EUROPA-KOMMISSIONEN
Bruxelles, den 11.5.2023
COM(2023) 244 final
2023/0143(COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om ændring af Rådets afgørelse 2009/917/RIA for så vidt angår tilpasningen af afgørelsen til EU-reglerne om beskyttelse af personoplysninger
BEGRUNDELSE
1.BAGGRUND FOR FORSLAGET
•Forslagets begrundelse og formål
Direktiv (EU) 2016/680 1 (direktivet om databeskyttelse på retshåndhævelsesområdet - retshåndhævelsesdirektivet) trådte i kraft den 6. maj 2016, og medlemsstaterne havde indtil den 6. maj 2018 til at gennemføre det i national ret. Det ophævede og erstattede Rådets rammeafgørelse 2008/977/RIA 2 , men er et meget mere omfattende instrument til beskyttelse af personoplysninger. Navnlig finder direktivet anvendelse på kompetente myndigheders både indenlandske og grænseoverskridende behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger og fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed (artikel 1, stk. 1).
I henhold til artikel 62, stk. 6, i retshåndhævelsesdirektivet skulle Kommissionen senest den 6. maj 2019 gennemgå andre EU-retsakter, der regulerer de kompetente myndigheders behandling af personoplysninger til retshåndhævelsesformål, for at vurdere behovet for at tilpasse dem til retshåndhævelsesdirektivet, og, hvis det er hensigtsmæssigt, fremsætte forslag til ændring af dem for at sikre konsekvens i beskyttelsen af personoplysninger inden for retshåndhævelsesdirektivets anvendelsesområde.
Kommissionen redegjorde for resultaterne af sin gennemgang i en meddelelse om Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne (24. juni 2020) 3 , som angiver ti retsakter, der bør tilpasses til retshåndhævelsesdirektivet. Listen omfatter Rådets afgørelse 2009/917/RIA om brug af informationsteknologi på toldområdet 4 .
Forslaget tager sigte på at tilpasse databeskyttelsesreglerne i Rådets afgørelse 2009/917/RIA til de principper og regler, der er fastlagt i retshåndhævelsesdirektivet, for at skabe en stærk og sammenhængende ramme for beskyttelse af personoplysninger i Unionen.
•Sammenhæng med de gældende regler på samme område
Toldinformationssystemet (CIS), der blev oprettet ved Rådets afgørelse 2009/917/RIA, er et IT-baseret informationssystem til brug på toldområdet, der skal bidrage til forebyggelse, efterforskning og retsforfølgning af alvorlige overtrædelser af nationale love ved at stille oplysninger til rådighed hurtigere og derved øge effektiviteten i toldadministrationerne. Forslaget tager sigte på at tilpasse databeskyttelsesreglerne i Rådets afgørelse 2009/917/RIA til de principper og regler, der er fastlagt i retshåndhævelsesdirektivet, for at skabe en stærk og sammenhængende ramme for beskyttelse af personoplysninger i Unionen.
•Sammenhæng med Unionens politik på andre områder
Ikke relevant
2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET
•Retsgrundlag
Beskyttelsen af fysiske personer i forbindelse med behandling af deres personoplysninger er en grundlæggende rettighed, der er fastsat i artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder ("chartret").
Forslaget er baseret på artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde (TEUF), som er det mest hensigtsmæssige retsgrundlag, da både formålet med og indholdet af den foreslåede ændring klart er begrænset til kun at omfatte beskyttelse af personoplysninger.
Artikel 16, stk. 2, i TEUF giver mulighed for at vedtage regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger foretaget af de kompetente myndigheder i medlemsstaterne under udøvelse af aktiviteter med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, der er omfattet af EU-retten. Samme bestemmelse giver også mulighed for at vedtage regler om fri udveksling af personoplysninger, herunder personoplysninger, der udveksles mellem kompetente myndigheder i EU.
