Gott nytt,
Med anledning av arbetet med dataskyddsförordningen och nedanstående
mail från NN-listan skulle jag vilja fråga rakt på:
/
//Är en svensk vapenlicens en offentlig handling?/
Om den inte är det, borde inte åtminstone någon del av en vapenlicens
vara det? Får inte nån riktig vägledning hos polisen:
*Vapenlicens*
http://www.polisen.se/Lagar-och-regler/Vapen/Vapenlicens/
Om man jämför med vad Ratsit erbjuder av offentliga uppgifter tycker jag
att vapenlicens ligger i skuggan av uppgift om notering hos Kronofogden:
*Offentliga uppgifter - Privatpersoner*
http://www.ratsit.se/Content/OffentligaUppgifter.aspx
Raketinnehav på Nyårsafton tycker jag däremot ska vara en egen privat
angelägenhet :-)
Ha en fin kväll!
//Erik
-------- Original Message --------
Subject: [ NNSquad ] Newspaper publishes online map of gun permit
addresses -- gun owners are unhappy about this
Date: Mon, 24 Dec 2012 15:01:23 -0800
From: Lauren Weinstein <lauren(a)vortex.com>
To: nnsquad(a)nnsquad.org
Newspaper publishes online map of gun permit addresses -- gun owners are unhappy about this
http://j.mp/Vg1rZv (ABC)
"Hundreds of residents in New York's Westchester and Rockland counties
were surprised to find their names and addresses listed on a map
posted by The Journal News on Sunday. Users can click any dot on the
map to see which of their neighbors has a permit for a gun."
- - -
Very nicely done with Google Maps, using public record data. I love it.
--Lauren--
Lauren Weinstein (lauren(a)vortex.com): http://www.vortex.com/lauren
Co-Founder: People For Internet Responsibility: http://www.pfir.org/pfir-info
Founder:
- Network Neutrality Squad: http://www.nnsquad.org
- PRIVACY Forum: http://www.vortex.com/privacy-info
- Data Wisdom Explorers League: http://www.dwel.org
- Global Coalition for Transparent Internet Performance: http://www.gctip.org
Member: ACM Committee on Computers and Public Policy
Lauren's Blog: http://lauren.vortex.com
Google+: http://vortex.com/g+lauren / Twitter: http://vortex.com/t-lauren
Tel: +1 (818) 225-2800 / Skype: vortex.com
_______________________________________________
nnsquad mailing list
http://lists.nnsquad.org/mailman/listinfo/nnsquad
Stephan Uhlmann från FFII skrev just till mig och sa att Nina Paleys
video är blockad:
*Nina Paley, CopyCamp 2012 *
http://www.youtube.com/watch?v=NzWdaAs5oyk
Han skriver:
When acessing the video from Germany I get: "Unfortunately, this
UMG-music-content is not available in Germany because GEMA has not
granted the respective music publishing rights."
Är det samma i Sverige?
Här i Bryssel spelar den fint. (se den! det är lite dåligt ljud, men
fantastiska klipp från nästa film och "This Land Is Mine"* är gudomlig :-)
//Erik
*) http://archive.org/download/ThisLandIsMine/ThisLandIsMine_archive.torrent
Hello,
I write this in English so that Stef can read and maybe answer.
The Swedish versions of DPD and DPR are now in Pippi Longstrings with
proper markup of each other's common strings:
http://pippi.euwiki.org/doc/CELEX:52012PC0010:SVhttp://pippi.euwiki.org/doc/CELEX:52012PC0011:SV
(if you want to exclude markup from other docs, just paste
CELEX:52012PC0011:SV in the Tag-box in the grey top bar (on the page
http://pippi.euwiki.org/doc/CELEX:52012PC0010:SV) and vice versa)
That means that what has been proposed by EDRi to be amended in DPR
should also be amended in DPD in equivalent places, see
http://protectmydata.eu/topics/edris-proposed-amendments/.
I have also put the old framework decision in (2008/977/RIF) in Pippi to
see if that doc is quoted too. It seems to have strings in common, see:
http://pippi.euwiki.org/frags?pippi=50dd3d2280776551e1b93cd1
but there is no visible yellow markup in the doc itself:
http://pippi.euwiki.org/doc/R%C3%A5dets%20rambeslut%202008/977/RIF%20av%20d…
Stef, why is that so? Did I do* something wrong?
//Erik
*) how I put 2008/977/RIF in Pippi Longstrings at http://pippi.euwiki.org
* Click on Create [blue bar]
o Fill/paste in "Document identifier" [side pane] "Rådets
rambeslut 2008/977/RIF av den 27 november 2008 om skydd av
personuppgifter som behandlas inom ramen för polissamarbete och
straffrättsligt samarbete" (without doublefnutts)
o Fill/paste body of page
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:350:0060:01…
in "Document: This field is required." [side pane] (and delete
some extra stuff in beginning and end)
* Click on Browse [blue bar]
o Fill in "Filter" [under blue bar] "Rådets rambeslut" (without
doublefnutts) and wait for the filtering a couple of seconds
o Click on "NextPage" and scroll down to find 2008/977/RIF
o Click on the star to the left [side pane]
o Move tha mouse straight to the right side of the screen (so that
the marked document stays marked) and click on the litte "Pippi
*" box.
Hej Listan!
Vi har ett litet styrelsemöte i Hamburg på plats på 29c3, CCC-kongressen som pågår just nu, i morgon den 28:e december kl 15.00. Plats är lite osäkert, men vi träffas vid DFRI:s och Romabs bord inne i det stora rummet längst in på entréplan (där alla sitter med sina datorer, det finns stora kvadratiska lampor i taket) strax innan för att se hur många vi blir.
Alla som vill får komma (och gissningsvis har vi också många medlemmar som är på plats här).
Hej!
EU-kommissionens websajt och fler andra i samma gäng blockerar
Tor-användare sedan åtminstone i våras.
Jag har försökt rota lite i det här, senast när vi var i Bryssel och
pratade i parlamentet.
Som en start på ett formellt klagomål så skickade jag nedanstående till
"Europa Direct", EU:s informationsservice. Har ni tips på fler ställen
man bör kontakta?
--8<---------------cut here---------------start------------->8---
Subject: Blocking of Tor users
Enquiry: http://europa.eu/ is not available to users of Tor (https://torproject.org/). There are several other sites, supposedly run by you, that are inaccessible to Tor users as well.
The information I've been able to get regarding this says that this blocking was implemented as a reaction to a DoS (Denial of service) attack some time ago.
Is there a way we can help you unblock Tor users from using your services? If this is a technical issue, we would be more than happy to work with you to try to solve it. If there are other reasons for you blocking Tor, I'd like to understand them in order to try to influence this in a positive direction.
Some people need the protection Tor gives you as a user. Some of these people need access to your sites. Please help me help them.
Thanks,
Linus Nordberg
President DFRI
https://dfri.se/index.en
--8<---------------cut here---------------end--------------->8---
Hej!
För er som inte har "Access to European Union law" (eller "Ingång till
EU-rätten" som den svenska sidan heter) för att ni surfar med Tor eller
annan programvara har jag klippt ock klistrat in texten till ett nytt
direktivförslag nedan.
Jag skickar det med en liten hälsning om att sista dagen för att lägga
ändringsförlag till texten i det rättsliga utskottet (JURI) är mitt i
julgröten, nemlich 4 Januari 2013.
Om nån hittar nåt som ser konstigt ut så blir jag glad som en tomtenisse
om jag får ett litet mail om saken.
Förslaget kommer alltså att bli svensk lag om ett tag, om det skulle
vara så att allt är julefrid och julefröjd.
Med varma hälsningar.
//Erik
*) DFD ska inte förväxlas med DFR... ("R" som i regulation), men det tar
vi en annan gång
Länkar:
http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!DocNum…http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0010:FIN:SV:…
*Förslag till EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV om skydd för
enskilda personer med avseende på behöriga myndigheters behandling av
personuppgifter för att förebygga, utreda, avslöja eller lagföra brott
eller verkställa straffrättsliga påföljder, och det fria flödet av
sådana uppgifter /* COM/2012/010 final - 2012/0010 (COD) */ *
//
MOTIVERING
BAKGRUND TILL FÖRSLAGET
I denna motivering ges en mer detaljerad beskrivning av den strategi för
den nya rättsliga ram för skyddet av personuppgifter i EU som
presenterades i meddelandet COM (2012) 9 final. Den rättsliga ramen
består av följande två lagstiftningsförslag:
- Förslag till Europaparlamentets och rådets förordning om skydd för
enskilda personer med avseende på behandling av personuppgifter och om
det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning).
- Förslag till Europaparlamentets och rådets direktiv om skyddet av
enskilda vid behöriga myndigheters behandling av personuppgifter i syfte
att förebygga, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter.
Denna motivering avser det sistnämnda förslaget.
Grundstenen i den befintliga EU-lagstiftningen om skydd av
personuppgifter, direktiv 95/46/EG[1], antogs 1995 och hade till syfte
att skydda den grundläggande rätten till uppgiftsskydd och garantera det
fria flödet av personuppgifter mellan medlemsstaterna. Direktivet
kompletterades av flera instrument med särskilda
uppgiftsskyddsbestämmelser på områdena för polissamarbete och
straffrättsligt samarbete[2] (f.d. tredje pelaren), däribland rambeslut
2008/977/RIF[3].
Europeiska rådet uppmanade kommissionen att utvärdera hur EU:s
instrument för uppgiftsskydd fungerar och vid behov ta ytterligare
initiativ på lagstiftningsområdet och på andra områden[4].
Europaparlamentet[5] välkomnade i sin resolution om Stockholmsprogrammet
ett övergripande system för skydd av uppgifter i EU och efterlyste bland
annat en översyn av rambeslutet. Kommissionen underströk i sin
handlingsplan för att genomföra Stockholmsprogrammet[6] behovet av att
se till att den grundläggande rätten till skydd för personuppgifter
tillämpas på ett enhetligt sätt på EU:s alla politikområden. I
handlingsplanen framhölls att i "en globaliserad värld som
karaktäriseras av en snabb teknisk utveckling och där
informationsutbytet inte känner några gränser är det särskilt viktigt
att skydda människors privatliv. Unionen måste se till att den
grundläggande rätten till skydd för personuppgifter tillämpas på ett
enhetligt sätt. Vi behöver stärka EU:s hållning när det gäller att
skydda den enskildes personuppgifter inom alla EU:s politikområden,
inklusive brottsbekämpning och brottsförebyggande insatser, men även
inom våra internationella förbindelser."
I sitt meddelande om ett samlat grepp på skyddet av personuppgifter i
Europeiska unionen[7], drog kommissionen slutsatsen att EU behöver en
mer samlad och enhetlig strategi i fråga om den grundläggande rätten
till skydd av personuppgifter.
Rambeslut 2008/977/RIF har ett begränsat tillämpningsområde, eftersom
det bara är tillämpligt på gränsöverskridande behandling av uppgifter
och inte på behandling som utförs av polisen eller de rättsliga
myndigheterna enbart på nationell nivå. Detta kan skapa svårigheter för
polis och andra behöriga myndigheterna på områdena för straffrättsligt
samarbete och polissamarbete. De kan inte alltid enkelt skilja mellan
rent inhemsk och gränsöverskridande behandling eller förutse om vissa
personuppgifter kan bli föremål för ett gränsöverskridande utbyte i ett
senare skede (se avsnitt 2 nedan). På grund av dess karaktär och
innehåll ger rambeslutet dessutom medlemsstaternas nationella
lagstiftning stor frihet när det gäller att genomföra bestämmelserna.
Dessutom innehåller det inte någon mekanism eller rådgivande grupp som
liknar artikel 29-gruppen som bidrar till en gemensam tolkning av dess
bestämmelser, och ger inte heller kommissionen några
genomförandebefogenheter för att säkerställa ett gemensamt
tillvägagångssätt vid dess genomförande.
I artikel 16.1 i fördraget om Europeiska unionens funktionssätt
(EUF-fördraget) fastställs principen att alla har rätt till skydd av
personuppgifter. Dessutom inför Lissabonfördraget, genom artikel 16.2 i
EUF-fördraget, en särskild rättslig grund för antagande av bestämmelser
om skydd av personuppgifter som också gäller för straffrättsligt
samarbete och polissamarbete. I artikel 8 i Europeiska unionens stadga
om de grundläggande rättigheterna fastslås att skyddet av
personuppgifter är en grundläggande rättighet. Enligt artikel 16 i
EUF-fördraget ska lagstiftaren fastställa bestämmelser om skydd för
enskilda personer när det gäller behandling av personuppgifter också på
områdena för straffrättsligt samarbete och polissamarbete, och som
omfattar både gränsöverskridande och inhemsk behandling av
personuppgifter. Därigenom kommer man att kunna skydda fysiska personers
grundläggande fri- och rättigheter, särskilt rätten till skydd av
personuppgifter, och samtidigt trygga utbytet av personuppgifter för att
förebygga, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder. Detta kommer att bidra till att underlätta
samarbetet i kampen mot brottslighet i Europa.
På grund av den särskilda karaktären hos området polissamarbete och
straffrättsligt samarbete erkändes det i förklaring 21[8] att det kan
visa sig bli nödvändigt med särskilda regler om skydd av personuppgifter
och om fri rörlighet för sådana uppgifter på detta område, på grundval
av artikel 16 i EUF-fördraget.
RESULTAT AV SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR
Detta initiativ är resultatet av omfattande samråd med alla viktigare
berörda parter om en översyn av den befintliga rättsliga ramen för skydd
av personuppgifter, som omfattade offentliga samråd i två etapper:
- Samråd om den rättsliga ramen för den grundläggande rätten till skydd
av personuppgifter , från den 9 juli till den 31 december 2009.
Kommissionen mottog 168 svar, varav 127 från enskilda personer,
företagsorganisationer och sammanslutningar och 12 från offentliga
myndigheter. De icke-konfidentiella bidragen finns på kommissionens
webbplats[9].
- Samråd om kommissionens samlade grepp på skydd av personuppgifter i
Europeiska unionen , från den 4 november 2010 till den 15 januari 2011.
Kommissionen mottog 305 svar, varav 54 från enskilda, 31 från offentliga
myndigheter och 220 från privata organisationer, särskilt
företagssammanslutningar och icke-statliga organisationer. De
icke-konfidentiella bidragen finns på kommissionens webbplats[10].
Medan dessa samråd till stor del var inriktade på översynen av direktiv
95/46/EG, genomfördes riktade samråd med berörda parter inom
brottsbekämpande arbete. Särskilt anordnades en workshop den 29 juni
2010 med medlemsstaternas myndigheter om tillämpningen av bestämmelserna
för dataskydd på offentliga myndigheter, inbegripet på området
polissamarbete och straffrättsligt samarbete. Dessutom sammankallade
kommissionen den 2 februari 2011 en workshop med medlemsstaternas
myndigheter för att diskutera genomförandet av rambeslut 2008/977/RIF,
och mer allmänt uppgiftsskyddsfrågor på området polissamarbete och
straffrättsligt samarbete.
EU-medborgarna konsulterades genom en Eurobarometerundersökning som
genomfördes i november--december 2010.[11] Ett antal undersökningar
inleddes också.[12] Artikel 29-gruppen[13] lämnade flera synpunkter och
värdefulla bidrag till kommissionen[14]. Europeiska datatillsynsmannen
utfärdade också ett övergripande yttrande om de frågor som dryftats i
kommissionens meddelande från november 2010.[15]
Europaparlamentet godkände genom sin resolution av den 6 juli 2011 en
rapport som stödde kommissionens strategi för att reformera
uppgiftsskyddsramen.[16] Europeiska unionens råd antog den 24 februari
2011 slutsatser där det i huvudsak stödjer kommissionens reform av ramen
för uppgiftsskydd och håller med om flera inslag i kommissionens
strategi. Europeiska ekonomiska och sociala kommittén stödde också
kommissionens huvudinriktning att säkerställa en mer enhetlig
tillämpning av EU:s uppgiftsskyddsbestämmelser i alla medlemsstater och
en lämplig omarbetning av direktiv 95/46/EG.[17]
I överensstämmelse med sin politik för bättre lagstiftning gjorde
kommissionen en konsekvensbedömning av policyalternativen[18].
Konsekvensbedömningen byggde på de tre politiska mål, som ökad inre
marknad för dataskydd, att göra utövandet av rättigheter till
uppgiftsskydd av enskilda mer effektiva och skapa en övergripande och
enhetlig ram som omfattar alla områden av unionens behörighetsområde,
inbegripet polissamarbete och straffrättsligt samarbete. I synnerhet när
det gäller det sistnämnda målet bedömdes två alternativ: ett första
alternativ som i princip utvidgar tillämpningsområdet för
uppgiftsskyddsbestämmelserna på detta område och tar itu med brister och
andra frågor kring rambeslutet, och ett andra mer långtgående alternativ
med mycket krävande och stränga regler, som också skulle medföra en
omedelbar ändring av alla andra instrument inom den "f.d. tredje
pelaren". Ett tredje minimalistiskt alternativ som huvudsakligen grundar
sig på tolkningsmeddelanden och politiska stödåtgärder, såsom
finansieringsprogram och tekniska instrument, och med minimal
lagstiftning, ansågs inte lämpligt för att ta itu med de problem som
konstaterats på detta område i fråga om skydd av personuppgifter.
I enlighet med kommissionens vedertagna metod bedömdes varje alternativ,
med hjälp av en avdelningsövergripande styrgrupp, med avseende på dess
effektivitet när det gäller att uppnå de politiska målen, dess
ekonomiska konsekvenser för de berörda parterna (även på
EU-institutionernas budget), dess sociala konsekvenser och dess inverkan
på de grundläggande rättigheterna. Inga miljökonsekvenser konstaterades.
