This document is an excerpt from the EUR-Lex website
Document 32018D1961
Commission Decision (EU) 2018/1961 of 11 December 2018 laying down internal rules concerning the provision of information to data subjects and the restriction of certain of their rights in the context of the processing of personal data for the purpose of internal audit activities
Kommissionens beslut (EU) 2018/1961 av den 11 december 2018 om interna regler för tillhandahållande av information till registrerade och begränsning av vissa av deras rättigheter vid behandling av personuppgifter i samband med internrevisionsverksamheter
Kommissionens beslut (EU) 2018/1961 av den 11 december 2018 om interna regler för tillhandahållande av information till registrerade och begränsning av vissa av deras rättigheter vid behandling av personuppgifter i samband med internrevisionsverksamheter
C/2018/8587
EUT L 315, 12.12.2018, p. 35–40
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
12.12.2018 |
SV |
Europeiska unionens officiella tidning |
L 315/35 |
KOMMISSIONENS BESLUT (EU) 2018/1961
av den 11 december 2018
om interna regler för tillhandahållande av information till registrerade och begränsning av vissa av deras rättigheter vid behandling av personuppgifter i samband med internrevisionsverksamheter
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DETTA BESLUT
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 249.1, och
av följande skäl:
|
(1) |
Enligt Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 (1) ska varje unionsinstitution inrätta en funktion för intern revision som ska skötas i enlighet med relevanta internationella normer. Den interna revisionsverksamheten inom kommissionen utförs av tjänsten för internrevision (nedan även kallad internrevisionstjänsten) som inrättades den 11 april 2000. Internrevisionstjänsten utför sitt arbete även i unionens decentraliserade byråer och andra oberoende organ som får bidrag från unionens budget. |
|
(2) |
Internrevisionstjänsten utför internrevision i enlighet med artiklarna 117–123 i förordning (EU, Euratom) 2018/1046 och sin uppdragsstadga (2). Internrevisionstjänsten är i detta avseende fullständigt oberoende och har fullständig och obegränsad tillgång till all information som krävs i internrevisionsarbetet med avseende på alla verksamheter inom EU-institutionens avdelningar. |
|
(3) |
Internrevisionstjänsten ger råd till andra avdelningar inom kommissionen, genomförandeorganen samt unionens decentraliserade byråer, och andra oberoende organ som får bidrag från unionens budget, i fråga om riskhantering, dvs. händelser eller problem som kan äventyra kommissionens politiska, strategiska och operativa mål. Detta sker genom yttranden på oberoende basis om förvaltnings- och kontrollsystemens kvalitet och genom rekommendationer för att förbättra villkoren för att genomföra transaktioner och för att främja en sund ekonomisk förvaltning, i enlighet med artiklarna 117–123 i förordning (EU, Euratom) 2018/1046. Internrevisionstjänstens arbete inriktas därför vanligtvis inte mot fysiska personer som sådana. I samband med dess arbete behandlas oundvikligen personuppgifter i den mening som avses i artikel 3.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (3). Bland internrevisionstjänstens uppgifter ingår att bedöma de interna förvaltningssystemens lämplighet och effektivitet samt hur väl avdelningarna genomför politiska åtgärder, program och insatser, och vidare effektiviteten och ändamålsenligheten hos de system för intern kontroll och revision som tillämpas på all budgetgenomförande verksamhet. Den bidrar därför till att skydda viktiga ekonomiska och finansiella intressen i unionen och medlemsstaterna. Internrevisionstjänsten är personuppgiftsansvarig för den behandling den utför i enlighet med artiklarna 118 och 119.2 i budgetförordningen. |
|
(4) |
Det internrevisionsarbete som utförts inom kommissionen och dess genomförandeorgan samt i unionens decentraliserade byråer och andra oberoende organ, varierar till form och innehåll, och omfattar bl.a. revisionssäkring (inklusive riskbedömningar), konsultuppdrag och granskningar med begränsad räckvidd samt uppföljningsuppdrag. |
|
(5) |
