Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter
Europeiska gemenskapernas officiella tidning nr L 008 , 12/01/2001 s. 0001 - 0022
Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING med beaktande av Fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 286 i detta, med beaktande av kommissionens förslag(1), med beaktande av Ekonomiska och sociala kommitténs yttrande(2), i enlighet med förfarandet i artikel 251 i fördraget(3), och av följande skäl: (1) Enligt artikel 286 i fördraget skall gemenskapsrättsakter om skydd för enskilda när det gäller behandling av och fri rörlighet för personuppgifter vara tillämpliga på gemenskapsinstitutionerna och gemenskapsorganen. (2) Ett fullt utvecklat system för skydd av personuppgifter förutsätter inte bara att det fastställs rättigheter för de registrerade och skyldigheter för dem som behandlar sådana uppgifter utan också lämpliga påföljder för dem som bryter mot bestämmelserna samt att bestämmelserna övervakas av en oberoende tillsynsmyndighet. (3) Enligt artikel 286.2 i fördraget skall ett oberoende övervakningsorgan inrättas med ansvar för att övervaka att sådana gemenskapsrättsakter tillämpas på gemenskapsinstitutionerna och gemenskapsorganen. (4) Enligt artikel 286.2 i fördraget skall andra relevanta bestämmelser antas vid behov. (5) En förordning krävs för att ge enskilda lagstadgade rättigheter och för att ange de skyldigheter i fråga om behandling av personuppgifter som åligger de registeransvariga inom gemenskapsinstitutionerna och gemenskapsorganen samt för att inrätta en oberoende tillsynsmyndighet med ansvar för att övervaka behandlingen av personuppgifter inom gemenskapsinstitutionerna och gemenskapsorganen. (6) Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter, vilken inrättades genom artikel 29 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter(4), har hörts. (7) De som kan bli föremål för skydd är personer vars personuppgifter behandlas av gemenskapsinstitutionerna och gemenskapsorganen, oavsett i vilket sammanhang, till exempel därför att dessa personer är anställda av dessa institutioner och organ. (8) Principerna för uppgiftsskyddet bör gälla all information som rör en identifierad eller identifierbar person. För att avgöra om en person är identifierbar bör härvid alla hjälpmedel beaktas som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av registeransvarig eller av någon annan person. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. (9) I direktiv 95/46/EG krävs det av medlemsstaterna att de säkerställer att fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, skyddas vid behandlingen av personuppgifter, för att garantera den fria rörligheten (tidigare: "det fria flödet") av personuppgifter inom gemenskapen. (10) Europaparlamentets och rådets direktiv 97/66/EG av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet(5) innehåller preciseringar och kompletteringar till direktiv 95/46/EG i fråga om behandling av personuppgifter inom telekommunikationsområdet. (11) Även andra gemenskapsåtgärder, bland annat på området ömsesidig hjälp mellan medlemsstaternas myndigheter och kommissionen, syftar till att precisera och komplettera direktiv 95/46/EG inom de sektorer som de avser. (12) En konsekvent och enhetlig tillämpning av bestämmelserna för skydd av enskildas grundläggande fri- och rättigheter vid behandling av personuppgifter bör garanteras i hela gemenskapen. (13) Syftet är att garantera såväl verklig respekt för bestämmelserna om skydd av enskildas grundläggande fri- och rättigheter som den fria rörligheten av personuppgifter mellan medlemsstaterna och gemenskapsinstitutionerna och gemenskapsorganen eller mellan gemenskapsinstitutionerna och gemenskapsorganen, då de utövar sina respektive befogenheter. (14) Det bör därför antas bestämmelser som är bindande för gemenskapsinstitutionerna och gemenskapsorganen. Dessa bestämmelser bör vara tillämpliga på all den behandling av personuppgifter som utförs av alla gemenskapsinstitutioner och gemenskapsorgan, om denna behandling genomförs för att utföra uppgifter som helt eller delvis omfattas av gemenskapsrätten. (15) När denna behandling utförs av gemenskapsinstitutionerna och gemenskapsorganen för att utföra uppgifter som inte omfattas av denna förordnings tillämpningsområde, särskilt sådana uppgifter som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, säkerställs skyddet av enskildas grundläggande fri- och rättigheter i enlighet med artikel 6 i Fördraget om Europeiska unionen. Tillgången till handlingar, inbegripet villkoren för tillgång till handlingar som innehåller personuppgifter, omfattas av de bestämmelser som antagits på grundval av artikel 255 i EG-fördraget vars tilllämpningsområde utvidgats till avdelningarna V och VI i Fördraget om Europeiska Unionen. (16) Dessa bestämmelser bör inte tillämpas på organ som har inrättats utanför gemenskapens ram, och inte heller bör den europeiska datatillsynsmannen ha behörighet att övervaka sådana organs behandling av personuppgifter. (17) En förutsättning för att skyddet av personer skall bli effektivt vid behandling av personuppgifter i unionen är att de regler och förfaranden som på detta område skall tillämpas på den verksamhet som omfattas av de olika rättsliga ramarna är enhetliga. Att grundläggande principer utarbetas för skyddet av personuppgifter inom det straffrättsliga samarbetet samt samarbetet på det rättsliga området och tullområdet och att ett sekretariat inrättas för de gemensamma tillsynsmyndigheter som inrättas enligt Europolkonventionen, konventionen om användning av informationsteknologi för tulländamål och Schengenkonventionen, är i detta sammanhang ett första steg. (18) Denna förordning bör inte påverka medlemsstaternas rättigheter och skyldigheter enligt direktiv 95/46/EG och 97/66/EG. Syftet med den är inte att ändra förfaranden och praxis som lagligen har genomförts i alla medlemsstater i frågor som rör nationell säkerhet, förebyggande av oordning samt förebyggande, avslöjande, utredning och beivrande av brott, med iakttagande av bestämmelserna i protokollet om Europeiska gemenskapernas immunitet och privilegier och av internationell rätt. (19) Gemenskapsinstitutionerna och gemenskapsorganen bör vända sig till de behöriga myndigheterna i medlemsstaterna om de anser att telekommunikationer måste avlyssnas på deras telenät, i enlighet med tillämpliga nationella bestämmelser. (20) De bestämmelser som skall tillämpas på gemenskapsinstitutionerna och gemenskapsorganen bör motsvara dem som antas i samband med att lagstiftningen i medlemsstaterna harmoniseras eller annan gemenskapspolitik genomförs, i synnerhet på området ömsesidig hjälp. Det kan dock bli nödvändigt med preciseringar och kompletterande bestämmelser för att genomföra skyddet vid den behandling av personuppgifter som utförs av gemenskapsinstitutionerna och gemenskapsorganen. (21) Detta gäller såväl rättigheterna för de personer vars uppgifter behandlas som skyldigheterna för dem av gemenskapsinstitutionerna och gemenskapsorganen som svarar för behandlingen, liksom de befogenheter som den oberoende tillsynsmyndigheten måste förfoga över för att kunna övervaka att denna förordning tillämpas korrekt. (22) De rättigheter som den registrerade har och utövandet av dessa rättigheter bör inte påverka de skyldigheter som åvilar den ansvarige för behandlingen. (23) Den oberoende tillsynsmyndigheten bör utföra sina övervakningsuppdrag i enlighet med fördraget och med iakttagande av de mänskliga rättigheterna och de grundläggande friheterna. De måste genomföra sina utredningar utan att åsidosätta bestämmelserna i protokollet om immunitet och privilegier och i tjänsteföreskrifterna för tjänstemännen vid Europeiska gemenskaperna samt de anställningsvillkor som tillämpas på övriga anställda vid dessa gemenskaper. (24) Man bör vidta de tekniska åtgärder som är nödvändiga för att möjliggöra tillgång till de register över behandlingar som förs av uppgiftsskyddsombuden via den oberoende tillsynsmyndigheten. (25) Den oberoende tillsynsmyndighetens beslut om undantag, skyddsåtgärder, tillstånd och villkor när det gäller behandling av uppgifter, såsom de fastställs i denna förordning, bör offentliggöras i verksamhetsrapporten. Förutom det årliga offentliggörandet