)

Nærværende forordning foreskriver en midlertidig undtagelse fra artikel 5, stk. 1, og artikel 6, stk. 1, i direktiv 2002/58/EF, som beskytter kommunikationshemmeligheden og trafikdata. Udbyderes frivillige brug af teknologier til at behandle personoplysninger og andre data i det omfang, det er nødvendigt for at opdage seksuelt misbrug af børn online på deres tjenester og indberette det og at fjerne online materiale, der viser seksuelt misbrug af børn, fra deres tjenester hører under anvendelsesområdet for undtagelsen foreskrevet i denne forordning, forudsat at sådan brug opfylder betingelserne fastlagt i denne forordning, og er derfor er underlagt de garantier og betingelser, der er fastlagt i forordning (EU) 2016/679.

(13)

Direktiv 2002/58/EF blev vedtaget på grundlag af artikel 114 i traktaten om Den Europæiske Unions funktionsmåde (TEUF). Derudover har ikke alle medlemsstater vedtaget lovgivningsmæssige foranstaltninger i overensstemmelse med direktiv 2002/58/EF for at begrænse anvendelsesområdet for de rettigheder og forpligtelser, der vedrører kommunikationshemmeligheden og trafikdata som fastsat i nævnte direktiv, og vedtagelsen af sådanne foranstaltninger indebærer en betydelig risiko for fragmentering, der sandsynligvis vil påvirke det indre marked negativt. Som følge heraf bør denne forordning baseres på artikel 114 i TEUF.

(14)

Eftersom data relateret til elektronisk kommunikation, der involverer fysiske personer, sædvanligvis betragtes som personoplysninger, bør denne forordning også baseres på artikel 16 i TEUF, som udgør et specifikt retsgrundlag for vedtagelsen af regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger foretaget af Unionens institutioner, organer, kontorer og agenturer samt af medlemsstaterne under udøvelse af aktiviteter, der er omfattet af EU-retten, og regler for den frie udveksling af personoplysninger.

(15)

Forordning (EU) 2016/679 finder anvendelse på behandling af personoplysninger i forbindelse med udbyderes udbud af elektroniske kommunikationstjenester med det ene formål at opdage seksuelt misbrug af børn online på deres tjenester og indberette det og at fjerne online materiale, der viser seksuelt misbrug af børn, fra deres tjenester i det omfang denne behandling er omfattet af anvendelsesområdet for undtagelsen i nærværende forordning.

(16)

De typer teknologier, der anvendes med henblik på denne forordning, bør være dem, der griber mindst muligt ind i privatlivets fred i overensstemmelse med det aktuelle tekniske niveau i branchen. Disse teknologier bør ikke anvendes til systematisk filtrering og scanning af tekst i kommunikation, medmindre det udelukkende tjener til at afsløre mønstre, der peger på mulige konkrete grunde til at mistænke seksuelt misbrug af børn online, og de bør ikke være i stand til at udlede substansen af kommunikationens indhold. I tilfælde af teknologi, der anvendes til at identificere hvervning af børn, bør sådanne konkrete grunde til mistanke baseres på objektivt identificerede risikofaktorer såsom aldersforskel og sandsynligheden for, at et barn er involveret i den scannede kommunikation.

(17)

Passende procedurer og klagemekanismer bør være på plads for at sikre, at enkeltpersoner kan klage til udbyderne. Sådanne procedurer og klagemekanismer er navnlig relevante, hvor indhold, der ikke udgør seksuelt misbrug af børn online, er blevet fjernet eller indberettet til retshåndhævende myndigheder eller til en organisation, der handler i offentlighedens interesse mod seksuelt misbrug af børn online.

(18)

For at sikre nøjagtigheden og pålideligheden så meget som muligt bør den teknologi, der anvendes med henblik på denne forordning, i overensstemmelse med det aktuelle tekniske niveau i branchen begrænse antallet og andel af fejl (falske positiver) i videst muligt omfang og bør, hvor det er nødvendigt, straks berigtige sådanne fejl, der alligevel måtte forekomme.