Analysen av de övergripande konsekvenserna ledde till en utveckling av
det alternativ som föredras, vilket har införlivats i föreliggande
förslag. Enligt bedömningen kommer genomförandet av detta alternativ att
leda till en ytterligare stärkning av uppgiftsskyddet på detta
politikområde särskilt genom att inhemsk uppgiftsbehandling inbegrips,
varigenom man även stärker rättssäkerheten för de behöriga myndigheterna
på områdena för straffrättsligt samarbete och polissamarbete.
Konsekvensbedömningsnämnden yttrade sig om utkastet till
konsekvensbedömning den 9 september 2011. Till följd av detta yttrande
gjordes framför allt följande ändringar av konsekvensbedömningen:
- Ett klargörande av målen för den nuvarande rättsliga ramen (i vilken
mån de har uppnåtts och i vilken mån de inte uppnåtts) och målen för den
planerade reformen.
- Fler bevis och ytterligare förklaringar/klargöranden lades till i
avsnittet om problemdefinitionen.
Kommissionen har också utarbetat en genomföranderapport på grundval av
artikel 29.2 i rambeslut 2008/977/RIF, som kommer att antas som en del
av det aktuella uppgiftsskyddspaketet[19]. Resultaten av rapporten, som
bygger på material från medlemsstaterna, användes också i utarbetandet
av konsekvensanalysen.
FÖRSLAGETS RÄTTSLIGA ASPEKTER
Rättslig grund
Förslaget grundar sig på artikel 16.2 i EUF-fördraget, som är en ny,
specifik rättslig grund som införts genom Lissabonfördraget för
antagande av bestämmelser om skydd för enskilda med avseende på
behandling av personuppgifter som utförs av unionens institutioner,
organ och byråer och av medlemsstaterna när de bedriver verksamhet som
omfattas av unionsrätten, och bestämmelser om den fria rörligheten för
sådana uppgifter.
Förslaget syftar till att garantera en enhetlig och hög nivå på
uppgiftsskyddet inom detta område och därmed öka det ömsesidiga
förtroendet mellan polis och rättsliga myndigheter i olika medlemsstater
och underlätta det fria flödet av uppgifter och samarbetet mellan polis
och rättsliga myndigheter.
Subsidiaritets- och proportionalitetsprincipen
Enligt subsidiaritetsprincipen (artikel 5.3 i EU-fördraget) ska åtgärder
vidtas på EU-nivå endast om och i den mån som målen för den planerade
åtgärden inte i tillräcklig utsträckning kan uppnås av medlemsstaterna
och därför, på grund av den planerade åtgärdens omfattning eller
verkningar, bättre kan uppnås på unionsnivå. Mot bakgrund av de ovan
skisserade problemen visar subsidiaritetsanalysen att det är nödvändigt
att vidta åtgärder på EU-nivå på områdena för polissamarbete och
straffrättsligt samarbete av följande skäl:
- Rätten till skydd av personuppgifter, som fastläggs i artikel 8 i
stadgan om de grundläggande rättigheterna och i artikel 16.1 i
EUF-fördraget, innebär att samma nivå på uppgiftsskyddet ska gälla i
hela unionen. För detta krävs samma skyddsnivå för uppgifter som utbyts
och uppgifter som behandlas på inhemsk nivå.
- Det finns ett växande behov för de brottsbekämpande myndigheterna i
medlemsstaterna att behandla och utbyta uppgifter i allt större
omfattning för att förebygga och bekämpa gränsöverskridande brottslighet
och terrorism. I detta sammanhang kommer tydliga och enhetliga regler om
skydd av personuppgifter på EU-nivå att bidra till att främja samarbete
mellan sådana myndigheter.
- Dessutom finns det praktiska problem med genomförandet av
uppgiftsskyddslagstiftningen och ett behov av samarbete mellan
medlemsstaterna och deras myndigheter, vilket måste organiseras på
EU-nivå för att säkerställa att unionsrätten tillämpas enhetligt. I
vissa situationer har EU de bästa förutsättningarna att på ett
ändamålsenligt och enhetligt sätt garantera samma skyddsnivå för
enskilda när deras personuppgifter överförs till tredjeländer.
- Medlemsstaterna kan inte ensamma minska problemen i den nuvarande
situationen, särskilt inte de problem som beror på fragmenteringen av de
nationella lagstiftningarna. Det finns därför ett särskilt behov av att
införa en harmoniserad och sammanhängande ram som möjliggör en smidig
överföring av personuppgifter över gränserna inom EU, samtidigt som man
garanterar ett faktiskt skydd av alla enskilda i hela EU.
- De föreslagna lagstiftningsåtgärderna på EU-nivå kommer sannolikt att
vara effektivare än liknande åtgärder på medlemsstatsnivå på grund av
karaktären och omfattningen hos problemen, som inte är begränsade till
en eller flera medlemsstater.
Enligt proportionalitetsprincipen ska alla insatser vara riktade och
inte gå utöver vad som är nödvändigt för att uppnå målen. Denna princip
har varit vägledande under förberedelsen av detta förslag, från
kartläggningen och utvärderingen av olika alternativ till utarbetandet
av lagstiftningsförslaget.
Ett direktiv är därför det bästa instrumentet för att säkerställa
harmonisering på EU-nivå på detta område, samtidigt som man ger
medlemsstaterna erforderlig flexibilitet när de genomför principerna,
reglerna och deras undantag på nationell nivå. Med tanke på
komplexiteten hos de gällande nationella bestämmelserna för skydd av
personuppgifter som behandlas på området för polissamarbete och
straffrättsligt samarbete och målet att uppnå en omfattande
harmonisering av dessa regler genom detta direktiv, kommer kommissionen
att behöva be medlemsstaterna att tillhandahålla förklarande dokument om
förhållandet mellan direktivets delar och motsvarande delar av
nationella rättsakter som införlivar bestämmelserna för att kunna
fullgöra sin uppgift att övervaka införlivandet av detta direktiv.
Sammanfattning av frågor som rör de grundläggande rättigheterna
Rätten till skydd av personuppgifter fastställs i artikel 8 i Europeiska
unionens stadga om de grundläggande rättigheterna och artikel 16 i
EUF-fördraget samt artikel 8 i den europeiska konventionen om skydd för
de mänskliga rättigheterna. Europeiska unionens domstol[20] understryker
att rätten till skydd av personuppgifter inte är en absolut rättighet,
utan måste beaktas i förhållande till dess funktion i samhället[21].
Uppgiftsskyddet är nära knutet till respekten för privatlivet och
familjelivet som skyddas genom artikel 7 i stadgan. Detta avspeglas i
artikel 1.1 i direktiv 95/46/EG som föreskriver att medlemsstaterna ska
skydda fysiska personers grundläggande fri- och rättigheter, särskilt
rätten till privatliv, i samband med behandling av personuppgifter.
Andra grundläggande rättigheter som fastläggs i stadgan och som skulle
kunna påverkas är förbudet mot all diskriminering på grund av bland
annat ras, etniskt ursprung, genetiska särdrag, religion eller
övertygelse, politisk eller annan åskådning, funktionshinder eller
sexuell läggning (artikel 21), barnets rättigheter (artikel 24) och
rätten till ett effektivt rättsmedel inför en domstol och till en
opartisk domstol (artikel 47).
Närmare redogörelse för förslaget
KAPITEL I -- ALLMÄNNA BESTÄMMELSER
I artikel 1 fastställs direktivets syfte, dvs. bestämmelser om
behandling av personuppgifter för att förebygga, utreda, avslöja eller
lagföra brott eller verkställa straffrättsliga påföljder, och fastställs
direktivets dubbla målsättning, dvs. att skydda fysiska personers
grundläggande fri- och rättigheter, särskilt rätten till skydd av
personuppgifter, samtidigt som man garanterar en hög skyddsnivå för den
allmänna säkerheten, och att säkerställa utbytet av personuppgifter
mellan behöriga myndigheter inom unionen.
I artikel 2 fastställs direktivets tillämpningsområde. Direktivets
tillämpningsområde är inte begränsat till gränsöverskridande
uppgiftsbehandling, utan omfattar all behandling som utförs av "behöriga
myndigheter" (enligt definitionen i artikel 3.14). Direktivet gäller
inte heller för behandling i samband med en verksamhet som faller
utanför unionslagstiftningens tillämpningsområde och inte heller för
behandling som utförs av unionens institutioner, organ och byråer,
vilken omfattas av förordning (EG) nr 45/2001 och annan särskild
lagstiftning.
Artikel 3 innehåller definitioner av begrepp som används i förordningen.
Vissa definitioner har övertagits från direktiv 95/46/EG och rambeslut
2008/977/RIF, medan andra har ändrats och kompletteras med fler eller
nyligen införda element. De nya definitionerna avser
"personuppgiftsbrott", "genetiska uppgifter" och "biometriska
uppgifter", "behöriga myndigheter" (på grundval av artikel 87 i
EUF-fördraget och artikel 2 h i rambeslut 2008/977/RIF) samt "barn", på
grundval av FN:s konvention om barnets rättigheter[22].
KAPITEL -- II PRINCIPER
Genom artikel 4 fastställs principerna för behandling av personuppgifter
på ett sätt som återspeglar artikel 6 i direktiv 95/46/EG och artikel 3
i rambeslut 2008/977/RIF, samtidigt som de anpassas till det specifika
sammanhanget i detta direktiv.
Enligt artikel 5 krävs att åtskillnad när så är möjligt görs mellan
personuppgifter som rör olika kategorier av registrerade av olika
kategorier av registrerade. Detta är en ny bestämmelse som varken ingår
i direktiv 95/46/EG eller i rambeslut 2008/977/RIF, men som kommissionen
hade föreslagit i sitt ursprungliga förslag till rambeslutet[23]. Det
bygger på Europarådets rekommendation nr R (87) 15. Liknande
bestämmelser finns redan för Europol[24] och Eurojust[25].
Artikel 6 om olika grader av korrekthet och tillförlitlighet återspeglar
princip 3.2 i Europarådets rekommendation nr R (87)15. Liknande
bestämmelser, som också ingick i kommissionens förslag till rambeslutet,
finns för Europol[26].
I artikel 7 fastställs grunderna för när behandling får genomföras, om
det är nödvändigt för att utföra en arbetsuppgift som utförs av en
behörig myndighet på grundval av nationell lagstiftning, för att
fullgöra en rättslig förpliktelse som åvilar den registeransvarige, för
att skydda intressen som är av grundläggande betydelse för den
registrerade eller en annan person eller för att avvärja ett omedelbart
och allvarligt hot mot den allmänna säkerheten. De övriga grunderna för
när behandling får genomföras i artikel 7 i direktiv 95/46/EG passar
inte för behandling på området för polissamarbete och straffrättsligt
samarbete.
I artikel 8 anges ett generellt förbud mot behandling av särskilda
kategorier av personuppgifter och undantagen från denna allmänna regel,
på grundval av artikel 8 i direktiv 95/46/EG och med tillägg av
genetiska uppgifter, enligt Europadomstolens rättspraxis[27].
Artikel 9 fastställs ett förbud mot åtgärder som enbart grundas på
automatisk behandling av personuppgifter, om detta inte godkänns enligt
lagstiftning som innehåller bestämmelser om lämpliga skyddsåtgärder, i
enlighet med artikel 7 i rambeslut 2008/977/RIF.
KAPITEL III -- DEN REGISTRERADES RÄTTIGHETER
Genom artikel 10 införs skyldigheten för medlemsstaterna att
tillhandahålla lätt tillgänglig och begriplig information, först och
främst inspirerad av princip 10 i Madridresolutionen om internationella
normer för skydd av personuppgifter och integritet[28], och att ålägga
registeransvariga att inrätta förfaranden och rutiner för att underlätta
utövandet av den registrerades rättigheter. Detta inbegriper kravet att
utövandet av rättigheterna i princip ska vara kostnadsfritt.
I artikel 11 anges en skyldighet för medlemsstaterna att se till att den
registrerade informeras. Dessa skyldigheter bygger på artiklarna 10 och
11 i direktiv 95/46/EG, utan separata artiklar som skiljer på huruvida
informationen samlas in från den registrerade eller inte, men utökar den
information som ska tillhandahållas. I direktivet fastställs undantag
från skyldigheten att informera, när sådana undantag är proportionella
och nödvändiga i ett demokratiskt samhälle för att utföra de uppgifter
som åligger behöriga myndigheter (inspirerat av artikel 13 i direktiv
95/46/EG och artikel 17 i rambeslut 2008/977/RIF).
I artikel 12 föreskrivs att medlemsstaterna ska garantera den
registrerades rätt att få tillgång till sina personuppgifter. Den följer
artikel 12 a i direktiv 95/46/EG och lägger till nya punkter i
informationen till de registrerade (om lagringsperioden, rätten till
rättelse, radering eller begränsning samt om rätten att inge klagomål).
I artikel 13 föreskrivs att medlemsstaterna får anta lagstiftning som
begränsar rätten till tillgång, om så krävs på grund av den särskilda
karaktären hos uppgiftsbehandlingen på polisområdet och det
straffrättsliga området. Artikeln rör också informationen till den
registrerade om en begränsning av tillgången, på grundval av artikel
17.2 och 3 i rambeslut 2008/977/RIF.
I artikel 14 införs bestämmelsen att den registrerade, om den direkta
tillgången är begränsad, ska informeras om möjligheten att få indirekt
tillgång via tillsynsmyndigheten, som bör utöva rätten för den
registrerades räkning och ska underrätta den registrerade om resultatet
av sina kontroller.
Artikel 15 om rätten till rättelse följer artikel 12 b i direktiv
95/46/EG, och, när det gäller förpliktelserna vid en vägran, artikel
18.1 i rambeslut 2008/977/RIF.
Artikel 16 om rätten till radering följer artikel 12 b i direktiv
95/46/EG, och, när det gäller förpliktelserna vid en vägran, artikel
18.1 i rambeslut 2008/977/RIF. Den inbegriper också rätten att få till
stånd en märkning av behandlingen i vissa fall, varvid man undviker det
tvetydiga begreppet "blockering", som används i artikel 12 b i direktiv
95/46/EG och artikel 18.1 i rambeslut 2008/977/RIF.
Artikel 17 om rättelse, radering och begränsning av behandling i
rättsliga förfaranden ger förtydliganden som grundar sig på artikel 4.4
i rambeslut 2008/977/RIF.
KAPITEL IV -- REGISTERANSVARIG OCH REGISTERFÖRARE
AVSNITT 1 ALLMÄNNA SKYLDIGHETER
I Artikel 18 beskrivs de registeransvarigas ansvar att följa detta
direktiv och säkerställa att bestämmelserna följs, bland annat genom att
anta policyer och rutiner för att garantera efterlevnad.
I artikel 19 anges att medlemsstaterna ska se till att den
registeransvarige fullgör de skyldigheter som följer av principerna om
inbyggt uppgiftsskydd och uppgiftsskydd som standard.
Genom artikel 20 om gemensamma registeransvariga klargörs gemensamma
registeransvarigas ställning vad avser förhållandet dem emellan.
Genom artikel 21 klargörs registerförarnas ställning och skyldighet,
delvis på grundval av artikel 17.2 i direktiv 95/46/EG och med nya
inslag, bland annat att en registerförare som behandlar andra uppgifter
än de som anges i den registeransvariges instruktioner ska anses som en
gemensam registeransvarig.
Artikel 22 om bearbetning under den registeransvariges och
registerförarens överinseende följer artikel 16 i direktiv 95/46/EG.
Genom artikel 23 införs skyldigheten för registeransvariga och
registerförare att bevara dokumentation om alla system och förfaranden
för behandling som ligger inom deras ansvarsområde.
Artikel 24 gäller registerföring, i enlighet med artikel 10.1 i
rambeslut 2008/977, samtidigt som det ger ytterligare klargöranden.
Genom artikel 25 klargörs registeransvarigas och registerförares
skyldigheter att samarbeta med tillsynsmyndigheterna.
Artikel 26 avser de fall där samråd med tillsynsmyndigheten är
obligatoriskt före behandlingen, på grundval av artikel 23 i rambeslut
2008/977/RIF.
AVSNITT 2 DATASÄKERHET
Artikel 27 om säkerhet i samband med behandlingen av uppgifter bygger på
den nuvarande artikel 17.1 i direktiv 95/46 om säkerhet vid behandling,
och artikel 22 i rambeslut 2008/977/RIF, men utökar de tillhörande
skyldigheterna för registerförare, oberoende av deras avtal med den
registeransvarige.
I artiklarna 28 och 29 införs en skyldighet att anmäla
personuppgiftsbrott, som inspirerats av anmälan av personuppgiftsbrott i
artikel 4.3 i direktiv 2002/58/EC om integritet och elektronisk
kommunikation, att klargöra och särskilja skyldigheterna att underrätta
tillsynsmyndigheten (artikel 28) och att, under vissa omständigheter,
informera den registrerade (artikel 29). Artikel 29 föreskrivs också
undantag med hänvisning till artikel 11.4.
AVSNITT 3 UPPGIFTSSKYDDSOMBUD
I Artikel 30 införs en förpliktelse för den registeransvarige att
utnämna ett obligatoriskt uppgiftsskyddsombud som ska fullgöra de
uppgifter som förtecknas i artikel 32. Om flera behöriga myndigheter
agerar under tillsyn av en central myndighet, som fungerar som
registeransvarig, bör åtminstone denna centrala myndighet utnämna ett
sådant uppgiftsskyddsombud. Artikel 18.2 i direktiv 95/46/EG gav
medlemsstaterna möjlighet att införa ett sådant krav som en ersättning
för det allmänna anmälningskravet i det direktivet.
Genom artikel 31 redogörs för uppgiftsskyddsombudets ställning.
Genom artikel 32 föreskrivs uppgiftsskyddsombudets uppgifter.
KAPITEL V -- ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER
INTERNATIONELLA ORGANISATIONER
I artikel 33 anges de allmänna principerna för överföring av
personuppgifter till tredjeländer eller internationella organisationer
på området för polissamarbete och straffrättsligt samarbete, inklusive
vidare överföring. Det klargörs att överföringar till tredjeland endast
får ske om överföringen är nödvändig för att förebygga, utreda, avslöja
eller lagföra brott eller verkställa straffrättsliga påföljder.