av verksamhetsrapporten kan den oberoende tillsynsmyndigheten offentliggöra rapporter om särskilda ämnen. (26) Viss behandling av personuppgifter som kan medföra särskilda risker för de registrerades rättigheter och friheter bör kontrolleras i förväg av den oberoende tillsynsmyndigheten. Det yttrande som lämnas i samband med denna kontroll, inbegripet det förhållande som följer av att svar inte lämnas inom fastställd tid, bör inte hindra att tillsynsmyndigheten senare utövar sina befogenheter beträffande ifrågavarande behandling. (27) Behandling av personuppgifter för utförandet av de arbetsuppgifter av allmänt intresse som gemenskapsinstitutionerna och gemenskapsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de skall fungera. (28) I ett visst antal fall föreskriver denna förordning att behandlingen av personuppgifter måste vara tillåten med stöd av gemenskapsbestämmelser eller rättsakter för överföring av gemenskapsbestämmelser. Om sådana bestämmelser saknas får dock den europeiska datatillsynsmannen i avvaktan på deras antagande under en övergångstid ge tillstånd till behandling av sådana uppgifter, om tillräckliga skyddsåtgärder vidtas. I detta avseende bör han i synnerhet ta hänsyn till de bestämmelser som antagits av medlemsstaterna för att reglera liknande fall. (29) De fall som avses rör behandling av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse och medlemskap i fackförening samt behandling av uppgifter om hälsa eller sexualliv, vilken krävs med hänsyn till de registeransvarigas särskilda skyldigheter och rättigheter på arbetsrättsområdet eller av hänsyn till ett viktigt allmänt intresse. Det rör sig också om behandling av uppgifter om brott, brottmålsdomar eller säkerhetsåtgärder eller tillstånd att underställa den registrerade ett beslut som har rättsliga följder för eller väsentligt berör honom och som enbart grundas på en automatisk behandling av uppgifter för att bedöma vissa av hans personliga egenskaper. (30) För att förhindra obehörig användning kan det krävas övervakning av de datornät för vilkas drift gemenskapsinstitutionerna och gemenskapsorganen ansvarar. Den europeiska datatillsynsmannen bör fastställa om och på vilka villkor detta kan ske. (31) Ansvaret vid en eventuell överträdelse av föreliggande förordning regleras av artikel 288 andra stycket i fördraget. (32) Ett eller flera uppgiftsskyddsombud bör inom varje gemenskapsinstitution eller gemenskapsorgan övervaka tillämpningen av bestämmelserna i denna förordning och ge råd åt de registeransvariga då de fullgör sina åligganden. (33) Enligt artikel 21 i rådets förordning (EG) nr 322/97 av den 17 februari 1997 om gemenskapsstatistik(6) skall den förordningen gälla utan att det påverkar tillämpningen av direktiv 95/46/EG. (34) Enligt artikel 8.8 i rådets förordning (EG) nr 2533/98 av den 23 november 1998 om Europeiska centralbankens insamling av statistiska uppgifter(7) skall den förordningen gälla utan att det påverkar tillämpningen av direktiv 95/46/EG. (35) Enligt artikel 1.2 i rådets förordning (Euratom, EEG) nr 1588/90 av den 11 juni 1990 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor(8) berör den förordningen inte nationella eller gemenskapsrättsliga specialregler om annat insynsskydd än insynsskyddet för statistiska uppgifter. (36) Syftet med denna förordning är inte att begränsa medlemsstaternas handlingsfrihet när de utarbetar sina nationella bestämmelser om skydd av personuppgifter enligt artikel 32 i direktiv 95/46/EG, i enlighet med artikel 249 i fördraget. HÄRIGENOM FÖRESKRIVS FÖLJANDE. KAPITEL I ALLMÄNNA BESTÄMMELSER Artikel 1 Förordningens syfte 1. De institutioner och organ som inrättas genom eller på grundval av fördragen om upprättandet av Europeiska gemenskaperna, nedan kallade gemenskapsinstitutionerna och gemenskapsorganen, skall i enlighet med denna förordning skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till privatliv, i samband med behandling av personuppgifter, och de får varken begränsa eller förbjuda den fria rörligheten av personuppgifter sinsemellan eller till mottagare som omfattas av den nationella lagstiftningen som antagits i medlemsstaterna med tillämpning av direktiv 95/46/EG. 2. Den oberoende tillsynsmyndighet som inrättas genom denna förordning, nedan kallad "den europeiska datatillsynsmannen", skall övervaka att bestämmelserna i denna förordning tillämpas vid all behandling som utförs av en gemenskapsinstitution eller ett gemenskapsorgan. Artikel 2 Definitioner I denna förordning används följande beteckningar med de betydelser som här anges: a) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för personens fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet. b) behandling av personuppgifter (behandling): varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. c) register med personuppgifter (register): varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. d) registeransvarig: den gemenskapsinstitution eller det gemenskapsorgan, det generaldirektorat, den avdelning eller varje annan organisatorisk enhet som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. När ändamålen med och medlen för behandlingen bestäms av en särskild gemenskapsrättsakt, kan den registeransvarige eller de särskilda kriterierna för att utse vederbörande anges genom en sådan gemenskapsrättsakt. e) registerförare: den fysiska eller juridiska person, den myndighet, den avdelning eller varje annat organ som behandlar personuppgifter för den registeransvariges räkning. f) tredje man: den fysiska eller juridiska person, myndighet, avdelning eller det organ förutom den registrerade, den registeransvarige, registerföraren och de personer som under den registeransvariges eller registerförares direkta ansvar har befogenhet att behandla uppgifterna. g) mottagare: den fysiska eller juridiska person, den myndighet, den avdelning eller varje annat organ till vilket uppgifterna utlämnas, vare sig det är en tredje man eller inte. De myndigheter som kan komma att motta uppgifter inom ramen för en särskild undersökning skall dock inte betraktas som mottagare. h) den registrerades samtycke: varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom eller henne. Artikel 3 Tillämpningsområde 1. Denna förordning skall vara tillämplig på alla gemenskapsinstitutioners och gemenskapsorgans behandling av personuppgifter, om denna behandling genomförs för att utföra uppgifter som helt eller delvis omfattas av gemenskapsrätten. 2. Denna förordning skall vara tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av sådana personuppgifter som ingår i eller kommer att ingå i ett register. KAPITEL II ALLMÄNNA BESTÄMMELSER OM NÄR PERSONUPPGIFTER FÅR BEHANDLAS AVSNITT 1 PRINCIPER FÖR UPPGIFTERNAS KVALITET Artikel 4 Uppgifternas kvalitet 1. Personuppgifter a) skall behandlas på ett korrekt och lagligt sätt, b) skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål; senare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål skall inte anses vara oförenligt förutsatt att den registeransvarige vidtar lämpliga skyddsåtgärder, särskilt för att säkerställa att personuppgifterna inte behandlas för några andra ändamål och att personuppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild person, c) skall vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de samlas in och för vilka de senare behandlas, d) skall vara riktiga och om nödvändigt hållas aktuella; alla rimliga åtgärder skall vidtas för att säkerställa att sådana personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas, e) skall lagras på ett sätt som förhindrar att de registrerade kan identifieras under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlas. Gemenskapsinstitutionerna och gemenskapsorganen skall se till att sådana personuppgifter som skall fortsätta att lagras för historiska, statistiska eller vetenskapliga ändamål endast lagras antingen i avidentifierad form eller, om detta inte är möjligt, med krypterad identitet för de registrerade. Sådana personuppgifter får under inga omständigheter användas för andra ändamål än historiska, statistiska eller vetenskapliga. 