This document is an excerpt from the EUR-Lex website
Document 32022R0991
Regulation (EU) 2022/991 of the European Parliament and of the Council of 8 June 2022 amending Regulation (EU) 2016/794, as regards Europol’s cooperation with private parties, the processing of personal data by Europol in support of criminal investigations, and Europol’s role in research and innovation
Europaparlamentets och rådets förordning (EU) 2022/991 av den 8 juni 2022 om ändring av förordning (EU) 2016/794 vad gäller Europols samarbete med privata parter, Europols behandling av personuppgifter till stöd för brottsutredningar och Europols roll inom forskning och innovation
Europaparlamentets och rådets förordning (EU) 2022/991 av den 8 juni 2022 om ändring av förordning (EU) 2016/794 vad gäller Europols samarbete med privata parter, Europols behandling av personuppgifter till stöd för brottsutredningar och Europols roll inom forskning och innovation
PE/8/2022/REV/1
EUT L 169, 27.6.2022, p. 1–42
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
27.6.2022 |
SV |
Europeiska unionens officiella tidning |
L 169/1 |
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2022/991
av den 8 juni 2022
om ändring av förordning (EU) 2016/794 vad gäller Europols samarbete med privata parter, Europols behandling av personuppgifter till stöd för brottsutredningar och Europols roll inom forskning och innovation
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 88,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
i enlighet med det ordinarie lagstiftningsförfarandet (1), och
av följande skäl:
(1) |
Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) inrättades genom Europaparlamentets och rådets förordning (EU) 2016/794 (2) för att stödja och stärka medlemsstaternas behöriga myndigheters insatser och deras ömsesidiga samarbete för att förebygga och bekämpa allvarlig brottslighet som berör två eller flera medlemsstater, terrorism och former av brottslighet som påverkar ett gemensamt intresse som omfattas av unionens politik. |
(2) |
Europa står inför ett föränderligt säkerhetslandskap, med nya och alltmer komplexa säkerhetshot. Terrorister och andra brottslingar utnyttjar den digitala omvandlingen och den nya tekniken, i synnerhet såväl sammankoppling, som utplåning av gränserna, mellan den fysiska och den digitala världen, till exempel genom att dölja sina brott och sina identiteter med hjälp av alltmer sofistikerade tekniker. Terrorister och andra brottslingar har visat att de kan anpassa sina arbetsmetoder och utveckla ny brottslig verksamhet i kristider, inbegripet genom att ta hjälp av teknikbaserade verktyg för att mångfaldiga och utvidga omfattningen och vidden av sin brottsliga verksamhet. Terrorism förblir ett betydande hot mot unionsmedborgares frihet och levnadssätt. |
(3) |
Föränderliga och komplexa hot sprids över gränserna, omfattar en rad olika brottsformer och tar sig uttryck i multikriminella brottsorganisationer som ägnar sig åt många olika typer av brottslig verksamhet. Eftersom åtgärder på nationell nivå och gränsöverskridande samarbete inte räcker för att hantera dessa gränsöverskridande säkerhetshot har medlemsstaternas behöriga myndigheter i allt högre grad utnyttjat det stöd och den sakkunskap som Europol erbjuder för att förebygga och bekämpa allvarlig brottslighet och terrorism. Sedan förordning (EU) 2016/794 började tillämpas har den operativa betydelsen av Europols uppgifter ökat avsevärt. Den nya hotmiljön förändrar dessutom omfattningen och den typ av stöd som medlemsstaterna behöver och förväntar sig av Europol för att hålla medborgarna säkra. |
(4) |
Europol bör därför tilldelas ytterligare uppgifter genom denna förordning för att göra det möjligt för Europol att bättre stödja medlemsstaternas behöriga myndigheter, samtidigt som medlemsstaternas ansvar på området för nationell säkerhet enligt artikel 4.2 i fördraget om Europeiska unionen (EU-fördraget) bevaras fullt ut. Europols förstärkta mandat bör vägas mot förstärkta skyddsåtgärder när det gäller grundläggande rättigheter och ökad ansvarsskyldighet, ökat ansvar och ökad tillsyn, inbegripet parlamentarisk tillsyn och tillsyn genom Europols styrelse (styrelsen). För att Europol ska kunna fullgöra sitt förstärkta mandat bör dess ytterligare uppgifter motsvaras av tillräckliga personella och ekonomiska resurser. |
(5) |
Eftersom unionen står inför allt större hot från brottsorganisationer och terroristattacker måste en effektiv brottsbekämpande insats omfatta tillgång till välutbildade, kompatibla särskilda insatsgrupper som är specialiserade på att hantera krissituationer som förorsakas av människor. I unionen samarbetar medlemsstaternas särskilda insatsgrupper på grundval av rådets beslut 2008/617/RIF (3). Europol bör kunna stödja dessa särskilda insatsgrupper genom att tillhandahålla tekniskt och ekonomiskt stöd som kompletterar de insatser som görs av medlemsstaterna. |
(6) |
Under de senaste åren har storskaliga cyberangrepp, inbegripet angrepp med ursprung i tredjeländer, riktats mot både offentliga och privata enheter i många jurisdiktioner inom och utanför unionen, vilka påverkat olika sektorer såsom transport, hälso- och sjukvård och finansiella tjänster. Förebyggande, upptäckt, utredning och lagföring av sådana cyberangrepp stöds av samordning och samarbete mellan relevanta aktörer, däribland Europeiska unionens cybersäkerhetsbyrå (Enisa), inrättad genom Europaparlamentets och rådets förordning (EU) 2019/881 (4), behöriga myndigheter för säkerhet i nätverks- och informationssystem enligt Europaparlamentets och rådets direktiv (EU) 2016/1148 (5), medlemsstaternas behöriga myndigheter och privata parter. För att säkerställa effektivt samarbete mellan alla relevanta aktörer på unionsnivå och nationell nivå i fråga om cyberangrepp och cybersäkerhetshot bör Europol samarbeta med Enisa särskilt genom informationsutbyte och analytiskt stöd på områden som omfattas av deras respektive behörigheter. |
(7) |
Högriskbrottslingar spelar en ledande roll i kriminella nätverk och deras kriminella verksamhet utgör en stor risk för unionens inre säkerhet. För att bekämpa högriskbrottsorganisationer och deras ledande medlemmar bör Europol kunna hjälpa medlemsstaterna att inrikta sina utredningsinsatser på att identifiera medlemmar och ledande medlemmar i dessa nätverk, deras brottsliga verksamhet och deras finansiella tillgångar. |
(8) |
De hot som allvarlig brottslighet utgör kräver en samordnad, enhetlig, sektorsövergripande och myndighetsövergripande insats. Europol bör kunna underlätta och stödja underrättelseledda säkerhetsinitiativ som drivs av medlemsstaterna som syftar till att identifiera, prioritera och ta itu med allvarliga brottshot, såsom Europeiska sektorsövergripande plattformen mot brottshot (Empact). Europol bör kunna tillhandahålla administrativt, logistiskt, ekonomiskt och operativt stöd till sådana initiativ. |
(9) |
Schengens informationssystem (SIS), som inrättades på området polissamarbete och straffrättsligt samarbete genom Europaparlamentets och rådets förordning (EU) 2018/1862 (6), är ett viktigt verktyg för att upprätthålla en hög säkerhetsnivå inom området med frihet, säkerhet och rättvisa. Europol, som är ett nav för informationsutbyte inom unionen, tar emot och lagrar värdefull information från tredjeländer och internationella organisationer om personer som misstänks vara inblandade i brott som omfattas av Europols mål. Inom ramen för sina mål och sin uppgift att stödja medlemsstaterna i arbetet med att förebygga och bekämpa grov brottslighet och terrorism, bör Europol stödja medlemsstaterna vid behandlingen av uppgifter som lämnats av tredjeländer eller internationella organisationer till Europol genom att rekommendera att medlemsstaterna för in registreringar i SIS under en ny kategori av informationsregistreringar i unionens intresse (informationsregistrering), i syfte att göra dessa informationsregistreringar tillgängliga för SIS slutanvändare. För detta ändamål bör en mekanism för regelbunden rapportering införas för att säkerställa att medlemsstaterna och Europol informeras om resultatet av kontrollen och analysen av dessa uppgifter och om huruvida informationsregistreringarna har förts in i SIS. Formerna för medlemsstaternas samarbete när det gäller behandling av sådana uppgifter och införande av registreringar i SIS, särskilt när det gäller kampen mot terrorism, bör vara föremål för kontinuerlig samordning mellan medlemsstaterna. Styrelsen bör specificera de kriterier på grundval av vilka det bör vara möjligt för Europol att lägga fram förslag om att föra in sådana informationsregistreringar i SIS. |
(10) |
Europol har en viktig roll att spela till stöd för den utvärderings- och övervakningsmekanism för kontroll av tillämpningen av Schengenregelverket som inrättades genom rådets förordning (EU) nr 1053/2013 (7). Europol bör därför, på medlemsstaternas begäran, bidra med sin sakkunskap samt sina analyser, rapporter och andra relevanta uppgifter till utvärderings- och övervakningsmekanismen för att kontrollera tillämpningen av Schengenregelverket. |
(11) |
Riskbedömningar hjälper till att förutse nya tendenser och ta itu med nya hot inom allvarlig brottslighet och terrorism. För att hjälpa kommissionen och medlemsstaterna att genomföra ändamålsenliga riskbedömningar bör Europol tillhandahålla kommissionen och medlemsstaterna hotbedömningsanalyser på grundval av den information byrån innehar om kriminella företeelser och tendenser, utan att det påverkar unionsrätten om riskhantering på tullområdet. |
(12) |
För att unionens finansiering av säkerhetsforskning ska nå sitt mål att säkerställa att den forskningen utvecklar sin fulla potential och tillgodoser de brottsbekämpande myndigheternas behov, bör Europol bistå kommissionen med att identifiera centrala forskningsteman och utarbeta och genomföra de unionsramprogram för forskning och innovation som är relevanta för Europols mål. I relevanta fall bör Europol kunna sprida resultaten av sin forsknings- och innovationsverksamhet som en del av sitt bidrag till att skapa synergier mellan forsknings- och innovationsverksamheten inom berörda unionsorgan. När så är lämpligt bör Europol kunna samråda med kommissionens gemensamma forskningscentrum (JRC) vid fastställandet och utformningen av forsknings- och innovationsverksamhet i frågor som är relevanta för Europols mål. Europol bör vidta alla nödvändiga åtgärder för att undvika intressekonflikter. Europol bör inte få finansiering från ett visst unionsramprogram när Europol hjälper kommissionen att identifiera centrala forskningsteam eller att utarbeta och genomföra det programmet. Det är viktigt att Europol kan förlita sig på att tillräcklig finansiering tillhandahålls för att kunna bistå medlemsstaterna och kommissionen på området forskning- och innovation. |
(13) |
Det är möjligt för unionen och medlemsstaterna att anta restriktiva åtgärder avseende utländska direktinvesteringar av hänsyn till säkerhet eller allmän ordning. För detta syfte upprättas genom Europaparlamentets och rådets förordning (EU) 2019/452 (8) en ram för granskning av utländska direktinvesteringar i unionen. Utländska direktinvesteringar i ny teknik förtjänar särskild uppmärksamhet eftersom de kan få betydande konsekvenser för säkerhet och allmän ordning, särskilt när sådan teknik används av medlemsstaternas behöriga myndigheter. Med tanke på Europols engagemang i övervakningen av ny teknik och dess deltagande i utvecklingen av nya sätt att använda denna teknik för brottsbekämpande ändamål, i synnerhet genom sitt innovationslabb och EU:s innovationsknutpunkt för inre säkerhet, har Europol omfattande kunskaper om de möjligheter som sådan teknik erbjuder och om de risker som är förknippade med dess användning. Det bör därför vara möjligt för Europol att stödja medlemsstaterna vid granskningen av utländska direktinvesteringar i unionen och de därmed sammanhängande risker avseende säkerhet som avser företag som tillhandahåller teknik, inbegripet programvara som används av Europol eller medlemsstaterna för att förebygga och utreda brott som omfattas av Europols mål eller kritisk teknik som kan användas för att underlätta terrorism. I detta sammanhang bör Europols sakkunskap stödja granskningen av utländska direktinvesteringar och de därmed sammanhängande säkerhetsriskerna. Det bör särskilt beaktas huruvida den utländska investeraren redan har varit involverad i verksamhet som påverkar säkerhet, huruvida det föreligger en allvarlig risk för att den utländska investeraren bedriver olaglig eller kriminell verksamhet och huruvida den utländska investeraren direkt eller indirekt kontrolleras av ett tredjelands regering, inbegripet genom bidrag. |
(14) |