I artikel 34 fastställs att överföringar får ske till tredjeländer för
vilka kommissionen har antagit ett beslut om adekvat skyddsnivå enligt
förordning ..../../201X eller specifikt på området för polissamarbete
och straffrättsligt samarbete, eller, i avsaknad av ett sådant beslut,
om lämpliga skyddsåtgärder har vidtagits. Så länge som beslut om adekvat
skyddsnivå inte finns garanterar direktivet att överföringar kan
fortsätta att ske på grundval av lämpliga skyddsåtgärder och undantag.
Det fastställer dessutom kriterier för kommissionens bedömning av en
adekvat eller icke-adekvat skyddsnivå, och inbegriper uttryckligen
rättsstatsprincipen, rättslig prövning och oberoende övervakning. Enligt
artikeln ges också kommissionen möjlighet att bedöma nivån på det skydd
som lämnas av ett territorium eller en behandlande sektor i ett
tredjeland. Den fastställer att ett allmänt beslut om adekvat skyddsnivå
som antas i enlighet med förfarandena i artikel 38 i den allmänna
uppgiftsskyddsförordningen, ska tillämpas inom detta direktivs
tillämpningsområde. Alternativt kan ett beslut om adekvat skyddsnivå
antas av kommissionen uteslutande för de ändamål som avses i detta direktiv.
I artikel 35 fastställs de lämpliga skyddsåtgärder som krävs före
internationella överföringar, i avsaknad av ett kommissionsbeslut om
adekvat skyddsnivå. Dessa skyddsåtgärder kan vidtas genom rättsligt
bindande instrument såsom internationella avtal. Alternativt kan den
registeransvarige på grundval av en bedömning av omständigheterna i
samband med överföringen dra slutsatsen att de föreligger.
I artikel 36 anges undantagen för uppgiftsöverföring på grundval av
artikel 26 i direktiv 95/46/EG och artikel 13 i rambeslut 2008/977/RIF.
Artikel 37 ålägger medlemsstaterna att föreskriva att den
registeransvarige ska underrätta mottagaren om eventuella begränsningar
av behandlingen och vidta alla rimliga åtgärder för att säkerställa att
dessa begränsningar följs av mottagarna av personuppgifter i
tredjelandet eller den internationella organisationen.
I artikel 38 lämnas uttryckligen föreskrifter för internationella
samarbetsmekanismer för skydd av personuppgifter mellan kommissionen och
tillsynsmyndigheter i tredjeländer, särskilt de som anses erbjuda en
adekvat skyddsnivå, med hänsyn tagen till OECD:s rekommendation om
gränsöverskridande samarbete vid tillämpningen av lagstiftning om
integritetsskydd av den 12 juni 2007.
KAPITEL VI -- NATIONELLA TILLSYNSMYNDIGHETER
AVSNITT 1 OBEROENDE STÄLLNING
Enligt artikel 39 ska varje medlemsstat inrätta en tillsynsmyndighet
enligt artikel 28.1 i direktiv 95/46/EG och artikel 25 i rambeslut
2008/977/RIF, och utvidga dessa myndigheters uppdrag för att bidra till
en enhetlig tillämpning av direktivet inom hela unionen. Denna
tillsynsmyndighet kan vara den tillsynsmyndighet som inrättats enligt
den allmänna uppgiftsskyddsförordningen.
Genom artikel 40 klargörs villkoren för tillsynsmyndigheternas
oberoende, varvid EU-domstolens rättspraxis genomförs[29], och
inspiration även hämtas från artikel 44 i förordning (EG) nr 45/2001[30].
Genom artikel 41 föreskrivs allmänna villkor för tillsynsmyndighetens
ledamöter, varigenom relevant rättspraxis genomförs[31] och inspiration
även hämtas från artikel 42.2--42.6 i förordning (EG) nr 45/2001.
I artikel 42 fastställs bestämmelser angående inrättandet av
tillsynsmyndigheten som medlemsstaterna ska föreskriva i lag, inklusive
om villkoren för dess ledamöter.
Artikel 43 om tystnadsplikt för tillsynsmyndighetens ledamöter och
personal följer artikel 28.7 i direktiv 95/46/EG och artikel 25.4 i
rambeslut 2008/977/RIF.
AVSNITT 2 UPPDRAG OCH BEFOGENHETER
I artikel 44 fastställs tillsynsmyndigheternas behörighet, på grundval
av artikel 28.6 i direktiv 95/46/EG och artikel 25.1 i rambeslut
2008/977/RIF. Domstolar är i sin dömande verksamhet undantagna från
övervakning av tillsynsmyndigheten, men inte från tillämpningen av de
materiella reglerna om uppgiftsskydd.
I artikel 45 föreskrivs medlemsstaternas skyldighet att föreskriva
tillsynsmyndighetens ansvarsområden, bland annat att ta emot och utreda
klagomål och att öka allmänhetens medvetenhet om risker, regler,
skyddsåtgärder och rättigheter. En särskild arbetsuppgift för
tillsynsmyndigheterna i samband med detta direktiv är att, om direkt
tillgång vägras eller begränsas, utöva rätten till tillgång för den
registrerades räkning och att kontrollera att uppgiftsbehandlingen är
tillåten.
I artikel 46 föreskrivs tillsynsmyndighetens befogenheter, på grundval
av artikel 28.3 i direktiv 95/46/EG, artikel 25.2 och 25.3 i rambeslut
2008/977/RIF. Enligt artikel 47 ska tillsynsmyndigheterna utarbeta
årliga verksamhetsrapporter, som grundar sig på artikel 28.5 i direktiv
95/46/EG.
KAPITEL VII -- SAMARBETE
I artikel 48 införs bestämmelser om obligatoriskt ömsesidigt bistånd.
Artikel 28.6 i direktiv 95/46/EG föreskrev bara en allmän skyldighet att
samarbeta, utan närmare precisering.
Artikel 49 föreskriver att Europeiska dataskyddsstyrelsen, som inrättats
genom den allmänna uppgiftsskyddsförordningen, ska utöva sina uppgifter
även i fråga om behandling inom detta direktivs tillämpningsområde. För
att tillhandahålla kompletterande stöd, kommer kommissionen att rådfråga
företrädare för myndigheter som är behöriga att förebygga, utreda,
avslöja eller lagföra brott i medlemsstaterna, samt företrädare för
Europol och Eurojust, med hjälp av en expertgrupp för de aspekter på
uppgiftsskydd som rör brottsbekämpning.
KAPITEL VIII -- RÄTTSMEDEL, ANSVAR, PÅFÖLJDER OCH ADMINISTRATIVA SANKTIONER
Artikel 50 föreskriver att alla registrerade har rätt att inge klagomål
till en tillsynsmyndighet, på grundval av artikel 28.4 i direktiv
95/46/EG, och avser alla överträdelser av direktivet som rör den
klagande. Här specificeras även vilka organ, organisationer eller
sammanslutningar som kan lämna klagomål på en registrerad persons vägnar
och även vid personuppgiftsbrott, oberoende av en registrerad persons
klagomål.
Artikel 51 rör rätten till rättsmedel mot en tillsynsmyndighets beslut.
Den bygger på den allmänna bestämmelsen i artikel 28.3 i direktiv
95/46/EG, och föreskriver särskilt att den registrerade får väcka talan
för att tvinga tillsynsmyndigheten att agera vid ett klagomål.
Artikel 52 gäller rätten till rättsmedel mot en registeransvarig eller
registerförare, på grundval av artikel 22 i direktiv 95/46/EG och
artikel 20 i rambeslut 2008/977/RIF.
Genom artikel 53 införs gemensamma bestämmelser för domstolsförfaranden,
bl.a. rättigheterna för organ, organisationer eller sammanslutningar att
företräda registrerade personer inför domstolarna,
tillsynsmyndigheternas rätt att delta i rättsliga förfaranden.
Medlemsstaternas skyldighet att säkerställa snabb domstolbehandling har
inspirerats av artikel 18.1 i direktiv 2000/31/EG[32] om elektronisk handel.
Enligt artikel 54 ska medlemsstaterna sörja för rätten till ersättning.
Den bygger på artikel 23 i direktiv 95/46/EG och artikel 19.1 i
rambeslut 2008/977/RIF, utvidgar denna rätt till skador förorsakade av
registerförare och klargör gemensamma registeransvarigas och gemensamma
registerförares ansvar.
Genom artikel 55 förpliktigas medlemsstaterna att fastställa påföljder,
att bestraffa överträdelser av direktivet, och att säkerställa
genomförandet.
KAPITEL IX -- DELEGERADE AKTER OCH GENOMFÖRANDEAKTER
Artikel 56 innehåller standardbestämmelser för utövandet av delegering i
enlighet med artikel 290 i EUF-fördraget. Enligt denna artikel kan
lagstiftaren till kommissionen delegera befogenheten att anta akter med
allmän räckvidd som inte är lagstiftningsakter och som kompletterar
eller ändrar vissa icke väsentliga delar av en lagstiftningsakt.
Artikel 57 innehåller bestämmelserna för kommittéförfarandet då
kommissionen tilldelas genomförandebefogenheter när enhetliga villkor
behövs för genomförandet av unionens rättsligt bindande akter, i
enlighet med artikel 291 i EUF-fördraget. G ranskningsförfarandet är
tillämpligt.
KAPITEL X -- SLUTBESTÄMMELSER
Artikel 58 upphäver rambeslut 2008/977/RIF.
I artikel 59 fastställs att särskilda bestämmelser som avser behandling
av personuppgifter som utförs av behöriga myndigheterna för att
förebygga, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder och som finns i unionsrättsakter, som reglerar
behandlingen av personuppgifter eller tillgång till informationssystem
inom direktivets tillämpningsområde, och som antagits före antagandet av
detta direktiv, inte påverkas.
Artikel 60 klargör förhållandet mellan detta direktiv och
internationella avtal som tidigare ingåtts av medlemsstaterna på området
för straffrättsligt samarbete och polissamarbete.
I artikel 61 föreskrivs en skyldighet för kommissionen att utvärdera och
rapportera om genomförandet av direktivet, i syfte att bedöma behovet av
att anpassa de tidigare antagna särskilda bestämmelser som avses i
artikel 59 till detta direktiv.
I artikel 62 fastställs skyldigheten för medlemsstaterna att införliva
direktivet i sin nationella lagstiftning och till kommissionen anmäla de
bestämmelser som antagits i enlighet med direktivet.
I artikel 63 fastställs datumet för direktivets ikraftträdande.
I artikel 64 fastställs till vem detta direktiv riktar sig.
4. BUDGETKONSEKVENSER
Den finansieringsöversikt för rättsakt som åtföljer förslaget till
allmän uppgiftsskyddsförordning omfattar såväl förordningens som detta
direktivs budgetkonsekvenser.
2012/0010 (COD)
Förslag till
EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV
om skydd för enskilda personer med avseende på behöriga myndigheters
behandling av personuppgifter för att förebygga, utreda, avslöja eller
lagföra brott eller verkställa straffrättsliga påföljder, och det fria
flödet av sådana uppgifter
EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV
med beaktande av fördraget om Europeiska unionens funktionssätt,
särskilt artikel 16.2,
med beaktande av Europeiska kommissionens förslag,
efter översändande av utkastet till lagstiftningsakt till de nationella
parlamenten,
efter att ha hört Europeiska datatillsynsmannen[33],
i enlighet med det ordinarie lagstiftningsförfarandet, och
av följande skäl:
1. Skyddet av fysiska personer vid behandling av personuppgifter är en
grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de
grundläggande rättigheterna och artikel 16.1 i fördraget om Europeiska
unionens funktionssätt garanterar var och en rätten till skydd av de
personuppgifter som rör honom eller henne.
2. Avsikten med att behandla personuppgifter är att betjäna människor.
Principerna och reglerna för skyddet av enskilda personer vid behandling
av deras personuppgifter bör, oavsett medborgarskap eller hemvist,
respektera deras grundläggande rättigheter och friheter, främst deras
rätt till skydd av personuppgifter. Behandlingen av personuppgifter bör
bidra till att skapa ett område av frihet, säkerhet och rättvisa.
3. Den snabba tekniska utvecklingen och globaliseringen har ställt oss
inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen
på datadelning och insamling av uppgifter har ökat spektakulärt. Teknik
skapar förutsättningar för behöriga myndigheter att i sin verksamhet
använda personuppgifter i en aldrig tidigare skådad omfattning.
4. Detta gör det nödvändigt att underlätta det fria flödet av uppgifter
mellan behöriga myndigheter inom unionen samt överföringar till
tredjeländer och internationella organisationer, och samtidigt
säkerställa en hög skyddsnivå för personuppgifter. Dessa
utvecklingstendenser kräver en stark och mer sammanhängande ram för
uppgiftsskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete.
5. Europaparlamentets och rådet direktiv 95/46/EG av den 24 oktober 1995
om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter[34] är
tillämpligt på all behandling av personuppgifter som förekommer i
medlemsstaterna, såväl inom den offentliga som inom den privata sektorn.
Det är emellertid inte tillämpligt på behandling av personuppgifter "som
utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten",
t.ex. verksamhet på områdena för straffrättsligt samarbete och
polissamarbete.
6. Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av
personuppgifter som behandlas inom ramen för polissamarbete och
straffrättsligt samarbete[35] är tillämpligt på områdena för
straffrättsligt samarbete och polissamarbete. Tillämpningsområdet för
detta rambeslut begränsas till behandlingen av sådana personuppgifter
som överförs eller görs tillgängliga mellan medlemsstaterna.
7. Att garantera en enhetlig och hög nivå på skyddet av enskildas
personuppgifter och underlätta utbytet av personuppgifter mellan
behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att
säkerställa ett effektivt straffrättsligt samarbete och polissamarbete.
Därför måste skyddet av enskildas fri- och rättigheter i samband med
behöriga myndigheters behandling av personuppgifter för att förebygga,
utreda, avslöja eller lagföra brott eller verkställa straffrättsliga
påföljder vara likvärdigt i alla medlemsstater. Ett effektivt skydd av
personuppgifter i hela unionen förutsätter att de registrerades
rättigheter stärks och att skyldigheterna för dem som behandlar sådana
uppgifter klargörs, men också likvärdiga befogenheter för de myndigheter
och organ som har ansvaret för att övervaka och säkerställa
efterlevnaden av bestämmelserna om skydd av personuppgifter i
medlemsstaterna.
8. I artikel 16.2 i fördraget om Europeiska unionens funktionssätt anges
att Europaparlamentet och rådet ska fastställa bestämmelser om skydd för
enskilda personer när det gäller behandling av personuppgifter samt om
den fria rörligheten för sådana uppgifter.
9. Därför fastställs i Europaparlamentets och rådets förordning EU
...../2012 om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter (allmän
uppgiftsskyddsförordning) allmänna bestämmelser om skydd av enskilda i
samband med behandling av personuppgifter och om den fria rörligheten
för sådana uppgifter inom unionen.
10. I förklaring 21 om skydd av personuppgifter på området för
straffrättsligt samarbete och polissamarbete, som är fogad till
slutakten från den regeringskonferens som antog Lissabonfördraget,
bekräftade konferensen att särskilda regler om skydd av personuppgifter
och om fri rörlighet för sådana uppgifter på områdena för
straffrättsligt samarbete och polissamarbete på grundval av artikel 16 i
fördraget om Europeiska unionens funktionssätt kan visa sig nödvändig på
grund av dessa områden särskilda natur.
11. Ett särskilt direktiv bör således vara anpassat till den särskilda
karaktären hos dessa områden och fastställa bestämmelser om skydd för
enskilda i samband med behöriga myndigheters behandling av
personuppgifter för att förebygga, utreda, avslöja eller lagföra brott
eller verkställa straffrättsliga påföljder.
12. För att säkerställa en enhetlig skyddsnivå för enskilda genom
rättsligt bindande rättigheter i hela unionen och undvika avvikelser som
hämmar utbytet av personuppgifter mellan behöriga myndigheter, bör
direktivet innehålla harmoniserade bestämmelser om skydd och fri
rörlighet för personuppgifter på områdena för straffrättsligt samarbete
och polissamarbete.
13. Detta direktiv gör det möjligt att vid tillämpningen av dess
bestämmelser ta hänsyn till principen om allmänhetens rätt att få
tillgång till allmänna handlingar.
14. Det skydd som ska tillhandahållas enligt detta direktiv gäller vid
behandling av enskildas personuppgifter, oavsett de berörda personernas
medborgarskap eller hemvist.
15. Skyddet av enskilda bör vara tekniskt neutralt, det vill säga inte
vara beroende av den teknik som används, eftersom detta skulle skapa en
allvarlig risk för att reglerna kringgås. Skyddet av enskilda bör vara
tillämpligt på både automatisk och manuell behandling av
personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett
register. Akter eller grupper av akter, liksom deras omslag, som inte är
ordnade enligt särskilda kriterier, bör inte omfattas av detta direktiv.
Detta direktiv bör inte tillämpas på behandling av personuppgifter som
utgör ett led i en verksamhet som inte omfattas av unionsrätten,
särskilt verksamhet som rör nationell säkerhet, eller av uppgifter som
behandlats av unionens institutioner, organ och byråer, t.ex. Europol
eller Eurojust.
16. Principerna för skyddet bör gälla all information som rör en
identifierad eller identifierbar fysisk person. Vid bedömningen av om en
fysisk person är identifierbar bör man ta hänsyn till alla hjälpmedel
som den registeransvarige eller någon annan person rimligen kan komma
att använda för att identifiera vederbörande. Skyddsprinciperna bör inte
gälla för uppgifter som gjorts anonyma på ett sådant sätt att den
registrerade inte längre är identifierbar.