2. Det åligger den registeransvarige att se till att punkt 1 efterlevs. AVSNITT 2 KRITERIER FÖR ATT UPPGIFTSBEHANDLING SKALL TILLÅTAS Artikel 5 När personuppgifter får behandlas Personuppgifter får endast behandlas om a) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse på grundval av fördragen om upprättandet av Europeiska gemenskaperna eller andra rättsakter som antagits på grundval av dessa fördrag eller som ett led i en rättsligt grundad myndighetsutövning som utförs av gemenskapsinstitutionen eller gemenskapsorganet eller av en tredje man till vilken uppgifterna lämnas ut, eller b) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller c) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller d) den registrerade otvetydigt har lämnat sitt samtycke, eller e) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade. Artikel 6 Nytt ändamål Utan att det påverkar tillämpningen av artiklarna 4, 5 och 10 skall följande gälla: 1. Personuppgifter får behandlas för andra ändamål än de för vilka de har samlats in endast om ändringen av ändamålet uttryckligen tillåts enligt gemenskapsinstitutionens eller gemenskapsorganets interna bestämmelser. 2. Personuppgifter som uteslutande samlas in för att säkerställa säkerheten eller kontrollen av behandlingssystem eller behandlingar får inte användas för något annat ändamål, med undantag för om det gäller att förebygga, utreda, avslöja och beivra grova brott. Artikel 7 Överföring av personuppgifter inom eller mellan gemenskapens institutioner och organ Utan att det påverkar tillämpningen av artiklarna 4, 5, 6 och 10 skall följande gälla: 1. Personuppgifter får endast överföras inom eller till andra gemenskapsinstitutioner och gemenskapsorgan om uppgifterna är nödvändiga för att lagenligt utföra uppgifter för vilka mottagaren har behörighet. 2. Både den registeransvarige och mottagaren är ansvarig för att denna överföring sker lagenligt, om uppgifterna överförs på begäran av mottagaren. Den registeransvarige är skyldig att kontrollera mottagarens behörighet och preliminärt bedöma om överföringen av uppgifterna är nödvändig. Om det uppstår tveksamhet om nödvändigheten skall den registeransvarige begära ytterligare förklaringar från mottagaren. Mottagaren skall se till att man senare kan kontrollera att överföringen av uppgifterna var nödvändig. 3. Mottagaren får endast behandla personuppgifterna för de ändamål för vilka de överfördes. Artikel 8 Överföring av personuppgifter till andra mottagare än gemenskapsinstitutionerna och gemenskapsorganen vilka omfattas av direktiv 95/46/EG Utan att det påverkar tillämpningen av artiklarna 4, 5, 6 och 10 får personuppgifter endast överföras till mottagare som omfattas av den nationella lagstiftning som har antagits för tillämpningen av direktiv 95/46/EG, a) om mottagaren visar att personuppgifterna är nödvändiga för att utföra ett uppdrag som är av allmänt intresse eller är förenat med myndighetsutövning, eller b) om mottagaren visar att det är nödvändigt att personuppgifterna överförs och det saknas skäl att anta att den registrerades legitima intressen skulle kunna skadas. Artikel 9 Överföring av personuppgifter till andra mottagare än gemenskapsinstitutionerna och gemenskapsorganen vilka inte omfattas av direktiv 95/46/EG 1. Personuppgifter får endast överföras till andra mottagare än gemenskapsinstitutionerna och gemenskapsorganen vilka inte omfattas av den nationella lagstiftning som har antagits med stöd av direktiv 95/46/EG, om en adekvat skyddsnivå har säkerställts i mottagarens land eller inom den mottagande internationella organisationen och om uppgifterna överförs uteslutande för att göra det möjligt för den registeransvarige att utföra de uppgifter för vilka han har behörighet. 2. Bedömningen av om skyddsnivån i ifrågavarande tredje land eller internationella organisation är adekvat skall ske på grundval av alla de förhållanden som har samband med en eller flera överföringar av personuppgifter. Särskild hänsyn skall tas till uppgifternas art, den föreslagna behandlingens eller behandlingarnas ändamål och varaktighet, det tredje land eller den internationella organisation som utgör slutdestination, den lagstiftning, både allmän och sektoriell, som gäller i ifrågavarande tredje land eller för ifrågavarande internationella organisation samt de yrkesregler och säkerhetsbestämmelser som skall följas i detta tredje land eller denna internationella organisation. 3. Gemenskapsinstitutionerna och gemenskapsorganen skall informera kommissionen och den europeiska datatillsynsmannen då de anser att ifrågavarande tredje land eller internationella organisation inte säkerställer en adekvat skyddsnivå enligt punkt 2. 4. Kommissionen skall informera medlemsstaterna om de fall som avses i punkt 3. 5. Gemenskapsinstitutionerna och gemenskapsorganen skall vidta de åtgärder som är nödvändiga för att följa de beslut kommissionen fattat med tillämpning av artikel 25.4 och 25.6 i direktiv 95/46/EG, i vilka den konstaterat att ett tredje land eller en internationell organisation säkerställer eller underlåter att säkerställa en lämplig skyddsnivå. 6. Utan hinder av punkterna 1 och 2 får gemenskapsinstitutionen eller gemenskapsorganet överföra personuppgifter, om a) den registrerade har gett sitt otvetydiga samtycke till den planerade överföringen, eller b) överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran, eller c) överföringen är nödvändig för att ingå ett avtal eller fullgöra ett redan ingånget avtal i den registrerades intresse mellan den registeransvarige och tredje man, eller d) överföringen är nödvändig eller följer av lag på grund av viktiga allmänna intressen, eller för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller e) överföringen är nödvändig för att skydda intressen som är av avgörande betydelse för den registrerade, eller f) överföringen görs från ett register som enligt gemenskapslagstiftningen är avsett att ge information till allmänheten och som är tillgängligt antingen för allmänheten eller för varje person som kan påvisa ett legitimt intresse, i den utsträckning som villkoren i gemenskapslagstiftningen om inhämtande är uppfyllda i det särskilda fallet. 7. Utan att det påverkar tillämpningen av punkt 6 kan den europeiska datatillsynsmannen ge tillstånd till en överföring eller en rad överföringar av personuppgifter till ett tredje land eller en internationell organisation som inte säkerställer en adekvat skyddsnivå enligt punkterna 1 och 2, om den registeransvarige vidtar tillräckliga skyddsåtgärder för att enskilda personers privatliv och grundläggande fri- och rättigheter skyddas och för utövandet av motsvarande rättigheter; dessa skyddsåtgärder kan bland annat följa av lämpliga bestämmelser i avtal. 8. Gemenskapens institutioner och organ skall informera den europeiska datatillsynsmannen om kategorier av fall där de har tillämpat punkterna 6 och 7. AVSNITT 3 SÄRSKILDA KATEGORIER AV BEHANDLING Artikel 10 Behandlingen av särskilda kategorier av uppgifter 1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt av uppgifter som rör hälsa och sexualliv är förbjuden. 2. Punkt 1 skall inte gälla om a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom då gemenskapsinstitutionens eller gemenskapsorganets interna bestämmelser föreskriver att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller b) behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten i den omfattning detta är tillåtet enligt fördragen om upprättandet av Europeiska gemenskaperna och andra rättsakter som antagits på grundval av dessa fördrag eller, om det visar sig nödvändigt, i den utsträckning som den godtas av den europeiska datatillsynsmannen, på villkor att lämpliga skyddsåtgärder vidtas, eller c) behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen, när den registrerade är fysiskt eller juridiskt förhindrad att ge sitt samtycke, eller d) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade eller är nödvändiga för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller e) behandlingen utförs av ett icke vinstdrivande organ som är integrerat i en gemenskapsinstitution eller ett gemenskapsorgan och enligt artikel 4 i direktiv 95/46/EG inte omfattas av nationell uppgiftsskyddslagstiftning, när denna behandling är ett led i dess berättigade verksamhet och sker med lämpliga garantier och har ett politiskt, filosofiskt, religiöst eller fackligt ändamål, på villkor att behandlingen enbart rör antingen medlemmar av detta organ eller personer som på grund av organets ändamål har regelbunden kontakt med detta och på villkor att uppgifterna inte lämnas ut till tredje man utan den registrerades samtycke. 