I henhold til artikel 2a i protokol nr. 22 om Danmarks stilling, der er knyttet til TEU og TEUF, er Danmark ikke bundet af regler fastlagt på grundlag af artikel 16 i TEUF, der vedrører behandling af personoplysninger under udøvelsen af aktiviteter, der er omfattet af tredje del, afsnit IV, kapitel 4 eller 5, i TEUF. Danmark vil derfor ikke være bundet af den nu foreslåede forordning og vil fortsat anvende Rådets afgørelse i den nuværende form, dvs. uden de ændringer, der nu foreslås.
Dette indebærer bl.a., at Den Fælles Tilsynsmyndighed, der er omhandlet i artikel 25 i Rådets afgørelse, formelt fortsat vil eksistere, men kun for så vidt angår Danmark. Samtidig har nævnte eksistens, som følge af den foreslåede sletning af denne artikel og den foreslåede ændring af artikel 26 om indførelse af den koordinerede tilsynsmodel, der er fastsat i artikel 62 i forordning (EU) 2018/1725, ingen virkninger for de øvrige medlemsstater eller toldinformationssystemet som sådan. Da det foreliggende forslag er begrænset til at tilpasse Rådets afgørelse til retshåndhævelsesdirektivet, er dette resultat en uundgåelig konsekvens af den tilpasning, der kræves i henhold til retshåndhævelsesdirektivet, og de begrænsninger, der følger af protokol nr. 22. Når der i fremtiden er behov for en bredere vurdering af Rådets afgørelse, vil Kommissionen tage dette spørgsmål op til fornyet overvejelse.
I henhold til artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed er Irland ikke bundet af regler fastsat på grundlag af artikel 16 i TEUF, når Irland ikke er bundet af regler vedrørende former for strafferetligt samarbejde eller politisamarbejde, der kræver overholdelse af de bestemmelser, der er fastsat på grundlag af artikel 16. Da Irland deltager i Rådets afgørelse 2009/917/RIA, deltager Irland derfor også i vedtagelsen af dette forslag.
•Nærhedsprincippet (for områder, der ikke er omfattet af enekompetence)
Genstanden for denne forordning henhører under Unionens enekompetence, da det kun er Unionen, der kan vedtage regler for de kompetente myndigheders behandling af personoplysninger til retshåndhævelsesformål. Kun Unionen kan tilpasse EU-retsakter til de regler, der er fastsat i retshåndhævelsesdirektivet. Derfor er det kun Unionen, som kan vedtage en retsakt om ændring af Rådets afgørelse 2009/917/RIA.
•Proportionalitetsprincippet
Forslaget er begrænset til, hvad der er nødvendigt for at tilpasse Rådets afgørelse 2009/917/RIA til EU-lovgivningen om beskyttelse af personoplysninger (retshåndhævelsesdirektivet) uden på nogen måde at ændre anvendelsesområdet for Rådets afgørelse. Forslaget går ikke videre, end hvad der er nødvendigt for at nå de tilstræbte mål, i overensstemmelse med artikel 5, stk. 4, i traktaten om Den Europæiske Union.
•Valg af retsakt
Forslaget tager sigte på at ændre en rådsafgørelse, der blev vedtaget inden
Lissabontraktatens ikrafttræden i 2009. De relevante bestemmelser i Rådets afgørelse 2009/917/RIA, hvorved toldinformationssystemet oprettes, og der fastlægges regler for drift og brug af systemet, finder direkte anvendelse.
Det mest hensigtsmæssige instrument til ændring af denne rådsafgørelse i henhold til artikel 16, stk. 2, i TEUF er derfor gennem en forordning vedtaget af Europa-Parlamentet og Rådet.
3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSENTER OG KONSEKVENSANALYSER
•Efterfølgende evalueringer/kvalitetskontrol af gældende lovgivning
Forslaget følger resultaterne af Kommissionens gennemgang i henhold til artikel 62, stk. 6, i retshåndhævelsesdirektivet, som blev fremlagt i meddelelsen fra 2020 Det videre forløb med tilpasning af den tidligere tredje søjle i EU-retten til databeskyttelsesreglerne. I meddelelsen anføres seks specifikke punkter, hvor Rådets afgørelse 2009/917/RIA bør tilpasses retshåndhævelsesdirektivet:
–Med hensyn til de "alvorlige overtrædelser", som Rådets afgørelse finder anvendelse på.