17. Personuppgifter som rör hälsa bör särskilt omfatta alla uppgifter
som hänför sig till en registrerad persons hälsotillstånd, uppgifter om
registrering av personen för tillhandahållande av hälso- och
sjukvårdstjänster, uppgifter om betalning för eller rätt till hälso- och
sjukvård avseende personen i fråga, ett nummer, en symbol eller ett
kännetecken som personen tilldelats för att identifiera denne
uteslutande för hälso- och sjukvårdsändamål, alla uppgifter om personen
som insamlats i samband med hälso- och sjukvårdstjänster som personen
utnyttjat, uppgifter som härrör från tester eller undersökningar av en
kroppsdel eller kroppssubstans, däribland biologiska prover,
Identifiering av en person som tillhandahåller hälso- och sjukvård till
den registrerade, eller andra uppgifter om t.ex. en sjukdom,
funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling,
eller den registrerades faktiska fysiologiska eller biomedicinska
tillstånd oberoende av källan, exempelvis från en läkare eller annan
sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett
diagnostiskt in vitro-test.
18. Varje behandling av personuppgifter måste vara tillåten, rättvis och
öppen i förhållande till berörda enskilda. I synnerhet bör de särskilda
ändamål för vilka uppgifterna behandlas formuleras tydligt.
19. För att ge behöriga myndigheter förutsättningar att förebygga,
utreda och lagföra brott är det viktigt att de kan bevara och behandla
personuppgifter som insamlats i samband med sådan verksamhet också för
andra ändamål, så att det blir möjligt att utveckla kunskap om olika
brottsföreteelser och brottstrender, samla in underrättelser om
kriminella nätverk och göra kopplingar mellan olika brott.
20. Personuppgifter bör inte behandlas för ändamål som är oförenliga med
det ändamål för vilket de samlades in. Personuppgifter ska vara
adekvata, relevanta och inte överdrivet omfattande med hänsyn till
ändamålet med behandlingen. Alla rimliga åtgärder bör vidtas för att
säkerställa att oriktiga personuppgifter rättas eller raderas.
21. Principen om uppgifters riktighet ska tillämpas med hänsyn till
vilken typ av behandling det är fråga om och syftet med denna. Särskilt
i domstolsförfaranden baseras utsagor som innehåller personuppgifter på
individers subjektiva uppfattningar, med följden att uppgifterna i vissa
fall inte kan verifieras. Följaktligen bör inte riktighetskravet ha
någon relevans för frågan om huruvida ett uttalande är riktigt, utan
endast för det faktum att ett visst uttalande har gjorts.
22. Vid tolkning och tillämpning av allmänna principer avseende behöriga
myndigheters behandling av personuppgifter för att förebygga, utreda,
avslöja eller lagföra brott eller verkställa straffrättsliga påföljder
bör hänsyn tas till de specifika förhållandena inom den berörda sektorn,
inklusive de särskilda mål som eftersträvas.
23. Behandling av personuppgifter på områdena för straffrättsligt
samarbete och polissamarbete innebär av naturliga skäl att
personuppgifter om olika kategorier av registrerade behandlas. Därför är
det viktigt att i möjligaste mån göra en klar åtskillnad mellan
personuppgifter om olika kategorier av registrerade, t.ex.
brottsmisstänkta, brottsdömda och brottsoffer samt andra som berörs av
ett brottmål, t.ex. vittnen, personer med relevant information eller
personer med kontakter eller band till brottsmisstänkta och brottsdömda.
24. Personuppgifter bör i möjligaste mån delas in efter grad av
riktighet och tillförlitlighet. Sakförhållanden bör hållas isär från
personliga bedömningar, så att det blir möjligt att garantera såväl
skydd för enskilda personer som kvalitet och tillförlitlighet i den
information som behandlas av behöriga myndigheter.
25. För att vara laglig bör behandlingen av personuppgifter vara
nödvändig för att fullgöra en rättslig förpliktelse som åvilar den
registeransvarige, för att utföra en arbetsuppgift av allmänt intresse
som en behörig myndighet ansvarar för enligt lag, för att skydda
intressen av grundläggande betydelse för den registrerade eller en annan
person eller för att förebygga ett omedelbart och allvarligt hot mot den
allmänna säkerheten.
26. Personuppgifter som till sin natur är särskilt känsliga med hänsyn
till grundläggande rättigheter eller skyddet av privatlivet, däribland
genetiska data, förtjänar ett särskilt skydd. Sådana uppgifter bör inte
behandlas, om inte behandlingen är godkänd enligt lagstiftning som
föreskriver lämpliga åtgärder för att säkerställa den registrerades
berättigade intressen, behandlingen är nödvändig för att skydda
intressen som är av grundläggande betydelse för den registrerade eller
en annan person eller behandlingen rör uppgifter som på ett tydligt sätt
har offentliggjorts av den registrerade.
27. Varje fysisk person bör ha rätt att inte bli föremål för åtgärder
som endast grundar sig på automatisk uppgiftsbehandling om detta skulle
medföra negativa rättsliga verkningar för denna person, såvida inte
behandlingen är tillåten enligt lag och omfattas av lämpliga åtgärder
för att skydda den registrerades berättigade intressen.
28. För att den registrerade ska kunna utöva sina rättigheter bör all
information som riktar sig till denne vara lättillgänglig och lätt att
förstå, vilket inbegriper användning av ett klart och enkelt språk.
29. Det bör finnas arrangemang som underlättar för registrerade att
utöva sina rättigheter enligt detta direktiv, bl.a. rutiner för att
kostnadsfritt begära särskilt tillgång till uppgifterna samt rättelse
och radering av dessa. Den registeransvarige bör vara skyldig att
besvara framställningar från den registrerade utan onödigt dröjsmål.
30. Principen om rättvis uppgiftsbehandling innebär att registrerade ska
informeras särskilt om att behandling sker och syftet med behandlingen,
hur länge uppgifterna kommer att lagras, rätten att få tillgång till,
rätta eller radera uppgifter samt rätten att lämna in klagomål. När
uppgifterna samlas in från de registrerade bör dessa även informeras om
huruvida de är skyldiga att tillhandahålla uppgifterna, och om vilka
konsekvenserna blir om de inte lämnar dem.
31. Informationen till de registrerade om behandlingen av uppgifter om
dem bör överlämnas i samband med att uppgifterna samlas in eller, om
uppgifterna inte har erhållits från de registrerade, vid tidpunkten för
registreringen, eller inom en skälig tid efter insamlingen, med hänsyn
tagen till de särskilda förhållanden under vilka uppgifterna behandlas.
32. Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem
och enkelt kunna utöva denna rätt så att de är införstådda med att
behandling sker och kan kontrollera att den är tillåten. Därför bör
varje registrerad har rätt att känna till och underrättas om i synnerhet
de ändamål för vilka uppgifterna behandlas, hur länge behandlingen
kommer att pågå och vilka som kommer att få del av uppgifterna,
inbegripet mottagare i tredjeländer. Registrerade bör ha rätt till en
kopia av de uppgifter som behandlas.
33. Medlemsstaterna bör ha möjlighet att genom lagstiftning vidta
åtgärder som innebär att informationen till de registrerade eller de
registrerades tillgång till sina uppgifter senareläggs, begränsas eller
utelämnas, i den utsträckning och så länge som en sådan partiell eller
fullständig begränsning utgör en nödvändig och proportionell åtgärd i
ett demokratiskt samhälle med hänsyn tagen till den berörda personens
berättigade intressen, och syftet är att förebygga obstruktion av
officiella eller rättsliga utredningar, undersökningar eller
förfaranden, undvika menlig inverkan på förebyggande, upptäckt,
utredning och lagföring av brott eller verkställighet av straffrättsliga
påföljder, skydda allmän eller nationell säkerhet eller skydda den
registrerade eller andra personers fri- och rättigheter.
34. Varje vägran att ge den registrerade tillgång till sina uppgifter
och varje begränsning av sådan tillgång bör meddelas den registrerade
skriftligen, inklusive de faktiska eller rättsliga skäl som beslutet
grundar sig på.
35. När medlemsstater har antagit lagstiftning som helt eller delvis
begränsar rätten till tillgång, bör de registrerade ha rätt att begära
att den behöriga nationella tillsynsmyndigheten kontrollerar
behandlingens laglighet. De registrerade bör informeras om denna
rättighet. När en tillsynsmyndighet utövar rätten att få tillgång till
uppgifter för de registrerades räkning, bör tillsynsmyndigheten
informera dem åtminstone om att tillsynsmyndigheten har utfört alla
nödvändiga kontroller och om resultatet av dessa kontroller när det
gäller lagligheten av behandlingen i fråga.
36. Var och en bör ha rätt att få felaktiga personuppgifter om sig
rättade samt rätt till radering om behandlingen av sådana uppgifter inte
föreenlig med de grundläggande principerna i detta direktiv. När
personuppgifter behandlas inom ramen för en brottsutredning och ett
brottmål, bör rätten till rättelse, information, tillgång och radering
samt till begränsning av behandlingen kunna säkerställas i enlighet med
nationella bestämmelser om rättsliga förfaranden.
37. Registeransvariga bör åläggas ett övergripande ansvar för all
behandling av personuppgifter som de utför eller som utförs på deras
vägnar. Den registeransvarige bör särskilt se till att behandlingen är
förenlig med de bestämmelser som antas i enlighet med detta direktiv.
38. Skyddet av de registrerades rättigheter i samband med behandlingen
av personuppgifter kräver lämpliga tekniska och organisatoriska åtgärder
för att säkerställa att direktivets krav uppfylls. För att garantera
överensstämmelse med de bestämmelser som antas enligt detta direktiv,
bör den registeransvarige anta strategier och genomföra lämpliga
åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd
och uppgiftsskydd som standard.
39. Skyddet av de registrerades rättigheter och friheter samt de
registeransvarigas och registerförarnas ansvar kräver en tydlig
fördelning av ansvar enligt detta direktiv, inklusive när en
registeransvarig bestämmer ändamålen med och villkoren och medlen för
behandlingen tillsammans med andra registeransvariga eller när
behandlingen utförs på uppdrag av en registeransvarig.
40. Behandling av personuppgifter bör dokumenteras av den
registeransvarige eller av registerföraren, i syfte att övervaka
efterlevnaden av detta direktiv. Varje registeransvarig och
registerförare bör vara skyldig att samarbeta med tillsynsmyndigheten
och på dennas begäran göra dokumenteringen tillgänglig så att den kan
tjäna som grund för övervakningen av behandlingen.
41. I syfte att säkerställa ett effektivt skydd av de registrerades
rättigheter och friheter genom förebyggande åtgärder, bör den
registeransvarige eller registerföraren i vissa fall samråda med
tillsynsmyndigheten innan uppgifterna behandlas.
42. Ett personuppgiftsbrott kan, om det inte snabbt blir föremål för
lämpliga åtgärder, medföra skada, inklusive med avseende på den berörda
personens anseende. Så snart som den registeransvarige blir medveten om
att ett sådant brott har inträffat, bör denne anmäla brottet till den
behöriga nationella myndigheten. Enskilda personer vars personuppgifter
eller integritet kan utsättas för negativ påverkan genom brottet bör
meddelas utan onödigt dröjsmål, så att de får tillfälle att vidta
nödvändiga försiktighetsåtgärder. Ett brott bör anses ha en menlig
inverkan på en individs personuppgifter och integritet om det kan leda
till exempelvis identitetsstöld eller identitetsbedrägeri, personskada,
betydande förödmjukelse eller skadat anseende i samband med behandlingen
av personuppgifter.
43. När närmare bestämmelser fastställs för tillämpliga format och
förfaranden för anmälan av personuppgiftsbrott bör vederbörlig hänsyn
tas till omständigheterna kring brottet, däribland om personuppgifterna
var omgärdade av lämpligt tekniskt skydd som betydligt begränsade
sannolikheten för missbruk. Bestämmelserna och förfarandena bör dessutom
beakta behöriga myndigheters berättigade intressen i fall där ett tidigt
utlämnande kan riskera att i onödan hämma utredningen av
omständigheterna kring ett brott.
44. Registeransvariga eller registerförare bör utse en person som kan
hjälpa dem med att övervaka efterlevnaden av de bestämmelser som antas i
enlighet med detta direktiv. Flera enheter inom den behöriga myndigheten
kan gemensamt utse uppgiftsskyddsombud. Uppgiftsskyddsombuden måste
kunna utföra sina uppdrag och arbetsuppgifter på ett oberoende och
effektivt sätt.
45. Medlemsstaterna bör se till att överföringar till ett tredjeland
endast kan äga rum om detta är nödvändigt för att förebygga, utreda,
avslöja eller lagföra brott eller för att verkställa straffrättsliga
påföljder, och den registeransvarige i tredjelandet eller den
internationella organisationen är en myndighet som är behörig i den
mening som avses i detta direktiv. En överföring kan äga rum när
kommissionen har beslutat att skyddsnivån i ett tredjeland eller en
internationell organisation är adekvat, eller när lämpliga
skyddsåtgärder föreligger.
46. Kommissionen kan med verkan för hela unionen fastställa att vissa
tredjeländer, ett visst territorium eller en viss behandlande sektor i
ett tredjeland eller en internationell organisation kan garantera
adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och
enhetlighet i hela unionen vad gäller dessa tredjeländer eller
internationella organisationer. I dessa fall får överföringar av
personuppgifter till dessa länder ske utan behov av ytterligare tillstånd.
47. I linje med de grundläggande värderingar som unionen vilar på, allra
främst skyddet av de mänskliga rättigheterna, bör kommissionen beakta
hur rättsstatsprincipen, möjlighet till rättslig prövning samt
internationella människorättsliga normer och standarder respekteras i
det tredjelandet.
48. Kommissionen bör likaledes kunna konstatera att ett tredjeland eller
ett territorium eller en behandlande sektor inom ett tredjeland, eller
en internationell organisation, inte erbjuder en adekvat nivå på skyddet
av uppgifterna. Följaktligen bör överföringar av personuppgifter till
det tredjelandet förbjudas utom när de bygger på internationella avtal,
omgärdas av lämpliga skyddsåtgärder eller grundas på ett undantag.
Bestämmelser bör fastställas för förfaranden för samråd mellan
kommissionen och dessa tredjeländer eller internationella
organisationer. Ett sådant kommissionsbeslut ska dock inte påverka
möjligheten att göra överföringar när dessa är omgärdade av lämpliga
skyddsåtgärder eller grundas på ett undantag som finns fastställt i
direktivet.
49. Överföringar som inte grundar sig på ett sådant beslut om adekvat
skyddsnivå bör endast tillåtas om lämpliga skyddsåtgärder vidtagits
genom ett rättsligt bindande instrument, som säkrar skyddet av
personuppgifterna eller om den registeransvarige eller registerföraren
har gjort en bedömning av alla omständigheterna kring en
uppgiftsöverföring eller en serie uppgiftsöverföringar och på grundval
av denna bedömning anser att lämpliga skyddsåtgärder föreligger vad
avser skyddet av personuppgifter. När skäl saknas för att tillåta en
överföring, bör undantag medges om överföringen är nödvändig för att
skydda intressen som är av grundläggande betydelse för den registrerade
eller en annan person, eller för att skydda den registrerades
berättigade intressen om lagstiftningen i den medlemsstat som överför
uppgifterna föreskriver detta, eller om det är avgörande för att avvärja
en omedelbart och allvarligt hot mot den allmänna säkerheten i en
medlemsstat eller i ett tredjeland, eller i enskilda fall när det är
nödvändigt för att förebygga, utreda, avslöja eller lagföra brott eller
verkställa straffrättsliga påföljder, eller i enskilda fall för att
fastslå, göra gällande eller försvara rättsliga anspråk.
50. När personuppgifter förs över gränserna kan detta öka risken för att
enskilda inte kan utöva sina uppgiftsskyddsrättigheter att skydda sig
från otillåten användning eller utlämnande av dessa uppgifter. Samtidigt
kan tillsynsmyndigheter finna att de inte är i stånd att handlägga
klagomål eller göra utredningar som gäller verksamheter utanför
gränserna för deras land. Deras strävan att samarbeta i ett
gränsöverskridande sammanhang kan också försvåras på grund av
otillräckliga preventiva eller korrigerande befogenheter eller
oenhetliga rättsliga regelverk. Närmare samarbete mellan
tillsynsmyndigheter bör därför främjas för att hjälpa dem att utbyta
information med sina utländska motsvarigheter.
51. För att skydda enskilda vid behandling av personuppgifter är det av
avgörande betydelse att medlemsstaterna inrättar tillsynsmyndigheter som
utför sitt uppdrag under fullständigt oberoende. Tillsynsmyndigheterna
bör övervaka tillämpningen av bestämmelserna i detta direktiv och bidra
till enhetlig tillämpning i hela unionen, för att skydda fysiska
personer när deras personuppgifter behandlas. För detta ändamål bör
tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen.
52. Medlemsstaterna får anförtro en tillsynsmyndighet som de redan
inrättat i enlighet med förordning (EU) ..../2012 ansvaret för de
arbetsuppgifter som ska skötas av de nationella tillsynsmyndigheter som
ska inrättas med anledning av detta direktiv.
53. Medlemsstaterna bör kunna inrätta mer än en tillsynsmyndighet för
att återspegla sin konstitutionella, organisatoriska och administrativa
struktur. Varje tillsynsmyndighet bör tilldelas de ekonomiska och
personella resurser och lokalutrymmen samt den infrastruktur som krävs
för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland
de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete
med övriga tillsynsmyndigheter i hela unionen.
54. De allmänna villkoren för tillsynsmyndighetens ledamöter bör
fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a.
föreskriva att de ska utnämnas antingen av parlamentet eller av
medlemsstatens regering, och inkludera regler om deras personliga
kvalifikationer och ställning.
55. Detta direktiv är visserligen tillämpligt på nationella domstolars
verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att
övervaka behandling av personuppgifter i domstolar när detta sker som en
del av domstolarnas dömande verksamhet. Syftet är att garantera domarnas
oberoende när de utför sina rättsliga arbetsuppgifter. Detta undantag
bör dock vara inskränkt till genuint rättsliga verksamheter i
domstolsmål och inte vara tillämpligt på övriga verksamheter där domare
i enlighet med nationell lagstiftning kan medverka.
