02009L0136 — DA — 21.12.2020 — 001.001
Denne tekst tjener udelukkende som dokumentationsværktøj og har ingen retsvirkning. EU's institutioner påtager sig intet ansvar for dens indhold. De autentiske udgaver af de relevante retsakter, inklusive deres betragtninger, er offentliggjort i den Europæiske Unions Tidende og kan findes i EUR-Lex. Disse officielle tekster er tilgængelige direkte via linkene i dette dokument
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 2009/136/EF af 25. november 2009 om ændring af direktiv 2002/22/EF om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester, direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og forordning (EF) nr. 2006/2004 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse (EUT L 337 af 18.12.2009, s. 11) |
Ændret ved:
|
|
Tidende |
||
nr. |
side |
dato |
||
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV (EU) 2018/1972 EØS-relevant tekst af 11. december 2018 |
L 321 |
36 |
17.12.2018 |
Berigtiget ved:
EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 2009/136/EF
af 25. november 2009
om ændring af direktiv 2002/22/EF om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester, direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og forordning (EF) nr. 2006/2004 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse
(EØS-relevant tekst)
▼M1 —————
Artikel 2
Ændringer til direktiv 2002/58/EF (direktivet om databeskyttelse inden for elektronisk kommunikation)
I direktiv 2002/58/EF (direktiv om databeskyttelse inden for elektronisk kommunikation) foretages følgende ændringer:
Artikel 1, stk. 1, affattes således:
I artikel 2 foretages følgende ændringer:
Litra c) affattes således:
»lokaliseringsdata«: data, som behandles i et elektronisk kommunikationsnet eller af en elektronisk kommunikationstjeneste og angiver den geografiske placering af det terminaludstyr, som brugeren af en offentligt tilgængelig elektronisk kommunikationstjeneste anvender«.
Litra e) udgår.
Følgende litra tilføjes:
»brud på persondatasikkerheden«: ◄ et sikkerhedsbrud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til persondata, der sendes, lagres eller på anden måde behandles i forbindelse med udbuddet af offentligt tilgængelige kommunikationstjenester i Fællesskabet.«
Artikel 3 affattes således:
»Artikel 3
Omfattede tjenester
Dette direktiv finder anvendelse på behandling af persondata i forbindelse med, at offentligt tilgængelige elektroniske kommunikationstjenester stilles til rådighed via offentlige kommunikationsnet i Fællesskabet, herunder offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr.«
I artikel 4 foretages følgende ændringer:
Overskriften affattes således:
»Sikkerhed i forbindelse med behandlingen«.
Følgende stykke indsættes:
Uden at det berører direktiv 95/46/EF, skal de i stk. 1 omhandlede foranstaltninger som minimum:
De relevante nationale myndigheder skal kunne kontrollere foranstaltninger truffet af udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og udstede henstillinger om bedste praksis vedrørende det sikkerhedsniveau, som disse foranstaltninger bør føre til.«
Følgende stykker tilføjes:
Sker der et brud på persondatasikkerheden, skal udbyderen af offentligt tilgængelige kommunikationstjenester uden unødig forsinkelse underrette den kompetente nationale myndighed om bruddet.
Når bruddet på persondatasikkerheden kan forventes at krænke personoplysninger eller privatlivets fred for en abonnent eller en fysisk person, underretter udbyderen også abonnenten eller den fysiske person om bruddet uden unødig forsinkelse.
Det er ikke nødvendigt at underrette den pågældende abonnent eller fysiske person om et brud på persondatasikkerheden, hvis den kompetente myndighed finder det godtgjort fra udbyderens side, at denne har gennemført passende teknologiske beskyttelsesforanstaltninger, og at disse foranstaltninger er blevet anvendt på de data, som sikkerhedsbruddet vedrørte. Sådanne teknologiske beskyttelsesforanstaltninger skal gøre dataene uforståelige for alle, der ikke har lovlig adgang hertil.