Europol tillhandahåller specialiserad sakkunskap för att bekämpa allvarlig brottslighet och terrorism. På begäran av en medlemsstat bör Europols personal kunna ge operativt stöd till den medlemsstatens behöriga myndigheter i samband med insatser och utredningar, i synnerhet genom att underlätta gränsöverskridande informationsutbyte och tillhandahålla kriminaltekniskt och tekniskt stöd vid insatser och utredningar, även inom ramen för gemensamma utredningsgrupper. På begäran av en medlemsstat bör Europols personal ha rätt att närvara vid utförandet av utredningsåtgärder i den medlemsstaten. Europols personal bör inte ha befogenhet att verkställa utredningsåtgärder. |
(15) |
Ett av Europols mål är att stödja och stärka medlemsstaternas behöriga myndigheters insatser samt deras ömsesidiga samarbete för att förebygga och bekämpa former av brottslighet som skadar ett gemensamt intresse som omfattas av unionens politik. För att stärka detta stöd bör Europols verkställande direktör (den verkställande direktören) kunna föreslå att de behöriga myndigheterna i en medlemsstat inleder, genomför eller samordnar en utredning av ett brott som rör endast den medlemsstaten men som skadar ett gemensamt intresse som omfattas av unionens politik. Europol bör informera Eurojust och, i relevanta fall, Europeiska åklagarmyndigheten (Eppo), inrättad genom rådets förordning (EU) 2017/1939 (9), om sådana förslag. |
(16) |
Genom att offentliggöra identiteten på, och vissa personuppgifter om, misstänkta eller dömda personer som är efterlysta på grundval av ett nationellt rättsligt beslut ökar medlemsstaters möjligheter att lokalisera och gripa sådana personer. För att stödja medlemsstaterna i att lokalisera och gripa sådana personer bör Europol på sin webbplats kunna offentliggöra information om Europas mest eftersökta personer på flykt, när det gäller brott som omfattas av Europols mål. Av samma skäl bör Europol göra det lättare för allmänheten att lämna information till medlemsstaterna och Europol om dessa personer. |
(17) |
När Europol försäkrat sig om att personuppgifter som den mottar omfattas av dess mål bör Europol kunna behandla dessa personuppgifter i följande fyra situationer. I den första situationen avser de mottagna personuppgifterna någon av de kategorier av registrerade som förtecknas i bilaga II till förordning (EU) 2016/794 (bilaga II). I den andra situationen består de mottagna personuppgifterna av utredningsuppgifter som innehåller uppgifter som inte avser någon av de kategorier av registrerade som förtecknas i bilaga II, men som har lämnats enligt en begäran om stöd från Europol inom ramen för en specifik brottsutredning av en medlemsstat, Eppo, Eurojust eller ett tredjeland som är behörigt att behandla sådana utredningsuppgifter i enlighet med de processuella krav och skyddsåtgärder som är tillämpliga enligt unionsrätten och nationell rätt. I den situationen bör Europol kunna behandla dessa utredningsuppgifter så länge det stöder den specifika brottsutredningen. I den tredje situationen avser de mottagna personuppgifterna eventuellt inte de kategorier av registrerade som förtecknas i bilaga II och har inte tillhandahållits i enlighet med en begäran om stöd från Europol vid en utredning av ett specifikt brott. I den situationen bör Europol kunna kontrollera om personuppgifterna rör någon av dessa kategorier av registrerade. I den fjärde situationen har personuppgifterna lämnats för forsknings- och innovationsprojekt och avser inte de kategorier av registrerade som förtecknas i bilaga II. |
(18) |
I enlighet med artikel 73 i Europaparlamentets och rådets förordning (EU) 2018/1725 (10) bör Europol i tillämpliga fall och i möjligaste mån göra en tydlig åtskillnad mellan personuppgifter som rör kategorier av registrerade som förtecknas i bilaga II. |
(19) |
När medlemsstaterna använder Europols infrastruktur för utbyte av personuppgifter om brott som inte omfattas av Europols mål, bör Europol inte ha åtkomst till dessa uppgifter och bör anses vara ett personuppgiftsbiträde enligt artikel 87 i förordning (EU) 2018/1725. I dessa fall bör Europol kunna behandla uppgifter som inte är kopplade till de kategorier av registrerade som förtecknas i bilaga II. När medlemsstaterna använder Europols infrastruktur för utbyte av personuppgifter om brott som omfattas av Europols mål och där de beviljar Europol åtkomst till dessa uppgifter, bör de krav som är kopplade till de kategorier av registrerade som förtecknas i bilaga II tillämpas på all annan behandling av dessa uppgifter som utförs av Europol. |
(20) |
Med respekt för principen om uppgiftsminimering bör Europol kunna kontrollera om personuppgifter som mottagits i samband med förebyggande och bekämpning av brott som omfattas av Europols mål rör en av de kategorier av registrerade som förtecknas i bilaga II. För detta ändamål bör Europol ha möjlighet att utföra en förhandsanalys av mottagna personuppgifter med det enda syftet att fastställa om sådana uppgifter hänför sig till någon av dessa kategorier av registrerade genom att kontrollera dessa personuppgifter mot uppgifter som byrån redan innehar, utan att ytterligare analysera dessa personuppgifter. En sådan förhandsanalys bör äga rum före, och åtskilt från, Europols uppgiftsbehandling för samkörning, strategisk analys, operativ analys eller informationsutbyte och efter det att Europol har fastställt att uppgifterna i fråga är relevanta och nödvändiga för utförandet av dess uppgifter. När Europol har bekräftat att dessa personuppgifter omfattas av de kategorier av registrerade som förtecknas i bilaga II bör Europol kunna behandla dessa personuppgifter för samkörning, strategisk analys, operativ analys eller informationsutbyte. Om Europol drar slutsatsen att dessa personuppgifter inte omfattas av de kategorier av registrerade som förtecknas i bilaga II bör Europol radera dessa uppgifter. |
(21) |
Kategoriseringen av personuppgifter i ett visst dataset kan komma att ändras över tid som en följd av ny informationen som blir tillgänglig när det gäller brottsutredningar, till exempel med avseende på ytterligare misstänkta. Av detta skäl bör Europol tillåtas att behandla personuppgifter när det är strikt nödvändigt och proportionellt för att fastställa de kategorier av registrerade till vilka uppgifterna i fråga hänför sig under en period på högst 18 månader från det att Europol försäkrat sin om att dessa uppgifter omfattas av dess mål. Europol bör kunna förlänga den perioden till tre år i vederbörligen motiverade fall och förutsatt att en sådan förlängning är nödvändig och proportionell. Europeiska datatillsynsmannen bör informeras om förlängningen. Om behandlingen av personuppgifter för att fastställa kategorierna av registrerade inte längre är nödvändig och motiverad, samt under alla omständigheter när den maximala behandlingsperioden har löpt ut, bör Europol radera personuppgifterna. |
(22) |
Mängden uppgifter som samlas in i samband med brottsutredningar har ökat i omfattning och dataseten har blivit mer komplexa. Medlemsstaterna lämnar stora och komplexa dataset till Europol och begär att byrån ska göra en operativ analys för att identifiera kopplingar till andra brott än det som är föremål för den utredning inom vars ram de samlades in och till brottslingar i andra medlemsstater och utanför unionen. Eftersom Europol kan upptäcka sådana gränsöverskridande kopplingar mera effektivt än medlemsstaterna genom sina egna analyser av uppgifterna, bör Europol kunna stödja medlemsstaternas brottsutredningar genom att behandla stora och komplexa dataset för att identifiera sådana gränsöverskridande kopplingar, under förutsättning att kraven och skyddsåtgärderna i denna förordning efterlevs. När det är nödvändigt för att stödja en pågående specifik brottsutredning i en medlemsstat på ett ändamålsenligt sätt bör Europol ha möjlighet att behandla utredningsuppgifter som de behöriga myndigheterna i medlemsstaterna har tillstånd att behandla i samband med den utredningen i enlighet med de processuella krav och skyddsåtgärder som är tillämpliga enligt nationell rätt och vilka sedan lämnats till Europol. Det bör omfatta personuppgifter i de fall där en medlemsstat inte har kunnat fastställa huruvida uppgifterna omfattas av de kategorier av registrerade som förtecknas i bilaga II. När en medlemsstat, Eppo eller Eurojust tillhandahåller Europol utredningsuppgifter och begär Europols stöd för en pågående specifik brottsutredning, bör Europol ha möjlighet att behandla de uppgifterna så länge som byrån stöder den specifika brottsutredningen, i enlighet med processuella krav och skyddsåtgärder som är tillämpliga enligt unionsrätten eller nationell rätt. |
(23) |
För att säkerställa att all uppgiftsbehandling som utförs inom en brottsutredning är nödvändig och proportionell bör medlemsstaterna säkerställa överensstämmelse med unionsrätten och nationell rätt när de lämnar in utredningsuppgifter till Europol. När medlemsstaterna lämnar utredningsuppgifter till Europol för att begära Europols stöd för en specifik brottsutredning bör de beakta uppgiftsbehandlingens omfattning och komplexitet samt utredningens typ och betydelse. Medlemsstaterna bör informera Europol när de inte längre har tillstånd att behandla uppgifter i den pågående specifika brottsutredningen i fråga i enlighet med processuella krav och skyddsåtgärder som är tillämpliga enligt nationell rätt. Europol bör endast behandla personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II om den bedömer att det inte är möjligt att stödja en specifik brottsutredning utan att behandla dessa personuppgifter. Europol bör dokumentera denna bedömning. Europol bör lagra sådana uppgifter funktionellt åtskilda från andra uppgifter och bör endast behandla dem om det är nödvändigt för att stödja den pågående specifika brottsutredningen i fråga, t.ex. i händelse av en ny ledtråd. |
(24) |
Europol bör också ha möjlighet att behandla personuppgifter som är nödvändiga för dess stöd till en specifik brottsutredning i en eller flera medlemsstater om uppgifterna lämnas av ett tredjeland, förutsatt att tredjelandet är föremål för ett beslut om adekvat skyddsnivå i enlighet med Europaparlamentets och rådets direktiv (EU) 2016/680 (11) (beslut om adekvat skyddsnivå); ett internationellt avtal med det tredjelandet har ingåtts av unionen i enlighet med artikel 218 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), som omfattar överföring av personuppgifter för brottsbekämpande ändamål (internationellt avtal); ett samarbetsavtal som medger utbyte av personuppgifter har ingåtts mellan Europol och detta tredjeland före ikraftträdandet av förordning (EU) 2016/794 (samarbetsavtal); eller lämpliga skyddsåtgärder vad gäller personuppgiftsskydd föreskrivs i ett rättsligt bindande instrument eller Europol, på grundval av en bedömning av de omständigheter som omger överföringen av personuppgifter, fastställer att de i övrigt föreligger i det tredjelandet och förutsatt att tredjelandet förvärvade uppgifterna i samband med en brottsutredning i enlighet med processuella krav och skyddsåtgärder som är tillämpliga enligt nationell straffrätt. Om ett tredjeland tillhandahåller Europol utredningsuppgifter bör Europol kontrollera att mängden personuppgifter inte är uppenbart oproportionell i förhållande till den specifika brottsutredning som Europol stöder i den berörda medlemsstaten, och, i möjligaste mån, att det inte finns objektiva indikationer som tyder på att tredjelandet har samlat in utredningsuppgifterna i uppenbar strid med de grundläggande rättigheterna. Om Europol drar slutsatsen att dessa villkor inte är uppfyllda bör Europol inte behandla uppgifterna och bör radera dem. Om ett tredjeland tillhandahåller Europol utredningsuppgifter bör Europols dataskyddsombud när så är lämpligt kunna underrätta Europeiska datatillsynsmannen. |
(25) |
För att säkerställa att en medlemsstat kan använda Europols analytiska rapporter i samband med rättsliga förfaranden efter en brottsutredning bör Europol ha möjlighet att lagra de tillhörande utredningsuppgifterna på begäran av den medlemsstaten, Eppo eller Eurojust för att säkerställa att kriminalunderrättelseprocessen är sanningsenlig, tillförlitlig och spårbar. Europol bör lagra sådana uppgifter funktionellt åtskilda från andra uppgifter och endast så länge som de rättsliga förfarandena i samband med den brottsutredningen pågår i medlemsstaten. Det är dessutom nödvändigt att säkerställa tillgång för behöriga rättsliga myndigheter och rätten till försvar, i synnerhet rätten för misstänkta eller tilltalade eller deras advokater att få tillgång till material i ärendet. I det syftet bör Europol registrera alla bevis och de metoder med vilka de bevisen har framställts eller förvärvats av Europol för att möjliggöra en effektiv granskning av bevis från försvarets sida. |
(26) |
