ISSN 1977-0820 |
||
Europeiska unionens officiella tidning |
L 295 |
|
Svensk utgåva |
Lagstiftning |
61 årgången |
|
|
|
(1) Text av betydelse för EES. |
SV |
De rättsakter vilkas titlar är tryckta med fin stil är sådana rättsakter som har avseende på den löpande handläggningen av jordbrukspolitiska frågor. De har normalt en begränsad giltighetstid. Beträffande alla övriga rättsakter gäller att titlarna är tryckta med fetstil och föregås av en asterisk. |
I Lagstiftningsakter
FÖRORDNINGAR
21.11.2018 |
SV |
Europeiska unionens officiella tidning |
L 295/1 |
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2018/1724
av den 2 oktober 2018
om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012
(Text av betydelse för EES)
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 21.2 och 114.1,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),
i enlighet med det ordinarie lagstiftningsförfarandet (2), och
av följande skäl:
(1) |
Den inre marknaden är en av unionens mest påtagliga framgångar. Den fria rörligheten för människor, varor, tjänster och kapital ger privatpersoner och företag nya möjligheter. Denna förordning är en viktig del av strategin för den inre marknaden, som inrättades genom kommissionens meddelande av den 28 oktober 2015 med titeln Att förbättra den inre marknaden – bättre möjligheter för individer och företag. Strategin syftar till att frigöra hela potentialen i den inre marknaden genom att göra det enklare för privatpersoner och företag att flytta inom unionen, bedriva handel, etablera sig och utöka sin verksamhet över landsgränserna. |
(2) |
I kommissionens meddelande av den 6 maj 2015 med titeln En strategi för en inre digital marknad i Europa konstaterades att internet och digital teknik förändrar våra liv och hur privatpersoner och företag får tillgång till information, skaffar sig kunskap, köper varor och tjänster, deltar och arbetar på marknaden, vilket öppnar möjligheter till innovation, tillväxt och jobb. Vidare konstaterades i det meddelandet och i flera resolutioner antagna av Europaparlamentet att privatpersoners och företags behov både i sina egna och andra länder skulle kunna tillgodoses bättre om befintliga portaler, webbplatser, nätverk, tjänster och system på europeisk nivå byggdes ut, integrerades med varandra och kopplades till olika nationella lösningar, vilket skulle skapa en gemensam digital ingång som skulle fungera som en gemensam europeisk kontaktpunkt (nedan kallad ingången). Kommissionens meddelande av den 19 april 2016 med titeln EU:s handlingsplan för e-förvaltning för 2016–2020 – Snabbare digital omvandling av förvaltningar angav ingången som en av unionens åtgärder 2017. I kommissionens rapport av den 24 januari 2017 med titeln Stärka medborgarnas rättigheter i en union av demokratisk förändring – Rapport om EU-medborgarskapet 2017 ansågs ingången som en prioritet för unionsmedborgarnas rättigheter. |
(3) |
Europaparlamentet och rådet har upprepade gånger efterlyst ett mer omfattande och användarvänligt informations- och hjälppaket för att göra det lättare för privatpersoner och företag att hitta rätt på den inre marknaden och för att förstärka och effektivisera verktygen på den inre marknaden så att behoven hos privatpersoner och företag som utför ärenden eller bedriver verksamhet över gränserna bättre kan tillgodoses. |
(4) |
Denna förordning utgör ett svar på dessa önskemål, eftersom den kommer att ge privatpersoner och företag enkel tillgång till den information, de förfaranden samt de hjälp- och problemlösningstjänster som de behöver för att kunna utöva sina rättigheter på den inre marknaden. Ingången skulle kunna bidra till ökad insyn i regler och föreskrifter som rör olika händelser i företags- och privatlivet på områden som till exempel resor, pension, utbildning, sysselsättning, hälso- och sjukvård, konsumenträttigheter och familjerättigheter. Den skulle dessutom kunna bidra till att öka konsumenternas förtroende, åtgärda de bristande kunskaperna om konsumentskydd och reglerna för den inre marknaden och minska företagens kostnader för att följa reglerna. Genom denna förordning inrättas en användarvänlig och interaktiv ingång, som på grundval av användarnas behov bör vägleda dem till de lämpligaste tjänsterna. I detta sammanhang bör kommissionen och medlemsstaterna spela en viktig roll för att målen ska uppnås. |
(5) |
Ingången bör underlätta kommunikationen mellan privatpersoner och företag, å ena sidan, och behöriga myndigheter, å andra sidan, genom att ge tillgång till onlinelösningar som underlättar den dagliga verksamheten för privatpersoner och företag samt minimerar hinder som uppstår på den inre marknaden. En gemensam digital ingång som ger tillgång online till korrekt och aktuell information, till förfaranden och till hjälp- och problemlösningstjänster skulle kunna öka användarnas medvetenhet om de olika onlinetjänster som finns och göra att de sparar tid och pengar. |
(6) |
Denna förordning har tre syften, nämligen att minska ytterligare administrativa bördor för privatpersoner och företag som i full överensstämmelse med nationella regler och förfaranden utövar eller vill utöva sina rättigheter på den inre marknaden, bland annat den fria rörligheten för personer, att eliminera diskriminering samt att säkerställa att den inre marknaden fungerar i fråga om att tillhandahålla information, förfaranden samt hjälp- och problemlösningstjänster. Eftersom denna förordning täcker fri rörlighet för personer, vilket inte kan anses vara av rent underordnad betydelse, bör den baseras på artiklarna 21.2 och 114.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). |
(7) |
För att privatpersoner och företag i unionen ska kunna utöva sin rätt till fri rörlighet på den inre marknaden bör unionen anta specifika, icke-diskriminerande åtgärder som ger dem enkel tillgång till tillräckligt utförlig och tillförlitlig information om de rättigheter som unionsrätten ger dem och till information om tillämpliga nationella regler och förfaranden som de måste följa när de flyttar till, bor i, studerar i eller etablerar eller bedriver verksamhet i en annan medlemsstat än sin egen. Information bör anses vara tillräckligt utförlig om den inbegriper all den information som användarna behöver för att förstå sina rättigheter och skyldigheter och beskriver de regler som gäller för den verksamhet de vill bedriva som användare i ett annat land. Informationen bör uttryckas på ett tydligt, koncist och begripligt sätt och vara funktionell och väl anpassad till målgruppen. Informationen om förfaranden bör omfatta alla förutsebara led i förfarandet som är relevanta för användaren. Det är viktigt för privatpersoner och företag som möter komplicerade regelverk, till exempel de som är verksamma inom e-handeln och delningsekonomin, att de på ett enkelt sätt kan ta reda på vilka regler som gäller och hur de tillämpas på deras verksamhet. Enkel och användarvänlig tillgång till information innebär att det blir lätt för användarna att hitta information, att avgöra vilka delar av informationen som är relevanta för deras specifika situation och att förstå den relevanta informationen. Den information som ska tillhandahållas på nationell nivå bör inte bara avse nationella regler som genomför unionsrätten, utan även eventuella andra nationella regler som gäller för både inhemska användare och användare i gränsöverskridande situationer. |
(8) |
Regler om tillhandahållande av information i denna förordning bör inte tillämpas på nationella rättssystem, eftersom information på det området som är relevant för användare i andra länder redan ingår i e-juridikportalen. I vissa situationer som omfattas av denna förordning bör domstolar anses vara behöriga myndigheter, till exempel när domstolar förvaltar företagsregister. Dessutom bör principen om icke-diskriminering även gälla för onlineförfaranden som ger tillgång till domstolsförfaranden. |
(9) |
Det är tydligt att privatpersoner och företag från andra medlemsstater kan missgynnas på grund av att de inte känner till nationella regler och administrativa system, de språk som används samt att de befinner sig geografiskt långt från de behöriga myndigheterna i andra medlemsstater än den egna. Det effektivaste sättet att minska de hinder på den inre marknaden som detta är förknippat med är att ge användare i gränsöverskridande situationer och inhemska användare tillgång till information online, på ett språk som de kan förstå, så att de förfaranden som krävs enligt nationella regler kan utföras helt online. Användarna bör även erbjudas hjälp om reglerna och förfarandena inte är tillräckligt tydliga eller om de stöter på hinder när de utövar sina rättigheter. |
(10) |
Många unionsakter har syftat till att tillhandahålla lösningar genom att inrätta en enda sektorsspecifik kontaktpunkt, bland annat de gemensamma kontaktpunkter som inrättats genom Europaparlamentets och rådets direktiv 2006/123/EG (3) som via internet erbjuder information, hjälptjänster och tillgång till förfaranden som är relevanta för tillhandahållande av tjänster, kontaktpunkter för produkter som inrättats genom Europaparlamentets och rådets förordning (EG) nr 764/2008 (4) och kontaktpunkter för byggprodukter som inrättats genom Europaparlamentets och rådets förordning (EU) nr 305/2011 (5) som ger tillgång till produktspecifika tekniska regler samt nationella rådgivningscentrum för yrkeskvalifikationer som inrättats genom Europaparlamentets och rådets direktiv 2005/36/EG (6) som hjälper yrkesutövare som flyttar över landsgränserna. Dessutom har det upprättats nätverk, t.ex. europeiska konsumentcentrum, vilkas syfte är att öka förståelsen om europeiska konsumenters rättigheter och hjälpa till att lösa klagomål som rör inköp i andra medlemsstater i nätverket som har gjorts under resor eller på nätet. Vidare finns nätverket Solvit, som det hänvisas till i kommissionens rekommendation 2013/461/EU (7), vilket syftar till att ge privatpersoner och företag snabba, effektiva och informella lösningar på problem som de möter när myndigheterna inte respekterar deras rättigheter på den inre marknaden. Slutligen har flera informationsportaler inrättats för att upplysa användare om unionsregler och nationella regler, exempelvis Ditt Europa för den inre marknaden och den europeiska e-juridikportalen som rör rättsliga frågor. |
(11) |
På grund av sektorsuppdelningen i dessa unionsrättsakter är information, hjälp- och problemlösningstjänster samt förfaranden online för privatpersoner och företag fortfarande högst fragmenterade. Tillgängligheten till information och förfaranden online varierar, det finns kvalitetsbrister när det gäller tjänsterna och det saknas medvetenhet om informationen och hjälp- och problemlösningstjänsterna i fråga. Användare i gränsöverskridande situationer har även problem att hitta och använda tjänsterna. |
(12) |
Denna förordning bör skapa en gemensam digital ingång som kontaktpunkt genom vilken privatpersoner och företag kan få information om vilka regler och krav som gäller för dem enligt unionsrätt eller nationell rätt. Ingången bör förenkla och effektivisera privatpersonernas och företagens kontakt med hjälp- och problemlösningstjänsterna på unionsnivå eller nationell nivå. Ingången bör också göra det enklare att få tillgång till och utföra onlineförfaranden. Denna förordning bör inte på något sätt påverka befintliga rättigheter och skyldigheter enligt unionsrätt eller nationell rätt inom de politikområdena. För de förfaranden som förtecknas i bilaga II till denna förordning och de förfaranden som föreskrivs i Europaparlamentets och rådets direktiv 2005/36/EG och 2006/123/EG, samt i 2014/24/EU (8) och 2014/25/EU (9), bör denna förordning stödja användningen av engångsprincipen, och fullt ut respektera den grundläggande rätten till skydd av personuppgifter, för utbyte av bevis mellan behöriga myndigheter i olika medlemsstater. |
(13) |
Ingången och dess innehåll bör vara användarcentrerade och användarvänliga. Ingången bör sträva efter att undvika överlappningar och bör tillhandahålla länkar till befintliga tjänster. Den bör göra det möjligt för privatpersoner och företag att kommunicera med offentliga organ på nationell nivå och unionsnivå genom att ge dem möjlighet att lämna synpunkter både på de tjänster som erbjuds genom ingången och på hur de upplever att den inre marknaden fungerar. Med hjälp av verktyget för återkoppling bör användarna, på ett sätt som gör det möjligt för dem att förbli anonyma, kunna påpeka upplevda problem, brister och behov, så att tjänsternas kvalitet hela tiden kan förbättras. |
(14) |
Hur framgångsrik ingången blir beror på kommissionens och medlemsstaternas gemensamma insats. Ingången bör ha ett gemensamt användargränssnitt som integreras i den befintliga portalen Ditt Europa som kommer att förvaltas av kommissionen. Det gemensamma användargränssnittet bör ha länkar till information, förfaranden samt hjälp- och problemlösningstjänster som finns på portaler som förvaltas av medlemsstaternas behöriga myndigheter och av kommissionen. För att ingången ska bli mer användarvänlig bör det gemensamma gränssnittet finnas på unionsinstitutionernas samtliga officiella språk (nedan kallade officiella unionsspråk). Den befintliga portalen Ditt Europa och dess ingångssida, som bör anpassas till de krav som ställs av ingången, bör ha som praxis att information tillhandahålls på flera språk. Ingångens funktion bör stödjas av tekniska verktyg som kommissionen utvecklar i nära samarbete med medlemsstaterna. |
(15) |
I stadgan för elektroniska gemensamma kontaktpunkter enligt direktiv 2006/123/EG, som antogs av rådet 2013, åtog sig medlemsstaterna frivilligt att inta en användarcentrerad hållning i tillhandahållandet av information genom de gemensamma kontaktpunkterna, i syfte att täcka områden som är särskilt viktiga för företag, som moms, inkomstskatt samt socialförsäkrings- och arbetsrättsliga krav. Med utgångspunkt i stadgan och mot bakgrund av erfarenheten av portalen Ditt Europa bör informationen dessutom inbegripa en beskrivning av hjälp- och problemlösningstjänsterna. Privatpersoner och företag bör kunna använda dessa tjänster när de har problem med att förstå informationen och hur den ska tillämpas på deras situation, eller när de har problem med att utföra ett förfarande. |
(16) |
Denna förordning bör förteckna de informationsområden som är relevanta för privatpersoner och företag som utövar sina rättigheter och fullgör sina skyldigheter på den inre marknaden. För dessa områden bör tillräckligt utförlig information tillhandahållas på nationell nivå, inbegripet på regional och lokal nivå, och på unionsnivå med förklaringar av gällande regler och skyldigheter samt de förfaranden som privatpersoner och företag behöver utföra för att efterleva dessa regler och skyldigheter. I syfte att säkerställa kvaliteten på de tjänster som erbjuds bör den information som tillhandahålls genom ingången vara tydlig, korrekt och aktuell. Användningen av komplex terminologi bör minimeras, och användningen av akronymer bör begränsas till förenklade och lättbegripliga begrepp som inte kräver förkunskaper om frågan eller lagområdet. Informationen bör tillhandahållas på ett sådant sätt att användarna lätt kan förstå de grundläggande regler och krav som gäller för deras situation i fråga om sådana områden. Användarna bör också informeras om att det i vissa medlemsstater inte finns några nationella regler inom de informationsområden som förtecknas i bilaga I till denna förordning, särskilt om dessa områden omfattas av nationella regler i andra medlemsstater. Sådan information om frånvaron av nationella regler skulle kunna införas i portalen Ditt Europa. |
(17) |
När så är möjligt bör information som redan samlats in av kommissionen från medlemsstaterna enligt befintlig unionsrätt eller befintliga frivilliga arrangemang, såsom information som insamlats för Euresportalen, som inrättades genom Europaparlamentets och rådets förordning (EU) 2016/589 (10), e-juridikportalen, som inrättades genom rådets beslut 2001/470/EG (11), eller databasen över reglerade yrken, som inrättades genom direktiv 2005/36/EG, användas i fråga om en del av den information som ska göras tillgänglig för privatpersoner och företag på unionsnivå och nationell nivå i enlighet med den här förordningen. Medlemsstaterna bör på sina nationella webbplatser inte vara skyldiga att tillhandahålla information som redan finns tillgänglig i relevanta databaser som förvaltas av kommissionen. Om medlemsstaterna redan är skyldiga att tillhandahålla onlineinformation enligt andra unionsakter, såsom Europaparlamentets och rådets direktiv 2014/67/EU (12), bör det vara tillräckligt att medlemsstaterna tillhandahåller länkar till befintlig onlineinformation. På politikområden som redan har harmoniserats fullt ut genom unionsrätten, exempelvis konsumenträttigheter, bör informationen på unionsnivå i allmänhet vara tillräcklig för att användarna ska kunna förstå sina relevanta rättigheter och skyldigheter. I dessa fall bör medlemsstaterna endast behöva tillhandahålla ytterligare information om sina nationella administrativa förfaranden och hjälptjänster eller andra nationella administrativa regler om det är av relevans för användarna. Information om exempelvis konsumenträttigheter bör inte påverka avtalsrätten, utan bör snarare endast informera användarna om deras rättigheter enligt unionsrätt och nationell rätt i samband med affärstransaktioner. |
(18) |
Denna förordning bör förbättra inremarknadsdimensionen i onlineförfaranden, och därigenom bidra till digitaliseringen av den inre marknaden, genom att den allmänna principen om icke-diskriminering upprätthålls bland annat när det gäller privatpersoners eller företags tillgång till sådana onlineförfaranden som redan inrättats på nationell nivå utifrån nationell rätt eller unionsrätt och förfaranden som ska göras helt tillgängliga online i enlighet med denna förordning. Om en användare i en situation som är exklusivt begränsad till en enda medlemsstat kan få tillgång till och utföra ett förfarande online i den medlemsstaten på ett område som omfattas av denna förordning, bör en användare i gränsöverskridande situationer också kunna ha tillgång till och kunna utföra förfarandet online, genom att använda antingen samma tekniska lösning eller en alternativ, tekniskt separat lösning som får samma resultat, utan några diskriminerande hinder. Sådana hinder kan utgöras av nationellt utformade lösningar, såsom blanketter som bara godtar nationella telefonnummer, nationella prefix för telefonnummer eller nationella postnummer, att avgifter bara kan betalas via system som inte tillåter gränsöverskridande betalningar, avsaknaden av detaljerade förklaringar på ett språk som förstås av användare i gränsöverskridande situationer, att det inte går att skicka in elektroniska bevis från myndigheter i andra medlemsstater eller att medel för elektronisk identifiering som utfärdats i andra medlemsstater inte godtas. Medlemsstaterna bör tillhandahålla lösningar för sådana hinder. |
(19) |
När användare utför onlineförfaranden över landsgränser bör de kunna få alla relevanta förklaringar på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i andra länder. Detta innebär inte att medlemsstaterna måste översätta sina administrativa formulär som hör till förfarandet eller resultatet av förfarandet till det språket. Medlemsstaterna uppmuntras emellertid att använda tekniska lösningar som skulle göra det möjligt för användarna att i så många fall som möjligt utföra förfarandena på det språket, samtidigt som medlemsstaternas regler för språkanvändning respekteras. |
(20) |
Nationella onlineförfaranden som är relevanta för att användare i andra länder ska kunna utöva sina rättigheter på den inre marknaden beror på huruvida de är bosatta eller etablerade i den berörda medlemsstaten eller vill ha tillgång till förfarandena i den medlemsstaten trots att de är bosatta eller etablerade i en annan medlemsstat. Denna förordning bör inte hindra att medlemsstater kräver att användare från andra länder som är bosatta eller etablerade på deras territorium erhåller ett nationellt identifieringsnummer i syfte att få tillgång till de nationella förfarandena online, förutsatt att detta inte medför en omotiverad ytterligare börda eller kostnad för dessa användare. För användare i andra länder som inte är bosatta eller etablerade i den berörda medlemsstaten behöver nationella onlineförfaranden som inte är relevanta för utövandet av deras rättigheter på den inre marknaden, exempelvis registrering för att få tillgång till lokala tjänster såsom sophämtning och parkeringstillstånd, inte göras helt tillgängliga online. |
(21) |
Denna förordning bör bygga på Europaparlamentets och rådets förordning (EU) nr 910/2014 (13), som fastställer på vilka villkor medlemsstaterna erkänner vissa medel för elektronisk identifiering för fysiska och juridiska personer som omfattas av en annan medlemsstats anmälda system för elektronisk identifiering. Förordning (EU) nr 910/2014 fastställer de villkor enligt vilka användare har rätt att använda sina medel för elektronisk identifiering och autentisering för att få tillgång till offentliga tjänster online i gränsöverskridande situationer. Unionens institutioner, organ och byråer uppmuntras att godta medel för elektronisk identifiering och autentisering för de förfaranden som de ansvarar för. |
(22) |
Ett antal sektorsspecifika unionsakter, t.ex. direktiven 2005/36/EG, 2006/123/EG, 2014/24/EU och 2014/25/EU, innehåller krav på att förfaranden ska vara helt tillgängliga online. Denna förordning bör kräva att ett antal andra förfaranden som är centrala för de flesta privatpersoner och företag som utövar sina rättigheter och fullgör sina skyldigheter över gränserna också görs helt tillgängliga online. |
(23) |
För att privatpersoner och företag direkt ska kunna dra nytta av den inre marknaden utan att drabbas av onödiga ytterligare administrativa bördor, bör denna förordning innehålla krav på en fullständig digitalisering av användargränssnittet för vissa viktiga förfaranden för användare i andra länder. Dessa förfaranden förtecknas i bilaga II till denna förordning. Denna förordning bör också fastställa kriterier för hur ett förfarande ska bedöms som helt online. Skyldigheten att göra sådana förfaranden helt tillgängliga online bör gälla endast om förfarandena har inrättats i den berörda medlemsstaten. Inledande registrering av en affärsverksamhet, de förfaranden som leder till bildande av bolag som juridiska personer eller senare anmälan av sådana bolag bör emellertid inte omfattas av denna förordning, eftersom sådana förfaranden kräver en heltäckande strategi med syfte att främja digitala lösningar under ett företags hela livscykel. När företag etablerar sig i en annan medlemsstat måste de registrera sig i ett socialförsäkringssystem och ett försäkringssystem, så att de kan anmäla sina anställda till dessa och betala avgifter till båda systemen. De kan behöva anmäla sin affärsverksamhet, skaffa tillstånd eller registrera ändring av affärsverksamhet. Dessa förfaranden måste utföras av företag som bedriver verksamhet i många sektorer av ekonomin, och det är därför lämpligt att kräva att förfarandena görs tillgängliga online. |
(24) |
Denna förordning bör förtydliga vad det innebär att erbjuda ett förfarande helt online. Ett förfarande bör anses vara helt online om användaren kan gå igenom alla leden i ett förfarande, från tillgång till slutförande, kommunikationen med den behöriga myndigheten (nedan kallad front office) elektroniskt, på distans och via en onlinetjänst. Denna onlinetjänst bör vägleda användaren genom en förteckning över de krav som ska uppfyllas och de bevis som ska tillhandahållas. Tjänsten bör göra det möjligt för användaren att tillhandahålla information och bevis på överensstämmelse enligt kraven och bör förse användaren med ett automatiskt mottagningsbevis, såvida inte resultatet av förfarandet tillhandahålls omedelbart. Detta bör inte hindra de behöriga myndigheterna från att vid behov kontakta användarna direkt för att få ytterligare klargöranden som är nödvändiga för förfarandet. Resultatet av förfarandet, såsom det fastställs i denna förordning, bör även tillhandahållas användaren av de behöriga myndigheterna på elektronisk väg där detta är möjligt enligt tillämplig unionsrätt eller nationell rätt. |
(25) |
Denna förordning bör inte påverka innehållet i de förfaranden som förtecknas i bilaga II och som fastställs på nationell, regional eller lokal nivå, och den fastställer inga materiella regler eller procedurregler inom de områden som omfattas av bilaga II, inbegripet skattefrågor. Syftet med denna förordning är att fastställa de tekniska kraven för att säkerställa att sådana förfaranden, i de fall sådana har inrättats i den berörda medlemsstaten, görs tillgängliga helt online. |
(26) |
Denna förordning bör inte påverka de nationella myndigheternas befogenheter i ett förfarande, däribland kontroll av korrekthet och giltighet hos den information eller de bevis som skickats in och kontroll av äktheten om bevis skickas in på annat sätt än via det tekniska system som bygger på engångsprincipen. Denna förordning bör heller inte påverka arbetsflöden inom och mellan behöriga myndigheter (nedan kallat back office), oberoende av om de är digitaliserade eller inte. Som en del av förfarandena för att registrera ändring av affärsverksamhet bör medlemsstaterna när det är nödvändigt kunna fortsätta att begära att notarier eller jurister deltar, vilka kan vilja använda kontrollmetoder som videokonferenser eller andra onlineverktyg som medger audiovisuell förbindelse i realtid. Detta deltagande bör emellertid inte hindra att förfaranden för att registrera sådana ändringar utförs helt online. |
(27) |
I vissa fall kan användarna behöva lämna in bevis på fakta som inte kan fastställas online. Sådana bevis kan till exempel vara läkarintyg, levnadsbevis och trafiksäkerhetsintyg för motorfordon eller bekräftelse av chassinummer. Så länge sådana bevis kan lämnas in i elektroniskt format bör detta inte utgöra ett undantag från principen att ett förfarande bör erbjudas helt online. I andra fall kan det fortfarande vara nödvändigt att användare inställer sig personligen hos en behörig myndighet som ett led i ett onlineförfarande. Alla undantag, utom de som följer av unionsrätten, bör begränsas till situationer där det är motiverat av tvingande hänsyn till allmänintresset på områdena allmän säkerhet, folkhälsa eller bedrägeribekämpning. För att säkerställa insyn bör medlemsstaterna upplysa kommissionen och de övriga medlemsstaterna om sådana undantag och om de grunder och omständigheter som ger möjlighet att tillämpa dem. Medlemsstaterna bör inte vara skyldiga att rapportera om varje enskilt fall då det i undantagsfall krävts fysisk närvaro, utan snarare upplysa om de nationella bestämmelser där detta föreskrivs. I detta sammanhang bör bästa praxis på nationell nivå och teknisk utveckling som möjliggör vidare digitalisering diskuteras regelbundet i en samordningsgrupp för ingången. |
(28) |
I gränsöverskridande situationer kan förfarandet för att registrera en adressändring bestå av två separata förfaranden – ett i ursprungsmedlemsstaten för att begära avregistrering från den gamla adressen, och ett annat i destinationsmedlemsstaten för att begära registrering på den nya adressen. Båda förfarandena bör omfattas av denna förordning. |
(29) |
Eftersom digitaliseringen av krav, förfaranden och formaliteter när det gäller erkännande av yrkeskvalifikationer redan omfattas av direktiv 2005/36/EG, bör denna förordning endast omfatta digitaliseringen av förfarandet för att begära akademiskt erkännande av examensbevis, utbildningsbevis eller andra bevis på fullgjorda kurser i fråga om en person som vill börja eller fortsätta studera eller använda en akademisk titel, utöver de formaliteter som gäller för erkännande av yrkeskvalifikationer. |
(30) |
Denna förordning bör inte påverka de regler om samordning av social trygghet som anges i Europaparlamentets och rådets förordningar (EG) nr 883/2004 (14) och (EG) nr 987/2009 (15), som innehåller definitioner av rättigheter och skyldigheter för försäkrade personer och socialförsäkringsinstitutioner, liksom av de förfaranden som är tillämpliga på området för samordning av social trygghet. |
(31) |
Flera nätverk och tjänster har inrättats både på unionsnivå och på nationell nivå för att hjälpa privatpersoner och företag med gränsöverskridande ärenden och verksamhet. Det är viktigt att dessa tjänster, som inbegriper befintliga hjälp- och problemlösningstjänster som inrättats på unionsnivå, såsom de europeiska konsumentcentrumen, rådgivningstjänsten Ditt Europa, Solvit, helpdesken för immateriella rättigheter, Europa direkt och Enterprise Europe Network, ingår i ingången för att säkerställa att alla potentiella användare kan hitta dem. De tjänster som förtecknas i bilaga III har inrättats genom bindande unionsakter, medan andra tjänster fungerar på frivillig grund. Tjänster som inrättats genom bindande unionsakter bör vara bundna av de kvalitetskrav som anges i denna förordning. De tjänster som tillhandahålls på frivillig grund bör uppfylla kvalitetskraven om avsikten är att göra tjänsterna tillgängliga via ingången. Tjänsternas omfattning och karaktär, styrformer, befintliga tidsfrister och hur de fungerar – frivilligt, enligt avtal eller på annan basis – bör inte påverkas av denna förordning. Om exempelvis den hjälp som tillhandahålls är av informell karaktär bör denna förordning inte få till följd att den blir till juridisk rådgivning av bindande karaktär. |
(32) |
Vidare bör medlemsstaterna och kommissionen kunna besluta att till ingången lägga andra nationella hjälp- och problemlösningstjänster som tillhandahålls av behöriga myndigheter eller av privata eller halvprivata enheter, eller offentliga organ, såsom handelskammare eller icke-statliga hjälptjänster för privatpersoner, på de villkor som fastställs i denna förordning. Behöriga myndigheter bör i princip ha ansvaret för att hjälpa privatpersoner och företag med deras eventuella frågor om tillämpliga regler och förfaranden som inte kan utföras helt med hjälp av onlinetjänster. På mycket specialiserade områden, och om de tjänster som tillhandahålls av privata eller halvprivata organ uppfyller användarnas behov, får medlemsstaterna emellertid föreslå kommissionen att den inkluderar dessa tjänster i ingången, förutsatt att tjänsterna uppfyller samtliga villkor i denna förordning och inte är identiska med hjälp- och problemlösningstjänster som redan finns i ingången. |
(33) |
För att användarna ska få hjälp att hitta rätt tjänst bör förordningen omfatta en hjälptjänstsökare som automatiskt vägleder dem till den. |
(34) |
För att ingången ska bli framgångsrik är det viktigt att en minimiförteckning med kvalitetskrav respekteras så att det säkerställs att tillhandahållandet av information och tjänster är tillförlitligt, eftersom hela ingångens trovärdighet annars skulle urholkas. Det övergripande målet med att uppfylla kraven är att säkerställa att informationen eller tjänsten presenteras på ett tydligt och användarvänligt sätt. Det är medlemsstaternas ansvar att fastställa hur informationen presenteras under hela förfarandet så att detta mål uppnås. Även om det till exempel är viktigt att användarna, innan de inleder ett förfarande, får reda på vilka rättsmedel som i allmänhet står till buds vid ett negativt resultat av ett förfarande, är det mycket mer användarvänligt att ge sådan specifik information om hur man i så fall kan gå tillväga i slutet av förfarandet. |
(35) |
Användarnas tillgång till information över gränserna kan förbättras avsevärt genom att informationen görs tillgänglig på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i andra länder. Språket bör i de flesta fall vara det språk som studeras som främmande språk av flest användare i unionen. I vissa specifika fall, särskilt när det gäller information som ska tillhandahållas på lokal nivå av små kommuner i närheten av en medlemsstats gräns, kan det lämpligaste språket emellertid vara det språk som talas som förstaspråk av användarna i den angränsande medlemsstaten. Översättningen från det eller de officiella språken i den berörda medlemsstaten till detta andra officiella unionsspråk bör korrekt återge innehållet i informationen på det ursprungliga språket eller de ursprungliga språken. Översättningen kan begränsas till den information som användarna behöver för att förstå de grundläggande regler och krav som gäller för deras situation. Även om medlemsstaterna bör uppmuntras att översätta så mycket information som möjligt till ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i andra länder, kommer den mängd information som ska översättas enligt denna förordning att vara beroende av de finansiella medel som finns tillgängliga för detta ändamål, särskilt från unionens budget. Kommissionen bör vidta lämpliga åtgärder för att säkerställa att översättningar på ett effektivt sätt tillhandahålls medlemsstaterna på deras begäran. Samordningsgruppen för ingången bör diskutera och ge vägledning om det eller de officiella unionsspråk som denna information bör översättas till. |
(36) |
I enlighet med Europaparlamentets och rådets direktiv (EU) 2016/2102 (16) ska medlemsstaterna säkerställa att deras offentliga organs webbplatser är tillgängliga i enlighet med principerna om möjlighet att uppfatta, hanterbarhet, begriplighet och robust karaktär och att de uppfyller kraven i det direktivet. Kommissionen och medlemsstaterna bör säkerställa efterlevnad av Förenta nationernas konvention om rättigheter för personer med funktionsnedsättning, särskilt artiklarna 9 och 21 i den konventionen, och för att främja tillgång till information för personer med intellektuell funktionsnedsättning bör alternativ på ett lättläst språk tillhandahållas i största möjliga utsträckning och i enlighet med proportionalitetsprincipen. Genom att ratificera respektive ingå (17) den konventionen har medlemsstaterna respektive unionen åtagit sig att vidta ändamålsenliga åtgärder för att säkerställa tillgänglighet till ny teknik och nya system på informations- och kommunikationsområdet, inbegripet internet, för personer med funktionsnedsättning, på samma villkor som för andra, genom att främja tillgänglighet till information för personer med intellektuell funktionsnedsättning och tillhandahålla alternativ på ett lättläst språk i största möjliga utsträckning och proportionellt. |
(37) |
Direktiv (EU) 2016/2102 gäller inte webbplatser och mobila applikationer tillhörande unionens institutioner, organ och byråer, men kommissionen bör säkerställa att det gemensamma användargränssnittet och de webbsidor som den ansvarar för och som ska inkluderas i ingången är tillgängliga för personer med funktionsnedsättning, så att de är möjliga att uppfatta, hanterbara, begripliga och av robust karaktär. Möjlighet att uppfatta innebär att information och komponenter i ett gemensamt användargränssnitt måste presenteras för användare på sätt som de kan uppfatta. Hanterbara innebär att komponenter i ett gemensamt användargränssnitt och navigering måste vara hanterbara. Begripliga innebär att information och hantering av det gemensamma användargränssnittet måste vara begripliga. Robust karaktär innebär att innehållet måste vara robust nog för att kunna tolkas på ett tillförlitligt sätt av ett brett spektrum av användarprogram, inklusive tekniska hjälpmedel. Vad gäller kraven på möjlighet att uppfatta, hanterbarhet, begriplighet och robust karaktär uppmuntras kommissionen att agera i överensstämmelse med relevanta harmoniserade standarder. |
(38) |
I syfte att underlätta betalning av avgifter som krävs som en del av onlineförfaranden eller för tillhandahållande av hjälp- eller problemlösningstjänster bör användare i andra länder kunna använda betalningar eller autogireringar i enlighet med Europaparlamentets och rådets förordning (EU) nr 260/2012 (18) eller andra allmänt förekommande medel för gränsöverskridande betalning, inbegripet bankkort eller kreditkort. |
(39) |
Det är värdefullt för användarna att informeras om vilken tid ett förfarande kan förväntas ta. Därför bör användarna informeras om tillämpliga tidsfrister eller arrangemang för tyst godkännande eller administrativa arrangemang för avsaknad av beslut eller, om sådana inte är tillämpliga, åtminstone om den genomsnittliga, beräknade eller preliminära tid som vanligen krävs för det aktuella förfarandet. Sådana beräkningar eller indikationer bör endast hjälpa användarna att planera sin verksamhet eller eventuella följande administrativa åtgärder och bör inte ha rättslig verkan. |
(40) |
Denna förordning bör också göra det möjligt att kontrollera bevis som användarna tillhandahållit i elektroniskt format, om bevisen skickats utan elektroniskt sigill eller intyg från den utfärdande behöriga myndigheten, eller om det tekniska verktyg som fastställts i denna förordning eller något annat system för direkt utbyte eller kontroll av bevis mellan behöriga myndigheter i olika medlemsstater ännu inte är tillgängligt. För sådana situationer bör förordningen föreskriva en effektiv mekanism för administrativt samarbete mellan medlemsstaternas behöriga myndigheter, baserat på informationssystemet för den inre marknaden (IMI), som inrättades genom Europaparlamentets och rådets förordning (EU) nr 1024/2012 (19). I dessa fall bör en behörig myndighets beslut att använda IMI vara frivilligt, men så snart myndigheten har lämnat in en begäran om information eller samarbete via IMI bör den behöriga myndighet som begäran riktar sig till vara tvungen att samarbeta och ge ett svar. Begäran kan skickas via IMI antingen till den behöriga myndighet som utfärdar bevisen eller till den centrala myndighet som utses av medlemsstaterna i enlighet med deras egna administrativa regler. För att undvika onödigt dubbelarbete och eftersom Europaparlamentets och rådets förordning (EU) 2016/1191 (20) omfattar en del av de bevis som är relevanta för de förfaranden som omfattas av den här förordningen kan de tillvägagångssätt för samarbete för IMI som fastställs i förordning (EU) 2016/1191 även användas för andra bevis som krävs i de förfaranden som omfattas av den här förordningen. För att unionens organ och byråer ska kunna bli aktörer inom IMI bör förordning (EU) nr 1024/2012 ändras. |
(41) |
Onlinetjänster som tillhandahålls av behöriga myndigheter är mycket viktiga för att höja kvaliteten på och säkerheten avseende de tjänster som erbjuds privatpersoner och företag. Medlemsstaternas offentliga förvaltningar strävar i allt högre utsträckning efter att återanvända data, vilket innebär att privatpersoner och företag inte längre behöver lämna samma information flera gånger. Denna återanvändning av data bör erbjudas även för användare i andra medlemsstater för att minska ytterligare administrativa bördor. |