Uden at det berører udbyderens forpligtelse til at underrette den pågældende abonnent eller fysiske person, kan den kompetente nationale myndighed i tilfælde, hvor udbyderen ikke allerede har underrettet abonnenten eller den fysiske person om bruddet på persondatasikkerheden, og efter at have vurderet bruddets sandsynlige negative virkninger kræve, at udbyderen gør dette.
Underretningen af abonnenten eller den fysiske person skal mindst indeholde en beskrivelse af karakteren af bruddet på persondatasikkerheden og omhandle de kontaktpunkter, hvor der kan indhentes flere oplysninger, og den skal indeholde anbefalinger af, hvordan de mulige negative virkninger af bruddet på persondatasikkerheden kan afbødes. Underretningen til den kompetente nationale myndighed skal derudover beskrive følgerne af bruddet, og hvilke modforholdsregler udbyderen har foreslået eller truffet for at håndtere bruddet på persondatasikkerheden.
Med forbehold af eventuelle tekniske gennemførelsesforanstaltninger vedtaget i medfør af stk. 5 kan de kompetente nationale myndigheder vedtage retningslinjer og om nødvendigt udstede instrukser om de omstændigheder, hvorunder udbydere skal give underretning om brud på persondatasikkerheden, samt hvilket format og hvilken procedure der skal anvendes ved underretningen. De skal desuden være i stand til at kontrollere, om udbyderne har opfyldt deres underretningspligt efter dette stykke, og pålægge dem passende sanktioner i tilfælde af manglende opfyldelse.
Udbydere skal føre optegnelser over brud på persondatasikkerheden indeholdende oplysninger om omstændighederne omkring bruddene, deres virkninger og de afhjælpende foranstaltninger, der er truffet, og disse optegnelser skal være tilstrækkeligt detaljerede til at sætte de kompetente nationale myndigheder i stand til at kontrollere, om bestemmelserne i stk. 3 er overholdt. Optegnelserne skal kun indeholde de oplysninger, der er nødvendige til dette formål.
For at sikre en ensartet gennemførelse af de foranstaltninger, der er anført i stk. 2, 3 og 4, kan Kommissionen efter at have hørt Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA), Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, der er nedsat ved artikel 29 i direktiv 95/46/EF, og Den Europæiske Tilsynsførende for Databeskyttelse vedtage tekniske gennemførelsesforanstaltninger om, under hvilke omstændigheder informations- og underretningskravene i denne artikel gælder, samt hvilke former og procedurer der skal anvendes. Når Kommissionen vedtager sådanne foranstaltninger inddrager den alle relevante aktører, særlig med henblik på at blive informeret om de bedste tilgængelige tekniske og økonomiske midler til gennemførelse af denne artikel.
Disse foranstaltninger, der har til formål at ændre ikke-væsentlige bestemmelser i dette direktiv ved at supplere det, vedtages efter forskriftsproceduren med kontrol i artikel 14a, stk. 2.«
Artikel 5, stk. 3, affattes således:
Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.«
Artikel 6, stk. 3, affattes således:
Med henblik på markedsføring af elektroniske kommunikationstjenester eller levering af værdiforøgende tjenester er det tilladt udbyderen af en offentligt tilgængelig elektronisk kommunikationstjeneste at behandle de i stk. 1 omtalte oplysninger i det omfang og tidsrum, som sådanne tjenester eller markedsføringen kræver, hvis den abonnent eller bruger, som oplysningerne vedrører, forudgående har givet sit samtykke hertil. Brugeren eller abonnenten skal på et hvilket som helst tidspunkt have mulighed for at trække sit samtykke til behandling af trafikdata tilbage.«
Artikel 13 affattes således:
»Artikel 13
Uanmodet kommunikation
Følgende artikel indsættes:
»Artikel 14a
Udvalgsprocedure
I artikel 15 indsættes følgende stykke:
Følgende artikel indsættes:
»Artikel 15a
Gennemførelse og håndhævelse
De relevante nationale tilsynsmyndigheder kan træffe foranstaltninger til at sikre et effektivt samarbejde hen over grænserne om at håndhæve de nationale love, der vedtages i medfør af dette direktiv, og til at tilvejebringe harmoniserede vilkår for udbuddet af tjenester, der medfører datastrømme hen over grænserne.
