(1)

Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) inrättades genom Europaparlamentets och rådets förordning (EU) 2016/794 (2) för att stödja och stärka medlemsstaternas behöriga myndigheters insatser och deras ömsesidiga samarbete för att förebygga och bekämpa allvarlig brottslighet som berör två eller flera medlemsstater, terrorism och former av brottslighet som påverkar ett gemensamt intresse som omfattas av unionens politik.

(2)

Europa står inför ett föränderligt säkerhetslandskap, med nya och alltmer komplexa säkerhetshot. Terrorister och andra brottslingar utnyttjar den digitala omvandlingen och den nya tekniken, i synnerhet såväl sammankoppling, som utplåning av gränserna, mellan den fysiska och den digitala världen, till exempel genom att dölja sina brott och sina identiteter med hjälp av alltmer sofistikerade tekniker. Terrorister och andra brottslingar har visat att de kan anpassa sina arbetsmetoder och utveckla ny brottslig verksamhet i kristider, inbegripet genom att ta hjälp av teknikbaserade verktyg för att mångfaldiga och utvidga omfattningen och vidden av sin brottsliga verksamhet. Terrorism förblir ett betydande hot mot unionsmedborgares frihet och levnadssätt.

(3)

Föränderliga och komplexa hot sprids över gränserna, omfattar en rad olika brottsformer och tar sig uttryck i multikriminella brottsorganisationer som ägnar sig åt många olika typer av brottslig verksamhet. Eftersom åtgärder på nationell nivå och gränsöverskridande samarbete inte räcker för att hantera dessa gränsöverskridande säkerhetshot har medlemsstaternas behöriga myndigheter i allt högre grad utnyttjat det stöd och den sakkunskap som Europol erbjuder för att förebygga och bekämpa allvarlig brottslighet och terrorism. Sedan förordning (EU) 2016/794 började tillämpas har den operativa betydelsen av Europols uppgifter ökat avsevärt. Den nya hotmiljön förändrar dessutom omfattningen och den typ av stöd som medlemsstaterna behöver och förväntar sig av Europol för att hålla medborgarna säkra.

(4)

Europol bör därför tilldelas ytterligare uppgifter genom denna förordning för att göra det möjligt för Europol att bättre stödja medlemsstaternas behöriga myndigheter, samtidigt som medlemsstaternas ansvar på området för nationell säkerhet enligt artikel 4.2 i fördraget om Europeiska unionen (EU-fördraget) bevaras fullt ut. Europols förstärkta mandat bör vägas mot förstärkta skyddsåtgärder när det gäller grundläggande rättigheter och ökad ansvarsskyldighet, ökat ansvar och ökad tillsyn, inbegripet parlamentarisk tillsyn och tillsyn genom Europols styrelse (styrelsen). För att Europol ska kunna fullgöra sitt förstärkta mandat bör dess ytterligare uppgifter motsvaras av tillräckliga personella och ekonomiska resurser.

(5)

Eftersom unionen står inför allt större hot från brottsorganisationer och terroristattacker måste en effektiv brottsbekämpande insats omfatta tillgång till välutbildade, kompatibla särskilda insatsgrupper som är specialiserade på att hantera krissituationer som förorsakas av människor. I unionen samarbetar medlemsstaternas särskilda insatsgrupper på grundval av rådets beslut 2008/617/RIF (3). Europol bör kunna stödja dessa särskilda insatsgrupper genom att tillhandahålla tekniskt och ekonomiskt stöd som kompletterar de insatser som görs av medlemsstaterna.

(6)

Under de senaste åren har storskaliga cyberangrepp, inbegripet angrepp med ursprung i tredjeländer, riktats mot både offentliga och privata enheter i många jurisdiktioner inom och utanför unionen, vilka påverkat olika sektorer såsom transport, hälso- och sjukvård och finansiella tjänster. Förebyggande, upptäckt, utredning och lagföring av sådana cyberangrepp stöds av samordning och samarbete mellan relevanta aktörer, däribland Europeiska unionens cybersäkerhetsbyrå (Enisa), inrättad genom Europaparlamentets och rådets förordning (EU) 2019/881 (4), behöriga myndigheter för säkerhet i nätverks- och informationssystem enligt Europaparlamentets och rådets direktiv (EU) 2016/1148 (5), medlemsstaternas behöriga myndigheter och privata parter. För att säkerställa effektivt samarbete mellan alla relevanta aktörer på unionsnivå och nationell nivå i fråga om cyberangrepp och cybersäkerhetshot bör Europol samarbeta med Enisa särskilt genom informationsutbyte och analytiskt stöd på områden som omfattas av deras respektive behörigheter.

(7)

Högriskbrottslingar spelar en ledande roll i kriminella nätverk och deras kriminella verksamhet utgör en stor risk för unionens inre säkerhet. För att bekämpa högriskbrottsorganisationer och deras ledande medlemmar bör Europol kunna hjälpa medlemsstaterna att inrikta sina utredningsinsatser på att identifiera medlemmar och ledande medlemmar i dessa nätverk, deras brottsliga verksamhet och deras finansiella tillgångar.

(8)

De hot som allvarlig brottslighet utgör kräver en samordnad, enhetlig, sektorsövergripande och myndighetsövergripande insats. Europol bör kunna underlätta och stödja underrättelseledda säkerhetsinitiativ som drivs av medlemsstaterna som syftar till att identifiera, prioritera och ta itu med allvarliga brottshot, såsom Europeiska sektorsövergripande plattformen mot brottshot (Empact). Europol bör kunna tillhandahålla administrativt, logistiskt, ekonomiskt och operativt stöd till sådana initiativ.

(9)

Schengens informationssystem (SIS), som inrättades på området polissamarbete och straffrättsligt samarbete genom Europaparlamentets och rådets förordning (EU) 2018/1862 (6), är ett viktigt verktyg för att upprätthålla en hög säkerhetsnivå inom området med frihet, säkerhet och rättvisa. Europol, som är ett nav för informationsutbyte inom unionen, tar emot och lagrar värdefull information från tredjeländer och internationella organisationer om personer som misstänks vara inblandade i brott som omfattas av Europols mål. Inom ramen för sina mål och sin uppgift att stödja medlemsstaterna i arbetet med att förebygga och bekämpa grov brottslighet och terrorism, bör Europol stödja medlemsstaterna vid behandlingen av uppgifter som lämnats av tredjeländer eller internationella organisationer till Europol genom att rekommendera att medlemsstaterna för in registreringar i SIS under en ny kategori av informationsregistreringar i unionens intresse (informationsregistrering), i syfte att göra dessa informationsregistreringar tillgängliga för SIS slutanvändare. För detta ändamål bör en mekanism för regelbunden rapportering införas för att säkerställa att medlemsstaterna och Europol informeras om resultatet av kontrollen och analysen av dessa uppgifter och om huruvida informationsregistreringarna har förts in i SIS. Formerna för medlemsstaternas samarbete när det gäller behandling av sådana uppgifter och införande av registreringar i SIS, särskilt när det gäller kampen mot terrorism, bör vara föremål för kontinuerlig samordning mellan medlemsstaterna. Styrelsen bör specificera de kriterier på grundval av vilka det bör vara möjligt för Europol att lägga fram förslag om att föra in sådana informationsregistreringar i SIS.