(19)

De indholdsdata og trafikdata, der behandles, og de personoplysninger, der genereres i forbindelse med udførelse af de aktiviteter, der er omfattet af denne forordning, samt den periode, hvor dataene efterfølgende lagres i tilfælde af identifikation af formodet seksuelt misbrug af børn online, bør forblive begrænsede til, hvad der er strengt nødvendigt for at udføre disse aktiviteter. Alle data bør straks og permanent slettes, så snart de ikke længere er strengt nødvendige for et af de formål, der er angivet i denne forordning, herunder hvor der ikke er identificeret formodet seksuelt misbrug af børn online, og under alle omstændigheder senest 12 måneder efter opdagelsen af det formodede seksuelle misbrug af børn. Dette bør ikke berøre muligheden for at lagre relevant indholdsdata og trafikdata i overensstemmelse med direktiv 2002/58/EF. Denne forordning berører ikke anvendelsen af en eventuel retlig forpligtelse i henhold til EU-retten eller national ret til at opbevare data, som gælder for udbydere.

(20)	Denne forordning forhindrer ikke en udbyder, der har indberettet seksuelt misbrug af børn online til de retshåndhævende myndigheder, i at anmode disse myndigheder om at bekræfte modtagelse af indberetningen.

(21)

For at sikre gennemsigtighed og ansvarlighed i forbindelse med de aktiviteter, der foretages i henhold til undtagelsen, der er foreskrevet ved denne forordning, bør udbydere senest den 3. februar 2022 og herefter senest den 31. januar hvert år offentliggøre og forelægge rapporter for den kompetente tilsynsmyndighed udpeget i henhold til forordning (EU) 2016/679 (»tilsynsmyndighed«) og for Kommissionen. Sådanne rapporter bør omfatte behandling, der falder ind under nærværende forordnings anvendelsesområde, herunder typen og mængden af de behandlede data, det specifikke grundlag for behandlingen af personoplysninger i henhold til forordning (EU) 2016/679, grundlaget for overførsler af personoplysninger ud af Unionen i henhold til kapitel V i forordning (EU) 2016/679, hvor det er relevant, antallet af identificerede tilfælde af seksuelt misbrug af børn online, idet der skelnes mellem online materiale, der viser seksuelt misbrug af børn, og hvervning af børn, antallet af tilfælde, hvor en bruger har indgivet en klage til den interne klagemekanisme eller anmodet om retsmidler, samt resultatet af sådanne klager og retsprocedurer, antallet og andelen af fejl (falske positiver) for de forskellige anvendte teknologier, de foranstaltninger, der træffes for at begrænse fejlprocenten, og den fejlprocent, der er opnået, opbevaringspolitikken og de databeskyttelsesgarantier, der er anvendt i henhold til forordning (EU) 2016/679, og navnene på de organisationer, som handler i offentlighedens interesse mod seksuelt misbrug af børn, og med hvilke data er blevet delt i overensstemmelse med nærværende forordning.

(22)

For at støtte tilsynsmyndighederne med deres opgaver bør Kommissionen anmode Det Europæiske Databeskyttelsesråd om at udstede retningslinjer om overholdelsen af forordning (EU) 2016/679 for så vidt angår den behandling, der falder ind under anvendelsesområdet for den undtagelse, der er fastsat i nærværende forordning. Når tilsynsmyndighederne vurderer, hvorvidt en etableret eller ny teknologi, der skal anvendes, er i overensstemmelse med det aktuelle tekniske niveau i branchen, er den mindst indgribende i privatlivets fred og fungerer på et passende retsgrundlag i henhold til forordning (EU) 2016/679, bør disse retningslinjer navnlig hjælpe tilsynsmyndighederne med at give rådgivning inden for rammerne af proceduren for forudgående høring, der er fastsat i nævnte forordning.