(42) |
I syfte att möjliggöra lagligt gränsöverskridande utbyte av bevis och information genom unionsomfattande tillämpning av engångsprincipen, bör denna förordning och engångsprincipen tillämpas i enlighet med alla tillämpliga regler för dataskydd, inbegripet principerna om uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet, nödvändighet, proportionalitet och ändamålsbegränsning. Genomförandet bör också ske i full överensstämmelse med principerna om inbyggd säkerhet och inbyggt integritetsskydd, samt med respekt för enskilda personers grundläggande rättigheter, inbegripet de som avser rättvisa och öppenhet. |
(43) |
Medlemsstaterna bör säkerställa att användarna av förfarandena ges tydlig information om hur personuppgifter som rör dem kommer att behandlas i enlighet med artiklarna 13 och 14 i Europaparlamentets och rådets förordning (EU) 2016/679 (21) och artiklarna 15 och 16 i förordning (EU) 2018/1725 (22). |
(44) |
För att underlätta användningen av onlineförfaranden ytterligare bör denna förordning, i linje med engångsprincipen, ligga till grund för skapandet och användandet av ett fullt fungerande, tryggt och säkert tekniskt system för det automatiskt gränsöverskridande utbytet av bevis mellan de aktörer som medverkar i förfarandet, på uttrycklig förfrågan från privatpersoner och företag. Om utbytet av bevis inbegriper personuppgifter bör förfrågan anses vara uttrycklig om den innehåller en frivillig, specifik, informerad och otvetydig viljeyttring från den enskilda personen om utbyte av de relevanta personuppgifterna, antingen genom ett uttalande eller genom en bekräftande handling. Om användaren inte är den person som berörs av personuppgifterna bör onlineförfarandet inte påverka den personens rättigheter enligt förordning (EU) 2016/679. Gränsöverskridande tillämpning av engångsprincipen bör resultera i att privatpersoner och företag inte behöver lämna samma data till myndigheter mer än en gång och att det även bör vara möjligt att använda dessa data på begäran av användaren i syfte att utföra gränsöverskridande onlineförfaranden som omfattar användare i andra länder. För den utfärdande behöriga myndigheten bör skyldigheten att använda det tekniska systemet för automatiskt utbyte av bevis mellan olika medlemsstater vara tillämplig endast i fall där myndigheter i sin egen medlemsstat utfärdar bevis i elektroniskt format som möjliggör sådant automatiskt utbyte. |
(45) |
Allt gränsöverskridande utbyte av bevis bör ske med stöd av en lämplig rättslig grund, såsom i direktiv 2005/36/EG, 2006/123/EG, 2014/24/EU eller 2014/25/EU eller, för de förfaranden som förtecknas i bilaga II, i annan tillämplig unionsrätt eller nationell rätt. |
(46) |
Det är lämpligt att denna förordning, som allmän regel, föreskriver att gränsöverskridande automatiskt utbyte av bevis sker på uttrycklig förfrågan av användaren. Detta krav bör dock inte tillämpas om relevant unionsrätt eller nationell rätt medger gränsöverskridande automatiskt utbyte av data utan en uttrycklig förfrågan från en användare. |
(47) |
Användningen av det tekniska system som inrättas genom denna förordning bör även fortsättningsvis vara frivillig, och det bör stå användaren fritt att skicka in bevis på annat sätt än genom det tekniska systemet. Användaren bör ha möjlighet att förhandsgranska beviset och rätt att välja att inte fortsätta med utbytet av bevis i fall där användaren, efter att ha förhandsgranskat det bevis som ska utbytas, upptäcker att informationen är felaktig, inaktuell eller omfattar mer än vad som är nödvändigt för det aktuella förfarandet. De data som ingår i förhandsgranskningen bör inte lagras under en längre tid än vad som är nödvändigt i tekniskt hänseende. |
(48) |
Det säkra tekniska system som bör inrättas för att möjliggöra utbyte av bevis enligt denna förordning bör också ge behöriga myndigheter som begärt bevis visshet om att det har tillhandahållits av rätt utfärdande myndighet. Den behöriga myndigheten bör, innan den godkänner information som en användare tillhandahåller i samband med ett förfarande, kunna kontrollera informationen om det uppstår tvivel och kunna fastställa att den är korrekt. |
(49) |
Ett antal byggstenar tillhandahåller grundläggande kapacitet som kan användas för att inrätta det tekniska systemet, såsom Fonden för ett sammanlänkat Europa, inrättad genom Europaparlamentets och rådets förordning (EU) nr 1316/2013 (23), och byggstenarna e-tillhandahållande (eDelivery) och elektroniskt id-kort (eID). Byggstenarna utgörs av tekniska specifikationer, provprogramvara och stödtjänster, och syftar till att säkerställa kompatibilitet mellan befintliga system för informations- och kommunikationsteknik (IKT) i medlemsstaterna så att privatpersoner, företag och förvaltningar, oavsett var i unionen de befinner sig kan utnyttja sömlösa digitala offentliga tjänster. |
(50) |
Det tekniska system som inrättas genom denna förordning bör finnas tillgängligt utöver andra system som omfattar mekanismer för samarbete mellan myndigheter, t.ex. IMI, och bör inte påverka andra system, som det system som föreskrivs i förordning (EG) nr 987/2009, det europeiska enhetliga upphandlingsdokumentet enligt direktiv 2014/24/EU, det elektroniska utbytet av socialförsäkringsuppgifter enligt förordning (EG) nr 987/2009, det europeiska yrkeskortet enligt direktiv 2005/36/EG, sammankopplingen av nationella register och sammankopplingen av centrala register, handelsregister och företagsregister enligt Europaparlamentets och rådets direktiv (EU) 2017/1132 (24) och sammankopplingen av insolvensregister enligt Europaparlamentets och rådets förordning (EU) 2015/848 (25). |
(51) |
För att säkerställa enhetliga villkor för genomförandet av ett tekniskt system som möjliggör automatiskt utbyte av bevis bör kommissionen tilldelas genomförandebefogenheter att ange specifika tekniska och operativa specifikationer för ett system för behandling av en användares begäran om utbyte av bevis, samt för överföring av sådant bevis och nödvändiga regler för att säkerställa överföringens integritet och konfidentialitet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (26). |
(52) |
I syfte att säkerställa att det tekniska systemet tillhandahåller en hög säkerhetsnivå för den gränsöverskridande tillämpningen av engångsprincipen bör kommissionen, när den antar genomförandeakter om specifikationer för ett sådant tekniskt system, ta vederbörlig hänsyn till de standarder och tekniska specifikationer som utarbetats av europeiska och internationella standardiseringsorganisationer och -organ, i synnerhet Europeiska standardiseringskommittén (CEN), Europeiska institutet för telekommunikationsstandarder (Etsi), Internationella standardiseringsorganisationen (ISO) och Internationella teleunionen (ITU), samt till de säkerhetsnormer som avses i artikel 32 i förordning (EU) 2016/679 och artikel 22 i förordning (EU) 2018/1725. |
(53) |
Om det är nödvändigt för att säkerställa utveckling, tillgänglighet, underhåll, tillsyn, övervakning och säkerhetshantering av de delar av det tekniska systemet som kommissionen ansvarar för, bör kommissionen begära råd från Europeiska datatillsynsmannen. |
(54) |
De behöriga myndigheterna och kommissionen bör säkerställa att kvalitetskriterierna efterlevs när det gäller den information och de förfaranden och tjänster som de är ansvariga för. De nationella samordnarna som utses genom denna förordning och kommissionen bör regelbundet övervaka att kvalitets- och säkerhetskriterierna efterlevs på nationell nivå respektive unionsnivå, och ta itu med eventuella problem som uppstår. De nationella samordnarna bör dessutom bistå kommissionen i arbetet med att övervaka funktionen hos det tekniska system som möjliggör ett gränsöverskridande utbyte av bevis. Denna förordning bör ge kommissionen flera olika medel för att ta itu med eventuella försämringar av kvaliteten på de tjänster som erbjuds genom ingången, beroende på hur allvarliga och bestående försämringarna är, vilket inbegriper att om nödvändigt involvera samordningsgruppen för ingången. Detta bör inte föregripa kommissionens övergripande ansvar vad gäller övervakningen av att denna förordning efterlevs. |
(55) |
Denna förordning bör specificera huvudfunktionerna i de tekniska verktyg som ska stödja ingångens funktion, i synnerhet det gemensamma användargränssnittet, centrallagret för länkar och den gemensamma hjälptjänstsökaren. Det gemensamma användargränssnittet bör säkerställa att användarna lätt kan hitta information, förfaranden samt hjälp- och problemlösningstjänster på webbplatser på nationell nivå och unionsnivå. Medlemsstaterna och kommissionen bör sträva efter att tillhandahålla länkar till en gemensam informationskälla för den information som krävs för ingången i syfte att undvika osäkerhet bland användarna på grund av olika, helt eller delvis överlappande källor till samma information. Detta bör inte utesluta möjligheten att tillhandahålla länkar till samma information som tillhandahålls av lokala eller regionala behöriga myndigheter för olika geografiska områden. Det bör inte heller förhindra viss överlappning av information där detta är oundvikligt eller önskvärt, till exempel när vissa unionsrättigheter, -skyldigheter och -regler upprepas eller beskrivs på nationella webbsidor för att förbättra användarvänligheten. För att minimera den mänskliga inblandningen vid uppdateringen av de länkar som ska användas i det gemensamma användargränssnittet bör en direktkoppling mellan medlemsstaternas relevanta tekniska system och centrallagret för länkar upprättas där detta är tekniskt möjligt. De gemensamma IKT-supportverktygen kan använda Core Public Services Vocabulary (CPSV) för att underlätta kompatibilitet med nationella tjänstekataloger och nationell semantik. Medlemsstaterna bör uppmuntras att använda CPSV men har rätt att besluta att använda nationella lösningar. Informationen i centrallagret bör göras tillgänglig för allmänheten i ett öppet och allmänt använt maskinläsbart format, exempelvis genom applikationsprogrammeringsgränssnitt (API:er), så att den kan återanvändas. |
(56) |
Sökfunktionen i det gemensamma användargränssnittet bör leda användarna till den information som de behöver oberoende av var den finns på webbsidor på unionsnivå eller nationell nivå. Som ett alternativt sätt att vägleda användarna till användbar information kommer det därutöver att vara en hjälp även framöver om det skapas länkar mellan befintliga och kompletterande webbplatser eller webbsidor – med en rationalisering och gruppering av dem i så hög grad som möjligt – samt länkar mellan webbsidor och webbplatser för att ge tillgång till onlinetjänster och information på unionsnivå och nationell nivå. |
(57) |
Denna förordning bör också specificera kvalitetskrav för det gemensamma användargränssnittet. Kommissionen bör säkerställa att det gemensamma användargränssnittet uppfyller dessa krav, och det bör i synnerhet vara tillgängligt och åtkomligt online via olika kanaler och vara lätt att använda. |
(58) |
För att säkerställa enhetliga villkor för genomförandet av de tekniska lösningarna till stöd för ingången bör kommissionen tilldelas genomförandebefogenheter att, där så krävs, fastställa tillämpliga standarder och kompatibilitetskrav för att göra det lättare att hitta informationen om regler och skyldigheter, om förfaranden och om hjälp- och problemlösningstjänster som medlemsstaterna och kommissionen ansvarar för. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011. |
(59) |
Denna förordning bör också innehålla en tydlig fördelning mellan kommissionen och medlemsstaterna av ansvaret för utveckling, tillgänglighet, underhåll och säkerhet för IKT-programmen som stöder ingången. Som ett led i underhållsuppgifterna bör kommissionen och medlemsstaterna regelbundet kontrollera om dessa IKT-program fungerar som de ska. |
(60) |
För att fullt ut utveckla potentialen i de olika informationsområden, förfaranden samt hjälp- och problemlösningstjänster som bör inkluderas i ingången behöver målgruppernas medvetenhet om att de finns och hur de fungerar förbättras betydligt. Det faktum att de inkluderas i ingången bör göra det mycket lättare för användare att hitta den information, de förfaranden samt de hjälp- och problemlösningstjänster som de behöver, även när de inte känner till dem. Dessutom behövs gemensamma marknadsföringsinsatser för att säkerställa att privatpersoner och företag i hela unionen blir medvetna om ingångens existens och fördelar. Sådana marknadsföringsaktiviteter bör innefatta sökmotoroptimering och andra informationsåtgärder online, eftersom de är mest kostnadseffektiva och har potential att nå största möjliga målgrupp. För att marknadsföringsåtgärderna ska bli så effektiva som möjligt bör de samordnas inom ramen för ingångssamordningsgruppen, och medlemsstaterna bör justera sina marknadsföringsinsatser så att det finns en gemensam referens till ingången i alla relevanta sammanhang, med möjlighet till gemensam marknadsföring av ingången och nationella initiativ. |
(61) |
Alla andra av unionens institutioner, organ och byråer bör uppmuntras att främja ingången genom att på alla relevanta webbsidor inom respektive ansvarsområde inkludera dess logotyp och länkar till den på alla relevanta webbsidor för vilka de är ansvariga. |
(62) |
Det namn som ingången ska bli känd under och marknadsföras med för allmänheten bör vara Your Europe. Det gemensamma användargränssnittet bör kunna hittas på ett väl synligt och enkelt sätt, i synnerhet via relevanta webbsidor på unionsnivå och nationell nivå. Logotypen för ingången bör vara synlig på relevanta webbplatser på unionsnivå och nationell nivå. |
(63) |
För att samla in tillräcklig information för att mäta och förbättra resultatet av ingången bör denna förordning kräva att de behöriga myndigheterna och kommissionen samlar in och analyserar data om användningen av olika informationsområden, förfaranden och tjänster som erbjuds genom ingången. Insamlingen av andvändarstatistik, såsom data avseende antalet besök på specifika webbsidor, antalet användare inom en medlemsstat jämfört med antalet användare från andra medlemsstater, vilka sökord som används, de mest besökta webbsidorna, hänvisningswebbplatser eller antalet, ursprunget och ärendet vad gäller begäranden om hjälp, bör förbättra ingångens funktion genom att bidra till att identifiera målgruppen, utarbeta marknadsföringsaktiviteter och förbättra kvaliteten på de tjänster som erbjuds. Vid insamlingen av sådan data bör man beakta kommissionens årliga jämförande utvärdering av e-förvaltning för att undvika dubbelarbete. |
(64) |
För att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter att fastställa enhetliga regler för metoden för insamling och utbyte av användarstatistik. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011. |
(65) |
Ingångens kvalitet beror på kvaliteten på de unionstjänster och nationella tjänster som tillhandahålls via ingången. Därför bör kvaliteten på den information, de förfaranden samt de hjälp- och problemlösningstjänster som finns att tillgå genom ingången också övervakas regelbundet, med hjälp av ett återkopplingsverktyg för användare, genom vilket användarna uppmanas att bedöma och ge återkoppling om omfattning och kvalitet på den information, de förfaranden eller de hjälp- och problemlösningstjänster som de har använt. Deras synpunkter bör samlas i ett gemensamt verktyg som kommissionen, behöriga myndigheter och nationella samordnare bör ha tillgång till. För att säkerställa enhetliga villkor för genomförandet av denna förordning vad gäller användaråterkopplingsverktygens gemensamma funktionalitet och närmare bestämmelser om insamling och utbyte av användarnas återkoppling bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011. Kommissionen bör offentliggöra en anonymiserad sammanfattande onlineöversikt av de problem som framkommer av den information, den huvudsakliga användarstatistik och den huvudsakliga användaråterkoppling som samlas in i enlighet med denna förordning. |
(66) |
Dessutom bör ingången innefatta ett återkopplingsverktyg som gör det möjligt för användare att, frivilligt och anonymt, signalera eventuella problem och svårigheter som de har haft under utövandet av sina rättigheter på den inre marknaden. Detta verktyg bör endast betraktas som ett komplement till mekanismerna för hantering av klagomål, eftersom det inte kan ge användarna någon personlig respons. Mottagna synpunkter bör kombineras med sammanställd information från hjälp- och problemlösningstjänster om ärenden som de har hanterat, för att skapa en översikt över den inre marknaden utifrån hur användarna upplever den och för att identifiera problemområden för eventuella framtida insatser avsedda att förbättra den inre marknadens funktion. Denna översikt bör länkas till befintliga rapporteringsverktyg såsom resultattavlan för den inre marknaden. |
(67) |
Medlemsstaternas rätt att besluta vem som ska inneha uppgiften som nationell samordnare bör inte påverkas av denna förordning. Medlemsstaterna bör kunna anpassa funktioner och ansvarsområden för sina nationella samordnare i fråga om ingången till sina interna förvaltningsstrukturer. Medlemsstaterna bör kunna utse ytterligare nationella samordnare för att utföra uppgifterna enligt denna förordning, ensamma eller tillsammans med andra, med ansvar för en avdelning inom förvaltningen eller en geografisk region eller i enlighet med andra kriterier. Medlemsstaterna bör underrätta kommissionen om vem den enda nationella samordnare som de har utsett för kontakter med kommissionen är. |
(68) |
Det bör inrättas en samordningsgrupp för ingången bestående av nationella samordnare och en ordförande från kommissionen i syfte att underlätta tillämpningen av denna förordning, i synnerhet genom utbyte av bästa praxis och samarbete för att i enlighet med denna förordning göra presentationen av information mer enhetlig. Samordningsgruppen för ingången bör i sitt arbete beakta de mål som anges i det årliga arbetsprogrammet, som kommissionen bör lämna in till den för övervägande. Det årliga arbetsprogrammet bör utformas som riktlinjer eller rekommendationer som är icke-bindande för medlemsstaterna. Kommissionen kan på Europaparlamentets begäran besluta att skicka experter att närvara vid sammanträden med samordningsgruppen för ingången. |
(69) |
I denna förordning bör det förtydligas vilka delar av ingången som ska finansieras via unionsbudgeten och vilka delar som ska vara medlemsstaternas ansvar. Kommissionen bör hjälpa medlemsstaterna att identifiera återanvändbara IKT-byggstenar och finansiering som är tillgänglig genom olika fonder och program på unionsnivå som kan bidra till att täcka kostnaderna för den IKT-anpassning och IKT-utveckling som behövs på nationell nivå för att efterleva denna förordning. Den budget som krävs för genomförandet av denna förordning bör vara förenlig med den gällande fleråriga budgetramen. |
(70) |
Medlemsstaterna uppmuntras att utöka samordningen, samarbetet och utbytet med varandra för att få större strategisk och operativ kapacitet samt forsknings- och utvecklingskapacitet på it-säkerhetsområdet, särskilt genom genomförandet av den säkerhet i nätverks- och informationssystem som avses i Europaparlamentets och rådets direktiv (EU) 2016/1148 (27), för att stärka säkerheten och motståndskraften inom sin offentliga förvaltning och sina offentliga tjänster. Medlemsstaterna uppmuntras också att öka säkerheten i samband med transaktioner och säkerställa en tillräcklig nivå av förtroende för elektroniska medel genom användandet av eIDAS-ramarna som fastställts i förordning (EU) nr 910/2014, särskilt tillräckliga tillitsnivåer. Medlemsstaterna får vidta åtgärder i enlighet med unionsrätten för att garantera it-säkerheten och förhindra identitetsbedrägeri eller andra former av bedrägeri. |
(71) |
I de fall tillämpningen av denna förordning inbegriper behandling av personuppgifter bör de utföras i enlighet med unionsrätten om skydd av personuppgifter, i synnerhet förordning (EU) 2016/679 och förordning (EU) 2018/1725. Europaparlamentets och rådets direktiv (EU) 2016/680 (28) är också tillämpligt i samband med den här förordningen. I enlighet med förordning (EU) 2016/679 kan medlemsstaterna behålla eller införa ytterligare villkor, däribland begränsningar, med avseende på behandlingen av personuppgifter som rör hälsa, och de får föreskriva mer detaljerade regler för behandlingen av anställdas personuppgifter i samband med anställning. |
(72) |
Denna förordning bör främja och underlätta en harmonisering av styrformerna för de tjänster som ingången omfattar. Kommissionen bör i detta syfte, i nära samarbete med medlemsstaterna, se över de befintliga styrformerna och vid behov anpassa dem så att dubbelarbete och ineffektivitet kan undvikas. |
(73) |
Målet för denna förordning är att säkerställa att användare som verkar i andra medlemsstater har tillgång online till utförlig, tillförlitlig, tillgänglig och begriplig unionsomfattande och nationell information om rättigheter, regler och skyldigheter, till onlineförfaranden som kan utföras helt från ett annat land samt till hjälp- och problemlösningstjänster. Eftersom detta mål inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, utan snarare, med tanke på denna förordnings omfattning och verkningar, bättre kan uppnås på unionsnivå, får unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå det målet. |
(74) |
För att medlemsstaterna och kommissionen ska kunna utveckla och börja använda de verktyg som krävs för att genomföra denna förordning bör vissa av bestämmelserna i den börja tillämpas två år efter det att den har trätt i kraft. De lokala myndigheterna bör ha fyra år på sig, räknat från ikraftträdandet av denna förordning, att genomföra kraven att kunna tillhandahålla information om reglerna, förfaranden samt hjälp- och problemlösningstjänster som de ansvarar för. Bestämmelserna i denna förordning om förfaranden som ska erbjudas helt online, den gränsöverskridande tillgången till onlineförfaranden och det tekniska systemet för gränsöverskridande automatiskt utbyte av bevis i enlighet med engångsprincipen bör vara genomförda senast fem år efter det att denna förordning har trätt i kraft. |
(75) |
Denna förordning är förenlig med de grundläggande rättigheter och de principer som erkänns i synnerhet i Europeiska unionens stadga om de grundläggande rättigheterna, och bör genomföras i enlighet med dessa rättigheter och principer. |
(76) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 (29) och avgav ett yttrande den 1 augusti 2017 (30). |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
ALLMÄNNA BESTÄMMELSER
Artikel 1
Syfte
1. I denna förordning fastställs bestämmelser om
a) |
inrättande och drift av en gemensam digital ingång som gör att privatpersoner och företag på ett enkelt sätt får tillgång till information av hög kvalitet, till effektiva förfaranden och till ändamålsenliga hjälp- och problemlösningstjänster i fråga om unionsregler och nationella regler som gäller för privatpersoner och företag som utövar eller har för avsikt att utöva sina rättigheter enligt unionsrätten inom den inre marknaden, i den mening som avses i artikel 26.2 i EUF-fördraget, |
b) |
användningen av förfaranden för användare i gränsöverskridande situationer och genomförandet av engångsprincipen i samband med de förfaranden som anges i bilaga II till denna förordning och de förfaranden som föreskrivs i direktiven 2005/36/EG, 2006/123/EG, 2014/24/EU och 2014/25/EU, |
c) |
rapporteringen av hinder på den inre marknaden baserat på insamling av återkoppling från användare och statistik från de tjänster som ingången omfattar. |
2. Om denna förordning strider mot en bestämmelse i en annan unionsakt som reglerar specifika aspekter av syftet med denna förordning, ska bestämmelsen i denna andra unionsakt ges företräde.
3. Denna förordning påverkar inte vare sig innehållet i, eller rättigheter som beviljas genom, ett förfarande som fastställs på unionsnivå eller nationell nivå på något av de områden som omfattas av denna förordning. Vidare påverkar denna förordning inte åtgärder som vidtas i enlighet med unionsrätten i syfte att skydda it-säkerheten och att förebygga bedrägeri.
Artikel 2
Inrättande av den gemensamma digitala ingången
1. En gemensam digital ingång (nedan kallad ingången) ska inrättas av kommissionen och medlemsstaterna i enlighet med denna förordning. Ingången ska bestå av ett gemensamt användargränssnitt (nedan kallat det gemensamma användargränssnittet) som förvaltas av kommissionen, vilket ska vara integrerat i portalen Ditt Europa och ska ge tillgång till relevanta unionsomfattande och nationella webbsidor.
2. Ingången ska ge tillgång till följande:
a) |
Information om rättigheter, skyldigheter och regler som anges i unionsrätt och nationell rätt och som gäller för användare som utövar eller har för avsikt att utöva sina rättigheter enligt unionsrätten på de områden av den inre marknaden som anges i bilaga I. |
b) |
Information om förfaranden online och offline och länkar till onlineförfaranden, inbegripet förfaranden som omfattas av bilaga II, som inrättats på unionsnivå eller nationell nivå för att användarna ska kunna utöva rättigheterna och efterleva skyldigheterna och reglerna på de områden av den inre marknaden som anges i bilaga I. |
c) |
Information om och länkar till hjälp- och problemlösningstjänsterna vilka anges i bilaga III eller avses i artikel 7, som privatpersoner och företag kan använda om de har frågor om eller problem som rör de rättigheter, skyldigheter och förfaranden som avses i leden a och b i denna punkt. |
3. Det gemensamma användargränssnittet ska vara tillgängligt på alla unionens officiella språk.
Artikel 3
Definitioner
I denna förordning gäller följande definitioner:
1. |
användare: antingen en unionsmedborgare, en fysisk person som bor i en medlemsstat eller en juridisk person som har sitt säte i en medlemsstat, och som använder den information, de förfaranden eller de hjälp- och problemlösningstjänster som avses i artikel 2.2 genom ingången. |
2. |
användare i gränsöverskridande situationer: användare i en situation som inte i alla avseenden är begränsade till en enda medlemsstat. |
3. |
förfarande: en sekvens av handlingar som användare måste utföra för att uppfylla kraven eller för att erhålla ett beslut från en behörig myndighet för att kunna utöva sina rättigheter enligt artikel 2.2 a. |
4. |
behörig myndighet: myndighet eller organ i en medlemsstat som inrättats på nationell, regional eller lokal nivå och som har specifikt ansvar när det gäller den information, de förfaranden samt de hjälp- och problemlösningstjänster som omfattas av denna förordning. |
5. |
bevis: dokument eller data, inbegripet text eller ljud, bildinspelningar eller audiovisuella inspelningar, oavsett vilket medium som använts, som en behörig myndighet begär för att bevisa fakta eller överensstämmelse med de formkrav som avses i artikel 2.2 b. |
KAPITEL II
INGÅNGENS TJÄNSTER
Artikel 4
Tillgång till information
1. Medlemsstaterna ska säkerställa att användarna har enkel tillgång online till följande på sina nationella webbsidor:
a) |
Information om de rättigheter, skyldigheter och regler som avses i artikel 2.2 a, som härrör från nationell rätt. |
b) |
Information om de förfaranden som avses i artikel 2.2 b, som fastställs på nationell nivå. |
c) |
Information om de hjälp- och problemlösningstjänster, som avses i artikel 2.2 c, som fastställs på nationell nivå. |
2. Kommissionen ska säkerställa att portalen Ditt Europa erbjuder användarna enkel tillgång online till följande:
a) |
Information om de rättigheter, skyldigheter och regler som avses i artikel 2.2 a, som härrör från unionsrätten. |
b) |
Information om de förfaranden som avses i artikel 2.2 b, som fastställs på unionsnivå. |
c) |
Information om de hjälp- och problemlösningstjänster, som avses i artikel 2.2 c, som fastställs på unionsnivå. |
Artikel 5
Tillgång till information som inte ingår i bilaga I
1. Medlemsstaterna och kommissionen får tillhandahålla länkar till information inom områden som inte förtecknas i bilaga I som erbjuds av behöriga myndigheter, kommissionen eller unionens organ eller byråer, under förutsättning att denna information omfattas av tillämpningsområdet för den ingång som definieras i artikel 1.1 a och uppfyller kvalitetskraven i artikel 9.
2. Länkarna till den information som avses i punkt 1 i denna artikel ska tillhandahållas i enlighet med artikel 19.2 och 19.3.
3. Innan kommissionen aktiverar en länk ska den kontrollera att villkoren i punkt 1 är uppfyllda och samråda med samordningsgruppen för ingången.
Artikel 6
Förfaranden som ska erbjudas helt online
1. Varje medlemsstat ska säkerställa att användare kan få tillgång till och utföra de förfaranden som förtecknas i bilaga II helt online, om sådana förfaranden har inrättats i den berörda medlemsstaten.
2. De förfaranden som avses i punkt 1 ska anses vara helt online om
a) |
identifiering av användare, tillhandahållande av information och tillhandahållande av bevis, undertecknande och slutlig inlämning kan utföras elektroniskt på distans, genom en tjänstekanal som gör det möjligt för användarna att uppfylla alla de krav som hör till förfarandet på ett användarvänligt och strukturerat sätt, |
b) |
användare tillhandahålls ett automatiskt mottagningsbevis, om inte resultatet av förfarandet tillhandahålls omedelbart, |
c) |
resultatet av förfarandet tillhandahålls elektroniskt, eller levereras fysiskt om det är nödvändigt för att iaktta tillämplig unionsrätt eller nationell rätt, och |
d) |
användarna får ett elektroniskt meddelande om att förfarandet har utförts. |
3. Om det eftersträvade målet, i undantagsfall motiverade av tvingande hänsyn till allmänintresset inom områdena allmän säkerhet, folkhälsa och bedrägeribekämpning, inte kan uppnås helt online, får medlemsstaterna kräva att användaren inställer sig personligen hos den behöriga myndigheten som ett led i förfarandet. I dessa undantagsfall ska medlemsstaterna begränsa denna fysiska närvaro till det som är absolut nödvändigt och objektivt motiverat samt säkerställa att övriga led i förfarandet kan utföras helt online. Medlemsstaterna ska också se till att kraven på fysisk närvaro inte leder till diskriminering av användare i gränsöverskridande situationer.
4. Medlemsstaterna ska, genom ett gemensamt register som är tillgängligt för kommissionen och övriga medlemsstater, meddela och förklara på vilka grunder och under vilka omständigheter fysisk närvaro kan krävas för de led i förfarandet som avses i punkt 3 och på vilka grunder och under vilka omständigheter fysisk leverans, som avses i punkt 2 c, är nödvändig.
5. Denna artikel får inte hindra medlemsstaterna från att erbjuda användare möjligheten att även få tillgång till och utföra förfaranden enligt artikel 2.2 b på andra sätt än online eller från att kontakta användarna direkt.
Artikel 7
Tillgång till hjälp- och problemlösningstjänster
1. Medlemsstaterna och kommissionen ska säkerställa att användarna, inbegripet användarna i gränsöverskridande situationer, via olika kanaler har enkel tillgång online till de hjälp- och problemlösningstjänster som avses i artikel 2.2 c.
2. De nationella samordnare som avses i artikel 28 och kommissionen får tillhandahålla länkar till hjälp- och problemlösningstjänster som erbjuds av behöriga myndigheter, kommissionen eller unionens organ och byråer, utöver dem som förtecknas i bilaga III, i enlighet med artikel 19.2 och 19.3 förutsatt att dessa tjänster uppfyller kvalitetskraven i artiklarna 11 och 16.
3. Om det är nödvändigt för att uppfylla användarnas behov får den nationella samordnaren föreslå för kommissionen att länkar till hjälp- och problemlösningstjänster som tillhandahålls av privata eller halvprivata enheter inkluderas i ingången om dessa tjänster uppfyller följande krav:
a) |
De erbjuder information eller hjälp på de områden och för de syften som denna förordning omfattar och kompletterar tjänster som redan finns i ingången. |
b) |
De erbjuds kostnadsfritt eller till ett pris som är överkomligt för mikroföretag, ideella organisationer och privatpersoner. |
c) |
De uppfyller kraven i artiklarna 8, 11 och 16. |
4. Om den nationella samordnaren har föreslagit att en länk inkluderas i enlighet med punkt 3 i den här artikeln, och tillhandahåller en sådan länk i enlighet med artikel 19.3, ska kommissionen bedöma huruvida villkoren i punkt 3 i den här artikeln uppfylls av den tjänst som ska inkluderas genom länken, och om så är fallet aktivera länken.
Om kommissionen anser att villkoren i punkt 3 inte uppfylls av den tjänst som ska inkluderas, ska den underrätta den nationella samordnaren om skälen till att inte aktivera länken.
Artikel 8
Kvalitetskrav avseende webbtillgänglighet
Kommissionen ska göra de av sina webbplatser och webbsidor genom vilka den ger tillgång till den information som avses i artikel 4.2 och till de hjälp- och problemlösningstjänster som avses i artikel 7 mer tillgängliga genom att göra dem möjliga att uppfatta, hanterbara, begripliga och robusta.
KAPITEL III
KVALITETSKRAV
AVSNITT 1
Kvalitetskrav som rör information om rättigheter, skyldigheter, regler, förfaranden samt hjälp- och problemlösningstjänster
Artikel 9
Kvaliteten på information om rättigheter, skyldigheter och regler
1. Medlemsstaterna och kommissionen ska, när de i enlighet med artikel 4 ansvarar för att säkerställa tillgång till information enligt artikel 2.2 a, se till att denna information uppfyller följande krav:
a) |
Den är användarvänlig så att användarna lätt kan hitta och förstå informationen och avgöra vilka delar av informationen som är relevanta för deras specifika situation. |
b) |
Den är korrekt och tillräckligt utförlig för att omfatta uppgifter som användarna behöver känna till för att kunna utöva sina rättigheter i full överensstämmelse med gällande regler och skyldigheter. |
c) |
Den innehåller vid behov hänvisningar, länkar till rättsakter, tekniska specifikationer och riktlinjer. |
d) |
Den innehåller namnet på den behöriga myndighet eller enhet som är ansvarig för informationsinnehållet. |
e) |
Den innehåller kontaktuppgifter till alla relevanta hjälp- och problemlösningstjänster, till exempel ett telefonnummer, en e-postadress, ett elektroniskt frågeformulär eller något annat vanligt förekommande elektroniskt kommunikationsmedel som är bäst lämpat för den typ av tjänst som erbjuds och för målgruppen för tjänsten. |
f) |
Den innehåller datumet för den senaste uppdateringen av informationen, i förekommande fall, eller datumet för offentliggörandet av informationen, om informationen inte har uppdaterats. |
g) |
Den är välstrukturerad och presenteras på ett sätt som gör att användarna snabbt kan hitta den information de behöver. |
h) |
Den hålls aktuell. |
i) |
Den är skriven på ett klart och tydligt språk som är anpassat efter målgruppens behov. |
2. Medlemsstaterna ska göra den information som avses i punkt 1 i denna artikel tillgänglig på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, i enlighet med artikel 12.
Artikel 10
Kvaliteten på information om förfaranden
1. Medlemsstaterna och kommissionen ska, i syfte att uppfylla bestämmelserna i artikel 4, säkerställa att användarna, innan de behöver identifiera sig före det att förfarandet påbörjas, har tillgång till en tillräckligt utförlig, tydlig och användarvänlig förklaring med avseende på följande delar, i tillämpliga fall, av de förfaranden som avses i artikel 2.2 b:
a) |
De relevanta led i förfarandet som användaren ska utföra, inbegripet eventuella undantag enligt artikel 6.3 från medlemsstaternas skyldighet att erbjuda förfarandet helt online. |
b) |
Namnet på den behöriga myndighet eller enhet som är ansvarig för förfarandet, inbegripet kontaktuppgifterna. |
c) |
De godtagna metoderna för autentisering, identifiering och undertecknande i förfarandet. |
d) |
Typ av och format på bevis som ska tillhandahållas. |
e) |
De möjligheter som i allmänhet finns till ändring av beslut eller överklagande i händelse av tvister med de behöriga myndigheterna. |
f) |
Tillämpliga avgifter och metod för onlinebetalning. |
g) |
Alla tidsfrister som ska följas av användaren eller den behöriga myndigheten, och, om tidsfrister saknas, den genomsnittliga, beräknade eller preliminära tid den behöriga myndigheten behöver för att slutföra förfarandet. |
h) |
Alla regler som gäller avsaknad av svar från den behöriga myndigheten och de rättsliga konsekvenserna därav för användarna, däribland arrangemang för tyst godkännande eller administrativa arrangemang för avsaknad av beslut. |
i) |
Eventuella ytterligare språk som förfarandet kan utföras på. |
2. Om det inte finns arrangemang för tyst godkännande, administrativa arrangemang för avsaknad av beslut eller liknande, ska de behöriga myndigheterna, i tillämpliga fall, underrätta användarna om eventuella fördröjningar och om eventuella förlängningar av tidsfristerna eller följderna av detta.
3. Om den förklaring som avses i punkt 1 redan finns tillgänglig för inhemska användare kan den användas eller återanvändas i enlighet med denna förordning, förutsatt att den i tillämpliga fall också täcker situationen för användare i gränsöverskridande situationer.
4. Medlemsstaterna ska göra den förklaring som avses i punkt 1 i denna artikel tillgänglig på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, i enlighet med artikel 12.
Artikel 11
Kvalitet på information om hjälp- och problemlösningstjänster
1. Medlemsstaterna och kommissionen ska, i syfte att uppfylla bestämmelserna i artikel 4, säkerställa att användarna, innan de lämnar in en begäran om en tjänst enligt artikel 2.2 c, har tillgång till en tydlig och användarvänlig förklaring av följande:
a) |
Den erbjudna tjänstens typ, syfte och förväntade resultat. |
b) |
Kontaktuppgifter till de enheter som ansvarar för tjänsten, till exempel ett telefonnummer, en e-postadress, ett elektroniskt frågeformulär eller något annat vanligt förekommande elektroniskt kommunikationsmedel som är bäst lämpat för den typ av tjänst som erbjuds och för målgruppen för tjänsten. |
c) |
I förekommande fall tillämpliga avgifter och metod för onlinebetalning. |
d) |
Alla tidsfrister som ska följas, och om tidsfrister saknas, en genomsnittlig eller beräknad tid för tillhandahållande av tjänsten. |
e) |
Eventuella ytterligare språk som begäran kan lämnas in på och som kan användas vid efterföljande kontakter. |
2. Medlemsstaterna ska göra den förklaring som avses i punkt 1 i denna artikel tillgänglig på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, i enlighet med artikel 12.