56. För att detta direktiv ska övervakas och verkställas på ett
enhetligt sätt i hela unionen bör tillsynsmyndigheterna i alla
medlemsstater ha samma uppdrag och effektiva befogenheter, bl.a.
befogenheter att utreda, vidta rättsligt bindande åtgärder, fatta beslut
och ålägga påföljder, särskilt vid klagomål från enskilda, samt delta i
rättsliga förfaranden.
57. Tillsynsmyndigheterna bör ta emot klagomål som lämnas in av
registrerade och utreda ärendena i fråga. Utredningen av ett klagomål
bör, med förbehåll för eventuell domstolsprövning, ske i den
utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten
bör i rimlig tid informera den registrerade om hur arbetet med
klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar
ytterligare utredning eller samordning med en annan tillsynsmyndighet
bör den registrerade underrättas även om detta.
58. Tillsynsmyndigheterna bör bistå varandra när de utför sitt uppdrag
och ge ömsesidigt bistånd för att se till att bestämmelser som antas i
enlighet med i detta direktiv efterlevs och tillämpas enhetligt.
59. Europeiska dataskyddsstyrelsen som inrättats genom förordning (EU)
..../2012 bör bidra till detta direktivs enhetliga tillämpning i hela
unionen, bl.a. genom att lämna råd till kommissionen och främja
samarbetet mellan tillsynsmyndigheterna i hela unionen.
60. Alla registrerade bör ha rätt att klaga hos en tillsynsmyndighet i
en medlemsstat och ha rätt till rättsmedel om de anser att deras
rättigheter enligt detta direktiv har kränkts eller om
tillsynsmyndigheten inte agerar med anledning av ett klagomål eller inte
agerar när så är nödvändigt för att skydda de registrerades rättigheter.
61. Alla organ, organisationer eller sammanslutningar som syftar till
att skydda registrerades rättigheter vad gäller skyddet av
personuppgifter och som inrättats i enlighet med lagstiftningen i en
medlemsstat bör ha rätt att på de registrerades vägnar, om de av dessa
vederbörligen fått detta uppdrag, klaga eller utöva rätten till
rättsmedel, eller att oberoende av en registrerad persons klagomål själv
klaga när de anser att ett personuppgiftsbrott har begåtts.
62. Varje fysisk eller juridisk person bör ha rätt till ett rättsmedel
mot beslut rörande dem som meddelats av en tillsynsmyndighet. En
eventuell talan mot en tillsynsmyndighet bör väckas vid domstolarna i
den medlemsstat där tillsynsmyndigheten har sitt säte.
63. Medlemsstaterna bör se till att domstolsförfarandena, för att vara
effektiva, medger att åtgärder snabbt vidtas för att åtgärda eller
förhindra överträdelser av detta direktiv.
64. Personer som lider skada till följd av otillåten behandling bör ha
rätt till ersättning av registeransvariga eller registerförare, som dock
kan befrias från skadeståndsskyldighet om de kan visa att de inte är
ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av
den registrerade eller i fall av force majeure.
65. Om någon fysisk eller juridisk person underlåter att följa detta
direktiv bör detta leda till påföljder, oavsett om personen i fråga
omfattas av privaträttslig eller offentligrättslig lagstiftning.
Medlemsstaterna bör se till att påföljderna är effektiva, proportionella
och avskräckande och ska vidta alla åtgärder som krävs för att
påföljderna ska verkställas.
66. I syfte att uppnå målen för detta direktiv, nämligen att skydda
fysiska personers grundläggande fri- och rättigheter, och i synnerhet
deras rätt till skydd av personuppgifter och för att säkra fritt utbyte
av personuppgifter mellan behöriga myndigheter inom unionen bör
befogenheten att anta akter i enlighet med artikel 290 i fördraget om
Europeiska unionens funktionssätt delegeras till kommissionen.
Delegerade akter bör framför allt antas i fråga om anmälningar av
personuppgiftsbrott till tillsynsmyndigheterna. Det är av särskild
betydelse att kommissionen genomför lämpliga samråd under sitt
förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den
förbereder och utarbetar delegerande akter, se till att relevanta
handlingar översänds samtidigt till Europaparlamentet och rådet och att
detta sker så snabbt som möjligt och på lämpligt sätt.
67. Genomförandebefogenheterna bör delegeras till kommissionen för att
förutsättningarna för genomförandet av detta direktiv ska bli enhetliga
i fråga om registeransvarigas och registerförares dokumentation,
uppgiftsbehandlingens säkerhet, särskilt vad gäller
krypteringsstandarder, anmälningar av personuppgiftsbrott till
tillsynsmyndigheten samt adekvata skyddsnivåer i ett tredjeland eller
ett territorium eller en behandlande sektor inom detta tredjeland eller
en internationell organisation. Dessa befogenheter bör utövas i enlighet
med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16
februari 2011 om fastställande av allmänna regler och principer för
medlemsstaternas kontroll av kommissionens utövande av sina
genomförandebefogenheter[36].
68. Mot bakgrund av att dessa rättsakter har allmän räckvidd bör
granskningsförfarandet användas åtgärder vidtas som gäller
registeransvarigas och registerförares dokumentation,
uppgiftsbehandlingens säkerhet, anmälningar av personuppgiftsbrott till
tillsynsmyndigheterna samt adekvat skyddsnivå i ett tredjeland eller ett
territorium eller en behandlande sektor inom detta tredjeland eller en
internationell organisation.
69. När tvingande skäl till skyndsamhet föreligger bör kommissionen i
vederbörligen motiverade fall anta omedelbart tillämpliga
genomförandeakter avseende ett tredjeland eller ett territorium eller en
behandlande sektor inom detta tredjeland eller en internationell
organisation vars skyddsnivå inte är adekvat.
70. Eftersom målen för detta direktiv, nämligen att skydda fysiska
personers grundläggande fri- och rättigheter, särskilt deras rätt till
skydd av personuppgifter, och för att säkerställa ett fritt utbyte av
personuppgifter mellan behöriga myndigheter inom unionen, inte i
tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför, på
grund av åtgärdens omfattning eller verkningar, bättre kan uppnås på
unionsnivå, kan unionen vidta åtgärder i enlighet med
subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I
enlighet med proportionalitetsprincipen i samma artikel går detta
direktiv inte utöver vad som är nödvändigt för att uppnå det målet.
71. Rambeslut 2008/977/RIF bör upphävas genom detta direktiv.
72. Särskilda bestämmelser som avser behöriga myndigheters behandling av
personuppgifter för att förebygga, utreda, avslöja eller lagföra brott
eller verkställa straffrättsliga påföljder som finns i unionsakter,
antagna före dagen för antagandet av detta direktiv, och som reglerar
behandlingen av personuppgifter mellan medlemsstaterna eller tillträde
för utsedda myndigheter i medlemsstater till informationssystem som
inrättats i enlighet med fördragen, bör kvarstå oförändrade.
Kommissionen bör utvärdera situationen vad gäller förhållandet mellan
detta direktiv och rättsakter, antagna före dagen för antagandet av
detta direktiv, som reglerar behandling av personuppgifter mellan
medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater
till informationssystem som inrättats i enlighet med fördragen, i syfte
att bedöma om dessa särskilda bestämmelser behöver anpassas till detta
direktiv.
73. För att säkerställa ett övergripande och enhetligt skydd av
personuppgifter i unionen, bör internationella avtal som medlemsstaterna
ingått före ikraftträdandet av detta direktiv ändras så att de
överensstämmer med detta direktiv.
74. Detta direktiv påverkar inte bestämmelserna om bekämpande av
sexuella övergrepp mot barn och sexuell exploatering av barn och
barnpornografi i Europaparlamentets och rådets direktiv 2011/92/EU av
den 13 december 2011[37].
75. I enlighet med artikel 6a i protokollet om Förenade kungarikets och
Irlands ställning med avseende på området med frihet, säkerhet och
rättvisa, som fogats till fördraget om Europeiska unionen och fördraget
om Europeiska unionens funktionssätt, är Förenade kungariket och Irland
inte bundna av bestämmelserna i detta direktiv, i det fall då Förenade
kungariket och Irland inte är bundna av bestämmelserna om formerna för
straffrättsligt samarbete eller polissamarbete inom ramen för vilka de
bestämmelser måste iakttas som fastställs på grundval av artikel 16 i
fördraget om Europeiska unionens funktionssätt.
76. I enlighet med artiklarna 2 och 2a i protokollet om Danmarks
ställning, som fogats till fördraget om Europeiska unionen och fördraget
om Europeiska unionens funktionssätt, är detta direktiv inte bindande
för eller tillämpligt på Danmark. Eftersom detta direktiv innebär en
utbyggnad av Schengenregelverket, som omfattas av avdelning V i tredje
delen av fördraget om Europeiska unionens funktionssätt, ska Danmark i
enlighet med artikel 4 i protokollet inom en tid av sex månader efter
antagandet av detta direktiv besluta huruvida landet ska genomföra det i
sin nationella lagstiftning.
77. När det gäller Island och Norge utgör detta direktiv en
vidareutveckling av Schengenregelverket i enlighet med avtalet mellan
Europeiska unionens råd och Republiken Island och Konungariket Norge om
dessa staters associering till genomförandet, tillämpningen och
utvecklingen av Schengenregelverket[38].
78. När det gäller Schweiz utgör detta direktiv, i enlighet med avtalet
mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska
edsförbundet om Schweiziska edsförbundets associering till
genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en
utveckling av bestämmelserna i Schengenregelverket[39].
79. När det gäller Liechtenstein utgör detta direktiv en
vidareutveckling av bestämmelserna i Schengenregelverket i enlighet med
protokollet mellan Europeiska unionen, Europeiska gemenskapen,
Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet
Liechtensteins anslutning till avtalet mellan Europeiska unionen,
Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska
edsförbundets associering till genomförandet, tillämpningen och
utvecklingen av Schengenregelverket[40].
80. Detta direktiv respekterar de grundläggande rättigheterna och
iakttar de principer som erkänns i Europeiska unionens stadga om de
grundläggande rättigheterna som fastställs i fördraget, bl.a. rätten
till respekt för privatlivet och familjelivet, rätten till skydd av
personuppgifter, rätt till ett effektivt rättsmedel och till en opartisk
domstol. De inskränkningar som gjorts av dessa rättigheter
överensstämmer med artikel 52.1 i stadgan eftersom de är nödvändiga för
att uppnå av unionen erkända mål av allmänt intresse eller för att
skydda andras fri- och rättigheter.
81. I enlighet med medlemsstaternas och kommissionens gemensamma
politiska förklaring om förklarande dokument av den 28 september 2011
har medlemsstaterna, i de fall detta är motiverat, åtagit sig att till
anmälan av införlivandeåtgärder bifoga ett eller flera dokument som
förklarar förhållandet mellan ett direktivs olika delar och motsvarande
delar i de nationella instrumenten för införlivande. När det gäller
detta direktiv anser lagstiftaren det vara motiverat att sådana dokument
lämnas in.
82. Detta direktiv bör inte hindra medlemsstaterna från att i nationell
straffprocesslagstiftning genomföra bestämmelser om registrerades
utövande av sina rättigheter vad gäller information, tillgång, rättelse,
radering och begränsning av sina personuppgifter som behandlas i samband
med straffrättsliga förfaranden samt eventuella begränsningar av dessa
rättigheter.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
ALLMÄNNA BESTÄMMELSER
Artikel 1 Syfte och mål
1. I detta direktiv fastställs bestämmelser om skydd för enskilda
personer med avseende på behandling av personuppgifter som utförs av
behöriga myndigheter i syfte att förebygga, utreda, avslöja eller
lagföra brott eller verkställa straffrättsliga påföljder.
2. Enligt detta direktiv ska medlemsstaterna
a) skydda fysiska personers grundläggande fri- och rättigheter, särskilt
deras rätt till skydd av personuppgifter, och
b) se till att behöriga myndigheters utbyte av personuppgifter inom
unionen varken begränsas eller förbjuds av skäl som rör skyddet för
enskilda personer med avseende på behandlingen av personuppgifter.
Artikel 2 Tillämpningsområde
1. Detta direktiv ska tillämpas på behandling av personuppgifter som
utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.
2. Direktivet ska tillämpas på sådan behandling av personuppgifter som
helt eller delvis företas på automatisk väg samt på annan behandling än
automatisk av personuppgifter som ingår i eller kommer att ingå i ett
register.
3. Direktivet ska inte tillämpas på behandling av personuppgifter
a) som utgör ett led i en verksamhet som inte omfattas av
unionslagstiftningen, särskilt avseende nationell säkerhet,
b) som utförs av unionens institutioner, organ och byråer.
Artikel 3 Definitioner
I detta direktiv gäller följande definitioner:
83. den registrerade : en fysisk person som är direkt eller indirekt
identifierad eller identifierbar, med medel som rimligen kan komma att
användas av den registeransvarige eller av någon annan fysisk eller
juridisk person, framför allt med hänvisning till ett
identifikationsnummer, en lokaliseringsuppgift eller
online-identifikatorer, eller till en eller fler faktorer som är
specifika för personens fysiska, fysiologiska, genetiska, psykiska,
ekonomiska, kulturella eller sociala identitet.
84. personuppgifter : varje upplysning som avser den registrerade.
85. behandling : varje åtgärd eller kombination av åtgärder beträffande
personuppgifter eller uppsättningar av personuppgifter, oberoende av om
de utförs automatiserat eller ej, såsom insamling, registrering,
organisering, strukturering, lagring, bearbetning eller ändring,
framtagning, läsning, användning, utlämning genom överföring, spridning
eller tillhandahållande på annat sätt, justering eller sammanförande,
begränsning, radering eller förstöring.
86. begränsning av behandling : markering av lagrade personuppgifter med
syftet att begränsa behandlingen av dessa i framtiden.
87. register : varje strukturerad samling av personuppgifter som är
tillgänglig enligt särskilda kriterier, oavsett om samlingen är
centraliserad, decentraliserad eller spridd på grundval av funktionella
eller geografiska förhållanden.
88. registeransvarig : en behörig offentlig myndighet som ensam eller
tillsammans med andra bestämmer ändamålen, villkoren och medlen för
behandlingen av personuppgifter; om ändamålen, villkoren och medlen för
behandlingen bestäms av unionslagstiftningen eller medlemsstaternas
lagstiftning kan den registeransvarige eller de särskilda kriterierna
för hur denne kan utses anges i unionslagstiftningen eller i
medlemsstaternas lagstiftning.
89. registerförare : en fysisk eller juridisk person, myndighet,
institution eller annat organ som behandlar personuppgifter för den
registeransvariges räkning.
90. mottagare : en fysisk eller juridisk person, myndighet, institution
eller annat organ till vilket uppgifterna utlämnas.
91. personuppgiftsbrott : ett säkerhetsbrott som leder till förstöring,
förlust eller ändringar genom olyckshändelse eller otillåtna handlingar
eller till obehörigt röjande av eller obehörig åtkomst till de
personuppgifter som överförts, lagrats eller på annat sätt behandlats.
92. genetiska uppgifter : alla uppgifter, oavsett typ, som rör sådana
kännetecken för en enskild person som är nedärvda eller har erhållits
under tidig prenatal utveckling.
93. biometriska uppgifter : alla uppgifter som rör en enskild persons
fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det
möjligt att identifiera honom eller henne individuellt, såsom
ansiktsbilder eller fingeravtrycksuppgifter.
94. uppgifter om hälsa : alla uppgifter som rör en enskild persons
fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som
tillhandahållits personen.
95. barn : alla personer som är yngre än arton år.
96. behöriga myndigheter : varje offentlig myndighet med behörighet att
förebygga, utreda, avslöja eller lagföra brott eller att verkställa
straffrättsliga påföljder.
97. tillsynsmyndighet : en myndighet som är etablerad av en medlemsstat
i enlighet med artikel 39.
KAPITEL II
Principer
Artikel 4 Principer om behandling av personuppgifter
Medlemsstaterna ska föreskriva att personuppgifter ska
a) behandlas på ett korrekt och lagligt sätt,
b) samlas in för särskilda, uttryckligt angivna och berättigade ändamål
och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål,
c) vara adekvata, relevanta och inte för omfattande i förhållande till
de syften för vilka de behandlas,
d) vara riktiga och om nödvändigt hållas aktuella; alla rimliga åtgärder
måste vidtas för att säkerställa att personuppgifter som är felaktiga i
förhållande till de ändamål för vilka de behandlas raderas eller rättas
utan dröjsmål,
e) förvaras i en form som förhindrar identifiering av den registrerade
under en längre tid än vad som är nödvändigt för de ändamål för vilka
personuppgifterna behandlas,
f) behandlas under ansvar av den registeransvarige, som ska se till att
kraven i de bestämmelser som antas i enlighet med detta direktiv uppfylls.
.
Artikel 5 Åtskillnad mellan olika kategorier av registrerade
1. Medlemsstaterna ska föreskriva att den registeransvarige, så långt
det är möjligt, ska göra en klar åtskillnad mellan personuppgifter som
rör olika kategorier av registrerade, såsom
a) personer avseende vilka det finns tungt vägande skäl att anta att de
har begått eller är på väg att begå ett brott,
b) personer som dömts för brott,
c) brottsoffer, eller personer avseende vilka det finns vissa
omständigheter som ger anledning att anta att de kan ha blivit offer för
ett brott,
d) andra som berörs av brottet, såsom personer som kan komma att kallas
att vittna i samband med brottsutredningar eller senare straffrättsliga
förfaranden, personer som kan ge information om brott, eller personer
med kontakter eller band till någon av de personer som avses i a och b, och
e) personer som inte passar in i någon av de kategorier som anges ovan.
Artikel 6 Olika grader av korrekthet och tillförlitlighet hos
personuppgifter
1. Medlemsstaterna ska se till att de olika kategorier av
personuppgifter som behandlas, så långt det är möjligt, åtskiljs i
enlighet med deras korrekthets- och tillförlitlighetsgrad.