(23)

Nærværende forordning begrænser retten til beskyttelse af kommunikationshemmeligheden og udgør en undtagelse fra den afgørelse, der er truffet i henhold til direktiv (EU) 2018/1972, om, at nummeruafhængige interpersonelle kommunikationstjenester er underlagt de samme regler, som gælder for alle andre elektroniske kommunikationstjenester for så vidt angår privatlivets fred, med det ene formål at opdage seksuelt misbrug af børn online på disse tjenester og indberette det til de retshåndhævende myndigheder eller til organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn og fjerne online materiale, der viser seksuelt misbrug af børn, fra disse tjenester. Denne forordnings anvendelsesperiode bør derfor begrænses til tre år fra dens anvendelsesdato for at give tilstrækkelig tid til at vedtage en ny, langsigtet retlig ramme. Hvor den langsigtede retlige ramme vedtages og træder i kraft inden den nævnte dato, bør den langsigtede retlige ramme ophæve denne forordning.

(24)

Med hensyn til alle andre aktiviteter, der falder ind under anvendelsesområdet for direktiv 2002/58/EF, bør udbydere være omfattet af de specifikke forpligtelser, der er fastsat i nævnte direktiv, og dermed af de tilsyns- og undersøgelsesbeføjelser, der er tillagt de kompetente myndigheder, som er udpeget i henhold til nævnte direktiv.

(25)

End-to-end-kryptering er et vigtigt værktøj til at sikre sikkerheden og fortroligheden af brugeres, herunder børns, kommunikation. En hvilken som helst svækkelse af kryptering kan potentielt misbruges af ondsindede tredjeparter. Intet i denne forordning bør derfor fortolkes som forbud mod eller svækkelse af end-to-end-kryptering.

(26)

Retten til respekt for privatliv og familieliv, herunder kommunikationshemmeligheden, er en grundlæggende rettighed, som er sikret i chartrets artikel 7. Den er således også en forudsætning for sikker kommunikation mellem ofre for seksuelt misbrug af børn og en betroet voksen eller organisationer, der er aktive i bekæmpelsen af seksuelt misbrug af børn, samt for kommunikation mellem ofre og deres advokater.

(27)

Denne forordning bør ikke berøre regler om tavshedspligt i national ret såsom reglerne om beskyttelse af erhvervsmæssig kommunikation mellem læger og deres patienter, mellem journalister og deres kilder eller mellem advokater og deres klienter, navnlig fordi kommunikationshemmeligheden mellem advokater og deres klienter er helt afgørende for at sikre en effektiv udøvelse af retten til forsvar som en væsentlig del af retten til en retfærdig rettergang. Denne forordning bør heller ikke berøre nationale regler om registre over offentlige myndigheder eller organisationer, der tilbyder rådgivning til personer i nød.

(28)

Udbydere bør meddele Kommissionen navnene på de organisationer, som handler i offentlighedens interesse mod seksuelt misbrug af børn, og som de indberetter potentielt seksuelt misbrug af børn online til i henhold til denne forordning. Selv om det er udbyderne, der som følge af deres funktion som dataansvarlige har eneansvaret for at vurdere, hvilken tredjepart de kan dele personoplysninger med i henhold til forordning (EU) 2016/679, bør Kommissionen sikre gennemsigtighed med hensyn til overførsel af potentielle tilfælde af seksuelt misbrug af børn online ved på sit websted at offentliggøre en liste over de organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn, som den har fået meddelelse om. Denne offentlige liste bør være let tilgængelig. Det bør også være muligt for udbydere at anvende denne liste til at identificere relevante organisationer i den globale kamp mod seksuelt misbrug af børn online. Denne liste bør ikke berøre de forpligtelser, der påhviler udbyderne som følge af deres funktion som dataansvarlige i henhold til forordning (EU) 2016/679, herunder for så vidt angår deres forpligtelse til at foretage enhver overførsel af personoplysninger ud af Unionen i henhold til nævnte forordnings kapitel V og deres forpligtelse til at opfylde alle forpligtelser i henhold til nævnte forordnings kapitel IV.

(29)

De statistikker, som skal indgives af medlemsstaterne i henhold til denne forordning, er vigtige indikatorer for evalueringen af politikker, herunder lovgivningsmæssige foranstaltninger. Desuden er det vigtigt at anerkende virkningen af sekundær viktimisering, som er iboende i deling af billeder og videoer af ofre for seksuelt misbrug af børn, som kan have været i cirkulation i årevis, og som ikke afspejles fuldt ud i sådanne statistikker.

