31999F0130(03)

RÅDETS AKT av den 3 november 1998 om antagande av regler om sekretesskydd för Europolinformation (1999/C 26/02)

EUROPEISKA UNIONENS RÅD HAR ANTAGIT DESSA REGLER

med beaktande av konventionen på grundval av artikel K 3 i Fördraget om Europeiska unionen om upprättandet av en europeisk polisbyrå (Europolkonventionen) (1), särskilt artikel 31.1 i denna,

med beaktande av det förslag till regler som styrelsen lagt fram, och

av följande skäl:

Det är rådet som skall enhälligt anta lämpliga regler om sekretesskydd för uppgifter som med tillämpning av Europolkonventionen har samlats in av, eller har utväxlats inom ramen för, Europol.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

DEFINITIONER OCH TILLÄMPNINGSOMRÅDE

Artikel 1 Definitioner

I dessa regler avses med

a) behandling av uppgifter (behandling): varje åtgärd eller kombination av åtgärder beträffande personuppgifter och icke-personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, spärrning, radering eller förstöring,

b) tredje man: tredje land eller organ enligt artikel 10.4 i Europolkonventionen,

c) Europols säkerhetskommitté: den kommitté som består av företrädare för medlemsstaterna och Europol i enlighet med artikel 3,

d) Europols säkerhetskoordinator: den biträdande direktör som Europols direktör i enlighet med artikel 29.2 i Europolkonventionen utser att, jämsides med sina övriga arbetsuppgifter, sköta samordningen och kontrollen i säkerhetsfrågor,

e) Europols säkerhetstjänsteman: den tjänsteman inom Europol som utnämns av Europols direktör och som har ansvar för säkerhetsfrågor i enlighet med artikel 5,

f) säkerhetshandbok: den handbok för genomförande av dessa regler som skall utarbetas i enlighet med artikel 6,

g) sekretessnivå: sekretessmarkering Europol 1 3, som tilldelas dokument som behandlas av eller går genom Europol enligt vad som anges i artikel 8,

h) säkerhetspaket: en bestämd kombination av säkerhetsåtgärder som enligt artikel 8 skall tillämpas på uppgifter som tilldelats en sekretessnivå av Europol,

i) grundläggande skyddsnivå: den skyddsnivå som enligt artikel 8.1 skall tillämpas på alla uppgifter som behandlas av eller går genom Europol, utom uppgifter som uttryckligen är markerade som eller klart känns igen som offentliga.

Artikel 2 Tillämpningsområde

1. I dessa regler fastställs de säkerhetsåtgärder som skall tillämpas på alla uppgifter som behandlas av eller går genom Europol inom organisationen.

2. Medlemsstaterna förpliktigar sig att säkerställa att sådana uppgifter på deras territorium skall få en skyddsnivå som motsvarar den skyddsnivå som dessa åtgärder ger.

3. Elektroniska förbindelser mellan Europol och medlemsstaternas nationella enheter skall tillhandahålla samma skyddsnivå som dessa åtgärder ger. En gemensam standard för dessa elektroniska förbindelser skall godkännas enhälligt av säkerhetskommittén sedan medlemsstaternas behöriga myndigheter har rådfrågats.

4. I bilagan finns en översikt över Europols sekretessnivåer, i enlighet med artikel 8, och de motsvarande markeringar som för närvarande tillämpas av medlemsstaterna för uppgifter som omfattas av dessa sekretessnivåer. När en medlemsstat informerar de andra medlemsstaterna och Europol om ändringar i de nationella bestämmelserna om sekretessnivåer eller motsvarande markeringar kommer Europol att utarbeta en reviderad version av den ovannämnda översikten. Minst en gång om året skall Europols säkerhetskommitté klarlägga om översikten är aktuell eller ej.

KAPITEL II

SÄKERHETSANSVAR

Artikel 3 Europols säkerhetskommitté

1. Det skall inrättas en säkerhetskommitté under Europol, som skall bestå av företrädare för medlemsstaterna och Europol och sammanträda minst en gång om året.

2. Europols säkerhetskommitté skall ha till uppgift att fungera som rådgivare till Europols styrelse och direktör i frågor som gäller säkerhetspolitik, inklusive tillämpningen av säkerhetshandboken.

3. Europols säkerhetskommitté skall fastställa sin egen arbetsordning. Säkerhetskoordinatorn skall leda mötena i Europols säkerhetskommitté.