Artikel 12
Översättning av information
1. Om en medlemsstat inte tillhandahåller den information, de förklaringar och de instruktioner som anges i artiklarna 9, 10, 11 och 13.2 a på ett av unionens officiella språk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, ska den medlemsstaten begära att kommissionen tillhandahåller översättningar till detta språk, inom ramen för de tillgängliga unionsbudgetmedel som avses i artikel 32.1 c.
2. Medlemsstaterna ska säkerställa att de texter som inlämnas för översättning enligt punkt 1 i den här artikeln omfattar åtminstone den grundläggande informationen på alla de områden som förtecknas i bilaga I och att, om tillräckliga unionsbudgetmedel finns tillgängliga, de omfattar ytterligare information, förklaringar och instruktioner som avses i artiklarna 9, 10, 11 och 13.2 a, med beaktande av de viktigaste behoven hos användare i gränsöverskridande situationer. Medlemsstaterna ska tillhandahålla länkar till sådan översatt information till det länkregister som avses i artikel 19.
3. Det språk som avses i punkt 1 ska vara det officiella unionsspråk som studeras som främmande språk av flest användare i unionen. Om den information, de förklaringar eller de instruktioner som ska översättas, undantagsvis, förväntas vara av övervägande intresse för användare i gränsöverskridande situationer som kommer från en annan medlemsstat, får det språk som avses i punkt 1 vara det officiella unionsspråk som används som förstaspråk av dessa användare.
4. Om en medlemsstat begär en översättning till ett av unionens officiella språk som inte är det språk som studeras som främmande språk av flest användare i unionen, ska den ange skälen för sin begäran. Om kommissionen anser att de villkor som avses i punkt 3 för valet av ett sådant annat språk inte är uppfyllda, får den avslå begäran och ska underrätta medlemsstaten om skälen för detta.
AVSNITT 2
Krav avseende onlineförfaranden
Artikel 13
Gränsöverskridande tillgång till onlineförfaranden
1. Medlemsstaterna ska säkerställa att om ett förfarande som avses i artikel 2.2 b, som inrättats på nationell nivå, kan användas och utföras online av inhemska användare ska det även kunna användas och utföras online av användare i gränsöverskridande situationer på ett icke-diskriminerande sätt genom samma tekniska lösning eller en alternativ teknisk lösning.
2. Medlemsstaterna ska säkerställa att minst följande krav uppfylls för de förfaranden som avses i punkt 1 i denna artikel:
a) |
Användarna kan få tillgång till anvisningar om utförande av förfarandet på ett av unionens officiella språk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, i enlighet med artikel 12. |
b) |
Användare i gränsöverskridande situationer kan lämna de uppgifter som begärs, även då uppgifterna har en annan struktur än liknande uppgifter i den berörda medlemsstaten. |
c) |
Användare i gränsöverskridande situationer kan identifiera och autentisera sig samt underteckna eller stämpla handlingar på elektronisk väg i enlighet med Europaparlamentets och rådets förordning (EU) nr 910/2014 i samtliga fall där detta även är möjligt för inhemska användare. |
d) |
Användare i gränsöverskridande situationer kan tillhandahålla bevis på efterlevnad av gällande krav och motta resultatet av förfarandet i elektroniskt format i samtliga fall där detta även är möjligt för inhemska användare. |
e) |
Om förfarandet förutsätter en betalning kan användarna betala alla avgifter online med hjälp av allmänt tillgängliga gränsöverskridande betalningstjänster, utan diskriminering på grund av betaltjänstleverantörens etableringsort, betalningsinstrumentets utfärdandeort eller den plats där betalkontot finns inom unionen. |
3. Om förfarandet inte kräver elektronisk identifiering eller autentisering i enlighet med punkt 2 c och om de behöriga myndigheterna enligt tillämplig nationell rätt eller administrativ praxis får godta digitaliserade kopior av icke-elektroniska identitetsbevis som id-kort eller pass för inhemska användare, ska myndigheterna också godta sådana digitaliserade kopior för användare i gränsöverskridande situationer.
Artikel 14
Tekniskt system för gränsöverskridande automatiskt utbyte av bevis och tillämpning av engångsprincipen
1. När det gäller utbyte av bevis för onlineförfaranden som förtecknas i bilaga II i denna förordning och de förfaranden som anges i direktiven 2005/36/EG, 2006/123/EG, 2014/24/EU och 2014/25/EU ska kommissionen i samarbete med medlemsstaterna inrätta ett tekniskt system för automatiskt utbyte av bevis mellan behöriga myndigheter i olika medlemsstater (nedan kallat det tekniska systemet).
2. Om behöriga myndigheter, i sin egen medlemsstat och i elektroniskt format som möjliggör automatiskt utbyte, lagligen utfärdar bevis och som är av relevans för de onlineförfaranden som avses i punkt 1 ska de också, för behöriga myndigheter i andra medlemsstater som begär detta, göra sådana bevis tillgängliga i ett elektroniskt format som möjliggör automatiskt utbyte.
3. Det tekniska systemet ska framför allt
a) |
möjliggöra behandling av begäranden om bevis på användarens uttryckliga förfrågan, |
b) |
möjliggöra behandling av begäranden om åtkomst till eller utbyte av bevis, |
c) |
möjliggöra överföring av bevis mellan behöriga myndigheter, |
d) |
göra det möjligt för den begärande behöriga myndigheten att behandla beviset, |
e) |
säkerställa bevisets konfidentialitet och integritet, |
f) |
ge användaren möjlighet att förhandsgranska det bevis som ska användas av den begärande myndigheten samt att välja om de ska fortsätta med utbytet av bevis eller inte, |
g) |
säkerställa en tillräcklig nivå av kompatibilitet med andra relevanta system, |
h) |
säkerställa en hög säkerhetsnivå för överföringen och behandlingen av bevis, |
i) |
inte behandla bevis utöver uppgifter som är nödvändiga i tekniskt hänseende för att utbyta beviset, samt behandla bevis endast under den tidsperiod som är nödvändig för detta syfte. |
4. Användning av det tekniska systemet ska inte vara obligatorisk för användare och ska endast tillåtas på deras uttryckliga förfrågan, såvida inget annat föreskrivs i unionsrätt eller nationell rätt. Användarna ska tillåtas lämna in bevis på andra sätt än via det tekniska systemet och direkt till den begärande behöriga myndigheten.
5. Den möjlighet att förhandsgranska bevis som avses i punkt 3 f i denna artikel ska inte krävas för förfaranden för vilka ett automatiskt gränsöverskridande utbyte av uppgifter utan en sådan förhandsgranskning tillåts enligt tillämplig unionsrätt eller nationell rätt. Den möjligheten till förhandsgranskning av bevisen ska inte påverka skyldigheten att tillhandahålla uppgifter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.
6. Medlemsstaterna ska integrera det fullt operativa tekniska systemet i de förfaranden som avses i punkt 1.
7. De behöriga myndigheter som ansvarar för de onlineförfaranden som avses i punkt 1 ska, på uttrycklig, frivillig, specifik, informerad och otvetydig förfrågan från användaren i fråga, genom det tekniska systemet begära bevis direkt från behöriga myndigheter som utfärdar bevis i andra medlemsstater. De utfärdande behöriga myndigheter som avses i punkt 2 ska, i enlighet med punkt 3 e, göra sådant bevis tillgängligt genom samma system.
8. Bevis som gjorts tillgängligt för den begärande behöriga myndigheten ska begränsas till det som har begärts och får användas av den myndigheten endast för det förfarande som det utbytts för. Det bevis som utbyts via det tekniska systemet ska, för den begärande behöriga myndighetens ändamål, anses vara äkta.
9. Senast den 12 juni 2021 ska kommissionen anta genomförandeakter för att fastställa de tekniska och operativa specifikationer hos det tekniska systemet som behövs för genomförandet av denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 37.2.
10. Punkterna 1–8 ska inte gälla för förfaranden som inrättats på unionsnivå och som möjliggör andra mekanismer för utbyte av bevis, såvida inte det tekniska system som behövs för genomförandet av denna artikel integreras i dessa förfaranden i enlighet med reglerna i de unionsakter genom vilka de förfarandena inrättas.
11. Kommissionen och var och en av medlemsstaterna ska ansvara för utveckling, tillgänglighet, underhåll, tillsyn, övervakning och säkerhetshantering av sina respektive delar av det tekniska systemet.
Artikel 15
Kontroll av bevis mellan medlemsstaterna
Om det tekniska systemet eller andra mekanismer för utbyte eller kontroll av bevis mellan medlemsstaterna inte är tillgängliga eller inte är tillämpliga, eller i fall där användaren inte begär användning av det tekniska systemet, ska de behöriga myndigheterna samarbeta genom informationssystemet för den inre marknaden (IMI) när det är nödvändigt för att kontrollera äktheten hos bevis som användaren skickat till en av dem i elektroniskt format för att utföra ett onlineförfarande.
AVSNITT 3
Kvalitetskrav avseende hjälp- och problemlösningstjänster
Artikel 16
Kvalitetskrav avseende hjälp- och problemlösningstjänster
De behöriga myndigheterna och kommissionen ska, inom ramen för sina respektive behörigheter, säkerställa att de hjälp- och problemlösningstjänster som förtecknas i bilaga III och de som har inkluderats i ingången i enlighet med artikel 7.2, 7.3 och 7.4 uppfyller följande kvalitetskrav:
a) |
Hjälp- och problemlösningstjänsterna tillhandahålls inom en rimlig tidsram med hänsyn till begärans komplexitet. |
b) |
Om tidsfrister förlängs underrättas användarna i förväg om orsakerna till detta och om en ny tidsfrist. |
c) |
Om tillhandahållandet av en tjänst omfattar en betalning kan användarna betala alla avgifter online med hjälp av en allmänt tillgänglig gränsöverskridande betalningstjänst, utan diskriminering på grund av betaltjänstleverantörens etableringsort, betalningsinstrumentets utfärdandeort eller den plats där betalkontot finns inom unionen. |
AVSNITT 4
Kvalitetsuppföljning
Artikel 17
Kvalitetsuppföljning
1. De nationella samordnare som avses i artikel 28 och kommissionen ska, inom sina respektive befogenheter, regelbundet följa upp att information, förfaranden samt hjälp- och problemlösningstjänster som finns tillgängliga genom ingången uppfyller kvalitetskraven i artiklarna 8–13 och 16. Uppföljningen ska ske med utgångspunkt i de data som samlas in i enlighet med artiklarna 24 och 25.
2. I händelse av en försämring av kvaliteten på den information, de förfaranden samt de hjälp- eller problemlösningstjänster som avses i punkt 1, som tillhandahålls av de behöriga myndigheterna, ska kommissionen, med beaktande av hur allvarliga och bestående försämringarna är, vidta en eller flera av följande åtgärder:
a) |
Underrätta den berörda nationella samordnaren och begära korrigerande åtgärder. |
b) |
Översända rekommendationer om åtgärder för att förbättra efterlevnaden av kvalitetskraven till samordningsgruppen för ingången för diskussion. |
c) |
Skicka en skrivelse med rekommendationer till den berörda medlemsstaten. |
d) |
Tillfälligt koppla bort informationen, förfarandet eller hjälp- och problemlösningstjänsten från ingången. |
3. Om en hjälp- eller problemlösningstjänst som det finns länkar till i enlighet med artikel 7.3 konsekvent misslyckas med att efterleva de krav som fastställs i artiklarna 11 och 16, eller inte längre uppfyller användarnas behov enligt de data som samlas in i enlighet med artiklarna 24 och 25, får kommissionen, efter samråd med den berörda nationella samordnaren och, vid behov, med samordningsgruppen för ingången koppla bort den från ingången.
KAPITEL IV
TEKNISKA LÖSNINGAR
Artikel 18
Gemensamt användargränssnitt
1. Kommissionen ska, i nära samarbete med medlemsstaterna, tillhandahålla ett gemensamt användargränssnitt, integrerat i portalen Ditt Europa, för att säkerställa att ingången fungerar korrekt.
2. Det gemensamma användargränssnittet ska ge tillgång till information, förfaranden samt hjälp- och problemlösningstjänster genom länkar till relevanta webbplatser eller webbsidor på unionsnivå och nationell nivå som ingår i det länkregister som avses i artikel 19.
3. Medlemsstaterna och kommissionen ska, i överensstämmelse med sina respektive roller och ansvarsområden enligt artikel 4, säkerställa att information om regler och skyldigheter, om förfaranden och om hjälp- och problemlösningstjänster struktureras och märks ut på ett sätt som gör den lättare att hitta via det gemensamma användargränssnittet.
4. Kommissionen ska säkerställa att det gemensamma användargränssnittet uppfyller följande kvalitetskrav:
a) |
Det är lätt att använda. |
b) |
Det är tillgängligt online via olika elektroniska enheter. |
c) |
Det är utvecklat och optimerat för olika webbläsare. |
d) |
Det uppfyller följande webbtillgänglighetskrav: möjlighet att uppfatta, hanterbarhet, begriplighet och robust karaktär. |
5. Kommissionen får anta genomförandeakter om fastställande av kompatibilitetskrav för att göra det lättare att hitta informationen om regler och skyldigheter, om förfaranden och om hjälp- och problemlösningstjänster via det gemensamma användargränssnittet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 37.2.
Artikel 19
Länkregister
1. Kommissionen ska, i nära samarbete med medlemsstaterna, inrätta och underhålla ett elektroniskt länkregister till den information, de förfaranden samt de hjälp- och problemlösningstjänster som avses i artikel 2.2 varigenom förbindelse mellan dessa tjänster och det gemensamma användargränssnittet möjliggörs.
2. Kommissionen ska i länkregistret tillhandahålla länkarna till den information, de förfaranden samt de hjälp- och problemlösningstjänster som finns tillgängliga på de webbsidor som förvaltas på unionsnivå, och ska se till att dessa länkar är korrekta och aktuella.
3. De nationella samordnarna ska i länkregistret tillhandahålla länkarna till den information, de förfaranden samt de hjälp- och problemlösningstjänster som finns tillgängliga på de webbsidor som förvaltas av behöriga myndigheter eller privata eller halvprivata enheter enligt artikel 7.3, och ska se till att dessa länkar är korrekta och aktuella.
4. När det är tekniskt möjligt får det tillhandahållande av länkar som avses i punkt 3 genomföras automatiskt mellan medlemsstaternas berörda tekniska system och länkregistret.
5. Kommissionen ska göra informationen i länkregistret tillgänglig för allmänheten i ett öppet och maskinläsbart format.
6. Kommissionen och de nationella samordnarna ska säkerställa att de länkar till information, förfaranden samt hjälp- och problemlösningstjänster som tillhandahålls genom ingången inte helt eller delvis innehåller några onödiga dubbletter eller överlappningar som kan skapa osäkerhet hos användarna.
7. Om tillhandahållandet av den information som avses i artikel 4 föreskrivs i andra bestämmelser i unionsrätten får kommissionen och de nationella samordnarna tillhandahålla länkar till den informationen för att uppfylla kraven i den artikeln.
Artikel 20
Gemensam hjälptjänstsökare
1. För att det ska bli lättare att få tillgång till de hjälp- och problemlösningstjänster som förtecknas i bilaga III eller avses i artikel 7.2 och 7.3 ska de behöriga myndigheterna och kommissionen säkerställa att användarna kommer åt dem via ett gemensamt sökverktyg för hjälp- och problemlösningstjänster (nedan kallat den gemensamma hjälptjänstsökaren) som finns tillgängligt genom ingången.
2. Kommissionen ska utveckla och förvalta den gemensamma hjälptjänstsökaren, och besluta om med vilken struktur och i vilket format som beskrivningar av och kontaktuppgifter till hjälp- och problemlösningstjänster ska tillhandahållas, så att den gemensamma hjälptjänstsökaren kan fungera korrekt.
3. De nationella samordnarna ska förse kommissionen med de beskrivningar och kontaktuppgifter som avses i punkt 2.
Artikel 21
Ansvar för IKT-programmet som stöder ingången
1. Kommissionen ska ansvara för utveckling, tillgänglighet, övervakning, uppdatering, underhåll, säkerhet och värdskap i fråga om följande IKT-program och webbsidor:
a) |
Portalen Ditt Europa som avses i artikel 2.1. |
b) |
Det gemensamma användargränssnitt som avses i artikel 18.1, inbegripet den sökmotor eller något annat IKT-verktyg som möjliggör sökning i webbinformation och webbtjänster. |
c) |
Det länkregister som avses i artikel 19.1. |
d) |
Den gemensamma hjälptjänstsökare som avses i artikel 20.1. |
e) |
De återkopplingsverktyg för användare som avses i artiklarna 25.1 och 26.1 a. |
Kommissionen ska i nära samarbete med medlemsstaterna utveckla IKT-programmen.
2. Medlemsstaterna ska ansvara för utveckling, tillgänglighet, övervakning, uppdatering, underhåll och säkerhet för IKT-program i samband med de nationella webbplatser och webbsidor som de förvaltar och som är kopplade till det gemensamma användargränssnittet.
KAPITEL V
MARKNADSFÖRING
Artikel 22
Namn, logotyp och kvalitetsmärke
1. Det namn som ingången ska bli känd under och marknadsföras med för allmänheten ska vara Your Europe.
Den logotyp som ingången ska bli känd under och marknadsföras med för allmänheten ska beslutas av kommissionen i nära samarbete med samordningsgruppen för ingången, senast den 12 juni 2019.
Logotypen för ingången och en länk till ingången ska göras synlig och tillgänglig på relevanta webbplatser på unionsnivå och nationell nivå som är länkade till ingången.
2. Som bevis på iakttagande av de kvalitetskrav som avses i artiklarna 9, 10 och 11 ska ingångens namn och logotyp även fungera som ett kvalitetsmärke. Ingångens logotyp ska dock endast användas som ett kvalitetsmärke på de webbplatser som finns med i det länkregister som avses i artikel 19.
Artikel 23
Marknadsföring
1. Medlemsstaterna och kommissionen ska främja medvetenheten om och användningen av ingången bland privatpersoner och företag och säkerställa att ingången och dess information, förfarandensamt hjälp- och problemlösningstjänster är synliga för allmänheten och är lätta att hitta via sökmotorer som är tillgängliga för denna.
2. Medlemsstaterna och kommissionen ska samordna sina marknadsföringsaktiviteter som avses i punkt 1 och hänvisa till ingången och använda dess logotyp i sådana aktiviteter, tillsammans med eventuella andra varumärkesnamn när så är lämpligt.
3. Medlemsstaterna och kommissionen ska säkerställa att ingången är lätt att hitta genom de relaterade webbplatser som de ansvarar för, och att tydliga länkar till det gemensamma användargränssnittet finns tillgängliga på alla relevanta webbplatser på unionsnivå och nationell nivå.
4. De nationella samordnarna ska främja ingången hos de nationella behöriga myndigheterna.
KAPITEL VI
INSAMLING AV ANVÄNDARÅTERKOPPLING OCH STATISTIK
Artikel 24
Användarstatistik
1. I syfte att förbättra ingångens funktionalitet ska de behöriga myndigheterna och kommissionen säkerställa att det på ett sätt som garanterar användarnas anonymitet samlas in statistik om användarnas besök på ingången och på de webbsidor som ingången har länkar till.
2. De behöriga myndigheterna, leverantörerna av hjälp- och problemlösningstjänster enligt artikel 7.3 och kommissionen ska samla in och i sammanställd form utbyta uppgifter om antal, ursprung och föremål för begäranden om hjälp- och problemlösningstjänster samt om deras svarstider.
3. Statistik som samlas in i enlighet med punkterna 1 och 2 ska i fråga om den information, de förfaranden samt de hjälp- och problemlösningstjänster som ingången har länkar till omfattar följande datakategorier:
a) |
Data om ingångsanvändarnas antal, ursprung och typ. |
b) |
Data om användarnas preferenser och resor. |
c) |
Data om informationens, förfarandenas samt hjälp- och problemlösningstjänsternas användbarhet och kvalitet samt om i vilken mån de är lätta att hitta. |
Dessa data ska göras tillgängliga för allmänheten i ett öppet och allmänt använt maskinläsbart format.
4. Kommissionen ska anta genomförandeakter om fastställande av metoden för insamling och utbyte av användarstatistik enligt punkterna 1, 2 och 3 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 37.2.
Artikel 25
Användarnas återkoppling på ingångens tjänster
1. I syfte att samla in information direkt från användarna om hur nöjda de är med de tjänster och den information som tillhandahålls genom ingången ska kommissionen via ingången förse användarna med ett användarvänligt återkopplingsverktyg som gör det möjligt att, så snart någon av de tjänster som avses i artikel 2.2 använts, anonymt lämna kommentarer om kvaliteten och tillgängligheten i fråga om de tjänster och den information som tillhandahålls genom ingången, samt det gemensamma användargränssnittet.
2. De behöriga myndigheterna och kommissionen ska säkerställa att användare erbjuds verktyget från alla webbsidor som ingår i ingången.
3. Kommissionen, de behöriga myndigheterna och de nationella samordnarna ska ha direktåtkomst till den användaråterkoppling som samlats in med hjälp av det verktyg som avses i punkt 1, för att åtgärda eventuella problem som tagits upp.
4. De behöriga myndigheterna ska inte vara skyldiga att på de av sina webbsidor som ingår i ingången ge användare tillgång till det verktyg för användaråterkoppling som avses i punkt 1 om det på deras webbsidor, i syfte att övervaka tjänstekvaliteten, redan finns ett verktyg för användaråterkoppling med liknande funktioner som det verktyg för användaråterkoppling som avses i punkt 1. De behöriga myndigheterna ska samla in den användaråterkoppling som mottagits genom deras eget återkopplingsverktyg och dela den med kommissionen och med de nationella samordnarna i de andra medlemsstaterna.
5. Kommissionen ska anta genomförandeakter om fastställande av regler för insamling och delning av användarnas återkoppling. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 37.2.
Artikel 26
Rapportering om den inre marknadens funktion
1. Kommissionen ska
a) |
förse ingångens användare med ett användarvänligt verktyg för att anonymt signalera och lämna synpunkter på hinder som de har stött på under utövandet av sina rättigheter på den inre marknaden, |
b) |
samla in information i sammanställd form från de hjälp- och problemlösningstjänster som utgör en del av ingången om föremålet för förfrågningar och svar. |
2. Kommissionen, de behöriga myndigheterna och de nationella samordnarna ska ha direktåtkomst till den återkoppling som samlats in i enlighet med punkt 1 a.
3. Medlemsstaterna och kommissionen ska analysera och undersöka de problem som tas upp av användare enligt denna artikel och när så är möjligt åtgärda dem med lämpliga medel.
Artikel 27
Onlineöversikt
Kommissionen ska offentliggöra en anonymiserad sammanfattande onlineöversikt av de problem som framkommer av den information som samlas in i enlighet med artikel 26.1, den huvudsakliga användarstatistik som avses i artikel 24 och den centrala återkoppling som avses i artikel 25.
KAPITEL VII
FÖRVALTNING AV INGÅNGEN
Artikel 28
Nationella samordnare
1. Varje medlemsstat ska utse en nationell samordnare. De nationella samordnarna ska utöver sina skyldigheter enligt artiklarna 7, 17, 19, 20, 23 och 25 göra följande:
a) |
Inom sina respektive förvaltningar fungera som kontaktpunkt för alla frågor som rör ingången. |
b) |
Främja enhetlig tillämpning av artiklarna 9–16 av deras respektive behöriga myndigheter. |
c) |
Säkerställa att de rekommendationer som avses i artikel 17.2 c genomförs korrekt. |
2. Varje medlemsstat får dessutom, i enlighet med sin interna förvaltningsstruktur, utnämna ytterligare en eller flera samordnare i syfte att genomföra något av de uppdrag som anges i punkt 1. För varje medlemsstat ska en enda nationell samordnare ansvara för kontakter med kommissionen i alla frågor som rör ingången.
3. Varje medlemsstat ska upplysa de andra medlemsstaterna och kommissionen om sin nationella samordnares namn och kontaktuppgifter.
Artikel 29
Samordningsgrupp
En samordningsgrupp (nedan kallad samordningsgruppen för ingången) inrättas härmed. Den ska bestå av en nationell samordnare från varje medlemsstat och ha en företrädare för kommissionen som ordförande. Den ska anta sin egen arbetsordning. Kommissionen ska tillhandahålla sekretariatet.
Artikel 30
Uppgifter för samordningsgruppen för ingången
1. Samordningsgruppen för ingången ska stödja genomförandet av denna förordning. Den ska i synnerhet
a) |
främja utbyte och regelbunden uppdatering av bästa praxis, |
b) |
uppmuntra antagande av förfaranden helt online utöver dem som ingår i bilaga II till denna förordning samt av metoder för autentisering, identifiering och underskrift online, särskilt de som föreskrivs i förordning (EU) nr 910/2014, |
c) |
diskutera förbättringar av den användarvänliga presentationen av information på de områden som förtecknas i bilaga I, särskilt på grundval av de data som samlas in i enlighet med artiklarna 24 och 25, |
d) |
bistå kommissionen vid utvecklingen av de gemensamma IKT-lösningar som ska stödja ingången, |
e) |
diskutera utkastet till årligt arbetsprogram, |
f) |
bistå kommissionen i övervakningen av genomförandet av det årliga arbetsprogrammet, |
g) |
diskutera ytterligare information som tillhandahålls i enlighet med artikel 5 i syfte att uppmuntra andra medlemsstater att tillhandahålla liknande information, där sådan är av relevans för användarna, |
h) |
bistå kommissionen i uppföljningen av efterlevnaden av de krav som anges i artiklarna 8–16, i enlighet med artikel 17, |
i) |
informera om genomförandet av artikel 6.1, |
j) |
diskutera åtgärder och rekommendera dem till de behöriga myndigheterna och kommissionen i syfte att undvika eller eliminera onödig överlappning av de tjänster som är tillgängliga genom ingången, |
k) |
lämna yttranden om förfaranden eller åtgärder för att effektivt ta itu med eventuella problem med tjänsternas kvalitet som användarna har tagit upp eller förslag på hur de kan förbättras, |
l) |
diskutera tillämpningen av principerna om inbyggd säkerhet och inbyggt integritetsskydd inom ramen för denna förordning, |
m) |
diskutera frågor med anknytning till den insamling av användaråterkoppling och statistik som avses i artiklarna 24 och 25, i syfte att kontinuerligt förbättra de tjänster som erbjuds på unionsnivå och nationell nivå, |
n) |
diskutera frågor som rör kvalitetskraven för de tjänster som erbjuds genom ingången, |
o) |
utbyta bästa praxis och bistå kommissionen när det gäller hur de tjänster som avses i artikel 2.2 organiseras, struktureras och presenteras, så att det gemensamma användargränssnittet kan fungera korrekt, |
p) |
främja utveckling och genomförande av den samordnade marknadsföringen, |
q) |
samarbeta med de styrande organen eller nätverken för tjänster för information, hjälp och problemlösning, |
r) |
tillhandahålla vägledning om ett eller flera ytterligare officiella unionsspråk som ska användas av nationella behöriga myndigheter i enlighet med artiklarna 9.2, 10.4, 11.2 och 13.2 a. |
2. Kommissionen får rådgöra med samordningsgruppen för ingången i alla frågor som rör tillämpningen av denna förordning.
Artikel 31
Årligt arbetsprogram
1. Kommissionen ska anta det årliga arbetsprogrammet, där särskilt följande ska anges:
a) |
Åtgärder för att förbättra presentationen av specifik information på de områden som förtecknas i bilaga I och åtgärder för att underlätta för behöriga myndigheter på alla nivåer, även kommunal, att i rätt tid fullgöra skyldigheten att tillhandahålla information. |
b) |
Åtgärder för att underlätta att artiklarna 6 och 13 följs. |
c) |
Åtgärder som krävs för att säkerställa att kraven i artiklarna 9–12 uppfylls. |
d) |
Åtgärder som rör marknadsföringen av ingången i enlighet med artikel 23. |
2. När kommissionen förbereder utkastet till årligt arbetsprogram ska den ta hänsyn till användarstatistik och användaråterkoppling som samlats in i enlighet med artiklarna 24 och 25 och till eventuella förslag från medlemsstaterna. Innan det antas ska kommissionen översända utkastet till årligt arbetsprogram till samordningsgruppen för ingången för diskussion.
KAPITEL VIII
SLUTBESTÄMMELSER
Artikel 32
Kostnader
1. Europeiska unionens allmänna budget ska täcka kostnaderna för
a) |
utveckling och underhåll av de IKT-verktyg som stöder genomförandet av denna förordning på unionsnivå, |
b) |
marknadsföring av ingången på unionsnivå, |
c) |
översättning av information, förklaringar och instruktioner i enlighet med artikel 12 inom ramen för en största årlig volym per medlemsstat, utan att det påverkar eventuell omfördelning där detta är nödvändigt för att möjliggöra fullt utnyttjande av de tillgängliga budgetmedlen. |
2. Kostnaderna i samband med nationella webbportaler, informationsplattformar, hjälptjänster och förfaranden som inrättats på medlemsstatsnivå ska tas från respektive medlemsstats budget, såvida inget annat föreskrivs i unionslagstiftningen.
Artikel 33
Skydd av personuppgifter
Behandlingen av personuppgifter av behöriga myndigheter inom ramen för denna förordning ska överensstämma med förordning (EU) 2016/679. Kommissionens behandling av personuppgifter inom ramen för denna förordning ska överensstämma med bestämmelserna i förordning (EU) 2018/1725.
Artikel 34
Samarbete med andra informations- och hjälpnätverk
1. Efter samråd med medlemsstaterna ska kommissionen besluta vilka befintliga informella styrformer för de hjälp- och problemlösningstjänster som förtecknas i bilaga III eller för några andra informationsområden som omfattas av bilaga I som ska omfattas av samordningsgruppen för ingångens ansvar.
2. Om tjänsterna eller nätverken för information och hjälp har skapats genom en rättsligt bindande unionsakt för något av de informationsområden som omfattas av bilaga I, ska kommissionen samordna arbetet för samordningsgruppen för ingången och de styrande organen för dessa tjänster eller nätverk i syfte att uppnå synergieffekter och undvika överlappningar.
Artikel 35
Informationssystemet för den inre marknaden
1. Det informationssystem för den inre marknaden (IMI) som inrättades genom förordning (EU) nr 1024/2012 ska användas vid tillämpningen av och i enlighet med artiklarna 6.4 och 15.
2. Kommissionen får besluta att använda IMI som det elektroniska länkregister som avses i artikel 19.1.
Artikel 36
Rapportering och översyn
Senast den 12 december 2022 och därefter vartannat år ska kommissionen se över tillämpningen av denna förordning och överlämna en utvärderingsrapport till Europaparlamentet och rådet om hur ingången fungerar och om hur den inre marknaden fungerar med utgångspunkt i den statistik och återkoppling som samlats in i enlighet med artiklarna 24, 25 och 26. Vid översynen ska särskilt räckvidden av artikel 14 utvärderas med beaktande av den tekniska, marknadsrelaterade och juridiska utvecklingen när det gäller utbyte av bevis mellan behöriga myndigheter.
Artikel 37
Kommittéförfarande
1. Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.
2. När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.
Artikel 38
Ändring av förordning (EU) nr 1024/2012
Förordning (EU) nr 1024/2012 ska ändras på följande sätt:
1. |
Artikel 1 ska ersättas med följande: ”Artikel 1 Syfte I denna förordning fastställs regler för användningen av informationssystemet för den inre marknaden (nedan kallat IMI), för administrativt samarbete mellan IMI-aktörer, inbegripet behandling av personuppgifter.” |
2. |
Artikel 3.1 ska ersättas med följande: ”1. IMI ska användas för utbyte av information, inbegripet personuppgifter, mellan IMI-aktörerna och för behandling av den informationen för något av följande syften:
|
3. |
I artikel 5 ska andra stycket ändras på följande sätt:
|
4. |
I artikel 8.1 ska följande led läggas till:
|
5. |
Artikel 9.4 ska ersättas med följande: ”4. Lämpliga medel ska inrättas av medlemsstaterna, kommissionen och unionens organ och byråer för att se till att IMI-användarna får tillgång till de personuppgifter som behandlas i IMI endast i de fall det föreligger ett behov och endast inom de områden av den inre marknaden för vilka de har beviljats tillträdesrättigheter enligt punkt 3.” |
6. |
Artikel 21 ska ändras på följande sätt:
|
7. |
Artikel 29.1 ska utgå. |
8. |
I bilagan ska följande punkter läggas till:
|
Artikel 39
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Artiklarna 2, 4, 7–12, 16, 17, 18.1–18.4, 19, 20, 24.1, 24.2, 24.3, 25.1–25.4, 26 och 27 ska tillämpas från och med den 12 december 2020.
Artiklarna 6, 13, 14.1–14.8, 14.10 och 15 ska tillämpas från och med den 12 december 2023.
Utan hinder av datumet för tillämpning av artiklarna 2, 9, 10, och 11 ska kommunala myndigheter göra den information, de förklaringar och de instruktioner som avses i dessa artiklar tillgängliga senast den 12 december 2022.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Strasbourg den 2 oktober 2018.
På Europaparlamentets vägnar
A. TAJANI
Ordförande
På rådets vägnar
J. BOGNER-STRAUSS
Ordförande
(1) EUT C 81, 2.3.2018, s. 88.
(2) Europaparlamentets ståndpunkt av den 13 september 2018 (ännu ej offentliggjord i EUT) och rådets beslut av den 27 september 2018.
(3) Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (EUT L 376, 27.12.2006, s. 36).
(4) Europaparlamentets och rådets förordning (EG) nr 764/2008 av den 9 juli 2008 om förfaranden för tillämpning av vissa nationella tekniska regler på produkter som lagligen saluförts i en annan medlemsstat och om upphävande av beslut nr 3052/95/EG (EUT L 218, 13.8.2008, s. 21).
(5) Europaparlamentets och rådets förordning (EU) nr 305/2011 av den 9 mars 2011 om fastställande av harmoniserade villkor för saluföring av byggprodukter och om upphävande av rådets direktiv 89/106/EEG (EUT L 88, 4.4.2011, s. 5).
(6) Europaparlamentets och rådets direktiv 2005/36/EG av den 7 september 2005 om erkännande av yrkeskvalifikationer (EUT L 255, 30.9.2005, s. 22).
(7) Kommissionens rekommendation 2013/461/EU av den 17 september 2013 om principerna för Solvit (EUT L 249, 19.9.2013, s. 10).
(8) Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG (EUT L 94, 28.3.2014, s. 65).
(9) Europaparlamentets och rådets direktiv 2014/25/EU av den 26 februari 2014 om upphandling av enheter som är verksamma på områdena vatten, energi, transporter och posttjänster och om upphävande av direktiv 2004/17/EG (EUT L 94, 28.3.2014, s. 243).
(10) Europaparlamentets och rådets förordning (EU) 2016/589 av den 13 april 2016 om ett europeiskt nätverk för arbetsförmedlingar (Eures), om arbetstagares tillgång till rörlighetstjänster och om ytterligare integration av arbetsmarknaderna samt om ändring av förordningarna (EU) nr 492/2011 och (EU) nr 1296/2013 (EUT L 107, 22.4.2016, s. 1).
(11) Rådets beslut 2001/470/EG av den 28 maj 2001 om inrättandet av ett europeiskt rättsligt nätverk på privaträttens område (EGT L 174, 27.6.2001, s. 25).
(12) Europaparlamentets och rådets direktiv 2014/67/EU av den 15 maj 2014 om tillämpning av direktiv 96/71/EG om utstationering av arbetstagare i samband med tillhandahållande av tjänster och om ändring av förordning (EU) nr 1024/2012 om administrativt samarbete genom informationssystemet för den inre marknaden (IMI-förordningen) (EUT L 159, 28.5.2014, s. 11).
(13) Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73).
(14) Europaparlamentets och rådets förordning (EG) nr 883/2004 av den 29 april 2004 om samordning av de sociala trygghetssystemen (EUT L 166, 30.4.2004, s. 1).
(15) Europaparlamentets och rådets förordning (EG) nr 987/2009 av den 16 september 2009 om tillämpningsbestämmelser till förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen (EUT L 284, 30.10.2009, s. 1).
(16) Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer (EUT L 327, 2.12.2016, s. 1).
(17) Rådets beslut 2010/48/EG av den 26 november 2009 om ingående från Europeiska gemenskapens sida av Förenta nationernas konvention om rättigheter för personer med funktionsnedsättning (EUT L 23, 27.1.2010, s. 35).
(18) Europaparlamentets och rådets förordning (EU) nr 260/2012 av den 14 mars 2012 om antagande av tekniska och affärsmässiga krav för betalningar och autogireringar i euro och om ändring av förordning (EG) nr 924/2009 (EUT L 94, 30.3.2012, s. 22).
(19) Europaparlamentets och rådets förordning (EU) nr 1024/2012 av den 25 oktober 2012 om administrativt samarbete genom informationssystemet för den inre marknaden och om upphävande av kommissionens beslut 2008/49/EG (IMI-förordningen) (EUT L 316, 14.11.2012, s. 1).