(30)

I overensstemmelse med kravene fastsat i forordning (EU) 2016/679, navnlig kravet om, at medlemsstaterne skal sikre, at tilsynsmyndighederne råder over de menneskelige, tekniske og finansielle ressourcer, der er nødvendige for, at de effektivt kan udføre deres opgaver og udøve deres beføjelser, bør medlemsstaterne sikre, at tilsynsmyndighederne har tilstrækkelige ressourcer til effektivt at udføre deres opgaver og udøve deres beføjelser i henhold til nærværende forordning.

(31)

Hvor en udbyder har gennemført en konsekvensanalyse vedrørende databeskyttelse og hørt tilsynsmyndighederne med hensyn til en teknologi i overensstemmelse med forordning (EU) 2016/679 forud for nærværende forordnings ikrafttræden, bør denne udbyder ikke være forpligtet under nærværende forordning til at foretage endnu en konsekvensanalyse vedrørende databeskyttelse eller en høring, forudsat at tilsynsmyndighederne har tilkendegivet, at behandlingen af data ved hjælp af den pågældende teknologi ikke vil medføre en høj risiko for fysiske personers rettigheder og frihedsrettigheder, eller at den dataansvarlige har truffet foranstaltninger til at begrænse en sådan risiko.

(32)

Brugerne bør have ret til effektive retsmidler, hvor deres rettigheder er blevet krænket som følge af behandling af personoplysninger og andre data, med det formål at opdage seksuelt misbrug af børn online på nummeruafhængige interpersonelle kommunikationstjenester og indberette det og at fjerne online materiale, der viser seksuelt misbrug af børn, fra disse tjenester, for eksempel hvor en brugers indhold eller identitet er blevet indberettet til en organisation, der handler i offentlighedens interesse mod seksuelt misbrug af børn, eller til retshåndhævende myndigheder, eller hvor en brugers indhold er blevet fjernet, eller en brugers konto er blevet spærret, eller en tjeneste, der tilbydes en bruger, er blevet suspenderet.

(33)	I overensstemmelse med direktiv 2002/58/EF og princippet om dataminimering bør behandlingen af personoplysninger og andre data begrænses til indholdsdata og relaterede trafikdata, i det omfang det er strengt nødvendigt for at opfylde denne forordnings formål.

(34)

Den undtagelse, der foreskrives ved denne forordning, bør omfatte de kategorier af oplysninger, der er omhandlet i artikel 5, stk. 1, og artikel 6, stk. 1, i direktiv 2002/58/EF, som finder anvendelse på behandling af både personoplysninger og andre data end personoplysninger, der behandles i forbindelse med ydelse af en nummeruafhængig interpersonel kommunikationstjeneste.

(35)

Denne forordnings mål er at indføre en midlertidig undtagelse fra visse bestemmelser i direktiv 2002/58/EF uden at skabe fragmentering på det indre marked. Derudover er det usandsynligt, at alle medlemsstater vil kunne vedtage nationale lovgivningsmæssige foranstaltninger i tide. Målet for denne forordning kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål. Den indfører en midlertidig og strengt begrænset undtagelse fra anvendelsen af artikel 5, stk. 1, og artikel 6, stk. 1, i direktiv 2002/58/EF med en række garantier, der sikrer, at den ikke går videre, end hvad der er nødvendigt for at nå det fastsatte mål.

(36)	Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (8) og afgav en udtalelse den 10. november 2020 —

VEDTAGET DENNE FORORDNING:

Artikel 1

Genstand og anvendelsesområde

1. Denne forordning fastsætter midlertidige og strengt begrænsede regler, der undtager fra visse forpligtelser, der er fastsat i direktiv 2002/58/EF, med det ene formål at gøre det muligt for visse udbydere af nummeruafhængige interpersonelle kommunikationstjenester (»udbydere«) at anvende, uden at det berører forordning (EU) 2016/679, specifikke teknologier til behandling af personoplysninger og andre data, i det omfang det er strengt nødvendigt for at opdage seksuelt misbrug af børn online på deres tjenester og indberette det og for at fjerne online materiale, der viser seksuelt misbrug af børn, fra deres tjenester.