Artikel 4 Säkerhetskoordinator

1. Säkerhetskoordinatorn skall allmänt ansvara för alla frågor som gäller säkerhet, däribland de säkerhetsåtgärder som fastställs i dessa regler och i säkerhetshandboken. Han skall övervaka hur säkerhetsbestämmelserna genomförs och underrätta direktören om alla överträdelser av säkerhetsföreskrifterna, och denne skall vid allvarliga fall underrätta styrelsen. Om en överträdelse riskerar att skada en medlemsstats intressen, skall denna medlemsstat också underrättas.

2. Säkerhetskoordinatorn skall vara direkt ansvarig inför Europols direktör.

Artikel 5 Säkerhetstjänsteman

1. Ansvaret för det praktiska genomförandet av de säkerhetsåtgärder som fastställs i dessa regler och i säkerhetshandboken skall åvila Europols säkerhetstjänsteman, som är direkt ansvarig inför säkerhetskoordinatorn. Säkerhetstjänstemannens särskilda uppgifter skall vara att

a) leda Europols säkerhetsenhet,

b) instruera, bistå och vägleda Europols personal och sambandsmän när det gäller deras uppgifter enligt dessa regler och säkerhetshandboken,

c) genomföra säkerhetsbestämmelser, undersöka överträdelser av sådana bestämmelser och så snart som möjligt rapportera dem till säkerhetskoordinatorn,

d) löpande revidera säkerhetsåtgärdernas relevans på grundval av hotbilder; för detta ändamål skall han rapportera till säkerhetskoordinatorn minst en gång i månaden och i undantagsfall när helst det anses nödvändigt samt lämna synpunkter och förslag,

e) utföra de uppgifter som åläggs honom enligt dessa regler eller enligt säkerhetshandboken,

f) utföra andra uppgifter som åläggs honom av säkerhetskoordinatorn.

2. Säkerhetstjänstemannen skall genomgå säkerhetskontroll enligt de strängaste kraven i de bestämmelser som gäller i den medlemsstat där han är medborgare.

Artikel 6 Säkerhetshandbok: förfarande och innehåll

1. Säkerhetshandboken skall antas av styrelsen efter att säkerhetskommittén har hörts.

2. Säkerhetshandboken skall innehålla

a) detaljerade regler för de säkerhetsåtgärder som skall tillämpas inom Europols organisation vilka skall sörja för en grundläggande skyddsnivå enligt artikel 8.1 i dessa regler, grundade på artikel 25 och artikel 32.2 i Europolkonventionen, och med beaktande av artikel 31.3 i denna,

b) detaljerade regler för säkerhetsåtgärderna i samband med Europols olika sekretessnivåer och motsvarande säkerhetspaket enligt artikel 8.2 och 8.3.

3. Ändringar i säkerhetshandboken skall antas i enlighet med förfarandet i punkt 1.

4. För Europols datorsystem och varje annat datorsystem som används vid Europol för att behandla uppgifter med skyddsmarkering skall ett systemspecifikt säkerhetskrav (SSSR) antas och ändras i enlighet med förfarandet i punkt 1. Dessa systemspecifika säkerhetskrav skall stå i överensstämmelse med relevanta bestämmelser i säkerhetshandboken.

Artikel 7 Efterlevnad

De säkerhetsåtgärder som fastställs i dessa regler och i säkerhetshandboken skall iakttas av alla Europols tjänstemän och sambandsmän och av varje annan person för vilken det gäller särskild diskretions- och tystnadsplikt.

KAPITEL III

ALLMÄNNA PRINCIPER

Artikel 8 Grundläggande skyddsnivå, sekretessnivåer och säkerhetspaket

1. För alla uppgifter som behandlas av eller går genom Europol, utom uppgifter som uttryckligen är markerade som eller klart känns igen som offentliga, skall en grundläggande skyddsnivå gälla inom både Europols organisation och medlemsstaterna. De uppgifter för vilka endast den grundläggande skyddsnivån gäller kräver inte någon särskild sekretessmarkering enligt Europol, utan skall betecknas som Europolinformation.

2. Enligt artikel 2.2 skall medlemsstaterna säkerställa att den grundläggande skyddsnivån enligt punkt 1 tillämpas genom olika åtgärder i enlighet med nationella lagar och författningar, inklusive diskretions- och tystnadsplikt, som begränsar åtkomsten till uppgifter till behörig personal, krav på uppgiftsskydd när det gäller personuppgifter samt allmänna tekniska åtgärder och förfaranden för att säkerställa sekretessen, med beaktande av artikel 25.2 i Europolkonventionen.