–Betingelserne for indsamling og registrering af personoplysninger bør præciseres, og der bør fastsættes krav om, at personoplysningerne kun må registreres i CIS, hvis der er vægtige grunde til at tro, specielt grundet tidligere ulovlig aktivitet, at den pågældende person har begået, er i færd med at begå eller har til hensigt at begå en strafbar handling.
–Der bør fastsættes yderligere krav vedrørende behandlingssikkerhed ved at bringe listen over påkrævede beskyttelsesforanstaltninger i overensstemmelse med artikel 29 i retshåndhævelsesdirektivet, dvs. ved at tilføje krav om systemgenopretning, pålidelighed og integritet
–Den efterfølgende behandling af personoplysninger, der registreres i CIS, til andre formål end dem, som oplysningerne blev indsamlet til, bør begrænses og bør kun ske på de betingelser, der er fastsat i retshåndhævelsesdirektivet.
–Behandlingen af personoplysninger i henhold til Rådets afgørelse 2009/917/RIA bør omfattes af den koordinerede tilsynsmodel, der er fastsat i artikel 62 i forordning (EU) 2018/1725 5 . Rådets afgørelse er den eneste resterende retsakt, i henhold til hvilken overvågningen af behandlingen af personoplysninger udføres af Den Fælles Tilsynsmyndighed, der nu er forældet.
–Den generelle henvisning til Rådets rammeafgørelse 2008/977/RIA bør erstattes af en henvisning til retshåndhævelsesdirektivet. Bestemmelser, der overlapper bestemmelser i retshåndhævelsesdirektivet (såsom definitioner eller bestemmelserne om den registreredes rettigheder samt om adgang til retsmidler og ansvar), bør udgå, da de er forældede. Henvisninger til særlige bestemmelser i Rådets rammeafgørelse 2008/977/RIA bør erstattes af tilsvarende specifikke henvisninger til retshåndhævelsesdirektivet.
Forslaget er begrænset til, hvad der er nødvendigt for at løse ovenstående punkter.
•Høringer af interessenter
Ikke relevant
•Indhentning og brug af ekspertbistand
I sin gennemgang i henhold til retshåndhævelsesdirektivets artikel 62, stk. 6, tog Kommissionen hensyn til en undersøgelse, der blev gennemført som en del af pilotprojektet "gennemgang af grundlæggende rettigheder i Unionens dataindsamlingsinstrumenter og -programmer" 6 . I undersøgelsen blev der kortlagt EU-retsakter, der er omfattet af retshåndhævelsesdirektivets artikel 62, stk. 6, og udpeget bestemmelser, der potentielt kræver tilpasning til databeskyttelsesaspekter.
•Konsekvensanalyse
Virkningen af dette forslag er begrænset til kompetente myndigheders behandling af personoplysninger i de specifikke tilfælde, der er reguleret af Rådets afgørelse 2009/917/RIA. Virkningen af de nye forpligtelser som følge af retshåndhævelsesdirektivet blev vurderet i forbindelse med det forberedende arbejde for retshåndhævelsesdirektivet. Derfor er det ikke nødvendigt med en specifik konsekvensanalyse for dette forslag.
•Målrettet regulering og forenkling
Forslaget er ikke en del af programmet for målrettet og effektiv regulering (REFIT).
•Grundlæggende rettigheder
Retten til beskyttelse af personoplysninger er fastlagt i chartrets artikel 8 og artikel 16 i TEUF. Som understreget af Den Europæiske Unions Domstol 7 er retten til beskyttelse af personoplysninger ikke absolut, men skal tages i betragtning i forhold til dens funktion i samfundet 8 . Personoplysninger er også tæt knyttet til respekt for privatliv og familieliv, som beskyttet af chartrets artikel 7.
Dette forslag sikrer, at enhver behandling af personoplysninger i henhold til Rådets afgørelse 2009/917/RIA er underlagt de "horisontale" principper og regler i EU's lovgivning om beskyttelse af personoplysninger, hvilket medfører yderligere gennemførelse af chartrets artikel 8. Nævnte lovgivning har til formål at sikre et højt beskyttelsesniveau for personoplysninger. En præcisering af, at reglerne i retshåndhævelsesdirektivet finder anvendelse, og af, hvordan de finder anvendelse, på behandling af personoplysninger i henhold til Rådets afgørelse vil have en positiv indvirkning på de grundlæggende rettigheder til privatlivets fred og beskyttelse af personoplysninger.
