EUROPEISKA KOMMISSIONEN
Bryssel den 1.12.2021
COM(2021) 767 final
2021/0399(COD)
Förslag till
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV
om ändring av rådets beslut 2005/671/RIF för att anpassa det till unionens regler om skydd av personuppgifter
EUROPEISKA KOMMISSIONEN
Bryssel den 1.12.2021
COM(2021) 767 final
2021/0399(COD)
Förslag till
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV
om ändring av rådets beslut 2005/671/RIF för att anpassa det till unionens regler om skydd av personuppgifter
MOTIVERING
1.Motiv och syfte med förslaget
1.1.Motiv
Direktiv (EU) 2016/680 1 (direktivet om dataskydd i samband med brottsbekämpning – LED) trädde i kraft den 6 maj 2016 och skulle införlivas i medlemsstaternas nationella lagstiftning senast den 6 maj 2018. Direktivet upphävde och ersatte rådets rambeslut 2008/977/RIF 2 . Det är en mycket omfattande rättsakt, eftersom det är den första som tar ett helhetsgrepp på brottsbekämpande myndigheters uppgiftsbehandling. Det är tillämpligt på både inhemsk och gränsöverskridande behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott och verkställa straffrättsliga påföljder, bland annat för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.
Enligt artikel 62.6 i LED ska kommissionen före den 6 maj 2019 se över andra EU-rättsakter som reglerar behöriga myndigheters behandling av personuppgifter för brottsbekämpande ändamål. Syftet med översynen är att bedöma om de behöver anpassas till LED och att lägga fram förslag om ändringar för att säkerställa att de överensstämmer med dataskyddet i LED.
Kommissionen beskrev slutsatserna av översynen i sitt meddelande om det fortsatta arbetet med att anpassa regelverket för den tidigare tredje pelaren till dataskyddsreglerna (24 juni 2020) 3 och angav vilka rättsakter som bör anpassas till LED. En av dessa rättsakter var rådets beslut 2005/671/RIF och kommissionen meddelade att den skulle lägga fram förslag med riktade ändringar.
Enligt artikel 6 i LED måste medlemsstaterna säkerställa att behöriga myndigheter gör tydlig åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom
·personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller står i begrepp att begå ett brott,
·personer som dömts för brott,
·brottsoffer eller andra som berörs av ett brott.
Enligt artikel 8.1 i LED måste medlemsstaterna säkerställa att behandlingen är laglig. Det betyder att behöriga myndigheter bara kan behandla personuppgifter i den mån det är nödvändigt för att utföra en uppgift som fastställs i LED. Enligt artikel 8.2 i LED ska den nationella rätt som reglerar uppgiftsbehandling inom LED:s tillämpningsområde åtminstone specificera syftet med behandlingen, vilka personuppgifter som ska behandlas och behandlingens ändamål.
För att verkningsfullt kunna bekämpa terrorism är det avgörande med ett effektivt utbyte mellan behöriga myndigheter och unionsbyråer av information som de behöriga myndigheterna anser vara relevant för att förebygga, förhindra, upptäcka, utreda eller lagföra terroristbrott. Sådant informationsutbyte måste ske med full respekt för rätten till skydd av personuppgifter och i enlighet med villkoren i LED.
I rådets beslut 2005/671/RIF av den 20 september 2005 om informationsutbyte och samarbete när det gäller terroristbrott 4 fastställs att det är viktigt att få så fullständig och aktuell information som möjligt för att bekämpa terrorism. Det är med tanke på det fortsatta terroristhotet och dess komplexitet motiverat med ett ökat informationsutbyte.
I rådets beslut 2005/671/RIF föreskrivs att medlemsstaterna ska samla in all relevant information som rör och är ett resultat av brottsutredningar avseende terroristbrott som påverkar eller kan påverka minst två medlemsstater och översända den till Europol 5 . Medlemsstaterna måste även samla in all relevant information om lagföring och fällande domar för terroristbrott som påverkar eller kan påverka minst två medlemsstater och översända denna till Eurojust. Varje medlemsstat måste även göra tillgänglig all relevant information som samlats in av dess behöriga myndigheter i samband med straffrättsliga förfaranden med anknytning till terroristbrott. Denna information måste snabbt göras tillgänglig för behöriga myndigheter i en annan medlemsstat där informationen kan användas för att förebygga, upptäcka, utreda eller lagföra terroristbrott.
Vikten av informationsutbyte mellan medlemsstaterna och med Europol och Eurojust har bara ökat sedan 2005. Genom direktiv (EU) 2017/541 om bekämpande av terrorism 6 ändrades rådets beslut 2005/671/RIF för att med tanke på det allvarliga hot som terroristbrott utgör säkerställa att information utbyts mellan medlemsstaterna på ett verkningsfullt sätt och i vederbörlig tid.