2. Denne forordning finder ikke anvendelse på scanning af lydkommunikation.

Artikel 2

Definitioner

I denne forordning forstås ved:

1)	»nummeruafhængig interpersonel kommunikationstjeneste«: en nummeruafhængig interpersonel kommunikationstjeneste som defineret i artikel 2, nr. 7, i direktiv (EU) 2018/1972

»online materiale, der viser seksuelt misbrug af børn«:

a)	børnepornografi som defineret i artikel 2, litra c), i direktiv 2011/93/EU

b)	pornografisk optræden som defineret i artikel 2, litra e), i direktiv 2011/93/EU

3)	»hvervning af børn«: en forsætlig adfærd, som udgør en strafbar handling i henhold til artikel 6 i direktiv 2011/93/EF

4)	»seksuelt misbrug af børn online«: online materiale, der viser seksuelt misbrug af børn og hvervning af børn.

Artikel 3

Undtagelsens anvendelsesområde

1. Artikel 5, stk. 1, og artikel 6, stk. 1, i direktiv 2002/58/EF finder ikke anvendelse på kommunikationshemmeligheden ved kommunikation, der omfatter udbyderes behandling af personoplysninger og andre data i forbindelse med udbud af nummeruafhængige interpersonelle kommunikationstjenester, forudsat at:

behandlingen:

er strengt nødvendig for at anvende specifik teknologi med det ene formål at opdage og fjerne online materiale, der viser seksuelt misbrug af børn, og indberette det til retshåndhævende myndigheder og til organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn, og at opdage hvervning af børn og indberette det til retshåndhævende myndigheder eller til organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn

ii)	står i rimeligt forhold til formålet og er begrænset til teknologier, som af udbydere anvendes udelukkende til det formål, der er fastsat i nr. i)

iii)	er begrænset til indholdsdata og relateret trafikdata, der er strengt nødvendige til det formål, der er fastsat i nr. i)

iv)	er begrænset til, hvad der er strengt nødvendigt til det formål, der er fastsat i nr. i)

de teknologier, der anvendes til det formål, der er fastsat i dette stykkes litra a), nr. i), er i overensstemmelse med det aktuelle tekniske niveau i branchen og griber mindst muligt ind i privatlivets fred, herunder med hensyn til princippet om databeskyttelse gennem design og gennem standardindstillinger, der er fastsat i artikel 25 i forordning (EU) 2016/679, og disse teknologier ikke, i det omfang de anvendes til at scanne tekst i kommunikation, er i stand til at udlede kommunikationens indhold, men udelukkende er i stand til at opdage mønstre, der tyder på muligt seksuelt misbrug af børn online

der, for så vidt angår enhver specifik teknologi, der anvendes til det formål, der er fastsat i dette stykkes litra a), nr. i), er gennemført en forudgående konsekvensanalyse vedrørende databeskyttelse som omhandlet i artikel 35 i forordning (EU) 2016/679 og en forudgående høringsprocedure som omhandlet i nævnte forordnings artikel 36

udbyderen for så vidt angår ny teknologi, forstået som teknologi, der anvendes med det formål at opdage online materiale, der viser seksuelt misbrug af børn, og som ikke er blevet anvendt af nogen udbyder i forbindelse med tjenester, der leveres til brugere af nummeruafhængige interpersonelle kommunikationstjenester (»brugere«), i Unionen, før den 2. august 2021, og for så vidt angår teknologi, der anvendes med det formål at identificere mulig hvervning af børn, rapporterer tilbage til den kompetente myndighed om de foranstaltninger, der er truffet for at påvise overholdelse af skriftlig rådgivning, der er givet i overensstemmelse med artikel 36, stk. 2, i forordning (EU) 2016/679, af den kompetente tilsynsmyndighed, der er udpeget i henhold til nævnte forordnings kapitel VI, afdeling 1, (»tilsynsmyndighed«) som led i den forudgående høringsprocedure.