2. Medlemsstaterna ska se till att personuppgifter som grundar sig på
fakta så långt det är möjligt åtskiljs från personuppgifter som grundar
sig på personliga bedömningar.
Artikel 7 När personuppgifter får behandlas
Medlemsstaterna ska föreskriva att behandling av personuppgifter är
tillåten endast om och i den mån som behandlingen är nödvändig
98. för att utföra en arbetsuppgift som utförs av en behörig myndighet,
på grundval av lagstiftning och för de ändamål som anges i artikel 1.1,
eller
99. för att fullgöra en rättslig förpliktelse som åvilar den
registeransvarige, eller
100. för att skydda intressen som är av grundläggande betydelse för den
registrerade eller en annan person, eller
101. för att avvärja ett omedelbart och allvarligt hot mot den allmänna
säkerheten.
Artikel 8 Behandling av särskilda kategorier av personuppgifter
1. Medlemsstaterna ska förbjuda behandling av personuppgifter som
avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller
övertygelse eller medlemskap i fackförening, samt behandling av
genetiska uppgifter eller uppgifter om hälsa eller sexualliv.
2. Punkt 1 ska inte gälla om
a) behandlingen godkänns av lagstiftning med bestämmelser om lämpliga
skyddsåtgärder, eller
b) behandlingen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade eller en annan person, eller
c) behandlingen rör uppgifter som på ett tydligt sätt har
offentliggjorts av den registrerade.
Artikel 9 Åtgärder som grundar sig på profilering och automatisk behandling
1. Medlemsstaterna ska föreskriva att åtgärder som har negativa
rättsliga följder för den registrerade eller som väsentligt berör honom
eller henne och som enbart grundas på en automatisk behandling av
uppgifter som är avsedd att bedöma vissa personliga egenskaper hos den
registrerade ska förbjudas om åtgärderna inte godkänns av lagstiftning
som också innehåller bestämmelser till skydd för den registrerades
berättigade intressen.
2. Automatisk behandling av personuppgifter som är avsedd att bedöma
vissa personliga egenskaper hos den registrerade ska inte grunda sig
enbart på de särskilda kategorier av personuppgifter som anges i artikel 8.
KAPITEL III
DEN REGISTRERADES RÄTTIGHETER
Artikel 10 Villkor för utövandet av den registrerades rättigheter
1. Medlemsstaterna ska föreskriva att den registeransvarige ska vidta
alla rimliga åtgärder för att ha en klar och tydlig och lätt tillgänglig
policy för behandlingen av personuppgifter och för utövandet av den
registrerades rättigheter.
2. Medlemsstaterna ska föreskriva att all information och kommunikation
som rör behandlingen av personuppgifter ska tillhandahållas av den
registeransvarige till den registrerade i en begriplig form, med
användning av klart och tydligt språk.
3. Medlemsstaterna ska föreskriva att den registeransvarige ska vidta
alla rimliga åtgärder för att fastställa förfaranden för
tillhandahållandet av den information som anges i artikel 11 och för
utövandet av den registrerades rättigheter enligt i artiklarna 12--17.
4. Medlemsstaterna ska föreskriva att den registeransvarige ska
informera den registrerade om uppföljningen av hans eller hennes begäran
utan onödigt dröjsmål.
5. Medlemsstaterna ska föreskriva att den information och de åtgärder
som vidtas av den registeransvarige på sådan begäran som avses i
punkterna 3 och 4 ska vara gratis. Om begäran är särskilt betungande,
särskilt på grund av dess repetitiva karaktär, storlek eller volym, får
den registeransvarige ta ut en avgift för att tillhandahålla den
information eller vidta den åtgärd som begärts, och får om denna avgift
inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den
registeransvarige att visa att begäran är särskilt betungande.
Artikel 11 Information till den registrerade
1. Om personuppgifter som rör en registrerad person samlas in, ska
medlemsstaterna se till att den registeransvarige vidtar alla lämpliga
åtgärder för att till den registrerade åtminstone lämna information om
följande:
a) Identitet och kontaktuppgifter för den registeransvarige och
uppgiftsskyddsombudet.
b) Ändamålen med den behandling för vilken personuppgifterna är avsedda.
c) Den period under vilken personuppgifterna kommer att lagras.
d) Förekomsten av rättigheten att av den registeransvarige begära
tillgång till och rättelse, radering eller begränsning av behandlingen
av de personuppgifter som rör den registrerade.
e) Rätten att inge ett klagomål till den tillsynsmyndighet som avses i
artikel 39, samt dess kontaktuppgifter.
f) Mottagarna eller de kategorier av mottagare som ska ta del av
personuppgifterna, inbegripet i tredjeländer eller internationella
organisationer.
g) Eventuell ytterligare information i den utsträckning som den
ytterligare informationen är nödvändig för att garantera en korrekt
behandling när det gäller den registrerade, med hänsyn tagen till de
särskilda omständigheter under vilka personuppgifter behandlas.
2. Om personuppgifterna samlas in från den registrerade ska den
registeransvarige, utöver den information som anges i punkt 1, till den
registrerade också lämna information om huruvida tillhandahållandet av
personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga
följderna om sådana uppgifter inte lämnas.
3. Den registeransvarige ska lämna den information som anges i punkt 1
a) vid den tidpunkt när personuppgifterna erhålls från den registrerade,
eller
b) om personuppgifterna inte samlas in från den registrerade, vid
tidpunkten för registreringen eller inom en rimlig period efter
insamlingen, med hänsyn tagen till de särskilda omständigheter under
vilka uppgifterna behandlas.
4. Medlemsstaterna får genom lagstiftning vidta åtgärder som gör att
informationen till den registrerade senareläggs, begränsas eller
utelämnas, i den utsträckning och så länge som, en sådan partiell eller
fullständig begränsning utgör en nödvändig och proportionell åtgärd i
ett demokratiskt samhälle med hänsyn tagen till den berörda personens
berättigade intressen, i syfte att
102. hindra obstruktion av officiella eller rättsliga utredningar,
förundersökningar eller förfaranden,
103. inte inverka menligt på förebyggande, upptäckt, utredning och
lagföring av brott eller verkställighet av straffrättsliga påföljder,
104. skydda allmän säkerhet,
105. skydda nationell säkerhet,
106. skydda andra personers fri- och rättigheter.
5. Medlemsstaterna får fastställa kategorier av uppgiftsbehandling som
helt eller delvis omfattas av undantagen i punkt 4.
Artikel 12 Den registrerades rätt till tillgång
1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att
av den registeransvarige få bekräftelse på huruvida personuppgifter som
rör den registrerade håller på att behandlas. Om sådana personuppgifter
håller på att behandlas ska den registeransvarige tillhandahålla
följande information:
a) Ändamålen med behandlingen.
b) De kategorier av personuppgifter som behandlingen gäller.
c) De mottagare eller kategorier av mottagare till vilka
personuppgifterna har lämnats ut, särskilt mottagare i tredjeländer.
d) Den period under vilken personuppgifterna kommer att lagras.
e) Förekomsten av rättigheten att av den registeransvarige begära
rättelse, radering eller begränsning av behandling av personuppgifter
som rör den registrerade,
f) Rätten att inge klagomål till tillsynsmyndigheten, samt
tillsynsmyndighetens kontaktuppgifter.
g) Information om vilka personuppgifter som behandlas och all
tillgänglig information om varifrån dessa uppgifter kommer.
2. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att
av den registeransvarige erhålla en kopia av de personuppgifter som
håller på att behandlas.
Artikel 13 Begränsningar av rätten till tillgång
107. Medlemsstaterna får anta lagstiftning som helt eller delvis
begränsar den registrerades rätt till tillgång i den utsträckning som en
sådan partiell eller fullständig begränsning utgör en nödvändig och
proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till
den berörda personens berättigade intressen, i syfte att
108. hindra obstruktion av officiella eller rättsliga utredningar,
förundersökningar eller förfaranden,
109. inte inverka menligt på förebyggande, upptäckt, utredning och
lagföring av brott eller verkställighet av straffrättsliga påföljder,
110. skydda allmän säkerhet,
111. skydda nationell säkerhet,
112. skydda andra personers fri- och rättigheter.
113. Medlemsstaterna får i lag fastställa kategorier av
uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 1.
114. I de fall som avses i punkterna 1 och 2 ska medlemsstaterna
föreskriva att den registeransvarige ska informera den registrerade
skriftligen om varje vägran att ge tillgång eller begränsning av
tillgången, om skälen för vägran och om möjligheterna att inge ett
klagomål till tillsynsmyndigheten och begära rättslig prövning.
Information om den sakliga eller rättsliga grunden för beslutet får
utelämnas om tillhandahållande av sådan information skulle undergräva
ett ändamål enligt punkt 1.
115. Medlemsstaterna ska se till att den registeransvarige dokumenterar
skälen till utelämnandet av informationen om de sakliga och rättsliga
grunderna för beslutet.
Artikel 14 Villkor för att utöva rätten till tillgång
1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att
begära att tillsynsmyndigheten kontrollerar att behandlingen är
tillåten, särskilt i de fall som anges i artikel 13.
2. Medlemsstaterna ska föreskriva att den registeransvarige ska
underrätta den registrerade om rätten att begära att tillsynsmyndigheten
ska ingripa enligt punkt 1.
3. När den rätt som avses i punkt 1 utövas, ska tillsynsmyndigheten
åtminstone underrätta den registrerade om att tillsynsmyndighetens alla
nödvändiga kontroller har ägt rum, och om resultatet när det gäller
huruvida den berörda behandlingen är tillåten.
Artikel 15 Rätt till rättelse
1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att
av den registeransvarige erhålla rättelse av personuppgifter som rör
vederbörande och som är felaktiga. Den registrerade ska ha rätt att få
till stånd komplettering av ofullständiga personuppgifter, i synnerhet
genom en korrigering.
2. Medlemsstaterna ska föreskriva att den registeransvarige ska
underrätta den registrerade skriftligen om eventuell vägran att medge
rättelse, om skälen för vägran och om möjligheterna att inge ett
klagomål till tillsynsmyndigheten och begära rättsmedel.
Artikel 16 Rätt till radering
116. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att
av den registeransvarige utverka att personuppgifter som rör
vederbörande raderas om behandlingen inte uppfyller kraven i de
bestämmelser som antas enligt artiklarna 4 a--e, 7 och 8 i det här
direktivet.
117. Den registeransvarige ska genomföra raderingen utan dröjsmål.
118. I stället för radering ska den registeransvarige märka
personuppgifterna om
119. den registrerade bestrider deras korrekthet, under en tid som ger
den registeransvarige möjlighet att kontrollera om personuppgifterna är
korrekta,
120. personuppgifterna måste bevaras för bevisändamål,
121. den registrerade motsätter sig att de raderas och i stället begär
att deras användning begränsas.
122. Medlemsstaterna ska föreskriva att den registeransvarige ska
underrätta den registrerade skriftligen om eventuell vägran att radera
eller eventuell märkning av behandlingen, om skälen till vägran och om
möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära
rättslig prövning.
Artikel 17 Den registrerades rättigheter i brottsutredningar och
straffrättsliga förfaranden
Medlemsstaterna får föreskriva att de rättigheter till information,
tillgång, rättelse, radering och begränsning av behandling som avses i
artiklarna 11--16 ska genomföras i enlighet med nationella bestämmelser
om rättsliga förfaranden om personuppgifterna ingår i ett domstolsbeslut
eller ett rättsligt protokoll som behandlas i samband med
brottsutredningar och straffrättsliga förfaranden.
KAPITEL IVREGISTERANSVARIG OCH REGISTERFÖRARE
AVSNITT 1ALLMÄNNA SKYLDIGHETER
ARTIKEL 18 Den registeransvariges ansvar
1. Medlemsstaterna ska föreskriva att den registeransvarige ska anta
policyer och vidta lämpliga åtgärder för att se till att behandlingen av
personuppgifter uppfyller kraven i de bestämmelser som antas i enlighet
med detta direktiv.
2. De åtgärder som avses i punkt 1 ska särskilt avse att
a) förvara den dokumentation som avses i artikel 23,
b) uppfylla kraven på förhandssamråd enligt artikel 26,
c) genomföra de krav på datasäkerhet som fastställs i artikel 27,
d) utse ett uppgiftsskyddsombud enligt artikel 30.
3. Den registeransvarige ska införa rutiner för att säkerställa
kontrollen av att de åtgärder som anges i punkt 1 i denna artikel är
verkningsfulla. Om det är proportionellt, ska denna kontroll utföras av
oberoende interna eller externa granskare.
Artikel 19 Inbyggt uppgiftsskydd och uppgiftsskydd som standard
1. Medlemsstaterna ska föreskriva att den registeransvarige, med
beaktande av dagens tillgängliga teknik och genomförandekostnaden, ska
genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden
på ett sådant sätt att behandlingen uppfyller kraven i bestämmelser som
antas i enlighet med detta direktiv och säkerställa skydd av den
registrerades rättigheter.
2. Den registeransvarige ska införa rutiner för att se till att, i
standardfallet, endast sådana personuppgifter som är nödvändiga för
behandlingens ändamål behandlas.
Artikel 20 Gemensamma registeransvariga
Om en registeransvarig fastställer ändamålen, villkoren och medlen för
behandlingen av personuppgifter tillsammans med andra, ska
medlemsstaterna föreskriva att de gemensamma registeransvariga måste
fastställa sitt respektive ansvar för att uppfylla villkoren i de
bestämmelser som antas i enlighet med detta direktiv, särskilt avseende
förfarandena och rutinerna för den registrerades utövande av sina
rättigheter, genom ett arrangemang som de enas om sinsemellan.
Artikel 21 Registerförare
123. Om behandlingen utförs på uppdrag av en registeransvarig ska
medlemsstaterna föreskriva att den registeransvarige måste välja en
registerförare som ger tillräckliga garantier för att genomföra lämpliga
tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt
att behandlingen uppfyller kraven i de bestämmelser som antas i enlighet
med detta direktiv och säkerställa skyddet av den registrerades rättigheter.
124. Medlemsstaterna ska föreskriva att en registerförares behandling av
uppgifter ska regleras av en rättsligt bindande handling mellan
registerföraren och den registeransvarige och att det i handlingen
särskilt ska föreskrivas att registerföraren endast får handla på
instruktioner från den registeransvarige, särskilt om överföringen av de
personuppgifter som används är förbjuden.
125. Om en registerförare behandlar andra personuppgifter än de som den
registeransvarige gett instruktioner om ska registerföraren anses vara
en registeransvarig med avseende på den behandlingen och ska omfattas av
de bestämmelser om gemensamma registeransvariga som fastställs i artikel 20.
Artikel 22 Behandling under den registeransvariges och registerförarens
överinseende
Medlemsstaterna ska föreskriva att registerföraren och personer som
utför arbete under den registeransvariges eller registerförarens
överinseende, och som får tillgång till personuppgifter, endast får
behandla dessa enligt instruktion från den registeransvarige, eller där
så krävs enligt unionslagstiftningen eller medlemsstaternas lagstiftning.
Artikel 23 Dokumentation
1. Medlemsstaterna ska föreskriva att varje registeransvarig och
registerförare ska bevara dokumentation om alla system och förfaranden
för uppgiftsbehandling som ligger inom deras ansvarsområde.
2. Dokumentationen ska innehålla åtminstone följande uppgifter:
a) Namn och kontaktuppgifter för den registeransvarige, eller eventuella
gemensamma registeransvariga eller registerförare.
b) Ändamålen med behandlingen.
c) Mottagarna eller de kategorier av mottagare som ska ta del av
personuppgifterna.
d) Överföringar av uppgifter till ett tredjeland eller en internationell
organisation, inbegripet identifiering av tredjelandet eller den
internationella organisationen.
3. Den registeransvarige och registerföraren ska på begäran göra
dokumentationen tillgänglig för tillsynsmyndigheten.
Artikel 24 Registerföring
1. Medlemsstaterna ska se till att register förs över åtminstone
följande typer av behandlingar: insamling, ändring, läsning, utlämning,
sammanförande eller radering. Registren över läsning och utlämning ska
särskilt visa ändamål, datum och tidpunkt för sådan behandling och i
möjligaste mån identifikationen av den person som har läst eller lämnat
ut personuppgifter.
2. Registren får endast användas för att kontrollera om behandlingen av
uppgifterna är tillåten, för egenkontroll samt för att garantera
dataintegritet och datasäkerhet.
Artikel 25 Samarbete med tillsynsmyndigheten
1. Medlemsstaterna ska föreskriva att den registeransvarige och
registerföraren på begäran ska samarbeta med tillsynsmyndigheten i dess
tjänsteutövning, särskilt genom att tillhandahålla all den information
som krävs för att tillsynsmyndigheten ska kunna utföra sina uppgifter.
2. Som reaktion på tillsynsmyndighetens utövande av sina befogenheter
enligt artikel 46 a och b ska den registeransvarige och registerföraren
svara tillsynsmyndigheten inom en rimlig period. Svaret ska inbegripa en
beskrivning av de åtgärder som vidtagits och de resultat som uppnåtts
som svar på tillsynsmyndighetens anmärkningar.
Artikel 26 Förhandssamråd med tillsynsmyndigheten
126. Medlemsstaterna ska se till att den registeransvarige eller
registerföraren samråder med tillsynsmyndigheten innan man behandlar
personuppgifter som ska ingå i ett nytt register som ska inrättas, om
a) särskilda kategorier av uppgifter enligt artikel 8 ska behandlas,
b) behandlingens typ, särskilt användning av ny teknik, rutiner eller
förfaranden, i övrigt innebär särskilda risker för de registrerades
grundläggande fri- och rättigheter och särskilt skyddet av personuppgifter.
127. Medlemsstaterna får föreskriva att tillsynsmyndigheten ska upprätta
en förteckning över de olika typer av uppgiftsbehandling som omfattas av
förhandssamråd enligt punkt 1.