Skäl 7 i rådets beslut 2005/671/RIF gör klart att beslutet är förenligt med de grundläggande rättigheter och de principer som erkänns i Europeiska unionens stadga om de grundläggande rättigheterna. Artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna tar upp skyddet av personuppgifter som en grundläggande rättighet. I artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) fastställs även principen om att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Genom artikel 16.2 i EUF-fördraget infördes dessutom en särskild rättslig grund för antagande av regler om skydd av personuppgifter.
Unionens regler om dataskydd har utvecklats sedan rådets beslut 2005/671/RIF antogs. Framför allt har Europaparlamentet och rådet, som nämns i det föregående, på grundval av artikel 16.2 i EUF-fördraget antagit LED, som trädde i kraft den 6 maj 2016. LED är ett omfattande horisontellt instrument för dataskydd. Det är framför allt tillämpligt på all behandling som utförs av behöriga myndigheter för brottsbekämpande ändamål (både behandling inom landet och över gränserna).
1.2.Syfte
Syftet med förslaget är att anpassa rådets beslut 2005/671/RIF till de principer och regler som fastställs i LED för att säkerställa ett enhetligt tillvägagångssätt för skydd av personer i samband med behandling av personuppgifter. Enligt kommissionens meddelande av den 24 juni 2020 bör beslut 2005/671/RIF anpassas på följande sätt:
·Specificera att behandling av personuppgifter enligt rådets beslut 2005/671/RIF endast kan ske i syfte att förebygga, förhindra, utreda, upptäcka och lagföra terroristbrott, i enlighet med principen om ändamålsbegränsning.
·Mer exakt definiera i unionsrätt eller medlemsstaternas nationella rätt vilka kategorier av personuppgifter som kan utbytas, i enlighet med kravet i artikel 8.2 i dataskyddsdirektivet för brottsbekämpning, med vederbörlig hänsyn till de berörda myndigheternas operativa behov.
1.3.Förenlighet med befintliga bestämmelser inom området
Detta förslag till direktiv tar hänsyn till de ändringar av beslut 2005/671/RIF som är en följd av förslaget till förordning om digitalt informationsutbyte i terroristärenden, som kommissionen lade fram tillsammans med detta förslag. Förslaget till förordning ingår i det paket om digitalisering av rättskipningen som kommissionen utarbetat efter meddelandet om digitalisering av rättskipningen 7 . När förslaget har antagits stryks bestämmelserna om utbyte av information om gränsöverskridande terrorism som rör Eurojust i beslut 2005/671/RIF och förs in i Eurojustförordningen (förordning (EU) 2018/1727 8 ). Som en följd av detta stryks även hänvisningarna till Eurojust i rådets beslut 2005/671/RIF. Det kommer att krävas en nära samordning under hela lagstiftningsprocessen för att säkerställa konsekvens mellan de ändringar som ingår i förslaget till förordning och detta förslag till direktiv.
2.RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN
2.1.Rättslig grund
Anpassningen av rådets beslut 2005/671/RIF till dataskyddsdirektivet för brottsbekämpning grundar sig på artikel 16.2 i EUF-fördraget. Enligt artikel 16.2 i EUF-fördraget får bestämmelser antas om skydd för enskilda personer när det gäller behandling av personuppgifter hos medlemsstaternas behöriga myndigheter när dessa utövar verksamhet för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder som omfattas av unionsrättens tillämpningsområde. Den gör det också möjligt att anta regler om det fria flödet av personuppgifter, även för utbyte av personuppgifter mellan behöriga myndigheter inom EU.
2.2.Subsidiaritetsprincipen (för icke-exklusiv befogenhet)
Bara EU kan anpassa EU:s rättsakter till reglerna i dataskyddsdirektivet för brottsbekämpning. Därför kan bara EU anta en lagstiftningsakt om ändring av rådets beslut 2005/671/RIF.
2.3.Proportionalitetsprincipen
Syftet med detta förslag är att anpassa en befintlig EU-rättsakt till en senare EU-rättsakt, i enlighet med vad som föreskrivs i den senare, utan att ändra dess tillämpningsområde. I enlighet med proportionalitetsprincipen är det, för att uppnå de grundläggande målen om ett starkt skydd för fysiska personer när det gäller behandling av personuppgifter och det fria flödet av personuppgifter i hela EU, nödvändigt att fastställa regler för den behandling av personuppgifter som utförs av medlemsstaternas behöriga myndigheter för att förebygga, utreda, avslöja eller lagföra brott. Häri ingår att skydda och förebygga hot mot den allmänna säkerheten. Förslaget går inte utöver vad som är nödvändigt för att uppnå de eftersträvade målen i enlighet med artikel 5.4 i EUF-fördraget.
2.4.Val av instrument
Syftet med detta förslag är att ändra ett rådsbeslut som antogs innan Lissabonfördraget trädde i kraft 2009. Den rättsliga grunden för rådets beslut 2005/671/RIF – artikel 34.2 c i EU-fördraget, såsom den var tillämplig 2005 – finns inte längre. I de relevanta bestämmelserna i beslut 2005/671/RIF fastställs skyldigheter för medlemsstaterna som liknar ett direktiv snarare än fristående regler som skulle vara direkt tillämpliga. Detta rådsbeslut ändras därför lämpligast med stöd av artikel 16.2 i EUF-fördraget genom ett direktiv av Europaparlamentet och rådet.