3. Punkt 1 skall inte gälla när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård och när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som i sitt yrke är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt. 4. Under förutsättning att lämpliga skyddsåtgärder vidtas och av hänsyn till ett viktigt allmänt intresse kan andra undantag än de som nämns i punkt 2 föreskrivas genom fördragen om upprättandet av Europeiska gemenskaperna eller andra rättsakter som grundar sig på dessa fördrag eller, om det visar sig nödvändigt, genom beslut av den europeiska datatillsynsmannen. 5. Behandling av uppgifter om brott, brottmålsdomar eller säkerhetsåtgärder får utföras endast om detta är tillåtet enligt fördragen om upprättandet av Europeiska gemenskaperna eller andra rättsakter som antagits på grundval av dessa fördrag eller, om det visar sig nödvändigt, genom den europeiska datatillsynsmannen, under förutsättning att särskilda och lämpliga skyddsåtgärder vidtas. 6. Den europeiska datatillsynsmannen skall bestämma på vilka villkor ett personnummer eller något annat vedertaget sätt för identifiering får behandlas av en gemenskapsinstitution eller ett gemenskapsorgan. AVSNITT 4 INFORMATIONSPLIKT GENTEMOT DEN REGISTRERADE Artikel 11 Information som skall ges när uppgifterna insamlas från den registrerade 1. Registeransvarig skall till en registrerad person från vilken uppgifter om honom själv samlas in ge åtminstone följande information, utom i de fall då den registrerade personen redan känner till informationen: a) Den registeransvariges identitet. b) Ändamålen med den behandling för vilken uppgifterna är avsedda. c) Mottagare eller kategorier av mottagare av uppgifterna. d) Huruvida det är obligatoriskt eller frivilligt att besvara frågorna samt eventuella följder av att inte svara. e) Att han har rätt att få tillgång till uppgifter om honom och rätt att få dessa korrigerade. f) Ytterligare information, t.ex. i) den rättsliga grunden för den behandling för vilken uppgifterna är avsedda, ii) hur länge uppgifterna kommer att lagras, iii) rättigheten att när som helst kunna vända sig till den europeiska datatillsynsmannen, i den utsträckning som denna ytterligare information - med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in - är nödvändig för att tillförsäkra den registrerade en korrekt behandling av uppgifterna. 2. Som ett undantag från punkt 1 kan informationsplikten, med undantag av sådan information som avses i punkt 1 a, b och d, helt eller delvis skjutas upp så lång tid som det behövs för statistiska ändamål. Informationen skall lämnas så snart som det inte längre finns någon grund för att hålla inne informationen. Artikel 12 Information som skall ges när uppgifterna inte har insamlats från den registrerade 1. Om uppgifterna inte har samlats in från den registrerade, skall den registeransvarige vid registreringen av personuppgifter eller, om utlämnande av uppgifterna till tredje man kan förutses, senast vid den tidpunkt då uppgifterna först lämnas ut, ge den registrerade åtminstone följande information, utom i de fall då han redan känner till informationen: a) Den registeransvariges identitet. b) Ändamålen med behandlingen. c) De kategorier av uppgifter som behandlingen gäller. d) Mottagare eller kategorier av mottagare. e) Att han har rätt att få tillgång till uppgifter om honom och rätt att få dessa korrigerade. f) Ytterligare information, t.ex. i) den rättsliga grunden för den behandling för vilken uppgifterna är avsedda, ii) hur länge uppgifterna kommer att lagras, iii) rättigheten att när som helst kunna vända sig till den europeiska tillsynsmannen för uppgiftsskydd, iv) uppgifternas ursprung, utom då den registeransvarige på grund av tystnadsplikt inte kan lämna ut denna information, i den utsträckning som denna ytterligare information - med hänsyn till de särskilda omständigheter under vilka uppgifterna behandlas - är nödvändig för att tillförsäkra den registrerade en korrekt behandling av uppgifterna. 2. Bestämmelserna i punkt 1 skall inte gälla när det - särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål - visar sig omöjligt eller innebär en oproportionerligt stor ansträngning att informera den registrerade eller om registrering eller utlämnande uttryckligen föreskrivs i gemenskapslagstiftningen. I sådana fall skall gemenskapsinstitutionen eller gemenskapsorganet vidta lämpliga skyddsåtgärder efter samråd med den europeiska datatillsynsmannen. AVSNITT 5 DEN REGISTRERADES RÄTTIGHETER Artikel 13 Rätt till tillgång Varje registrerad skall ha rätt att när som helst utan restriktioner, inom tre månader från det att ansökan mottogs, kostnadsfritt från den registeransvarige a) få bekräftelse på om uppgifter som rör honom behandlas eller inte, b) få information åtminstone om ändamålen med behandlingen, de berörda uppgiftskategorierna, mottagarna eller de kategorier av mottagare till vilka uppgifterna lämnas ut, c) få klar information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer, d) få kännedom om det logiska system som används vid alla automatiserade beslutsprocesser som rör honom. Artikel 14 Rättelse Den registrerade skall ha rätt att från den registeransvarige utan dröjsmål få rättelse av felaktiga eller ofullständiga personuppgifter. Artikel 15 Blockering 1. Den registrerade skall ha rätt att få uppgifter blockerade av den registeransvarige om a) den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att verifiera om personuppgifterna är korrekta, bland annat om de är fullständiga, eller b) den registeransvarige inte längre behöver dem för att fullgöra sina uppgifter men de måste bevaras för bevisändamål, eller c) behandlingen är olaglig och den registrerade motsätter sig att de utplånas och i stället begär att de blockeras. 2. I automatiserade register skall blockering i princip säkerställas med tekniska medel. Att personuppgifter är blockerade skall anges i systemet på ett sådant sätt att det är tydligt att personuppgifterna inte får användas. 3. Personuppgifter som är blockerade med tillämpning av denna artikel skall, med undantag för lagring, endast behandlas för bevisändamål eller med den registrerades samtycke eller för skydd av tredje mans rättigheter. 4. Den registrerade som har begärt och fått sina uppgifter blockerade skall informeras av den registeransvarige innan blockeringen av uppgifterna hävs. Artikel 16 Utplåning Den registrerade skall ha rätt att få sina uppgifter utplånade av den registeransvarige om behandlingen av uppgifterna var olaglig, särskilt om bestämmelserna i kapitel II avsnitt 1, 2 och 3 har åsidosatts. Artikel 17 Meddelande till tredje man Den registrerade skall ha rätt att kräva att den registeransvarige underrättar tredje man till vilken personuppgifterna har lämnats om varje rättelse, utplåning eller blockering i enlighet med artiklarna 13-16, om detta inte visar sig omöjligt eller innebär en oproportionerligt stor ansträngning. Artikel 18 Den registrerades rätt att göra invändningar Den registrerade skall ha rätt a) att när som helst av avgörande och berättigade skäl som rör hans personliga situation invända mot behandling av uppgifter som rör honom, utom i de fall som omfattas av artikel 5 b, c och d; om invändningen är berättigad får den ifrågavarande behandlingen inte längre avse dessa uppgifter, b) att bli informerad innan personuppgifterna för första gången lämnas ut till tredje man eller används för tredje mans räkning för direkt marknadsföring och att uttryckligen få erbjudande om att kostnadsfritt invända mot ett sådant utlämnande eller sådan användning. Artikel 19 Databehandlade beslut Den registrerade skall ha rätt att inte bli föremål för ett beslut som har rättsliga följder för honom eller som väsentligt berör honom och som enbart grundas på en automatisk behandling av uppgifter som är avsedd att bedöma vissa av hans personliga egenskaper, exempelvis hans arbetsprestationer, pålitlighet eller uppförande, om inte beslutet uttryckligen tillåts enligt nationell lagstiftning eller gemenskapslagstiftning eller, om det visar sig nödvändigt, av den europeiska