Europol bör kunna behandla personuppgifter som den mottog före denna förordnings ikraftträdande, vilka inte avser de kategorier av registrerade som anges i bilaga II, i enlighet med den här förordningen, i två situationer. I den första situationen bör Europol kunna behandla sådana personuppgifter till stöd för en brottsutredning eller för att säkerställa sanningsenligheten, tillförlitligheten och spårbarheten i kriminalunderrättelseprocessen, förutsatt att de krav som fastställs i övergångsarrangemangen för behandling av personuppgifter som mottagits till stöd för en brottsutredning efterlevs. I den andra situationen bör Europol även kunna kontrollera om sådana personuppgifter motsvarar någon av de kategorier av registrerade som förtecknas i bilaga II genom att utföra en förhandsanalys av dessa personuppgifter under en period på högst 18 månader från dagen för Europols första mottagande av uppgifterna eller, i motiverade fall och med förhandstillstånd från Europeiska datatillsynsmannen, under en längre period. Den maximala behandlingsperioden för personuppgifter för en sådan förhandsanalys bör inte överstiga tre år räknat från den dag då Europol först tog emot uppgifterna. |
(27) |
Gränsöverskridande fall av allvarlig brottslighet eller terrorism kräver ett nära samarbete mellan de behöriga myndigheterna i de berörda medlemsstaterna. Europol tillhandahåller verktyg för att stödja sådant samarbete i utredningar, i synnerhet genom informationsutbyte. För att ytterligare stärka sådant samarbete i specifika brottsutredningar genom gemensamma operativa analyser bör medlemsstaterna ha möjlighet att ge andra medlemsstater direkt åtkomst till den information som de har lämnat till Europol, utan att det påverkar eventuella allmänna eller särskilda begränsningar som de har angivit för åtkomst till denna information. All behandling av personuppgifter som utförs av medlemsstaterna i en gemensam operativ analys bör ske i enlighet med denna förordning och direktiv (EU) 2016/680. |
(28) |
Europol och Eppo bör ingå ett samarbetsavtal som fastställer metoderna för deras samarbete och tar vederbörlig hänsyn till deras respektive behörigheter. Europol bör ha ett nära samarbete med Eppo och aktivt stödja Eppos utredningar på dess begäran, även genom att tillhandahålla analytiskt stöd och relevant information. Europol bör också samarbeta med Eppo, från den tidpunkt då ett misstänkt brott rapporteras till Eppo fram till den tidpunkt då Eppo avgör om den ska lagföra eller på annat sätt avsluta ärendet. Europol bör utan onödigt dröjsmål rapportera till Eppo alla brottsliga handlingar avseende vilka Eppo skulle kunna utöva sin behörighet. För att stärka det operativa samarbetet mellan Europol och Eppo bör Europol göra det möjligt för Eppo att få åtkomst till uppgifter som innehas av Europol, på grundval av ett system med träff/icke träff som endast underrättar Europol vid en träff, i enlighet med denna förordning, inbegripet eventuella begränsningar som anges av den som lämnat uppgifter till Europol. Om informationen omfattas av en begränsning som angetts av en medlemsstat bör Europol överföra ärendet till den medlemsstaten så att den kan fullgöra sina skyldigheter enligt förordning (EU) 2017/1939. Den berörda medlemsstaten bör därefter informera Eppo i enlighet med sitt nationella förfarande. De regler om överföring av personuppgifter till unionsorgan som fastställs i den här förordningen bör tillämpas på Europols samarbete med Eppo. Europol bör också ha möjlighet att stödja Eppos utredningar med analys av stora och komplexa dataset i enlighet med de skyddsåtgärder och dataskyddsgarantier som föreskrivs i den här förordningen. |
(29) |
Europol bör ha ett nära samarbete med Europeiska byrån för bedrägeribekämpning (Olaf) för att upptäcka bedrägerier, korruption och all annan olaglig verksamhet som riktar sig mot unionens ekonomiska intressen. I detta syfte bör Europol utan onödigt dröjsmål till Olaf lämna all information med avseende på vilken Olaf skulle kunna utöva sin behörighet. De regler om överföring av personuppgifter till unionsorgan som fastställs i denna förordning bör tillämpas på Europols samarbete med Olaf. |
(30) |
Allvarlig brottslighet och terrorism har ofta kopplingar utanför unionen. Europol kan utbyta personuppgifter med tredjeländer och samtidigt skydda den registrerades privatliv och grundläggande fri- och rättigheter. När det är avgörande för utredningen av ett specifikt brott som omfattas av Europols mål bör den verkställande direktören från fall till fall ha rätt att tillåta en kategori av överföringar av personuppgifter till tredjeländer, när den kategorin av överföringar rör samma specifika situation, består av samma kategorier av personuppgifter och samma kategorier av registrerade, är nödvändig och proportionell med avseende på utredning av ett specifikt brott och uppfyller alla krav i denna förordning. Det bör vara möjligt att enskilda överföringar som omfattas av en kategori av överföringar endast omfattar vissa av de kategorier av personuppgifter och kategorier av registrerade vilkas överföring tillåts av den verkställande direktören. Det bör också vara möjligt att tillåta en kategori av överföringar av personuppgifter i följande särskilda situationer: när överföringen av personuppgifter är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person, när överföringen av personuppgifter är av avgörande betydelse för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland; när avsikten med överföringen av personuppgifter är att skydda den registrerades berättigade intressen, eller i enskilda fall för att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder; eller för att fastställa, göra gällande eller försvara rättsliga anspråk som rör förebyggande, utredning, upptäckt eller lagföring av ett specifikt brott eller verkställande av en specifik straffrättslig påföljd. |
(31) |
Överföringar som inte grundar sig på ett tillstånd från den verkställande direktören, ett beslut om adekvat skyddsnivå, ett internationellt avtal eller ett samarbetsavtal bör tillåtas endast om lämpliga skyddsåtgärder för skyddet av personuppgifter har fastställts i ett rättsligt bindande instrument eller om Europol, baserat på en bedömning av samtliga omständigheter kring överföringen av personuppgifter, konstaterar att dessa lämpliga skyddsåtgärder föreligger. För den bedömningen bör Europol kunna ta hänsyn till bilaterala avtal mellan medlemsstater och tredjeländer som medger utbyte av personuppgifter om överföringen av personuppgifter omfattas av tystnadsplikt och principen om specificitet, vilket säkerställer att personuppgifterna inte ska behandlas i andra syften än för överföringen. Dessutom är det viktigt att Europol beaktar huruvida personuppgifterna kunde användas för att göra framställningar om, meddela eller verkställa ett dödsstraff eller någon form av grym och omänsklig behandling. Europol bör kunna begära ytterligare skyddsåtgärder. |
(32) |
För att stödja medlemsstaterna i samarbetet med privata parter när dessa privata parter innehar information som är relevant för att förebygga och bekämpa allvarlig brottslighet och terrorism, bör Europol kunna ta emot personuppgifter från privata parter och, i särskilda fall om det är nödvändigt och proportionellt, utbyta personuppgifter med privata parter. |
(33) |
Brottslingar använder allt oftare tjänster som erbjuds av privata parter för att kommunicera och bedriva olaglig verksamhet. Sexualförbrytare exploaterar barn och delar bilder och videor som utgör material med sexuella övergrepp mot barn över hela världen på onlineplattformar eller med kontakter via nummeroberoende interpersonella kommunikationstjänster. Terrorister utnyttjar de tjänster som erbjuds av leverantörer av onlinetjänster för att rekrytera frivilliga, planera och samordna attacker och sprida propaganda. Cyberbrottslingar drar nytta av digitaliseringen av våra samhällen och av allmänhetens bristande digitala kompetens och andra digitala kunskaper med hjälp av nätfiske och social manipulering för att begå andra typer av cyberbrottslighet, t.ex. nätbedrägerier, angrepp med utpressningsprogram eller betalningsbedrägerier. Till följd av brottslingars ökade användning av onlinetjänster innehar privata parter allt större mängder personuppgifter, däribland abonnent-, trafik- och innehållsuppgifter, som potentiellt är relevanta för brottsutredningar. |
(34) |
Mot bakgrund av internets gränslösa karaktär är det möjligt att leverantören av onlinetjänster och den digitala infrastruktur där personuppgifterna lagras omfattas av olika nationella jurisdiktioner, antingen inom eller utanför den. Privata parter kan därför inneha dataset som är relevanta för brottsbekämpning och som innehåller personuppgifter om omfattas av flera jurisdiktioners behörighet samt personuppgifter som inte lätt kan hänföras till någon specifik jurisdiktion. Medlemsstaternas behöriga myndigheter kan finna det svårt att med hjälp av nationella lösningar effektivt analysera dataset som omfattar flera jurisdiktioner eller som inte kan hänföras till någon specifik jurisdiktion. Dessutom finns det för närvarande ingen gemensam kontaktpunkt för privata parter som beslutar att lagligen och frivilligt dela dataset med medlemsstaternas behöriga myndigheter. Europol bör därför ha infört åtgärder för att underlätta samarbetet med privata parter, bland annat när det gäller informationsutbyte. |
(35) |
För att säkerställa att privata parter har en kontaktpunkt på unionsnivå till vilken de lagligen och frivilligt kan tillhandahålla dataset som omfattas av flera jurisdiktioner eller dataset som i det skedet inte lätt kan hänföras till en eller flera specifika jurisdiktioner, bör Europol kunna ta emot personuppgifter direkt från privata parter i syfte att tillhandahålla medlemsstater den information som krävs för att fastställa jurisdiktion och utreda brott inom deras respektive jurisdiktion, i enlighet med denna förordning. Den informationen skulle kunna inbegripa rapporter om modererat innehåll som skäligen kan antas vara kopplat till sådan brottslig verksamhet som omfattas av Europols mål. |
(36) |
För att säkerställa att medlemsstaterna utan onödigt dröjsmål får den information som krävs för att inleda utredningar för att förebygga och bekämpa allvarlig brottslighet och terrorism bör Europol kunna behandla och analysera personuppgifter för att identifiera de berörda nationella enheterna och till dessa nationella enheter vidarebefordra personuppgifter och eventuella resultat av sin analys och kontroll av sådana uppgifter som är relevanta i syfte att fastställa jurisdiktion och för att utreda de berörda brotten inom respektive jurisdiktion. Europol bör också kunna vidarebefordra de personuppgifter och resultat som är relevanta för att fastställa jurisdiktion till kontaktpunkter och berörda tredjeländer som är föremål för ett beslut om adekvat skyddsnivå, eller med vilka ett internationellt avtal eller samarbetsavtal har ingåtts, eller om lämpliga skyddsåtgärder för skyddet av personuppgifter föreskrivs i ett rättsligt bindande instrument eller Europol, baserat på en bedömning av alla omständigheter kring överföringen av personuppgifter, konstaterar att dessa skyddsåtgärder föreligger i dessa tredjeländer. Om det berörda tredjelandet inte är föremålet för ett beslut om adekvat skyddsnivå, eller inte är part i ett internationellt avtal eller i ett samarbetsavtal eller ett rättsligt bindande instrument eller om samarbetsavtal saknas eller om Europol har konstaterat att sådana lämpliga skyddsåtgärder föreligger, bör Europol kunna överföra resultatet av sin analys och kontroll av sådana uppgifter till det berörda tredjelandet i enlighet med denna förordning. |
(37) |
I enlighet med förordning (EU) 2016/794 kan det, i vissa fall och på vissa villkor, vara nödvändigt och proportionellt för Europol att överföra personuppgifter till privata parter som inte är etablerade inom unionen eller i ett tredjeland som är föremål för ett beslut om adekvat skyddsnivå, eller med vilket ett internationellt avtal eller samarbetsavtal har ingåtts, eller där lämpliga skyddsåtgärder för skyddet av personuppgifter inte föreskrivs i ett rättsligt bindande instrument eller Europol inte har konstaterat att lämpliga skyddsåtgärder föreligger. I sådana fall bör överföringen förhandsgodkännas av den verkställande direktören. |
(38) |
För att säkerställa att Europol kan identifiera alla berörda nationella enheter bör Europol kunna informera privata parter när den information som de lämnade är otillräcklig för att byrån ska kunna identifiera de berörda nationella enheterna. Detta skulle göra det möjligt för dessa privata parter att avgöra om det ligger i deras intresse att dela ytterligare information med Europol och om de har laglig rätt att göra detta. För detta ändamål bör Europol kunna informera privata parter om information saknas, i den mån det är strikt nödvändigt enbart för att identifiera de berörda nationella enheterna. Särskilda skyddsåtgärder bör gälla för överföringar av information från Europol till privata parter när den berörda privata parten inte är etablerad inom unionen eller i ett tredjeland vilket är föremål för ett beslut om adekvat skyddsnivå eller med vilket ett internationellt avtal eller samarbetsavtal har ingåtts, eller där lämpliga skyddsåtgärder gällande skydd av personuppgifter inte föreskrivs i ett rättsligt bindande instrument eller Europol inte har konstaterat att lämpliga skyddsåtgärder föreligger. |