AVSNITT 2DATASÄKERHET
ARTIKEL 27 Säkerhet i samband med behandlingen av uppgifter
1. Medlemsstaterna ska föreskriva att den registeransvarige och
registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder
för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som
behandlingen medför och karaktären hos de uppgifter som ska skyddas, med
hänsyn till dagens tillgängliga teknik och kostnaden för att vidta
åtgärderna.
2. När det gäller automatisk uppgiftsbehandling ska varje medlemsstat
föreskriva att den registeransvarige eller registerföraren, efter en
bedömning av riskerna, ska vidta åtgärder i syfte att
128. vägra varje obehörig person åtkomst till datorutrustning som
används för behandling av personuppgifter (åtkomstskydd för utrustning),
129. förhindra att datamedier läses, kopieras, ändras eller avlägsnas av
obehöriga (kontroll av datamedier),
130. förhindra obehörig registrering av data och obehörig kännedom om,
ändring eller radering av lagrade personuppgifter,
131. förhindra att obehöriga kan använda system för automatisk
databehandling med hjälp av utrustning för dataöverföring
(användarkontroll),
132. se till att personer som är behöriga att använda ett system för
automatisk databehandling endast har tillgång till uppgifter som
omfattas av deras behörighet (åtkomstkontroll),
133. se till att det kan kontrolleras och fastställas till vilka organ
personuppgifter har överförts eller kan överföras och för vilka organ
uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med
hjälp av utrustning för dataöverföring (kommunikationskontroll),
134. se till att det finns möjlighet att i efterhand kontrollera och
fastställa vilka personuppgifter som förts in i ett automatiskt
databehandlingssystem, samt när och av vem uppgifterna infördes
(indatakontroll),
135. förhindra obehörig läsning, kopiering, ändring eller radering av
personuppgifter i samband med överföring av sådana uppgifter eller under
transport av databärare (transportkontroll),
136. se till att de system som används kan återställas vid störningar
(återställande),
137. se till att system fungerar, att funktionsfel rapporteras
(driftsäkerhet) och att de lagrade personuppgifterna inte kan förvanskas
genom funktionsfel i systemet (dataintegritet).
3. När så är nödvändigt får kommissionen anta genomförandeakter i syfte
att precisera kraven i punkterna 1 och 2 för olika situationer, särskilt
krypteringsstandarder. Genomförandeakterna ska antas i enlighet med det
granskningsförfarande som avses i artikel 57.
Artikel 28 Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten
1. Medlemsstaterna ska föreskriva att den registeransvarige vid ett
personuppgiftsbrott utan onödigt dröjsmål och, om så är möjligt, inte
senare än 24 timmar efter att ha fått vetskap om det, ska anmäla
personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan inte görs
inom 24 timmar ska den registeransvarige på begäran lämna en utförlig
motivering till tillsynsmyndigheten.
2. Registerföraren ska underrätta och informera den registeransvarige
omedelbart efter att ha fått vetskap om ett personuppgiftsbrott.
3. Den anmälan som avses i punkt 1 ska åtminstone
a) beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av
och antalet registrerade som berörs samt de kategorier av och antalet
uppgiftsposter som berörs,
b) förmedla identiteten på och kontaktuppgifterna för det
uppgiftsskyddsombud som avses i artikel 30 eller andra kontaktpunkter
där mer information kan erhållas,
c) rekommendera åtgärder för att begränsa de möjliga negativa effekterna
av personuppgiftsbrottet,
d) beskriva de möjliga konsekvenserna av personuppgiftsbrottet,
e) beskriva de åtgärder som den registeransvarige föreslagit eller
vidtagit för att åtgärda personuppgiftsbrottet.
4. Medlemsstaterna ska föreskriva att den registeransvarige ska
dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring
brottet, dess effekter och de korrigerande åtgärder som vidtagits.
Dokumentationen ska göra det möjligt för tillsynsmyndigheten att
kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast
innehålla den information som behövs för detta ändamål.
5. Kommissionen ska ha befogenhet att anta delegerade akter enligt
artikel 56 i syfte att närmare precisera kriterierna och kraven för
fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt
för de särskilda omständigheter under vilka en registeransvarig och en
registerförare ska anmäla personuppgiftsbrottet.
6. Kommissionen får fastställa standardformatet för sådana anmälningar
till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet
och formen och villkoren för den dokumentation som avses i punkt 4,
inbegripet tidsgränserna för raderingen av informationen i denna.
Genomförandeakterna ska antas i enlighet med det granskningsförfarande
som avses i artikel 57.2.
Artikel 29 Information till den registrerade om ett personuppgiftsbrott
1. Medlemsstaterna ska föreskriva att den registeransvarige, om
personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av
den registrerades personuppgifter eller integritet, efter den anmälan
som avses i artikel 28 utan onödigt dröjsmål ska informera den
registrerade om personuppgiftsbrottet.
2. Den information till den registrerade som avses i punkt 1 ska
innehålla en beskrivning av personuppgiftsbrottets karaktär och
åtminstone de upplysningar och de rekommendationer som anges i artikel
28.3 b och c.
3. Det ska inte vara ett krav att informera den registrerade om
personuppgiftsbrottet om den registeransvarige tillfredsställande visar
för den behöriga myndigheten att den har genomfört lämpliga tekniska
skyddsåtgärder och att dessa åtgärder tillämpats på de personuppgifter
som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder
ska göra uppgifterna oläsbara för alla personer som inte är behöriga att
få tillgång till uppgifterna.
4. Informationen till den registrerade kan senareläggas, begränsas eller
utelämnas av de skäl som anges i artikel 11.4.
AVSNITT 3UPPGIFTSSKYDDSOMBUD
ARTIKEL 30 Utnämning av uppgiftsskyddsombudet
138. Medlemsstaterna ska föreskriva att den registeransvarige eller
registerföraren ska utnämna ett uppgiftsskyddsombud.
139. Uppgiftsskyddsombudet ska utnämnas på grundval av yrkesmässiga
kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och
praxis avseende uppgiftsskydd samt förmåga att fullgöra de uppgifter som
avses i artikel 32.
140. Uppgiftsskyddsombudet får utnämnas för flera enheter, med hänsyn
tagen till den behöriga myndighetens struktur.
Artikel 31 Uppgiftsskyddsombudets ställning
141. Medlemsstaterna ska föreskriva att den registeransvarige eller
registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt
sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.
142. Den registeransvarige eller registerföraren ska se till att
uppgiftsskyddsombudet ges möjlighet att fullgöra sina skyldigheter och
utföra sina uppgifter enligt artikel 32 på ett verkningsfullt och
oberoende sätt, och att han eller hon inte tar emot några instruktioner
när det gäller utövandet av funktionen.
Artikel 32 Uppgiftsskyddsombudets uppgifter
Medlemsstaterna ska föreskriva att den registeransvarige eller
registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande
uppgifter:
143. Att informera och ge råd till den registeransvarige eller
registerföraren om deras skyldigheter enligt de bestämmelser som antas i
enlighet med detta direktiv och att dokumentera denna verksamhet och de
inkomna svaren.
144. Att övervaka genomförandet och tillämpningen av policyn för skydd
av personuppgifter, inbegripet ansvarstilldelning, utbildning av
personal som deltar i behandlingen och tillhörande granskning.
145. Att övervaka genomförandet och tillämpningen av de bestämmelser som
antas i enlighet med detta direktiv, särskilt när det gäller de krav som
avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet
samt information till de registrerade och deras begäranden i utövandet
av sina rättigheter enligt de bestämmelser som antas i enlighet med
detta direktiv.
146. Att se till att den dokumentation som avses i artikel 23 bevaras.
147. Att övervaka dokumentationen om, anmälan av och informationen om
personuppgiftsbrott enligt artiklarna 28 och 29.
148. Att övervaka ansökan till tillsynsmyndigheten om förhandssamråd, om
så krävs enligt artikel 26.
149. Att övervaka svaret på begäranden från tillsynsmyndigheten, och,
inom uppgiftsskyddsombudets behörighet, att samarbeta med
tillsynsmyndigheten på den senares begäran eller på
uppgiftsskyddsombudets eget initiativ.
h) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör
behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på
uppgiftsskyddsombudets eget initiativ.
KAPITEL V ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER
INTERNATIONELLA ORGANISATIONER
Artikel 33 Allmänna principer för överföringar av personuppgifter
Medlemsstaterna ska föreskriva att de behöriga myndigheterna endast får
överföra personuppgifter som håller på att behandlas eller är avsedda
att behandlas efter det att de överförts till ett tredjeland eller en
internationell organisation, inklusive för vidare överföring till ett
annat tredjeland eller en annan internationell organisation, under
förutsättning att
a) överföringen är nödvändig för att förebygga, utreda, avslöja eller
lagföra brott eller verkställa straffrättsliga påföljder, och
b) att den registeransvarige och registerföraren följer villkoren i
detta kapitel.
Artikel 34 Överföring efter beslut om adekvat skyddsnivå
1. Medlemsstaterna ska föreskriva att överföring av personuppgifter till
ett tredjeland eller en internationell organisation får ske om
kommissionen i enlighet med artikel 41 i förordning (EU) nr ..../2012
eller i enlighet med punkt 3 i denna artikel beslutar att ett
tredjeland, e tt territorium eller en behandlande sektor inom
tredjelandet, eller en internationell organisation utgör en garant för
en adekvat skyddsnivå. I dessa fall ska det inte krävas något
ytterligare tillstånd.
2. Om inget beslut enligt artikel 41 i förordning (EU) nr ..../2012
föreligger ska kommissionen bedöma om skyddsnivån är adekvat, och då ta
hänsyn till
a) rättsstatsprincipen, befintlig allmän och sektorsspecifik
lagstiftning inom områden som allmän säkerhet, försvar, nationell
säkerhet och straffrätt och säkerhetsbestämmelser som ska följas i det
tredjeland eller inom den internationella organisation som berörs, samt
huruvida det finns faktiska och lagstadgade rättigheter inklusive
tillgång till effektiv administrativ eller rättslig prövning för de
registrerade, i synnerhet för registrerade som är bosatta inom
Europeiska unionen och vars personuppgifter överförs.
(b) huruvida det finns en eller flera effektivt fungerande oberoende
tillsynsmyndigheter i tredjelandet eller inom den internationella
organisationen med ansvar för att se till att bestämmelserna för
uppgiftsskydd följs, ge de registrerade råd och assistans när det gäller
utövandet av deras rättigheter och samarbeta med unionens och
medlemsstaternas tillsynsmyndigheter, och
c) vilka internationella åtaganden tredjelandet eller den
internationella organisationen har gjort.
3. Kommissionen får inom tillämpningsområdet för detta direktiv besluta
att ett tredjeland, ett territorium eller en behandlande sektor inom
tredjelandet, eller en internationell organisation utgör en garant för
en adekvat skyddsnivå i den mening som avses i punkt 2.
Genomförandeakterna ska antas i enlighet med det granskningsförfarande
som avses i artikel 57.2.
4. Den geografiska och sektorsmässiga tillämpningen ska regleras i
genomförandeakten, där det också i förekommande fall ska anges vilken
myndighet som är tillsynsmyndighet enligt punkt 2 b.
5. Kommissionen får inom tillämpningsområdet för detta direktiv
fastställa att ett tredjeland, ett territorium eller en behandlande
sektor inom tredjelandet i fråga eller en internationell organisation
inte kan garantera en adekvat skyddsnivå i den mening som avses i punkt
2, särskilt om den relevanta allmänna eller sektorsspecifika
lagstiftning som tillämpas i tredjelandet eller av den internationella
organisationen inte garanterar faktiska och lagstadgade rättigheter
inklusive tillgång till effektiv administrativ eller rättslig prövning
för de registrerade, i synnerhet för de registrerade vars
personuppgifter överförs. Genomförandeakterna ska antas enligt det
granskningsförfarande som avses i artikel 57.2 eller, i fall som är
ytterst brådskande för den individ vars personuppgifter behöver skyddas,
enligt förfarandet i artikel 57.3.
6. Medlemsstaterna ska säkerställa att om kommissionen fattar beslut
enligt punkt 5 får inga uppgifter överföras till tredjelandet,
territoriet eller den behandlande sektorn inom tredjelandet, eller den
internationella organisationen i fråga; detta ska inte påverka
överföringar enligt artiklarna 35.1 eller 36. Kommissionen ska vid
lämplig tidpunkt samråda med tredjelandet eller den internationella
organisationen i fråga för att lösa den situation som uppstått som följd
av beslutet enligt punkt 5.
7. Kommissionen ska offentliggöra en förteckning i Europeiska unionens
officiella tidning över de tredjeländer, territorier och behandlande
sektorer i tredjeländer eller de internationella organisationer för
vilka den har beslutat att en adekvat skyddsnivå inte kan garanteras.
8. Kommissionen ska övervaka tillämpningen av de genomförandeakter som
avses i punkterna 3 och 5.
Artikel 35 Överföring med stöd av lämpliga skyddsåtgärder
1. Om kommissionen inte har fattat något beslut enligt artikel 34 ska
medlemsstaterna föreskriva att överföring av personuppgifter till en
mottagare i ett tredjeland eller en internationell organisation får äga
rum om
a) lämpliga skyddsåtgärder för personuppgifter har vidtagits genom ett
rättsligt bindande instrument, eller
b) den registeransvarige eller registerföraren har bedömt alla
omständigheter kring en överföring av personuppgifter och dragit
slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.
2. Beslutet om överföringar enligt punkt 1 b måste göras av
vederbörligen bemyndigad personal. De måste också dokumenteras, och
dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten.
Artikel 36 Undantag
Genom undantag från artiklarna 34 och 35 ska medlemsstaterna föreskriva
att överföring av personuppgifter till ett tredjeland eller en
internationell organisation endast får ske om något av följande villkor
är uppfyllda:
a) Överföringen är nödvändig för att skydda intressen som är av
grundläggande betydelse för den registrerade eller för en annan person.
b) Överföringen är nödvändig för att skydda den registrerades
berättigade intressen om lagstiftningen i den medlemsstat som överför
uppgifterna föreskriver detta.
c) Överföringen av uppgifter är avgörande för att avvärja en omedelbar
och allvarlig fara för den allmänna säkerheten i en medlemsstat eller
ett tredjeland.
d) Överföring är i ett enskilt fall nödvändig för att förebygga, utreda,
avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.
e) Överföring är i ett enskilt fall nödvändig för att fastslå, göra
gällande eller försvara rättsliga anspråk som hänför sig till
förebyggande, utredning, avslöjande eller lagföring av brott eller
verkställandet av en specifik straffrättslig påföljd.
Artikel 37 Särskilda villkor för överföring av personuppgifter
Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta
mottagaren av personuppgifter om eventuella begränsningar av
behandlingen av uppgifterna och vidta alla rimliga åtgärder för att
säkerställa att dessa begränsningar följs.
Artikel 38 Internationellt samarbete för skydd av personuppgifter
1. I förbindelser med tredjeland och internationella organisationer ska
kommissionen och medlemsstaterna vidta lämpliga åtgärder för att
150. utveckla ändamålsenliga rutiner för det internationella samarbetet
för att underlätta en effektiv tillämpning av lagstiftningen om skydd av
personuppgifter,
151. på internationell nivå erbjuda ömsesidigt bistånd för en effektiv
tillämpning av lagstiftningen om skydd av personuppgifter, bland annat
genom rutiner för anmälan, hänskjutande av klagomål, assistans vid
utredningar samt informationsutbyte, med iakttagande av lämpliga
skyddsåtgärder för personuppgifter samt skyddet av andra grundläggande
rättigheter och friheter,
152. involvera berörda aktörer i diskussioner och åtgärder som syftar
till att öka det internationella samarbetet när det gäller tillämpningen
av lagstiftningen om skydd av personuppgifter,
153. främja utbyte och dokumentation om lagstiftning och praxis för
skydd av personuppgifter.
2. Vid tillämpningen av punkt 1 ska kommissionen vidta lämpliga åtgärder
för att vidareutveckla förbindelserna med tredjeländer och
internationella organisationer, och särskilt med deras
tillsynsmyndigheter, i de fall då kommissionen har bedömt att motparten
i fråga garanterar en adekvat skyddsnivå i den mening som avses i
artikel 34.3.
KAPITEL VI OBEROENDE TILLSYNSMYNDIGHETER
AVSNITT 1OBEROENDE STÄLLNING
ARTIKEL 39 Tillsynsmyndighet
154. Varje medlemsstat ska utse en eller flera offentliga myndigheter
som ska vara ansvariga för att övervaka tillämpningen av de bestämmelser
som antas som en följd av detta direktiv och medverka till direktivets
enhetliga tillämpning i hela unionen, i syfte att skydda fysiska
personers grundläggande fri- och rättigheter i samband med behandling av
deras personuppgifter samt underlätta det fria flödet av sådana
uppgifter inom unionen. För detta ändamål ska tillsynsmyndigheterna
samarbeta såväl sinsemellan som med kommissionen.
155. En medlemsstat får föreskriva att den tillsynsmyndighet som har
inrättats i medlemsstaten enligt förordning (EG) ..../2012 tar på sig de
arbetsuppgifter som ska utföras av den tillsynsmyndighet som inrättas
enligt punkt 1 i denna artikel.
156. Om det finns fler än en tillsynsmyndighet i en medlemsstat ska
medlemsstaten utse den tillsynsmyndighet som ska fungera som enda
kontaktpunkt, så att myndigheten i fråga kan delta effektivt i
Europeiska dataskyddsstyrelsens arbete.
Artikel 40 Oberoende
1. Medlemsstaterna ska se till att tillsynsmyndigheterna är fullständigt
oberoende i utövandet av de uppdrag och befogenheter som de anförtrotts.
2. Medlemsstaterna ska föreskriva att tillsynsmyndigheternas ledamöter i
sin tjänsteutövning varken får begära eller ta emot instruktioner från
någon.
3. Tillsynsmyndighetens ledamöter ska avstå från alla handlingar som
står i strid med deras tjänsteutövning och under sin mandattid avstå
från all annan avlönad eller oavlönad yrkesverksamhet som står i strid
med deras uppdrag.