datatillsynsmannen. I båda fallen skall åtgärder för skydd av den registrerades legitima intressen vidtas, exempelvis åtgärder som möjliggör för honom att framföra sin åsikt. AVSNITT 6 UNDANTAG OCH BEGRÄNSNINGAR Artikel 20 Undantag och begränsningar 1. Gemenskapsinstitutionerna och gemenskapsorganen får begränsa tillämpningen av artikel 4.1, artikel 11, artikel 12.1, artiklarna 13-17 och artikel 37.1 i den mån som en sådan begränsning är en nödvändig åtgärd för att a) förebygga, utreda, avslöja eller beivra brott, b) skydda ett viktigt ekonomiskt eller finansiellt intresse för en medlemsstat eller Europeiska gemenskaperna, inklusive monetära frågor och budget- och skattefrågor, c) säkerställa skydd av den registrerade eller andras fri- och rättigheter, d) säkerställa den nationella säkerheten, den allmänna säkerheten och försvaret i medlemsstaterna, e) säkerställa en övervakande, inspekterande eller reglerande uppgift, som - även tillfälligt - är förenad med myndighetsutövning, i fall som avses i a och b. 2. Artiklarna 13-16 skall inte gälla när uppgifterna endast behandlas för ändamål som avser vetenskaplig forskning eller när uppgifterna lagras i form av personuppgifter under en tid som inte överstiger den tid som är nödvändig för att enbart framställa statistik, under förutsättning att det uppenbarligen inte föreligger någon risk att den registrerades privatliv kränks och att den registeransvarige vidtar lämpliga rättsliga skyddsåtgärder, särskilt för att se till att uppgifterna inte används för åtgärder eller beslut som avser bestämda personer. 3. Om en begränsning i ett av de fall som avses i punkt 1 införs, skall den registrerade i enlighet med gemenskapsrätten informeras om de huvudsakliga skälen till begränsningen och om att han har rätt att vända sig till den europeiska datatillsynsmannen. 4. Om en begränsning enligt punkt 1 åberopas för att vägra den registrerade tillgång, skall den europeiska datatillsynsmannen vid utredning av klagomålet endast informera honom om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts. 5. Meddelandet av den information som avses i punkterna 3 och 4 kan skjutas upp så länge att den gör den begränsning som införts på grundval av punkt 1 verkningslös. AVSNITT 7 SEKRETESS OCH SÄKERHET VID BEHANDLING Artikel 21 Sekretess vid behandling Var och en som är anställd vid en gemenskapsinstitution eller ett gemenskapsorgan, och gemenskapsinstitutioner eller gemenskapsorgan när de själva handlar som registerförare, och som har tillgång till personuppgifter, får behandla dessa uppgifter endast enligt instruktion från den registeransvarige, om de inte är skyldiga att göra det enligt nationell lagstiftning eller gemenskapslagstiftning. Artikel 22 Säkerhet vid behandling 1. Den registeransvarige skall vidta lämpliga tekniska och organisatoriska åtgärder, med beaktande av nuvarande teknisk nivå och de kostnader som är förenade med åtgärdernas genomförande, för att säkerställa en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de personuppgifter som skall skyddas. Sådana åtgärder skall vidtas särskilt för att förhindra otillåtet utlämnande eller otillåten åtkomst, olaglig eller oavsiktlig förstörelse, oavsiktlig förlust, ändringar och all annan olaglig form av behandling. 2. Om personuppgifter behandlas på automatisk väg skall åtgärder vidtas om det är nödvändigt med tanke på riskerna, särskilt i syfte att a) hindra obehöriga personer från att få tillgång till datasystem som behandlar personuppgifter, b) förhindra att obehöriga läser, återger, ändrar eller tar bort personuppgifter i media som används för lagring, c) förhindra obehörig inmatning i minnet samt obehörig utlämning, ändring eller utplåning av lagrade personuppgifter, d) hindra att obehöriga personer använder system för behandling av uppgifter via utrustning för dataöverföring, e) se till att behöriga användare av ett system som behandlar personuppgifter inte kan komma åt andra personuppgifter än de som deras åtkomsträtt avser, f) registrera vilka personuppgifter som har lämnats ut, vid vilken tidpunkt och till vem, g) se till att man i efterhand kan kontrollera vilka personuppgifter som har behandlats, vid vilken tidpunkt och av vem, h) se till att personuppgifter som behandlas på tredje mans vägnar endast kan behandlas på det sätt som föreskrivs av avtalsslutande institution eller organ, i) se till att uppgifterna inte kan läsas, kopieras eller raderas utan bemyndigande, vid utlämning av personuppgifter och under transport av media som används för lagring, j) utforma organisationsstrukturen inom en institution eller ett organ på ett sådant sätt att den uppfyller de särskilda kraven för uppgiftsskydd. Artikel 23 Behandling av personuppgifter för den registeransvariges räkning 1. Om behandlingen utförs för den registeransvariges räkning, skall vederbörande välja en registerförare som kan ge tillräckliga garantier vad gäller de tekniska och organisatoriska säkerhetsåtgärder som krävs enligt artikel 22 och tillse att dessa åtgärder genomförs. 2. När uppgifter behandlas av en registerförare skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling upprättad mellan registerföraren och den registeransvarige och i handlingen skall särskilt föreskrivas att a) registerföraren endast får handla på instruktioner från den registeransvarige, b) de skyldigheter som anges i artiklarna 21 och 22 även skall åvila registerföraren, om denne inte redan enligt artikel 16 eller artikel 17.3 andra strecksatsen i direktiv 95/46/EG omfattas av skyldigheter med avseende på sekretess och säkerhet enligt den nationella lagstiftningen i en av medlemsstaterna. 3. För att säkra bevisning skall de delar av avtalet eller den rättsligt bindande handlingen som rör skydd av uppgifter och de krav som rör åtgärder enligt artikel 22 föreligga i skriftlig eller därmed likvärdig form. AVSNITT 8 UPPGIFTSSKYDDSOMBUD Artikel 24 Utseende av ett uppgiftsskyddsombud och dennes ansvarsområde 1. Varje gemenskapsinstitution och gemenskapsorgan skall utse minst en person till uppgiftsskyddsombud. Denne skall ansvara för a) att registeransvariga och registrerade informeras om sina rättigheter och skyldigheter i enlighet med denna förordning, b) att besvara framställningar från den europeiska datatillsynsmannen och att inom ramen för sin behörighet samarbeta med denne på hans begäran eller på eget initiativ, c) att på ett oberoende sätt se till att bestämmelserna i denna förordning tillämpas internt, d) att hålla ett register över de behandlingar som utförs av den registeransvarige och att detta register innehåller den information som anges i artikel 25.2, e) att till den europeiska datatillsynsmannen anmäla sådana behandlingar som kan innebära särskilda risker enligt vad som anges i artikel 27. Detta uppgiftsskyddsombud skall därigenom se till att de registrerades fri- och rättigheter inte riskerar att kränkas som en följd av behandlingen. 2. Uppgiftsskyddsombudet skall utses på grundval av dennes personliga och yrkesmässiga kvalifikationer och i synnerhet dennes expertkunskaper om uppgiftsskydd. 3. Valet av uppgiftsskyddsombudet skall inte kunna leda till en intressekonflikt mellan hans uppdrag som ombud och andra offentliga uppdrag, särskilt vad avser tillämpningen av bestämmelserna i denna förordning. 4. Uppgiftsskyddsombudet skall utses för en period av mellan två och fem år. Han kan återväljas för en period omfattande högst tio år. Han får endast entledigas från sitt uppdrag som uppgiftsskyddsombud av den gemenskapsinstitution eller det gemenskapsorgan som utsett honom efter medgivande av den europeiska datatillsynsmannen, om han inte längre uppfyller de krav som ställs för att han skall kunna utföra sina uppgifter. 5. Efter utnämningen skall uppgiftsskyddsombudet registreras hos den europeiska datatillsynsmannen av den institution eller det organ som har utsett honom. 6. Uppgiftsskyddsombudet skall av den gemenskapsinstitution eller det gemenskapsorgan som utsett honom tilldelas den personal och de medel som han behöver för att kunna utföra sina uppgifter. 7. Vid utförandet av sina uppgifter får uppgiftsskyddsombudet inte ta emot några instruktioner. 