e)	de anvendte teknologier er tilstrækkeligt pålidelige, idet de i videst muligt omfang begrænser fejlraten med hensyn til opdagelse af indhold, der udgør seksuelt misbrug af børn online, og der, hvor sådanne lejlighedsvise fejl opstår, straks rettes op på følgerne

de teknologier, der anvendes til at opdage mønstre for mulig hvervning af børn, er begrænset til brug af relevante nøgleindikatorer og objektivt identificerede risikofaktorer såsom aldersforskel og sandsynligheden for, at et barn er involveret i den scannede kommunikation, uden at det berører retten til menneskelig gennemgang

udbyderne:

i)	har indført interne procedurer for at forhindre misbrug af, uautoriseret adgang til og uautoriserede overførsler af personoplysninger og andre data

ii)	sikrer menneskelig overvågning af og, hvor det er nødvendigt, menneskelig indgriben i behandlingen af personoplysninger og andre data ved hjælp af teknologier, der er omfattet af denne forordning

iii)

sikrer, at der ikke uden forudgående menneskelig bekræftelse indberettes materiale, der ikke tidligere er identificeret som online materiale, der viser seksuelt misbrug af børn, eller hvervning af børn, til retshåndhævende myndigheder eller organisationer, der handler i offentlighedens interesse mod misbrug af børn

iv)	har indført passende procedurer og klagemekanismer for at sikre, at brugere kan indgive klager dertil inden for en rimelig tidsfrist med det formål at fremlægge deres synspunkter

oplyse brugere på en klar, fremtrædende og forståelig måde om, at udbyderne i overensstemmelse med denne forordning har påberåbt sig undtagelsen fra artikel 5, stk. 1, og artikel 6, stk. 1, i direktiv 2002/58/EF vedrørende brugeres kommunikationshemmelighed med det ene formål, der er fastsat i nærværende stykkes litra a), nr. i), logikken bag de foranstaltninger, udbyderne har truffet i henhold til undtagelsen, og indvirkningen på brugeres kommunikationshemmelighed, herunder muligheden for, at personoplysninger deles med retshåndhævende myndigheder og organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn

vi)

oplyse brugere om følgende, hvor deres indhold er blevet fjernet, eller deres konto er blevet spærret, eller en tjeneste, der tilbydes dem, er blevet suspenderet:

1)	klagemulighederne hos udbyderne

2)	muligheden for at indgive en klage til en tilsynsmyndighed og

3)	retten til domstolsprøvelse

vii)

senest den 3. februar 2022 og herefter senest den 31. januar hvert år offentliggør og forelægger for den kompetente tilsynsmyndighed og Kommissionen en rapport om behandlingen af personoplysninger i henhold til denne forordning, herunder om:

1)	typen og mængden af behandlede data

2)	det specifikke grundlag for behandlingen i henhold til forordning (EU) 2016/679

3)	grundlaget for overførsler af personoplysninger ud af Unionen i henhold til kapitel V i forordning (EU) 2016/679, hvor det er relevant

4)	antallet af identificerede tilfælde af seksuelt misbrug af børn online, idet der skelnes mellem online materiale, der viser misbrug af børn, og hvervning af børn

5)	antallet af tilfælde, hvor en bruger har indgivet en klage til den interne klagemekanisme eller til en judiciel myndighed, samt resultatet af sådanne klager

6)	antallet og andelen af fejl (falske positiver) for de forskellige anvendte teknologier

7)	de foranstaltninger, der træffes for at begrænse fejlprocenten, og den fejlprocent, der opnås

8)	opbevaringspolitikken og de databeskyttelsesgarantier, der er anvendt i henhold til forordning (EU) 2016/679