(10)

Europol har en viktig roll att spela till stöd för den utvärderings- och övervakningsmekanism för kontroll av tillämpningen av Schengenregelverket som inrättades genom rådets förordning (EU) nr 1053/2013 (7). Europol bör därför, på medlemsstaternas begäran, bidra med sin sakkunskap samt sina analyser, rapporter och andra relevanta uppgifter till utvärderings- och övervakningsmekanismen för att kontrollera tillämpningen av Schengenregelverket.

(11)

Riskbedömningar hjälper till att förutse nya tendenser och ta itu med nya hot inom allvarlig brottslighet och terrorism. För att hjälpa kommissionen och medlemsstaterna att genomföra ändamålsenliga riskbedömningar bör Europol tillhandahålla kommissionen och medlemsstaterna hotbedömningsanalyser på grundval av den information byrån innehar om kriminella företeelser och tendenser, utan att det påverkar unionsrätten om riskhantering på tullområdet.

(12)

För att unionens finansiering av säkerhetsforskning ska nå sitt mål att säkerställa att den forskningen utvecklar sin fulla potential och tillgodoser de brottsbekämpande myndigheternas behov, bör Europol bistå kommissionen med att identifiera centrala forskningsteman och utarbeta och genomföra de unionsramprogram för forskning och innovation som är relevanta för Europols mål. I relevanta fall bör Europol kunna sprida resultaten av sin forsknings- och innovationsverksamhet som en del av sitt bidrag till att skapa synergier mellan forsknings- och innovationsverksamheten inom berörda unionsorgan. När så är lämpligt bör Europol kunna samråda med kommissionens gemensamma forskningscentrum (JRC) vid fastställandet och utformningen av forsknings- och innovationsverksamhet i frågor som är relevanta för Europols mål. Europol bör vidta alla nödvändiga åtgärder för att undvika intressekonflikter. Europol bör inte få finansiering från ett visst unionsramprogram när Europol hjälper kommissionen att identifiera centrala forskningsteam eller att utarbeta och genomföra det programmet. Det är viktigt att Europol kan förlita sig på att tillräcklig finansiering tillhandahålls för att kunna bistå medlemsstaterna och kommissionen på området forskning- och innovation.

(13)

Det är möjligt för unionen och medlemsstaterna att anta restriktiva åtgärder avseende utländska direktinvesteringar av hänsyn till säkerhet eller allmän ordning. För detta syfte upprättas genom Europaparlamentets och rådets förordning (EU) 2019/452 (8) en ram för granskning av utländska direktinvesteringar i unionen. Utländska direktinvesteringar i ny teknik förtjänar särskild uppmärksamhet eftersom de kan få betydande konsekvenser för säkerhet och allmän ordning, särskilt när sådan teknik används av medlemsstaternas behöriga myndigheter. Med tanke på Europols engagemang i övervakningen av ny teknik och dess deltagande i utvecklingen av nya sätt att använda denna teknik för brottsbekämpande ändamål, i synnerhet genom sitt innovationslabb och EU:s innovationsknutpunkt för inre säkerhet, har Europol omfattande kunskaper om de möjligheter som sådan teknik erbjuder och om de risker som är förknippade med dess användning. Det bör därför vara möjligt för Europol att stödja medlemsstaterna vid granskningen av utländska direktinvesteringar i unionen och de därmed sammanhängande risker avseende säkerhet som avser företag som tillhandahåller teknik, inbegripet programvara som används av Europol eller medlemsstaterna för att förebygga och utreda brott som omfattas av Europols mål eller kritisk teknik som kan användas för att underlätta terrorism. I detta sammanhang bör Europols sakkunskap stödja granskningen av utländska direktinvesteringar och de därmed sammanhängande säkerhetsriskerna. Det bör särskilt beaktas huruvida den utländska investeraren redan har varit involverad i verksamhet som påverkar säkerhet, huruvida det föreligger en allvarlig risk för att den utländska investeraren bedriver olaglig eller kriminell verksamhet och huruvida den utländska investeraren direkt eller indirekt kontrolleras av ett tredjelands regering, inbegripet genom bidrag.

(14)

Europol tillhandahåller specialiserad sakkunskap för att bekämpa allvarlig brottslighet och terrorism. På begäran av en medlemsstat bör Europols personal kunna ge operativt stöd till den medlemsstatens behöriga myndigheter i samband med insatser och utredningar, i synnerhet genom att underlätta gränsöverskridande informationsutbyte och tillhandahålla kriminaltekniskt och tekniskt stöd vid insatser och utredningar, även inom ramen för gemensamma utredningsgrupper. På begäran av en medlemsstat bör Europols personal ha rätt att närvara vid utförandet av utredningsåtgärder i den medlemsstaten. Europols personal bör inte ha befogenhet att verkställa utredningsåtgärder.

(15)

Ett av Europols mål är att stödja och stärka medlemsstaternas behöriga myndigheters insatser samt deras ömsesidiga samarbete för att förebygga och bekämpa former av brottslighet som skadar ett gemensamt intresse som omfattas av unionens politik. För att stärka detta stöd bör Europols verkställande direktör (den verkställande direktören) kunna föreslå att de behöriga myndigheterna i en medlemsstat inleder, genomför eller samordnar en utredning av ett brott som rör endast den medlemsstaten men som skadar ett gemensamt intresse som omfattas av unionens politik. Europol bör informera Eurojust och, i relevanta fall, Europeiska åklagarmyndigheten (Eppo), inrättad genom rådets förordning (EU) 2017/1939 (9), om sådana förslag.

(16)

Genom att offentliggöra identiteten på, och vissa personuppgifter om, misstänkta eller dömda personer som är efterlysta på grundval av ett nationellt rättsligt beslut ökar medlemsstaters möjligheter att lokalisera och gripa sådana personer. För att stödja medlemsstaterna i att lokalisera och gripa sådana personer bör Europol på sin webbplats kunna offentliggöra information om Europas mest eftersökta personer på flykt, när det gäller brott som omfattas av Europols mål. Av samma skäl bör Europol göra det lättare för allmänheten att lämna information till medlemsstaterna och Europol om dessa personer.

(17)

När Europol försäkrat sig om att personuppgifter som den mottar omfattas av dess mål bör Europol kunna behandla dessa personuppgifter i följande fyra situationer. I den första situationen avser de mottagna personuppgifterna någon av de kategorier av registrerade som förtecknas i bilaga II till förordning (EU) 2016/794 (bilaga II). I den andra situationen består de mottagna personuppgifterna av utredningsuppgifter som innehåller uppgifter som inte avser någon av de kategorier av registrerade som förtecknas i bilaga II, men som har lämnats enligt en begäran om stöd från Europol inom ramen för en specifik brottsutredning av en medlemsstat, Eppo, Eurojust eller ett tredjeland som är behörigt att behandla sådana utredningsuppgifter i enlighet med de processuella krav och skyddsåtgärder som är tillämpliga enligt unionsrätten och nationell rätt. I den situationen bör Europol kunna behandla dessa utredningsuppgifter så länge det stöder den specifika brottsutredningen. I den tredje situationen avser de mottagna personuppgifterna eventuellt inte de kategorier av registrerade som förtecknas i bilaga II och har inte tillhandahållits i enlighet med en begäran om stöd från Europol vid en utredning av ett specifikt brott. I den situationen bör Europol kunna kontrollera om personuppgifterna rör någon av dessa kategorier av registrerade. I den fjärde situationen har personuppgifterna lämnats för forsknings- och innovationsprojekt och avser inte de kategorier av registrerade som förtecknas i bilaga II.