8. Ytterligare genomförandebestämmelser vad avser uppgiftsskyddsombudet skall antas av varje gemenskapsinstitution eller gemenskapsorgan enligt bestämmelserna i bilagan. Genomförandebestämmelserna skall i synnerhet avse uppgiftsskyddsombudets arbetsuppgifter, åligganden och befogenheter. Artikel 25 Anmälan till uppgiftsskyddsombudet 1. Den registeransvarige skall underrätta uppgiftsskyddsombudet innan en behandling eller en serie behandlingar med samma eller närbesläktade ändamål företas. 2. Den information som skall lämnas skall omfatta följande: a) Den registeransvariges namn och adress och angivande av de organisatoriska delar av en institution eller ett organ som ansvarar för behandlingen av personuppgifter för ett särskilt syfte. b) Ändamålet eller ändamålen med behandlingen. c) En beskrivning av den eller de kategorier av registrerade som berörs och av de uppgifter eller kategorier av uppgifter som hänför sig till dem. d) Den rättsliga grunden för den behandling för vilken uppgifterna är avsedda. e) Mottagare eller de kategorier av mottagare till vilka uppgifterna kan komma att lämnas ut. f) En allmän anvisning om tidsfristerna för blockering och utplåning av de olika kategorierna av uppgifter. g) Planerade överföringar av uppgifter till tredje land eller internationella organisationer. h) En allmän beskrivning, som gör det möjligt att preliminärt bedöma om de åtgärder är lämpliga som i enlighet med artikel 22 vidtagits för att trygga säkerheten vid behandlingen. 3. Eventuella ändringar som rör den information som avses i punkt 2 skall omedelbart meddelas uppgiftsskyddsombudet. Artikel 26 Register Varje uppgiftsskyddsombud skall föra ett register över sådana behandlingar som har anmälts enligt artikel 25. Registren skall innehålla minst den information som avses i artikel 25.2 a-g. Registren skall vara allmänt tillgängliga, direkt eller indirekt, genom förmedling av den europeiska datatillsynsmannen. AVSNITT 9 FÖRHANDSKONTROLL AV DEN EUROPEISKA DATATILLSYNSMANNEN OCH SAMARBETSSKYLDIGHET Artikel 27 Förhandskontroll 1. Sådana behandlingar som kan innebära särskilda risker för de registrerades fri- och rättigheter på grund av sin beskaffenhet, sin räckvidd eller sina ändamål skall förhandskontrolleras av den europeiska datatillsynsmannen. 2. Följande former av behandling kan innebära sådana risker: a) Behandling av uppgifter som rör hälsa samt behandlingar av uppgifter som rör misstankar om brott, brott, brottmålsdomar eller säkerhetsåtgärder. b) Behandling där syftet är att bedöma den registrerades personlighet, t.ex. hans kompetens, prestationsförmåga eller uppträdande. c) Behandling som möjliggör samkörning som inte anges i nationell lagstiftning eller gemenskapslagstiftning mellan uppgifter som behandlats för olika ändamål. d) Behandling som syftar till att enskilda personer skall utestängas från att komma i åtnjutande av en rättighet, en förmån eller ett avtal. 3. Förhandskontrollerna skall utföras av den europeiska datatillsynsmannen efter meddelande från uppgiftsskyddsombudet, som skall samråda med den europeiska datatillsynsmannen, när behovet av förhandskontroll är tveksamt. 4. Den europeiska datatillsynsmannen skall avge sitt yttrande inom två månader efter det att meddelandet mottagits. Denna tidsfrist kan tillfälligt upphöra att löpa i avvaktan på att den europeiska datatillsynsmannen erhåller den ytterligare information som han begärt. Om ärendets komplexitet gör det nödvändigt, kan denna tidsfrist även förlängas ytterligare två månader efter beslut av den europeiska datatillsynsmannen. Den registeransvarige skall underrättas om detta beslut innan den första tvåmånadersperioden löper ut. Om yttrandet inte har avgetts inom tvåmånadersfristen, som eventuellt förlängts, anses det vara positivt. Om den europeiska datatillsynsmannen anser att den anmälda behandlingen skulle kunna leda till att någon bestämmelse i denna förordning åsidosätts, skall han i förekommande fall lämna förslag till hur detta kan undvikas. Om den registeransvarige inte ändrar behandlingen i enlighet med detta, kan den europeiska datatillsynsmannen utöva de befogenheter han tilldelats enligt artikel 47.1. 5. Den europeiska datatillsynsmannen skall föra ett register över alla de behandlingar som har anmälts till honom enligt punkt 2. Registret skall innehålla de upplysningar som anges i artikel 25 och vara tillgängligt för allmänheten. Artikel 28 Samråd 1. Gemenskapsinstitutionerna och gemenskapsorganen skall underrätta den europeiska datatillsynsmannen då de utarbetar administrativa åtgärder som rör behandling av personuppgifter där en gemenskapsinstitution eller ett gemenskapsorgan deltar, ensamt eller gemensamt med andra. 2. När kommissionen antar ett lagförslag som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, skall den samråda med den europeiska datatillsynsmannen. Artikel 29 Skyldighet att informera Gemenskapsinstitutionerna och gemenskapsorganen skall informera den europeiska datatillsynsmannen om de åtgärder som har vidtagits till följd av de beslut eller tillstånd som denne fattat eller lämnat i enlighet med artikel 46 h. Artikel 30 Skyldighet att samarbeta Registeransvariga skall på begäran av den europeiska datatillsynsmannen bistå honom i hans tjänsteutövning, särskilt genom att tillhandahålla den information som avses i artikel 47.2 a och genom att ge tillträde enligt artikel 47.2 b. Artikel 31 Skyldighet att reagera på anmärkningar När den europeiska datatillsynsmannen utövar de befogenheter han tilldelats enligt artikel 47.1 b skall den registeransvarige informera denne om sina synpunkter inom en rimlig period, fastställd av den europeiska datatillsynsmannen. Dessa synpunkter skall i förekommande fall också innehålla en beskrivning av de åtgärder som har vidtagits med anledning av eventuella anmärkningar från den europeiska datatillsynsmannen. KAPITEL III RÄTTSLIG PRÖVNING Artikel 32 Rättslig prövning 1. Europeiska gemenskapernas domstol skall vara behörig att pröva tvister som hänför sig till denna förordnings bestämmelser, inklusive skadeståndsanspråk. 2. Utan att det påverkar möjligheten att föra talan inför domstol får varje registrerad framföra klagomål till den europeiska datatillsynsmannen om han anser att de rättigheter som tillerkänns honom enligt artikel 286 i fördraget har blivit kränkta till följd av att en gemenskapsinstitution eller ett gemenskapsorgan behandlat hans personuppgifter. Om något svar från den europeiska datatillsynsmannen inte erhållits inom sex månader innebär detta att klagomålet avslås. 3. Beslut av den europeiska datatillsynsmannen kan överklagas hos Europeiska gemenskapernas domstol. 4. En person som åsamkats skada på grund av olaglig behandling av uppgifter eller på grund av en handling som är oförenlig med denna förordning skall ha rätt till ersättning för det förfång han lidit i enlighet med artikel 288 i fördraget. Artikel 33 Klagomål från gemenskapens personal Varje person som är anställd vid en gemenskapsinstitution eller ett gemenskapsorgan kan framföra klagomål om en påstådd överträdelse av bestämmelserna i denna förordning om behandling av personuppgifter till den europeiska datatillsynsmannen utan att gå den officiella vägen. Ingen skall lida förfång på grund av att han klagar till den europeiska datatillsynsmannen beträffande en påstådd överträdelse av bestämmelserna om behandling av personuppgifter. KAPITEL IV SKYDD AV PERSONUPPGIFTER OCH PRIVATLIV VAD GÄLLER INTERNA TELENÄT Artikel 34 Tillämpningsområde Utan att det påverkar tillämpningen av övriga bestämmelser i denna förordning skall detta kapitel tillämpas på behandling av personuppgifter i samband med användning av telenät eller terminalutrustning vilkas drift kontrolleras av en gemenskapsinstitution eller ett gemenskapsorgan. Med "användare" avses i detta kapitel varje fysisk person som använder ett telenät eller terminalutrustning vars drift kontrolleras av en gemenskapsinstitution eller ett gemenskapsorgan. Artikel 35 Säkerhet 1. Gemenskapsinstitutionerna och gemenskapsorganen skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda en säker användning av telenäten och terminalutrustningen, om nödvändigt i samverkan med dem som tillhandahåller allmänt tillgängliga teletjänster eller dem som tillhandahåller allmänt tillgängliga telenät. Dessa åtgärder skall säkerställa en säkerhetsnivå som är anpassad till den risk som föreligger, med beaktande av nuvarande tekniska nivå och kostnaderna för att genomföra åtgärderna. 