(39) |
När medlemsstater, tredjeländer, internationella organisationer och privata parter delar dataset som omfattas av flera jurisdiktioner eller som inte kan hänföras till en eller flera specifika jurisdiktioner med Europol, är det möjligt att dessa dataset är kopplade till personuppgifter som innehas av privata parter. I sådana situationer bör Europol ha möjlighet att skicka en begäran till medlemsstaterna, via deras nationella enheter, om att få tillgång till de personuppgifter som innehas av privata parter som är etablerade eller har en rättslig företrädare på dessa medlemsstaters territorium. En sådan begäran bör endast göras när det är nödvändigt att erhålla information från sådana privata parter för att identifiera de berörda nationella enheterna. Begäran bör vara motiverad och så precis som möjligt. De relevanta personuppgifterna, som bör vara av så icke-känslig karaktär som möjligt och strikt begränsade till vad som är nödvändigt och proportionellt för att identifiera de berörda nationella enheterna, bör lämnas till Europol i enlighet med de berörda medlemsstaternas tillämpliga lagar. De behöriga myndigheterna i de berörda medlemsstaterna bör bedöma Europols begäran och i enlighet med sin nationella rätt besluta om huruvida den ska bifallas eller inte. Behandling av personuppgifter av privata parter som utförs när sådana begäranden från medlemsstaternas behöriga myndigheter behandlas bör fortsätta att omfattas av tillämpliga regler, särskilt när det gäller dataskydd. Privata parter bör förse de behöriga myndigheterna i medlemsstaterna med de uppgifter som begärts för vidare överföring till Europol. I många fall är det möjligt att dessa medlemsstater inte kan fastställa någon annan koppling till sin jurisdiktion än det faktum att den privata part som innehar de relevanta uppgifterna är etablerad eller rättsligt företrädd inom deras jurisdiktion. Oavsett om de har jurisdiktion när det gäller det specifika brottet bör medlemsstaterna ändå säkerställa att deras behöriga myndigheter kan erhålla personuppgifter från privata parter i syfte att förse Europol med den information som byrån behöver för att uppnå sina mål, i full överensstämmelse med rättssäkerhetsgarantierna enligt deras nationella rätt. |
(40) |
För att säkerställa att Europol inte behåller de personuppgifter som mottagits direkt från privata parter längre än vad som är nödvändigt för att identifiera de berörda nationella enheterna bör tidsfristerna för Europols lagring av personuppgifter gälla. När Europol har uttömt alla medel som står till dess förfogande för att identifiera de berörda nationella enheterna och inte rimligen kan förvänta sig att identifiera ytterligare berörda nationella enheter, är lagringen av dessa personuppgifter inte längre nödvändig och proportionell för att identifiera de berörda nationella enheterna. Europol bör radera personuppgifterna inom fyra månader efter det att den sista översändningen har ägt rum, överföra dem till en nationell enhet eller överföra dem till ett tredjelands kontaktpunkt eller en myndighet i ett tredjeland, såvida inte en berörd nationell enhet, kontaktpunkt eller myndighet på nytt, i enlighet med unionsrätten och nationell rätt, på nytt lämnar in personuppgifterna som sina uppgifter till Europol inom denna period. Om de på nytt inlämnade personuppgifterna ingick i en större uppsättning personuppgifter bör Europol endast behålla de personuppgifter som har inlämnats på nytt av en berörd nationell enhet, kontaktpunkt eller myndighet. |
(41) |
Samarbete mellan Europol och privata parter bör varken överlappa eller störa finansunderrättelseenheternas verksamhet, inrättade genom Europaparlamentets och rådets direktiv (EU) 2015/849 (12), och bör endast avse information som inte redan ska lämnas till finansunderrättelseenheterna i enlighet med det direktivet. Europol bör fortsätta att samarbeta med finansunderrättelseenheterna framför allt via de nationella enheterna. |
(42) |
Europol bör kunna tillhandahålla det stöd som krävs för att medlemsstaternas behöriga myndigheter ska kunna interagera med privata parter, särskilt genom att tillhandahålla den infrastruktur som behövs för sådan interaktion, till exempel när medlemsstaternas behöriga myndigheter hänskjuter terrorisminnehåll online, skickar ut avlägsnandeorder avseende sådant innehåll till leverantörer av onlinetjänster enligt Europaparlamentets och rådets förordning (EU) 2021/784 (13) eller utbyter information med privata parter i samband med cyberangrepp. När medlemsstaterna använder Europols infrastruktur för utbyte av personuppgifter om brott som inte omfattas av Europols mål bör Europol inte ha åtkomst till dessa uppgifter. Europol bör med tekniska medel säkerställa att dess infrastruktur är strikt begränsad till att tillhandahålla en kanal för sådan interaktion mellan medlemsstaternas behöriga myndigheter och en privat part, och att Europol tillhandahåller alla nödvändiga skyddsåtgärder mot att en privat part får tillgång till all annan information i Europols system som inte har anknytning till utbytet med den privata parten. |
(43) |
Terroristattacker utlöser storskalig spridning via onlineplattformar av terrorisminnehåll som visar skada på liv eller fysisk integritet eller uppviglar till omedelbar skada på liv eller fysisk integritet, vilket möjliggör förhärligande och tillhandahållande av utbildning för terrorism, och så småningom radikalisering och rekrytering av andra individer. Den ökade användningen av internet för att registrera eller dela material med sexuella övergrepp mot barn vidmakthåller dessutom skadan för offren, eftersom materialet lätt kan mångfaldigas och spridas. För att förebygga och bekämpa brott som omfattas av Europols mål bör Europol kunna stödja medlemsstaternas insatser för att effektivt ta itu med spridningen online av terrorisminnehåll i samband med krissituationer på nätet vilka härrör från pågående eller nyligen inträffade verkliga händelser och av material med sexuella övergrepp mot barn på nätet, samt kunna stödja åtgärder som leverantörer av onlinetjänster vidtar i enlighet med sina skyldigheter enligt unionsrätten och samt deras frivilliga åtgärder. I detta syfte bör Europol ha möjlighet att utbyta relevanta personuppgifter, inbegripet unika icke-reversibla digitala signaturer (kondensat), ip-adresser eller webbadresser med anknytning till sådant innehåll, med privata parter som är etablerade inom unionen eller i ett tredjeland som är föremål för ett beslut om adekvat skyddsnivå eller, i avsaknad av ett sådant beslut, med vilket ett internationellt avtal eller ett samarbetsavtal har ingåtts eller där lämpliga skyddsåtgärder gällande skydd av personuppgifter föreskrivs i ett rättsligt bindande instrument eller Europol, baserat på en bedömning av alla omständigheter kring överföringen av personuppgifter, konstaterar att dessa skyddsåtgärder förekommer i det tredjelandet. Sådana utbyten av personuppgifter bör endast äga rum för att avlägsna terrorisminnehåll och material med sexuella övergrepp mot barn på nätet, i synnerhet när det finns en risk att det innehållet och materialet mångfaldigas exponentiellt och sprids viralt via flera leverantörer av onlinetjänster. Ingenting i denna förordning bör tolkas som att det hindrar medlemsstaterna från att använda avlägsnandeorder som föreskrivs i förordning (EU) 2021/784 som ett instrument för att ta itu med terrorisminnehåll online. |
(44) |
För att undvika dubbelarbete och eventuella störningar av utredningar och för att minimera bördan för de berörda värdtjänstleverantörerna bör Europol bistå samt utbyta information och samarbeta med medlemsstaternas behöriga myndigheter när det gäller översändning och överföring av personuppgifter till privata parter för att hantera krissituationer online och spridning online av material med sexuella övergrepp mot barn på nätet. |
(45) |
I förordning (EU) 2018/1725 fastställs regler om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer. Samtidigt som förordning (EU) 2018/1725 är tillämplig på Europols behandling av administrativa personuppgifter som inte rör brottsutredningar, såsom personaluppgifter, är artikel 3.2 och kapitel IX i den förordningen, som reglerar behandling av personuppgifter, för närvarande inte tillämpliga på Europol. För att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på behandling av personuppgifter bör kapitel IX i förordning (EU) 2018/1725 tillämpas på Europol i enlighet med artikel 2.2 i den förordningen, och bör kompletteras med särskilda bestämmelser för den specifika behandling som Europol bör utföra för att fullgöra sina uppgifter. Därför bör Europeiska datatillsynsmannens tillsynsbefogenheter över Europols behandling stärkas, i linje med de relevanta befogenheter som gäller för behandling av administrativa personuppgifter och som gäller för alla unionens institutioner, organ och byråer enligt kapitel VI i förordning (EU) 2018/1725. I detta syfte bör Europeiska datatillsynsmannen, när Europol behandlar personuppgifter för operativa ändamål, kunna beordra Europol att se till att behandlingen sker i överensstämmelse med denna förordning, beordra att uppgiftsflödena till en mottagare i en medlemsstat, ett tredjeland eller en internationell organisation avbryts och bör kunna påföra en straffavgift vid Europols bristande efterlevnad. |
(46) |
Behandling av uppgifter enligt denna förordning skulle kunna innebära behandling av särskilda kategorier av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 (14). Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton definieras som biometriska uppgifter enligt artikel 3.18 i förordning (EU) 2018/1725 endast när de behandlas med särskild teknik som möjliggör unik identifiering eller autentisering av en fysisk person. |
(47) |
Den mekanism för förhandssamråd som involverar Europeiska datatillsynsmannen vilken föreskrivs i förordning (EU) 2018/1725 utgör en viktig skyddsåtgärd för nya typer av behandling. Den mekanismen bör emellertid inte gälla operativ verksamhet i specifika enskilda fall som projekt för operativa analyser, utan användning av nya system för informationsteknik (it-system) för behandling av personuppgifter och varje betydande ändring av dessa system som skulle innebära en stor risk för registrerades rättigheter och friheter. Den period inom vilken Europeiska datatillsynsmannen bör vara skyldig att lämna skriftliga råd om sådana samråd bör inte vara kunna avbrytas. När det gäller behandling som är av väsentlig betydelse för Europols utförande av uppgifter som är särskilt brådskande, bör det i undantagsfall vara möjligt för Europol att inleda behandling redan efter det att det föregående samrådet har inletts, även om tidsfristen för att lämna skriftliga råd från Europeiska datatillsynsmannen ännu inte har löpt ut. Sådan brådska kan uppstå i situationer av väsentlig betydelse för utförande av Europols uppgifter när behandlingen är nödvändig för att förebygga och bekämpa ett omedelbart hot om brott som omfattas av Europols mål och för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person. Europols dataskyddsombud bör involveras i bedömningen av hur brådskande och nödvändig sådan behandling är innan tidsfristen för Europeiska datatillsynsmannens svar på förhandssamråd löper ut. Dataskyddsombudet bör övervaka den behandlingen. Europeiska datatillsynsmannen bör kunna utöva alla sina befogenheter med avseende på sådan behandling. |
(48) |