9)	navnene på de organisationer, som handler i offentlighedens interesse mod seksuelt misbrug af børn, og med hvilke data er blevet delt i henhold til nærværende forordning

hvis der er identificeret formodet seksuelt misbrug af børn online, lagres de indholdsdata og relaterede trafikdata, som behandles med henblik på formålet i litra a), nr. i), samt personoplysninger, der genereres ved en sådan behandling, på sikker vis og udelukkende til følgende formål:

i)	for straks at indberette det formodede seksuelle misbrug af børn online til de kompetente retshåndhævende og retslige myndigheder eller organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn

ii)	for at spærre den pågældende brugers konto eller suspendere eller bringe leveringen af tjenesteydelsen til denne bruger til ophør

iii)	for at skabe en unik, ikkekonvertibel digital signatur (»hash«) af data, der pålideligt er identificeret som online materiale, der viser seksuelt misbrug af børn

iv)	for at give den pågældende bruger mulighed for at klage til udbyderen eller iværksætte administrativ prøvelse eller domstolsprøvelse af spørgsmål vedrørende det formodede seksuelle misbrug af børn eller

v)	for at besvare anmodninger fra kompetente retshåndhævende og retlige myndigheder i overensstemmelse med gældende ret om at give dem de nødvendige oplysninger med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger som fastsat i direktiv 2011/93/EU

i)	dataene lagres ikke længere end strengt nødvendigt til det relevante formål, der er fastsat i litra h), og under ingen omstændigheder længere end 12 måneder fra datoen for opdagelsen af det formodede seksuelle misbrug af børn online

j)	alle tilfælde af begrundet og verificeret mistanke om seksuelt misbrug af børn online indberettes straks til de kompetente nationale retshåndhævende myndigheder eller til organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn.

2. Indtil den 3. april 2022 gælder betingelsen fastsat i stk. 1, litra c), ikke for udbydere, som

a)	anvendte en specifik teknologi før den 2. august 2021 med det i stk. 1, litra a), nr. i), omhandlede formål uden forinden at have afsluttet en forudgående høringsprocedure vedrørende den pågældende teknologi

b)	indleder en forudgående høringsprocedure før den 3. september 2021, og

c)	samarbejder behørigt med den kompetente tilsynsmyndighed i forbindelse med den forudgående høringsprocedure, der er omhandlet i litra b).

3. Indtil den 3. april 2022 gælder betingelsen fastsat i stk. 1, litra d), ikke for udbydere, som:

a)	anvendte en teknologi som omhandlet i stk. 1, litra d), før den 2. august 2021 uden forinden at have afsluttet en forudgående høringsprocedure vedrørende den pågældende teknologi

b)	indleder en procedure som omhandlet i stk. 1, litra d), før den 3. september 2021 og

c)	samarbejder behørigt med den kompetente tilsynsmyndighed i forbindelse med proceduren, der er omhandlet i stk. 1, litra d).

Artikel 4

Retningslinjer fra Det Europæiske Databeskyttelsesråd

Senest den 3. september 2021 og i henhold til artikel 70 i forordning (EU) 2016/679 anmoder Kommissionen Det Europæiske Databeskyttelsesråd om at udstede retningslinjer med det formål at bistå tilsynsmyndighederne med at vurdere, hvorvidt den behandling, der falder inden for nærværende forordnings anvendelsesområde, vedrørende eksisterende og nye teknologier, som anvendes til det i nærværende forordnings artikel 3, stk. 1, litra a), nr. i), fastsatte formål, overholder forordning (EU) 2016/679.

Artikel 5

Effektive retsmidler

I overensstemmelse med artikel 79 i forordning (EU) 2016/679 og artikel 15, stk. 2, i direktiv 2002/58/EF har brugere ret til effektive retsmidler, hvor de finder, at deres rettigheder er blevet krænket som følge af behandlingen af personoplysninger og andre data til de formål, der er fastsat i nærværende forordnings artikel 3, stk. 1, litra a), nr. i).

Artikel 6

Tilsynsmyndigheder

De tilsynsmyndigheder, der er udpeget i henhold til kapitel VI, afdeling 1, i forordning (EU) 2016/679, overvåger den behandling, der falder ind under nærværende forordnings anvendelsesområde, i overensstemmelse med deres kompetencer og beføjelser i henhold til nævnte kapitel.