(18)

I enlighet med artikel 73 i Europaparlamentets och rådets förordning (EU) 2018/1725 (10) bör Europol i tillämpliga fall och i möjligaste mån göra en tydlig åtskillnad mellan personuppgifter som rör kategorier av registrerade som förtecknas i bilaga II.

(19)

När medlemsstaterna använder Europols infrastruktur för utbyte av personuppgifter om brott som inte omfattas av Europols mål, bör Europol inte ha åtkomst till dessa uppgifter och bör anses vara ett personuppgiftsbiträde enligt artikel 87 i förordning (EU) 2018/1725. I dessa fall bör Europol kunna behandla uppgifter som inte är kopplade till de kategorier av registrerade som förtecknas i bilaga II. När medlemsstaterna använder Europols infrastruktur för utbyte av personuppgifter om brott som omfattas av Europols mål och där de beviljar Europol åtkomst till dessa uppgifter, bör de krav som är kopplade till de kategorier av registrerade som förtecknas i bilaga II tillämpas på all annan behandling av dessa uppgifter som utförs av Europol.

(20)

Med respekt för principen om uppgiftsminimering bör Europol kunna kontrollera om personuppgifter som mottagits i samband med förebyggande och bekämpning av brott som omfattas av Europols mål rör en av de kategorier av registrerade som förtecknas i bilaga II. För detta ändamål bör Europol ha möjlighet att utföra en förhandsanalys av mottagna personuppgifter med det enda syftet att fastställa om sådana uppgifter hänför sig till någon av dessa kategorier av registrerade genom att kontrollera dessa personuppgifter mot uppgifter som byrån redan innehar, utan att ytterligare analysera dessa personuppgifter. En sådan förhandsanalys bör äga rum före, och åtskilt från, Europols uppgiftsbehandling för samkörning, strategisk analys, operativ analys eller informationsutbyte och efter det att Europol har fastställt att uppgifterna i fråga är relevanta och nödvändiga för utförandet av dess uppgifter. När Europol har bekräftat att dessa personuppgifter omfattas av de kategorier av registrerade som förtecknas i bilaga II bör Europol kunna behandla dessa personuppgifter för samkörning, strategisk analys, operativ analys eller informationsutbyte. Om Europol drar slutsatsen att dessa personuppgifter inte omfattas av de kategorier av registrerade som förtecknas i bilaga II bör Europol radera dessa uppgifter.

(21)

Kategoriseringen av personuppgifter i ett visst dataset kan komma att ändras över tid som en följd av ny informationen som blir tillgänglig när det gäller brottsutredningar, till exempel med avseende på ytterligare misstänkta. Av detta skäl bör Europol tillåtas att behandla personuppgifter när det är strikt nödvändigt och proportionellt för att fastställa de kategorier av registrerade till vilka uppgifterna i fråga hänför sig under en period på högst 18 månader från det att Europol försäkrat sin om att dessa uppgifter omfattas av dess mål. Europol bör kunna förlänga den perioden till tre år i vederbörligen motiverade fall och förutsatt att en sådan förlängning är nödvändig och proportionell. Europeiska datatillsynsmannen bör informeras om förlängningen. Om behandlingen av personuppgifter för att fastställa kategorierna av registrerade inte längre är nödvändig och motiverad, samt under alla omständigheter när den maximala behandlingsperioden har löpt ut, bör Europol radera personuppgifterna.

(22)

Mängden uppgifter som samlas in i samband med brottsutredningar har ökat i omfattning och dataseten har blivit mer komplexa. Medlemsstaterna lämnar stora och komplexa dataset till Europol och begär att byrån ska göra en operativ analys för att identifiera kopplingar till andra brott än det som är föremål för den utredning inom vars ram de samlades in och till brottslingar i andra medlemsstater och utanför unionen. Eftersom Europol kan upptäcka sådana gränsöverskridande kopplingar mera effektivt än medlemsstaterna genom sina egna analyser av uppgifterna, bör Europol kunna stödja medlemsstaternas brottsutredningar genom att behandla stora och komplexa dataset för att identifiera sådana gränsöverskridande kopplingar, under förutsättning att kraven och skyddsåtgärderna i denna förordning efterlevs. När det är nödvändigt för att stödja en pågående specifik brottsutredning i en medlemsstat på ett ändamålsenligt sätt bör Europol ha möjlighet att behandla utredningsuppgifter som de behöriga myndigheterna i medlemsstaterna har tillstånd att behandla i samband med den utredningen i enlighet med de processuella krav och skyddsåtgärder som är tillämpliga enligt nationell rätt och vilka sedan lämnats till Europol. Det bör omfatta personuppgifter i de fall där en medlemsstat inte har kunnat fastställa huruvida uppgifterna omfattas av de kategorier av registrerade som förtecknas i bilaga II. När en medlemsstat, Eppo eller Eurojust tillhandahåller Europol utredningsuppgifter och begär Europols stöd för en pågående specifik brottsutredning, bör Europol ha möjlighet att behandla de uppgifterna så länge som byrån stöder den specifika brottsutredningen, i enlighet med processuella krav och skyddsåtgärder som är tillämpliga enligt unionsrätten eller nationell rätt.

(23)

För att säkerställa att all uppgiftsbehandling som utförs inom en brottsutredning är nödvändig och proportionell bör medlemsstaterna säkerställa överensstämmelse med unionsrätten och nationell rätt när de lämnar in utredningsuppgifter till Europol. När medlemsstaterna lämnar utredningsuppgifter till Europol för att begära Europols stöd för en specifik brottsutredning bör de beakta uppgiftsbehandlingens omfattning och komplexitet samt utredningens typ och betydelse. Medlemsstaterna bör informera Europol när de inte längre har tillstånd att behandla uppgifter i den pågående specifika brottsutredningen i fråga i enlighet med processuella krav och skyddsåtgärder som är tillämpliga enligt nationell rätt. Europol bör endast behandla personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II om den bedömer att det inte är möjligt att stödja en specifik brottsutredning utan att behandla dessa personuppgifter. Europol bör dokumentera denna bedömning. Europol bör lagra sådana uppgifter funktionellt åtskilda från andra uppgifter och bör endast behandla dem om det är nödvändigt för att stödja den pågående specifika brottsutredningen i fråga, t.ex. i händelse av en ny ledtråd.