Med tanke på de utmaningar som den snabba tekniska utvecklingen och terroristers och andra brottslingars utnyttjande av ny teknik innebär för unionens säkerhet är de behöriga myndigheterna i medlemsstaterna skyldiga att stärka sin tekniska kapacitet att identifiera, säkra och analysera uppgifter som behövs för att utreda brott. Europol bör kunna stödja medlemsstaterna i användningen av ny teknik, med att utforska nya tillvägagångssätt och att utveckla gemensamma tekniska lösningar som medlemsstaterna kan använda för att bättre förebygga och bekämpa terrorism och brott som omfattas av Europols mål. Samtidigt bör Europol säkerställa att utveckling, användning och spridning av ny teknik styrs av principerna om öppenhet, förklarbarhet, rättvisa och ansvarsskyldighet inte undergräver grundläggande fri- och rättigheter och friheter och är förenliga med unionsrätten. Europol bör därför kunna genomföra forsknings- och innovationsprojekt i frågor som omfattas av denna förordning inom det allmänna tillämpningsområdet för de forsknings- och innovationsprojekt som fastställs av styrelsen i ett bindande dokument. Ett sådant dokument bör vid behov uppdateras och göras tillgängligt för Europeiska datatillsynsmannen. Dessa projekt får omfatta behandling av personuppgifter endast om vissa villkor uppfylls, nämligen att behandlingen av personuppgifter är strikt nödvändig, målet för det aktuella projektet inte kan uppnås genom användning av icke-personuppgifter, till exempel syntetiska data eller anonyma uppgifter, och att full respekt för de grundläggande rättigheterna, särskilt icke-diskriminering, säkerställs. Behandling av särskilda kategorier av personuppgifter för forsknings- och innovationsändamål bör endast tillåtas när det är strikt nödvändigt. Med tanke på hur känslig sådan behandling är bör lämpliga ytterligare skyddsåtgärder, inbegripet pseudonymisering, tillämpas. För att förhindra bias i det algoritmiska beslutsfattandet bör Europol tillåtas att behandla personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II. Europol bör föra logg över all behandling av personuppgifter som utförs inom ramen för sina forsknings- och innovationsprojekt för att kontrollera att resultatet av uppgiftsbehandlingen är korrekt och endast så länge som det är nödvändigt för den kontrollen. Bestämmelserna om Europols utveckling av nya verktyg bör inte utgöra en rättslig grund för deras ibruktagande på unionsnivå eller nationell nivå. För att driva på innovation och stärka synergierna inom forsknings- och innovationsprojekt är det viktigt att Europol intensifierar sitt samarbete med relevanta nätverk av yrkesverksamma i medlemsstaterna och andra unionsbyråer inom ramen för deras respektive befogenheter på detta område, och stödja andra relaterade samarbetsformer såsom sekretariatstöd till EU:s innovationsknutpunkt för inre säkerhet som ett samarbetsnätverk av innovationslaboratorier. |
(49) |
Europol bör spela en nyckelroll när det gäller att hjälpa medlemsstaterna att utveckla nya tekniska lösningar baserade på artificiell intelligens som är relevanta för att uppnå Europols mål och vilka gynnar medlemsstaternas behöriga myndigheter i hela unionen. Det stödet bör ges samtidigt som de grundläggande fri- och rättigheterna, inbegripet icke-diskriminering, respekteras fullt ut. Europol bör spela en nyckelroll när det gäller att främja utveckling och ibruktagande av etisk, tillförlitlig och människocentrerad artificiell intelligens som omfattas av kraftfulla skyddsåtgärder i fråga om säkerhet, trygghet, öppenhet, förklarbarhet och grundläggande rättigheter. |
(50) |
Europol bör informera Europeiska datatillsynsmannen innan den inleder forsknings- och innovationsprojekt som inbegriper behandling av personuppgifter. Europol bör antingen informera, eller samråda med, sin styrelse, i enlighet med vissa kriterier som bör fastställas i relevanta riktlinjer. Europol bör inte behandla uppgifter för forsknings- och innovationsprojekt utan samtycke från den medlemsstat, det unionsorgan, det tredjeland eller den internationella organisation som lämnade in uppgifterna till Europol, såvida inte medlemsstaten, unionsorganet, tredjelandet eller den internationella organisationen har gett sitt förhandsgodkännande till sådan behandling för det ändamålet. För varje projekt bör Europol före behandlingen utföra en konsekvensbedömning avseende dataskydd för att säkerställa full respekt för rätten till dataskydd och alla andra grundläggande fri- och rättigheter för de registrerade. Konsekvensbedömningen avseende dataskydd bör inbegripa en bedömning av lämpligheten, nödvändigheten och proportionaliteten vad gäller de personuppgifter som ska behandlas för det specifika syftet med projektet, inbegripet kravet på uppgiftsminimering och en bedömning av eventuell bias i resultatet och i de personuppgifter som ska behandlas för det specifika syftet med projektet samt de åtgärder som planeras för att hantera dessa risker. Europols utveckling av nya verktyg bör inte påverka den rättsliga grund, inbegripet skälen för behandling av de berörda personuppgifterna, som senare skulle krävas för att ta dem i bruk på unionsnivå eller nationell nivå. |
(51) |
Att Europol ges ytterligare verktyg och resurser kräver en förstärkning av den demokratiska tillsynen över Europol och dess ansvarsskyldighet. Gemensam parlamentarisk kontroll är ett viktigt inslag i den politiska övervakningen av Europols verksamhet. För att möjliggöra en effektiv politisk övervakning av hur Europol använder de ytterligare verktyg och resurser som byrån tillhandahålls genom denna förordning bör Europol årligen förse den gemensamma parlamentariska kontrollgruppen och medlemsstaterna med detaljerad information om utveckling, användning och effektivitet vad gäller dessa verktyg och resurser och resultatet av dessa, särskilt om forsknings- och innovationsprojekt samt ny verksamhet eller inrättande av nya specialiserade centrum inom Europol. Dessutom bör två företrädare för den gemensamma parlamentariska kontrollgruppen, en för Europaparlamentet och en för de nationella parlamenten för att återspegla kontrollgruppens dubbla sammansättning, bjudas in till minst två ordinarie styrelsemöten per år för att på kontrollgruppens vägnar tala inför styrelsen och diskutera den konsoliderade årliga verksamhetsrapporten, det samlade programdokumentet och den årliga budgeten, skriftliga frågor och svar från kontrollgruppen samt yttre förbindelser och partnerskap, samtidigt som styrelsens och kontrollgruppens olika roller och ansvarsområden respekteras i enlighet med denna förordning. Styrelsen bör tillsammans med företrädarna för den gemensamma parlamentariska kontrollgruppen kunna besluta om andra frågor av politiskt intresse som ska diskuteras. I linje med den gemensamma parlamentariska kontrollgruppens tillsynsroll bör de två företrädarna för kontrollgruppen inte ha rösträtt i styrelsen. Planerad forsknings- och innovationsverksamhet bör anges i det samlade programdokument som innehåller Europols fleråriga programplanering och årliga arbetsprogram och översändas till den gemensamma parlamentariska kontrollgruppen. |
(52) |
På förslag av den verkställande direktören bör styrelsen utse ett ombud för grundläggande rättigheter som bör ansvara för att stödja Europol när det gäller att säkerställa respekten för de grundläggande rättigheterna i hela dess verksamhet och alla dess uppgifter, särskilt Europols forsknings- och innovationsprojekt och dess utbyte av personuppgifter med privata parter. Det bör vara möjligt att utse en medlem av Europols befintliga personal som har fått särskild utbildning i lagstiftning och praxis för grundläggande rättigheter till ombud för grundläggande rättigheter. Ombudet för grundläggande rättigheter bör samarbeta nära med dataskyddsombudet inom ramen för deras respektive befogenheter. När det gäller dataskyddsfrågor bör det fulla ansvaret ligga hos dataskyddsombudet. |
(53) |
Eftersom målet för denna förordning, nämligen att stödja och stärka medlemsstaternas behöriga myndigheters insatser samt deras ömsesidiga samarbete för att förebygga och bekämpa allvarlig brottslighet som berör två eller flera medlemsstater, terrorism och sådana former av brottslighet som skadar ett gemensamt intresse som omfattas av unionens politik, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av den gränsöverskridande karaktären hos allvarlig brottslighet och terrorism och behovet av ett samordnat svar på relaterade säkerhetshot, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål. |
(54) |
I enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget, har Irland meddelat att det önskar delta i antagandet och tillämpningen av denna förordning. |
(55) |
I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-fördraget, deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark. |
(56) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 8 mars 2021 (15). |
(57) |
Denna förordning är fullt förenlig med de grundläggande rättigheter, skyddsåtgärder och principer som särskilt erkänns i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), i synnerhet rätten till respekt för privat- och familjeliv och rätten till skydd av personuppgifter, vilka föreskrivs i artiklarna 7 och 8 i stadgan och artikel 16 i EUF-fördraget. Med tanke på hur viktig behandlingen av personuppgifter är för brottsbekämpningsarbetet i allmänhet och för det stöd som Europol tillhandahåller i synnerhet, innehåller denna förordning stärkta skyddsåtgärder och mekanismer för demokratisk tillsyn och ansvarsutkrävande för att säkerställa att Europols verksamhet och uppgifter utförs i full överensstämmelse med de grundläggande rättigheter som erkänns i stadgan, i synnerhet rätten till likhet inför lagen, icke-diskriminering och ett effektivt rättsmedel inför den behöriga nationella domstolen mot någon av de åtgärder som vidtas i enlighet med denna förordning. All behandling av personuppgifter enligt denna förordning bör begränsas till vad som är strikt nödvändigt och proportionellt och omfattas av tydliga villkor, strikta krav och effektiv tillsyn från Europeiska datatillsynsmannens sida. |
(58) |
Förordning (EU) 2016/794 bör därför ändras i enlighet med detta. |
(59) |
För att de åtgärder som föreskrivs i denna förordning snabbt ska kunna tillämpas bör den träda i kraft dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Förordning (EU) 2016/794 ska ändras på följande sätt:
1. |
Artikel 2 ska ändras på följande sätt:
|
2. |
Artikel 4 ska ändras på följande sätt:
|
3. |
Artikel 6 ska ändras på följande sätt:
|
4. |
Artikel 7.8 ska ersättas med följande: ”8. Varje medlemsstat ska säkerställa att dess finansunderrättelseenhet, inom ramen för sitt uppdrag och behörighet och med förbehåll för nationella rättssäkerhetsgarantier, har rätt att besvara vederbörligen motiverade begäranden från Europol i enlighet med artikel 12 i direktiv (EU) 2019/1153, vad gäller finansiell information och finansiella analyser antingen via sin nationella enhet eller, om den medlemsstaten tillåter detta, genom direkt kontakt mellan finansunderrättelseenheten och Europol.” |
5. |
Artikel 11.1 ska ändras på följande sätt:
|
6. |
Artikel 12 ska ändras på följande sätt:
|
7. |
Artikel 14.4 ska ersättas med följande: ”4. Styrelsen får bjuda in en person vars åsikt kan vara relevant för diskussionen att delta i mötena, som observatör utan rösträtt. Två företrädare för den gemensamma parlamentariska kontrollgruppen ska bjudas in att delta i två ordinarie styrelsemöten per år som observatörer utan rösträtt för att diskutera följande frågor av politiskt intresse:
Styrelsen får, tillsammans med företrädarna för den gemensamma parlamentariska kontrollgruppen, besluta om andra frågor av politiskt intresse som ska diskuteras vid de möten som avses i första stycket.” |
8. |
Artikel 16 ska ändras på följande sätt:
|
9. |
Artikel 18 ska ändras på följande sätt:
|
10. |
Följande artikel ska införas: ”Artikel 18a Behandling av personuppgifter till stöd för en brottsutredning 1. När det är nödvändigt för att stödja en pågående specifik brottsutredning inom ramen för Europols mål får Europol behandla personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II om