3. För de uppgifter för vilka ytterligare säkerhetsåtgärder krävs skall en sekretessnivå enligt Europol fastställas och anges med en särskild markering. Uppgifter skall tilldelas en sådan sekretessnivå endast när och så länge som det är absolut nödvändigt.

4. Europols sekretessnivåer numreras "Europolnivå 1 3".

>Plats för tabell>

Var och en av Europols sekretessnivåer skall hänvisa till ett bestämt säkerhetspaket, vilket skall tillämpas inom Europolorganisationen. Säkerhetspaketen skall tillhandahålla olika skyddsnivåer allt efter uppgifternas innehåll och med hänsyn till den skada som otillåten tillgång till, spridning eller användning av uppgifterna kan tillfoga medlemsstaternas eller Europols intressen. Europolnivåerna 1 3 skall, i fråga om de säkerhetsåtgärder som skall tillämpas, så långt det är möjligt motsvara befintliga internationella normer.

När uppgifter som har skyddsmarkering på olika nivåer samlas in, skall den skyddsnivå tillämpas som är minst lika hög som nivån för den av uppgifterna som tilldelats den högsta skyddsnivå. En samling uppgifter kan under alla omständigheter ges en högre skyddsnivå än den som de enskilda uppgifterna har.

Översättningar av skyddsmarkerade dokument skall omfattas av samma skydd som originalen.

5. Säkerhetspaketen skall bestå av olika tekniska, organisatoriska eller administrativa åtgärder som fastställs i säkerhetshandboken. De skall omfatta tillåten användning av uppgifterna i enlighet med artikel 17 i Europolkonventionen, allt ifrån obegränsad användning till ingen användning utan samtycke från den som uppgifterna härrör från.

Artikel 9 Val av sekretessnivå

1. Den medlemsstat som överför uppgifter till Europol skall vara ansvarig för valet av lämplig sekretessnivå för dessa uppgifter i enlighet med artikel 8. Medlemsstaten skall om nödvändigt markera uppgifternas sekretessnivå enligt artikel 8.4, när den överför dem till Europol.

2. Medlemsstaterna skall vid valet av sekretessnivå ta hänsyn till uppgifternas klassificering enligt nationella bestämmelser samt till behovet av den operativa flexibilitet som krävs för att Europol skall fungera tillfredsställande.

3. Om Europol på grundval av redan befintliga uppgifter kommer till slutsatsen att valet av sekretessnivå behöver ändras, t.ex. genom att en sekretessnivå upphävs eller läggs till, eller att ett dokument med grundläggande skyddsnivå tilldelas en sekretessnivå, skall Europol underrätta den berörda medlemsstaten och försöka nå samförstånd om en lämplig sekretessnivå. Europol skall inte specificera, ändra, lägga till eller upphäva en sekretessnivå utan ett sådant samförstånd.

4. När uppgifter som tas fram av Europol bygger på eller innehåller uppgifter som har överförts av en medlemsstat, skall Europol i samförstånd med berörda medlemsstater fastställa om den grundläggande skyddsnivån är tillräcklig eller om en sekretessnivå enligt Europol behöver tillämpas.

5. När uppgifter utarbetas inom Europol, och dessa uppgifter varken bygger på eller innehåller uppgifter som överförts av en medlemsstat, skall Europol fastställa en lämplig sekretessnivå för sådana uppgifter och därvid använda kriterier fastställda av säkerhetskommittén. När det är nödvändigt skall Europol markera uppgifterna i enlighet därmed.

6. När uppgifter även berör en annan medlemsstats väsentliga intressen, skall medlemsstaterna och Europol rådfråga denna medlemsstat om uppgifterna skall tilldelas någon sekretessnivå, och i så fall vilken sekretessnivå som skall användas.

Artikel 10 Ändring av sekretessnivå

1. En medlemsstat som har överfört uppgifter till Europol kan när som helst kräva en ändring av den valda sekretessnivån, inklusive ett eventuellt upphävande eller tillägg av en sådan sekretessnivå. Europol skall ha skyldighet att upphäva, ändra eller lägga till en sekretessnivå i enlighet med den berörda medlemsstatens önskningar.

2. Den berörda medlemsstaten skall, så snart som omständigheterna tillåter, begära att en sekretessnivå ändras till en lägre nivå eller att den upphävs.

3. En medlemsstat som överför uppgifter till Europol kan närmare ange för vilken period valet av sekretessnivå gäller och vilka ändringar av säkerhetsnivån som eventuellt kan göras efter denna period.