(20) Europaparlamentets och rådets förordning (EU) 2016/1191 av den 6 juli 2016 om främjande av medborgares fria rörlighet genom förenkling av kraven på framläggande av vissa officiella handlingar i Europeiska unionen och om ändring av förordning (EU) nr 1024/2012 (EUT L 200, 26.7.2016, s. 1).
(21) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
(22) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (se sidan 39 i detta nummer av EUT).
(23) Europaparlamentets och rådets förordning (EU) nr 1316/2013 av den 11 december 2013 om inrättande av Fonden för ett sammanlänkat Europa, om ändring av förordning (EU) nr 913/2010 och om upphävande av förordningarna (EG) nr 680/2007 och (EG) nr 67/2010 (EUT L 348, 20.12.2013, s. 129).
(24) Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt (EUT L 169, 30.6.2017, s. 46).
(25) Europaparlamentets och rådets förordning (EU) 2015/848 av den 20 maj 2015 om insolvensförfaranden (EUT L 141, 5.6.2015, s. 19).
(26) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
(27) Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).
(28) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).
(29) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).
BILAGA I
Förteckning över informationsområden som är relevanta för privatpersoner och företag som utövar sina rättigheter på den inre marknaden enligt artikel 2.2 a
Informationsområden som rör privatpersoner:
Område |
INFORMATION OM RÄTTIGHETER, SKYLDIGHETER OCH REGLER ENLIGT UNIONSRÄTT OCH NATIONELL RÄTT |
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
||||||||||||||||||||
|
|
Informationsområden som rör företag:
Område |
INFORMATION OM RÄTTIGHETER, SKYLDIGHETER OCH REGLER |
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
||||||||||||||||||||||||
|
|
BILAGA II
Förfaranden som avses i artikel 6.1
Livshändelser |
Förfaranden |
Förväntat resultat med förbehåll för den behöriga myndighetens bedömning av ansökan i enlighet med nationell rätt, där så är relevant |
Födelse |
Ansöka om bevis om registrering av födelse |
Bevis om registrering av födelse eller födelsebevis |
Hemvist |
Ansöka om bevis för bosättning |
Bekräftelse på aktuell folkbokföringsadress |
Studera |
Ansöka om studiefinansiering för tertiär utbildning, t.ex. studiebidrag och studielån, från ett offentligt organ eller en offentlig institution |
Beslut om ansökan om finansiering eller mottagningsbevis |
Lämna in inledande ansökan om antagning till en offentlig inrättning för högre utbildning |
Bekräftelse på mottagande av ansökan |
|
Ansöka om akademiskt erkännande av examensbevis, utbildningsbevis eller andra bevis på fullgjorda studier eller kurser |
Beslut om ansökan om erkännande |
|
Arbeta |
Ansöka om beslut om fastställande av tillämplig lagstiftning i enlighet med avdelning II i förordning (EG) nr 883/2004 (1) |
Beslut om tillämplig lagstiftning |
Anmäla ändrade personliga eller yrkesrelaterade förhållanden avseende den person som erhåller sociala trygghetsförmåner, vilka är relevanta för sådana förmåner |
Bekräftelse på mottagande av anmälan om ändring |
|
Ansöka om europeiskt sjukförsäkringskort |
Europeiskt sjukförsäkringskort |
|
Lämna in en inkomstskattedeklaration |
Bekräftelse på mottagande av deklarationen |
|
Flytta |
Anmäla adressändring |
Bekräftelse på avregistrering från den gamla adressen och registrering på den nya adressen |
Registrera ett motorfordon som ursprungligen kommer från eller redan är registrerat i en medlemsstat, enligt standardförfaranden (2) |
Bevis på motorfordonsregistrering |
|
Erhållande av klistermärken för användning av nationell väginfrastruktur: tidsbaserade avgifter (vinjett), avståndsbaserade avgifter (vägtull), klistermärken för utsläpp utfärdade av ett offentligt organ eller en offentlig institution |
Mottagande av vägtullsmärke eller vinjett eller annat bevis på betalning |
|
Erhållande av klistermärken för utsläpp utfärdade av ett offentligt organ eller en offentlig institution |
Mottagande av klistermärke för utsläpp eller annat bevis på betalning |
|
Gå i pension |
Ansöka om pension och förmåner vid förtida pensionering från obligatoriska system |
Bekräftelse på mottagning av ansökan eller beslut om ansökan om pension eller förmåner vid förtida pensionering |
Begära ut information om uppgifter med anknytning till pension från obligatoriska system |
Redovisning av personliga pensionsuppgifter |
|
Starta företag och bedriva affärsverksamhet |
Anmälan av affärsverksamhet, tillstånd för affärsverksamhet, ändring av affärsverksamhet och avslutande av affärsverksamhet utan insolvens- eller likvidationsförfaranden, undantaget inledande registrering av affärsverksamhet i företagsregistret och undantaget förfaranden för bildande eller senare anmälan av bolag i den mening som avses i artikel 54 andra stycket i EUF-fördraget |
Bekräftelse på mottagande av anmälan eller ändring av – eller av ansökan om tillstånd för – affärsverksamhet |
Registrera en arbetsgivare (en fysisk person) i ett obligatoriskt pensions- och försäkringssystem |
Bekräftelse på registrering eller socialförsäkringsnummer |
|
Registrera anställda i ett obligatoriskt pensions- och försäkringssystem |
Bekräftelse på registrering eller socialförsäkringsnummer |
|
Lämna in en bolagsskattedeklaration |
Bekräftelse på mottagande av deklarationen |
|
Meddela socialförsäkringssystemet när en anställds kontrakt avslutas, dock ej förfaranden för kollektivt avslutande av anställningskontrakt |
Bekräftelse på mottagande av meddelandet |
|
Betala sociala avgifter för anställda |
Kvitto eller annan form av bekräftelse på betalningen av sociala avgifter för anställda |
(1) Europaparlamentets och rådets förordning (EG) nr 883/2004 av den 29 april 2004 om samordning av de sociala trygghetssystemen (EUT L 166, 30.4.2004, s. 1).
(2) Detta omfattar följande fordon: a) motorfordon och släpvagnar enligt artikel 3 i Europaparlamentets och rådets direktiv 2007/46/EG (EUT L 263, 9.10.2007, s. 1) och b) två- och trehjuliga motorfordon – även sådana med tvillinghjul – som är avsedda för vägtrafik enligt artikel 1 i Europaparlamentets och rådets förordning (EU) nr 168/2013 (EUT L 60, 2.3.2013, s. 52).
BILAGA III
Förteckning över de hjälp- och problemlösningstjänster som avses i artikel 2.2 c
1. |
Gemensamma kontaktpunkter (1) |
2. |
Kontaktpunkter för produkter (2) |
3. |
Kontaktpunkter för byggprodukter (3) |
4. |
Nationella rådgivningscentrum för yrkeskvalifikationer (4) |
5. |
Nationella kontaktpunkter för gränsöverskridande hälso- och sjukvård (5) |
6. |
Europeiska nätverket för arbetsförmedlingar (Eures) (6) |
7. |
Tvistlösning online (7) |
(1) Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (EUT L 376, 27.12.2006, s. 36).
(2) Europaparlamentets och rådets förordning (EG) nr 764/2008 av den 9 juli 2008 om förfaranden för tillämpning av vissa nationella tekniska regler på produkter som lagligen saluförts i en annan medlemsstat och om upphävande av beslut nr 3052/95/EG (EUT L 218, 13.8.2008, s. 21).
(3) Europaparlamentets och rådets förordning (EU) nr 305/2011 av den 9 mars 2011 om fastställande av harmoniserade villkor för saluföring av byggprodukter och om upphävande av rådets direktiv 89/106/EEG (EUT L 88, 4.4.2011, s. 5).
(4) Europaparlamentets och rådets direktiv 2005/36/EG av den 7 september 2005 om erkännande av yrkeskvalifikationer (EUT L 255, 30.9.2005, s. 22).
(5) Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).
(6) Europaparlamentets och rådets förordning (EU) 2016/589 av den 13 april 2016 om ett europeiskt nätverk för arbetsförmedlingar (Eures), om arbetstagares tillgång till rörlighetstjänster och om ytterligare integration av arbetsmarknaderna samt om ändring av förordningarna (EU) nr 492/2011 och (EU) nr 1296/2013 (EUT L 107, 22.4.2016, s. 1).
(7) Europaparlamentets och rådets förordning (EU) nr 524/2013 av den 21 maj 2013 om tvistlösning online vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (förordningen om tvistlösning online vid konsumenttvister) (EUT L 165, 18.6.2013, s. 1).
21.11.2018 |
SV |
Europeiska unionens officiella tidning |
L 295/39 |
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2018/1725
av den 23 oktober 2018
om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG
(Text av betydelse för EES)
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),
i enlighet med det ordinarie lagstiftningsförfarandet (2), och
av följande skäl:
(1) |
Skyddet för fysiska personer med avseende på behandling av personuppgifter är en grundläggande rättighet. I artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Denna rättighet garanteras även i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. |
(2) |
Europaparlamentets och rådets förordning (EG) nr 45/2001 (3) föreskriver verkställbara rättigheter för fysiska personer, anger de skyldigheter avseende behandling av personuppgifter som åligger personuppgiftsansvariga inom gemenskapsinstitutionerna och gemenskapsorganen, och inrättar en oberoende tillsynsmyndighet, Europeiska datatillsynsmannen, vars uppgift är att övervaka behandlingen av personuppgifter vid unionens institutioner och unionsorgan. Den är emellertid inte tillämplig på behandling av personuppgifter som utgör ett led i sådan verksamhet vid unionsinstitutioner eller unionsorgan vilken inte omfattas av unionsrätten. |
(3) |
Europaparlamentets och rådets förordning (EU) 2016/679 (4) och Europaparlamentets och rådets direktiv (EU) 2016/680 (5) antogs den 27 april 2016. Medan förordningen fastställer allmänna regler som syftar till att skydda fysiska personer med avseende på behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter inom unionen, fastställs i direktivet särskilda regler som syftar till att skydda fysiska personer med avseende på behandlingen av personuppgifter och att säkerställa det fria flödet av personuppgifter inom unionen på området för straffrättsligt samarbete och polissamarbete. |
(4) |
I förordning (EU) 2016/679 föreskrivs anpassningar av förordning (EG) nr 45/2001 för att säkerställa en stark och sammanhängande ram för dataskyddet inom unionen och för att göra det möjligt att tillämpa den parallellt med förordning (EU) 2016/679. |
(5) |
För att främja en konsekvent strategi för skyddet av personuppgifter i hela unionen och för det fria flödet av personuppgifter inom unionen är det viktigt att så långt som möjligt anpassa de regler om skydd av personuppgifter som gäller för unionens institutioner, organ och byråer till de regler om skydd för personuppgifter som har antagits för den offentliga sektorn i medlemsstaterna. När en bestämmelse i denna förordning följer samma principer som en bestämmelse i förordning (EU) 2016/679 bör dessa båda bestämmelser, enligt rättspraxis från Europeiska unionens domstol (nedan kallad domstolen), tolkas enhetligt, särskilt eftersom den systematik som denna förordning bygger på bör uppfattas som en motsvarighet till systematiken bakom förordning (EU) 2016/679. |
(6) |
Personer vars personuppgifter behandlas av unionsinstitutioner och unionsorgan bör skyddas, oavsett i vilket sammanhang behandlingen sker, till exempel därför att dessa personer är anställda av dessa institutioner och organ. Denna förordning bör inte vara tillämplig på behandling av personuppgifter som rör avlidna personer. Denna förordning omfattar inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter. |
(7) |
För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används. |
(8) |
Denna förordning bör vara tillämplig på behandling av personuppgifter som utförs av alla unionens institutioner, organ och byråer. Den bör vara tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av sådana personuppgifter som ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av denna förordning. |
(9) |
I förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att det med hänsyn till detta områdes särart kan komma att bli nödvändigt att anta särskilda regler om skydd av personuppgifter och om det fria flödet av personuppgifter på området för straffrättsligt samarbete och polissamarbete med stöd av artikel 16 i EUF-fördraget. Ett särskilt kapitel med allmänna regler i denna förordning bör därför vara tillämpligt på behandlingen av operativa personuppgifter, t.ex. sådana personuppgifter som unionens organ eller byråer behandlar i samband med brottsutredningar när de utövar verksamhet på området för straffrättsligt samarbete och polissamarbete. |
(10) |
I direktiv (EU) 2016/680 fastställs harmoniserade regler om skydd och fri rörlighet för personuppgifter som behandlas i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. I syfte att säkerställa en enhetlig skyddsnivå för skyddet av fysiska personer genom rättsligt verkställbara rättigheter i hela unionen och undvika avvikelser som hämmar utbytet av personuppgifter mellan unionens organ eller byråer som utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget och behöriga myndigheter, bör reglerna om skyddet av och den fria rörligheten för operativa personuppgifter som behandlas av sådana unionsorgan eller unionsbyråer vara förenliga med direktiv (EU) 2016/680. |
(11) |
De allmänna reglerna i kapitlet om behandling av operativa personuppgifter i denna förordning bör inte påverka tillämpningen av de särskilda regler som är tillämpliga på behandlingen av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget. Sådana särskilda regler bör betraktas som lex specialis till bestämmelserna i kapitlet i denna förordning om behandling av operativa personuppgifter (lex specialis derogat generali, dvs. en speciallag äger företräde framför en allmän lag). För att minska den rättsliga fragmenteringen bör de särskilda regler om skydd för personuppgifter som är tillämpliga på behandlingen av operativa personuppgifter som utförs av unionens organ eller byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget vara förenliga med de principer som ligger till grund för kapitlet om behandling av operativa personuppgifter i denna förordning och med de bestämmelser i denna förordning som rör oberoende tillsyn, rättsmedel, ansvar och sanktioner. |
(12) |
Kapitlet om behandling av operativa personuppgifter i denna förordning bör tillämpas på unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, oavsett om de utövar denna verksamhet som sin huvuduppgift eller tilläggsuppgift i syfte att förebygga, förhindra, avslöja, utreda eller lagföra brott. Kapitlet bör emellertid inte tillämpas på Europol eller på Europeiska åklagarmyndigheten förrän rättsakterna om inrättande av Europol och Europeiska åklagarmyndigheten har ändrats så att kapitlet om behandling av operativa personuppgifter i denna förordning, i dess anpassade lydelse, är tillämpligt på dem. |
(13) |
Kommissionen bör se över denna förordning, särskilt kapitlet om behandling av operativa personuppgifter i denna förordning. Kommissionen bör också se över andra rättsakter som har antagits på grundval av fördragen och som reglerar den behandling av operativa personuppgifter som utförs av unionens organ eller byråer när de utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget. Efter en sådan översyn bör kommissionen ha möjlighet att lägga fram lämpliga lagstiftningsförslag, bland annat nödvändiga anpassningar av kapitlet om behandling av operativa personuppgifter i denna förordning för att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på behandlingen av personuppgifter och i syfte att tillämpa det på Europol och Europeiska åklagarmyndigheten. Anpassningarna bör bland annat ta hänsyn till bestämmelserna om oberoende tillsyn, rättsmedel, ansvar och sanktioner. |
(14) |
Behandlingen av administrativa personuppgifter, t.ex. personaluppgifter, som utförs av unionens organ eller byråer som utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget bör omfattas av denna förordning. |
(15) |
Denna förordning bör vara tillämplig på behandling av personuppgifter som utförs av unionens institutioner, organ eller byråer som utövar verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen (EU-fördraget). Denna förordning bör inte tillämpas på sådan behandling av personuppgifter som utförs av de uppdrag som avses i artiklarna 42.1, 43 och 44 i EU-fördraget och som genomför den gemensamma säkerhets- och försvarspolitiken. Vid behov bör relevanta förslag läggas fram för att ytterligare reglera behandlingen av personuppgifter inom den gemensamma säkerhets- och försvarspolitiken. |
(16) |
Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, dvs. information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål. |
(17) |
Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för dataskydd. |
(18) |
Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem. |
(19) |
Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denna godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan t.ex. ske genom att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen sker för flera olika ändamål, bör samtycke ges för samtliga ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna begäran vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. Samtidigt bör den registrerade ha rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandling som grundar sig på samtycket innan detta återkallades. För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i särskilda fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att lämna sitt samtycke endast till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta. |
(20) |
Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem samlas in, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det säkerställs att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att säkerställa att felaktiga uppgifter rättas eller raderas. Personuppgifter bör behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till, eller obehörig användning av, personuppgifter och den utrustning som används för behandlingen samt för att förhindra obehörigt utlämnande i samband med överföring. |
(21) |
I enlighet med principen om ansvarsskyldighet bör unionsinstitutioner och unionsorgan, i samband med att de överför personuppgifter inom samma unionsinstitution eller unionsorgan, och mottagaren inte är en del av den personuppgiftsansvarige, eller till andra av unionsinstitutioner eller unionsorgan, kontrollera om sådana personuppgifter är nödvändiga för det legitima utförandet av uppgifter som omfattas av mottagarens behörighet. Efter en mottagares begäran om överföring av uppgifter bör den personuppgiftsansvarige kontrollera att det föreligger en relevant grund för laglig behandling av personuppgifter och att mottagaren är behörig. Den personuppgiftsansvarige bör också göra en preliminär bedömning av om överföringen av uppgifterna är nödvändig. Om det uppstår tveksamhet om nödvändigheten bör den personuppgiftsansvarige begära ytterligare förklaringar från mottagaren. Mottagaren bör se till att det senare kan kontrolleras att överföringen av uppgifterna var nödvändig. |
(22) |
För att behandling ska vara laglig bör personuppgifterna behandlas med hänsyn till nödvändigheten av att unionsinstitutioner och unionsorgan utför en uppgift av allmänt intresse eller som ett led i sin myndighetsutövning, nödvändigheten av att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller någon annan legitim grund i denna förordning, inbegripet samtycke från den registrerade, en nödvändighet som hänför sig till fullgörandet av ett avtal i vilket den registrerade är part eller vidtagandet av åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Behandling av personuppgifter för utförandet av de uppgifter av allmänt intresse som unionsinstitutionerna och unionsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de ska fungera. Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på grundval av en annan fysisk persons grundläggande intressen bör i princip äga rum endast om behandlingen inte uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan. |
(23) |
Den unionsrätt som avses i denna förordning bör vara tydlig och precis, och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. |
(24) |
De interna regler som det hänvisas till i denna förordning bör vara tydliga och precisa akter med allmän giltighet som är avsedda att ha rättsverkan gentemot registrerade. De bör antas på unionsinstitutionernas och unionsorganens högsta administrativa nivå inom ramen för deras behörighet när det gäller frågor rörande deras funktion. De bör offentliggöras i Europeiska unionens officiella tidning. Tillämpningen av dessa regler bör vara förutsägbar för personer som omfattas av dem, i enlighet med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Interna regler kan vara utformade som beslut, särskilt om de har antagits av unionsinstitutioner. |
(25) |
Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör vara tillåten endast när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens laglighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna samlats in, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige när det gäller den fortsatta behandlingen, personuppgifternas art, konsekvenserna för de registrerade av den planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen. |
(26) |
När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (6) bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. |
(27) |
Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet vara tillämpligt på skapande av personlighetsprofiler samt på insamlingen av personuppgifter med avseende på barn i samband med tjänster som erbjuds direkt till barn på webbplatser som tillhör unionsinstitutioner och unionsorgan, såsom interpersonella kommunikationstjänster eller internetförsäljning av biljetter, och behandlingen av personuppgifter grundar sig på samtycke. |
(28) |
När mottagare som är etablerade i unionen och som inte är unionsinstitutioner och unionsorgan vill få personuppgifter överförda till sig av unionsinstitutioner och unionsorgan, bör dessa mottagare visa att överföringen är nödvändig för att de ska kunna utföra en uppgift som antingen är av allmänt intresse eller är ett led i deras myndighetsutövning. Alternativt bör dessa mottagare visa att överföringen är nödvändig för ett specifikt ändamål av allmänt intresse, och den personuppgiftsansvarige bör fastställa om det finns skäl att anta att den registrerades legitima intressen skulle kunna skadas. Om så är fallet bör den personuppgiftsansvarige på ett påvisbart sätt väga de olika konkurrerande intressena mot varandra för att bedöma om den begärda överföringen av personuppgifter är proportionell. Det specifika ändamålet av allmänt intresse kan vara kopplat till öppenheten inom unionsinstitutioner och unionsorgan. Unionens institutioner och organ bör dessutom visa att det föreligger en sådan nödvändighet när de själva initierar en överföring, i överensstämmelse med principen om öppenhet och god förvaltningssed. De krav som fastställs i denna förordning för överföring till mottagare som är etablerade i unionen och som inte är unionsinstitutioner och unionsorgan bör uppfattas som kompletterande till villkoren för laglig behandling. |
(29) |
Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Sådana personuppgifter bör inte behandlas om inte villkoren i denna förordning är uppfyllda. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton definieras som biometriska uppgifter endast när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Utöver de särskilda kraven för behandling av känsliga uppgifter, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter. |
(30) |
Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör behandlas endast i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård eller social omsorg och deras system. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter som rör hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade tystnadsplikt. Unionsrätten bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter. |
(31) |
På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (7), nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål. |
(32) |
Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denna att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade lämnat till stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad, till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige. |
(33) |
Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör genomföras när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t.ex. pseudonymisering av personuppgifter). Unionsinstitutioner och unionsorgan bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i unionsrätten, vilket kan inbegripa interna regler som har antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion. |
(34) |
Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning, inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör också tillhandahålla hjälpmedel för ingivande av elektroniska framställningar, särskilt i fall då personuppgifter behandlas elektroniskt. Den personuppgiftsansvarige bör utan onödigt dröjsmål och senast inom en månad vara skyldig att besvara registrerades önskemål och lämna en motivering, om den inte avser att uppfylla sådana önskemål. |
(35) |
Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör den registrerade även informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna om han eller hon inte lämnar dem. Denna information får tillhandahållas tillsammans med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt bör de vara maskinläsbara. |
(36) |
Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än det för vilket uppgifterna samlades in, bör denna före denna ytterligare behandling informera den registrerade om detta andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den registrerade på grund av att olika källor har använts, bör allmän information ges. |
(37) |
Den registrerade bör ha rätt att få tillgång till personuppgifter som samlats in om honom eller henne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa, exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt för vilka ändamål personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. Denna rätt bör inte inverka menligt på andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken behandling en begäran avser, innan informationen lämnas ut. |
(38) |
Den registrerade bör ha rätt att få sina personuppgifter rättade och ha en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätt som den personuppgiftsansvarige omfattas av. En registrerad bör ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återkallat sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är ett barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk. |
(39) |
För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att en personuppgiftsansvarig som offentliggjort personuppgifter är förpliktigad att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran. |
(40) |
Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet. |
(41) |
För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig för att ett avtal ska kunna genomföras. Därför bör den inte vara tillämplig när behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och friheter i enlighet med denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan. |
(42) |
När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, bör alla registrerade ändå ha rätt att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter. |
(43) |
Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom e-rekrytering utan personlig kontakt. Sådan behandling omfattar profilering i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne. Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock tillåtas när det uttryckligen är tillåtet enligt unionsrätten. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till personlig kontakt, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Sådana åtgärder bör inte gälla barn. I syfte att sörja för rättvis och öppen behandling med avseende på den registrerade, med beaktande av de specifika omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter samt förhindra bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller behandling som leder till åtgärder som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av personuppgifter bör tillåtas endast på särskilda villkor. |
(44) |
Rättsakter som antagits på grundval av fördragen eller interna regler som antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion får föreskriva begränsningar med avseende på specifika principer och med avseende på rätt till information, tillgång till och rättelse eller radering av personuppgifter, rätt till dataportabilitet, konfidentiell behandling av uppgifter från elektronisk kommunikation, underrättelse om en personuppgiftsincident till den registrerade och vissa därmed sammanhängande skyldigheter för personuppgiftsansvariga, i den utsträckning åtgärden är nödvändig och proportionell i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten och för att förebygga, förhindra, utreda och lagföra brott eller verkställa straffrättsliga sanktioner. Detta inbegriper skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten, skydd av människoliv, särskilt vid naturkatastrofer eller katastrofer orsakade av människan, inre säkerhet för unionsinstitutioner och unionsorgan, andra viktiga mål av allmänt intresse för hela unionen eller en medlemsstat, i synnerhet målen för unionens gemensamma utrikes- och säkerhetspolitik eller ett viktigt ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat samt förande av offentliga register av hänsyn till ett allmänt intresse eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl. |
(45) |
Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter. |
(46) |
Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering, eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade. |
(47) |
Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk. |
(48) |
Skyddet av fysiska personers rättigheter och friheter med avseende på behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar. |
(49) |
I förordning (EU) 2016/679 föreskrivs att personuppgiftsansvariga får styrka efterlevnad genom anslutning till godkända certifieringsmekanismer. På liknande sätt bör unionsinstitutioner och unionsorgan kunna styrka efterlevnad av denna förordning genom att certifieras i enlighet med artikel 42 i förordning (EU) 2016/679. |
(50) |
Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbiträdenas ansvar kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar. |
(51) |
För att säkerställa att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Anslutning av andra personuppgiftsbiträden än unionsinstitutioner och unionsorgan till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av andra personuppgiftsbiträden än unionsinstitutioner och unionsorgan bör hanteringen regleras genom ett avtal eller, om unionsinstitutioner och unionsorgan är personuppgiftsbiträden, genom ett avtal eller en annan rättsakt enligt unionsrätten mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den personuppgiftsansvarige och personuppgiftsbiträdet bör kunna välja att använda sig av ett enskilt avtal eller standardavtalsklausuler som antingen antas direkt av kommissionen eller av Europeiska datatillsynsmannen och därefter av kommissionen. Efter det att behandlingen på den personuppgiftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna, beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av. |
(52) |
För att påvisa att denna förordning följs bör personuppgiftsansvariga föra register över sådan uppgiftsbehandling som de ansvarar för, och personuppgiftsbiträden bör föra register över kategorier av uppgiftsbehandling som de ansvarar för. Unionsinstitutioner och unionsorgan bör vara skyldiga att samarbeta med Europeiska datatillsynsmannen och göra sina register tillgängliga på begäran, så att de kan tjäna som grund för övervakningen av behandlingen. Såvida det inte är olämpligt, med hänsyn tagen till en unionsinstitutions eller ett unionsorgans storlek, bör unionens institutioner och organ ha möjlighet att inrätta ett centralt register över sin uppgiftsbehandling. Av öppenhetsskäl bör de också kunna göra ett sådant register offentligt. |
(53) |
För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt utlämnande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada. |
(54) |
Unionens institutioner och unionsorgan bör säkerställa konfidentiell behandling av elektronisk kommunikation, som anges i artikel 7 i stadgan. I synnerhet bör unionsinstitutioner och unionsorgan säkerställa säkerheten i sina elektroniska kommunikationsnät. De bör skydda information som rör användares terminalutrustning som används för att få tillgång till unionsinstitutionernas och unionsorganens allmänt tillgängliga webbplatser och mobila applikationer i enlighet med Europaparlamentets och rådets direktiv 2002/58/EG (8). De bör även skydda personuppgifter som förvaras i kataloger över användare. |
(55) |
Ett personuppgiftsincident kan, om den inte snabbt åtgärdas på lämpligt sätt, leda till fysisk, materiell eller immateriell skada för fysiska personer. Så snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personuppgiftsansvarige därför anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i enlighet med principen om ansvarsskyldighet, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör den åtföljas av skälen till fördröjningen, och information kan lämnas i omgångar utan otillbörligt vidare dröjsmål. Om en sådan fördröjning är motiverad, av mindre känslig natur eller mindre specifik bör information om incidenten lämnas så tidigt som möjligt, i stället för att man väntar med att lämna information till dess att den underliggande incidenten har avhjälpts fullt ut. |
(56) |
Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgiftsincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med Europeiska datatillsynsmannen och i enlighet med den vägledning som lämnats av den eller av andra relevanta myndigheter, exempelvis brottsbekämpande myndigheter. |
(57) |
I förordning (EG) nr 45/2001 föreskrivs en allmän skyldighet för en personuppgiftsansvarig att anmäla behandling av personuppgifter till dataskyddsombudet. Såvida det inte är olämpligt, med hänsyn tagen till unionsinstitutionens eller unionsorganets storlek, bör dataskyddsombudet föra ett register över sådana anmälda behandlingar. Utöver denna allmänna skyldighet bör effektiva förfaranden och mekanismer inrättas för att övervaka behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa förfaranden bör, i synnerhet, också finnas på plats när behandlingstyper inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgiftsansvarige, eller om de blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen. I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs. |
(58) |
Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med Europeiska datatillsynsmannen innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av fysiska personers rättigheter och friheter. Europeiska datatillsynsmannen bör inom en fastställd tid svara på en begäran om samråd. Ett uteblivet svar från Europeiska datatillsynsmannen inom denna tid bör dock inte hindra ett eventuellt ingripande från Europeiska datatillsynsmannens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet befogenheten att förbjuda behandling. Som en del av denna samrådsprocess bör det vara möjligt att överlämna resultatet av en konsekvensbedömning avseende dataskydd som utförs med avseende på behandlingen i fråga till Europeiska datatillsynsmannen, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter. |
(59) |
Europeiska datatillsynsmannen bör informeras om administrativa åtgärder och höras om interna bestämmelser som antas av unionsinstitutioner och unionsorgan när det gäller frågor avseende deras funktion som rör deras behandling av personuppgifter, föreskriver villkor för begränsning av de registrerades rättigheter eller inför lämpligt skydd för de registrerades rättigheter, i syfte att säkerställa att den avsedda behandlingen överensstämmer med denna förordning, framför allt när det gäller att minska riskerna för den registrerade. |
(60) |
Genom förordning (EU) 2016/679 inrättades Europeiska dataskyddsstyrelsen som ett oberoende unionsorgan med ställning som juridisk person. Styrelsen bör bidra till en enhetlig tillämpning av förordning (EU) 2016/679 och direktiv (EU) 2016/680 i hela unionen, bl.a. genom att lämna råd till kommissionen. Samtidigt bör Europeiska datatillsynsmannen fortsätta att utöva sina övervakande och rådgivande funktioner med avseende på alla unionsinstitutioner och unionsorgan, på eget initiativ eller på begäran. I syfte att säkerställa överensstämmelse mellan regler om skydd av personuppgifter inom hela unionen bör kommissionen vid utarbetande av förslag eller rekommendationer sträva efter att samråda med Europeiska datatillsynsmannen. Samråd med kommissionen bör vara obligatoriskt efter antagandet av lagstiftningsakter eller vid utarbetandet av delegerade akter och genomförandeakter som anges i artiklarna 289, 290 och 291 i EUF-fördraget och efter antagandet av rekommendationer och förslag som rör avtal med tredjeländer och internationella organisationer som anges i artikel 218 i EUF-fördraget vilka har en inverkan på rätten till skydd av personuppgifter. I sådana fall bör kommissionen vara skyldig att samråda med Europeiska datatillsynsmannen, utom i de fall då det i förordning (EU) 2016/679 föreskrivs obligatoriskt samråd med Europeiska dataskyddsstyrelsen, exempelvis vad gäller beslut om adekvat skyddsnivå eller delegerade akter om standardiserade symboler och krav för certifieringsmekanismer. Om akten i fråga är av särskild vikt för skyddet av fysiska personers rättigheter och friheter med avseende på behandlingen av personuppgifter, bör kommissionen dessutom ha möjlighet att samråda med Europeiska dataskyddsstyrelsen. I sådana fall bör Europeiska datatillsynsmannen, i egenskap av medlem i Europeiska dataskyddsstyrelsen, samordna sitt arbete med den senare i syfte att utfärda ett gemensamt yttrande. Europeiska datatillsynsmannen och, i tillämpliga fall, Europeiska dataskyddsstyrelsen, bör lämna sina skriftliga råd inom åtta veckor. Denna tidsfrist bör förkortas i brådskande fall eller när det annars är lämpligt, t.ex. när kommissionen utarbetar delegerade akter och genomförandeakter. |
(61) |
I enlighet med artikel 75 i förordning (EU) 2016/679 bör Europeiska datatillsynsmannen tillhandahålla ett sekretariat för Europeiska dataskyddsstyrelsen. |
(62) |
Inom varje unionsinstitution eller unionsorgan bör ett dataskyddsombud säkerställa att bestämmelserna i denna förordning tillämpas och ge råd åt personuppgiftsansvariga och personuppgiftsbiträden då de fullgör sina åligganden. Dataskyddsombudet bör vara en person med expertkunskap om lagstiftning och praxis på området för uppgiftsskydd, vilket bör bedömas med särskild hänsyn till den uppgiftsbehandling som utförs av den personuppgiftsansvarige eller det personuppgiftsbiträdet och det skydd som krävs för de inblandade personuppgifterna. Denna typ av dataskyddsombud bör kunna fullgöra sina uppdrag och utföra sina uppgifter på ett oberoende sätt. |
(63) |
Den skyddsnivå som säkerställs för fysiska personer inom unionen genom denna förordning bör garanteras när personuppgifter överförs från unionsinstitutioner och unionsorgan till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland eller till internationella organisationer. Samma garantier bör tillämpas när personuppgifter vidarebefordras från tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning och med respekt för de grundläggande rättigheter och friheter som föreskrivs i stadgan. En överföring kan ske endast om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personuppgiftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning. |
(64) |
Kommissionen får, enligt artikel 45 i förordning (EU) 2016/679 eller artikel 36 i direktiv (EU) 2016/680, besluta att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland, eller en internationell organisation, erbjuder en adekvat dataskyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet eller den internationella organisationen av en unionsinstitution eller ett unionsorgan ske utan ytterligare tillstånd. |
(65) |
Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av standardbestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits av Europeiska datatillsynsmannen eller avtalsbestämmelser som godkänts av Europeiska datatillsynsmannen. Om personuppgiftsbiträdet inte är en unionsinstitution eller ett unionsorgan kan dessa lämpliga skyddsåtgärder också bestå av bindande företagsregler, uppförandekoder och certifieringsmekanismer som används för internationella överföringar enligt förordning (EU) 2016/679. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Uppgifter kan också överföras av unionsinstitutioner och unionsorgan till offentliga myndigheter eller organ i tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från Europeiska datatillsynsmannen bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang. |
(66) |
Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbestämmelser som antagits av kommissionen eller av Europeiska datatillsynsmannen bör inte hindra att de infogar standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av kommissionen eller av Europeiska datatillsynsmannen eller påverkar de registrerades grundläggande rättigheter eller friheter. Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder via avtalsmässiga åtaganden som kompletterar de standardiserade dataskyddsbestämmelserna. |
(67) |
Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som utförs av unionsinstitutioner och unionsorgan. Detta kan inkludera rättsliga avgöranden eller beslut av administrativa myndigheter i tredjeländer där det krävs att personuppgiftsansvariga eller personuppgiftsbiträden överför eller lämnar ut personuppgifter, utan grund i ett gällande internationellt avtal mellan det begärande tredjelandet och unionen. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning. Överföringar bör tillåtas endast om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns i unionsrätten. |
(68) |
Det bör införas bestämmelser som i särskilda situationer ger möjlighet att under vissa omständigheter göra överföringar, om den registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, om detta inte tillåts i unionsrätten, och överföringen bör göras endast när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer eller, om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter. |
(69) |
Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan unionsinstitutioner och unionsorgan och konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter, till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat skyddsnivå, får unionsrätten med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av uppgifter till ett tredjeland eller en internationell organisation. Varje överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna eller för att följa internationell humanitär rätt som är tillämplig vid väpnade konflikter, kan ses som nödvändig av skäl som rör ett betydande allmänintresse eller för att den är av grundläggande intresse för den registrerade. |
(70) |
Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgiftsansvarige eller personuppgiftsbiträdet under alla omständigheter använda sig av lösningar som ger de registrerade verkställbara och faktiska rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i förhållande till dem. |
(71) |
När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information. Samtidigt kan nationella tillsynsmyndigheter och Europeiska datatillsynsmannen, vara ur stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför deras jurisdiktion. Deras strävan att arbeta tillsammans över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, inkonsekventa rättsliga regelverk och praktiska hinder, som exempelvis bristande resurser. Därför bör ett närmare samarbete mellan Europeiska datatillsynsmannen och nationella tillsynsmyndigheter främjas för att bidra till informationsutbytet med deras internationella motparter. |
(72) |
Inrättandet av Europeiska datatillsynsmannen i förordning (EG) nr 45/2001, som är bemyndigad att utföra sina uppgifter och utöva sina befogenheter under fullständigt oberoende, är ett väsentligt inslag i skyddet av fysiska personer med avseende på behandlingen av personuppgifter. Denna förordning bör ytterligare stärka och klargöra dess roll och oberoende. Europeiska datatillsynsmannen bör vara en person vars oberoende är ställt utom varje tvivel och som har den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeisk datatillsynsman, exempelvis genom att personen har tillhört någon av de tillsynsmyndigheter som har inrättats i enlighet med artikel 51 i förordning (EU) 2016/679. |
(73) |
För att säkerställa en enhetlig tillsyn över och ett enhetligt upprätthållande av regler om skydd av personuppgifter i hela unionen bör Europeiska datatillsynsmannen ha samma uppgifter och faktiska befogenheter som de nationella tillsynsmyndigheterna, inbegripet undersökningsbefogenheter, korrigerande befogenheter och befogenheter att påföra sanktioner samt befogenheter att utfärda tillstånd och ge råd, särskilt vid klagomål från fysiska personer, befogenheter att uppmärksamma domstolen på överträdelser av denna förordning och delta i rättsliga förfaranden i enlighet med primärrätten. Dessa befogenheter bör även omfatta en befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. För att undvika onödiga kostnader och alltför stora nackdelar för de berörda personer som kan komma att påverkas negativt, bör var och en av de åtgärder som Europeiska datatillsynsmannen vidtar vara lämplig, nödvändig och proportionell för att säkerställa efterlevnad av denna förordning och ta hänsyn till omständigheterna i varje enskilt fall samt respektera varje persons rätt att bli hörd innan någon enskild åtgärd vidtas. Varje rättsligt bindande åtgärd som vidtas av Europeiska datatillsynsmannen bör vara skriftlig, klar och entydig, innehålla uppgift om datum för utfärdandet, vara undertecknad av Europeiska datatillsynsmannen samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel. |
(74) |
Europeiska datatillsynsmannens tillsynsbehörighet bör inte omfatta domstolens behandling av personuppgifter när detta sker inom ramen för domstolens dömande verksamhet, i syfte att säkerställa domstolens oberoende när den utför sin rättsskipande verksamhet, inbegripet när den fattar beslut. För sådan behandling bör domstolen inrätta en oberoende tillsyn, i enlighet med artikel 8.3 i stadgan, exempelvis genom en intern mekanism. |
(75) |
Europeiska datatillsynsmannens beslut om undantag, garantier, tillstånd och villkor när det gäller behandling av uppgifter, såsom de fastställs i denna förordning, bör offentliggöras i verksamhetsrapporten. Förutom det årliga offentliggörandet av verksamhetsrapporten kan Europeiska datatillsynsmannen offentliggöra rapporter om särskilda ämnen. |
(76) |
Europeiska datatillsynsmannen bör följa Europaparlamentets och rådets förordning (EG) nr 1049/2001 (9). |
(77) |
De nationella tillsynsmyndigheterna övervakar tillämpningen av förordning (EU) 2016/679 och bidrar till att den tillämpas enhetligt över hela unionen, för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För att skapa större enhetlighet vid tillämpningen av regler om skydd av personuppgifter som är tillämpliga i medlemsstaterna och av regler om skydd av personuppgifter som är tillämpliga för unionsinstitutioner och unionsorgan bör Europeiska datatillsynsmannen samarbeta effektivt med de nationella tillsynsmyndigheterna. |
(78) |
I vissa fall föreskriver unionsrätten en modell för samordnad tillsyn som delas mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna. Europeiska datatillsynsmannen är även tillsynsmyndighet för Europol, och av den anledningen har en särskild modell för samarbete med de nationella tillsynsmyndigheterna inrättats genom en samarbetsnämnd med en rådgivande funktion. I syfte att förbättra tillsynen och upprätthållandet av materiella regler om uppgiftsskydd i praktiken bör en gemensam, enhetlig modell för samordnad tillsyn införas i unionen. Kommissionen bör därför lägga fram lagstiftningsförslag när så är lämpligt, i syfte att ändra unionsrättsakter som föreskriver en modell för samordnad tillsyn, för att anpassa dessa till den samordnade tillsynsmodellen i denna förordning. Europeiska dataskyddsstyrelsen bör fungera som ett gemensamt forum för att säkerställa en effektiv samordnad tillsyn på alla områden. |
(79) |
Alla registrerade bör ha rätt att lämna in ett klagomål till Europeiska datatillsynsmannen och ha rätt till ett effektivt rättsmedel inför domstolen i enlighet med fördragen, om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om Europeiska datatillsynsmannen inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Europeiska datatillsynsmannen bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare samordning med en nationell tillsynsmyndighet, bör den registrerade underrättas även om detta. För att förenkla inlämningen av klagomål bör Europeiska datatillsynsmannen vidta åtgärder, såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts. |
(80) |
Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning bör ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan, med förbehåll för de villkor som föreskrivs i fördragen. |
(81) |
För att stärka Europeiska datatillsynsmannens tillsynsroll och främja ett effektivt upprätthållande av denna förordning bör Europeiska datatillsynsmannen ha befogenhet att påföra administrativa sanktionsavgifter, som en sanktion att använda i sista hand. Sanktionsavgifterna bör syfta till att bestraffa unionsinstitutioner eller unionsorgan – snarare än fysiska personer – för bristande efterlevnad av denna förordning, för att avskräcka från framtida överträdelser av denna förordning och för att främja en kultur av skydd för personuppgifter inom unionsinstitutioner och unionsorgan. Denna förordning bör ange överträdelser som är föremål för administrativa sanktionsavgifter och de övre gränserna och kriterierna för fastställande av sådana sanktionsavgifter. Europeiska datatillsynsmannen bör fastställa avgiftsbeloppen i varje enskilt fall, med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn till överträdelsens karaktär, svårhetsgrad och varaktighet, dess följder och de åtgärder som vidtas för att sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna av överträdelsen. Vid påförande av en administrativ sanktionsavgift till en unionsinstitution eller ett unionsorgan bör Europeiska datatillsynsmannen bedöma huruvida sanktionsavgiftsbeloppet är proportionellt. Det administrativa förfarandet för att påföra sanktionsavgifter för unionsinstitutioner och unionsorgan bör följa de allmänna unionsrättsliga principerna, såsom dessa har tolkats av domstolen. |
(82) |
Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som har inrättats i enlighet med unionsrätten eller en medlemsstats rätt, som har stadgeenliga mål av allmänt intresse och utövar verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål till Europeiska datatillsynsmannen. Detta organ, denna organisation eller denna sammanslutning bör också kunna utöva rätten till ett rättsmedel på registrerades vägnar eller utöva rätten att ta emot ersättning för registrerades räkning. |
(83) |
Tjänstemän eller övriga anställda i unionen som inte följer de skyldigheter som anges i denna förordning bör bli föremål för disciplinära eller andra åtgärder, i enlighet med de regler och förfaranden som föreskrivs i tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i unionen som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (10) (nedan kallade tjänsteföreskrifterna). |
(84) |
För att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (11). Granskningsförfarandet bör användas för att anta standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, för att anta en förteckning över sådan behandling som kräver förhandssamråd med Europeiska datatillsynsmannen av personuppgiftsansvariga som behandlar personuppgifter för att utföra en uppgift av allmänt intresse, och för att anta standardavtalsklausuler om lämpliga skyddsåtgärder vid internationella överföringar. |
(85) |
De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas, framställas och spridas i enlighet med de statistiska principerna enligt artikel 338.2 i EUF-fördraget. Europaparlamentets och rådets förordning (EG) nr 223/2009 (12) innehåller ytterligare preciseringar om statistisk konfidentialitet för europeisk statistik. |
(86) |
Förordning (EG) nr 45/2001 och Europaparlamentets, rådets och kommissionens beslut nr 1247/2002/EG (13) bör upphöra att gälla. Hänvisningar till den upphävda förordningen och det upphävda beslutet bör anses som hänvisningar till den här förordningen. |
(87) |
För att garantera fullständigt oberoende för ledamöterna av den oberoende tillsynsmyndigheten, bör mandattiden för den nuvarande Europeiska datatillsynsmannen och den nuvarande biträdande datatillsynsmannen inte påverkas av denna förordning. Den nuvarande biträdande datatillsynsmannen bör förbli på sin post fram till slutet av sin mandattid, såvida inte något av villkoren för ett förtida avslutande av Europeiska datatillsynsmannens mandattid enligt denna förordning är uppfyllt. De relevanta bestämmelserna i denna förordning bör tillämpas på den biträdande datatillsynsmannen fram till slutet av hans eller hennes mandattid. |
(88) |
I enlighet med proportionalitetsprincipen är det nödvändigt och lämpligt, för att förverkliga det grundläggande målet att säkerställa en likvärdig nivå för skyddet av fysiska personer med avseende på behandling av personuppgifter och det fria flödet av personuppgifter över hela unionen, att fastställa bestämmelser om behandling av personuppgifter i unionsinstitutioner och unionsorgan. Denna förordning går inte utöver vad som är nödvändigt för att uppnå de eftersträvade målen i enlighet med artikel 5.4 i EU-fördraget. |
(89) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett yttrande den 15 mars 2017 (14). |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
ALLMÄNNA BESTÄMMELSER
Artikel 1
Syfte och mål
1. I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionsinstitutioner och unionsorgan samt bestämmelser om det fria flödet av personuppgifter mellan dem eller till andra mottagare som är etablerade i unionen.
2. Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.
3. Europeiska datatillsynsmannen ska övervaka att bestämmelserna i denna förordning tillämpas vid all behandling som utförs av en unionsinstitution eller unionsorgan.
Artikel 2
Tillämpningsområde
1. Denna förordning är tillämplig på alla unionsinstitutioners och unionsorgans behandling av personuppgifter.
2. Endast artikel 3 och kapitel IX i denna förordning är tillämpliga på behandling av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget.
3. Fram till dess att Europaparlamentets och rådets förordning (EU) 2016/794 (15) och rådets förordning (EU) 2017/1939 (16) har anpassats i enlighet med artikel 98 i den här förordningen, är denna förordning inte tillämplig på behandling av operativa personuppgifter som utförs av Europol och Europeiska åklagarmyndigheten.
4. Denna förordning är inte tillämplig på behandling av personuppgifter som utförs inom ramen för sådana uppdrag som avses i artiklarna 42.1, 43 och 44 i EU-fördraget.
5. Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.
Artikel 3
Definitioner
I denna förordning avses med
1. |
personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad den registrerade); varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. |
2. |
operativa personuppgifter: alla personuppgifter som behandlas av unionens organ eller byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget för att uppfylla de mål och fullgöra de uppgifter som fastställs i rättsakterna om inrättande av dessa organ och byråer. |
3. |
behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring. |
4. |
begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden. |
5. |
profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar. |
6. |
pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person. |
7. |
register: en strukturerad samling personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden. |
8. |
personuppgiftsansvarig: den unionsinstitution eller det unionsorgan eller det generaldirektorat eller varje annan organisatorisk enhet som ensam(t) eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för denna behandling bestäms av en särskild unionsakt kan den personuppgiftsansvarige eller de särskilda kriterierna för utnämning av personuppgiftsansvarig föreskrivas i unionsrätten. |
9. |
andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan: personuppgiftsansvariga i den mening som avses i artikel 4.7 i förordning (EU) 2016/679 och personuppgiftsansvariga i den mening som avses i artikel 3.8 i direktiv (EU) 2016/680. |
10. |
unionsinstitutioner och unionsorgan: unionsinstitutioner, unionsorgan och unionsbyråer som har inrättats genom eller på grundval av EU-fördraget, EUF-fördraget eller Euratomfördraget. |
11. |
behörig myndighet: en offentlig myndighet i en medlemsstat som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. |
12. |
personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. |
13. |
mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som personuppgifterna utlämnas till, oavsett om det rör sig om en tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte. |
14. |
tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvariga, personuppgiftsbiträdet eller de personer som, under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar, är behöriga att behandla personuppgifterna. |
15. |
samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. |
16. |
personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörig utlämning av eller obehörig åtkomst till de personuppgifter som har överförts, lagrats eller på annat sätt behandlats. |
17. |
genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga. |
18. |
biometriska uppgifter: personuppgifter som har erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar en entydig identifiering av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter. |
19. |
uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om personens hälsostatus. |
20. |
informationssamhällets tjänster: alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 (17). |
21. |
internationell organisation: en organisation och dess underställda organ som lyder under internationell rätt, eller ett annat organ som har inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder. |
22. |
nationell tillsynsmyndighet: en oberoende offentlig myndighet som har utsetts av en medlemsstat enligt artikel 51 i förordning (EU) 2016/679 eller enligt artikel 41 i direktiv (EU) 2016/680. |
23. |
användare: en fysisk person som använder ett nätverk eller en terminalutrustning som drivs under överinseende av en unionsinstitution eller ett unionsorgan. |
24. |
katalog: en allmänt tillgänglig användarförteckning eller en intern användarförteckning som är tillgänglig inom en unionsinstitution eller ett unionsorgan eller som delas mellan unionsinstitutioner och unionsorgan, antingen i tryckt eller i elektroniskt format. |
25. |
elektroniskt kommunikationsnät: ett system för överföring, oberoende av om det bygger på en permanent infrastruktur eller centraliserad förvaltningskapacitet eller inte, och i tillämpliga fall utrustning för koppling eller dirigering samt andra resurser, inbegripet nätkomponenter som inte är aktiva, som medger överföring av signaler via tråd, via radio, på optisk väg eller via andra elektromagnetiska överföringsmedier, däribland satellitnät, fasta nät (kretskopplade och paketkopplade, inbegripet internet) och markbundna mobilnät, elnätsystem i den utsträckning dessa används för signalöverföring, rundradionät samt kabel-tv-nät, oberoende av vilken typ av information som överförs. |
26. |
terminalutrustning: terminalutrustning enligt definitionen i artikel 1.1 i kommissionens direktiv 2008/63/EG (18). |
KAPITEL II
ALLMÄNNA PRINCIPER
Artikel 4
Principer för behandling av personuppgifter
1. Vid behandling av personuppgifter ska följande gälla:
a) |
Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet). |
b) |
De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska, i enlighet med artikel 13, inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning). |
c) |
De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). |
d) |
De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet). |
e) |
De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart kommer att behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 13, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering). |
f) |
De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet). |
2. Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).
Artikel 5
Laglig behandling av personuppgifter
1. Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:
a) |
Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i unionsinstitutionens eller unionsorganets myndighetsutövning. |
b) |
Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. |
c) |
Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. |
d) |
Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. |
e) |
Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. |
2. Den grund för behandlingen som avses i punkt 1 a och b ska fastställas i unionsrätten.
Artikel 6
Behandling för ett annat förenligt ändamål
Om en behandling för ett annat ändamål än det för vilket personuppgifterna har samlats in inte grundar sig på den registrerades samtycke eller på unionsrätten, men utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 25.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för annat ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:
a) |
Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen. |
b) |
Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige. |
c) |
Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas enligt artikel 10, eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas, enligt artikel 11. |
d) |
Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen. |
e) |
Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering. |
Artikel 7
Villkor för samtycke
1. Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.
2. Om den registrerades samtycke lämnas i samband med en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lättillgänglig form med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna förordning, ska denna del inte vara bindande.
3. Den registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycket innan detta återkallades. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.
4. Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn tas till bland annat huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.
Artikel 8
Villkor som gäller för ett barns samtycke avseende informationssamhällets tjänster
1. Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 5.1 d behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.
2. Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.
3. Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om giltigheten, upprättandet eller verkan av ett avtal som gäller ett barn.
Artikel 9
Överföring av personuppgifter till mottagare som är etablerade i unionen och som inte är unionsinstitutioner och unionsorgan
1. Utan att det påverkar tillämpningen av artiklarna 4 – 6 och 10 ska personuppgifter överföras till mottagare som är etablerade i unionen och som inte utgörs av unionsinstitutioner och unionsorgan endast om
a) |
mottagaren visar att uppgifterna är nödvändiga för att utföra en uppgift av allmänt intresse eller som ett led i mottagarens myndighetsutövning, eller om |
b) |
mottagaren visar att det är nödvändigt att uppgifterna överförs för ett specifikt ändamål av allmänt intresse och, i de fall då det finns skäl att anta att den registrerades legitima intressen skulle kunna skadas, den personuppgiftsansvarige visar att överföringen av personuppgifterna är proportionell i förhållande till det specifika ändamålet, efter en påvisbar avvägning mellan de olika konkurrerande intressena. |
2. Om den personuppgiftsansvarige tar initiativ till överföringen enligt denna artikel ska denne visa att överföringen av personuppgifterna är nödvändig och proportionell i förhållande till ändamålet med överföringen med tillämpning av de kriterier som anges i punkt 1 a eller b.
3. Unionsinstitutioner och unionsorgan ska förena rätten till skydd av personuppgifter med rätten till tillgång till handlingar i enlighet med unionsrätten.
Artikel 10
Behandling av särskilda kategorier av personuppgifter
1. Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.
2. Punkt 1 ska inte tillämpas om något av följande gäller:
a) |
Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten föreskriver att förbudet i punkt 1 inte får upphävas av den registrerade. |
b) |
Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena om social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs. |
c) |
Behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. |
d) |
Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder i ett icke vinstdrivande organ som utgör en enhet som är integrerad i en unionsinstitution eller ett unionsorgan och som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör organets medlemmar eller före detta medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med det och att uppgifterna inte lämnas ut utanför organet utan den registrerades samtycke. |
e) |
Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. |
f) |
Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolens dömande verksamhet. |
g) |
Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och specifika åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. |
h) |
Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda. |
i) |
Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten som föreskriver lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt. |
j) |
Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål på grundval av unionsrätten vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. |
3. Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställts av nationella behöriga organ, eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställts av nationella behöriga organ.
Artikel 11
Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott
Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 5.1 får endast utföras under kontroll av en myndighet eller då behandlingen är tillåten enligt unionsrätten, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.
Artikel 12
Behandling som inte kräver identifiering
1. Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara skyldig att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa denna förordning.
2. Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att den inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 17–22 inte gälla, förutom om den registrerade i syfte att utöva sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.
Artikel 13
Skyddsåtgärder vid behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål
Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att särskilt se till att principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att ändamålen kan uppfyllas på det sättet. När ändamålen kan uppfyllas genom ytterligare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ändamålen uppfyllas på det sättet.
KAPITEL III
DEN REGISTRERADES RÄTTIGHETER
AVSNITT 1
Öppenhet och villkor
Artikel 14
Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter
1. Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att tillhandahålla den registrerade all information som avses i artiklarna 15 och 16 och all kommunikation enligt artiklarna 17–24 och 35 vilken avser behandling i en koncis, klar och tydlig, begriplig och lättillgänglig form och på ett klart och tydligt språk, i synnerhet information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligen, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerades begär det får informationen tillhandahållas muntligen, förutsatt att den registrerades identitet bevisats på andra sätt.
2. Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter enligt artiklarna 17–24. I de fall som avses i artikel 12.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 17–24, om inte den personuppgiftsansvarige visar att den inte är i stånd att identifiera den registrerade.
3. Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 17–24. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från mottagandet av begäran och ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form ska informationen om möjligt tillhandahållas i elektronisk form, om inte den registrerade begär något annat.
4. Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast inom en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen och begära rättslig prövning.
5. Information som tillhandahålls enligt artiklarna 15 och 16, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 17–24 och 35 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige vägra att tillmötesgå dem. Det ska åligga den personuppgiftsansvarige att visa att en begäran är uppenbart ogrundad eller orimlig.
6. Utan att det påverkar tillämpningen av artikel 12 får den personuppgiftsansvarige, om den har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 17–23, begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.
7. Den information som ska tillhandahållas den registrerade enligt artiklarna 15 och 16 får tillhandahållas tillsammans med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.
8. Om kommissionen antar delegerade akter enligt artikel 12.8 i förordning (EU) 2016/679 för att fastställa vilken information som ska visas med hjälp av symboler och förfarandena för att tillhandahålla standardiserade symboler, ska unionsinstitutioner och unionsorgan tillhandahålla de uppgifter som avses i artiklarna 15 och 16 i den här förordningen tillsammans med sådana standardiserade symboler när det är lämpligt.
AVSNITT 2
Information och tillgång till personuppgifter
Artikel 15
Information som ska tillhandahållas när personuppgifter samlas in från den registrerade
1. Om personuppgifter som rör en registrerad person samlas in från den registrerade ska den personuppgiftsansvarige, vid den tidpunkt då personuppgifterna erhålls, till den registrerade lämna information om följande:
a) |
Identitet och kontaktuppgifter för den personuppgiftsansvarige. |
b) |
Kontaktuppgifter för dataskyddsombudet. |
c) |
Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen. |
d) |
Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall. |
e) |
I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller när det gäller de överföringar som avses i artikel 48, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga. |
2. Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna tillhandahålla den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och öppen behandling:
a) |
Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. |
b) |
Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller, i tillämpliga fall, rätten att invända mot behandling samt rätten till dataportabilitet. |
c) |
Om behandlingen grundar sig på artikel 5.1 d eller artikel 10.2 a, att det föreligger en rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades. |
d) |
Rätten att inge klagomål till Europeiska datatillsynsmannen. |
e) |
Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt om huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas. |
f) |
Förekomsten av automatiserat beslutsfattande, inbegripet profilering, som avses i artikel 24.1 och 24.4 varvid det åtminstone i dessa fall, ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade. |
3. Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.
4. Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.
Artikel 16
Information som ska tillhandahållas om personuppgifter inte har erhållits från den registrerade
1. Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige tillhandahålla den registrerade följande information:
a) |
Identitet och kontaktuppgifter för den personuppgiftsansvarige. |
b) |
Kontaktuppgifter för dataskyddsombudet. |
c) |
Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen. |
d) |
De kategorier av personuppgifter som behandlingen gäller. |
e) |
Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall. |
f) |
I tillämpliga fall uppgift om att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 48, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga. |
2. Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och öppen behandling när det gäller den registrerade:
a) |
Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. |
b) |
Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller, i tillämpliga fall, rätt att invända mot behandling eller rätt till dataportabilitet. |
c) |
Om behandlingen grundar sig på artikel 5.1 d eller artikel 10.2 a, rätten att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket innan detta återkallades. |
d) |
Rätten att inge klagomål till Europeiska datatillsynsmannen. |
e) |
Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor. |
f) |
Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 24.1 och 24.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade. |
3. Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2
a) |
inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas, |
b) |
om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller |
c) |
om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången. |
4. Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling tillhandahålla den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.
5. Punkterna 1–4 ska inte tillämpas i följande fall och i den mån
a) |
den registrerade redan förfogar över informationen, |
b) |
tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån den skyldighet som avses i punkt 1 i denna artikel sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen, |
c) |
erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller |
d) |
personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten, inbegripet andra lagstadgade sekretessförpliktelser. |
6. I de fall som avses i punkt 5 b ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, däribland göra informationen allmänt tillgänglig.
Artikel 17
Den registrerades rätt till tillgång
1. Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:
a) |
Ändamålen med behandlingen. |
b) |
De kategorier av personuppgifter som behandlingen gäller. |
c) |
De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer. |
d) |
Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. |
e) |
Förekomsten av rätten att hos den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling. |
f) |
Rätten att lämna in ett klagomål till Europeiska datatillsynsmannen. |
g) |
Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer. |
h) |
Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 24.1 och 24.4, varvid åtminstone i dessa fall meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade. |
2. Om personuppgifter överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 48 har vidtagits vid överföringen.
3. Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.
4. Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.
AVSNITT 3
Rättelse och radering
Artikel 18
Rätt till rättelse
Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålen med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.
Artikel 19
Rätt till radering (”rätten att bli bortglömd”)
1. Den registrerade ska ha rätt att hos den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:
a) |
Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats. |
b) |
Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 5.1 d eller artikel 10.2 a, och det finns inte någon annan rättslig grund för behandlingen. |
c) |
Den registrerade invänder mot behandlingen i enlighet med artikel 23.1 och det saknas berättigade skäl för behandlingen som väger tyngre. |
d) |
Personuppgifterna har behandlats på olagligt sätt. |
e) |
Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige omfattas av. |
f) |
Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, som avses i artikel 8.1. |
2. Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga, eller andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan, som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av, dessa personuppgifter.
3. Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:
a) |
För att utöva rätten till yttrande- och informationsfrihet. |
b) |
För att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. |
c) |
För skäl som rör ett allmänt intresse på folkhälsoområdet enligt artikel 10.2 h och i samt artikel 10.3. |
d) |
För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen. |
e) |
För att kunna fastställa, göra gällande eller försvara rättsliga anspråk. |
Artikel 20
Rätt till begränsning av behandling
1. Den registrerade ska ha rätt att hos den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande är tillämpligt:
a) |
Den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är riktiga och fullständiga. |
b) |
Behandlingen är olaglig, och den registrerade motsätter sig att personuppgifterna raderas och begär i stället en begränsning av deras användning. |
c) |
Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. |
d) |
Den registrerade har invänt mot behandling i enlighet med artikel 23.1 i avvaktan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. |
2. Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, behandlas endast med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller av skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.
3. En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgiftsansvarige innan begränsningen av behandlingen upphör.
4. I automatiserade register ska begränsningar av behandlingen i princip ske med tekniska medel. Det förhållandet att personuppgifter omfattas av begränsningar ska anges i systemet på ett sådant sätt att det är tydligt att personuppgifterna inte får användas.
Artikel 21
Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling
Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 18, 19.1 och 20, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.
Artikel 22
Rätt till dataportabilitet
1. Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om
a) |
behandlingen grundar sig på samtycke enligt artikel 5.1 d eller artikel 10.2 a eller på ett avtal enligt artikel 5.1 c, och |
b) |
behandlingen sker automatiserat. |
2. Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av personuppgifterna direkt från en personuppgiftsansvarig till en annan, eller till andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan, när detta är tekniskt möjligt.
3. Utövandet av den rätt som avses i punkt 1 i denna artikel ska inte påverka tillämpningen av artikel 19. Den rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
4. Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.
AVSNITT 4
Rätt att göra invändningar och automatiserat individuellt beslutsfattande
Artikel 23
Rätt att göra invändningar
1. Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 5.1 a, inbegripet profilering som grundar sig på den bestämmelsen. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denna inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.
2. Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkt 1 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.
3. I samband med användningen av informationssamhällets tjänster får den registrerade, utan att det påverkar tillämpningen av artiklarna 36 och 37, utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.
4. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.
Artikel 24
Automatiserat individuellt beslutsfattande, inbegripet profilering
1. Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, och som har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.
2. Punkt 1 ska inte tillämpas om beslutet
a) |
är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige, |
b) |
tillåts enligt unionsrätten, som även fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller |
c) |
grundar sig på den registrerades uttryckliga samtycke. |
3. I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och berättigade intressen, åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.
4. Beslut som avses i punkt 2 i denna artikel får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 10.1, såvida inte artikel 10.2 a eller g är tillämplig och lämpliga åtgärder som ska skydda den registrerades rättigheter, friheter och berättigade intressen har inrättats.
AVSNITT 5
Begränsningar
Artikel 25
Begränsningar
1. Rättsakter som antas på grundval av fördragen eller, när det gäller frågor rörande unionsinstitutioners och unionsorgans funktion, interna regler som införts av de sistnämnda får föreskriva begränsningar i tillämpningen av artiklarna 14–22, 35 och 36, samt artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa
a) |
den nationella säkerheten, den allmänna säkerheten eller försvaret i medlemsstaterna, |
b) |
förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten, |
c) |
andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt målen för unionens gemensamma utrikes- och säkerhetspolitik eller ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet, |
d) |
den inre säkerheten i unionsinstitutioner och unionsorgan, inbegripet deras elektroniska kommunikationsnät, |
e) |
skydd av rättsväsendets oberoende och rättsliga åtgärder, |
f) |
förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken, |
g) |
en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som avses i leden a–c, |
h) |
skydd av den registrerade eller andras rättigheter och friheter, |
i) |
verkställighet av civilrättsliga krav. |
2. Framför allt ska alla rättsakter eller interna regler som avses i punkt 1 innehålla specifika bestämmelser, när så är relevant, avseende
a) |
ändamålen med behandlingen eller kategorierna av behandling, |
b) |
kategorierna av personuppgifter, |
c) |
omfattningen av de införda begränsningarna, |
d) |
skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring, |
e) |
specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvarige, |
f) |
lagringsperioderna samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, och |
g) |
riskerna för de registrerades rättigheter och friheter. |
3. Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten, som kan inkludera interna regler som antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.
4. Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten, som kan inkludera interna regler som antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20, 21, 22 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.
5. Sådana interna regler som avses i punkterna 1, 3 och 4 ska vara klara och precisa akter med allmän giltighet som är avsedda att ha rättsverkan gentemot registrerade och som har antagits på unionsinstitutionernas och unionsorganens högsta administrativa nivå och ska offentliggöras i Europeiska unionens officiella tidning.
6. Om en begränsning införs i enlighet med punkt 1, ska den registrerade i enlighet med unionsrätten informeras om de huvudsakliga skälen till begränsningen och om att han eller hon har rätt att ge in ett klagomål till Europeiska datatillsynsmannen.
7. Om en begränsning som införts i enlighet med punkt 1 åberopas för att vägra den registrerade tillgång, ska Europeiska datatillsynsmannen vid utredning av klagomålet endast informera honom eller henne om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts.
8. Tillhandahållande av den information som avses i punkterna 6 och 7 i den här artikeln samt i artikel 45.2 får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med punkt 1 i den här artikeln.
KAPITEL IV
PERSONUPPGIFTSANSVARIGA OCH PERSONUPPGIFTSBITRÄDEN
AVSNITT 1
Allmänna skyldigheter
Artikel 26
Den personuppgiftsansvariges ansvar
1. Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.
2. Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.
3. Tillämpningen av godkända certifieringsmekanismer som avses i artikel 42 i förordning (EU) 2016/679 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.
Artikel 27
Inbyggt dataskydd och dataskydd som standard
1. Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för ett effektivt genomförande av dataskyddsprinciper, såsom uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas.
2. Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att som standard säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter som standard inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.
3. En godkänd certifieringsmekanism i enlighet med artikel 42 i förordning (EU) 2016/679 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs.
Artikel 28
Gemensamt personuppgiftsansvariga
1. Om två eller flera personuppgiftsansvariga eller en eller flera personuppgiftsansvariga tillsammans med en eller flera personuppgiftsansvariga som inte är unionsinstitutioner och unionsorgantillsammans fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra sina skyldigheter i fråga om dataskydd, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 15 och 16, genom ett inbördes arrangemang, såvida inte de gemensamt personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de gemensamt personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.
2. Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.
3. Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och gentemot var och en av de personuppgiftsansvariga.
Artikel 29
Personuppgiftsbiträden
1. Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades rättigheter skyddas.
2. Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan särskilt eller allmänt skriftligt förhandstillstånd från den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.
3. När uppgifter behandlas av ett personuppgiftsbiträde ska behandlingen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet
a) |
endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av; i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt, |
b) |
ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt, |
c) |
ska vidta alla åtgärder som krävs enligt artikel 33, |
d) |
ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde, |
e) |
med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III, |
f) |
ska bistå den personuppgiftsansvarige med att säkerställa att skyldigheterna enligt artiklarna 33–41 fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå, |
g) |
beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats och radera befintliga kopior, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt, |
h) |
ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel iakttas samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige. |
Med avseende på första stycket led h ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.
4. I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet enligt punkt 3, och särskilt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarigt gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.
5. Om ett personuppgiftsbiträde inte är en unionsinstitution eller ett unionsorgan får dess anslutning till en godkänd uppförandekod som avses i artikel 40.5 i förordning (EU) 2016/679 eller en godkänd certifieringsmekanism som avses i artikel 42 i förordning (EU) 2016/679 användas för att visa att tillräckliga garantier tillhandahålls, så som avses i punkterna 1 och 4 i denna artikel.
6. Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i denna artikel får, utan att det påverkar tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i denna artikel, inbegripet när de ingår i en certifiering som beviljats det personuppgiftsbiträde som inte är en unionsinstitution eller ett unionsorgan enligt artikel 42 i förordning (EU) 2016/679.
7. Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i denna artikel, i enlighet med det granskningsförfarande som avses i artikel 96.2.
8. Europeiska datatillsynsmannen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4.
9. Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett elektroniskt format.
10. Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet anses vara en personuppgiftsansvarig med avseende på den behandlingen, utan att det påverkar tillämpningen av artiklarna 65 och 66.
Artikel 30
Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende
Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.
Artikel 31
Register över behandling
1. Varje personuppgiftsansvarig ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:
a) |
Namn och kontaktuppgifter för den personuppgiftsansvarige, dataskyddsombudet samt, i tillämpliga fall, personuppgiftsbiträdet och den gemensamt personuppgiftsansvarige. |
b) |
Ändamålen med behandlingen. |
c) |
En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter. |
d) |
De kategorier av mottagare till vilka personuppgifterna har lämnats ut eller ska lämnas ut, inbegripet mottagare i medlemsstater, tredjeländer eller internationella organisationer. |
e) |
I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och dokumentation av lämpliga skyddsåtgärder. |
f) |
Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter. |
g) |
Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 33. |
2. Varje personuppgiftsbiträde ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:
a) |
Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena, för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar samt för dataskyddsombudet. |
b) |
De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning. |
c) |
I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och dokumentation av lämpliga skyddsåtgärder. |
d) |
Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 33. |
3. De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.
4. Unionsinstitutioner och unionsorgan ska på begäran göra registret tillgängligt för Europeiska datatillsynsmannen.
5. Såvida det inte är olämpligt med hänsyn till unionsinstitutionens eller unionsorganets storlek, ska unionsinstitutioner och unionsorgan bevara sina register över behandling i ett centralt register. De ska göra registret allmänt tillgängligt.
Artikel 32
Samarbete med Europeiska datatillsynsmannen
Unionsinstitutioner och unionsorgan ska på begäran samarbeta med Europeiska datatillsynsmannen vid fullgörandet av dess uppgifter.
AVSNITT 2
Säkerhet för personuppgifter
Artikel 33
Säkerhet i samband med behandlingen
1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet när det är lämpligt
a) |
pseudonymisering och kryptering av personuppgifter, |
b) |
förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och behandlingstjänsterna, |
c) |
förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, |
d) |
ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet. |
2. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt utlämnande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
3. Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, behandlar dessa endast på instruktion från den personuppgiftsansvarige, om inte unionsrätten ålägger honom eller henne att göra det.
4. Anslutning till en godkänd certifieringsmekanism som avses i artikel 42 i förordning (EU) 2016/679 får användas för att visa att kraven i punkt 1 i den här artikeln följs.
Artikel 34
Anmälan av en personuppgiftsincident till Europeiska datatillsynsmannen
1. Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till Europeiska datatillsynsmannen inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.
2. Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.
3. Den anmälan som avses i punkt 1 ska åtminstone
a) |
beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs, |
b) |
förmedla namnet på och kontaktuppgifterna för dataskyddsombudet, |
c) |
beskriva de sannolika konsekvenserna av personuppgiftsincidenten, |
d) |
beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter. |
4. Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
5. Den personuppgiftsansvarige ska underrätta dataskyddsombudet om personuppgiftsincidenten.
6. Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för Europeiska datatillsynsmannen att kontrollera efterlevnaden av denna artikel.
Artikel 35
Information till den registrerade om en personuppgiftsincident
1. Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.
2. Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 34.3 b, c och d.
3. Information till den registrerade i enlighet med punkt 1 ska inte krävas om något av följande villkor är uppfyllt:
a) |
Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder har tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering. |
b) |
Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå. |
c) |
Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade underrättas på ett lika effektivt sätt. |
4. Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får Europeiska datatillsynsmannen, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att den personuppgiftsansvarige gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.
AVSNITT 3
Konfidentialitet för elektronisk kommunikation
Artikel 36
Konfidentialitet för elektronisk kommunikation
Unionsinstitutioner och unionsorgan ska säkerställa konfidentiell behandling av uppgifter inom elektronisk kommunikation, särskilt genom att säkra sina elektroniska kommunikationsnät.
Artikel 37
Skydd av information som sänds till, lagras i, avser, behandlas av eller samlas in från användares terminalutrustning
Unionsinstitutioner och unionsorgan ska skydda information som sänds till, lagras i, avser, behandlas av eller samlas in från användares terminalutrustning som används för att få tillgång till unionsinstitutionernas och unionsorganens allmänt tillgängliga webbplatser och mobila applikationer i enlighet med artikel 5.3 i direktiv 2002/58/EG.
Artikel 38
Kataloger över användare
1. Personuppgifter i kataloger och tillgång till sådana kataloger ska begränsas till vad som är absolut nödvändigt för de specifika ändamålen med katalogen.
2. Unionsinstitutioner och unionsorgan ska vidta alla nödvändiga åtgärder för att förhindra att personuppgifter i dessa kataloger används för direkt marknadsföring, oavsett om de är tillgängliga för allmänheten eller inte.
AVSNITT 4
konsekvensbedömning avseende dataskydd samt föregående samråd
Artikel 39
Konsekvensbedömning avseende dataskydd
1. Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning får omfatta en serie liknande behandlingar som medför liknande höga risker.
2. Den personuppgiftsansvarige ska rådfråga dataskyddsombudet vid genomförande av en konsekvensbedömning avseende dataskydd.
3. En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:
a) |
En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer. |
b) |
Behandling i stor omfattning av särskilda kategorier av uppgifter som avses i artikel 10 eller av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, som avses i artikel 11. |
c) |
Systematisk övervakning av en allmän plats i stor omfattning. |
4. Europeiska datatillsynsmannen ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1.
5. Europeiska datatillsynsmannen får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte kräver någon konsekvensbedömning avseende dataskydd.
6. Innan de förteckningar som avses i punkterna 4 och 5 i denna artikel antas ska Europeiska datatillsynsmannen begära att Europeiska dataskyddsstyrelsen, som inrättats genom artikel 68 i förordning (EU) 2016/679, undersöker dem i enlighet med artikel 70.1 e i den förordningen, om de avser behandling som utförs av en personuppgiftsansvarig gemensamt med en eller flera andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan.