4.VIRKNINGER FOR BUDGETTET
Ikke relevant
5.ANDRE FORHOLD
•Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering
Ikke relevant
•Nærmere redegørelse for de enkelte bestemmelser i forslaget
I artikel 1 identificeres de relevante bestemmelser i Rådets afgørelse 2009/917/RIA, som skal ændres på grundlag af den gennemgang, som Kommissionen har foretaget i henhold til artikel 62, stk. 6, i retshåndhævelsesdirektivet, og som blev forelagt i dens meddelelse fra 2020. Det drejer sig om følgende bestemmelser:
·Artikel 1 – Stk. 2 ændres for at erstatte begrebet "alvorlige overtrædelser af nationale love" med henvisningen til "strafbare handlinger i henhold til nationale love" for at skabe større klarhed og samtidig tilpasse det til retshåndhævelsesdirektivet.
·Artikel 2 – Nr. 2 vedrørende definitionen af "personoplysninger" udgår, da definitionen af personoplysninger, som den er anført i artikel 3, nr. 1), i retshåndhævelsesdirektivet, finder anvendelse.
·Artikel 3 – Stk. 2 ændres for at præcisere Kommissionens og medlemsstaternes respektive roller med hensyn til personoplysninger. Der indsættes også en betragtning herom.
·Artikel 4 – Stk. 5 opdateres for at erstatte henvisningen til listen over visse kategorier af personoplysninger, der ikke må registreres i systemet i henhold til rammeafgørelse 2008/977/RIA, med en henvisning til den tilsvarende liste i retshåndhævelsesdirektivet.
·Artikel 5 – Stk. 2 opdateres for at præcisere betingelserne for indsamling og registrering af personoplysninger og kræve, at personoplysningerne kun registreres i CIS, hvis der er rimelige grunde til at antage, navnlig på grund af tidligere ulovlig aktivitet, at den pågældende person har begået, er i færd med at begå eller har til hensigt at begå en af de strafbare handlinger, der er omfattet af de nationale love.
·Artikel 7 – Stk. 3 opdateres for at præcisere betingelserne for, at internationale eller regionale organisationer kan få adgang til CIS i henhold til retshåndhævelsesdirektivet.
·Artikel 8 – Stk. 1 opdateres for at begrænse den efterfølgende behandling af personoplysninger, der er registreret i CIS, i overensstemmelse med princippet om formålsbegrænsning som anført i retshåndhævelsesdirektivet. Betingelserne for behandling af andre data end personoplysninger til andre formål præciseres yderligere. Stk. 4 omformuleres for at præcisere de betingelser, hvorunder videregivelse og internationale overførsler af personoplysninger og andre data end personoplysninger kan finde sted.
·Artikel 14 om lagring af personoplysninger opdateres for at indføre en maksimal lagringsperiode i overensstemmelse med artikel 4, stk. 1, litra e), i retshåndhævelsesdirektivet og forenkle den tidligere procedure. Der indsættes også en betragtning for at uddybe begrundelsen for denne opdatering.
·Artikel 15 – Stk. 3 erstattes for at tilpasse begrebet "alvorlige overtrædelser af nationale love" til henvisningen til "strafbare handlinger i henhold til nationale love", som er indført i det nye stk. 2 i artikel 1.
·Artikel 20 – Denne artikel erstattes for at opdatere den generelle henvisning til rammeafgørelse 2008/977/RIA med henvisningen til retshåndhævelsesdirektivet.
·Artikel 22 om retten til adgang, berigtigelse, sletning eller blokering udgår, da den er forældet.
·Artikel 23 om de registreredes rettigheder på nationalt plan udgår, da den er forældet.
·Artikel 24 om udpegning af en eller flere nationale tilsynsmyndigheder udgår, da den er forældet.
·Artikel 25 om oprettelse af en fælles tilsynsmyndighed udgår, da den er forældet.