De nationale tilsynsmyndigheder skal i god tid, inden de træffer sådanne foranstaltninger, tilsende Kommissionen et sammendrag af foranstaltningerne, begrundelsen herfor og den foreslåede fremgangsmåde. Kommissionen kan efter at have undersøgt sådanne oplysninger og hørt Det Europæiske Agentur for Net- og Informationssikkerhed og Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger, nedsat ved artikel 29 i direktiv 95/46/EF, fremsætte kommentarer eller henstillinger herom, navnlig med henblik på at sikre, at foranstaltningerne ikke påvirker det indre markeds funktion negativt. De nationale tilsynsmyndigheder skal tage størst muligt hensyn til Kommissionens kommentarer eller henstillinger, når de træffer afgørelse om foranstaltningerne.«
Artikel 3
Ændring af forordning (EF) nr. 2006/2004
I bilaget til Europa-Parlamentets og Rådets forordning (EF) nr. 2006/2004 (forordningen om forbrugerbeskyttelsessamarbejde) tilføjes følgende punkt:
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om databeskyttelse inden for elektronisk kommunikation): artikel 13 (EFT L 201 af 31.7.2002, s. 37).«
Artikel 4
Gennemførelse i national ret
Medlemsstaterne vedtager og offentliggør de nødvendige love og administrative bestemmelser for at efterkomme dette direktiv senest den 25. maj 2011. De meddeler straks Kommissionen teksten til disse love og bestemmelser.
Disse love og bestemmelser skal ved vedtagelsen indeholde en henvisning til dette direktiv eller skal ved offentliggørelsen ledsages af en sådan henvisning. De nærmere regler for henvisningen fastsættes af medlemsstaterne.
Artikel 5
Ikrafttræden
Dette direktiv træder i kraft dagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Artikel 6
Adressater
Dette direktiv er rettet til medlemsstaterne.
▼M1 —————
BILAG II
»BILAG VI
INTEROPERABILITET MELLEM DIGITALT FORBRUGERUDSTYR SOM OMHANDLET I ARTIKEL 24
1. Fælles krypteringsalgoritme og modtagelse af ukrypterede signaler
Alt forbrugerudstyr til modtagelse af konventionelle digitale fjernsynssignaler (f.eks. udsendelse via jordbaseret, kabel- eller satellittransmission primært beregnet for fast modtagelse såsom DVB-T, DVB-C eller DVB-S), som i Fællesskabet sælges, udlejes eller på anden vis stilles til rådighed og anvendes til dekryptering af digitale tv-signaler, skal kunne:
2. Interoperabilitet mellem analoge og digitale tv-apparater
Alle analoge tv-apparater med indbygget skærm, der markedsføres med henblik på salg eller leje i Fællesskabet, og hvis skærmbillede målt diagonalt er større end 42 cm, skal være udstyret med mindst ét stik baseret på en åben grænseflade i overensstemmelse med standarder udarbejdet af en anerkendt europæisk standardiseringsorganisation, f.eks. angivet i Cenelec EN 50 049-1:1997-standarden, der muliggør en enkel tilslutning af periferiudstyr, navnlig supplerende dekoderudstyr og digitale modtagere.
Alle digital-tv-apparater med indbygget skærm, der markedsføres med henblik på salg eller leje i Fællesskabet, og hvis synlige skærmbillede målt diagonalt er større end 30 cm, skal være udstyret med mindst ét stik baseret på en åben grænseflade (som enten er standardiseret af, eller som overholder en standard, der er overtaget af en anerkendt europæisk standardiseringsorganisation eller er i overensstemmelse med en udbredt industrispecifikation), f.eks. det fælles DVB-grænsefladestik, der muliggør en enkel tilslutning af periferiudstyr, og som skal kunne overføre alle elementer i et digitalt tv-signal, herunder information i forbindelse med interaktive og adgangsstyrede tjenester.«