7. Bedömningen ska innehålla åtminstone
a) |
en systematisk beskrivning av den planerade behandlingen och behandlingens syften, |
b) |
en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena, |
c) |
en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och |
d) |
de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen. |
8. Efterlevnaden av godkända uppförandekoder enligt artikel 40 i förordning (EU) 2016/679 från andra personuppgiftsbiträden än unionsinstitutioner och unionsorgan ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av dessa personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvensbedömning avseende dataskydd.
9. Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av allmänna intressen eller behandlingens säkerhet.
10. Om behandlingen enligt artikel 5.1 a eller b har en rättslig grund i en rättsakt som antagits på grundval av fördragen och som reglerar den särskilda behandlingen eller serien av behandlingar i fråga, och om en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning som föregick antagandet av den rättsakten, ska punkterna 1–6 i den här artikeln inte vara tillämpliga, såvida inte den rättsakten föreskriver något annat.
11. Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.
Artikel 40
Förhandssamråd
1. Den personuppgiftsansvarige ska samråda med Europeiska datatillsynsmannen före behandling om en konsekvensbedömning avseende dataskydd enligt artikel 39 visar att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan minskas genom åtgärder som är rimliga med avseende på tillgänglig teknik och genomförandekostnader. Den personuppgiftsansvarige ska rådfråga dataskyddsombudet om behovet av föregående samråd.
2. Om Europeiska datatillsynsmannen anser att den planerade behandling som avses i punkt 1 skulle strida mot denna förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska Europeiska datatillsynsmannen inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgiftsansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som denne har enligt artikel 58. Denna period får förlängas med sex veckor med beaktande av hur komplicerad den planerade behandlingen är. Europeiska datatillsynsmannen ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att Europeiska datatillsynsmannen erhåller den information som den har begärt med tanke på samrådet.
3. Vid samråd med Europeiska datatillsynsmannen enligt punkt 1 ska den personuppgiftsansvarige till Europeiska datatillsynsmannen lämna
a) |
i tillämpliga fall, uppgift om de respektive ansvarsområdena för den personuppgiftsansvarige, de gemensamt personuppgiftsansvariga och de personuppgiftsbiträden som medverkar vid behandlingen, |
b) |
ändamålen med och medlen för den avsedda behandlingen, |
c) |
de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt denna förordning, |
d) |
kontaktuppgifter till dataskyddsombudet, |
e) |
konsekvensbedömningen avseende dataskydd enligt artikel 39, och |
f) |
all annan information som begärs av Europeiska datatillsynsmannen. |
4. Kommissionen får genom en genomförandeakt fastställa en förteckning över de fall där de personuppgiftsansvarige ska samråda med, och erhålla förhandstillstånd av, Europeiska datatillsynsmannen i samband med behandling av personuppgifter för att utföra en arbetsuppgift som den personuppgiftsansvarige utför i allmänhetens intresse, inbegripet behandling av sådana uppgifter i samband med social trygghet och folkhälsa.
AVSNITT 5
Information och samråd i lagstiftningsprocessen
Artikel 41
Information och samråd
1. Unionsinstitutioner och unionsorgan ska underrätta Europeiska datatillsynsmannen när de utarbetar administrativa åtgärder och interna regler som rör behandling av personuppgifter av en unionsinstitution eller ett unionsorgan, ensamt eller tillsammans med andra.
2. Unionsinstitutioner och unionsorgan ska samråda med Europeiska datatillsynsmannen när de utarbetar de interna regler som avses i artikel 25.
Artikel 42
Samråd i lagstiftningsprocessen
1. Kommissionen ska, efter antagandet av förslag till en lagstiftningsakt, av rekommendationer eller av förslag till rådet i enlighet med artikel 218 i EUF-fördraget eller i samband med utarbetandet av delegerade akter eller genomförandeakter, vilka har en inverkan på skyddet av enskilda personers rättigheter och friheter med avseende på behandling av personuppgifter, samråda med Europeiska datatillsynsmannen.
2. När en akt som avses i punkt 1 är av särskild betydelse för skyddet av enskilda personers rättigheter och friheter med avseende på behandling av personuppgifter, får kommissionen även samråda med Europeiska dataskyddsstyrelsen. I sådana fall ska Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen samordna sitt arbete i syfte att utfärda ett gemensamt yttrande.
3. Den rådgivning som avses i punkterna 1 och 2 ska tillhandahållas skriftligen inom en period på högst åtta veckor från mottagandet av begäran om samråd som avses i punkterna 1 och 2. I brådskande fall, eller där det i övrigt är lämpligt, får kommissionen förkorta tidsfristen.
4. Denna artikel ska inte tillämpas i de fall då kommissionen i enlighet med förordning (EU) 2016/679 är skyldig att samråda med Europeiska dataskyddsstyrelsen.
AVSNITT 6
Dataskyddsombud
Artikel 43
Utnämning av dataskyddsombudet
1. Varje unionsinstitution eller unionsorgan ska utnämna ett dataskyddsombud.
2. Unionsinstitutioner och unionsorgan får utnämna ett enda dataskyddsombud för flera av dem, med hänsyn till deras organisationsstruktur och storlek.
3. Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 45.
4. Dataskyddsombudet ska ingå i unionsinstitutionens eller unionsorganets personal. Med hänsyn tagen till deras storlek och om det alternativ som anges i punkt 2 inte har utnyttjats, får unionsinstitutioner och unionsorgan utse ett dataskyddsombud som utför sina uppgifter på grundval av ett tjänsteavtal.
5. Unionsinstitutioner och unionsorgan ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till Europeiska datatillsynsmannen.
Artikel 44
Dataskyddsombudets ställning
1. Unionsinstitutioner och unionsorgan ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.
2. Unionsinstitutioner och unionsorgan ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 45 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av hans eller hennes sakkunskap.
3. Unionsinstitutioner och unionsorgan ska säkerställa att dataskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta ledningsnivå.
4. Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.
5. Dataskyddsombudet och dennes personal ska, när det gäller genomförandet av sina uppgifter, vara bundna av sekretess eller konfidentialitet i enlighet med unionsrätten.
6. Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.
7. Dataskyddsombudet får rådfrågas av den personuppgiftsansvarige och personuppgiftsbiträdet, av den berörda personalkommittén och av enskilda personer, i alla frågor som rör tolkningen eller tillämpningen av denna förordning, utan att dessa personer behöver gå den officiella vägen. Ingen ska lida förfång för att ha gjort det behöriga dataskyddsombudet uppmärksamt på att en händelse som påstås utgöra en överträdelse av bestämmelserna i denna förordning har ägt rum.
8. Dataskyddsombudet ska utses för en period på tre till fem år och ska kunna ges förnyat mandat. Dataskyddsombudet får avsättas från sitt uppdrag av den unionsinstitution eller det unionsorgan som utsett honom eller henne om han eller hon inte längre uppfyller de krav som ställs för att han eller hon ska kunna utföra sina uppgifter endast efter medgivande av Europeiska datatillsynsmannen.
9. Efter det att dataskyddsombudet har utsetts ska han eller hon registreras hos Europeiska datatillsynsmannen av den unionsinstitution eller det unionsorgan som utsåg vederbörande.
Artikel 45
Dataskyddsombudets uppgifter
1. Dataskyddsombudet ska ha följande uppgifter:
a) |
Informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens dataskyddsbestämmelser. |
b) |
På ett oberoende sätt säkerställa den interna tillämpningen av denna förordning och övervaka efterlevnaden av denna förordning, av annan tillämplig unionsrätt som innehåller dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling, samt tillhörande granskning. |
c) |
Säkerställa att registrerade informeras om sina rättigheter och skyldigheter enligt denna förordning. |
d) |
På begäran ge råd vad gäller behovet av en anmälan av eller ett meddelande om en personuppgiftsincident enligt artiklarna 34 och 35. |
e) |
På begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet enligt artikel 39 och samråda med Europeiska datatillsynsmannen vid eventuellt tvivel om behovet av en konsekvensbedömning avseende dataskydd. |
f) |
På begäran ge råd vad gäller behovet av föregående samråd med Europeiska datatillsynsmannen enligt artikel 40 och samråda med Europeiska datatillsynsmannen vid eventuellt tvivel om behovet av ett föregående samråd. |
g) |
Besvara begäranden från Europeiska datatillsynsmannen och, inom ramen för sin behörighet, samarbeta och samråda med denne på Europeiska datatillsynsmannens begäran eller på eget initiativ. |
h) |
Säkerställa att de registrerades rättigheter och friheter inte påverkas negativt av behandlingen. |
2. Dataskyddsombudet får ge rekommendationer till den personuppgiftsansvarige och personuppgiftsbiträdet för den praktiska förbättringen av uppgiftsskyddet och ge dem råd i frågor som rör tillämpningen av bestämmelserna om uppgiftsskydd. Dessutom får han eller hon, på eget initiativ eller på begäran av den personuppgiftsansvarige eller personuppgiftsbiträdet, den berörda personalkommittén eller varje enskild person, utreda frågor och händelser som har direkt samband med hans eller hennes uppgifter och som kommer till hans eller hennes kännedom och rapportera tillbaka till den person som beställde utredningen eller till den personuppgiftsansvarige eller personuppgiftsbiträdet.
3. Ytterligare genomföranderegler rörande dataskyddsombudet ska antas av varje unionsinstitution eller unionsorgan. Genomförandereglerna ska i synnerhet avse dataskyddsombudets arbetsuppgifter, åligganden och befogenheter.
KAPITEL V
ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER INTERNATIONELLA ORGANISATIONER
Artikel 46
Allmän princip för överföring av uppgifter
Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.
Artikel 47
Överföring på grundval av ett beslut om adekvat skyddsnivå
1. Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680 har beslutat att ett tredjeland, ett territorium eller en eller flera specificerade sektorer i det tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå, och personuppgifter överförs uteslutande för att göra det möjligt att utföra uppgifter som omfattas av den personuppgiftsansvariges behörighet.
2. Unionsinstitutioner och unionsorgan ska informera kommissionen och Europeiska datatillsynsmannen då de anser att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredje land, eller en internationell organisation i fråga inte säkerställer en adekvat skyddsnivå enligt punkt 1.
3. Unionsinstitutioner och unionsorgan ska vidta de åtgärder som är nödvändiga för att följa de beslut kommissionen fattat enligt artikel 45.3 eller 45.5 i förordning (EU) 2016/679 eller med artikel 36.3 eller 36.5 i direktiv (EU) 2016/680, i vilka den konstaterat att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredje land, eller en internationell organisation säkerställer eller inte längre säkerställer en adekvat skyddsnivå.
Artikel 48
Överföring som omfattas av lämpliga skyddsåtgärder
1. I avsaknad av ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680 får en personuppgiftsansvarig eller ett personuppgiftsbiträde överföra personuppgifter till ett tredjeland eller en internationell organisation endast efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.
2. Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från Europeiska datatillsynsmannen, införas genom
a) |
ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ, |
b) |
standardiserade dataskyddsbestämmelser som antagits av kommissionen i enlighet med det granskningsförfarande som avses i artikel 96.2, |
c) |
standardiserade dataskyddsbestämmelser som antas av Europeiska datatillsynsmannen och godkänts av kommissionen enligt det granskningsförfarande som avses i artikel 96.2, |
d) |
i de fall där personuppgiftsbiträdet inte är en unionsinstitution eller ett unionsorgan, bindande företagsbestämmelser, uppförandekoder eller certifieringsmekanismer enligt artikel 46.2 b, e och f i förordning (EU) 2016/679. |
3. Med förbehåll för tillstånd från Europeiska datatillsynsmannen, får lämpliga skyddsåtgärder enligt punkt 1 också i synnerhet ta formen av
a) |
avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen, eller |
b) |
bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade. |
4. Tillstånd från Europeiska datatillsynsmannen på grundval av artikel 9.7 i förordning (EG) nr 45/2001 ska förbli giltiga till dess att de, vid behov, har ändrats, ersatts eller upphävts av Europeiska datatillsynsmannen.
5. Unionsinstitutioner och unionsorgan ska informera Europeiska datatillsynsmannen om kategorier av fall där denna artikel har tillämpats.
Artikel 49
Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten
Domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personuppgiftsbiträde överför eller lämnar ut personuppgifter får erkännas eller verkställas på något som helst sätt endast om det grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det begärande tredjelandet och unionen, utan att detta påverkar andra grunder för överföring enligt detta kapitel.
Artikel 50
Undantag i särskilda situationer
1. Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680 eller lämpliga skyddsåtgärder enligt artikel 48 i den här förordningen ska en överföring eller en uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation ske endast om något av följande villkor är uppfyllt:
a) |
Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade med hänsyn till att det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder. |
b) |
Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran. |
c) |
Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person som ingåtts i den registrerades intresse. |
d) |
Överföringen är nödvändig av viktiga skäl som rör allmänintresset. |
e) |
Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. |
f) |
Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke. |
g) |
Överföringen görs från ett register som enligt unionsrätten är avsett att ge information till allmänheten och som är tillgängligt antingen för allmänheten eller för varje person som kan påvisa ett berättigat intresse, men endast i den utsträckning som de i unionsrätten angivna villkoren för tillgänglighet uppfylls i det särskilda fallet. |
2. Punkt 1 a, b och c ska inte tillämpas på åtgärder som vidtas av unionsinstitutioner och unionsorgan som ett led i utövandet av deras offentliga befogenheter.
3. Det allmänintresse som avses i punkt 1 d ska vara erkänt i unionsrätten.
4. En överföring enligt punkt 1 g får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret, såvida inte unionsrätten tillåter det. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.
5. Saknas beslut om adekvat skyddsnivå får unionsrätten med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation.
6. Unionsinstitutioner och unionsorgan ska informera Europeiska datatillsynsmannen om kategorierna av fall där denna artikel har tillämpats.
Artikel 51
Internationellt samarbete för skydd av personuppgifter
När det gäller tredjeländer och internationella organisationer ska Europeiska datatillsynsmannen, i samarbete med kommissionen och Europeiska dataskyddsstyrelsen, vidta lämpliga åtgärder för att
a) |
utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, |
b) |
på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt andra grundläggande rättigheter och friheter, |
c) |
involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter, |
d) |
främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende behörighetskonflikter med tredjeländer. |
KAPITEL VI
EUROPEISKA DATATILLSYNSMANNEN
Artikel 52
Europeiska datatillsynsmannen
1. Härmed inrättas Europeiska datatillsynsmannen.
2. Vad gäller behandling av personuppgifter ska Europeiska datatillsynsmannen ha i uppdrag att säkerställa att fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till dataskydd, respekteras av unionsinstitutioner och unionsorgan.
3. Europeiska datatillsynsmannen ska ha i uppdrag att övervaka och säkerställa tillämpningen av bestämmelserna i denna förordning och andra unionsrättsakter om skyddet för fysiska personers grundläggande fri- och rättigheter då en unionsinstitution eller ett unionsorgan behandlar personuppgifter och för att ge råd till unionsinstitutioner och unionsorgan och de registrerade i alla frågor som rör behandling av personuppgifter. För dessa ändamål ska Europeiska datatillsynsmannen fullgöra de uppgifter som fastställs i artikel 57 och utöva de befogenheter som anges i artikel 58.
4. Förordning (EG) nr 1049/2001 ska vara tillämplig på handlingar som innehas av Europeiska datatillsynsmannen. Europeiska datatillsynsmannen ska anta föreskrifter för tillämpningen av förordning (EG) nr 1049/2001 när det gäller dessa handlingar.
Artikel 53
Utnämning av Europeiska datatillsynsmannen
1. Europaparlamentet och rådet ska i samförstånd utnämna Europeiska datatillsynsmannen för en period av fem år, på grundval av en förteckning som kommissionen upprättat efter en offentlig infordran av intresseanmälningar. Infordran av intresseanmälningar ska göra det möjligt för alla intresserade parter i hela unionen att lämna in sina ansökningar. Den förteckning över kandidater som upprättats av kommissionen ska vara offentlig och bestå av minst tre kandidater. På grundval av den förteckning som upprättats av kommissionen får Europaparlamentets behöriga utskott besluta att hålla en utfrågning för att kunna yttra sig om vilken kandidat det föredrar.
2. Den förteckning av kandidater som avses i punkt 1 ska bestå av personer vars oberoende är ställt utom alla tvivel och som har expertkunskap inom dataskydd och den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeisk datatillsynsman.
3. Europeiska datatillsynsmannens mandattid ska kunna förnyas en gång.
4. Europeiska datatillsynsmannens skyldigheter ska upphöra i följande fall:
a) |
Om Europeiska datatillsynsmannen byts ut. |
b) |
Om Europeiska datatillsynsmannen avgår. |
c) |
Om Europeiska datatillsynsmannen entledigas eller avsätts. |
5. Europeiska datatillsynsmannen kan på begäran av Europaparlamentet, rådet eller kommissionen entledigas eller fråntas sina pensionsrättigheter eller andra förmåner av domstolen, om han eller hon inte längre uppfyller de krav som ställs för att han eller hon ska kunna utföra sina uppgifter eller om han eller hon gjort sig skyldig till allvarlig försummelse.
6. Vid normal nytillsättning eller frivillig avgång ska Europeiska datatillsynsmannen emellertid kvarstå i tjänst till dess att han eller hon har fått en ersättare.
7. Artiklarna 11–14 och 17 i protokollet om Europeiska unionens immunitet och privilegier ska vara tillämpliga på Europeiska datatillsynsmannen.
Artikel 54
Föreskrifter och allmänna villkor för hur Europeiska datatillsynsmannen ska utöva sitt ämbete samt om personal och finansiella medel
1. Europeiska datatillsynsmannen ska anses likställd med en domare vid domstolen när det gäller fastställande av löner, ersättningar, ålderspension och all annan ersättning utöver lön.
2. Budgetmyndigheten ska säkerställa att Europeiska datatillsynsmannen erhåller den personal och de finansiella medel som behövs för att han eller hon ska kunna fullgöra sina uppgifter.
3. Budgeten för Europeiska datatillsynsmannen ska finnas under en särskild budgetpost i avsnittet om administrativa utgifter i unionens allmänna budget.
4. Europeiska datatillsynsmannen ska biträdas av ett sekretariat. Tjänstemän och övriga anställda vid sekretariatet ska utses av Europeiska datatillsynsmannen, som ska vara deras överordnade. De ska endast stå under hans eller hennes ledning. Deras antal ska fastställas varje år inom ramen för budgetförfarandet. Artikel 75.2 i förordning (EU) 2016/679 ska tillämpas på dem bland Europeiska datatillsynsmannens personal som deltar i att utföra de uppgifter som tilldelats Europeiska dataskyddsstyrelsen i unionsrätten.
5. Tjänstemän och övriga anställda vid Europeiska datatillsynsmannens sekretariat ska omfattas av de förordningar och regler som tillämpas på tjänstemän och övriga anställda i unionen.
6. Europeiska datatillsynsmannen ska ha sitt säte i Bryssel.
Artikel 55
Oberoende
1. Europeiska datatillsynsmannen ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning.
2. Europeiska datatillsynsmannen ska i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning stå fria från utomstående påverkan, direkt såväl som indirekt, och får varken begära eller ta emot instruktioner av någon.
3. Europeiska datatillsynsmannen ska avhålla sig från alla handlingar som är oförenliga med hans eller hennes skyldigheter och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet.
4. Efter sin mandattid ska Europeiska datatillsynsmannen visa integritet och omdöme i fråga om att acceptera utnämningar och ta emot förmåner.
Artikel 56
Tystnadsplikt
Både under och efter sin mandattid ska Europeiska datatillsynsmannen och hans eller hennes personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen.
Artikel 57
Uppgifter
1. Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska Europeiska datatillsynsmannen ansvara för följande:
a) |
Övervaka och upprätthålla unionsinstitutioner och unionsorgans tillämpning av denna förordning, med undantag av behandling av personuppgifter som utförs av domstolen i dess rättskipande funktion. |
b) |
Öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn. |
c) |
Öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt denna förordning. |
d) |
På begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt denna förordning, och om så krävs samarbeta med de nationella tillsynsmyndigheterna för detta ändamål. |
e) |
Behandla klagomål som lämnats in av en registrerad eller av ett organ, en organisation eller en sammanslutning i enlighet med artikel 67, och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta klaganden om hur undersökningen fortskrider och om resultatet, särskilt om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet. |
f) |
Utföra undersökningar om tillämpningen av denna förordning, inbegripet på grundval av information som erhålls från en annan tillsynsmyndighet eller annan myndighet. |
g) |
På eget initiativ eller på begäran ge rådgivning åt alla unionsinstitutioner och unionsorgan om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers rättigheter och friheter med avseende på behandling av personuppgifter. |
h) |
Övervaka relevant utveckling i den mån den påverkar skyddet av personuppgifter, särskilt inom informations- och kommunikationsteknik. |
i) |
Anta sådana standardavtalsklausuler som avses i artiklarna 29.8 och 48.2 c. |
j) |
Upprätta och föra en förteckning när det gäller kravet på en konsekvensbedömning avseende dataskydd enligt artikel 39.4. |
k) |
Delta i den verksamhet som bedrivs av Europeiska dataskyddsstyrelsen. |
l) |
Tillhandahålla Europeiska dataskyddsstyrelsens sekretariat, i enlighet med artikel 75 i förordning (EU) 2016/679. |
m) |
Ge råd om behandling som avses i artikel 40.2. |
n) |
Godkänna sådana avtalsklausuler och bestämmelser som avses i artikel 48.3. |
o) |
Föra interna register över överträdelser av denna förordning och åtgärder som vidtagits i enlighet med artikel 58.2. |
p) |
Utföra eventuella andra uppgifter som rör skyddet av personuppgifter. |
q) |
Anta sin arbetsordning. |
2. Europeiska datatillsynsmannen ska underlätta inlämnandet av klagomål enligt punkt 1 e genom ett särskilt formulär för det ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.
3. Utförandet av Europeiska datatillsynsmannens uppgifter ska vara kostnadsfritt för den registrerade.
4. Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får Europeiska datatillsynsmannen vägra att tillmötesgå begäran. Det åligger Europeiska datatillsynsmannen att visa att begäran är uppenbart ogrundad eller orimlig.
Artikel 58
Befogenheter
1. Europeiska datatillsynsmannen ska ha samtliga följande utredningsbefogenheter:
a) |
Att beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att tillhandahålla all information som Europeiska datatillsynsmannen behöver för att kunna fullgöra sina uppgifter. |
b) |
Att genomföra undersökningar i form av dataskyddstillsyn. |
c) |
Att underrätta den personuppgiftsansvarige eller personuppgiftsbiträdet om en påstådd överträdelse av denna förordning. |
d) |
Att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter. |
e) |
Att få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionsrätten. |
2. Europeiska datatillsynsmannen ska ha samtliga följande korrigerande befogenheter:
a) |
Att utfärda varningar till en personuppgiftsansvarig eller ett personuppgiftsbiträde om att planerade behandlingar sannolikt kommer att bryta mot bestämmelserna i denna förordning. |
b) |
Att utfärda reprimander till en personuppgiftsansvarig eller ett personuppgiftsbiträde om behandling bryter mot bestämmelserna i denna förordning. |
c) |
Att rapportera ärenden till den personuppgiftsansvarige eller det personuppgiftsbiträde som berörs och vid behov till Europaparlamentet, rådet och kommissionen. |
d) |
Att förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt denna förordning. |
e) |
Att förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period. |
f) |
Att förelägga den personuppgiftsansvarige att meddela den registrerade att en personuppgiftsincident har inträffat. |
g) |
Att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling. |
h) |
Att förelägga om rättelse eller radering av personuppgifter eller begränsning av behandling enligt artiklarna 18, 19 och 20 och underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 19.2 och 21. |
i) |
Att påföra administrativa sanktionsavgifter i enlighet med artikel 66, om en unionsinstitution eller ett unionsorgan inte har efterlevt en av de åtgärder som avses i leden d–h och j i denna punkt, med hänsyn till omständigheterna i det enskilda fallet. |
j) |
Att förelägga om att flödet av uppgifter till en mottagare i en medlemsstat, ett tredjeland eller en internationell organisation ska avbrytas. |
3. Europeiska datatillsynsmannen ska ha följande befogenheter att utfärda tillstånd och att ge råd:
a) |
Ge råd till registrerade när de utövar sina rättigheter. |
b) |
Ge råd till den personuppgiftsansvarige i enlighet med det förfarande för föregående samråd som avses i artikel 40 och i enlighet med artikel 41.2. |
c) |
På eget initiativ eller på begäran avge yttranden till unionsinstitutioner och unionsorgan samt till allmänheten, i frågor som rör skydd av personuppgifter. |
d) |
Anta standardiserade dataskyddsbestämmelser enligt artiklarna 29.8 och 48.2 c. |
e) |
Godkänna avtalsklausuler enligt artikel 48.3 a. |
f) |
Godkänna administrativa överenskommelser enligt artikel 48.3 b. |
g) |
Godkänna behandling enligt genomförandeakter som antagits enligt artikel 40.4. |
4. Europeiska datatillsynsmannen ska ha befogenhet att hänskjuta ärendet till domstolen på de villkor som anges i fördragen och att intervenera i ärenden som anhängiggjorts vid domstolen.
5. Utövandet av de befogenheter som Europeiska datatillsynsmannen tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten.
Artikel 59
Skyldighet för personuppgiftsansvariga och personuppgiftsbiträden att reagera på anmärkningar
När Europeiska datatillsynsmannen utövar de befogenheter som föreskrivs i artikel 58.2 a, b och c, ska den berörda personuppgiftsansvarige eller det berörda personuppgiftsbiträdet informera Europeiska datatillsynsmannen om sina synpunkter inom en rimlig period, som ska fastställas av Europeiska datatillsynsmannen med beaktande av omständigheterna i varje enskilt fall. Dessa synpunkter ska också innehålla en beskrivning av de eventuella åtgärder som har vidtagits med anledning av anmärkningar från Europeiska datatillsynsmannen.
Artikel 60
Verksamhetsrapport
1. Europeiska datatillsynsmannen ska lämna en årlig rapport om sin verksamhet till Europaparlamentet, rådet och kommissionen och samtidigt offentliggöra rapporten.
2. Europeiska datatillsynsmannen ska vidarebefordra den rapport som avses i punkt 1 till övriga unionsinstitutioner och unionsorgan, som får lämna kommentarer inför en eventuell granskning av rapporten av Europaparlamentet.
KAPITEL VII
SAMARBETE OCH ENHETLIGHET
Artikel 61
Samarbete mellan Europeiska datatillsynsmannen och nationella tillsynsmyndigheter
Europeiska datatillsynsmannen ska samarbeta med nationella tillsynsmyndigheter samt med den gemensamma tillsynsmyndighet som inrättats enligt artikel 25 i rådets beslut 2009/917/RIF (19) i den utsträckning som krävs för att de ska kunna fullgöra sina respektive uppgifter, särskilt genom att ge varandra relevant information, efterfråga av varandra att utöva respektive befogenheter och svara på varandras begäranden.
Artikel 62
En samordnad tillsyn av Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna
1. Om en unionsakt hänvisar till denna artikel ska Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna, inom ramen för sina respektive behörigheter, samarbeta aktivt inom sina ansvarsområden för att säkerställa en effektiv tillsyn över stora it-system och unionsorgan eller unionsbyråer.
2. De ska, om så behövs, inom ramen för sina respektive behörigheter och inom sina ansvarsområden utbyta relevant information, bistå varandra i samband med revision och kontroller, utreda problem med tolkningen eller tillämpningen av denna förordning och andra tillämpliga unionsakter, studera problem med att utöva oberoende tillsyn eller problem med de registrerades möjligheter att utöva sina rättigheter, upprätta harmoniserade förslag till lösningar på eventuella problem och främja medvetenheten om dataskyddsrättigheterna.
3. För de ändamål som anges i punkt 2 ska Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna sammanträda minst två gånger om året inom ramen för Europeiska dataskyddsstyrelsen. För dessa ändamål får Europeiska dataskyddsstyrelsen utarbeta ytterligare arbetsmetoder efter behov.
4. Vartannat år ska Europeiska dataskyddsstyrelsen översända en gemensam verksamhetsrapport vad gäller samordnad tillsyn till Europaparlamentet, rådet och kommissionen.
KAPITEL VIII
RÄTTSMEDEL, ANSVAR OCH SANKTIONER
Artikel 63
Rätt att lämna in klagomål till Europeiska datatillsynsmannen
1. Utan att det påverkar något rättsmedel, administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till Europeiska datatillsynsmannen.
2. Europeiska datatillsynsmannen ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 64.
3. Om Europeiska datatillsynsmannen inte behandlar klagomålet eller inte informerar den registrerade inom tre månader om hur arbetet fortskrider eller om resultatet av klagomålet, ska Europeiska datatillsynsmannen anses ha fattat beslut om avslag.
Artikel 64
Rätten till ett effektivt rättsmedel
1. Domstolen ska vara behörig att pröva tvister som hänför sig till denna förordnings bestämmelser, inklusive skadeståndsanspråk.
2. Talan mot Europeiska datatillsynsmannens beslut, inbegripet beslut enligt artikel 63.3, ska väckas vid domstolen.
3. Domstolen ska ha obegränsad behörighet att pröva de administrativa sanktionsavgifter som avses i artikel 66. Den får upphäva, sänka eller höja avgifterna inom ramen för artikel 66.
Artikel 65
Rätt till ersättning
Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från unionsinstitutionen eller unionsorganet för den uppkomna skadan, med förbehåll för de villkor som anges i fördragen.
Artikel 66
Administrativa sanktionsavgifter
1. Europeiska datatillsynsmannen får påföra unionsinstitutioner och unionsorgan administrativa sanktionsavgifter, beroende på omständigheterna i det enskilda fallet, om en unionsinstitution eller ett unionsorgan inte rättar sig efter ett beslut av Europeiska datatillsynsmannen enligt artikel 58.2 d–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:
a) |
Överträdelsens karaktär, svårhetsgrad och varaktighet, med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit. |
b) |
De åtgärder som unionsinstitutionen eller unionsorganet har vidtagit för att lindra den skada som de registrerade har lidit. |
c) |
Graden av ansvar hos unionsinstitutionen eller unionsorganet med beaktande av de tekniska och organisatoriska åtgärder som de genomfört enligt artiklarna 27 och 33. |
d) |
Eventuella liknande tidigare överträdelser som begåtts av unionsinstitutionen eller unionsorganet. |
e) |
Graden av samarbete med Europeiska datatillsynsmannen för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter. |
f) |
De kategorier av personuppgifter som påverkas av överträdelsen. |
g) |
Det sätt på vilket överträdelsen kom till Europeiska datatillsynsmannens kännedom, särskilt huruvida och i vilken omfattning unionsinstitutionen eller unionsorganet anmälde överträdelsen. |
h) |
Efterlevnad av någon av de åtgärder som avses i artikel 58 som tidigare förordnats mot den berörda unionsinstitutionen eller det berörda unionsorganet vad gäller samma sakfråga. De förfaranden som leder fram till åläggandet av dessa avgifter ska genomföras inom en tidsram som är rimlig med hänsyn till omständigheterna i fallet och med hänsyn tagen till de åtgärder och förfaranden som avses i artikel 69. |
2. Överträdelser av de skyldigheter som åligger unionsinstitutionen eller unionsorganet enligt artiklarna 8, 12, 27–35, 39, 40, 43, 44 och 45 ska, i enlighet med punkt 1 i den här artikeln, medföra administrativa sanktionsavgifter på upp till 25 000 EUR per överträdelse och upp till ett totalt belopp på 250 000 EUR per år.
3. Vid överträdelser av följande bestämmelser från unionsinstitutionens eller unionsorganets sida ska det i enlighet med punkt 1 påföras administrativa sanktionsavgifter på upp till 50 000 EUR per överträdelse och upp till ett totalt belopp på 500 000 EUR per år:
a) |
De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 4, 5, 7 och 10. |
b) |
Registrerades rättigheter enligt artiklarna 4–24. |
c) |
Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt artiklarna 46–50. |
4. Om en unionsinstitution eller ett unionsorgan, med avseende på en och samma sammankopplade eller fortlöpande uppgiftsbehandlingar, överträder flera av bestämmelserna i denna förordning eller samma bestämmelse i denna förordning flera gånger får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.
5. Innan ett beslut fattas enligt denna artikel ska Europeiska datatillsynsmannen ge den unionsinstitution eller det unionsorgan som är föremål för förfarandet som genomförs av Europeiska datatillsynsmannen möjlighet att höras om de frågor med avseende på vilka Europeiska datatillsynsmannen har gjort invändningar. Europeiska datatillsynsmannen ska grunda sina beslut endast på invändningar som de berörda parterna har getts möjlighet att yttra sig om. De klagande ska vara nära knutna till förfarandet.
6. Berörda parters rätt till försvar ska iakttas fullt ut under förfarandet. De ska ha rätt att få tillgång till Europeiska datatillsynsmannens akt, med förbehåll för enskildas eller företags berättigade intresse av skydd av deras personuppgifter eller affärshemligheter.
7. De medel som samlats in genom åläggande av avgifter i denna artikel ska utgöra intäkter i unionens allmänna budget.
Artikel 67
Företrädande av registrerade
Den registrerade ska ha rätt att ge ett organ, en organisation eller en sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med unionsrätten eller rätten i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål till Europeiska datatillsynsmannen för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 63 och 64 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 65.
Artikel 68
Klagomål från anställda vid Europeiska unionen
Varje person som är anställd vid en unionsinstitution eller ett unionsorgan får framföra klagomål om en påstådd överträdelse av bestämmelserna i denna förordning om behandling av personuppgifter till Europeiska datatillsynsmannen, även utan att gå den officiella vägen. Ingen ska lida förfång på grund av att ett klagomål lämnats in till Europeiska datatillsynsmannen angående en sådan överträdelse.
Artikel 69
Sanktioner
Om en tjänsteman eller annan anställd vid unionen inte uppfyller de förpliktelser som föreskrivs i denna förordning, avsiktligt eller på grund av försumlighet, ska denne bli föremål för disciplinära eller andra åtgärder enligt de regler och förfaranden som föreskrivs i tjänsteföreskrifterna.
KAPITEL IX
BEHANDLING AV OPERATIVA PERSONUPPGIFTER SOM UTFÖRS AV UNIONENS ORGAN OCH BYRÅER NÄR DESSA UTÖVAR VERKSAMHET SOM OMFATTAS AV TREDJE DELEN AVDELNING V KAPITEL 4 ELLER KAPITEL 5 I EUF-FÖRDRAGET
Artikel 70
Kapitlets tillämpningsområde
Detta kapitel ska endast tillämpas på behandlingen av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, utan att det påverkar särskilda dataskyddsbestämmelser som är tillämpliga på dessa unionsorgan och unionsbyråer.
Artikel 71
Principer för behandling av operativa personuppgifter
1. Vid behandling av operativa personuppgifter ska följande gälla:
a) |
Uppgifterna ska behandlas på ett lagligt och korrekt sätt (laglighet och korrekthet). |
b) |
De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning). |
c) |
De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering). |
d) |
De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder ska vidtas för att säkerställa att operativa personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet). |
e) |
De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de operativa personuppgifterna behandlas (lagringsminimering). |
f) |
De ska behandlas på ett sätt som säkerställer lämplig säkerhet för de operativa personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet). |
2. Behandling som utförs av samma eller en annan personuppgiftsansvarig för något annat ändamål, som anges i rättsakten om inrättande av unionsorganet eller unionsbyrån, än det för vilket de operativa personuppgifterna samlas in ska tillåtas om
a) |
den personuppgiftsansvarige är bemyndigad att behandla sådana operativa personuppgifter för ett sådant ändamål i enlighet med unionsrätten, |
b) |
behandlingen är nödvändig och står i proportion till detta andra ändamål i enlighet med unionsrätten. |
3. Behandling som utförs av samma eller en annan personuppgiftsansvarig kan inbegripa arkivering av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i rättsakten om inrättande av unionsorganet eller unionsbyrån, under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.
4. Den personuppgiftsansvarige ska ansvara för, och kunna visa efterlevnad av, punkterna 1, 2 och 3.
Artikel 72
Laglig behandling av operativa personuppgifter
1. Behandling av operativa personuppgifter ska vara laglig endast om och i den mån som behandling är nödvändig för att utföra en uppgift som utförs av unionens organ, och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, och som grundas på unionsrätten.
2. Särskilda unionsrättsakter som reglerar behandling inom tillämpningsområdet för detta kapitel ska åtminstone ange målen för behandlingen, vilka operativa personuppgifter som ska behandlas, syftet med behandlingen och tidsgränserna för lagring av de operativa personuppgifterna eller för periodisk översyn av behovet av ytterligare lagring av de operativa personuppgifterna.
Artikel 73
Åtskillnad mellan olika kategorier av registrerade
Den personuppgiftsansvarige ska i tillämpliga fall och i möjligaste mån göra en tydlig åtskillnad mellan operativa personuppgifter som rör olika kategorier av registrerade, såsom de kategorier som förtecknas i rättsakten om inrättande av unionens organ eller byråer.
Artikel 74
Åtskillnad mellan operativa personuppgifter och kontroll av kvaliteten på de operativa personuppgifterna
1. Den personuppgiftsansvarige ska i möjligaste mån skilja mellan operativa personuppgifter som grundar sig på fakta och operativa personuppgifter som grundar sig på personliga bedömningar.
2. Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att operativa personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Den personuppgiftsansvarige ska därför i den mån det är praktiskt möjligt och i tillämpliga fall kontrollera kvaliteten på de operativa personuppgifterna innan dessa överförs eller görs tillgängliga, exempelvis genom att samråda med den behöriga myndighet som uppgifterna kommer ifrån. Vid all överföring av operativa personuppgifter ska den personuppgiftsansvarige i möjligaste mån lägga till sådan nödvändig information som gör det möjligt för mottagaren att bedöma i vilken grad de operativa personuppgifterna är riktiga, fullständiga och tillförlitliga samt i vilken utsträckning de är aktuella.
3. Om det visar sig att felaktiga operativa personuppgifter har överförts eller att operativa personuppgifter olagligen har överförts, ska mottagaren omedelbart underrättas om detta. I sådana fall ska de operativa personuppgifterna i fråga rättas eller raderas eller behandlingen begränsas i enlighet med artikel 82.
Artikel 75
Särskilda villkor för uppgiftsbehandling
1. När den unionsrätt som är tillämplig på den personuppgiftsansvarige som överför uppgifter fastställer särskilda villkor för behandling, ska den personuppgiftsansvarige informera mottagaren av de operativa personuppgifterna om dessa särskilda villkor och om kravet att uppfylla dem.
2. Den personuppgiftsansvarige ska rätta sig efter de särskilda behandlingsvillkor för behandlingen som anges av en överförande behörig myndighet i enlighet med artikel 9.3 och 9.4 i direktiv (EU) 2016/680.
Artikel 76
Behandling av särskilda kategorier av operativa personuppgifter
1. Behandling av operativa personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person, operativa personuppgifter om hälsa eller om en fysisk persons sexualliv eller sexuella läggning ska vara tillåten endast om det är absolut nödvändigt för operativa ändamål inom ramen för de berörda unionsorganens eller unionsbyråernas uppdrag samt under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Det ska vara förbjudet att diskriminera fysiska personer på grundval av sådana personuppgifter.
2. Dataskyddsombudet ska utan onödigt dröjsmål informeras ifall denna artikel tillämpas.
Artikel 77
Automatiserat individuellt beslutsfattande, inbegripet profilering
1. Beslut som enbart grundas på automatiserad behandling, inbegripet profilering, som har negativa rättsliga följder för den registrerade eller i betydande grad påverkar honom eller henne, ska förbjudas om de inte är tillåtna enligt unionsrätten som den personuppgiftsansvarige lyder under och som föreskriver lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, åtminstone rätten till mänskligt ingripande från den personuppgiftsansvariges sida.
2. Beslut som avses i punkt 1 i den här artikeln får inte grundas på de särskilda kategorier av personuppgifter som avses i artikel 76, såvida inte lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen har vidtagits.
3. Profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter enligt artikel 76 ska förbjudas i enlighet med unionsrätten.
Artikel 78
Information om och villkor för utövandet av den registrerades rättigheter
1. Den personuppgiftsansvarige ska vidta rimliga åtgärder för att tillhandahålla den registrerade all information som avses i artikel 79 och alla meddelanden enligt artiklarna 80–84 och 92 som avser behandling i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk. Informationen ska tillhandahållas på lämpligt sätt, t.ex. elektroniskt. Som en allmän regel ska den personuppgiftsansvarige tillhandahålla informationen i samma format som begäran.
2. Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter enligt artiklarna 79–84.
3. Den personuppgiftsansvarige ska utan onödigt dröjsmål skriftligen informera den registrerade om uppföljningen av hans eller hennes begäran och under alla omständigheter senast tre månader efter mottagandet av den registrerades begäran.
4. Den personuppgiftsansvarige ska tillhandahålla informationen enligt artikel 79 och alla meddelanden eller åtgärder som vidtas enligt artiklarna 80–84 och 92 kostnadsfritt. Om en registrerads begäranden är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva karaktär, får den personuppgiftsansvarige vägra att tillmötesgå begäran. Det ska åligga den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.
5. Om den personuppgiftsansvarige har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artikel 80 eller 82, får den personuppgiftsansvarige begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet ska tillhandahållas.
Artikel 79
Information som ska göras tillgänglig för eller lämnas till den registrerade
1. Den personuppgiftsansvarige ska göra åtminstone följande information tillgänglig för den registrerade:
a) |
Unionsorganets eller unionsbyråns identitet och kontaktuppgifter. |
b) |
Dataskyddsombudets kontaktuppgifter. |
c) |
Ändamålen med den behandling för vilken de operativa personuppgifterna är avsedda. |
d) |
Rätten att lämna in ett klagomål till Europeiska datatillsynsmannen samt dennes kontaktuppgifter. |
e) |
Rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av operativa personuppgifter och begränsning av behandling av operativa personuppgifter som rör den registrerade. |
2. Utöver den information som avses i punkt 1, ska den personuppgiftsansvarige, i specifika fall som fastställs i unionsrätten, lämna följande information till den registrerade, för att göra det möjligt för honom eller henne att utöva sina rättigheter:
a) |
Behandlingens rättsliga grund. |
b) |
Den period under vilken de operativa personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. |
c) |
I tillämpliga fall, kategorierna av mottagare av de operativa personuppgifterna, inbegripet i tredjeländer eller internationella organisationer. |
d) |
Vid behov ytterligare information, i synnerhet om de operativa personuppgifterna samlas in utan den registrerades vetskap. |
3. Den personuppgiftsansvarige får senarelägga, begränsa eller utelämna tillhandahållandet av informationen till den registrerade enligt punkt 2, i den utsträckning och så länge en sådan åtgärd är nödvändig och proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att
a) |
undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden, |
b) |
undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder, |
c) |
skydda medlemsstaternas allmänna säkerhet, |
d) |
skydda medlemsstaternas nationella säkerhet, |
e) |
skydda andra personers rättigheter och friheter, till exempel brottsoffer och vittnen. |
Artikel 80
Den registrerades rätt till tillgång
Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida operativa personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till de operativa personuppgifterna och följande information:
a) |
Ändamålen med behandlingen och dess rättsliga grund. |
b) |
De kategorier av operativa personuppgifter som behandlingen avser. |
c) |
De mottagare eller kategorier av mottagare till vilka de operativa personuppgifterna har lämnats ut, särskilt mottagare i tredjeländer eller internationella organisationer. |
d) |
Om möjligt, den förutsedda period under vilken de operativa personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period. |
e) |
Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av operativa personuppgifter eller begränsning av behandling av operativa personuppgifter som rör den registrerade. |
f) |
Rätten att lämna in ett klagomål till Europeiska datatillsynsmannen och dennes kontaktuppgifter. |
g) |
Meddelande om vilka operativa personuppgifter som håller på att behandlas och all tillgänglig information om varifrån dessa uppgifter härstammar. |
Artikel 81
Begränsningar av rätten till tillgång
1. Den personuppgiftsansvarige får helt eller delvis begränsa den registrerades rätt till tillgång i den utsträckning och så länge en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att
a) |
undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden, |
b) |
undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder, |
c) |
skydda medlemsstaternas allmänna säkerhet, |
d) |
skydda medlemsstaternas nationella säkerhet, |
e) |
skydda andra personers rättigheter och friheter, till exempel brottsoffer och vittnen. |
2. I de fall som avses i punkt 1 ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade skriftligen om varje vägran eller begränsning av tillgång och om skälen för vägran eller begränsningen. Denna information kan utelämnas om tillhandahållandet skulle undergräva ett ändamål enligt punkt 1. Den personuppgiftsansvarige ska underrätta den registrerade om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid domstolen. Den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga grunderna för beslutet. Denna information ska på begäran göras tillgänglig för Europeiska datatillsynsmannen.
Artikel 82
Rätt till rättelse eller radering av operativa personuppgifter och begränsning av behandling
1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga operativa personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålen med behandlingen ska den registrerade ha rätt att få ofullständiga operativa personuppgifter kompletterade, inbegripet genom att tillhandahålla en kompletterande inlaga.
2. Den personuppgiftsansvarige ska radera operativa personuppgifter utan onödigt dröjsmål, och ge den registrerade rätt att få till stånd radering av operativa personuppgifter som rör honom eller henne om behandlingen står i strid med artiklarna 71, 72.1 eller 76 eller om de operativa personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
3. I stället för radering ska den personuppgiftsansvarige begränsa behandling om
a) |
den registrerade bestrider personuppgifternas riktighet och riktigheten eller felaktigheten inte kan fastställas, eller |
b) |
personuppgifterna måste sparas som bevisning. |
Om behandlingen begränsas enligt första stycket led a ska den personuppgiftsansvarige underrätta den registrerade innan begränsningen av behandlingen upphävs.
Begränsade uppgifter får endast behandlas för det syfte som hindrade att de raderades.
4. Den personuppgiftsansvarige ska underrätta den registrerade skriftligen om eventuell vägran att rätta eller radera operativa personuppgifter eller begränsa behandlingen och om skälen till vägran. Den personuppgiftsansvarige får helt eller delvis begränsa tillhandahållandet av sådan information i den utsträckning som en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att
a) |
undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden, |
b) |
undvika menlig inverkan på förebyggande, förhindrande, utredning, upptäckt eller lagföring av brott eller verkställighet av straffrättsliga påföljder, |
c) |
skydda medlemsstaternas allmänna säkerhet, |
d) |
skydda medlemsstaternas nationella säkerhet, |
e) |
skydda andra personers rättigheter och friheter, till exempel brottsoffer och vittnen. |
Den personuppgiftsansvarige ska underrätta den registrerade om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid domstolen.
5. Den personuppgiftsansvarige ska meddela varje rättelse av oriktiga operativa personuppgifter till den behöriga myndighet från vilken de oriktiga operativa personuppgifterna kommer.
6. Den personuppgiftsansvarige ska, när operativa personuppgifter har rättats, raderats eller deras begränsats i enlighet med punkterna 1, 2 eller 3, underrätta mottagarna att mottagarna ska rätta eller radera de operativa personuppgifterna eller begränsa den behandling av de operativa personuppgifterna som utförs under deras ansvar.
Artikel 83
Rätt till tillgång inom brottsutredningar och straffrättsliga förfaranden
Om operativa personuppgifter kommer från en behörig myndighet ska unionens organ och byråer, innan beslut fattas om registrerades rätt till tillgång, kontrollera med behörig myndighet om dessa personuppgifter ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredningar och straffrättsliga förfaranden i den behöriga myndighetens medlemsstat. Om så är fallet ska ett beslut om rätt till tillgång fattas i samråd och nära samarbete med den berörda behöriga myndigheten.
Artikel 84
Den registrerades utövande av rättigheter och kontroll genom Europeiska datatillsynsmannen
1. I de fall som avses i artiklarna 79.3, 81 och 82.4 får den registrerades rättigheter också utövas genom Europeiska datatillsynsmannen.
2. Den personuppgiftsansvarige ska underrätta den registrerade om hans eller hennes möjlighet att utöva sina rättigheter genom Europeiska datatillsynsmannen enligt punkt 1.
3. Om den rättighet som avses i punkt 1 utövas ska Europeiska datatillsynsmannen åtminstone underrätta den registrerade om att alla nödvändiga kontroller eller en översyn genom Europeiska datatillsynsmannen har ägt rum. Europeiska datatillsynsmannen ska även underrätta den registrerade om hans eller hennes rätt att begära rättslig prövning vid domstolen.
Artikel 85
Inbyggt dataskydd och dataskydd som standard
1. Den personuppgiftsansvarige ska, med beaktande av den senaste utvecklingen, och genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt de risker, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter som behandlingen utgör, både vid tidpunkten för beslut om vilka medel behandlingen ska utföras med och vid tidpunkten för själva behandlingen, ska genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för genomförande av dataskyddsprinciper, såsom uppgiftsminimering, på ett effektivt sätt och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, för att uppfylla kraven i denna förordning och rättsakten om dess inrättande och skydda de registrerades rättigheter.
2. Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast operativa personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade operativa personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att operativa personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.
Artikel 86
Gemensamt personuppgiftsansvariga
1. Om två eller flera personuppgiftsansvariga eller en eller flera personuppgiftsansvariga tillsammans med en eller flera personuppgiftsansvariga som inte är unionsinstitutioner och unionsorgan, tillsammans fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. De ska under öppna former fastställa sitt respektive ansvar för att fullgöra sina skyldigheter i fråga om dataskydd, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artikel 79, genom ett inbördes arrangemang, såvida inte och i den mån som de personuppgiftsansvarigas respektive skyldigheter fastställs i unionsrätten eller en medlemsstats nationella rätt som de gemensamt personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.
2. Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot den registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.
3. Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på var och en av de personuppgiftsansvariga.
Artikel 87
Personuppgiftsbiträden
1. Om behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och rättsakten om inrättande av den personuppgiftsansvarige och säkerställer att den registrerades rättigheter skyddas.
2. Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan särskilt eller allmänt skriftligt förhandstillstånd från den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.
3. När uppgifter behandlas av ett personuppgiftsbiträde, ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt en medlemsstats rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av operativa personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter anges. Avtalet eller den andra rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet
a) |
endast ska handla enligt instruktioner från den personuppgiftsansvarige, |
b) |
säkerställer att personer med behörighet att behandla de operativa personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt, |
c) |
på lämpligt sätt ska bistå den personuppgiftsansvarige att säkerställa efterlevnad av bestämmelserna om den registrerades rättigheter, |
d) |
beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla operativa personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänsterna har avslutats, och radera befintliga kopior, såvida inte lagring av de operativa personuppgifterna krävs enligt unionsrätten eller en medlemsstats rätt, |
e) |
ska ge den personuppgiftsansvarige tillgång till all information som krävs för att påvisa fullgörandet av de skyldigheter som fastställs i denna artikel, |
f) |
ska respektera de villkor som avses i punkt 2 och i denna punkt för anlitande av ett annat personuppgiftsbiträde. |
4. Det avtal eller den andra rättsakt som avses i punkt 3 ska vara skriftligt, även i elektronisk form.
5. Om ett personuppgiftsbiträde i strid med denna förordning eller rättsakten om inrättande av den personuppgiftsansvarige fastställer ändamålen och medlen för behandlingen ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen.
Artikel 88
Loggning
1. Den personuppgiftsansvarige ska föra loggar över följande typer av behandling i automatiserade behandlingssystem: insamling, ändring, åtkomst, läsning, utlämning inbegripet överföringar, sammanförande och radering av operativa personuppgifter. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådana åtgärder, vem som har läst eller lämnat ut operativa personuppgifter samt, i möjligaste mån, vilka som har fått tillgång till de operativa personuppgifterna.
2. Loggarna ska endast användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa de operativa personuppgifternas integritet och säkerhet, samt inom ramen för straffrättsliga förfaranden. Sådana loggar ska raderas efter tre år, om de inte krävs för en pågående kontroll.
3. Den personuppgiftsansvarige ska på begäran göra loggarna tillgängliga för sitt dataskyddsombud och för Europeiska datatillsynsmannen.
Artikel 89
Konsekvensbedömning avseende dataskydd
1. Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, leder till en hög risk för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av operativa personuppgifter.
2. Den bedömning som avses i punkt 1 ska åtminstone innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades rättigheter och friheter, de åtgärder som planeras för att hantera dessa risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av operativa personuppgifter och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.
Artikel 90
Förhandssamråd med Europeiska datatillsynsmannen
1. Den personuppgiftsansvarige ska samråda med Europeiska datatillsynsmannen före behandling av uppgifter som kommer att ingå i ett nytt register som ska inrättas, om
a) |
en konsekvensbedömning avseende dataskydd enligt artikel 89 visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken, eller |
b) |
typen av behandling, särskilt vid användning av ny teknik eller nya rutiner eller förfaranden, medför en hög risk för de registrerades rättigheter och friheter. |
2. Europeiska datatillsynsmannen får upprätta en förteckning över de olika typer av uppgiftsbehandling som omfattas av förhandssamråd enligt punkt 1.
3. Den personuppgiftsansvarige ska förse Europeiska datatillsynsmannen med den konsekvensbedömning avseende dataskydd som avses i artikel 89 och, på begäran, eventuell övrig information som gör att Europeiska datatillsynsmannen kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades operativa personuppgifter och av därmed sammanhängande skyddsåtgärder.
4. Om Europeiska datatillsynsmannen anser att den planerade behandling som avses i punkt 1 skulle stå i strid med denna förordning eller rättsakten om inrättande av unionsorganet eller unionsbyrån, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska Europeiska datatillsynsmannen ge den personuppgiftsansvarige skriftliga råd inom en period på upp till sex veckor från det att begäran om samråd har mottagits. Denna period får förlängas med en månad beroende på hur komplicerad den planerade behandlingen är. Europeiska datatillsynsmannen ska informera den personuppgiftsansvarige om en sådan förlängning inom en månad från det att begäran om samråd har mottagits, tillsammans med orsakerna till förseningen.
Artikel 91
Säkerhet i samband med behandling av operativa personuppgifter
1. Den personuppgiftsansvarige och personuppgiftsbiträdet ska, med beaktande av den senaste utvecklingen, kostnaden för genomförande, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i synnerhet när det gäller behandling av särskilda kategorier av operativa personuppgifter.
2. När det gäller automatiserad behandling ska den personuppgiftsansvarige och personuppgiftsbiträdet efter en utvärdering av riskerna genomföra åtgärder som är avsedda att
a) |
vägra varje obehörig person åtkomst till utrustning för databehandling som används för behandling (åtkomstskydd för utrustning), |
b) |
förhindra att databärare läses, kopieras, ändras eller avlägsnas av obehöriga (kontroll av datamedier), |
c) |
förhindra obehörig registrering av operativa personuppgifter och obehörig åtkomst till, ändring av eller radering av lagrade operativa personuppgifter (lagringskontroll), |
d) |
förhindra att obehöriga kan använda automatiserade behandlingssystem med hjälp av utrustning för dataöverföring (användarkontroll), |
e) |
säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till operativa personuppgifter som omfattas av deras behörighet (åtkomstkontroll), |
f) |
säkerställa att det kan kontrolleras och fastställas till vilka organ operativa personuppgifter har överförts eller kan överföras respektive kan göras tillgängliga med hjälp av dataöverföring (kommunikationskontroll), |
g) |
säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka operativa personuppgifter som har förts in i ett automatiserat databehandlingssystem samt när och av vem de operativa personuppgifterna infördes (indatakontroll), |
h) |
förhindra obehörig läsning, kopiering, ändring eller radering av operativa personuppgifter vid överföring i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll), |
i) |
säkerställa att de system som används kan återställas vid störningar (återställande), |
j) |
säkerställa att system fungerar, att funktionsfel rapporteras (driftssäkerhet) och att de lagrade operativa personuppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet). |
Artikel 92
Anmälan av en personuppgiftsincident till Europeiska datatillsynsmannen
1. Den personuppgiftsansvarige ska vid en personuppgiftsincident utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om incidenten, anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till Europeiska datatillsynsmannen inte görs inom 72 timmar, ska den åtföljas av en motivering till förseningen.
2. Den anmälan som avses i punkt 1 ska åtminstone
a) |
beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antal registrerade som berörs samt de kategorier av och det ungefärliga antal operativa personuppgiftsposter som berörs, |
b) |
förmedla namnet på och kontaktuppgifterna för dataskyddsombudet, |
c) |
beskriva de sannolika konsekvenserna av personuppgiftsincidenten, |
d) |
beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter. |
3. Om och i den utsträckning som det inte är möjligt att tillhandahålla den information som avses i punkt 2 samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.
4. Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter som avses i punkt 1, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för Europeiska datatillsynsmannen att kontrollera efterlevnaden av denna artikel.
5. Om personuppgiftsincidenten rör operativa personuppgifter som har överförts av eller till de behöriga myndigheterna ska den personuppgiftsansvarige förmedla den information som avses i punkt 2 till de berörda behöriga myndigheterna utan onödigt dröjsmål.
Artikel 93
Information till den registrerade om en personuppgiftsincident
1. Om personuppgiftsincidenten sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.
2. Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och de rekommendationer som anges i artikel 92.2 b, c och d.
3. Information till den registrerade i enlighet med punkt 1 ska inte krävas om något av följande villkor är uppfyllda:
a) |
Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder, och dessa åtgärder har tillämpats på de operativa personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som gör de operativa personuppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till dem, såsom kryptering. |
b) |
Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå. |
c) |
Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt. |
4. Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får Europeiska datatillsynsmannen, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att den personuppgiftsansvarige gör det eller besluta att något av de villkor som avses i punkt 3 är uppfyllt.
5. Den information till den registrerade som avses i punkt 1 i denna artikel får senareläggas, begränsas eller utelämnas på de villkor och av de skäl som avses i artikel 79.3.
Artikel 94
Överföring av operativa personuppgifter till tredjeländer och internationella organisationer
1. Med förbehåll för begränsningar och villkor som fastställs i rättsakterna om inrättande av unionsorganet eller unionsbyrån får den personuppgiftsansvarige överföra operativa personuppgifter till myndigheter i tredjeland eller till internationella organisationer i den mån överföringen är nödvändig för utförandet av uppdragen för den personuppgiftsansvarige och endast då villkoren i denna artikel är uppfyllda:
a) |
Ett kommissionsbeslut har antagit ett beslut om adekvat skyddsnivå enligt med artikel 36.3 i direktiv (EU) 2016/680, i vilket det konstateras att tredjelandet eller ett territorium eller en behandlande enhet i det tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå. |
b) |
Om det inte finns något kommissionsbeslut enligt led a: En internationell överenskommelse har ingåtts mellan unionen och tredjelandet eller den internationella organisationen i enlighet med artikel 218 i EUF-fördraget, med hänsyn till lämpliga skyddsåtgärder avseende skyddet av den personliga integriteten och enskildas grundläggande fri- och rättigheter. |
c) |
Om det inte finns något kommissionsbeslut om adekvat skyddsnivå enligt led a eller något internationellt avtal enligt led b: Ett samarbetsavtal som medger utbyte av operativa personuppgifter har ingåtts före datumet för tillämpning av rättsakten om inrättande av unionsorganet eller unionsbyrån i fråga, mellan det unionsorganet eller den unionsbyrån och det berörda tredjelandet. |
2. Rättsakterna om inrättande av unionens organ och byråer får behålla eller införa mer specifika bestämmelser om villkoren för internationella överföringar av operativa personuppgifter, särskilt överföringar genom lämpliga skyddsåtgärder och undantag för specifika situationer.
3. Den personuppgiftsansvarige ska på sin webbplats offentliggöra och uppdatera en förteckning över beslut om adekvat skyddsnivå som avses i punkt 1 a, avtal, administrativa överenskommelser och andra instrument som rör överföring av operativa personuppgifter i enlighet med punkt 1.
4. Den personuppgiftsansvarige ska utförligt registrera alla överföringar som gjorts i enlighet med denna artikel.
Artikel 95
Sekretesskraven i samband med rättsliga utredningar och straffrättsliga förfaranden
Rättsakterna om inrättande av unionens organ eller byråer, när dessa utför verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, får ålägga Europiska datatillsynsmannen att vid utövandet av sin tillsyn ta maximal hänsyn till sekretesskraven i samband med rättsliga utredningar och straffrättsliga förfaranden, i enlighet med unionsrätten eller medlemsstaternas rätt.
KAPITEL X
GENOMFÖRANDEAKTER
Artikel 96
Kommittéförfarande
1. Kommissionen ska biträdas av den kommitté som inrättats genom artikel 93 i förordning (EU) 2016/679. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.
2. När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.
KAPITEL XI
ÖVERSYN
Artikel 97
Översynsklausul
Senast den 30 april 2022 och vart femte år därefter ska kommissionen lägga fram en rapport för Europaparlamentet och rådet om tillämpningen av denna förordning, vid behov åtföljd av lämpliga lagstiftningsförslag.
Artikel 98
Översyn av unionsrättsakter
1. Senast den 30 april 2022 ska kommissionen se över rättsakter som antagits på grundval av de fördrag som reglerar den behandling av operativa personuppgifter som utförs av unionens organ eller byråer när de utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, i syfte att:
a) |
bedöma deras överensstämmelse med direktiv (EU) 2016/680 och kapitel IX i denna förordning, |
b) |
identifiera eventuella skillnader som kan hindra utbyte av operativa personuppgifter mellan å ena sidan unionens organ eller byråer när dessa utövar verksamhet på dessa områden och å andra sidan behöriga myndigheter, och |
c) |
identifiera alla skillnader som kan skapa rättslig fragmentering av dataskyddslagstiftningen i unionen. |
2. För att säkerställa enhetligt och konsekvent skydd för fysiska personer vad gäller behandling av personuppgifter, kan kommissionen på grundval av översynen lägga fram lämpliga lagstiftningsförslag särskilt, i syfte att tillämpa kapitel IX i denna förordning på Europol och Europeiska åklagarmyndigheten, inbegripet anpassningar av kapitel IX i denna förordning, vid behov.
KAPITEL XII
SLUTBESTÄMMELSER
Artikel 99
Upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG
Förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG upphör att gälla med verkan från och med den 11 december 2018. Hänvisningar till den upphävda förordningen och det upphävda beslutet ska anses som hänvisningar till den här förordningen.
Artikel 100
Övergångsbestämmelser
1. Europaparlamentets och rådets beslut 2014/886/EU (20) och de nuvarande mandaten för Europeiska datatillsynsmannen och den biträdande datatillsynsmannen ska inte påverkas av denna förordning.
2. Den biträdande datatillsynsmannen ska betraktas som likställd med en justitiesekreterare vid domstolen när det gäller fastställande av löner, ersättningar, ålderspension och all annan ersättning utöver lön.
3. Artikel 53.4, 53.5 och 53.7 samt artiklarna 55 och 56 i denna förordning ska tillämpas på den nuvarande biträdande datatillsynsmannen fram till utgången av dennes mandatperiod.
4. Den biträdande datatillsynsmannen ska biträda datatillsynsmannen i fullgörandet av dennes uppgifter och fungera som ersättare när Europeiska datatillsynsmannen är frånvarande eller förhindrad att fullgöra dessa uppgifter fram till utgången av den biträdande tillsynsmannens mandatperiod.
Artikel 101
Ikraftträdande och tillämpning
1. Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
2. Denna förordning ska dock tillämpas på Eurojusts behandling av personuppgifter från och med den 12 december 2019.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Strasbourg den 23 oktober 2018.
På Europaparlamentets vägnar
Ordförande
A. TAJANI
På rådets vägnar
Ordförande
K. EDTSTADLER
(1) EUT C 288, 31.8.2017, s. 107.
(2) Europaparlamentets ståndpunkt av den 13 september 2018 (ännu ej offentliggjord i EUT) och rådets beslut av den 11 oktober 2018.
(3) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).
(4) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
(5) Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).
(6) Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).
(7) Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).
(8) Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).
(9) Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).
(10) EGT L 56, 4.3.1968, s. 1.
(11) Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).
(12) Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG, Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).
(13) Europaparlamentets, rådets och kommissionens beslut nr 1247/2002/EG av den 1 juli 2002 om tjänsteföreskrifter och allmänna villkor för utövande av funktionen som europeisk datatillsynsman (EGT L 183, 12.7.2002, s. 1).
(14) EUT C 164, 24.5.2017, s. 2.
(15) Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (EUT L 135, 24.5.2016, s. 53).
(16) Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1).
(17) Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).
(18) Kommissionens direktiv 2008/63/EG av den 20 juni 2008 om konkurrens på marknaderna för teleterminalutrustning (EUT L 162, 21.6.2008, s. 20).
(19) Rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål (EUT L 323, 10.12.2009, s. 20).
(20) Europaparlamentets och rådets beslut 2014/886/EU av den 4 december 2014 om utnämning av Europeiska datatillsynsmannen och den biträdande datatillsynsmannen (EUT L 351, 9.12.2014, s. 9).