Resultaten av den bedömning som avses i första stycket b ska dokumenteras och skickas till Europeiska datatillsynsmannen för kännedom när Europol upphör att stödja den utredning som avses i första stycket. 2. När den medlemsstat som avses i punkt 1 första stycket a inte längre har tillstånd att behandla dessa uppgifter i den pågående specifika brottsutredning som avses i punkt 1 i enlighet med processuella krav och skyddsåtgärder enligt dess tillämpliga nationella rätt, ska den informera Europol. Om Eppo eller Eurojust tillhandahåller utredningsuppgifter till Europol och Europol inte längre har tillstånd att behandla dessa uppgifter i den pågående specifika brottsutredning som avses i punkt 1 i enlighet med processuella krav och skyddsåtgärder som är tillämpliga enligt unionsrätt och nationell rätt, ska den informera Europol. 3. Europol får behandla utredningsuppgifter i enlighet med artikel 18.2 så länge som byrån stöder den pågående specifika brottsutredning för vilken utredningsuppgifterna tillhandahölls i enlighet med punkt 1 första stycket a i den här artikeln och endast i syfte att stödja den utredningen. 4. Europol får, på begäran av den som lämnat utredningsuppgifterna, lagra de lämnade utredningsuppgifterna i enlighet med punkt 1 första stycket a, och resultatet av sin behandling av dessa uppgifter längre än den behandlingsperiod som anges i punkt 3, enbart för att säkerställa sanningsenligheten, tillförlitligheten och spårbarheten i kriminalunderrättelseprocessen, och endast så länge de rättsliga förfaranden som rör den specifika brottsutredning för vilka dessa uppgifter lämnades pågår. De som lämnat utredningsuppgifter som avses i punkt 1 första stycket a eller, med deras medgivande, en medlemsstat i vilken rättsliga förfaranden rörande en relaterad brottsutredning pågår, får begära att Europol lagrar utredningsuppgifterna och resultatet av sin operativa analys längre än den behandlingsperiod som anges i punkt 3 i syfte att säkerställa sanningsenligheten, tillförlitligheten och spårbarheten i kriminalunderrättelseprocessen, och endast så länge de rättsliga förfaranden som rör en relaterad brottsutredning pågår i den andra medlemsstaten. 5. Utan att det påverkar behandlingen av personuppgifter enligt artikel 18.6a ska personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II lagras funktionellt åtskilda från andra uppgifter och får endast behandlas om det är nödvändigt och proportionellt för de ändamål som anges i punkterna 3, 4 och 6 i den här artikeln. Styrelsen ska på förslag av den verkställande direktören och efter att ha hört Europeiska datatillsynsmannen ange villkoren för tillhandahållande och behandling av personuppgifter i enlighet med punkterna 3 och 4. 6. Punkterna 1–4 i denna artikel ska också tillämpas när personuppgifter tillhandahålls Europol från ett tredjeland som avses i artikel 25.1 a, b eller c eller i artikel 25.4a, och det tredjelandet tillhandahåller Europol utredningsuppgifter för operativ analys som bidrar till den specifika brottsutredning i en eller flera medlemsstater vilken Europol stöder, under förutsättning att tredjelandet förvärvade uppgifterna i samband med en brottsutredning i enlighet med de processuella krav och skyddsåtgärder som är tillämpliga enligt dess nationella straffrätt. Om ett tredjeland tillhandahåller Europol utredningsuppgifter i enlighet med första stycket får dataskyddsombudet i relevanta fall underrätta Europeiska datatillsynsmannen. Europol ska kontrollera att mängden personuppgifter som avses i första stycket inte är uppenbart oproportionell i förhållande till den specifika brottsutredningen i den berörda medlemsstaten. Om Europol drar slutsatsen att det finns en indikation på att uppgifterna är uppenbart oproportionella eller inhämtades i uppenbar strid med de grundläggande rättigheterna ska Europol inte behandla uppgifterna utan radera dem. Europol ska ha åtkomst till personuppgifter som behandlas i enlighet med denna punkt endast om det är nödvändigt för att stödja den specifika brottsutredningen för vilken de tillhandahölls. Dessa personuppgifter ska delas endast inom unionen.” |
11. |
Artikel 19.1 och 19.2 ska ersättas med följande: ”1. En medlemsstat, ett unionsorgan, ett tredjeland eller en internationell organisation som lämnar uppgifter till Europol ska fastställa i vilket eller vilka syften uppgifterna får behandlas, i enlighet med artikel 18. Om den berörda uppgiftslämnare som avses i första stycket inte har uppfyllt kraven i det stycket ska Europol behandla uppgifterna i samförstånd med den som har lämnat de berörda uppgifterna, för att avgöra vilken relevans uppgifterna har och fastställa för vilket eller vilka syften uppgifterna kommer att behandlas vidare. Europol får behandla uppgifter i annat syfte än det för vilket uppgifterna har lämnats, endast om uppgiftslämnaren har givit tillstånd till detta. Uppgifter som lämnas för de ändamål som avses i artikel 18.2 a–d får också behandlas av Europol vid tillämpning av artikel 18.2 e, i enlighet med artikel 33a. 2. Vid den tidpunkt då uppgifter lämnas till Europol får medlemsstaterna, unionsorgan, tredjeländer och internationella organisationer ange eventuella allmänna eller specifika begränsningar i fråga om åtkomst till och användning av dem, även när det gäller överföring, översändning, radering eller förstöring. I de fall där behovet av sådana begränsningar framkommer efter det att uppgifterna har lämnats, ska Europol underrättas om detta. Europol ska iaktta dessa begränsningar.” |
12. |
Artikel 20 ska ändras på följande sätt:
|
13. |
Följande artikel ska införas: ”Artikel 20a Förbindelser med Europeiska åklagarmyndigheten 1. Europol ska upprätta och upprätthålla nära förbindelser med Eppo. Inom ramen för dessa förbindelser ska Europol och Eppo agera inom sina respektive befogenheter. I detta syfte ska de ingå ett samarbetsavtal där de fastställer formerna för sitt samarbete. 2. På begäran av Eppo i enlighet med artikel 102 i förordning (EU) 2017/1939 ska Europol stödja Eppos utredningar och samarbeta med den, genom att lämna information och analytiskt stöd, tills Eppo beslutar om den ska lagföra eller på annat sätt avsluta ärendet. 3. I syfte att tillhandahålla Eppo information enligt punkt 2 i den här artikeln ska Europol vidta alla lämpliga åtgärder för att se till att Eppo har indirekt åtkomst på grundval av ett system med träff/icke träff till uppgifter som rör brott som omfattas av Eppos behörighet och som lämnats för de syften som anges i artikel 18.2 a, b och c, som endast underrättar Europol vid en träff och utan att det påverkar eventuella begränsningar som anges enligt artikel 19.2 av de uppgiftslämnare som avses i artikel 19.1. Om sökningen ger en träff, ska Europol inleda ett förfarande genom vilket de uppgifter som gav upphov till träffen får lämnas ut, i enlighet med det beslut som har fattats av den som har lämnat de uppgifter som avses i artikel 19.1 och endast i den mån de uppgifter som gav upphov till träffen är relevanta för den begäran som lämnades enligt punkt 2 i den här artikeln. 4. Europol ska utan onödigt dröjsmål rapportera till Eppo alla brottsliga handlingar avseende vilka Eppo skulle kunna utöva sin behörighet i enlighet med artiklarna 22, 25.2 och 25.3 i förordning (EU) 2017/1939 och utan att det påverkar eventuella begränsningar som den som lämnar uppgifterna anger enligt artikel 19.2 i den här förordningen. När Europol rapporterar till Eppo ska Europol utan dröjsmål underrätta de berörda medlemsstaterna. Om uppgifter om brottsliga handlingar för vilka Eppo skulle kunna utöva sin behörighet har lämnats till Europol av en medlemsstat som angav begränsningar av användningen av de uppgifterna enligt artikel 19.2 i den här förordningen, ska Europol underrätta Eppo om förekomsten av dessa begränsningar och hänskjuta ärendet till den berörda medlemsstaten. Den berörda medlemsstaten ska samarbeta direkt med Eppo för att följa artikel 24.1 och 24.4 i förordning (EU) 2017/1939.” |
14. |
I artikel 21 ska följande punkt läggas till: ”8. Om Europol under behandlingen av uppgifter avseende en specifik brottsutredning eller ett specifikt projekt upptäcker uppgifter som är relevanta för eventuell olaglig verksamhet som riktar sig mot unionens ekonomiska intressen ska Europol lämna dessa uppgifter till Olaf utan onödigt dröjsmål, utan att det påverkar eventuella begränsningar som angetts enligt artikel 19.2 av den medlemsstat som lämnade uppgifterna. När Europol lämnar uppgifter till Olaf enligt första stycket ska Europol utan dröjsmål underrätta de berörda medlemsstaterna.” |
15. |
Artikel 23.7 ska ersättas med följande: ”7. Medlemsstater, unionsorgan, tredjeländer, internationella organisationer eller privata parter får inte vidare överföra personuppgifter som innehas av Europol utan uttryckligt samtycke på förhand från Europol.” |
16. |
Rubriken på avsnitt 2 ska ersättas med följande: ” ”. |
17. |
Artikel 24 ska ersättas med följande: ”Artikel 24 Översändning av personuppgifter till unionsorgan 1. Europol får endast översända personuppgifter till ett unionsorgan i enlighet med artikel 71.2 i förordning (EU) 2018/1725, med förbehåll för eventuella begränsningar enligt den här förordningen och utan att det påverkar tillämpningen av artikel 67 i den här förordningen om dessa uppgifter är proportionella och nödvändiga för det mottagande unionsorganets lagenliga utförande av sina uppgifter. 2. Vid en begäran om översändning av personuppgifter från ett annat unionsorgan ska Europol kontrollera de andra unionsorganens behörighet. Om Europol inte kan bekräfta att översändningen av personuppgifterna är nödvändigt i enlighet med punkt 1, ska Europol begära ytterligare information från det begärande unionsorganet. Det begärande unionsorganet ska säkerställa att det går att kontrollera att översändningen av personuppgifterna var nödvändig. 3. De mottagande unionsorgan som avses i punkterna 1 och 2 ska behandla personuppgifterna endast för de ändamål för vilka de översändes.” |
18. |
Artikel 25 ska ändras på följande sätt:
|
19. |
Artikel 26 ska ändras på följande sätt:
|
20. |
Följande artiklar ska införas: ”Artikel 26a Utbyte av personuppgifter med privata parter i krissituationer online 1. I krissituationer online får Europol ta emot personuppgifter direkt från privata parter och behandla dessa personuppgifter i enlighet med artikel 18. 2. Om Europol tar emot personuppgifter från en privat part som är etablerad i ett tredjeland får Europol endast vidarebefordra dessa uppgifter och resultaten av sin analys och kontroll av dessa uppgifter till en medlemsstat eller till ett berört tredjeland som avses i artikel 25.1 a, b eller c eller i artikel 25.4a. Europol får överföra resultatet av sin analys och kontroll av de uppgifter som avses i punkt 1 i denna artikel till det berörda tredjelandet enligt artikel 25.5 eller 25.6. 3. Europol får från fall till fall översända eller överföra personuppgifter till privata parter, med förbehåll för eventuella begränsningar som anges enligt artikel 19.2 eller 19.3 och utan att det påverkar tillämpningen av artikel 67, när översändningen eller överföringen av sådana uppgifter är strikt nödvändig för att hantera krissituationer online, och inga av de berörda registrerades grundläggande fri- och rättigheter väger tyngre än det allmänintresse som kräver att de personuppgifterna överförs. 4. Om den berörda privata parten inte är etablerad inom unionen eller i ett land enligt artikel 25.1 a, b eller c eller i artikel 25.4a, kräver överföringen tillstånd av den verkställande direktören. 5. Europol ska bistå samt utbyta information och samarbeta med medlemsstaternas behöriga myndigheter när det gäller översändning eller överföring av personuppgifter till privata parter enligt punkt 3 eller 4, särskilt för att undvika dubbelarbete, förbättra samordningen och undvika att störa utredningar i olika medlemsstater. 6. Europol får be medlemsstaterna, via de nationella enheterna, att i enlighet med deras nationella rätt inhämta personuppgifter från privata parter som är etablerade eller har en rättslig företrädare på deras territorium i syfte att förmedla dessa uppgifter till Europol. Sådana begäranden ska vara motiverade och så precisa som möjligt. Sådana personuppgifter ska vara av så icke-känslig karaktär som möjligt och strikt begränsade till vad som är nödvändigt och proportionellt för att Europol ska kunna hjälpa medlemsstater att hantera krissituationer online. Trots medlemsstaternas jurisdiktion när det gäller spridningen av det innehåll avseende vilket Europol begär personuppgifter ska medlemsstaterna säkerställa att deras behöriga myndigheter kan behandla de begäranden som avses i första stycket i enlighet med sin nationella rätt i syfte att förse Europol med de uppgifter som byrån behöver för att uppnå sina mål. 7. Europol ska säkerställa att alla överföringar av personuppgifter och orsakerna till dessa överföringar registreras utförligt i enlighet med denna förordning. På begäran av Europeiska datatillsynsmannen ska Europol göra dessa registreringar tillgängliga för Europeiska datatillsynsmannen i enlighet med artikel 39a. 8. Om de personuppgifter som har erhållits eller som ska överföras påverkar en medlemsstats intressen, ska Europol omedelbart informera den berörda medlemsstatens nationella enhet. Artikel 26b Utbyte av personuppgifter med privata parter för att hantera spridning av material med sexuella övergrepp mot barn på nätet 1. Europol får ta emot personuppgifter direkt från privata parter och behandla dessa personuppgifter i enlighet med artikel 18 för att hantera spridning online av material med sexuella övergrepp mot barn på nätet, i enlighet med artikel 4.1 y. 2. Om Europol tar emot personuppgifter från en privat part som är etablerad i ett tredjeland får Europol endast vidarebefordra dessa uppgifter och resultaten av sin analys och kontroll av dessa uppgifter till en medlemsstat eller till ett berört tredjeland enligt artikel 25.1 a, b eller c, eller artikel 25.4a. Europol får överföra resultaten av sin analys och kontroll av de uppgifter som avses i första stycket i denna punkt till det berörda tredjelandet i enlighet med artikel 25.5 eller 25.6. 3. Europol får från fall till fall översända eller överföra personuppgifter till privata parter, med förbehåll för eventuella begränsningar som anges enligt artikel 19.2 eller 19.3 och utan att det påverkar tillämpningen av artikel 67, när översändningen eller överföringen av sådana uppgifter är strikt nödvändig för att hantera spridning av material med sexuella övergrepp mot barn på nätet i enlighet med artikel 4.1 y, och inga av de berörda registrerades grundläggande fri- och rättigheter väger tyngre än det allmänintresse som kräver att de personuppgifterna översänds eller överförs. 