·Artikel 26 – Denne artikel opdateres for at lade behandlingen af personoplysninger være omfattet af den koordinerede tilsynsmodel, der er fastsat i artikel 62 i forordning (EU) 2018/1725.
·Artikel 28 – Stk. 2 ændres med henblik på at fastsætte yderligere krav vedrørende behandlingssikkerhed ved at bringe listen over påkrævede beskyttelsesforanstaltninger i overensstemmelse med artikel 29 i retshåndhævelsesdirektivet, dvs. ved at tilføje krav om systemgenopretning, pålidelighed og integritet
·Artikel 30 – Stk. 1 udgår, da det er forældet.
I artikel 2 fastsættes datoen for forordningens ikrafttræden.
2023/0143 (COD)
Forslag til
EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
om ændring af Rådets afgørelse 2009/917/RIA for så vidt angår tilpasningen af afgørelsen til EU-reglerne om beskyttelse af personoplysninger
EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16, stk. 2,
under henvisning til forslag fra Europa-Kommissionen,
efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,
efter den almindelige lovgivningsprocedure, og
ud fra følgende betragtninger:
(1)I Europa-Parlamentets og Rådets direktiv (EU) 2016/680 9 fastsættes der harmoniserede regler om beskyttelse og fri udveksling af personoplysninger, der behandles med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner, herunder beskytte mod og forebygge trusler mod den offentlige sikkerhed. I henhold til nævnte direktiv skal Kommissionen gennemgå andre relevante EU-retsakter for at vurdere behovet for at tilpasse dem til nævnte direktiv og om nødvendigt fremsætte forslag til ændring af de pågældende retsakter for at sikre en konsekvent tilgang til beskyttelse af personoplysninger, der er omfattet af nævnte direktivs anvendelsesområde.
(2)Ved Rådets afgørelse 2009/917/RIA 10 om brug af informationsteknologi på toldområdet oprettes toldinformationssystemet (CIS), der skal bidrage til forebyggelse, efterforskning og retsforfølgning af alvorlige overtrædelser af nationale love ved at stille oplysninger til rådighed hurtigere og derved øge effektiviteten i toldadministrationerne. For at sikre en konsekvent tilgang til beskyttelse af personoplysninger i Unionen bør nævnte afgørelse ændres for at tilpasse den til direktiv (EU) 2016/680. Navnlig bør reglerne om beskyttelse af personoplysninger overholde princippet om specificering af formål, være begrænset til bestemte kategorier af registrerede og kategorier af personoplysninger, overholde datasikkerhedskrav, omfatte yderligere beskyttelse af særlige kategorier af personoplysninger og overholde betingelserne for efterfølgende behandling. Desuden bør der fastsættes bestemmelser om den koordinerede tilsynsmodel, der blev indført ved artikel 62 i forordning (EU) 2018/1725 11 .
(3)For at sikre en klar og konsekvent tilgang, der sikrer tilstrækkelig beskyttelse af personoplysninger, bør udtrykket "alvorlige overtrædelser" erstattes af "strafbare handlinger", idet det tages i betragtning, at det forhold, at en given adfærd er forbudt i henhold til en medlemsstats strafferet, i sig selv indebærer, at overtrædelsen er af en vis alvor. Desuden bør formålet med CIS fortsat være begrænset til at bistå i forbindelse med forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger i henhold til nationale love som defineret i Rådets afgørelse 2009/917/RIA, dvs. nationale love, der henhører under de nationale toldadministrationers kompetence, og som derfor er særlig relevante på toldområdet. Selv om betegnelsen som en strafbar handling et nødvendigt krav, er det derfor ikke alle strafbare handlinger, der bør anses for at være omfattet. De omfattede strafbare handlinger omfatter f.eks. ulovlig narkotikahandel, ulovlig våbenhandel og hvidvask af penge. Indførelsen af udtrykket "strafbare handlinger" bør desuden ikke forstås som en ændring, der berører de specifikke krav, der er fastsat i nævnte rådsafgørelse vedrørende udarbejdelse og fremsendelse af en liste over strafbare handlinger i henhold til nationale love, der opfylder visse betingelser, idet disse krav kun vedrører det særlige formål med det elektroniske sagsregister på toldområdet.