(24)

Europol bör också ha möjlighet att behandla personuppgifter som är nödvändiga för dess stöd till en specifik brottsutredning i en eller flera medlemsstater om uppgifterna lämnas av ett tredjeland, förutsatt att tredjelandet är föremål för ett beslut om adekvat skyddsnivå i enlighet med Europaparlamentets och rådets direktiv (EU) 2016/680 (11) (beslut om adekvat skyddsnivå); ett internationellt avtal med det tredjelandet har ingåtts av unionen i enlighet med artikel 218 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), som omfattar överföring av personuppgifter för brottsbekämpande ändamål (internationellt avtal); ett samarbetsavtal som medger utbyte av personuppgifter har ingåtts mellan Europol och detta tredjeland före ikraftträdandet av förordning (EU) 2016/794 (samarbetsavtal); eller lämpliga skyddsåtgärder vad gäller personuppgiftsskydd föreskrivs i ett rättsligt bindande instrument eller Europol, på grundval av en bedömning av de omständigheter som omger överföringen av personuppgifter, fastställer att de i övrigt föreligger i det tredjelandet och förutsatt att tredjelandet förvärvade uppgifterna i samband med en brottsutredning i enlighet med processuella krav och skyddsåtgärder som är tillämpliga enligt nationell straffrätt. Om ett tredjeland tillhandahåller Europol utredningsuppgifter bör Europol kontrollera att mängden personuppgifter inte är uppenbart oproportionell i förhållande till den specifika brottsutredning som Europol stöder i den berörda medlemsstaten, och, i möjligaste mån, att det inte finns objektiva indikationer som tyder på att tredjelandet har samlat in utredningsuppgifterna i uppenbar strid med de grundläggande rättigheterna. Om Europol drar slutsatsen att dessa villkor inte är uppfyllda bör Europol inte behandla uppgifterna och bör radera dem. Om ett tredjeland tillhandahåller Europol utredningsuppgifter bör Europols dataskyddsombud när så är lämpligt kunna underrätta Europeiska datatillsynsmannen.

(25)

För att säkerställa att en medlemsstat kan använda Europols analytiska rapporter i samband med rättsliga förfaranden efter en brottsutredning bör Europol ha möjlighet att lagra de tillhörande utredningsuppgifterna på begäran av den medlemsstaten, Eppo eller Eurojust för att säkerställa att kriminalunderrättelseprocessen är sanningsenlig, tillförlitlig och spårbar. Europol bör lagra sådana uppgifter funktionellt åtskilda från andra uppgifter och endast så länge som de rättsliga förfarandena i samband med den brottsutredningen pågår i medlemsstaten. Det är dessutom nödvändigt att säkerställa tillgång för behöriga rättsliga myndigheter och rätten till försvar, i synnerhet rätten för misstänkta eller tilltalade eller deras advokater att få tillgång till material i ärendet. I det syftet bör Europol registrera alla bevis och de metoder med vilka de bevisen har framställts eller förvärvats av Europol för att möjliggöra en effektiv granskning av bevis från försvarets sida.

(26)

Europol bör kunna behandla personuppgifter som den mottog före denna förordnings ikraftträdande, vilka inte avser de kategorier av registrerade som anges i bilaga II, i enlighet med den här förordningen, i två situationer. I den första situationen bör Europol kunna behandla sådana personuppgifter till stöd för en brottsutredning eller för att säkerställa sanningsenligheten, tillförlitligheten och spårbarheten i kriminalunderrättelseprocessen, förutsatt att de krav som fastställs i övergångsarrangemangen för behandling av personuppgifter som mottagits till stöd för en brottsutredning efterlevs. I den andra situationen bör Europol även kunna kontrollera om sådana personuppgifter motsvarar någon av de kategorier av registrerade som förtecknas i bilaga II genom att utföra en förhandsanalys av dessa personuppgifter under en period på högst 18 månader från dagen för Europols första mottagande av uppgifterna eller, i motiverade fall och med förhandstillstånd från Europeiska datatillsynsmannen, under en längre period. Den maximala behandlingsperioden för personuppgifter för en sådan förhandsanalys bör inte överstiga tre år räknat från den dag då Europol först tog emot uppgifterna.

(27)

Gränsöverskridande fall av allvarlig brottslighet eller terrorism kräver ett nära samarbete mellan de behöriga myndigheterna i de berörda medlemsstaterna. Europol tillhandahåller verktyg för att stödja sådant samarbete i utredningar, i synnerhet genom informationsutbyte. För att ytterligare stärka sådant samarbete i specifika brottsutredningar genom gemensamma operativa analyser bör medlemsstaterna ha möjlighet att ge andra medlemsstater direkt åtkomst till den information som de har lämnat till Europol, utan att det påverkar eventuella allmänna eller särskilda begränsningar som de har angivit för åtkomst till denna information. All behandling av personuppgifter som utförs av medlemsstaterna i en gemensam operativ analys bör ske i enlighet med denna förordning och direktiv (EU) 2016/680.

(28)

Europol och Eppo bör ingå ett samarbetsavtal som fastställer metoderna för deras samarbete och tar vederbörlig hänsyn till deras respektive behörigheter. Europol bör ha ett nära samarbete med Eppo och aktivt stödja Eppos utredningar på dess begäran, även genom att tillhandahålla analytiskt stöd och relevant information. Europol bör också samarbeta med Eppo, från den tidpunkt då ett misstänkt brott rapporteras till Eppo fram till den tidpunkt då Eppo avgör om den ska lagföra eller på annat sätt avsluta ärendet. Europol bör utan onödigt dröjsmål rapportera till Eppo alla brottsliga handlingar avseende vilka Eppo skulle kunna utöva sin behörighet. För att stärka det operativa samarbetet mellan Europol och Eppo bör Europol göra det möjligt för Eppo att få åtkomst till uppgifter som innehas av Europol, på grundval av ett system med träff/icke träff som endast underrättar Europol vid en träff, i enlighet med denna förordning, inbegripet eventuella begränsningar som anges av den som lämnat uppgifter till Europol. Om informationen omfattas av en begränsning som angetts av en medlemsstat bör Europol överföra ärendet till den medlemsstaten så att den kan fullgöra sina skyldigheter enligt förordning (EU) 2017/1939. Den berörda medlemsstaten bör därefter informera Eppo i enlighet med sitt nationella förfarande. De regler om överföring av personuppgifter till unionsorgan som fastställs i den här förordningen bör tillämpas på Europols samarbete med Eppo. Europol bör också ha möjlighet att stödja Eppos utredningar med analys av stora och komplexa dataset i enlighet med de skyddsåtgärder och dataskyddsgarantier som föreskrivs i den här förordningen.

(29)

Europol bör ha ett nära samarbete med Europeiska byrån för bedrägeribekämpning (Olaf) för att upptäcka bedrägerier, korruption och all annan olaglig verksamhet som riktar sig mot unionens ekonomiska intressen. I detta syfte bör Europol utan onödigt dröjsmål till Olaf lämna all information med avseende på vilken Olaf skulle kunna utöva sin behörighet. De regler om överföring av personuppgifter till unionsorgan som fastställs i denna förordning bör tillämpas på Europols samarbete med Olaf.

(30)

Allvarlig brottslighet och terrorism har ofta kopplingar utanför unionen. Europol kan utbyta personuppgifter med tredjeländer och samtidigt skydda den registrerades privatliv och grundläggande fri- och rättigheter. När det är avgörande för utredningen av ett specifikt brott som omfattas av Europols mål bör den verkställande direktören från fall till fall ha rätt att tillåta en kategori av överföringar av personuppgifter till tredjeländer, när den kategorin av överföringar rör samma specifika situation, består av samma kategorier av personuppgifter och samma kategorier av registrerade, är nödvändig och proportionell med avseende på utredning av ett specifikt brott och uppfyller alla krav i denna förordning. Det bör vara möjligt att enskilda överföringar som omfattas av en kategori av överföringar endast omfattar vissa av de kategorier av personuppgifter och kategorier av registrerade vilkas överföring tillåts av den verkställande direktören. Det bör också vara möjligt att tillåta en kategori av överföringar av personuppgifter i följande särskilda situationer: när överföringen av personuppgifter är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person, när överföringen av personuppgifter är av avgörande betydelse för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland; när avsikten med överföringen av personuppgifter är att skydda den registrerades berättigade intressen, eller i enskilda fall för att förebygga, utreda, upptäcka eller lagföra brott eller verkställa straffrättsliga påföljder; eller för att fastställa, göra gällande eller försvara rättsliga anspråk som rör förebyggande, utredning, upptäckt eller lagföring av ett specifikt brott eller verkställande av en specifik straffrättslig påföljd.