2. Om det föreligger särskilda risker för brott mot säkerheten vad gäller nätet och terminalutrustningen skall gemenskapsinstitutionen eller gemenskapsorganet i fråga informera användarna om sådana risker och om hur de eventuellt kan avhjälpas samt om andra kommunikationssätt som kan användas. Artikel 36 Telehemlighet vid kommunikation Gemenskapsinstitutionerna och gemenskapsorganen skall säkerställa telehemligheten vid kommunikation via telenät och terminalutrustning, med iakttagande av de allmänna principerna i gemenskapsrätten. Artikel 37 Trafik- och faktureringsdata 1. Utan att det påverkar tillämpningen av bestämmelserna i punkterna 2, 3 och 4 skall trafikdata om användare, vilka behandlas och lagras för att koppla upp samtal och för andra förbindelser via telenätet, utplånas eller avidentifieras vid samtalets eller förbindelsens slut. 2. Om så behövs för förvaltningen av telekommunikationsbudgeten och trafikstyrningen, inklusive verifieringen av behörig användning av telekommunikationssystemet, får behandling ske av de trafikdata som anges i en förteckning som godkänts av den europeiska datatillsynsmannen. Dessa data skall utplånas eller avidentifieras snarast möjligt och senast sex månader efter insamlingen, om det inte är nödvändigt att lagra dem ytterligare för att kunna fastställa, göra gällande eller försvara ett rättsligt anspråk i ett mål som redan är anhängiggjort vid en domstol. 3. Behandling av trafik- och faktureringsdata får endast utföras av de personer som har hand om fakturering, trafikstyrning och budgetförvaltning. 4. Användare av telenät skall ha rätt att få ospecificerade räkningar eller andra sammanställningar över samtal. Artikel 38 Kataloger över användare 1. Personuppgifter i tryckta eller elektroniska kataloger och tillgång till sådana kataloger skall begränsas till vad som krävs för de specifika ändamålen med katalogen. 2. Gemenskapsinstitutionerna och gemenskapsorganen skall vidta alla nödvändiga åtgärder för att förhindra att personuppgifter i dessa kataloger, oavsett om de är tillgängliga för allmänheten eller inte, används för direkt marknadsföring. Artikel 39 Presentation och skydd när det gäller identifiering av det anropande och det uppkopplade numret 1. Om nummerpresentation erbjuds skall den uppringande användaren ha möjlighet att enkelt och kostnadsfritt förhindra nummerpresentation. 2. Om nummerpresentation erbjuds skall den uppringde användaren ha möjlighet att enkelt och kostnadsfritt förhindra nummerpresentation vid inkommande samtal. 3. Om presentation av det uppkopplade numret erbjuds skall den uppringde användaren ha möjlighet att enkelt och kostnadsfritt stänga av presentationen av det uppkopplade numret för den uppringande användaren. 4. Om nummerpresentation eller presentation av det uppkopplade numret erbjuds, skall gemenskapsinstitutionerna och gemenskapsorganen informera användarna om detta och om de möjligheter som anges i punkterna 1, 2 och 3. Artikel 40 Undantag Gemenskapsinstitutionerna och gemenskapsorganen skall se till att det finns klara och tydliga förfaranden som reglerar på vilka villkor de kan göra undantag från möjligheten att förhindra nummerpresentation a) temporärt, om en användare begär spårning av illvilliga eller störande samtal, b) avseende vissa nummer, för organisatoriska enheter som handhar nödsamtal, för att kunna besvara sådana samtal. KAPITEL V OBEROENDE TILLSYNSMYNDIGHET: EUROPEISKA DATATILLSYNSMANNEN Artikel 41 Europeiska datatillsynsmannen 1. Härmed inrättas en oberoende tillsynsmyndighet med namnet Europeiska datatillsynsmannen. 2. Vad gäller behandling av personuppgifter skall den europeiska datatillsynsmannen ha i uppdrag att säkerställa att fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till privatliv, respekteras av personuppgifter av gemenskapsinstitutionerna och gemenskapsorganen. Den europeiska datatillsynsmannen skall ha i uppdrag att övervaka och garantera tillämpningen av bestämmelserna i denna förordning och andra gemenskapsrättsakter om skyddet för fysiska personers grundläggande fri- och rättigheter då en gemenskapsinstitution eller ett gemenskapsorgan behandlar personuppgifter och för att ge råd till gemenskapsinstitutionerna och gemenskapsorganen och de registrerade i alla frågor som rör behandling av personuppgifter. För detta ändamål skall den europeiska datatillsynsmannen fullgöra de uppgifter som avses i artikel 46 och utöva de befogenheter han tilldelats enligt artikel 47. Artikel 42 Utnämning 1. Europaparlamentet och rådet skall i samförstånd utnämna den europeiska datatillsynsmannen för en period av fem år, på grundval av en förteckning som kommissionen upprättat efter en offentlig infordran av intresseanmälningar. En biträdande datatillsynsman skall utnämnas enligt samma förfarande och för samma period. Han skall biträda datatillsynsmannen i alla dennes uppgifter och ersätta denne vid frånvaro eller förhinder. 2. Den europeiska datatillsynsmannen skall utses bland personer vars oberoende är ställt utom varje tvivel och som har erkänd erfarenhet och sakkunskap för att utföra uppgifterna som europeisk datatillsynsman, t.ex. på grund av att han för närvarande tillhör eller tidigare har tillhört en av de tillsynsmyndigheter som avses i artikel 28 i direktiv 95/46/EG. 3. Den europeiska datatillsynsmannen kan omväljas. 4. Med undantag av normal nytillsättning eller dödsfall skall de uppgifter som åligger den europeiska datatillsynsmannen upphöra då han avgår eller avsätts från sin tjänst enligt punkt 5. 5. Den europeiska datatillsynsmannen kan på begäran av Europaparlamentet, rådet eller kommissionen avsättas eller fråntas sina pensionsrättigheter eller andra förmåner av Europeiska gemenskapernas domstol, om han inte längre uppfyller de krav som ställs för att han skall kunna utföra sina uppgifter eller om han gjort sig skyldig till allvarlig försummelse. 6. Vid normal nytillsättning och begäran om entledigande skall den europeiska datatillsynsmannen emellertid kvarstå i tjänst tills han har fått en ersättare. 7. Artiklarna 12-15 och 18 i protokollet om Europeiska gemenskapernas immunitet och privilegier skall också vara tillämpliga på den europeiska datatillsynsmannen. 8. Punkterna 2-7 skall vara tillämpliga på den biträdande datatillsynsmannen. Artikel 43 Föreskrifter och allmänna villkor för hur den europeiska datatillsynsmannen skall utöva sitt ämbete samt om personal och finansiella medel 1. Europaparlamentet, rådet och kommissionen skall i samförstånd fastställa föreskrifter och allmänna villkor för hur den europeiska datatillsynsmannen skall utöva sitt ämbete och i synnerhet hans lön, tillägg och andra anställningsförmåner. 2. Budgetmyndigheten skall se till att den europeiska datatillsynsmannen erhåller den personal och de finansiella medel som behövs för att han skall kunna fullgöra sina uppgifter. 3. Budgeten för den europeiska datatillsynsmannen skall finnas under en särskild budgetpost i avsnitt VIII i Europeiska unionens allmänna budget. 4. Den europeiska datatillsynsmannen skall biträdas av ett sekretariat. Tjänstemännen och övriga anställda vid sekretariatet skall utses av den europeiska datatillsynsmannen, som skall vara deras överordnade, och de skall endast stå under hans ledning. Deras antal skall fastställas varje år inom ramen för budgetförfarandet. 5. Tjänstemän och övriga anställda vid den europeiska datatillsynsmannens sekretariat skall omfattas av de förordningar och regler som tillämpas på tjänstemän och övriga anställda i Europeiska gemenskaperna. 6. I personalfrågor skall den europeiska datatillsynsmannen ha samma ställning som institutionerna enligt artikel 1 i tjänsteföreskrifterna för tjänstemän i Europeiska gemenskaperna. Artikel 44 Oberoende 1. Den europeiska datatillsynsmannen skall vara fullständigt oberoende i sin tjänsteutövning. 2. Den europeiska datatillsynsmannen skall i sin tjänsteutövning varken begära eller ta emot instruktioner av någon. 3. Den europeiska datatillsynsmannen skall avstå från alla handlingar som står i strid med hans tjänsteutövning och under sin ämbetstid avstå från all annan avlönad eller oavlönad yrkesverksamhet. 