02009L0136 — DA — 21.12.2020 — 001.001

Denne tekst tjener udelukkende som dokumentationsværktøj og har ingen retsvirkning. EU's institutioner påtager sig intet ansvar for dens indhold. De autentiske udgaver af de relevante retsakter, inklusive deres betragtninger, er offentliggjort i den Europæiske Unions Tidende og kan findes i EUR-Lex. Disse officielle tekster er tilgængelige direkte via linkene i dette dokument

►B

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 2009/136/EF

af 25. november 2009

om ændring af direktiv 2002/22/EF om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester, direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og forordning (EF) nr. 2006/2004 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse

(EØS-relevant tekst)

(EUT L 337 af 18.12.2009, s. 11)

Ændret ved:

 

 

Tidende

  nr.

side

dato

►M1

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2018/1972 EØS-relevant tekst af 11. december 2018

  L 321

36

17.12.2018


Berigtiget ved:

►C1

Berigtigelse, EUT L 241, 10.9.2013, s.  9 (2009/136/EF)

►C2

Berigtigelse, EUT L 162, 23.6.2017, s.  56 (2009/136/EF)



▼B

EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 2009/136/EF

af 25. november 2009

om ændring af direktiv 2002/22/EF om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester, direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og forordning (EF) nr. 2006/2004 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse

(EØS-relevant tekst)



▼M1 —————

▼B

Artikel 2

Ændringer til direktiv 2002/58/EF (direktivet om databeskyttelse inden for elektronisk kommunikation)

I direktiv 2002/58/EF (direktiv om databeskyttelse inden for elektronisk kommunikation) foretages følgende ændringer:

1) 

Artikel 1, stk. 1, affattes således:

»1.  
Dette direktiv tager sigte på en harmonisering af nationale bestemmelser, der er nødvendig for at sikre et ensartet niveau i beskyttelsen af de grundlæggende rettigheder og frihedsrettigheder og navnlig retten til privatliv og fortrolighed i forbindelse med behandling af personoplysninger inden for den elektroniske kommunikationssektor, og for at sikre fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og elektroniske kommunikationstjenester i Fællesskabet.«
2) 

I artikel 2 foretages følgende ændringer:

a) 

Litra c) affattes således:

»c) 

»lokaliseringsdata«: data, som behandles i et elektronisk kommunikationsnet eller af en elektronisk kommunikationstjeneste og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender«.

b) 

Litra e) udgår.

►C1  c) 

Følgende litra tilføjes:

»i) 

»brud på persondatasikkerheden«: ◄ et sikkerhedsbrud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata, der sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af offentligt tilgængelige kommunikationstjenester i Fællesskabet.«

3) 

Artikel 3 affattes således:

»Artikel 3

Omfattede tjenester

Dette direktiv finder anvendelse på behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Fællesskabet, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr.«

4) 

I artikel 4 foretages følgende ændringer:

a) 

Overskriften affattes således:

»Sikkerhed i forbindelse med behandlingen«.

b) 

Følgende stykke indsættes:

»1a.  

Uden at det berører direktiv 95/46/EF, skal de i stk. 1 omhandlede foranstaltninger som minimum:

— 
sikre, at kun autoriserede personer får adgang til personoplysningerne til lovlige formål
— 
beskytte lagrede eller sendte personoplysninger mod hændelig eller ulovlig tilintetgørelse, hændeligt tab eller ændring og ubeføjet eller ulovlig lagring, behandling, adgang eller videregivelse, og
— 
gennemføre en sikkerhedspolitik for behandling af personoplysninger.

De relevante nationale myndigheder skal kunne kontrollere foranstaltninger truffet af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og udstede henstillinger om bedste praksis vedrørende det sikkerhedsniveau, som disse foranstaltninger bør føre til.«

c) 

Følgende stykker tilføjes:

»3.  

Sker der et brud på persondatasikkerheden, skal udbyderen af offentligt tilgængelige kommunikationstjenester uden unødig forsinkelse underrette den kompetente nationale myndighed om bruddet.

Når bruddet på persondatasikkerheden kan forventes at krænke personoplysninger eller privatlivets fred for en abonnent eller en fysisk person, underretter udbyderen også abonnenten eller den fysiske person om bruddet uden unødig forsinkelse.

Det er ikke nødvendigt at underrette den pågældende abonnent eller fysiske person om et brud på persondatasikkerheden, hvis den kompetente myndighed finder det godtgjort fra udbyderens side, at denne har gennemført passende teknologiske beskyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på de data, som sikkerhedsbruddet vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.