4. Om den berörda privata parten inte är etablerad inom unionen eller i ett tredjeland som avses i artikel 25.1 a, b eller c, eller i artikel 25.4a, kräver överföringen tillstånd av den verkställande direktören. 5. Europol ska bistå samt utbyta information och samarbeta med medlemsstaternas behöriga myndigheter när det gäller översändning eller överföring av personuppgifter till privata parter enligt punkt 3 eller 4, särskilt för att undvika dubbelarbete, förbättra samordningen och undvika att störa utredningar i olika medlemsstater. 6. Europol får be medlemsstaterna, via deras nationella enheter, att i enlighet med deras tillämpliga rätt inhämta personuppgifter från privata parter som är etablerade eller har en rättslig företrädare på deras territorium i syfte att förmedla de uppgifterna till Europol. Sådana begäranden ska vara motiverade och så precisa som möjligt. Sådana personuppgifter ska vara av så icke-känslig karaktär som möjligt och strikt begränsade till vad som är nödvändigt och proportionellt för att göra det möjligt för Europol att hantera spridning online av material med sexuella övergrepp mot barn som avses i artikel 4.1 y. Trots medlemsstaternas jurisdiktion när det gäller spridningen av det innehåll avseende vilket Europol begär personuppgifter ska medlemsstaterna säkerställa att medlemsstaternas behöriga myndigheter kan behandla de begäranden som avses i första stycket i enlighet med deras nationella rätt i syfte att förse Europol med de uppgifter som byrån behöver för att uppnå sina mål. 7. Europol ska säkerställa att alla överföringar av personuppgifter och orsakerna till dessa överföringar registreras utförligt i enlighet med denna förordning. På begäran av Europeiska datatillsynsmannen ska Europol göra dessa registreringar tillgängliga för Europeiska datatillsynsmannen i enlighet med artikel 39a. 8. Om de personuppgifter som har erhållits eller som ska överföras påverkar en medlemsstats intressen, ska Europol omedelbart informera den berörda medlemsstatens nationella enhet.” |
21. |
Artikel 27.1 och 27.2 ska ersättas med följande: ”1. I den mån det är nödvändigt för att Europol ska kunna fullgöra sina uppgifter, får Europol ta emot och behandla uppgifter som lämnas av privatpersoner. Personuppgifter som lämnas av privatpersoner får endast behandlas av Europol förutsatt att de har mottagits via
2. Om Europol mottar uppgifter, inbegripet personuppgifter, från en privatperson som är bosatt i ett annat tredjeland än det som avses i artikel 25.1 a eller b eller i artikel 25.4a, får Europol vidarebefordra uppgifterna endast till en medlemsstat eller till ett sådant tredjeland.” |
22. |
Rubriken på kapitel VI ska ersättas med följande: ”SKYDD AV PERSONUPPGIFTER”. |
23. |
Följande artikel ska införas: ”Artikel 27a Europols behandling av personuppgifter 1. Utan att det påverkar tillämpningen av denna förordning ska artikel 3 och kapitel IX i förordning (EU) 2018/1725 tillämpas på Europols behandling av personuppgifter. Förordning (EU) 2018/1725 ska, med undantag av kapitel IX, tillämpas på Europols behandling av administrativa personuppgifter. 2. Med hänvisningar till personuppgifter i denna förordning avses operativa personuppgifter enligt definitionen i artikel 3.2 i förordning (EU) 2018/1725, om inte annat föreskrivs i den här förordningen. 3. Styrelsen ska anta regler för att fastställa tidsfristerna för lagring av administrativa personuppgifter.” |
24. |
Artikel 28 ska utgå. |
25. |
Artikel 30 ska ändras på följande sätt:
|
26. |
Artikel 32 ska ersättas med följande: ”Artikel 32 Säkerhet vid behandling Mekanismer för att säkerställa att säkerhetsåtgärder beaktas mellan informationssystem ska fastställas av Europol i enlighet med artikel 91 i förordning (EU) 2018/1725 och av medlemsstaterna i enlighet med artikel 29 i direktiv (EU) 2016/680.” |
27. |
Artikel 33 ska utgå. |
28. |
Följande artikel ska införas: ”Artikel 33a Behandling av personuppgifter för forskning och innovation 1. Europol får behandla personuppgifter för sina forsknings- och innovationsprojekt förutsatt att behandlingen av de personuppgifterna
Europols behandling av personuppgifter inom ramen för forsknings- och innovationsprojekt ska vägledas av principerna om öppenhet, förklarbarhet, rättvisa och ansvarsskyldighet. 2. Utan att det påverkar tillämpningen av punkt 1 ska vid behandling av personuppgifter som utförs inom ramen för Europols forsknings- och innovationsprojekt följande skyddsåtgärder tillämpas:
3. Styrelsen ska i ett bindande dokument fastställa den allmänna räckvidden för Europols forsknings- och innovationsprojekt. Ett sådant dokument ska vid behov uppdateras och göras tillgängligt för Europeiska datatillsynsmannen i samband med dennes tillsyn. 4. Europol ska spara ett dokument som innehåller en detaljerad beskrivning av processen och avsikten med upplärning, testning och validering av algoritmer för att säkerställa transparens i förfarandet och algoritmerna, inbegripet deras överensstämmelse med de skyddsåtgärder som föreskrivs i denna artikel, och för att möjliggöra kontroll av resultatens korrekthet baserat på användningen av sådana algoritmer. Europol ska på begäran göra det dokumentet tillgängligt för berörda parter, inbegripet medlemsstaterna och den gemensamma parlamentariska kontrollgruppen. 5. Om de uppgifter som ska behandlas för ett forsknings- och innovationsprojekt har tillhandahållits av en medlemsstat, ett unionsorgan, ett tredjeland eller en internationell organisation ska Europol begära samtycke från uppgiftslämnaren i enlighet med artikel 19.2, såvida inte uppgiftslämnaren på förhand har samtyckt till sådan behandling för forsknings- och innovationsprojekt, antingen generellt eller förenat med särskilda villkor. Europol får inte behandla uppgifter för forsknings- och innovationsprojekt utan samtycke från uppgiftslämnaren. Sådant samtycke kan återkallas när som helst.” |
29. |
Artikel 34 ska ändras på följande sätt:
|
30. |
Artikel 35 ska ändras på följande sätt:
|
31. |
Artikel 36 ska ändras på följande sätt:
|
32. |
Artikel 37 ska ändras på följande sätt:
|
33. |
Artikel 38 ska ändras på följande sätt:
|
34. |
Artikel 39 ska ersättas med följande: ”Artikel 39 Förhandssamråd 1. Utan att det påverkar tillämpningen av artikel 90 i förordning (EU) 2018/1725 ska föregående samråd med Europeiska datatillsynsmannen inte gälla operativ verksamhet i specifika enskilda fall som inte omfattar eventuella nya typer av behandling som medför en hög risk för de registrerades fri- och rättigheter. 2. Europol får inleda behandling av uppgifter som är föremål för förhandssamråd med Europeiska datatillsynsmannen i enlighet med artikel 90.1 i förordning (EU) 2018/1725, såvida inte Europeiska datatillsynsmannen har lämnat skriftliga råd i enlighet med artikel 90.4 i den förordningen inom de tidsfrister som föreskrivs i den bestämmelsen, vilka börjar den dag då den ursprungliga begäran om samråd tas emot och inte får avbrytas. 3. Europol får i undantagsfall inleda behandling efter det att det förhandssamråd med Europeiska datatillsynsmannen som föreskrivs i artikel 90.1 i förordning (EU) 2018/1725 har inletts och innan den tidsfrist som föreskrivs i artikel 90.4 i den förordningen har löpt ut, detta om den behandling av uppgifter som avses i punkt 2 i den här artikeln har väsentlig betydelse för Europols fullgörande av uppgifter och är särskilt brådskande och nödvändig för att förebygga och bekämpa ett omedelbart hot om ett brott som omfattas av Europols mål eller för att skydda intressen som är av grundläggande betydelse för en registrerad eller en annan person. I det fallet ska Europol informera Europeiska datatillsynsmannen innan behandlingen inleds. Skriftliga råd från Europeiska datatillsynsmannen i enlighet med artikel 90.4 i förordning (EU) 2018/1725 ska beaktas i efterhand, och det sätt på vilket behandlingen utförs ska anpassas i enlighet med detta. Dataskyddsombudet ska involveras i bedömningen av hur brådskande sådan behandling är innan den period som föreskrivs i artikel 90.4 i förordning (EU) 2018/1725 löper ut och ska övervaka behandlingen i fråga. 4. Europeiska datatillsynsmannen ska föra register över all behandling av uppgifter som har meddelats denne i enlighet med punkt 1. Registret ska inte offentliggöras.” |
35. |
Följande artikel ska införas: ”Artikel 39a Register över kategorier av behandling 1. Europol ska föra ett register över alla kategorier av behandling som byrån ansvarar för. Registret ska innehålla följande uppgifter:
2. Det register som avses i punkt 1 ska upprättas skriftligen, inbegripet i elektronisk form. 3. Europol ska på begäran göra det register som avses i punkt 1 tillgängliga för Europeiska datatillsynsmannen.” |
36. |
Artikel 40 ska ersättas med följande: ”Artikel 40 Loggning 1. I enlighet med artikel 88 i förordning (EU) 2018/1725 ska Europol föra logg över sin behandling. Det får inte vara möjligt att ändra loggarna. 2. Utan att det påverkar tillämpningen av artikel 88 i förordning (EU) 2018/1725 ska de loggar som avses i punkt 1 överlämnas till den nationella enheten om denna begär det för en specifik brottsutredning som rör efterlevnaden av dataskyddsreglerna.” |
37. |
Artikel 41 ska ersättas med följande: ”Artikel 41 Utnämning av dataskyddsombudet 1. Styrelsen ska utse en medlem av Europols personal till dataskyddsombud, som ska utses endast till denna position. 2. Dataskyddsombudet ska väljas på grundval av yrkesmässiga kvalifikationer och i synnerhet sina expertkunskaper om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 41b i denna förordning och i förordning (EU) 2018/1725. 3. Valet av dataskyddsombudet ska inte kunna leda till en intressekonflikt mellan ombudets uppdrag som dataskyddsombud och andra offentliga uppdrag, särskilt vad avser tillämpningen av denna förordning. 4. Dataskyddsombudet får inte avsättas av styrelsen eller bli föremål för sanktioner från dess sida för att ha utfört sina uppgifter. 5. Europol ska offentliggöra dataskyddsombudets kontaktuppgifter och förmedla dem till Europeiska datatillsynsmannen.” |
38. |
Följande artiklar ska införas: ”Artikel 41a Dataskyddsombudets ställning 1. Europol ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter. 2. Europol ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 41b genom att tillhandahålla de resurser och den personal som krävs för att fullgöra dessa uppgifter och genom att ge tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap. För att stödja dataskyddsombudet i fullgörandet av dennes uppgifter får en medlem av Europols personal utses till biträdande dataskyddsombud. 3. Europol ska säkerställa att dataskyddsombudet agerar självständigt och inte tar emot instruktioner som gäller fullgörandet av dennes uppgifter. Dataskyddsombudet ska rapportera direkt till styrelsen. 4. Registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av deras personuppgifter och utövandet av deras rättigheter enligt denna förordning och enligt förordning (EU) 2018/1725. Ingen ska påverkas negativt av att ha gjort dataskyddsombudet uppmärksamt på att en händelse som påstås utgöra en överträdelse av den här förordningen eller förordning (EU) 2018/1725 har ägt rum. 5. Styrelsen ska anta genomförandebestämmelser rörande dataskyddsombudet. Dessa genomförandebestämmelser ska särskilt avse förfarandet för utnämning av dataskyddsombudet och dennes entledigande, arbetsuppgifter, åligganden och befogenheter samt skyddsåtgärder för att säkerställa dennes oberoende. 6. Dataskyddsombudet och dennes personal ska iaktta skyldigheten avseende konfidentialitet i artikel 67.1. 7. Dataskyddsombudet ska utnämnas för en period på fyra år och ska kunna ges förnyat mandat. 8. Dataskyddsombudet får endast entledigas från sitt uppdrag av styrelsen om ombudet inte längre uppfyller kraven för utförandet av uppgifterna och endast med samtycke av Europeiska datatillsynsmannen. 9. Dataskyddsombudet och det biträdande dataskyddsombudet ska registreras av styrelsen hos Europeiska datatillsynsmannen. 10. De bestämmelserna som är tillämpliga på dataskyddsombudet ska i tillämpliga fall tillämpas på det biträdande dataskyddsombudet. Artikel 41b Dataskyddsombudets uppgifter 1. Dataskyddsombudet ska särskilt ha följande uppgifter när det gäller behandling av personuppgifter:
2. Dataskyddsombudet får ge rekommendationer till styrelsen för att uppnå praktiska förbättringar av dataskyddet samt ge råd i fråga om tillämpningen av dataskyddsbestämmelser. Dataskyddsombudet får, på eget initiativ eller på begäran av styrelsen eller enskilda personer, utreda frågor och händelser som har direkt samband med hans eller hennes uppgifter och som kommer till hans eller hennes kännedom och rapportera resultaten av utredningen tillbaka till den person som beställde utredningen eller till styrelsen. 3. Dataskyddsombudet ska utföra de uppgifter som föreskrivs i förordning (EU) 2018/1725 när det gäller administrativa personuppgifter. 4. Dataskyddsombudet och den personal vid Europol som biträder dataskyddsombudet ska för fullgörandet av sina uppgifter ha åtkomst till alla uppgifter som behandlas av Europol och tillträde till alla Europols lokaler. 5. Om dataskyddsombudet anser att de bestämmelser i den här förordningen eller förordning (EU) 2018/1725 som rör behandlingen av administrativa personuppgifter, eller de bestämmelser i den här förordningen eller artikel 3 och kapitel IX i förordning (EU) 2018/1725 som rör behandling av personuppgifter inte har iakttagits, ska dataskyddsombudet underrätta den verkställande direktören och kräva att denne vidtar åtgärder för att avhjälpa den bristande överensstämmelsen inom en fastställd period. Om inte den verkställande direktören inom den fastställda perioden avhjälper den bristande överensstämmelsen när det gäller behandling av personuppgifter, ska dataskyddsombudet informera styrelsen. Styrelsen ska svara inom en fastställd tidsfrist som överenskommits med dataskyddsombudet. Om inte styrelsen avhjälper den bristande överensstämmelsen inom den fastställda perioden, ska dataskyddsombudet hänskjuta frågan till Europeiska datatillsynsmannen. Artikel 41c Ombudet för grundläggande rättigheter 1. Styrelsen ska på förslag från den verkställande direktören utse ett ombud för grundläggande rättigheter. Ombudet för grundläggande rättigheter kan vara en medlem av Europols befintliga personal som fått särskild utbildning i lagstiftning och praxis för grundläggande rättigheter. 2. Ombudet för grundläggande rättigheter ska
3. Europol ska säkerställa att ombudet för grundläggande rättigheter inte tar emot instruktioner som gäller utförandet av dennes uppgifter. 4. Ombudet för grundläggande rättigheter ska rapportera direkt till den verkställande direktören samt utarbeta årliga rapporter om sin verksamhet och därvid även ange i vilken utsträckning Europols verksamhet respekterar grundläggande rättigheter. Dessa rapporter ska göras tillgängliga för styrelsen. Artikel 41d Utbildning i grundläggande rättigheter All personal vid Europol som arbetar med operativa uppgifter som inbegriper behandling av personuppgifter ska få obligatorisk utbildning i skydd av grundläggande fri- och rättigheter, även när det gäller behandling av personuppgifter. Den utbildningen ska utvecklas i samarbete med Europeiska unionens byrå för grundläggande rättigheter (FRA), inrättad genom rådets förordning (EG) nr 168/2007 (*12), och Europeiska unionens byrå för utbildning av tjänstemän inom brottsbekämpning (Cepol), inrättad genom Europaparlamentets och rådets förordning (EU) 2015/2219 (*13). (*12) Rådets förordning (EG) nr 168/2007 av den 15 februari 2007 om inrättande av Europeiska unionens byrå för grundläggande rättigheter (EUT L 53, 22.2.2007, s. 1)." (*13) Europaparlamentets och rådets förordning (EU) 2015/2219 av den 25 november 2015 om Europeiska unionens byrå för utbildning av tjänstemän inom brottsbekämpning (Cepol) och om ersättning och upphävande av rådets beslut 2005/681/RIF (EUT L 319, 4.12.2015, s. 1).” " |
39. |
Artikel 42.1 och 42.2 ska ersättas med följande: ”1. För att kunna utöva sin tillsyn ska de nationella tillsynsmyndigheter som avses i artikel 41 i direktiv (EU) 2016/680 hos den nationella enheten eller hos sambandsmannen få åtkomst till de uppgifter deras medlemsstat överlämnat till Europol i enlighet med tillämpliga nationella förfaranden och till de loggar som avses i artikel 40 i denna förordning. 2. De nationella tillsynsmyndigheterna ska få tillgång till lokaler och akter hos de respektive sambandsmännen vid Europol.” |
40. |
Artikel 43 ska ändras på följande sätt:
|
41. |
Artikel 44 ska ändras på följande sätt:
|
42. |
Artiklarna 45 och 46 ska utgå. |
43. |
Artikel 47 ska ändras på följande sätt:
|
44. |
Artikel 50 ska ersättas med följande: ”Artikel 50 Rätt till ersättning 1. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning i enlighet med artikel 65 i förordning (EU) 2018/1725 och artikel 56 i direktiv (EU) 2016/680. 2. Alla tvister mellan Europol och medlemsstater om det slutliga ansvaret för ersättning som har beviljats en person som har lidit materiell eller immateriell skada i enlighet med punkt 1 i den här artikeln ska hänskjutas till styrelsen. Styrelsen ska besluta om ansvaret med två tredjedelars majoritet av sina ledamöter, utan att detta påverkar rätten att överklaga det beslutet i enlighet med artikel 263 i EUF-fördraget.” |
45. |
Artikel 51 ska ändras på följande sätt:
|
46. |
Följande artikel ska införas: ”Artikel 52a Rådgivande forum 1. Den gemensamma parlamentariska kontrollgruppen ska inrätta ett rådgivande forum som på begäran ska bistå gruppen med oberoende rådgivning i frågor som rör grundläggande rättigheter. Den gemensamma parlamentariska kontrollgruppen och den verkställande direktören får samråda med det rådgivande forumet i alla frågor som rör grundläggande rättigheter. 2. Den gemensamma parlamentariska kontrollgruppen ska besluta om det rådgivande forumets sammansättning, dess arbetsmetoder och hur information ska översändas till det rådgivande forumet.” |
47. |
Artikel 58.9 ska ersättas med följande: ”9. Delegerad förordning (EU) 2019/715 ska tillämpas på alla byggprojekt som väsentligt kan komma att påverka Europols budget.” |
48. |
Artikel 60 ska ändras på följande sätt:
|
49. |
Artikel 61 ska ersättas med följande: ”Artikel 61 Finansiella bestämmelser 1. De finansiella bestämmelser som ska tillämpas på Europol ska antas av styrelsen efter samråd med kommissionen. De får inte avvika från delegerad förordning (EU) 2019/715, såvida inte detta är specifikt nödvändigt för Europols verksamhet och kommissionen har lämnat sitt samtycke i förväg. 2. Europol får bevilja bidrag med koppling till uppnåendet av byråns mål och uppgifter. 3. Europol får utan föregående ansökningsomgång bevilja medlemsstaterna bidrag för utförandet av verksamhet som omfattas av Europols mål och uppgifter. 4. När det är vederbörligen motiverat för operativa ändamål, efter godkännande från styrelsen, får det ekonomiska stödet täcka de totala investeringskostnaderna för utrustning och infrastruktur. De finansiella bestämmelser som avses i punkt 1 får ange de kriterier enligt vilka det ekonomiska stödet får täcka de totala kostnader som avses i första stycket i denna punkt. 5. Vad gäller det ekonomiska stöd som ska beviljas gemensamma utredningsgruppers verksamhet ska Europol och Eurojust gemensamt fastställa de regler och villkor enligt vilka ansökningar om sådant stöd ska behandlas.” |
50. |
Artikel 68 ska ändras på följande sätt:
|
51. |
Följande artiklar ska införas: ”Artikel 74a Övergångsbestämmelser om behandling av personuppgifter till stöd för en pågående brottsutredning 1. Om en medlemsstat, Eppo eller Eurojust har tillhandahållit personuppgifter som inte avser de kategorier av registrerade som förtecknas i bilaga II till Europol före den 28 juni 2022 får Europol behandla dessa personuppgifter i enlighet med artikel 18a om
Den bedömning som avses i led c i denna punkt ska dokumenteras och skickas till Europeiska datatillsynsmannen för kännedom när Europol upphör att stödja den berörda specifika brottsutredningen. 2. Om en medlemsstat, Eppo eller Eurojust inte uppfyller ett eller flera av kraven i punkt 1 a och b i denna artikel för personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II som de lämnade till Europol före den 28 juni 2022, eller om en medlemsstat, Eppo eller Eurojust inte uppfyller kraven i punkt 1 c i denna artikel, får Europol inte behandla dessa personuppgifter i enlighet med artikel 18a, utan ska, utan att det påverkar tillämpningen av artiklarna 18.5 och 74b, radera dessa personuppgifter senast den 29 oktober 2022. 3. Om ett tredjeland som avses i artikel 18a.6 har tillhandahållit personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II till Europol före den 28 juni 2022 får Europol behandla dessa personuppgifter i enlighet med artikel 18a.6 om
4. Om ett tredjeland inte uppfyller kravet i punkt 3 c i denna artikel med avseende på personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II som det lämnade till Europol före den 28 juni 2022, eller om något av de andra kraven i punkt 3 i denna artikel inte är uppfyllt, får Europol inte behandla dessa personuppgifter i enlighet med artikel 18a.6, utan ska, utan att det påverkar tillämpningen av artiklarna 18.5 och 74b, radera dessa personuppgifter senast den 29 oktober 2022. 5. Om en medlemsstat, Eppo eller Eurojust har tillhandahållit personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II till Europol före den 28 juni 2022, får den begära att Europol, senast den 29 september 2022, lagrar dessa uppgifter och resultatet av Europols behandling av dessa uppgifter om detta är nödvändigt för att säkerställa sanningsenligheten, tillförlitligheten och spårbarheten i kriminalunderrättelseprocessen. Europol ska lagra personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II funktionellt åtskilda från andra uppgifter och får endast behandla sådana uppgifter i syfte att säkerställa sanningsenligheten, tillförlitligheten och spårbarheten i kriminalunderrättelseprocessen, och endast så länge som de rättsliga förfaranden som rör den brottsutredning för vilken dessa uppgifter lämnades ut pågår. 6. Om Europol har tagit emot personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II före den 28 juni 2022 får Europol inte lagra dessa uppgifter i syfte att säkerställa sanningsenligheten, tillförlitligheten och spårbarheten i kriminalunderrättelseprocessen, såvida inte detta begärs i enlighet med punkt 5. I avsaknad av en sådan begäran ska Europol radera dessa personuppgifter senast den 29 oktober 2022. Artikel 74b Övergångsbestämmelser om behandling av personuppgifter som innehas av Europol Utan att det påverkar tillämpningen av artikel 74a får Europol, när det gäller personuppgifter som Europol har mottagit före den 28 juni 2022, kontrollera om dessa personuppgifter motsvarar någon av de kategorier av registrerade som anges i bilaga II till denna förordning. För detta ändamål får Europol utföra en förhandsanalys av dessa personuppgifter under en period på högst 18 månader räknat från dagen för det första mottagandet av uppgifterna eller, i motiverade fall, under en längre period med förhandstillstånd från Europeiska datatillsynsmannen. Den maximala behandlingsperioden för de uppgifter som avses i första stycket ska vara tre år från den dag då Europol tog emot uppgifterna.” |
Artikel 2
Denna förordning träder i kraft dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.
Utfärdad i Strasbourg den 8 juni 2022.
På Europaparlamentets vägnar
R. METSOLA
Ordförande
På rådets vägnar
C. BEAUNE
Ordförande
(1) Europaparlamentets ståndpunkt av den 4 maj 2022 (ännu inte offentliggjord i EUT) och rådets beslut av den 24 maj 2022.
(2) Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (EUT L 135, 24.5.2016, s. 53).
(3) Rådets beslut 2008/617/RIF av den 23 juni 2008 om förbättrat samarbete i krissituationer mellan Europeiska unionens medlemsstaters särskilda insatsgrupper (EUT L 210, 6.8.2008, s. 73).
(4) Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).
(5) Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).
(6) Europaparlamentets och rådets förordning (EU) 2018/1862 av den 28 november 2018 om inrättande, drift och användning av Schengens informationssystem (SIS) på området polissamarbete och straffrättsligt samarbete, om ändring och upphävande av rådets beslut 2007/533/RIF och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1986/2006 och kommissionens beslut 2010/261/EU (EUT L 312, 7.12.2018, s. 56).
(7) Rådets förordning (EU) nr 1053/2013 av den 7 oktober 2013 om inrättande av en utvärderings- och övervakningsmekanism för kontroll av tillämpningen av Schengenregelverket och om upphävande av verkställande kommitténs beslut av den 16 september 1998 om inrättande av Ständiga kommittén för genomförande av Schengenkonventionen (EUT L 295, 6.11.2013, s. 27).
(8) Europaparlamentets och rådets förordning (EU) 2019/452 av den 19 mars 2019 om upprättande av en ram för granskning av utländska direktinvesteringar i unionen (EUT L 79I, 21.3.2019, s. 1).
(9) Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1).
(10) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
(11) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).
(12) Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG (EUT L 141, 5.6.2015, s. 73).
(13) Europaparlamentets och rådets förordning (EU) 2021/784 av den 29 april 2021 om åtgärder mot spridning av terrorisminnehåll online (EUT L 172, 17.5.2021, s. 79).
(14) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).