4. Efter sin ämbetstid skall den europeiska datatillsynsmannen visa integritet och omdöme i fråga om att acceptera utnämningar och ta emot förmåner. Artikel 45 Tystnadsplikt Både under och efter sin ämbetstid skall den europeiska datatillsynsmannen och hans personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen. Artikel 46 Uppgifter Den europeiska datatillsynsmannen skall a) höra och utreda klagomål och informera berörd person om resultatet inom rimlig tid, b) leda utredningar, antingen på eget initiativ eller på grundval av ett klagomål, och informera berörda personer om resultatet inom rimlig tid, c) övervaka och säkerställa tillämpningen av denna förordning och alla andra gemenskapsrättsakter som rör skydd av fysiska personer i samband med en gemenskapsinstitutions eller ett gemenskapsorgans behandling av personuppgifter, med undantag av Europeiska gemenskapernas domstol i dess rättskipande funktion, d) ge råd åt alla gemenskapsinstitutioner och gemenskapsorgan, antingen på eget initiativ eller som svar på en begäran om rådfrågning, i alla frågor som rör behandling av personuppgifter, särskilt innan de utarbetar interna bestämmelser om skydd av enskildas grundläggande fri- och rättigheter i samband med behandlingen av personuppgifter, e) övervaka relevant utveckling i den mån den påverkar skyddet av personuppgifter, särskilt inom informations- och kommunikationsteknik, f) i) samarbeta med de nationella tillsynsmyndigheter som avses i artikel 28 i direktiv 95/46/EG i de länder i vilka det direktivet gäller, i den omfattning som behövs för att de skall kunna fullgöra sina respektive uppgifter, särskilt genom utbyte av all användbar information, genom att begära att en sådan myndighet eller ett sådant organ utövar sina befogenheter eller genom att besvara en anmodan från en sådan myndighet eller ett sådant organ, ii) även samarbeta med de tillsynsmyndigheter för dataskydd som upprättas i enlighet med avdelning VI i Fördraget om Europeiska unionen för att bland annat förbättra enhetligheten i tillämpningen av de regler och förfaranden vars efterlevnad de har ansvaret för att säkerställa, g) delta i arbetet inom den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättades genom artikel 29 i direktiv 95/46/EG, h) fastställa, motivera och offentliggöra de undantag, skyddsåtgärder, tillstånd och villkor som anges i artiklarna 10.2 b, 10.4, 10.5, 10.6, 12.2, 19 samt i artikel 37.2, i) föra ett register över de behandlingar som meddelats honom enligt artikel 27.2 och registrerats i enlighet med artikel 27.5 och tillhandahålla medel för att göra de register som förs av uppgiftsskyddsombuden tillgängliga i enlighet med artikel 26, j) utföra en förhandskontroll av sådana behandlingar som meddelas honom, k) anta sin arbetsordning. Artikel 47 Befogenheter 1. Den europeiska datatillsynsmannen får a) ge registrerade råd när de utövar sina rättigheter, b) hänskjuta ärendet till den registeransvarige vid en påstådd kränkning av bestämmelserna om behandling av personuppgifter och vid behov lämna förslag om hur kränkningen kan rättas till och hur skyddet för de registrerade kan förbättras, c) beordra att en begäran om att utöva vissa rättigheter när det gäller uppgifter skall uppfyllas när en sådan begäran har vägrats i strid med artiklarna 13-19, d) ge den registeransvarige en varning eller en tillrättavisning, e) beordra rättelse, blockering, utplåning eller förstöring av alla uppgifter, när de har behandlats på ett sätt som står i strid med bestämmelserna för behandling av personuppgifter, samt underrättelse om sådana åtgärder till tredje man till vilken uppgifterna har lämnats ut, f) tillfälligt eller definitivt förbjuda behandling, g) rapportera ärendet till de gemenskapsinstitutioner eller de gemenskapsorgan som berörs och vid behov till Europaparlamentet, rådet och kommissionen, h) väcka talan i Europeiska gemenskapernas domstol på de villkor som anges i fördraget, i) intervenera i ärenden vid Europeiska gemenskapernas domstol. 2. Den europeiska datatillsynsmannen skall ha befogenhet att a) av en registeransvarig eller en gemenskapsinstitution eller ett gemenskapsorgan få tillgång till alla personuppgifter och all information som behövs för hans utredningar, b) få tillgång till alla lokaler där en registeransvarig eller en gemenskapsinstitution eller ett gemenskapsorgan bedriver sin verksamhet, om det finns rimliga skäl att anta att där bedrivs en verksamhet som avses i denna förordning. Artikel 48 Verksamhetsrapport 1. Den europeiska datatillsynsmannen skall lämna en årlig rapport om sin verksamhet till Europaparlamentet, rådet och kommissionen och samtidigt offentliggöra rapporten. 2. Den europeiska datatillsynsmannen skall vidarebefordra verksamhetsrapporten till övriga gemenskapsinstitutioner och gemenskapsorgan, som får lämna kommentarer inför en eventuell granskning av rapporten av Europaparlamentet, särskilt när det gäller beskrivningen av de åtgärder som vidtagits som svar på anmärkningar från den europeiska datatillsynsmannen enligt artikel 31. KAPITEL VI SLUTBESTÄMMELSER Artikel 49 Påföljder Om en tjänsteman eller annan anställd vid Europeiska gemenskaperna inte uppfyller de förpliktelser som åligger dem enligt denna förordning, avsiktligt eller på grund av försumlighet, skall denne bli föremål för disciplinära åtgärder enligt de regler och förfaranden som föreskrivs i tjänsteföreskrifterna för tjänstemännen vid Europeiska gemenskaperna eller i de anställningsvillkor som tillämpas på övriga anställda. Artikel 50 Övergångsperiod Gemenskapsinstitutionerna och gemenskapsorganen skall säkerställa att behandling som redan pågår det datum när denna förordning träder i kraft uppfyller kraven i denna förordning inom ett år efter detta datum. Artikel 51 Ikraftträdande Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska gemenskapernas officiella tidning. Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater. Utfärdad i Bryssel den 18 december 2000. På Europaparlaments vägnar N. Fontaine Ordförande På rådets vägnar D. Voynet Ordförande (1) EGT C 376 E, 28.12.1999, s. 24. (2) EGT C 51, 23.2.2000, s. 48. (3) Europaparlamentets yttrande av den 14 november 2000 och rådets beslut av den 30 november 2000. (4) EGT L 281, 23.11.1995, s. 31. (5) EGT L 24, 30.1.1998, s. 1. (6) EGT L 52, 22.2.1997, s. 1. (7) EGT L 318, 27.11.1998, s. 8. (8) EGT L 151, 15.6.1990, s. 1. Förordningen ändrad genom förordning (EG) nr 322/97 (EGT L 52, 22.2.1997, s. 1). BILAGA 1. Uppgiftsskyddsombudet kan ge rekommendationer för den praktiska förbättringen av uppgiftsskyddet till den gemenskapsinstitution eller det gemenskapsorgan som utsåg honom och ge råd till dessa och till berörd registeransvarig i frågor som avser tillämpningen av bestämmelser om skydd av uppgifter. Dessutom får han, på eget initiativ eller på begäran av den gemenskapsinstitution eller det gemenskapsorgan som utsåg honom, registeransvarig, den berörda personalkommittén eller varje enskild person, utreda frågor och händelser som har direkt samband med hans uppgifter och som kommer till hans kännedom och rapportera tillbaka till den person som beställde undersökningen eller till registeransvarig. 2. Uppgiftsskyddsombudet kan i alla frågor som rör tolkningen eller tillämpningen av denna förordning rådfrågas av den gemenskapsinstitution eller det gemenskapsorgan som utsåg honom, berörd registeransvarig, den berörda personalkommittén och varje enskild person, utan att dessa behöver gå den officiella vägen. 3. Ingen skall lida förfång på grund av att han gör det behöriga uppgiftsskyddsombudet uppmärksam på en händelse som påstås utgöra en överträdelse av bestämmelserna i denna förordning har ägt rum. 4. Det åligger varje berörd registeransvarig att hjälpa uppgiftsskyddsombudet att fullgöra dennes uppgifter och att ge den information som ombudet begär. I sitt arbete skall uppgiftsskyddsombudet alltid ha tillgång till de uppgifter som behandlas och beredas tillträde till alla kontor, installationer för behandling av uppgifter och databärare. 5. Uppgiftsskyddsombudet skall i den utsträckning som krävs befrias från andra uppgifter. Det åligger uppgiftsskyddsombudet och dennes personal, som omfattas av artikel 287 i fördraget, att inte sprida den information eller de dokument som de kommer i kontakt med då de fullgör sina uppgifter.