Uden at det berører udbyderens forpligtelse til at underrette den pågældende abonnent eller fysiske person, kan den kompetente nationale myndighed i tilfælde, hvor udbyderen ikke allerede har underrettet abonnenten eller den fysiske person om bruddet på persondatasikkerheden, og efter at have vurderet bruddets sandsynlige negative virkninger kræve, at udbyderen gør dette.

Underretningen af abonnenten eller den fysiske person skal mindst indeholde en beskrivelse af karakteren af bruddet på persondatasikkerheden og omhandle de kontaktpunkter, hvor der kan indhentes flere oplysninger, og den skal indeholde anbefalinger af, hvordan de mulige negative virkninger af bruddet på persondatasikkerheden kan afbødes. Underretningen til den kompetente nationale myndighed skal derudover beskrive følgerne af bruddet, og hvilke modforholdsregler udbyderen har foreslået eller truffet for at håndtere bruddet på persondatasikkerheden.

4.  

Med forbehold af eventuelle tekniske gennemførelsesforanstaltninger vedtaget i medfør af stk. 5 kan de kompetente nationale myndigheder vedtage retningslinjer og om nødvendigt udstede instrukser om de omstændigheder, hvorunder udbydere skal give underretning om brud på persondatasikkerheden, samt hvilket format og hvilken procedure der skal anvendes ved underretningen. De skal desuden være i stand til at kontrollere, om udbyderne har opfyldt deres underretningspligt efter dette stykke, og pålægge dem passende sanktioner i tilfælde af manglende opfyldelse.

Udbydere skal føre optegnelser over brud på persondatasikkerheden indeholdende oplysninger om omstændighederne omkring bruddene, deres virkninger og de afhjælpende foranstaltninger, der er truffet, og disse optegnelser skal være tilstrækkeligt detaljerede til at sætte de kompetente nationale myndigheder i stand til at kontrollere, om bestemmelserne i stk. 3 er overholdt. Optegnelserne skal kun indeholde de oplysninger, der er nødvendige til dette formål.

5.  

For at sikre en ensartet gennemførelse af de foranstaltninger, der er anført i stk. 2, 3 og 4, kan Kommissionen efter at have hørt Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA), Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, og Den Europæiske Tilsynsførende for Databeskyttelse vedtage tekniske gennemførelsesforanstaltninger om, under hvilke omstændigheder informations- og underretningskravene i denne artikel gælder, samt hvilke former og procedurer der skal anvendes. Når Kommissionen vedtager sådanne foranstaltninger inddrager den alle relevante aktører, særlig med henblik på at blive informeret om de bedste tilgængelige tekniske og økonomiske midler til gennemførelse af denne artikel.

Disse foranstaltninger, der har til formål at ændre ikke-væsentlige bestemmelser i dette direktiv ved at supplere det, vedtages efter forskriftsproceduren med kontrol i artikel 14a, stk. 2.«

5) 

Artikel 5, stk. 3, affattes således:

»3.  

Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«

6) 

Artikel 6, stk. 3, affattes således:

»3.  

Med henblik på markedsføring af elektroniske kommunikationstjenester eller levering af værdiforøgende tjenester er det tilladt udbyderen af en offentligt tilgængelig elektronisk kommunikationstjeneste at behandle de i stk. 1 omtalte oplysninger i det omfang og tidsrum, som sådanne tjenester eller markedsføringen kræver, hvis den abonnent eller bruger, som oplysningerne vedrører, forudgående har givet sit samtykke hertil. Brugeren eller abonnenten skal på et hvilket som helst tidspunkt have mulighed for at trække sit samtykke til behandling af trafikdata tilbage.«

7) 

Artikel 13 affattes således:

»Artikel 13

Uanmodet kommunikation

1.  
Anvendelse af automatiserede opkaldsanordninger og kommunikationssystemer uden menneskelige indgreb (automatisk opkaldsmaskine), telefaxapparater (fax) eller elektronisk post med henblik på direkte markedsføring kan kun tillades over for abonnenter eller brugere, som forudgående har givet deres samtykke hertil.
2.  
Uanset stk. 1 kan en fysisk eller juridisk person, hvis denne fra sine kunder modtager deres egne elektroniske adresseoplysninger vedrørende elektronisk post i forbindelse med salg af et produkt eller en tjenesteydelse i overensstemmelse med direktiv 95/46/EF, anvende disse elektroniske adresseoplysninger til direkte markedsføring af sine egne tilsvarende produkter eller tjenesteydelser, såfremt kunderne klart og utvetydigt har mulighed for let og gebyrfrit at afvise en sådan anvendelse af de elektroniske adresseoplysninger, på det tidspunkt, hvor de indsamles, og ved hver meddelelse, såfremt kunden ikke fra begyndelsen afviste denne anvendelse.
3.  
Medlemsstaterne træffer de fornødne foranstaltninger for at sikre, at uanmodet kommunikation, hvis formål er direkte markedsføring i andre tilfælde end dem, der er nævnt i stk. 1 og 2, ikke er tilladt, enten i forhold til abonnenter eller brugere, som ikke har givet deres samtykke til at modtage sådan kommunikation, eller i forhold til abonnenter eller brugere, som har frabedt sig at modtage sådan kommunikation. Det afgøres i national lovgivning, hvilken af de to muligheder der skal gælde under hensyntagen til, at begge muligheder skal være gebyrfrie for abonnenten eller brugeren.
4.  
Udsendelse af elektronisk post som led i direkte markedsføring, hvorved identiteten af den afsender, på hvis vegne meddelelsen sendes, tilsløres eller holdes skjult, eller i strid med artikel 6 i direktiv 2000/31/EF eller uden en adresse, som modtageren kan henvende sig til for at få standset sådanne henvendelser, eller hvorved modtageren opfordres til at besøge websteder, der er i strid med nævnte artikel, er under alle omstændigheder forbudt.
5.  
Stk. 1 og 3 finder anvendelse på abonnenter, der er fysiske personer. Medlemsstaterne sikrer endvidere inden for rammerne af gældende fællesskabsret og national lovgivning, at de legitime interesser for abonnenter, der ikke er fysiske personer, nyder tilstrækkelig beskyttelse for så vidt angår uanmodet kommunikation.
6.  
►C2  Uden at det berører en eventuel administrativ klageadgang, som blandt andet kan indføres i medfør af artikel 15a, stk. 2, sikrer medlemsstaterne, at fysiske og juridiske personer, der krænkes af overtrædelser af nationale bestemmelser i medfør af denne artikel og derfor har en legitim interesse i, at sådanne overtrædelser bringes til ophør eller forbydes, herunder en udbyder af elektroniske kommunikationstjenester, der vil beskytte sine legitime forretningsinteresser, kan indlede retsforfølgning med hensyn til sådanne overtrædelser. ◄ Medlemsstaterne kan også fastsætte særlige bestemmelser om sanktioner over for udbydere af elektroniske kommunikationstjenester, der ved deres uagtsomhed bidrager til overtrædelser af nationale bestemmelser, der vedtages i henhold til denne artikel.«
8) 

Følgende artikel indsættes:

»Artikel 14a

Udvalgsprocedure

1.  
Kommissionen bistås af det kommunikationsudvalg, der er nedsat ved artikel 22 i direktiv 2002/21/EF (rammedirektivet).
2.  
Når der henvises til dette stykke, anvendes artikel 5a, stk. 1-4, og artikel 7 i afgørelse 1999/468/EF, jf. dennes artikel 8.
3.  
Når der henvises til dette stykke, anvendes artikel 5a, stk. 1, 2, 4 og 6, og artikel 7 i afgørelse 1999/468/EF, jf. dennes artikel 8.«
9) 

I artikel 15 indsættes følgende stykke:

»1b.  
Udbydere skal på grundlag af nationale bestemmelser vedtaget i henhold til stk. 1 fastlægge interne procedurer for behandlingen af anmodninger om adgang til brugeres personlige oplysninger. De skal efter anmodning forelægge den kompetente nationale myndighed oplysninger om disse procedurer, antallet af modtagne anmodninger, den anvendte retlige begrundelse og deres reaktion.«
10) 

Følgende artikel indsættes:

»Artikel 15a

Gennemførelse og håndhævelse

1.  
Medlemsstaterne fastsætter bestemmelser om sanktioner, herunder strafferetlige foranstaltninger, hvis det er relevant, for overtrædelse af de nationale bestemmelser, der er vedtaget i medfør af dette direktiv, og træffer alle nødvendige foranstaltninger til at sikre gennemførelsen heraf. De sanktioner, der pålægges, skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning, og skal kunne anvendes i en periode svarende til overtrædelsens varighed, også selv om overtrædelsen i mellemtiden er bragt til ophør. Medlemsstaterne giver senest den 25. maj 2011 Kommissionen meddelelse om disse sanktionsbestemmelser og giver omgående meddelelse om senere ændringer af betydning for dem.
2.  
Uden at det berører en eventuel klageadgang, sikrer medlemsstaterne, at den kompetente nationale myndighed og, hvor det er relevant, andre nationale organer har beføjelse til at beordre overtrædelser som omhandlet i stk. 1 bragt til ophør.
3.  
Medlemsstaterne sikrer, at den kompetente nationale myndighed, og, hvor det er relevant, andre nationale organer, har de nødvendige beføjelser og ressourcer til efterforskning, herunder beføjelser til at skaffe sig relevante oplysninger, som de måtte have brug for under overvågningen og håndhævelsen af nationale bestemmelser, der er vedtaget i medfør af dette direktiv.
4.  