(4)Det er nødvendigt at præcisere Kommissionens og medlemsstaternes respektive roller med hensyn til personoplysninger. Kommissionen betragtes som databehandler, der handler på vegne af de nationale myndigheder, der er udpeget af hver medlemsstat, og som betragtes som dataansvarlige for personoplysningerne.
(5)For at sikre optimal beskyttelse af oplysningerne og samtidig mindske den administrative byrde for de kompetente myndigheder bør proceduren for lagring af personoplysninger i CIS forenkles ved at fjerne forpligtelsen til at undersøge oplysningerne årligt og ved at fastsætte en maksimal lagringsperiode på fem år, der i begrundede tilfælde kan forlænges med en yderligere periode på to år. Denne lagringsperiode er nødvendig og forholdsmæssig i betragtning af straffesagernes typiske varighed og behovet for oplysningerne med henblik på gennemførelse af fælles toldaktioner og efterforskninger.
(6)I medfør af artikel 6a i protokol nr. 21 om Det Forenede Kongeriges og Irlands stilling for så vidt angår området med frihed, sikkerhed og retfærdighed, der er knyttet som bilag til traktaten om Den Europæiske Union (TEU) og til TEUF, er Irland bundet af Rådets afgørelse 2009/917/RIA og deltager derfor i vedtagelsen af denne forordning.
(7)I medfør af artikel 1, 2 og 2a i protokol nr. 22 om Danmarks stilling, der er knyttet som bilag til traktaten om Den Europæiske Union og til traktaten om Den Europæiske Unions funktionsmåde, deltager Danmark ikke i vedtagelsen af denne forordning, som ikke er bindende for og ikke finder anvendelse i Danmark.
(8)Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42 i forordning (EU) 2018/1725 og afgav en udtalelse den XX/XX/202X.
(9)Rådets afgørelse 2009/917/RIA bør derfor ændres —
VEDTAGET DENNE FORORDNING:
Artikel 1
I Rådets afgørelse 2009/917/RIA foretages følgende ændringer:
(1)Artikel 1, stk. 2, affattes således:
"2. Formålet med toldinformationssystemet er at bistå de kompetente myndigheder i medlemsstaterne med forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger i henhold til nationale love ved at stille oplysninger til rådighed hurtigere og derved øge effektiviteten af samarbejds- og kontrolprocedurerne hos medlemsstaternes toldmyndigheder."
(2)Artikel 2, stk. 2, udgår.
(3)Efter artikel 3, stk. 2, første punktum, tilføjes følgende nye punktum:
"I forbindelse med behandling af personoplysninger i toldinformationssystemet betragtes Kommissionen som databehandler som defineret i artikel 3, nr. 12), i forordning (EU) 2018/1725, der handler på vegne af de nationale myndigheder, der er udpeget af hver medlemsstat, og som betragtes som dataansvarlige for personoplysningerne."
(4)Artikel 4, stk. 5, affattes således:
"5. Personoplysninger af den art, der er omhandlet i artikel 10 i direktiv (EU) 2016/680, må under ingen omstændigheder registreres i toldinformationssystemet."
(5)Artikel 5, stk. 2, affattes således:
"2. I forbindelse med de operationer, der er omtalt i stk. 1, må personoplysninger inden for enhver af kategorierne i artikel 3, stk. 1, kun registreres i toldinformationssystemet, hvis der er vægtige grunde til at tro, specielt grundet tidligere ulovlig aktivitet, at den pågældende person har begået, er i færd med at begå eller har til hensigt at begå strafbare handlinger i henhold til nationale love."
(6)Artikel 7, stk. 3, affattes således:
"3. Uanset stk. 1 og 2 kan Rådet undtagelsesvis med enstemmighed og efter høring af Det Europæiske Databeskyttelsesråd give internationale eller regionale organisationer adgang til toldinformationssystemet, forudsat at begge følgende betingelser er opfyldt:
a)adgangen er i overensstemmelse med de generelle principper for overførsel af personoplysninger i artikel 35 eller, hvis det er relevant, artikel 39 i direktiv (EU) 2016/680
b)adgangen er baseret enten på en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, der er vedtaget i henhold til artikel 36 i nævnte direktiv, eller er omfattet af de fornødne garantier i henhold til direktivets artikel 37."