(31)

Överföringar som inte grundar sig på ett tillstånd från den verkställande direktören, ett beslut om adekvat skyddsnivå, ett internationellt avtal eller ett samarbetsavtal bör tillåtas endast om lämpliga skyddsåtgärder för skyddet av personuppgifter har fastställts i ett rättsligt bindande instrument eller om Europol, baserat på en bedömning av samtliga omständigheter kring överföringen av personuppgifter, konstaterar att dessa lämpliga skyddsåtgärder föreligger. För den bedömningen bör Europol kunna ta hänsyn till bilaterala avtal mellan medlemsstater och tredjeländer som medger utbyte av personuppgifter om överföringen av personuppgifter omfattas av tystnadsplikt och principen om specificitet, vilket säkerställer att personuppgifterna inte ska behandlas i andra syften än för överföringen. Dessutom är det viktigt att Europol beaktar huruvida personuppgifterna kunde användas för att göra framställningar om, meddela eller verkställa ett dödsstraff eller någon form av grym och omänsklig behandling. Europol bör kunna begära ytterligare skyddsåtgärder.

(32)

För att stödja medlemsstaterna i samarbetet med privata parter när dessa privata parter innehar information som är relevant för att förebygga och bekämpa allvarlig brottslighet och terrorism, bör Europol kunna ta emot personuppgifter från privata parter och, i särskilda fall om det är nödvändigt och proportionellt, utbyta personuppgifter med privata parter.

(33)

Brottslingar använder allt oftare tjänster som erbjuds av privata parter för att kommunicera och bedriva olaglig verksamhet. Sexualförbrytare exploaterar barn och delar bilder och videor som utgör material med sexuella övergrepp mot barn över hela världen på onlineplattformar eller med kontakter via nummeroberoende interpersonella kommunikationstjänster. Terrorister utnyttjar de tjänster som erbjuds av leverantörer av onlinetjänster för att rekrytera frivilliga, planera och samordna attacker och sprida propaganda. Cyberbrottslingar drar nytta av digitaliseringen av våra samhällen och av allmänhetens bristande digitala kompetens och andra digitala kunskaper med hjälp av nätfiske och social manipulering för att begå andra typer av cyberbrottslighet, t.ex. nätbedrägerier, angrepp med utpressningsprogram eller betalningsbedrägerier. Till följd av brottslingars ökade användning av onlinetjänster innehar privata parter allt större mängder personuppgifter, däribland abonnent-, trafik- och innehållsuppgifter, som potentiellt är relevanta för brottsutredningar.

(34)

Mot bakgrund av internets gränslösa karaktär är det möjligt att leverantören av onlinetjänster och den digitala infrastruktur där personuppgifterna lagras omfattas av olika nationella jurisdiktioner, antingen inom eller utanför den. Privata parter kan därför inneha dataset som är relevanta för brottsbekämpning och som innehåller personuppgifter om omfattas av flera jurisdiktioners behörighet samt personuppgifter som inte lätt kan hänföras till någon specifik jurisdiktion. Medlemsstaternas behöriga myndigheter kan finna det svårt att med hjälp av nationella lösningar effektivt analysera dataset som omfattar flera jurisdiktioner eller som inte kan hänföras till någon specifik jurisdiktion. Dessutom finns det för närvarande ingen gemensam kontaktpunkt för privata parter som beslutar att lagligen och frivilligt dela dataset med medlemsstaternas behöriga myndigheter. Europol bör därför ha infört åtgärder för att underlätta samarbetet med privata parter, bland annat när det gäller informationsutbyte.

(35)

För att säkerställa att privata parter har en kontaktpunkt på unionsnivå till vilken de lagligen och frivilligt kan tillhandahålla dataset som omfattas av flera jurisdiktioner eller dataset som i det skedet inte lätt kan hänföras till en eller flera specifika jurisdiktioner, bör Europol kunna ta emot personuppgifter direkt från privata parter i syfte att tillhandahålla medlemsstater den information som krävs för att fastställa jurisdiktion och utreda brott inom deras respektive jurisdiktion, i enlighet med denna förordning. Den informationen skulle kunna inbegripa rapporter om modererat innehåll som skäligen kan antas vara kopplat till sådan brottslig verksamhet som omfattas av Europols mål.

(36)

För att säkerställa att medlemsstaterna utan onödigt dröjsmål får den information som krävs för att inleda utredningar för att förebygga och bekämpa allvarlig brottslighet och terrorism bör Europol kunna behandla och analysera personuppgifter för att identifiera de berörda nationella enheterna och till dessa nationella enheter vidarebefordra personuppgifter och eventuella resultat av sin analys och kontroll av sådana uppgifter som är relevanta i syfte att fastställa jurisdiktion och för att utreda de berörda brotten inom respektive jurisdiktion. Europol bör också kunna vidarebefordra de personuppgifter och resultat som är relevanta för att fastställa jurisdiktion till kontaktpunkter och berörda tredjeländer som är föremål för ett beslut om adekvat skyddsnivå, eller med vilka ett internationellt avtal eller samarbetsavtal har ingåtts, eller om lämpliga skyddsåtgärder för skyddet av personuppgifter föreskrivs i ett rättsligt bindande instrument eller Europol, baserat på en bedömning av alla omständigheter kring överföringen av personuppgifter, konstaterar att dessa skyddsåtgärder föreligger i dessa tredjeländer. Om det berörda tredjelandet inte är föremålet för ett beslut om adekvat skyddsnivå, eller inte är part i ett internationellt avtal eller i ett samarbetsavtal eller ett rättsligt bindande instrument eller om samarbetsavtal saknas eller om Europol har konstaterat att sådana lämpliga skyddsåtgärder föreligger, bör Europol kunna överföra resultatet av sin analys och kontroll av sådana uppgifter till det berörda tredjelandet i enlighet med denna förordning.

(37)

I enlighet med förordning (EU) 2016/794 kan det, i vissa fall och på vissa villkor, vara nödvändigt och proportionellt för Europol att överföra personuppgifter till privata parter som inte är etablerade inom unionen eller i ett tredjeland som är föremål för ett beslut om adekvat skyddsnivå, eller med vilket ett internationellt avtal eller samarbetsavtal har ingåtts, eller där lämpliga skyddsåtgärder för skyddet av personuppgifter inte föreskrivs i ett rättsligt bindande instrument eller Europol inte har konstaterat att lämpliga skyddsåtgärder föreligger. I sådana fall bör överföringen förhandsgodkännas av den verkställande direktören.