Kommittén för revisionsuppföljning är i enlighet med sin uppdragsstadga, som aktualiserades den 21 november 2018 (C(2018) 7707), ett rådgivande organ (4) som bistår kommissionen med fullgörandet av åtagandena enligt fördragen och annan lagstiftning (förordning (EU, Euratom) 2018/1046) genom att säkerställa internrevisionstjänstens oberoende, genom att vaka över kvaliteten på det interna revisionsarbetet och genom att säkerställa att kommissionen på vederbörligt sätt beaktar interna och externa revisionsrekommendationer och att de får lämplig uppföljning. På detta sätt bidrar nämnda kommitté till att ytterligare förbättra kommissionens effektivitet och ändamålsenlighet när det gäller att uppnå målen och underlättar kollegiets uppsikt över kommissionens styrning, riskhantering och rutiner för intern kontroll. Kommittén är personuppgiftsansvarig för den behandling den utför i enlighet med artikel 123 i budgetförordningen. |
|
(6) |
Vad gäller verksamheterna enligt artiklarna 118 och 119.2 i förordning (EU, Euratom) 2018/1046, behandlar kommissionen, antingen på eget initiativ eller på grundval av mottagen information, personuppgifter som förvärvats eller mottagits från juridiska personer, fysiska personer, medlemsstater och internationella organ och organisationer. Internrevisionstjänsten kan under sitt arbete även behandla personuppgifter som förvärvats eller mottagits från offentliga källor, från anonyma eller från identifierade källor som behöver få sin identitet skyddad. |
|
(7) |
Kommissionen får i sin tur utbyta personuppgifter med unionens institutioner, organ, och byråer, med behöriga myndigheter i medlemsstaterna och, inom ramen för internationella avtal och samarbetsavtal, med tredjeländer och internationella organisationer. |
|
(8) |
Behandling av personuppgifter, i den mening som avses i artikel 3.3 i förordning (EU) 2018/1725, i samband med interrevisionsarbete kan äga rum även innan kommissionen formellt inleder det, fortsätta under hela revisionsarbetet och även fortsätta efter det att revisionsarbetet formellt avslutats (till exempel för att övervaka genomförandet av rekommendationer och bedöma behovet av nya internrevisionsinsatser). |
|
(9) |
De kategorier av personuppgifter som behandlas av kommissionen är t.ex. uppgifter om identitet, kontaktuppgifter, yrkesrelaterade uppgifter och uppgifter som rör eller har lämnats in i samband med föremålet för utredningen. Dessa kategorier av personuppgifter lagras i en säker elektronisk miljö för att förhindra olaglig åtkomst eller överföring av uppgifter till personer som inte har behov av att ta del av dem. Personuppgifterna bevaras i högst tio år. I slutet av lagringsperioden överförs information som rör interrevisionsverksamheten, däribland personuppgifter, till kommissionens slutförvaringsarkiv (5) eller så förstörs den. |
|
(10) |
Kommissionen är i sina interrevisionsverksamheter skyldig att respektera fysiska personers rättigheter i samband med behandling av personuppgifter vilka omfattas av artikel 8.1 i stadgan om de grundläggande rättigheterna och av artikel 16.1 i fördraget samt av rättsakter som rättigheter som föreskrivs i förordning (EU) 2018/1725. Kommissionen är samtidigt skyldig att följa de strikta regler om konfidentialitet som avses i de internationella normerna för internrevision, i enlighet med artikel 117 i förordning (EU, Euratom) 2018/1046. |
|
(11) |
Under vissa omständigheter är det nödvändigt att sammanjämka registrerades rättigheter enligt förordning (EU) 2018/1725 med internrevisionsverksamheternas behov och behov av sekretess vid utbyte av information med fysiska och juridiska personer samt med respekten för andra registrerades rättigheter och friheter. I enlighet med artikel 25.1 c, g och h i förordning (EU) 2018/1725 kan därför internrevisionstjänsten föreskriva begränsningar i tillämpningen av artiklarna 14–17, 19, 20 och 35, samt principen om öppenhet som fastställs i artikel 4.1 a, i den mån bestämmelserna i beslutet motsvarar de rättigheter och skyldigheter som fastställs i de ovan nämnda artiklarna 14–17, 19, 20 och 35. |
|
(12) |
För att säkra effektiviteten i internrevisionsarbetet, och samtidigt respektera standarderna för skydd av personuppgifter enligt förordning (EU) 2018/1725, som ersatte Europaparlamentets och rådets förordning (EG) nr 45/2001 (6), är det nödvändigt att anta interna regler enligt vilka kommissionen får begränsa registrerades rättigheter i enlighet med artikel 25.1 c, g och h i förordning (EU) 2018/1725. |
|
(13) |
De interna reglerna bör omfatta all behandling som kommissionen utför när den utför sitt internrevisionsarbete, oavsett om den agerar på eget initiativ eller på grundval av mottagen information, närhelst utövandet av den registrerades rättigheter kan äventyra internrevisionsarbetet. Dessa regler bör gälla för uppgiftsbehandling som utförs innan ett uppdrag formellt inleds, under uppdragets fullgörande samt under övervakningen av uppföljningen av resultaten. |