4. När en grundläggande skyddsnivå eller en sekretessnivå har fastställts av Europol i enlighet med artikel 9.4, skall Europol endast ändra dessa i samförstånd med de berörda medlemsstaterna.

5. När en sekretessnivå har fastställts av Europol i enlighet med artikel 9.5, kan Europol när som helst ändra eller upphäva den om det bedöms vara nödvändigt.

6. När uppgifter vars sekretessnivå ändras i enlighet med denna artikel redan har överförts till andra medlemsstater, skall Europol ha skyldighet att underrätta mottagarna om ändringen av sekretessnivå.

Artikel 11 Behandling, tillgång till uppgifter och säkerhetskontroll

1. Tillgång till och innehav av uppgifter skall inom Europols organisation begränsas till de personer som under sin tjänsteutövning eller på grund av sina skyldigheter har behov av att känna till eller hantera sådana uppgifter. Personer som har anförtrotts behandling av uppgifter skall underkastas nödvändig säkerhetskontroll och dessutom få speciell utbildning.

2. Alla personer som kan få tillgång till uppgifter som har sekretessbelagts av Europol, skall genomgå säkerhetskontroll i enlighet med artikel 31.2 i Europolkonventionen och säkerhetshandboken. Säkerhetskoordinatorn skall, på förslag av säkerhetstjänstemannen och i enlighet med säkerhetshandbokens bestämmelser, ge tillstånd till de personer som har kontrollerats på lämplig nationell nivå och som under sin tjänsteutövning eller på grund av sina skyldigheter behöver känna till uppgifter som omfattas av en sekretessnivå enligt Europol. Han skall även vara ansvarig för att säkerställa genomförandet av punkt 3.

3. Tillgång till sådana uppgifter som har belagts med sekretess på en viss nivå får endast medges den som har genomgått säkerhetskontroll på lämplig nivå. I undantagsfall får emellertid säkerhetskoordinatorn efter samråd med säkerhetstjänstemannen ge ett särskilt, begränsat tillstånd till personer som har godkänts på nivå 1 och 2 att få tillgång till bestämda uppgifter på en högre nivå om de, under sin tjänsteutövning eller på grund av sina skyldigheter, i ett speciellt fall behöver känna till uppgifter som omfattas av en högre sekretessnivå.

4. Sådant tillstånd skall inte ges om en medlemsstat i samband med uppgiftslämnandet har förklarat att säkerhetskoordinatorn inte skall ha rätt att ge det tillstånd som anges i punkt 3 när det gäller dessa uppgifter.

Artikel 12 Tredje man

När Europol ingår avtal med tredje man om sekretess i enlighet med artikel 18.6 i Europolkonventionen eller avtal i enlighet med artikel 42 i denna, skall hänsyn tas till de principer som fastställs i dessa regler och i säkerhetshandboken, vilka bör tillämpas i enlighet därmed på uppgifter som utväxlas med tredje man.

KAPITEL IV

SLUTBESTÄMMELSER

Artikel 13 Ikraftträdande

Dessa bestämmelser träder i kraft 1 januari 1999.

Artikel 14 Revidering av reglerna

Styrelsen skall ta ställning till eventuella förslag till ändring av dessa regler, så att de kan antas av rådet i enlighet med förfarandet i artikel 31.1 i Europolkonventionen.

Utfärdad i Bryssel den 3 november 1998.

På rådets vägnar

B. PRAMMER

Ordförande

(1) EGT C 316, 27.11.1995, s. 1.

BILAGA

Jämförande tabell över nationella sekretessklassificeringar och motsvarande Europolbeteckningar

Tabellen nedan är en illustration: medlemsstaternas skyldighet är att tillhandahålla en likvärdig skyddsnivå snarare än att ange en viss beteckning.

>Plats för tabell>

NOT

Såsom anges i artikel 2.4 skall Europol utarbeta en reviderad version av översikten vid ändringar i den nationella bestämmelserna. Europols säkerhetskommitté skall minst en gång per år undersöka om översikten är aktuell. Eventuella svårigheter att tillämpa begreppet likvärdighet med avseende på skyddsnivåer skall diskuteras mellan medlemsstaterna och Europol eller kollektivt av säkerhetskommittén. Säkerhetskommittén skall även överväga hur översikten påverkas av eventuella ändringar av Europols säkerhetspaket, enligt vad som anges i säkerhetshandboken.