(38)

För att säkerställa att Europol kan identifiera alla berörda nationella enheter bör Europol kunna informera privata parter när den information som de lämnade är otillräcklig för att byrån ska kunna identifiera de berörda nationella enheterna. Detta skulle göra det möjligt för dessa privata parter att avgöra om det ligger i deras intresse att dela ytterligare information med Europol och om de har laglig rätt att göra detta. För detta ändamål bör Europol kunna informera privata parter om information saknas, i den mån det är strikt nödvändigt enbart för att identifiera de berörda nationella enheterna. Särskilda skyddsåtgärder bör gälla för överföringar av information från Europol till privata parter när den berörda privata parten inte är etablerad inom unionen eller i ett tredjeland vilket är föremål för ett beslut om adekvat skyddsnivå eller med vilket ett internationellt avtal eller samarbetsavtal har ingåtts, eller där lämpliga skyddsåtgärder gällande skydd av personuppgifter inte föreskrivs i ett rättsligt bindande instrument eller Europol inte har konstaterat att lämpliga skyddsåtgärder föreligger.

(39)

När medlemsstater, tredjeländer, internationella organisationer och privata parter delar dataset som omfattas av flera jurisdiktioner eller som inte kan hänföras till en eller flera specifika jurisdiktioner med Europol, är det möjligt att dessa dataset är kopplade till personuppgifter som innehas av privata parter. I sådana situationer bör Europol ha möjlighet att skicka en begäran till medlemsstaterna, via deras nationella enheter, om att få tillgång till de personuppgifter som innehas av privata parter som är etablerade eller har en rättslig företrädare på dessa medlemsstaters territorium. En sådan begäran bör endast göras när det är nödvändigt att erhålla information från sådana privata parter för att identifiera de berörda nationella enheterna. Begäran bör vara motiverad och så precis som möjligt. De relevanta personuppgifterna, som bör vara av så icke-känslig karaktär som möjligt och strikt begränsade till vad som är nödvändigt och proportionellt för att identifiera de berörda nationella enheterna, bör lämnas till Europol i enlighet med de berörda medlemsstaternas tillämpliga lagar. De behöriga myndigheterna i de berörda medlemsstaterna bör bedöma Europols begäran och i enlighet med sin nationella rätt besluta om huruvida den ska bifallas eller inte. Behandling av personuppgifter av privata parter som utförs när sådana begäranden från medlemsstaternas behöriga myndigheter behandlas bör fortsätta att omfattas av tillämpliga regler, särskilt när det gäller dataskydd. Privata parter bör förse de behöriga myndigheterna i medlemsstaterna med de uppgifter som begärts för vidare överföring till Europol. I många fall är det möjligt att dessa medlemsstater inte kan fastställa någon annan koppling till sin jurisdiktion än det faktum att den privata part som innehar de relevanta uppgifterna är etablerad eller rättsligt företrädd inom deras jurisdiktion. Oavsett om de har jurisdiktion när det gäller det specifika brottet bör medlemsstaterna ändå säkerställa att deras behöriga myndigheter kan erhålla personuppgifter från privata parter i syfte att förse Europol med den information som byrån behöver för att uppnå sina mål, i full överensstämmelse med rättssäkerhetsgarantierna enligt deras nationella rätt.

(40)

För att säkerställa att Europol inte behåller de personuppgifter som mottagits direkt från privata parter längre än vad som är nödvändigt för att identifiera de berörda nationella enheterna bör tidsfristerna för Europols lagring av personuppgifter gälla. När Europol har uttömt alla medel som står till dess förfogande för att identifiera de berörda nationella enheterna och inte rimligen kan förvänta sig att identifiera ytterligare berörda nationella enheter, är lagringen av dessa personuppgifter inte längre nödvändig och proportionell för att identifiera de berörda nationella enheterna. Europol bör radera personuppgifterna inom fyra månader efter det att den sista översändningen har ägt rum, överföra dem till en nationell enhet eller överföra dem till ett tredjelands kontaktpunkt eller en myndighet i ett tredjeland, såvida inte en berörd nationell enhet, kontaktpunkt eller myndighet på nytt, i enlighet med unionsrätten och nationell rätt, på nytt lämnar in personuppgifterna som sina uppgifter till Europol inom denna period. Om de på nytt inlämnade personuppgifterna ingick i en större uppsättning personuppgifter bör Europol endast behålla de personuppgifter som har inlämnats på nytt av en berörd nationell enhet, kontaktpunkt eller myndighet.

(41)

Samarbete mellan Europol och privata parter bör varken överlappa eller störa finansunderrättelseenheternas verksamhet, inrättade genom Europaparlamentets och rådets direktiv (EU) 2015/849 (12), och bör endast avse information som inte redan ska lämnas till finansunderrättelseenheterna i enlighet med det direktivet. Europol bör fortsätta att samarbeta med finansunderrättelseenheterna framför allt via de nationella enheterna.

(42)

Europol bör kunna tillhandahålla det stöd som krävs för att medlemsstaternas behöriga myndigheter ska kunna interagera med privata parter, särskilt genom att tillhandahålla den infrastruktur som behövs för sådan interaktion, till exempel när medlemsstaternas behöriga myndigheter hänskjuter terrorisminnehåll online, skickar ut avlägsnandeorder avseende sådant innehåll till leverantörer av onlinetjänster enligt Europaparlamentets och rådets förordning (EU) 2021/784 (13) eller utbyter information med privata parter i samband med cyberangrepp. När medlemsstaterna använder Europols infrastruktur för utbyte av personuppgifter om brott som inte omfattas av Europols mål bör Europol inte ha åtkomst till dessa uppgifter. Europol bör med tekniska medel säkerställa att dess infrastruktur är strikt begränsad till att tillhandahålla en kanal för sådan interaktion mellan medlemsstaternas behöriga myndigheter och en privat part, och att Europol tillhandahåller alla nödvändiga skyddsåtgärder mot att en privat part får tillgång till all annan information i Europols system som inte har anknytning till utbytet med den privata parten.

(43)

Terroristattacker utlöser storskalig spridning via onlineplattformar av terrorisminnehåll som visar skada på liv eller fysisk integritet eller uppviglar till omedelbar skada på liv eller fysisk integritet, vilket möjliggör förhärligande och tillhandahållande av utbildning för terrorism, och så småningom radikalisering och rekrytering av andra individer. Den ökade användningen av internet för att registrera eller dela material med sexuella övergrepp mot barn vidmakthåller dessutom skadan för offren, eftersom materialet lätt kan mångfaldigas och spridas. För att förebygga och bekämpa brott som omfattas av Europols mål bör Europol kunna stödja medlemsstaternas insatser för att effektivt ta itu med spridningen online av terrorisminnehåll i samband med krissituationer på nätet vilka härrör från pågående eller nyligen inträffade verkliga händelser och av material med sexuella övergrepp mot barn på nätet, samt kunna stödja åtgärder som leverantörer av onlinetjänster vidtar i enlighet med sina skyldigheter enligt unionsrätten och samt deras frivilliga åtgärder. I detta syfte bör Europol ha möjlighet att utbyta relevanta personuppgifter, inbegripet unika icke-reversibla digitala signaturer (kondensat), ip-adresser eller webbadresser med anknytning till sådant innehåll, med privata parter som är etablerade inom unionen eller i ett tredjeland som är föremål för ett beslut om adekvat skyddsnivå eller, i avsaknad av ett sådant beslut, med vilket ett internationellt avtal eller ett samarbetsavtal har ingåtts eller där lämpliga skyddsåtgärder gällande skydd av personuppgifter föreskrivs i ett rättsligt bindande instrument eller Europol, baserat på en bedömning av alla omständigheter kring överföringen av personuppgifter, konstaterar att dessa skyddsåtgärder förekommer i det tredjelandet. Sådana utbyten av personuppgifter bör endast äga rum för att avlägsna terrorisminnehåll och material med sexuella övergrepp mot barn på nätet, i synnerhet när det finns en risk att det innehållet och materialet mångfaldigas exponentiellt och sprids viralt via flera leverantörer av onlinetjänster. Ingenting i denna förordning bör tolkas som att det hindrar medlemsstaterna från att använda avlägsnandeorder som föreskrivs i förordning (EU) 2021/784 som ett instrument för att ta itu med terrorisminnehåll online.