De relevante nationale tilsynsmyndigheder kan træffe foranstaltninger til at sikre et effektivt samarbejde hen over grænserne om at håndhæve de nationale love, der vedtages i medfør af dette direktiv, og til at tilvejebringe harmoniserede vilkår for udbuddet af tjenester, der medfører datastrømme hen over grænserne.

De nationale tilsynsmyndigheder skal i god tid, inden de træffer sådanne foranstaltninger, tilsende Kommissionen et sammendrag af foranstaltningerne, begrundelsen herfor og den foreslåede fremgangsmåde. Kommissionen kan efter at have undersøgt sådanne oplysninger og hørt Det Europæiske Agentur for Net- og Informationssikkerhed og Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, nedsat ved artikel 29 i direktiv 95/46/EF, fremsætte kommentarer eller henstillinger herom, navnlig med henblik på at sikre, at foranstaltningerne ikke påvirker det indre markeds funktion negativt. De nationale tilsynsmyndigheder skal tage størst muligt hensyn til Kommissionens kommentarer eller henstillinger, når de træffer afgørelse om foranstaltningerne.«

Artikel 3

Ændring af forordning (EF) nr. 2006/2004

I bilaget til Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (forordningen om forbrugerbeskyttelsessamarbejde) tilføjes følgende punkt:

»17. 

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om databeskyttelse inden for elektronisk kommunikation): artikel 13 (EFT L 201 af 31.7.2002, s. 37).«

Artikel 4

Gennemførelse i national ret

1.  

Medlemsstaterne vedtager og offentliggør de nødvendige love og administrative bestemmelser for at efterkomme dette direktiv senest den 25. maj 2011. De meddeler straks Kommissionen teksten til disse love og bestemmelser.

Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.

2.  
Medlemsstaterne meddeler Kommissionen teksten til de vigtigste nationale retsforskrifter, som de udsteder på det område, der er omfattet af dette direktiv.

Artikel 5

Ikrafttræden

Dette direktiv træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Artikel 6

Adressater

Dette direktiv er rettet til medlemsstaterne.

▼M1 —————

▼B



BILAG II



»BILAG VI

INTEROPERABILITET MELLEM DIGITALT FORBRUGERUDSTYR SOM OMHANDLET I ARTIKEL 24

1.   Fælles krypteringsalgoritme og modtagelse af ukrypterede signaler

Alt forbrugerudstyr til modtagelse af konventionelle digitale fjernsynssignaler (f.eks. udsendelse via jordbaseret, kabel- eller satellittransmission primært beregnet for fast modtagelse såsom DVB-T, DVB-C eller DVB-S), som i Fællesskabet sælges, udlejes eller på anden vis stilles til rådighed og anvendes til dekryptering af digitale tv-signaler, skal kunne:

— 
dekryptere signaler baseret på en fælles europæisk krypteringsalgoritme, der administreres af en anerkendt europæisk standardiseringsorganisation, p.t. ETSI
— 
gengive signaler, der transmitteres ukrypteret, forudsat at lejeren overholder den gældende lejeaftale, hvis der er tale om lejet udstyr.

2.   Interoperabilitet mellem analoge og digitale tv-apparater

Alle analoge tv-apparater med indbygget skærm, der markedsføres med henblik på salg eller leje i Fællesskabet, og hvis skærmbillede målt diagonalt er større end 42 cm, skal være udstyret med mindst ét stik baseret på en åben grænseflade i overensstemmelse med standarder udarbejdet af en anerkendt europæisk standardiseringsorganisation, f.eks. angivet i Cenelec EN 50 049-1:1997-standarden, der muliggør en enkel tilslutning af periferiudstyr, navnlig supplerende dekoderudstyr og digitale modtagere.

Alle digital-tv-apparater med indbygget skærm, der markedsføres med henblik på salg eller leje i Fællesskabet, og hvis synlige skærmbillede målt diagonalt er større end 30 cm, skal være udstyret med mindst ét stik baseret på en åben grænseflade (som enten er standardiseret af, eller som overholder en standard, der er overtaget af en anerkendt europæisk standardiseringsorganisation eller er i overensstemmelse med en udbredt industrispecifikation), f.eks. det fælles DVB-grænsefladestik, der muliggør en enkel tilslutning af periferiudstyr, og som skal kunne overføre alle elementer i et digitalt tv-signal, herunder information i forbindelse med interaktive og adgangsstyrede tjenester.«