Artikel 7

Offentlig liste over organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn

1. Senest den 3. september 2021 meddeler udbydere Kommissionen en liste indeholdende navnene på organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn, og til hvilke de rapporterer seksuelt misbrug af børn online. Udbydere skal regelmæssigt meddele Kommissionen eventuelle ændringer af denne liste.

2. Senest den 3. oktober 2021 gør Kommissionen en liste offentligt tilgængelig indeholdende navnene på de organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn, og som den er blevet meddelt i henhold til stk. 1. Kommissionen holder denne offentlige liste ajourført.

Artikel 8

Statistikker

1. Senest den 3. august 2022 og derefter hvert år skal medlemsstaterne gøre offentligt tilgængelig og forelægge rapporter for Kommissionen med statistikker om følgende:

det samlede antal indberetninger af opdaget seksuelt misbrug af børn online, som udbydere og organisationer, der handler i offentlighedens interesse mod seksuelt misbrug af børn, har forelagt for de kompetente nationale retshåndhævende myndigheder, idet der, så vidt sådanne oplysninger er til rådighed, skelnes mellem det absolutte antal sager og sager, der er indberettet flere gange, samt typen af udbyder, på hvis tjeneste det seksuelle misbrug af børn online blev opdaget

b)	antallet af børn, der er identificeret gennem tiltag i henhold til artikel 3, opdelt efter køn

c)	antallet af gerningsmænd, som er blevet dømt.

2. Kommissionen aggregerer de statistikker, der er omhandlet i denne artikels stk. 1, og tager dem i betragtning ved udarbejdelsen af gennemførelsesrapporten i henhold til artikel 9.

Artikel 9

Gennemførelsesrapport

1. På grundlag af de rapporter, der indgives i henhold til artikel 3, stk. 1, litra g), nr. vii), og de statistikker, der indgives i henhold til artikel 8, udarbejder Kommissionen senest den 3. august 2023 en rapport om denne forordnings gennemførelse og forelægger og præsenterer den for Europa-Parlamentet og Rådet.

2. I gennemførelsesrapporten overvejer Kommissionen navnlig:

a)	betingelserne for behandling af personoplysninger og andre data, der er fastsat i artikel 3, stk. 1, litra a), nr. ii), og litra b), c) og d)

b)	proportionaliteten af den undtagelse, der er fastsat ved denne forordning, herunder en vurdering af de statistikker, som medlemsstaterne har forelagt i henhold til artikel 8

c)	udviklingen i teknologiske fremskridt vedrørende de aktiviteter, der er omfattet af denne forordning, og i hvilket omfang en sådan udvikling forbedrer nøjagtigheden og reducerer antallet og andelen af fejl (falske positiver).

Artikel 10

Ikrafttræden og anvendelse

Denne forordning træder i kraft på tredjedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den finder anvendelse indtil den 3. august 2024.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 14. juli 2021.

På Europa-Parlamentets vegne

D. M. SASSOLI

Formand

På Rådets vegne

A. LOGAR

Formand

(1) EUT C 10 af 11.1.2021, s. 63.

(2) Europa-Parlamentets holdning af 6.7.2021 (endnu ikke offentliggjort i EUT) og Rådets afgørelse af 12.7.2021.

(3) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).

(4) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(5) Europa-Parlamentets og Rådets direktiv 2002/21/EF af 7. marts 2002 om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (rammedirektivet) (EFT L 108 af 24.4.2002, s. 33).

(6) Europa-Parlamentets og Rådets direktiv (EU) 2018/1972 af 11. december 2018 om oprettelse af en europæisk kodeks for elektronisk kommunikation (EUT L 321 af 17.12.2018, s. 36).

(7) Europa-Parlamentets og Rådets direktiv 2011/93/EU af 13. december 2011 om bekæmpelse af seksuelt misbrug og seksuel udnyttelse af børn og børnepornografi og om erstatning af Rådets rammeafgørelse 2004/68/RIA (EUT L 335 af 17.12.2011, s. 1).

(8) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

Top

All

Choose the experimental features you want to try