(44)

För att undvika dubbelarbete och eventuella störningar av utredningar och för att minimera bördan för de berörda värdtjänstleverantörerna bör Europol bistå samt utbyta information och samarbeta med medlemsstaternas behöriga myndigheter när det gäller översändning och överföring av personuppgifter till privata parter för att hantera krissituationer online och spridning online av material med sexuella övergrepp mot barn på nätet.

(45)

I förordning (EU) 2018/1725 fastställs regler om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer. Samtidigt som förordning (EU) 2018/1725 är tillämplig på Europols behandling av administrativa personuppgifter som inte rör brottsutredningar, såsom personaluppgifter, är artikel 3.2 och kapitel IX i den förordningen, som reglerar behandling av personuppgifter, för närvarande inte tillämpliga på Europol. För att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på behandling av personuppgifter bör kapitel IX i förordning (EU) 2018/1725 tillämpas på Europol i enlighet med artikel 2.2 i den förordningen, och bör kompletteras med särskilda bestämmelser för den specifika behandling som Europol bör utföra för att fullgöra sina uppgifter. Därför bör Europeiska datatillsynsmannens tillsynsbefogenheter över Europols behandling stärkas, i linje med de relevanta befogenheter som gäller för behandling av administrativa personuppgifter och som gäller för alla unionens institutioner, organ och byråer enligt kapitel VI i förordning (EU) 2018/1725. I detta syfte bör Europeiska datatillsynsmannen, när Europol behandlar personuppgifter för operativa ändamål, kunna beordra Europol att se till att behandlingen sker i överensstämmelse med denna förordning, beordra att uppgiftsflödena till en mottagare i en medlemsstat, ett tredjeland eller en internationell organisation avbryts och bör kunna påföra en straffavgift vid Europols bristande efterlevnad.

(46)

Behandling av uppgifter enligt denna förordning skulle kunna innebära behandling av särskilda kategorier av personuppgifter enligt Europaparlamentets och rådets förordning (EU) 2016/679 (14). Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton definieras som biometriska uppgifter enligt artikel 3.18 i förordning (EU) 2018/1725 endast när de behandlas med särskild teknik som möjliggör unik identifiering eller autentisering av en fysisk person.

(47)

Den mekanism för förhandssamråd som involverar Europeiska datatillsynsmannen vilken föreskrivs i förordning (EU) 2018/1725 utgör en viktig skyddsåtgärd för nya typer av behandling. Den mekanismen bör emellertid inte gälla operativ verksamhet i specifika enskilda fall som projekt för operativa analyser, utan användning av nya system för informationsteknik (it-system) för behandling av personuppgifter och varje betydande ändring av dessa system som skulle innebära en stor risk för registrerades rättigheter och friheter. Den period inom vilken Europeiska datatillsynsmannen bör vara skyldig att lämna skriftliga råd om sådana samråd bör inte vara kunna avbrytas. När det gäller behandling som är av väsentlig betydelse för Europols utförande av uppgifter som är särskilt brådskande, bör det i undantagsfall vara möjligt för Europol att inleda behandling redan efter det att det föregående samrådet har inletts, även om tidsfristen för att lämna skriftliga råd från Europeiska datatillsynsmannen ännu inte har löpt ut. Sådan brådska kan uppstå i situationer av väsentlig betydelse för utförande av Europols uppgifter när behandlingen är nödvändig för att förebygga och bekämpa ett omedelbart hot om brott som omfattas av Europols mål och för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person. Europols dataskyddsombud bör involveras i bedömningen av hur brådskande och nödvändig sådan behandling är innan tidsfristen för Europeiska datatillsynsmannens svar på förhandssamråd löper ut. Dataskyddsombudet bör övervaka den behandlingen. Europeiska datatillsynsmannen bör kunna utöva alla sina befogenheter med avseende på sådan behandling.

(48)

Med tanke på de utmaningar som den snabba tekniska utvecklingen och terroristers och andra brottslingars utnyttjande av ny teknik innebär för unionens säkerhet är de behöriga myndigheterna i medlemsstaterna skyldiga att stärka sin tekniska kapacitet att identifiera, säkra och analysera uppgifter som behövs för att utreda brott. Europol bör kunna stödja medlemsstaterna i användningen av ny teknik, med att utforska nya tillvägagångssätt och att utveckla gemensamma tekniska lösningar som medlemsstaterna kan använda för att bättre förebygga och bekämpa terrorism och brott som omfattas av Europols mål. Samtidigt bör Europol säkerställa att utveckling, användning och spridning av ny teknik styrs av principerna om öppenhet, förklarbarhet, rättvisa och ansvarsskyldighet inte undergräver grundläggande fri- och rättigheter och friheter och är förenliga med unionsrätten. Europol bör därför kunna genomföra forsknings- och innovationsprojekt i frågor som omfattas av denna förordning inom det allmänna tillämpningsområdet för de forsknings- och innovationsprojekt som fastställs av styrelsen i ett bindande dokument. Ett sådant dokument bör vid behov uppdateras och göras tillgängligt för Europeiska datatillsynsmannen. Dessa projekt får omfatta behandling av personuppgifter endast om vissa villkor uppfylls, nämligen att behandlingen av personuppgifter är strikt nödvändig, målet för det aktuella projektet inte kan uppnås genom användning av icke-personuppgifter, till exempel syntetiska data eller anonyma uppgifter, och att full respekt för de grundläggande rättigheterna, särskilt icke-diskriminering, säkerställs.

Behandling av särskilda kategorier av personuppgifter för forsknings- och innovationsändamål bör endast tillåtas när det är strikt nödvändigt. Med tanke på hur känslig sådan behandling är bör lämpliga ytterligare skyddsåtgärder, inbegripet pseudonymisering, tillämpas. För att förhindra bias i det algoritmiska beslutsfattandet bör Europol tillåtas att behandla personuppgifter som inte rör de kategorier av registrerade som förtecknas i bilaga II. Europol bör föra logg över all behandling av personuppgifter som utförs inom ramen för sina forsknings- och innovationsprojekt för att kontrollera att resultatet av uppgiftsbehandlingen är korrekt och endast så länge som det är nödvändigt för den kontrollen. Bestämmelserna om Europols utveckling av nya verktyg bör inte utgöra en rättslig grund för deras ibruktagande på unionsnivå eller nationell nivå. För att driva på innovation och stärka synergierna inom forsknings- och innovationsprojekt är det viktigt att Europol intensifierar sitt samarbete med relevanta nätverk av yrkesverksamma i medlemsstaterna och andra unionsbyråer inom ramen för deras respektive befogenheter på detta område, och stödja andra relaterade samarbetsformer såsom sekretariatstöd till EU:s innovationsknutpunkt för inre säkerhet som ett samarbetsnätverk av innovationslaboratorier.