21.11.2018 |
SV |
Europeiska unionens officiella tidning |
L 295/99 |
EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2018/1726
av den 14 november 2018
om Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA), om ändring av förordning (EG) nr 1987/2006 och rådets beslut 2007/533/RIF och om upphävande av förordning (EU) nr 1077/2011
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 74, 77.2 a och b, 78.2 e, 79.2 c, 82.1 d, 85.1, 87.2 a och 88.2,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,
i enlighet med det ordinarie lagstiftningsförfarandet (1), och
av följande skäl:
(1) |
Schengens informationssystem (SIS II) inrättades genom Europaparlamentets och rådets förordning (EG) nr 1987/2006 (2) och rådets beslut 2007/533/RIF (3). I förordning (EG) nr 1987/2006 och beslut 2007/533/RIF föreskrivs att kommissionen under en övergångsperiod ska ha ansvar för den operativa förvaltningen av det centrala systemet för SIS II (nedan kallat centrala SIS II). Efter den övergångsperioden ska en förvaltningsmyndighet ha ansvar för den operativa förvaltningen av centrala SIS II och vissa delar av kommunikationsinfrastrukturen. |
(2) |
Informationssystemet för viseringar (VIS) inrättades genom rådets beslut 2004/512/EG (4). I Europaparlamentets och rådets förordning (EG) nr 767/2008 (5) föreskrivs att kommissionen under en övergångsperiod ska ha ansvar för den operativa förvaltningen av VIS. Efter denna övergångsperiod ska en förvaltningsmyndighet ha ansvar för den operativa förvaltningen av centrala VIS och de nationella gränssnitten samt för vissa delar av kommunikationsinfrastrukturen. |
(3) |
Eurodac inrättades genom rådets förordning (EG) nr 2725/2000 (6). I rådets förordning (EG) nr 407/2002 (7) fastställdes nödvändiga genomföranderegler. Dessa rättsakter upphävdes och ersattes av Europaparlamentets och rådets förordning (EU) nr 603/2013 (8) med verkan från och med den 20 juli 2015. |
(4) |
Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, vanligen kallad eu-LISA, inrättades genom Europaparlamentets och rådets förordning (EU) nr 1077/2011 (9) för att säkerställa den operativa förvaltningen av SIS, VIS och Eurodac och vissa delar av deras kommunikationsinfrastruktur samt potentiellt även av andra stora it-system inom området frihet, säkerhet och rättvisa, förutsatt att separata unionsrättsakter antas. Förordning (EU) nr 1077/2011 ändrades genom förordning (EU) nr 603/2013 för att återspegla de ändringar som gjorts i Eurodac. |
(5) |
Eftersom förvaltningsmyndigheten måste vara oavhängig i rättsligt, administrativt och ekonomiskt hänseende inrättades den i form av en tillsynsbyrå (nedan kallad byrån) med ställning som juridisk person. Sätet för byrån förlades enligt överenskommelse till Tallinn, Estland. Eftersom de uppgifter som rör den tekniska utvecklingen och förberedelsen av den operativa förvaltningen av SIS II och VIS emellertid redan utfördes i Strasbourg, Frankrike, och ett reservdriftställe för dessa system hade inrättats i Sankt Johann im Pongau, Österrike, i enlighet även med platserna för SIS II och VIS såsom de inrättats enligt de relevanta unionsrättsakterna, bör detta även fortsättningsvis vara fallet. Dessa två driftställen bör också fortsätta att vara de platser där de uppgifter som rör den operativa förvaltningen av Eurodac utförs respektive där ett reservdriftställe för Eurodac inrättas. Dessa två driftställen bör också vara platsen för den tekniska utvecklingen och operativa förvaltningen av andra stora it-system inom området frihet, säkerhet och rättvisa sker respektive platsen för ett reservdriftställe som kan säkerställa driften av ett stort it-system vid fel i detsamma. För att maximera den möjliga användningen av reservdriftstället skulle det även kunna användas för att driva system samtidigt, förutsatt att det fortfarande kan säkerställa driften av systemen i händelse av fel i ett eller flera av dem. Om de befintliga tekniska driftställenas inhysningskapacitet visar sig vara otillräcklig bör det, på grund av att systemen kräver så hög säkerhet och stor tillgänglighet och är av så avgörande betydelse, vara möjligt för byråns styrelse (nedan kallad styrelsen), om detta kan motiveras på grundval av en oberoende konsekvensbedömning och kostnads-nyttoanalys, att föreslå att ett andra separat tekniskt driftställe inrättas, antingen i Strasbourg eller i Sankt Johann im Pongau eller på båda platserna, beroende på vad som krävs, för att hysa systemen. Styrelsen bör samråda med kommissionen och ta hänsyn till dess synpunkter innan den underrättar Europaparlamentet och rådet (nedan kallad budgetmyndigheten) om sin avsikt att genomföra eventuella projekt som rör egendom. |
(6) |
Sedan byrån tog sig an sina ansvarsområden den 1 december 2012 har den tagit över de uppgifter som ålades förvaltningsmyndigheten avseende VIS genom förordning (EG) nr 767/2008 och rådets beslut 2008/633/RIF (10). I april 2013 tog byrån också över de uppgifter som ålagts förvaltningsmyndigheten avseende SIS II genom förordning (EG) nr 1987/2006 och beslut 2007/533/RIF efter det att SIS II togs i bruk, och i juni 2013 tog den över de uppgifter som ålagts kommissionen avseende Eurodac i enlighet med förordningarna (EG) nr 2725/2000 och (EG) nr 407/2002. |
(7) |
Vid den första utvärderingen av byråns verksamhet på grundval av en oberoende extern utvärdering som gjordes perioden 2015–2016 konstaterades att byrån effektivt säkerställer den operativa förvaltningen av de stora it-systemen och andra uppgifter byrån har anförtrotts, men även att det behövs ett antal ändringar av förordning (EU) nr 1077/2011, t.ex. överföring av kommissionens uppgifter avseende kommunikationsinfrastrukturen till byrån. På grundval av den externa utvärderingen beaktade kommissionen den politiska, rättsliga och praktiska utvecklingen och föreslog, särskilt i sin rapport av den 29 juni 2017 om Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA) (nedan kallad utvärderingsrapporten), att byråns mandat skulle utvidgas i syfte att den skulle utföra de uppgifter som följer av medlagstiftarnas antagande av lagstiftningsförslag där nya system anförtros byrån, de uppgifter som avses i kommissionens meddelande av den 6 april 2016 med titeln Starkare och smartare informationssystem för gränser och säkerhet, i expertgruppens för informationssystem och interoperabilitet slutrapport av den 11 maj 2017 och i kommissionens meddelande av den 16 maj 2017 med titeln Sjunde rapporten om framsteg i riktning mot en effektiv och verklig säkerhetsunion, under förutsättning att relevanta unionsrättsakter antas, när så krävs. Byrån bör i synnerhet ges i uppgift att utveckla lösningar avseende interoperabilitet, vilket i meddelandet av den 6 april 2016 definieras som informationssystems kapacitet att utbyta uppgifter och dela information. I tillämpliga fall bör åtgärder som vidtas avseende interoperabilitet följa kommissionens meddelande av den 23 mars 2017 med titeln Europeiska interoperabilitetsramen – genomförandestrategi. Bilaga 2 till det meddelandet innehåller allmänna riktlinjer, rekommendationer och bästa praxis för att uppnå interoperabilitet eller åtminstone skapa förutsättningar för att uppnå bättre interoperabilitet vid utformning, genomförande och förvaltning av EU:s offentliga tjänster. |
(8) |
Utvärderingsrapporten konstaterade även att byråns mandat bör utvidgas för att den ska kunna ge medlemsstaterna råd om anslutningen av nationella system till de centrala systemen för de stora it-system som den förvaltar (nedan kallade systemen) och när så begärs ad hoc-hjälp och -stöd, samt ge kommissionens avdelningar hjälp och stöd i tekniska frågor som rör nya system. |
(9) |
Byrån bör anförtros förberedelsen, utvecklingen och den operativa förvaltningen av det in- och utresesystem som inrättas genom Europaparlamentets och rådets förordning (EU) 2017/2226 (11). |
(10) |
Byrån bör också anförtros den operativa förvaltningen av DubliNet, en separat säker elektronisk överföringskanal inrättad enligt artikel 18 i kommissionens förordning (EG) nr 1560/2003 (12), som medlemsstaternas behöriga asylmyndigheter bör använda för att utbyta information om personer som sökt internationellt skydd. |
(11) |
Byrån bör dessutom anförtros förberedelsen, utvecklingen och den operativa förvaltningen av EU-systemet för reseuppgifter och resetillstånd (Etias) som inrättas genom Europaparlamentets och rådets förordning (EU) 2018/1240 (13). |
(12) |
Byråns kärnverksamhet bör även fortsättningsvis vara att sköta den operativa förvaltningen av SIS II, VIS, Eurodac, in- och utresesystemet, DubliNet, Etias och, om så beslutas, andra stora it-system inom området frihet, säkerhet och rättvisa. Byrån bör också ansvara för de tekniska åtgärder som krävs som en följd av de icke-normativa uppgifter som den anförtrotts. De ansvarsområdena bör inte påverka de normativa uppgifter som är förbehållna kommissionen enbart, eller kommissionen med bistånd av en kommitté enligt respektive unionsrättsakt som reglerar systemen. |
(13) |
Byrån bör ha möjlighet att genomföra tekniska lösningar för att uppfylla tillgänglighetskraven i de unionsrättsakter som reglerar systemen, med full hänsyn till de särskilda bestämmelserna i dessa akter med avseende på respektive systems tekniska arkitektur. Om dessa tekniska lösningar kräver att ett system eller komponenter i ett system mångfaldigas bör en oberoende konsekvensbedömning och kostnads-nyttoanalys genomföras och ett beslut fattas av styrelsen efter samråd med kommissionen. Den konsekvensbedömningen bör även inbegripa en undersökning av behoven vad gäller inhysningskapaciteten hos de befintliga tekniska driftställena avseende utvecklingen av sådana tekniska lösningar och eventuella risker knutna till den befintliga operativa strukturen. |
(14) |
Det är inte längre motiverat för kommissionen att behålla vissa uppgifter som rör systemens kommunikationsinfrastruktur, och dessa uppgifter bör därför överföras till byrån för att göra förvaltningen av kommunikationsinfrastrukturen enhetligare. Kommissionen bör dock fortfarande ansvara för uppgifter i samband med budgetgenomförandet, förvärv och förnyande samt avtalsfrågor för de system som använder EuroDomain, en säker kommunikationsinfrastruktur som tillhandahålls av TESTA-ng (transeuropeiska telematiktjänster för myndigheter – ny generation), och som inrättats som en del av ISA-programmet som inrättades genom Europaparlamentets och rådets beslut nr 922/2009/EG (14) och fortsatte som en del av ISA2-programmet, som inrättades genom Europaparlamentets och rådets beslut (EU) 2015/2240 (15). |
(15) |
Byrån bör kunna anlita externa privaträttsliga enheter eller organ för att utföra uppgifter som rör leverans, montering, underhåll och övervakning av kommunikationsinfrastrukturen i enlighet med Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 (16). Byrån bör ha tillräckliga budgetmedel och tillräckligt med personal till sitt förfogande för att så långt som möjligt begränsa behovet att lägga ut sina uppdrag och uppgifter på externa privaträttsliga enheter eller organ. |
(16) |
Byrån bör även fortsättningsvis utföra uppgifter avseende utbildning i den tekniska användningen av SIS II, VIS, Eurodac och andra system som den anförtros i framtiden. |
(17) |
För att bidra till ett faktabaserat beslutsfattande avseende unionens migrations- och säkerhetspolitik och till övervakningen av att systemen fungerar bör byrån sammanställa och offentliggöra statistik och ta fram statistiska rapporter och göra dem tillgängliga för relevanta aktörer i enlighet med de unionsrättsakter som reglerar systemen, exempelvis för att övervaka genomförandet av rådets förordning (EU) nr 1053/2013 (17) och för att genomföra risk- och sårbarhetsanalyser i enlighet med Europaparlamentets och rådets förordning (EU) 2016/1624 (18). |
(18) |
Det bör vara möjligt att ge byrån ansvar för förberedelsen, utvecklingen och den operativa förvaltningen av ytterligare stora it-system enligt artiklarna 67–89 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Möjliga exempel på sådana system kan vara centraliserade system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer för att stödja det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister (Ecris-TCN-systemet) eller det datoriserade systemet för gränsöverskridande kommunikation i civilrättsliga och straffrättsliga förfaranden (e-Codex). Byrån bör dock endast anförtros sådana system genom särskilda unionsrättsakter efter en konsekvensbedömning. |
(19) |
Byråns mandat bör utvidgas när det gäller forskning för att öka dess förmåga att vara mer proaktiv med att föreslå relevanta och nödvändiga tekniska ändringar i systemen. Byrån bör förutom att kunna övervaka forskningsverksamhet som är relevant för den operativa förvaltningen av systemen även kunna bidra till genomförandet av relevanta delar av den Europeiska unionens ramprogram för forskning och innovation, om kommissionen delegerar relevanta befogenheter till byrån. Åtminstone en gång om året bör byrån tillhandahålla information om sådan övervakning till Europaparlamentet, rådet och – när det gäller behandling av personuppgifter – Europeiska datatillsynsmannen. |
(20) |
Det bör vara möjligt för kommissionen att anförtro byrån med ansvar för genomförandet av pilotprojekt av experimentell karaktär som syftar till att kontrollera om en åtgärd är genomförbar och ändamålsenlig, vilka kan genomföras utan någon grundläggande akt i enlighet med förordning (EU, Euratom) 2018/1046. Det bör dessutom vara möjligt för kommissionen att anförtro byrån budgetgenomförandeuppgifter för koncepttest som finansieras inom ramen för instrumentet för ekonomiskt stöd för yttre gränser och visering inrättat genom Europaparlamentets och rådets förordning (EU) nr 515/2014 (19) i enlighet med förordning (EU, Euratom) 2018/1046, efter att ha informerat Europaparlamentet. Det bör också vara möjligt för byrån att planera och genomföra tester på områden som direkt omfattas av den här förordningen och de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen, exempelvis tester av virtualiseringskoncept. När byrån får i uppdrag att genomföra ett pilotprojekt bör den ägna särskild uppmärksamhet åt Europeiska unionens informationshanteringsstrategi. |
(21) |
Byrån bör, vad gäller anslutning av nationella system till de centrala system som anges i de unionsrättsakter som reglerar dessa system, ge medlemsstaterna råd på begäran. |
(22) |
Byrån bör också ge medlemsstaterna ad hoc-stöd på begäran, enligt det förfarande som anges i denna förordning, när det krävs på grund av särskilda utmaningar eller behov rörande säkerhet eller migration. I synnerhet bör en medlemsstat kunna begära och förlita sig på operativ och teknisk förstärkning om den medlemsstaten vid särskilda områden av dess yttre gränser står inför specifika och oproportionerliga migrationsutmaningar som kännetecknas av stora inkommande migrationsflöden. Sådan förstärkning bör tillhandahållas i områdena kring mottagningscentrumen av stödgrupper för migrationshantering som består av experter från relevanta unionsbyråer. Om byråns stöd krävs i detta sammanhang i frågor som rör systemen bör den berörda medlemsstaten sända en begäran om stöd till kommissionen som, efter sin bedömning att sådant stöd verkligen är berättigat, utan dröjsmål bör översända begäran om stöd till byrån. Byrån bör underrätta styrelsen om sådana begäranden. Kommissionen bör också övervaka huruvida byrån i god tid lämnar ett svar på begäran om ad hoc-stöd. Byråns årliga verksamhetsrapport bör ingående redogöra för de åtgärder som byrån har genomfört för att ge ad hoc-stöd till medlemsstaterna och för kostnaderna i detta avseende. |
(23) |
Byrån bör även, om så begärs, stödja kommissionens avdelningar i tekniska frågor som rör befintliga eller nya system, i synnerhet vid utarbetandet av nya förslag om stora it-system som ska anförtros byrån. |
(24) |
Det bör vara möjligt för en grupp medlemsstater att anförtro byrån att utveckla, förvalta eller hysa en gemensam it-komponent för att hjälpa dem med genomförandet av tekniska aspekter av skyldigheter som följer av unionsrättsakter om decentraliserade it-system inom området frihet, säkerhet och rättvisa. Detta bör ske utan att det påverkar de medlemsstaternas skyldigheter enligt tillämpliga unionsrättsakter, särskilt när det gäller dessa systems arkitektur. Detta bör kräva kommissionens förhandsgodkännande, omfattas av ett positivt styrelsebeslut, återspeglas i ett delegeringsavtal mellan de berörda medlemsstaterna och byrån samt helt och hållet finansieras av de berörda medlemsstaterna. Byrån bör informera Europaparlamentet och rådet om det godkända delegeringsavtalet och eventuella ändringar av detta. Andra medlemsstater bör ha möjlighet att delta i sådana gemensamma it-lösningar förutsatt att denna möjlighet föreskrivs i delegeringsavtalet och att nödvändiga ändringar av detta görs. Denna uppgift bör inte negativt påverka byråns operativa förvaltning av systemen. |
(25) |
Att byrån anförtros den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa bör inte påverka de särskilda regler som dessa system omfattas av. I synnerhet är de särskilda reglerna om syfte, åtkomsträtt, säkerhetsåtgärder och andra dataskyddskrav för varje sådant system tillämpliga fullt ut. |
(26) |
För att effektivt kunna övervaka hur byrån fungerar bör medlemsstaterna och kommissionen vara företrädda i styrelsen. Styrelsen bör ges nödvändiga befogenheter, särskilt för att anta det årliga arbetsprogrammet, utföra sina arbetsuppgifter rörande byråns budget, anta de finansiella regler som ska gälla för byrån och fastställa förfarandena för den verkställande direktörens beslut om byråns operativa uppgifter. Styrelsen bör utföra dessa uppgifter på ett effektivt och öppet sätt. Efter att ett lämpligt urvalsförfarande anordnats av kommissionen, och efter en utfrågning av de föreslagna kandidaterna i det eller de ansvariga utskotten i Europaparlamentet, bör styrelsen även utnämna en verkställande direktör. |
(27) |
Eftersom antalet stora it-system som byrån anförtrotts kommer att öka betydligt fram till 2020 och byråns uppgifter håller på att bli avsevärt mer omfattande, följer också en motsvarande ökning av byråns personal fram till 2020. En befattning som vice verkställande direktör för byrån bör därför inrättas, också med hänsyn till det faktum att de uppgifter som rör utveckling och operativ förvaltning av systemen kommer att kräva ökad och särskild tillsyn och att byråns säte och tekniska driftställen är utspridda över tre medlemsstater. Styrelsen bör utnämna den vice verkställande direktören. |
(28) |
Byrån bör styras och arbeta med beaktande av principerna i den gemensamma ansats för unionens decentraliserade byråer som godkändes av Europaparlamentet, rådet och kommissionen den 19 juli 2012. |
(29) |
När det gäller SIS II bör Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och Europeiska unionens byrå för rättsligt samarbete (Eurojust), som båda har rätt att få åtkomst till och direkt söka uppgifter som lagts in i SIS II enligt beslut 2007/533/RIF, ha observatörsstatus vid de styrelsemöten där en fråga om tillämpningen av det beslutet står på dagordningen. Europeiska gräns- och kustbevakningsbyrån, som har rätt att få åtkomst till och söka i SIS II enligt Europaparlamentets och rådets förordning (EU) 2016/1624, bör ha observatörsstatus vid de styrelsemöten där en fråga om tillämpningen av den förordningen står på dagordningen. Europol, Eurojust och Europeiska gräns- och kustbevakningsbyrån bör var för sig ha rätt att utnämna en företrädare i den rådgivande gruppen för SIS II, som inrättas enligt denna förordning. |
(30) |
När det gäller VIS bör Europol ha observatörsstatus vid de styrelsemöten där en fråga om tillämpningen av beslut 2008/633/RIF står på dagordningen. Europol bör ha rätt att utnämna en företrädare i den rådgivande gruppen för VIS, som inrättas enligt denna förordning. |
(31) |
När det gäller Eurodac bör Europol ha observatörsstatus vid de styrelsemöten där en fråga om tillämpningen av förordning (EU) nr 603/2013 står på dagordningen. Europol bör ha rätt att utnämna en företrädare i den rådgivande gruppen för Eurodac, som inrättas enligt denna förordning. |
(32) |
När det gäller in- och utresesystemet bör Europol ha observatörsstatus vid de styrelsemöten där en fråga som rör förordning (EU) 2017/2226 står på dagordningen. |
(33) |
När det gäller Etias bör Europol ha observatörsstatus vid de styrelsemöten där en fråga som rör förordning (EU) 2018/1240 står på dagordningen. Europeiska gräns- och kustbevakningsbyrån bör också ha observatörsstatus vid de styrelsemöten där en fråga som rör Etias i samband med tillämpningen av den förordningen står på dagordningen. Europol och Europeiska gräns- och kustbevakningsbyrån bör ha möjlighet att utnämna en företrädare i den rådgivande gruppen för in- och utresesystemet och Etias, som inrättas enligt denna förordning. |
(34) |
Medlemsstater bör ha rösträtt i styrelsen rörande ett stort it-system om de enligt unionsrätten omfattas av någon unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av systemet i fråga. Även Danmark bör ha rösträtt när det gäller ett stort it-system, om landet inom ramen för artikel 4 i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen (EU-fördraget) och till EUF-fördraget, beslutar att i sin nationella lagstiftning genomföra den unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av systemet i fråga. |
(35) |
Medlemsstaterna bör utnämna en ledamot av den rådgivande gruppen för ett stort it-system om de enligt unionsrätten omfattas av en rättsakt som reglerar utvecklingen, inrättandet, driften och användningen av systemet i fråga. Även Danmark bör utnämna en ledamot av den rådgivande gruppen för ett stort it-system om landet, inom ramen för artikel 4 i protokoll nr 22, beslutar att i sin nationella lagstiftning genomföra den unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av systemet i fråga. De rådgivande grupperna bör samarbeta med varandra vid behov. |
(36) |
För att garantera byråns fullständiga oavhängighet och oberoende och göra det möjligt för byrån att på ett korrekt sätt uppfylla målen och utföra de uppgifter den tilldelas genom denna förordning, bör den ges en adekvat egen budget, som finansieras via unionens allmänna budget. Finansiering av byrån bör medges under förutsättning att Europaparlamentet och rådet har nått en överenskommelse enligt punkt 31 i det interinstitutionella avtalet av den 2 december 2013 mellan Europaparlamentet, rådet och kommissionen om budgetdisciplin, samarbete i budgetfrågor och sund ekonomisk förvaltning (20). Unionens budget- och ansvarsfrihetsförfaranden bör gälla. Revisionen av räkenskaperna och de underliggande transaktionernas laglighet och korrekthet bör utföras av revisionsrätten. |
(37) |
För att byrån ska kunna utföra sitt uppdrag, och i den utsträckning som krävs för att den ska kunna fullgöra sina uppgifter, bör den ha rätt att samarbeta med unionens institutioner, organ och byråer – i synnerhet de som har inrättats inom området frihet, säkerhet och rättvisa – i frågor som omfattas av denna förordning och de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen inom ramen för samarbetsavtal som ingåtts i enlighet med unionsrätten och unionens politik och inom ramen för deras respektive befogenheter. När så föreskrivs i en unionsrättsakt bör byrån även ha rätt att samarbeta med internationella organisationer och andra relevanta enheter och bör kunna ingå samarbetsavtal i detta syfte. Dessa samarbetsavtal bör ha förhandsgodkänts av kommissionen och godkännas av styrelsen. Byrån bör också samråda med och följa upp rekommendationerna från Europeiska byrån för nät- och informationssäkerhet om nätsäkerhet (Enisa), inrättad genom Europaparlamentets och rådets förordning (EU) nr 526/2013 (21), avseende nät-och informationssäkerhet när så är lämpligt. |
(38) |
Byrån bör, när den säkerställer utvecklingen och den operativa förvaltningen av systemen, följa europeiska och internationella standarder och mycket högt ställda yrkeskrav, särskilt Europeiska unionens informationshanteringsstrategi. |
(39) |
Europaparlamentets och rådets förordning (EU) 2018/1725 (22) bör tillämpas på byråns behandling av personuppgifter, utan att det påverkar tillämpningen av de dataskyddsbestämmelser som föreskrivs i de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen som bör vara förenliga med förordning (EU) 2018/1725. För att upprätthålla säkerheten och förhindra behandling som innebär en överträdelse av förordning (EU) 2018/1725 och de unionsrättsakter som reglerar systemen bör byrån utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör de risker som personuppgiftsbehandling medför beaktas, såsom oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt utlämnande av eller obehörig åtkomst till personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada. Europeiska datatillsynsmannen bör av byrån kunna få åtkomst till alla uppgifter som denna behöver för sina undersökningar. I enlighet med Europaparlamentets och rådets förordning (EG) nr 45/2001 (23) samrådde kommissionen med Europeiska datatillsynsmannen, som avgav ett yttrande den 10 oktober 2017. |
(40) |
För att säkerställa öppenhet i byråns operativa verksamhet bör den omfattas av Europaparlamentets och rådets förordning (EG) nr 1049/2001 (24). Byrån bör vara så öppen som möjligt med sin verksamhet utan att äventyra målen med sina insatser. Byrån bör offentliggöra information om all sin verksamhet. Den bör även säkerställa att allmänheten och alla berörda parter snabbt får information om dess arbete. |
(41) |
Europeiska ombudsmannen bör granska byråns verksamhet i enlighet med artikel 228 i EUF-fördraget. |
(42) |
Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 (25) bör tillämpas på byrån, som bör ansluta sig till det interinstitutionella avtalet av den 25 maj 1999 mellan Europaparlamentet, Europeiska unionens råd och Europeiska gemenskapernas kommission om interna utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) (26). |
(43) |
Rådets förordning (EU) 2017/1939 (27) om inrättande av Europeiska åklagarmyndigheten bör tillämpas på byrån. |
(44) |
För att säkerställa öppna och transparenta anställningsvillkor och likabehandling av personal bör byråns personal (även byråns verkställande direktör och vice verkställande direktör) omfattas av tjänsteföreskrifterna för tjänstemän i Europeiska unionen (nedan kallade tjänsteföreskrifterna för tjänstemän) och anställningsvillkoren för övriga anställda i Europeiska unionen (nedan kallade anställningsvillkoren för övriga anställda), vilka fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (28) (tillsammans kallade tjänsteföreskrifterna), inklusive bestämmelserna om tystnadsplikt eller andra likvärdiga skyldigheter beträffande konfidentialitet. |
(45) |
Eftersom byrån är ett organ som inrättats av unionen i den mening som avses i förordning (EU, Euratom) 2018/1046 bör byrån anta finansiella regler i enlighet med detta. |
(46) |
Kommissionens delegerade förordning (EU) nr 1271/2013 (29) bör tillämpas på byrån. |
(47) |
Den byrå som inrättas genom denna förordning ersätter och efterträder Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, såsom den inrättades genom förordning (EU) nr 1077/2011. Den bör därför vara rättslig efterträdare vad gäller alla avtal, alla skulder och all egendom som förvärvades av Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, såsom den inrättades genom förordning (EU) nr 1077/2011. Den här förordningen bör inte påverka den rättsliga verkan av avtal, samarbetsavtal och samförståndsavtal som ingåtts av byrån såsom den inrättades genom förordning (EU) nr 1077/2011, utan att detta påverkar tillämpningen av eventuella ändringar av dessa som krävs enligt den här förordningen. |
(48) |
För att göra det möjligt för byrån att fortsätta att efter bästa förmåga fullgöra de uppgifter som utförs av Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, såsom den inrättades genom förordning (EU) nr 1077/2011, bör övergångsåtgärder fastställas, särskilt med avseende på styrelsen, de rådgivande grupperna, den verkställande direktören och de interna regler som styrelsen antar. |
(49) |
Syftet med denna förordning är att ändra och utöka bestämmelserna i förordning (EU) nr 1077/2011. Eftersom ett stort antal väsentliga ändringar genomförs genom denna förordning bör förordning (EU) nr 1077/2011 av tydlighetsskäl ersättas i sin helhet med avseende på de medlemsstater som är bundna av den här förordningen. Den byrå som inrättas genom denna förordning bör ersätta den byrå som inrättades genom förordning (EU) nr 1077/2011 och överta dess uppgifter, och följaktligen bör den förordningen upphävas. |
(50) |
Eftersom målen för denna förordning, nämligen att inrätta en byrå på unionsnivå med ansvar för den operativa förvaltningen och, när så är lämpligt, utvecklingen av stora it-system inom området frihet, säkerhet och rättvisa, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, utan snarare, på grund av åtgärdens omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål. |
(51) |
I enlighet med artiklarna 1 och 2 i protokoll nr 22 deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark. Eftersom denna förordning i den utsträckning som den rör SIS II, VIS, in- och utresesystemet och Etias är en utveckling av Schengenregelverket ska Danmark, i enlighet med artikel 4 i det protokollet, inom sex månader efter det att rådet har beslutat om denna förordning besluta huruvida landet ska genomföra den i sin nationella lagstiftning. I enlighet med artikel 3 i avtalet mellan Europeiska gemenskapen och Konungariket Danmark om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredjeland har lämnat in i Danmark eller någon annan medlemsstat i Europeiska unionen, och om Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen (30), ska Danmark meddela kommissionen huruvida landet kommer att genomföra innehållet i denna förordning i den utsträckning som den rör Eurodac och DubliNet. |
(52) |
I den utsträckning som bestämmelserna i denna förordning rör SIS II, såsom systemet regleras i beslut 2007/533/RIF, deltar Förenade kungariket i denna förordning i enlighet med artikel 5.1 i protokoll nr 19 om Schengenregelverket införlivat inom Europeiska unionens ramar, fogat till EU-fördraget och EUF-fördraget, och artikel 8.2 i rådets beslut 2000/365/EG (31). I den utsträckning som bestämmelserna i denna förordning rör SIS II, såsom systemet regleras i förordning (EG) nr 1987/2006, samt VIS, in- och utresesystemet och Etias, utgör denna förordning en utveckling av de bestämmelser i Schengenregelverket i vilka Förenade kungariket inte deltar i enlighet med beslut 2000/365/EG. Förenade kungariket begärde genom skrivelse av den 19 juli 2018 till rådets ordförande, i enlighet med artikel 4 i protokollet nr 19 om införlivande av Schengenregelverket, att få delta i denna förordning. I enlighet med artikel 1 i rådets beslut (EU) 2018/1600 (32) har Förenade kungariket bemyndigats att delta i denna förordning. I den utsträckning som bestämmelserna i denna förordning rör Eurodac och DubliNet har Förenade kungariket meddelat att det önskar delta i antagandet och tillämpningen av denna förordning genom en skrivelse av den 23 oktober 2017 till rådets ordförande i enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget. Förenade kungariket deltar därför i antagandet av denna förordning, som är bindande för och tillämplig på Förenade kungariket. |
(53) |
I den utsträckning som bestämmelserna i denna förordning rör SIS II såsom det systemet regleras i beslut 2007/533/RIF, skulle Irland, i princip, kunna delta i denna förordning i enlighet med artikel 5.1 i protokoll nr 19 och artikel 6.2 i rådets beslut 2002/192/EG (33). I den utsträckning som bestämmelserna i denna förordning rör SIS II såsom det systemet regleras i förordning (EG) nr 1987/2006, samt VIS, in- och utresesystemet och Etias, utgör denna förordning en utveckling av de bestämmelser i Schengenregelverket i vilka Irland inte deltar i enlighet med beslut 2002/192/EG. Irland har inte begärt att få delta i antagandet av denna förordning i enlighet med artikel 4 i protokoll nr 19. Irland deltar därför inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Irland i den utsträckning som bestämmelserna i den utvecklar bestämmelser i Schengenregelverket som rör SIS II, såsom det systemet regleras i förordning (EG) nr 1987/2006, samt VIS, in- och utresesystemet och Etias. I den utsträckning som bestämmelserna i denna förordning rör Eurodac och DubliNet deltar Irland inte, i enlighet med artiklarna 1, 2 och 4a.1 i protokoll nr 21, i antagandet av denna förordning, som inte är bindande för eller tillämplig på Irland. Eftersom det under dessa omständigheter inte är möjligt att säkerställa att denna förordning i alla delar är tillämplig på Irland, såsom krävs enligt artikel 288 i EUF-fördraget, deltar Irland inte i antagandet av denna förordning, utan att det påverkar Irlands rättigheter enligt protokollen nr 19 och nr 21. |
(54) |
När det gäller Island och Norge utgör denna förordning, i den utsträckning den är tillämplig på SIS II, VIS, in- och utresesystemet och Etias, en utveckling av bestämmelserna i Schengenregelverket i den mening som avses i avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (34), närmare bestämt av bestämmelserna på det område som avses i artikel 1.A, 1.B och 1.G i rådets beslut 1999/437/EG (35). När det gäller Eurodac och DubliNet innebär denna förordning en ny åtgärd i den mening som avses i avtalet mellan Europeiska gemenskapen och Republiken Island och Konungariket Norge om kriterier och mekanismer för att fastställa vilken stat som ska ansvara för handläggningen av en asylansökan som görs i en medlemsstat eller i Island eller Norge (36). Följaktligen bör Republiken Islands och Konungariket Norges delegationer delta i byråns styrelse, förutsatt att dessa länder beslutar att genomföra förordningen i sina interna rättsordningar. Ett avtal bör ingås mellan unionen och Republiken Island och Konungariket Norge i syfte att fastställa närmare detaljerade bestämmelser för dessa staters deltagande i byråns verksamhet. |
(55) |
När det gäller Schweiz utgör denna förordning, i den utsträckning som den rör SIS II och VIS, in- och utresesystemet och Etias, en utveckling av bestämmelserna i Schengenregelverket i den mening som avses i avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (37), närmare bestämt av bestämmelserna på det område som avses i artikel 1.A, 1.B och 1.G i beslut 1999/437/EG, jämförd med artikel 3 i rådets beslut 2008/146/EG (38). När det gäller Eurodac och DubliNet innebär denna förordning en ny Eurodac-relaterad åtgärd i den mening som avses i avtalet mellan Europeiska gemenskapen och Schweiziska edsförbundet om kriterier och mekanismer för att fastställa vilken stat som ska ansvara för handläggningen av en asylansökan som görs i en medlemsstat eller i Schweiz (39). Följaktligen bör Schweiziska edsförbundets delegation delta i byråns styrelse, förutsatt att landet beslutar att genomföra förordningen i sin interna rättsordning. Ett avtal bör ingås mellan unionen och Schweiziska edsförbundet i syfte att fastställa närmare detaljerade bestämmelser för Schweiziska edsförbundets deltagande i byråns verksamhet. |
(56) |
När det gäller Liechtenstein utgör denna förordning, i den utsträckning som den rör SIS II och VIS, in- och utresesystemet och Etias, en utveckling av bestämmelserna i Schengenregelverket i den mening som avses i protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (40), närmare bestämt av bestämmelserna på det område som avses i artikel 1.A, 1.B och 1.G i beslut 1999/437/EG, jämförd med artikel 3 i rådets beslut 2011/350/EU (41). När det gäller Eurodac och DubliNet utgör denna förordning en ny åtgärd i den mening som avses i protokollet mellan Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska gemenskapen och Schweiziska edsförbundet om kriterier och mekanismer för att fastställa vilken stat som ska ansvara för handläggningen av en asylansökan som görs i en medlemsstat eller i Schweiz (42). Följaktligen bör Furstendömet Liechtensteins delegation, förutsatt att landet beslutar att genomföra förordningen i sin interna rättsordning, delta i byråns styrelse. Ett avtal bör ingås mellan unionen och Furstendömet Liechtenstein i syfte att fastställa närmare detaljerade bestämmelser för Furstendömet Liechtensteins deltagande i byråns verksamhet. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
SYFTE OCH MÅL
Artikel 1
Syfte
1. Härmed inrättas Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (nedan kallad byrån).
2. Byrån, såsom den inrättas genom denna förordning, ska ersätta och efterträda Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, inrättad genom förordning (EU) nr 1077/2011.
3. Byrån ska ansvara för den operativa förvaltningen av Schengens informationssystem (SIS II), informationssystemet för viseringar (VIS) och Eurodac.
4. Byrån ska ansvara för förberedelsen, utvecklingen eller den operativa förvaltningen av in- och utresesystemet, DubliNet och EU-systemet för reseuppgifter och resetillstånd (Etias).
5. Byrån får ges ansvaret för att förbereda, utveckla eller operativt förvalta andra stora it-system inom området frihet, säkerhet och rättvisa än dem som anges i punkterna 3 och 4 i denna artikel, inbegripet befintliga system, endast om detta föreskrivs i relevanta unionsrättsakter som reglerar de systemen och som grundar sig på artiklarna 67–89 i EUF-fördraget, varvid utvecklingen inom den forskning som avses i artikel 14 i den här förordningen och resultaten från de pilotprojekt och koncepttest som avses i artikel 15 i den här förordningen ska beaktas där så är lämpligt.
6. Den operativa förvaltningen ska omfatta alla uppgifter som krävs för att de stora it-systemen ska fungera i överensstämmelse med de särskilda bestämmelser som är tillämpliga för vart och ett av dem, inbegripet ansvaret för den kommunikationsinfrastruktur som används för dem. Dessa stora it-system får inte utbyta uppgifter eller möjliggöra delning av information eller kunskap såvida inte detta föreskrivs i en specifik unionsrättsakt.
7. Byrån ska också ansvara för följande uppgifter:
a) |
Säkerställa uppgifters kvalitet i enlighet med artikel 12. |
b) |
Utarbeta nödvändiga åtgärder för att möjliggöra interoperabilitet i enlighet med artikel 13. |
c) |
Utföra forskningsverksamhet i enlighet med artikel 14. |
d) |
Utföra pilotprojekt, koncepttest och tester i enlighet med artikel 15. |
e) |
Stödja medlemsstaterna och kommissionen i enlighet med artikel 16. |
Artikel 2
Mål
Utan att det påverkar kommissionens respektive medlemsstaternas skyldigheter enligt de unionsrättsakter som reglerar stora it-system, ska byrån säkerställa
a) |
utvecklingen av stora it-system med hjälp av en adekvat projektledningsstruktur för att sådana system ska kunna utvecklas på ett effektivt sätt, |
b) |
en ändamålsenlig, säker och kontinuerlig drift av stora it-system, |
c) |
en effektiv och ekonomiskt ansvarig förvaltning av stora it-system, |
d) |
en tillräcklig tjänstekvalitetsnivå för användarna av stora it-system, |
e) |
kontinuitet och oavbruten service, |
f) |
en hög dataskyddsnivå i enlighet med unionens dataskyddsrätt, inbegripet särskilda bestämmelser för vart och ett av de stora it-systemen, |
g) |
en lämplig nivå på datasäkerheten och den fysiska säkerheten i enlighet med de tillämpliga reglerna, inklusive specifika bestämmelser för vart och ett av de stora it-systemen. |
KAPITEL II
BYRÅNS UPPGIFTER
Artikel 3
Uppgifter avseende SIS II
Avseende SIS II ska byrån utföra
a) |
de uppgifter som ålagts förvaltningsmyndigheten genom förordning (EG) nr 1987/2006 och beslut 2007/533/RIF, och |
b) |
uppgifter avseende utbildning i den tekniska användningen av SIS II, särskilt för Sirenepersonal (Sirene – Supplementary Information Request at the National Entries), och utbildning av experter avseende de tekniska aspekterna av SIS II inom ramen för utvärderingen av Schengen. |
Artikel 4
Uppgifter avseende VIS
Avseende VIS ska byrån utföra
a) |
de uppgifter som ålagts förvaltningsmyndigheten genom förordning (EG) nr 767/2008 och beslut 2008/633/RIF, och |
b) |
uppgifter avseende utbildning i den tekniska användningen av VIS och utbildning av experter avseende de tekniska aspekterna av VIS inom ramen för utvärderingen av Schengen. |
Artikel 5
Uppgifter avseende Eurodac
Avseende Eurodac ska byrån utföra
a) |
de uppgifter som den ålagts genom förordning (EU) nr 603/2013, och |
b) |
uppgifter avseende utbildning i den tekniska användningen av Eurodac. |
Artikel 6
Uppgifter avseende in- och utresesystemet
Avseende in- och utresesystemet ska byrån utföra
a) |
de uppgifter som den ålagts genom förordning (EU) 2017/2226, och |
b) |
uppgifter avseende utbildning i den tekniska användningen av in- och utresesystemet och utbildning av experter avseende de tekniska aspekterna av in- och utresesystemet inom ramen för utvärderingen av Schengen. |
Artikel 7
Uppgifter avseende Etias
Avseende Etias ska byrån utföra
a) |
de uppgifter den ålagts genom förordning (EU) 2018/1240, och |
b) |
uppgifter avseende utbildning i den tekniska användningen av Etias och utbildning av experter avseende de tekniska aspekterna av Etias inom ramen för utvärderingen av Schengen. |
Artikel 8
Uppgifter avseende DubliNet
Avseende DubliNet ska byrån utföra
a) |
den operativa förvaltningen av DubliNet, en separat säker kanal för elektronisk överföring mellan medlemsstaternas myndigheter, vilken inrättats enligt artikel 18 i förordning (EG) nr 1560/2003 för tillämpningen av artiklarna 31, 32 och 34 i Europaparlamentets och rådets förordning (EU) nr 604/2013 (43), och |
b) |
uppgifter avseende utbildning i den tekniska användningen av DubliNet. |
Artikel 9
Uppgifter avseende förberedelsen, utvecklingen och den operativa förvaltningen av andra stora it-system
Byrån ska, när den anförtros förberedelsen, utvecklingen eller den operativa förvaltningen av sådana andra stora it-system som avses i artikel 1.5, utföra de uppgifter den ålagts enligt den unionsrättsakt som reglerar det berörda systemet samt uppgifter avseende utbildning i den tekniska användningen av dessa system, beroende på vad som är lämpligt.
Artikel 10
Tekniska lösningar som kräver särskilda villkor före genomförandet
Om det i de unionsrättsakter som reglerar systemen krävs att byrån har de systemen i drift dygnet runt alla dagar i veckan ska byrån, utan att det påverkar tillämpningen av de unionsrättsakterna, genomföra tekniska lösningar för att uppfylla de kraven. Om de tekniska lösningarna kräver mångfaldigande av ett system eller av komponenter i ett system ska de genomföras endast under förutsättning att en oberoende konsekvensbedömning och kostnads-nyttoanalys på beställning av byrån har utförts och efter samråd med kommissionen och ett positivt styrelsebeslut. Konsekvensbedömningen ska även inbegripa en undersökning av befintliga och framtida behov vad gäller de befintliga driftställenas inhysningskapacitet med avseende på utvecklingen av sådana tekniska lösningar samt eventuella risker som rör den befintliga operativa strukturen.
Artikel 11
Uppgifter avseende kommunikationsinfrastrukturen
1. Avseende systemens kommunikationsinfrastrukturer ska byrån utföra alla uppgifter som den ålagts genom de unionsrättsakter som reglerar systemen, med undantag för de system som använder EuroDomain som kommunikationsinfrastruktur. Vad gäller de system som använder EuroDomain ska kommissionen ansvara för uppgifter som rör genomförandet av budgeten, förvärv och förnyande samt avtalsfrågor. I enlighet med de unionsrättsakter som reglerar de system som använder EuroDomain ska uppgifterna avseende kommunikationsinfrastrukturen, inbegripet den operativa förvaltningen och säkerheten, delas upp mellan byrån och kommissionen. För att säkerställa att de fullgör sina respektive åligganden på ett konsekvent sätt ska byrån och kommissionen komma överens om operativa arbetsförfaranden som återges i ett samförståndsavtal.
2. Kommunikationsinfrastrukturen ska förvaltas och kontrolleras på lämpligt sätt för att den ska skyddas mot hot och för att säkerställa dess säkerhet och säkerheten för systemen, inbegripet säkerheten för de uppgifter som utbyts genom kommunikationsinfrastrukturen.
3. Byrån ska anta lämpliga åtgärder, inklusive säkerhetsplaner, bland annat för att förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av personuppgifter eller transport av datamedier, i synnerhet med hjälp av lämplig krypteringsteknik. All systemrelaterad operativ information som cirkulerar i kommunikationsinfrastrukturen ska vara krypterad.
4. Uppgifter som rör leverans, montering, underhåll och övervakning av kommunikationsinfrastrukturen får anförtros externa privaträttsliga enheter eller organ, i enlighet med förordning (EU, Euratom) 2018/1046. Sådana uppgifter ska utföras under byråns ansvar och under dess noggranna övervakning.
Alla externa privaträttsliga enheter eller organ, inbegripet nätleverantörer, ska när de utför de uppgifter som avses i första stycket vara bundna av de säkerhetsåtgärder som avses i punkt 3 och får inte på något sätt ha åtkomst till några operativa data som lagras i systemen eller överförs genom kommunikationsinfrastrukturen eller till det SIS II-relaterade Sireneutbytet.
5. Hanteringen av krypteringsnycklarna ska förbli inom byråns behörighetsområde och får inte läggas ut på entreprenad till någon extern privaträttslig enhet. Detta påverkar inte befintliga avtal om kommunikationsinfrastrukturerna för SIS II, VIS och Eurodac.
Artikel 12
Uppgifters kvalitet
Utan att det påverkar medlemsstaternas ansvar när det gäller de uppgifter som förs in i systemen ska byrån, i nära samarbete med sina rådgivande grupper, tillsammans med kommissionen arbeta för att, med avseende på alla system, inrätta automatiska mekanismer för kontroll av uppgifters kvalitet och gemensamma uppgiftskvalitetsindikatorer och för att utveckla en central databas som innehåller endast anonymiserade uppgifter för rapportering och statistik, med förbehåll för särskilda bestämmelser i de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen.
Artikel 13
Interoperabilitet
Om interoperabilitet mellan stora it-system har föreskrivits i en relevant unionsrättsakt ska byrån utveckla nödvändiga åtgärder för att möjliggöra sådan interoperabilitet.
Artikel 14
Uppföljning av forskning
1. Byrån ska följa utvecklingen av forskning som är av relevans för den operativa förvaltningen av SIS II, VIS, Eurodac, in- och utresesystemet, Etias, DubliNet och andra stora it-system som avses i artikel 1.5.
2. Byrån får bidra till att genomföra de delar av Europeiska unionens ramprogram för forskning och innovation som avser stora it-system inom området frihet, säkerhet och rättvisa. Byrån ska i detta syfte, om kommissionen har delegerat relevanta befogenheter till den, ha följande uppgifter:
a) |
Förvalta vissa delar av programgenomförandet och vissa faser under löptiden för särskilda projekt på grundval av de relevanta arbetsprogram som antagits av kommissionen. |
b) |
Anta instrumenten för genomförande av budgeten och för inkomster och utgifter och utföra alla åtgärder som krävs för att förvalta programmet. |
c) |