(7)Artikel 8, stk. 1, affattes således:
"1. Medlemsstaterne, Europol og Eurojust må kun behandle personoplysninger fra toldinformationssystemet med henblik på at nå det mål, der er fastsat i artikel 1, stk. 2, i overensstemmelse med de gældende bestemmelser i EU-retten om behandling af personoplysninger.
Medlemsstaterne, Europol og Eurojust kan behandle andre oplysninger end personoplysninger fra toldinformationssystemet med henblik på at nå det mål, der er fastsat i artikel 1, stk. 2, eller til andre formål, herunder administrative, i overensstemmelse med de betingelser, der måtte være fastsat af den medlemsstat, der har registreret de andre oplysninger end personoplysninger i systemet."
(8)Artikel 8, stk. 4, affattes således:
"4. Personoplysninger fra toldinformationssystemet kan med forudgående tilladelse fra og i overensstemmelse med de betingelser, der måtte være fastsat af den medlemsstat, der har registreret oplysningerne i systemet:
a)videregives til og viderebehandles af andre nationale myndigheder end dem, der er udpeget i henhold til stk. 2, i overensstemmelse med de gældende bestemmelser i EU-retten om behandling af personoplysninger eller
b)overføres til og viderebehandles af de kompetente myndigheder i tredjelande og internationale eller regionale organisationer i overensstemmelse med kapitel V i direktiv (EU) 2016/680 og, hvis det er relevant, med kapitel V i forordning (EU) 2018/1725.
Andre oplysninger end personoplysninger fra toldinformationssystemet kan videregives til og viderebehandles af andre nationale myndigheder end dem, der er udpeget i henhold til stk. 2, tredjelande og internationale eller regionale organisationer i overensstemmelse med de betingelser, der måtte være fastsat af den medlemsstat, der har registreret de andre oplysninger end personoplysninger i systemet."
(9)Artikel 14 affattes således:
"Personoplysninger, der er registreret i toldinformationssystemet, lagres kun så længe, det er nødvendigt for at nå det i artikel 1, stk. 2, nævnte mål, og må højst lagres i fem år. De pågældende oplysninger kan dog undtagelsesvis lagres i en yderligere periode på højst to år, hvis og for så vidt som det i det konkrete tilfælde godtgøres, at det er strengt nødvendigt for at nå dette mål.
(10)Artikel 15, stk. 3, affattes således:
"3. Til brug for det elektroniske sagsregister på toldområdet sender hver medlemsstat en liste over strafbare handlinger i henhold til dens nationale love til de øvrige medlemsstater, Europol, Eurojust og til det i artikel 27 omhandlede udvalg.
Denne liste omfatter udelukkende strafbare handlinger, som kan straffes:
a)med en frihedsstraf eller en frihedsberøvende foranstaltning, for hvilke strafferammen er på mindst 12 måneder, eller
b)med en bøde på mindst 15 000 EUR."
(11)Artikel 20 affattes således:
"Direktiv (EU) 2016/680 finder anvendelse på behandling af personoplysninger i henhold til denne afgørelse."
(12)Artikel 22, 23, 24 og 25 udgår.
(13)Artikel 26 affattes således:
"Der sikres koordineret tilsyn mellem de nationale tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse i overensstemmelse med artikel 62 i forordning (EU) 2018/1725."
(14)I artikel 28, stk. 2, indsættes følgende litraer:
"i) at sikre, at de anvendte systemer i tilfælde af teknisk uheld kan genetableres
j) at sikre, at systemet fungerer, at indtrufne fejl meldes, og at opbevarede personoplysninger ikke bliver ødelagt som følge af fejlfunktioner i systemet."
(15)Artikel 30, stk. 1, udgår.
Artikel 2
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i medlemsstaterne i overensstemmelse med traktaterne.
Udfærdiget i Bruxelles, den […].
På Europa-Parlamentets vegne På Rådets vegne
Formand Formand