(49)

Europol bör spela en nyckelroll när det gäller att hjälpa medlemsstaterna att utveckla nya tekniska lösningar baserade på artificiell intelligens som är relevanta för att uppnå Europols mål och vilka gynnar medlemsstaternas behöriga myndigheter i hela unionen. Det stödet bör ges samtidigt som de grundläggande fri- och rättigheterna, inbegripet icke-diskriminering, respekteras fullt ut. Europol bör spela en nyckelroll när det gäller att främja utveckling och ibruktagande av etisk, tillförlitlig och människocentrerad artificiell intelligens som omfattas av kraftfulla skyddsåtgärder i fråga om säkerhet, trygghet, öppenhet, förklarbarhet och grundläggande rättigheter.

(50)

Europol bör informera Europeiska datatillsynsmannen innan den inleder forsknings- och innovationsprojekt som inbegriper behandling av personuppgifter. Europol bör antingen informera, eller samråda med, sin styrelse, i enlighet med vissa kriterier som bör fastställas i relevanta riktlinjer. Europol bör inte behandla uppgifter för forsknings- och innovationsprojekt utan samtycke från den medlemsstat, det unionsorgan, det tredjeland eller den internationella organisation som lämnade in uppgifterna till Europol, såvida inte medlemsstaten, unionsorganet, tredjelandet eller den internationella organisationen har gett sitt förhandsgodkännande till sådan behandling för det ändamålet. För varje projekt bör Europol före behandlingen utföra en konsekvensbedömning avseende dataskydd för att säkerställa full respekt för rätten till dataskydd och alla andra grundläggande fri- och rättigheter för de registrerade. Konsekvensbedömningen avseende dataskydd bör inbegripa en bedömning av lämpligheten, nödvändigheten och proportionaliteten vad gäller de personuppgifter som ska behandlas för det specifika syftet med projektet, inbegripet kravet på uppgiftsminimering och en bedömning av eventuell bias i resultatet och i de personuppgifter som ska behandlas för det specifika syftet med projektet samt de åtgärder som planeras för att hantera dessa risker. Europols utveckling av nya verktyg bör inte påverka den rättsliga grund, inbegripet skälen för behandling av de berörda personuppgifterna, som senare skulle krävas för att ta dem i bruk på unionsnivå eller nationell nivå.

(51)

Att Europol ges ytterligare verktyg och resurser kräver en förstärkning av den demokratiska tillsynen över Europol och dess ansvarsskyldighet. Gemensam parlamentarisk kontroll är ett viktigt inslag i den politiska övervakningen av Europols verksamhet. För att möjliggöra en effektiv politisk övervakning av hur Europol använder de ytterligare verktyg och resurser som byrån tillhandahålls genom denna förordning bör Europol årligen förse den gemensamma parlamentariska kontrollgruppen och medlemsstaterna med detaljerad information om utveckling, användning och effektivitet vad gäller dessa verktyg och resurser och resultatet av dessa, särskilt om forsknings- och innovationsprojekt samt ny verksamhet eller inrättande av nya specialiserade centrum inom Europol. Dessutom bör två företrädare för den gemensamma parlamentariska kontrollgruppen, en för Europaparlamentet och en för de nationella parlamenten för att återspegla kontrollgruppens dubbla sammansättning, bjudas in till minst två ordinarie styrelsemöten per år för att på kontrollgruppens vägnar tala inför styrelsen och diskutera den konsoliderade årliga verksamhetsrapporten, det samlade programdokumentet och den årliga budgeten, skriftliga frågor och svar från kontrollgruppen samt yttre förbindelser och partnerskap, samtidigt som styrelsens och kontrollgruppens olika roller och ansvarsområden respekteras i enlighet med denna förordning. Styrelsen bör tillsammans med företrädarna för den gemensamma parlamentariska kontrollgruppen kunna besluta om andra frågor av politiskt intresse som ska diskuteras. I linje med den gemensamma parlamentariska kontrollgruppens tillsynsroll bör de två företrädarna för kontrollgruppen inte ha rösträtt i styrelsen. Planerad forsknings- och innovationsverksamhet bör anges i det samlade programdokument som innehåller Europols fleråriga programplanering och årliga arbetsprogram och översändas till den gemensamma parlamentariska kontrollgruppen.

(52)

På förslag av den verkställande direktören bör styrelsen utse ett ombud för grundläggande rättigheter som bör ansvara för att stödja Europol när det gäller att säkerställa respekten för de grundläggande rättigheterna i hela dess verksamhet och alla dess uppgifter, särskilt Europols forsknings- och innovationsprojekt och dess utbyte av personuppgifter med privata parter. Det bör vara möjligt att utse en medlem av Europols befintliga personal som har fått särskild utbildning i lagstiftning och praxis för grundläggande rättigheter till ombud för grundläggande rättigheter. Ombudet för grundläggande rättigheter bör samarbeta nära med dataskyddsombudet inom ramen för deras respektive befogenheter. När det gäller dataskyddsfrågor bör det fulla ansvaret ligga hos dataskyddsombudet.

(53)

Eftersom målet för denna förordning, nämligen att stödja och stärka medlemsstaternas behöriga myndigheters insatser samt deras ömsesidiga samarbete för att förebygga och bekämpa allvarlig brottslighet som berör två eller flera medlemsstater, terrorism och sådana former av brottslighet som skadar ett gemensamt intresse som omfattas av unionens politik, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av den gränsöverskridande karaktären hos allvarlig brottslighet och terrorism och behovet av ett samordnat svar på relaterade säkerhetshot, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(54)

I enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget, har Irland meddelat att det önskar delta i antagandet och tillämpningen av denna förordning.

(55)

I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-fördraget, deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark.

(56)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 8 mars 2021 (15).

(57)

Denna förordning är fullt förenlig med de grundläggande rättigheter, skyddsåtgärder och principer som särskilt erkänns i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan), i synnerhet rätten till respekt för privat- och familjeliv och rätten till skydd av personuppgifter, vilka föreskrivs i artiklarna 7 och 8 i stadgan och artikel 16 i EUF-fördraget. Med tanke på hur viktig behandlingen av personuppgifter är för brottsbekämpningsarbetet i allmänhet och för det stöd som Europol tillhandahåller i synnerhet, innehåller denna förordning stärkta skyddsåtgärder och mekanismer för demokratisk tillsyn och ansvarsutkrävande för att säkerställa att Europols verksamhet och uppgifter utförs i full överensstämmelse med de grundläggande rättigheter som erkänns i stadgan, i synnerhet rätten till likhet inför lagen, icke-diskriminering och ett effektivt rättsmedel inför den behöriga nationella domstolen mot någon av de åtgärder som vidtas i enlighet med denna förordning. All behandling av personuppgifter enligt denna förordning bör begränsas till vad som är strikt nödvändigt och proportionellt och omfattas av tydliga villkor, strikta krav och effektiv tillsyn från Europeiska datatillsynsmannens sida.

(58)

Förordning (EU) 2016/794 bör därför ändras i enlighet med detta.

(59)

För att de åtgärder som föreskrivs i denna förordning snabbt ska kunna tillämpas bör den träda i kraft dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.