|
(14) |
För att uppfylla kraven i artiklarna 14, 15 och 16 i förordning (EU) 2018/1725 bör kommissionen informera alla enskilda personer om verksamhet som innebär behandling av personuppgifter och om deras rättigheter på ett tydligt och konsekvent sätt med hjälp av ett dataskyddsmeddelande som offentliggörs på kommissionens webbplats. Kommissionen bör när så är relevant tillgripa ytterligare skyddsåtgärder för att se till att registrerade informeras enskilt på lämpligt sätt. |
|
(15) |
Kommissionen kan, på grundval av artikel 25 i förordning (EU) 2018/1725, även begränsa informationen till registrerade och de registrerades andra rättigheter, för att skydda egna internrevisionsverksamheter, medlemsstaternas myndigheters revisioner, revisionsverktygen och revisionsmetoderna samt även andra personers rättigheter i samband med kommissionens internrevisionsverksamheter. |
|
(16) |
För ett effektivt samarbete kan kommissionen behöva begränsa registrerades rättigheter för att skydda uppgiftsbehandling som görs av kommissionens avdelningar eller unionens andra institutioner, organ och byråer eller av medlemsstaternas myndigheter och internationella organisationer samt av kommittén för revisionsuppföljning. Kommissionen bör i detta syfte samråda med dessa avdelningar, institutioner, organ, byråer, myndigheter och organisationer samt kommittén för revisionsuppföljning om relevanta skäl för begränsningarna samt deras nödvändighet och proportionalitet. |
|
(17) |
Kommissionen kan också behöva begränsa tillhandahållandet av information till registrerade och tillämpningen av andra registrerades rättigheter i samband med personuppgifter som mottagits från tredjeländer eller internationella organisationer, för att samarbeta med dessa länder eller organisationer och därigenom trygga viktiga mål av allmänt intresse för unionen. I vissa fall kan dock den registrerades intresse eller grundläggande rättigheter väga tyngre än intresset av internationellt samarbete. |
|
(18) |
Kommissionen bör hantera alla begränsningar på ett öppet sätt och registrera varje beslut om begränsningar i motsvarande register. |
|
(19) |
I kraft av artikel 25.8 i förordning (EU) 2018/1725 kan personuppgiftsansvariga uppskjuta, utelämna eller neka tillhandahållandet av information om skälen till begränsningarna på något sätt skulle äventyra syftet med begränsningen. Detta gäller i synnerhet begränsningar av de rättigheter som anges i artiklarna 16 och 35 i förordning (EU) 2018/1725. |
|
(20) |
Om registrerades andra rättigheter begränsas, bör den personuppgiftsansvarige från fall till fall bedöma huruvida informationen om begränsningen kan äventyra sitt syfte. |
|
(21) |
Kommissionens dataskyddsombud bör genomföra en oberoende översyn av tillämpningen av begränsningar för att säkerställa överensstämmelse med detta beslut. |
|
(22) |
Förordning (EU) 2018/1725 ersätter förordning (EG) nr 45/2001 utan någon övergångsperiod, från och med den dag då den träder i kraft. Möjligheten att begränsa vissa rättigheter infördes genom förordning (EG) nr 45/2001. För att undvika att äventyra lagligheten i internrevisionens arbete bör detta beslut gälla från och med den dag då förordning (EU) 2018/1725 träder i kraft. |
|
(23) |
Europeiska datatillsynsmannen avgav ett yttrande den 27 november 2018. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Syfte och tillämpningsområde
1. I detta beslut fastställs de regler som kommissionen ska följa för att informera registrerade om behandlingen av deras uppgifter i enlighet med artiklarna 14, 15 och 16 i förordning (EU) 2018/1725, när den utför sitt internrevisionsarbete i enlighet med artiklarna 117–123 i förordning (EU, Euratom) 2018/1046.
Genom beslutet regleras även villkoren för hur kommissionen får begränsa tillämpningen av artiklarna 4, 14–17, 19, 20 och 35 i förordning (EU) 2018/1725, i överensstämmelse med artikel 25.1 c, g och h i den förordningen.
2. Detta beslut är tillämpligt på kommissionens behandling av personuppgifter för eller i samband med verksamheter som bedrivs för att fullgöra kommissionens arbetsuppgifter i kraft av artiklarna 118 och 119.2 i förordning (EU, Euratom) nr 2018/1046.
3. Detta beslut är tillämpligt på behandling av personuppgifter som utförs av kommissionen, i den mån kommissionen behandlar personuppgifter som ingår i information som den är skyldig att behandla för eller i samband med de verksamheter som avses i denna artikel.