3.Redogörelse för de enskilda bestämmelserna i förslaget
Genom detta förslag ändras rådets beslut 2005/671/RIF på följande punkter:
För att fastställa ändamålen med behandlingen av personuppgifter införs genom artikel 1.2 a i förslaget ett nytt stycke i artikel 2.3 i rådets beslut som närmare anger att personuppgifterna behandlas för att förebygga, utreda, upptäcka eller lagföra terroristbrott.
För att fastställa vilka kategorier av uppgifter som ska behandlas läggs genom artikel 1.2 b och c i förslaget nya stycken till artikel 2 i rådets beslut, där det anges att de kategorier av personuppgifter som får utbytas med Europol ska vara de som anges i Europolförordningen, och att de kategorier av personuppgifter som får utbytas mellan medlemsstaterna i syfte att förebygga, utreda, avslöja eller lagföra terroristbrott ska vara de som anges i respektive nationell lagstiftning.
För att uppdatera rådets beslut mot bakgrund av den utveckling som senare har ägt rum på rättsområdet och för att särskilt säkerställa att ovannämnda ändringsbestämmelse hänvisar till rätt rättsakt innebär förslaget dessutom att led b i artikel 1 i rådets beslut stryks. Led b innehåller en hänvisning till Europolkonventionen. De relevanta bestämmelserna i rådets beslut, i dess ändrade lydelse, hänvisar i stället till Europolförordningen.
2021/0399 (COD)
Förslag till
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV
om ändring av rådets beslut 2005/671/RIF för att anpassa det till unionens regler om skydd av personuppgifter
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
i enlighet med det ordinarie lagstiftningsförfarandet, och
av följande skäl:
(1)I Europaparlamentets och rådets direktiv (EU) 2016/680 9 fastställs harmoniserade regler om skydd och fri rörlighet för personuppgifter som behandlas i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Enligt direktivet ska kommissionen se över andra relevanta rättsakter som antagits av unionen i syfte att bedöma om de behöver anpassas till det direktivet och, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter för att säkerställa ett enhetligt tillvägagångssätt för skydd av personuppgifter inom direktivets tillämpningsområde.
(2)I rådets beslut 2005/671/RIF 10 fastställs särskilda regler för informationsutbyte och samarbete när det gäller terroristbrott. För att säkerställa ett enhetligt tillvägagångssätt för skydd av personuppgifter i unionen bör det beslutet ändras för att anpassa det till direktiv (EU) 2016/680. Det bör i synnerhet närmare anges i beslutet, på ett sätt som är förenligt med direktiv (EU) 2016/680, ändamålet med behandlingen av personuppgifter och de kategorier av personuppgifter som kan utbytas i enlighet med kraven i artikel 8.2 i direktiv (EU) 2016/680, varvid vederbörlig hänsyn ska tas till de berörda myndigheternas operativa behov.
(3)Hänvisningarna i beslut 2005/671/RIF till de rättsliga instrument som styr verksamheten för Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) bör av tydlighetsskäl uppdateras.
(4)I enlighet med artikel 6a i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, är beslut 2005/671/RIF bindande för Irland som därför deltar i antagandet av detta direktiv.
(5)I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Danmark.
(6)Europeiska datatillsynsmannen har hörts i enlighet med artikel 42 i Europaparlamentets och rådets förordning (EU) 2018/1725 11 och avgav ett yttrande den XX.XX 20XX .
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Beslut 2005/671/RIF ska ändras på följande sätt:
(1)I artikel 1 ska led b utgå.
(2)Artikel 2 ska ändras på följande sätt:
(a)I punkt 3 ska följande stycke läggas till:
”Varje medlemsstat ska säkerställa att personuppgifter endast behandlas enligt första stycket i syfte att förebygga, utreda, avslöja eller lagföra terroristbrott.”
(b)I punkt 4 ska följande stycke läggas till:
”De kategorier av personuppgifter som ska översändas till Europol för de ändamål som avses i punkt 3 ska begränsas till de kategorier som avses i bilaga II avsnitt B punkt 2 till förordning (EU) 2016/794.”
(c)I punkt 6 ska följande stycke läggas till:
”De kategorier av personuppgifter som får utbytas mellan medlemsstaterna för de ändamål som avses i det första stycket ska begränsas till de kategorier som avses i bilaga II avsnitt B punkt 2 till förordning (EU) 2016/794.”
Artikel 2
1.Medlemsstaterna ska senast den [ett år efter antagandet] sätta i kraft de lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska genast överlämna texten till dessa bestämmelser till kommissionen.
När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.
2.Medlemsstaterna ska underrätta kommissionen om texten till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av detta direktiv.
Artikel 3
Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.
Artikel 4
Detta direktiv riktar sig till medlemsstaterna i enlighet med fördragen.
Utfärdat i Bryssel den
På Europaparlamentets vägnar På rådets vägnar
Ordförande Ordförande