Artikel 2
Tillämpliga undantag och begränsningar
1. Kommissionen ska vid fullgörandet av sina skyldigheter med avseende på de registrerades rättigheter enligt förordning (EU) 2018/1725 överväga om några av de undantag som anges i den förordningen är tillämpliga.
2. Kommissionen kan, om inte annat följer av artiklarna 3–7 i föreliggande beslut, begränsa tillämpningen av artiklarna 14–17, 19, 20 och 35 i förordning (EU) 2018/1725 samt principen om öppenhet som fastställs i artikel 4.1 a i den förordningen, i den mån bestämmelserna i beslutet motsvarar rättigheterna och skyldigheterna i de ovan nämnda artiklarna 14–17, 19, 20 och 35, i de fall utövandet av dessa rättigheter och skyldigheter skulle äventyra syftet med kommissionens verksamheter enligt artiklarna 118 och 119.2 i förordning (EU, Euratom) 2018/1046, bl.a. genom att avslöja kommissionens revisionsverktyg och revisionsmetoder, eller skulle inverka menligt på andras registrerades rättigheter och friheter.
3. Kommissionen kan, om inte annat följer av artiklarna 3–7 i föreliggande beslut, begränsa rättigheter och skyldigheter som avses i punkt 2 i denna artikel vad gäller personuppgifter som erhållits från unionens övriga institutioner, organ och byråer, behöriga myndigheter i medlemsstaterna eller tredjeländer, internationella organisationer, om
|
a) |
utövandet av dessa rättigheter och skyldigheter skulle kunna begränsas av unionens övriga institutioner, organ och byråer på grundval av andra rättsakter som föreskrivs i artikel 25 i förordning (EU) 2018/1725 eller i enlighet med kapitel IX i den förordningen eller i enlighet med Europaparlamentets och rådets förordning (EU) 2016/794 (7) eller rådets förordning (EU) 2017/1939 (8), |
|
b) |
utövandet av dessa rättigheter och skyldigheter skulle kunna begränsas av medlemsstaternas behöriga myndigheter på grundval av rättsakter som avses i artikel 23 i Europaparlamentets och rådets förordning (EU) 2016/679 (9), eller enligt nationella bestämmelser som införlivar artiklarna 13.3, 15.3 eller 16.3 i Europaparlamentets och rådets direktiv (EU) 2016/680 (10), |
|
c) |
utövandet av dessa rättigheter och skyldigheter skulle kunna äventyra kommissionens samarbete med tredjeländer eller internationella organisationer vid utförandet av dess internrevisonsarbete. |
Före tillämpningen av begränsningar i fall som avses i punkt 1 a och b, ska kommissionen samråda med unionens berörda institutioner, organ och byråer eller medlemsstaters behöriga myndigheter såvida det inte är uppenbart för kommissionen att tillämpningen av en begränsning föreskrivs genom någon av de rättsakter som avses i de punkterna eller sådant samråd skulle äventyra syftet med dess verksamheter enligt artiklarna 118 and 119.2 i förordning (EU, Euratom) 2018/1046.
Punkt 1 c ska inte tillämpas om kommissionens intresse att samarbeta med tredjeländer eller internationella organisationer åsidosätts av de registrerades intressen eller grundläggande rättigheter och friheter.
4. Punkterna 1, 2 och 3 påverkar inte tillämpningen av andra kommissionsbeslut om interna regler för tillhandahållande av information till registrerade och begränsning av vissa rättigheter enligt artikel 25 i förordning (EU) 2018/1725 och artikel 23 i kommissionens arbetsordning.
Artikel 3
Tillhandahållande av information till registrerade
Kommissionen ska på sin webbplats offentliggöra dataskyddsmeddelanden som informerar alla registrerade om dess verksamheter som innebär behandling av deras personuppgifter i dess verksamheter enligt artiklarna 118 och 119.2 i förordning (EU, Euratom) 2018/1046. Kommissionen ska se till att registrerade informeras individuellt på lämpligt sätt.
Om kommissionen, helt eller delvis, begränsar informationen till registrerade, vars personuppgifter behandlas i dess verksamhet enligt artiklarna 118 och 119.2 i förordning (EU, Euratom) 2018/1046 ska den dokumentera och registrera skälen till begränsningen i enlighet med artikel 6.
Artikel 4
Registrerades rätt till tillgång, rätt till radering och rätt till begränsning av behandling
1. Om kommissionen helt eller delvis begränsar en registrerads rätt till tillgång till personuppgifter, rätt till radering eller rätt till begränsning av behandling enligt vad som avses i artiklarna 17, 19 respektive 20 i förordning (EU) 2018/1725, ska den informera den berörda registrerade i sitt svar på begäran om tillgång, radering eller begränsning av behandling om den begränsning som tillämpas och om de huvudsakliga skälen till detta, samt om möjligheten att ge in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.
2. Tillhandahållandet av information om skälen för den begränsning som avses i punkt 1 i denna artikel får skjutas upp, utelämnas eller nekas så länge som det skulle undergräva syftet med begränsningen.
3. Kommissionen ska dokumentera skälen till begränsningen i enlighet med artikel 6 i detta beslut.
4. Om rätten till tillgång helt eller delvis begränsas, ska den registrerade utöva sin rätt till tillgång via Europeiska datatillsynsmannen, i enlighet med artikel 25.6, 25.7 och 25.8 i förordning (EU) 2018/1725.
Artikel 5
Information till registrerade om en personuppgiftsincidenter
Om kommissionen begränsar informationen om en personuppgiftsincident till den registrerade, såsom avses i artikel 35 i förordning (EU) 2018/1725, ska den dokumentera och registrera skälen till begränsningen i överensstämmelse med artikel 6 i föreliggande beslut.
Artikel 6
Dokumenteringen och registrering av begränsningar
Kommissionen ska dokumentera skälen till begränsningar som tillämpas i kraft av detta beslut, däribland bedömningen av begränsningens nödvändighet och proportionalitet, under beaktande av relevanta delar av artikel 25.2 i förordning (EU) 2018/1725.
För detta ändamål ska det av dokumenteringen framgå hur utövandet av rättigheten skulle äventyra syftet med kommissionens verksamheter enligt artiklarna 118 and 119.2 i förordning (EU, Euratom) 2018/1046, eller syftet med de begränsningar som tillämpas i kraft av artikel 2.2 eller 2.3, eller menligt skulle inverka på andra registrerades rättigheter och friheter.
Dokumenteringen och, i förekommande fall, handlingar som innehåller de bakomliggande faktiska och rättsliga omständigheterna, ska registreras. Denna information ska på begäran göras tillgänglig för Europeiska datatillsynsmannen.
Artikel 7
Begränsningars varaktighet
1. De begränsningar som avses artiklarna 3, 4 och 5 i detta beslut ska fortsätta vara tillämpliga så länge som skälen som motiverar dem föreligger.
2. Om skälen till en begränsning som avses i artiklarna 3 eller 5 i detta beslut inte längre föreligger, ska kommissionen upphäva begränsningen och ange de huvudsakliga skälen till begränsningen för den registrerade. Samtidigt ska kommissionen informera den registrerade om möjligheten att när som helst inge klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid Europeiska unionens domstol.
3. Kommissionen ska ompröva tillämpningen av den begränsning som avses i artiklarna 3 och 5 i detta beslut var sjätte månad från antagandet och före och efter internrevisionsarbetet har avslutats. Därefter ska kommissionen på årsbasis övervaka behovet av att behålla en eventuell begränsning eller ett eventuellt uppskjutande.
Artikel 8
Omprövning av kommissionens dataskyddsombud
Kommissionens dataskyddsombud ska utan onödigt dröjsmål underrättas när registrerades rättigheter begränsas med stöd i föreliggande beslut. Dataskyddsombud ska på begäran ges tillgång till dokumenteringen och alla handlingar som innehåller underliggande faktiska och rättsliga omständigheter.
Dataskyddsombudet kan begära att begränsningarna ska omprövas. Dataskyddsombud ska underrättas skriftligen om resultatet av omprövningen.
Artikel 9
Ikraftträdande
Detta beslut träder i kraft samma dag som det offentliggörs i Europeiska unionens officiella tidning.
Det ska tillämpas från och med den 11 december 2018.
Utfärdat i Bryssel den 11 december 2018.
På kommissionens vägnar
Jean-Claude JUNCKER
Ordförande
(1) Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012 (EUT L 193, 30.7.2018, s. 1).
(2) C(2017) 4435 final.
(3) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
(4) Inrättades i oktober 2000, SEC(2000)1808/3.
(5) Lagring av ärenden i kommissionen regleras av den gemensamma bevarandeförteckningen, en rättslig handling (den senaste versionen är SEC(2012) 713) i form av en tidsplan som fastställer lagringsperioder för olika typer av kommissionens akter.
(6) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).
(7) Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (EUT L 135, 24.5.2016, s. 53).
(8) Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1).
(9) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
(10) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).