4. Efter sin mandattid ska tillsynsmyndighetens ledamöter visa
integritet och omdöme i fråga om att acceptera utnämningar och ta emot
förmåner.
5. Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över
tillräckliga mänskliga, tekniska och finansiella resurser samt de
lokaler och den infrastruktur som behövs för att myndigheten ska kunna
utöva sina uppdrag och befogenheter, inklusive inom ramen för det
ömsesidiga biståndet, samarbetet och det aktiva deltagandet i Europeiska
dataskyddsstyrelsens verksamhet.
6 Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över
egen personal, som ska tillsättas av och ta instruktioner från
tillsynsmyndighetens chef.
7. Medlemsstaterna ska se till att tillsynsmyndigheterna också blir
föremål för finansiell kontroll, utan att detta påverkar
tillsynsmyndigheternas oberoende. Medlemsstaterna ska också se till att
tillsynsmyndigheterna förfogar över en egen årsbudget. Denna budget ska
offentliggöras.
Artikel 41 Allmänna villkor för tillsynsmyndighetens ledamöter
1. Varje medlemsstat ska fastställa att tillsynsmyndighetens ledamöter
ska utses antingen av medlemsstatens parlament eller av dess regering.
2. Ledamöterna ska utses bland personer vars oberoende är ställt utom
varje tvivel och som har erkänd erfarenhet och sakkunskap för att utföra
sitt uppdrag.
3. Varje ledamots uppdrag ska i enlighet med punkt 5 upphöra då
mandattiden löper ut eller då ledamoten avgår eller avsätts från sin tjänst.
4. En ledamot kan avsättas eller berövas rätten till pension eller andra
förmåner av den behöriga nationella domstolen om han eller hon inte
längre uppfyller villkoren för att utöva uppdraget eller har gjort sig
skyldig till ett allvarligt fel.
5. När mandattiden löper ut eller ledamoten avgår ska han eller hon
fortsätta utföra sina uppdrag tills en ny ledamot tillsatts.
Artikel 42 Regler för inrättandet av en tillsynsmyndighet
Varje medlemsstat ska fastställa följande i lag:
a) Att en tillsynsmyndighet ska inrättas och vilken ställning denna
myndighet ska ha, i enlighet med artiklarna 39 och 40.
b) Vilken kompetens, erfarenhet och sakkunskap som krävs för att utöva
uppdragen som ledamot vid tillsynsmyndigheten.
c) Regler och förfaranden för att utse tillsynsmyndighetens ledamöter
samt regler om vilka handlingar och vilken yrkesverksamhet som ska vara
oförenliga med ledamöternas befogenheter under deras mandattid.
d) Mandattiden för tillsynsmyndighetens ledamöter, vilken inte får
understiga fyra år utom vid tillsättandet av de första ledamöterna efter
det att detta direktiv trätt i kraft, då mandattiden får vara kortare
för några av ledamöterna.
e) Huruvida myndighetens ledamöter får ges förnyat mandat.
f) Vilka bestämmelser och allmänna villkor som myndighetens ledamöter
och personal omfattas av.
g) Bestämmelser och förfaranden för när tillsynsmyndighetens ledamöter
ska fråntas sitt uppdrag, bland annat om de inte längre uppfyller
villkoren för att utöva uppdraget eller om de gjort sig skyldiga till
ett allvarligt fel.
Artikel 43 Tystnadsplikt
Medlemsstaterna ska föreskriva att tillsynsmyndighetens ledamöter och
personal både under och efter sin mandattid respektive anställning ska
omfattas av tystnadsplikt vad avser konfidentiell information som har
kommit till deras kännedom under tjänsteutövningen.
AVSNITT 2UPPDRAG OCH BEFOGENHETER
Artikel 44 Behörighet
1. Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inom
dess territorium ska utöva de befogenheter som tilldelas den i enlighet
med detta direktiv.
2. Medlemsstaterna ska föreskriva att tillsynsmyndigheterna inte ska
vara behöriga att utöva tillsyn över domstolar som behandlar
personuppgifter som en del av sin dömande verksamhet.
Artikel 45 Uppdrag
1. Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ansvara
för följande:
157. Övervaka och garantera tillämpningen av de bestämmelser som antas
till följd av detta direktiv och dess genomförandeåtgärder.
158. Ta emot klagomål från registrerade eller från sammanslutningar som
representerar registrerade och handlar på deras uppdrag enligt artikel
50, där så är lämpligt undersöka sakfrågan och inom rimlig tid
underrätta den registrerade eller sammanslutningen om hur behandlingen
av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om
det krävs ytterligare undersökningar eller samordning med en annan
tillsynsmyndighet.
159. Kontrollera att behandling av uppgifter enligt artikel 14 är
tillåten och inom en rimlig period informera den registrerade om
resultatet av kontrollen eller om skälen till att kontrollen inte har
genomförts.
160. Utbyta ömsesidigt bistånd med andra tillsynsmyndigheter och se till
att de bestämmelser som antagits till följd av detta direktiv tillämpas
och verkställs enhetligt.
161. Utföra undersökningar på eget initiativ, på grundval av klagomål
eller på begäran av en annan tillsynsmyndighet och, om en undersökning
grundar sig på ett klagomål som lämnats in av en registrerad, underrätta
den registrerade om resultatet inom rimlig tid.
162. Följa sådan utveckling som påverkar skyddet av personuppgifter,
bland annat inom informations- och kommunikationsteknik.
163. Ge råd till institutioner och organ i medlemsstaterna i fråga om
lagstiftningsåtgärder och administrativa åtgärder som rör skyddet av
enskildas fri- och rättigheter i samband med behandling av personuppgifter.
164. Ge råd om behandling av personuppgifter enligt artikel 26.
165. Delta i Europeiska dataskyddsstyrelsens verksamhet.
2. Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens
medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om
behandlingen av personuppgifter. Särskild uppmärksamhet ska ägnas åt
verksamhet som riktar sig till barn.
3. En tillsynsmyndighet ska på begäran ge råd till registrerade om hur
de ska utöva sina rättigheter enligt de bestämmelser som antagits till
följd av detta direktiv, och ska om så är lämpligt samarbeta med
tillsynsmyndigheter i andra medlemsstater för detta ändamål.
4. För klagomål enligt punkt 1 b ska tillsynsmyndigheten bistå med ett
särskilt formulär för ändamålet, vilket ska kunna fyllas i elektroniskt;
det elektroniska formuläret ska inte utesluta andra kommunikationsformer.
5. Medlemsstaterna ska föreskriva att tillsynsmyndighetens tjänster ska
vara avgiftsfria för den registrerade.
6. Om en registrerad begär tjänster som är särskilt betungande, till
exempel på grund av repetitiv karaktär, får tillsynsmyndigheten ta ut en
avgift eller avstå från att utföra de tjänster som den registrerade
begär. I så fall ska det åligga tillsynsmyndigheten att visa att begäran
är särskilt betungande.
Artikel 46 Befogenheter
Medlemsstaterna ska föreskriva att varje tillsynsmyndighet särskilt
förses med
a) utredande befogenheter, så som befogenhet att få tillgång till
uppgifter som blir föremål för behandling och befogenhet att samla in
all information som är nödvändig för att utföra tillsynen,
b) befogenheter att agera, bland annat genom att lägga fram yttranden
innan uppgifter behandlas, se till att sådana yttranden offentliggörs på
lämpligt sätt, beordra att uppgifter ska begränsas, raderas eller
förstöras, besluta om tillfälligt eller definitivt förbud mot
behandling, varna eller tillrättavisa den registeransvarige eller
hänvisa saken till nationella parlament eller till andra politiska
institutioner,
c) befogenhet att inleda rättsliga förfaranden när bestämmelser som har
antagits till följd av detta direktiv har överträtts, eller att
uppmärksamma de rättsliga myndigheterna på dessa överträdelser.
Artikel 47 Verksamhetsrapport
Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska upprätta
en årlig rapport om sin verksamhet. Rapporten ska göras tillgänglig för
kommissionen och Europeiska dataskyddsstyrelsen.
KAPITEL VIISAMARBETE
Artikel 48 Ömsesidigt bistånd
1. Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ge
varandra ömsesidigt bistånd i arbetet för att genomföra och tillämpa de
bestämmelser som antas till följd av detta direktiv på ett enhetligt
sätt, och ska införa åtgärder som bidrar till ett verkningsfullt
samarbete. Som en del av det ömsesidiga biståndet ska
tillsynsmyndigheterna bland annat kunna begära information från varandra
och bistå varandra i tillsynsarbetet, till exempel genom at begära att
den andra myndigheten utför förhandssamråd, inspektioner och utredningar.
2. Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska vidta
alla lämpliga åtgärder för att besvara en begäran från en annan
tillsynsmyndighet.
3. Den tillsynsmyndighet som tagit emot begäran ska meddela den
myndighet som begäran kommer ifrån om resultatet eller, i förekommande
fall, om hur de åtgärder som vidtagits för att tillmötesgå begäran
fortskrider.
Artikel 49 Europeiska dataskyddsstyrelsens arbetsuppgifter
1. Europeiska dataskyddsstyrelsen, som inrättats genom förordning (EU)
..../2012, ska i samband med behandling av uppgifter inom
tillämpningsområdet för detta direktiv ha följande arbetsuppgifter:
166. Ge kommissionen råd i alla frågor som gäller skydd av
personuppgifter inom unionen, inklusive om eventuella förslag till
ändring av detta direktiv.
167. På begäran av kommissionen, på eget initiativ eller på initiativ av
en av sina ledamöter undersöka frågor om tillämpningen av de
bestämmelser som antas till följd av detta direktiv och sprida
riktlinjer, rekommendationer och exempel på god praxis till
tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av
dessa bestämmelser.
168. Se över den praktiska tillämpningen av de riktlinjer,
rekommendationer och exempel på god praxis som avses i b samt rapportera
regelbundet till kommissionen om detta.
169. Yttra sig till kommissionen i fråga om skyddsnivån i tredjeländer
eller internationella organisationer.
170. Främja samarbete och effektivt bilateralt och multilateralt utbyte
av praxis och information mellan tillsynsmyndigheterna.
171. Främja gemensamma utbildningsprogram och underlätta personalutbyte
mellan tillsynsmyndigheterna, där så är lämpligt även med
tillsynsmyndigheter i tredjeland och internationella organisationer.
172. Främja utbyte av kunskap och dokumentation, bland annat om
lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för
uppgiftsskydd i andra delar av världen.
2. När kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen
får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist
för denna rådgivning.
3. Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden,
riktlinjer, rekommendationer och exempel på god praxis till kommissionen
och till den kommitté som avses i artikel 57.1, samt offentliggöra dem.
4. Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om
de åtgärder den vidtagit som en följd av den senares yttranden,
riktlinjer, rekommendationer och exempel på god praxis.
KAPITEL VIIIRÄTTSMEDEL, ANSVAR, PÅFÖLJDER OCH ADMINISTRATIVA SANKTIONER
Artikel 50 Rätt till klagomål mot beslut som fattats av en tillsynsmyndighet
1. Utan att det påverkar andra rättsmedel av administrativ eller
rättslig natur ska medlemsstaterna föreskriva att varje registrerad som
anser att uppgifter rörande henne eller honom inte är förenliga med de
bestämmelser som antas till följd av detta direktiv har rätt att lämna
in ett klagomål till en tillsynsmyndighet i en medlemsstat.
2. Medlemsstaterna ska föreskriva att varje organisation eller
sammanslutning som har till uppgift att skydda registrerades rättigheter
och intressen när det gäller skyddet av deras personuppgifter, och som
har inrättats på vederbörligt sätt i enlighet med lagen i en
medlemsstat, ska ha rätt att lämna in ett klagomål till en
tillsynsmyndighet i en medlemsstat för en eller flera registrerades
räkning, om den anser att de rättigheter som tillkommer en registrerad
enligt detta direktiv har åsidosatts som en följd av behandling av
vederbörandes personuppgifter. Organisationen eller sammanslutningen ska
på vederbörligt sätt ha anförtrotts att handla på den eller de
registrerades uppdrag.
3. Medlemsstaterna ska föreskriva att varje organisation eller
sammanslutning som avses i punkt 2, oberoende av om det föreligger ett
klagomål från en registrerad, ska ha rätt att klaga hos en
tillsynsmyndighet i en medlemsstat om den anser att en överträdelse har
skett.
Artikel 51 Rätt att begära rättsmedel mot en tillsynsmyndighets beslut
173. Medlemsstaterna ska fastställa rätten till rättsmedel mot en
tillsynsmyndighets beslut.
174. Varje registrerad ska ha rätt till ett rättsmedel som förpliktar
tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs
för att skydda den registrerades rättigheter inte har fattats eller om
tillsynsmyndigheten inte inom tre månader informerar den registrerade om
hur ärendet fortskrider eller vilket beslut som har fattats med
anledning av klagomålet i enlighet med artikel 45.1 b.
175. Medlemsstaterna ska föreskriva att talan mot beslut som har fattats
av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där
tillsynsmyndigheten har sitt säte.
Artikel 52 Rätt till rättsmedel mot en registeransvarig eller en
registerförare
Utan att det påverkar tillgängliga administrativa rättsmedel, inbegripet
rätten att lämna in ett klagomål till en tillsynsmyndighet, ska
medlemsstaterna föreskriva en rätt att begära rättsmedel för varje
fysisk person som anser att hans eller hennes rättigheter enligt de
bestämmelser som antas till följd av detta direktiv har åsidosatts som
en följd av att personuppgifter har behandlats på ett sätt som inte är
förenligt med dessa bestämmelser.
Artikel 53 Gemensamma regler om domstolsförfaranden
1. Medlemsstaterna ska föreskriva att varje organisation eller
sammanslutning som avses i artikel 50.2 har rätt att utöva de
rättigheter som anges i artiklarna 51 och 52 på uppdrag av en eller
flera registrerade.
2. Varje tillsynsmyndighet ska ha rätt att delta i rättsliga förfaranden
och väcka talan vid domstol för att säkerställa tillämpningen av de
bestämmelser som antas till följd av detta direktiv eller för att
garantera ett enhetligt skydd av personuppgifter i unionen.
3. Medlemsstaterna ska se till att de möjligheter att föra talan inför
domstol som är tillgängliga enligt nationell lagstiftning gör det
möjligt att snabbt vidta åtgärder, även interimistiska sådana, i syfte
att avbryta den påstådda överträdelsen och hindra ytterligare skada av
berörda intressen.
Artikel 54 Ansvar och rätt till ersättning
1. Medlemsstaterna ska föreskriva att var och en som lidit skada till
följd av en otillåten behandling av personuppgifter eller av någon annan
åtgärd som är oförenlig med de nationella bestämmelser som antagits till
följd av detta direktiv har rätt till ersättning av den
registeransvarige för denna skada.
2. Om fler än en registeransvarig eller registerförare har medverkat vid
behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för
hela den uppkomna skadan.
3. Den registeransvarige eller registerföraren kan helt eller delvis
undgå detta ansvar om vederbörande bevisar att han inte är ansvarig för
den händelse som orsakade skadan.
Artikel 55 Påföljder
Medlemsstaterna ska föreskriva påföljder för överträdelser av
bestämmelser som har utfärdats med tillämpning av detta direktiv och ska
vidta de åtgärder som krävs för att se till att dessa påföljder
tillämpas. Påföljderna ska vara effektiva, proportionerliga och
avskräckande.
KAPITEL IX DELEGERADE AKTER OCH GENOMFÖRANDEAKTER
Artikel 56 Utövande av delegering
1. Befogenheten att anta delegerade akter ges till kommissionen med
förbehåll för de villkor som anges i denna artikel.
2. Den delegering av befogenhet som avses i artikel 28.5 ska ges till
kommissionen under en obegränsad tid från och med det datum då detta
direktiv träder i kraft.
3. Den delegering av befogenhet som avses i artikel 28.5 får när som
helst återkallas av Europaparlamentet eller rådet. Ett beslut om
återkallelse innebär att delegeringen av den befogenhet som anges i
beslutet upphör att gälla. Beslutet får verkan dagen efter det att det
offentliggörs i Europeiska unionens officiella tidning , eller vid ett
senare i beslutet angivet datum. Det påverkar inte giltigheten av
delegerade akter som redan trätt i kraft.
4. Så snart kommissionen antar en delegerad akt ska den samtidigt delge
Europaparlamentet och rådet detta.
5. En delegerad akt som antas enligt artikel 28.5 ska träda i kraft
endast om varken Europaparlamentet eller rådet har gjort invändningar
mot den delegerade akten inom en period av två månader från den dag då
akten delgavs Europaparlamentet och rådet, eller om både
Europaparlamentet och rådet, före utgången av den perioden, har
underrättat kommissionen om att de inte kommer att invända. Denna period
ska förlängas med två månader på Europaparlamentets eller rådets initiativ.
Artikel 57 Kommittéförfarande
176. Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara
en kommitté i den mening som avses i förordning (EU) nr 182/2011.
177. När det hänvisas till denna punkt ska artikel 5 i förordning (EU)
nr 182/2011 tillämpas.
178. När det hänvisas till denna punkt, ska artikel 8 i förordning (EU)
nr 182/2011 jämförd med artikel 5 i den förordningen tillämpas.
KAPITEL X SLUTBESTÄMMELSER
Artikel 58 Upphävande
1. Rådets rambeslut 2008/977/RIF ska upphöra att gälla.
2. Hänvisningar till det upphävda rambeslut som avses i punkt 1 ska
anses som hänvisningar till detta direktiv.
Artikel 59 Förhållande till tidigare antagna unionsakter för
straffrättsligt samarbete och polissamarbete
Direktivet ska inte påverka särskilda bestämmelser om skydd av
personuppgifter när behöriga myndigheter behandlar personuppgifter i
syfte att förebygga, utreda, avslöja eller lagföra brott eller
verkställa straffrättsliga påföljder i sådana unionsakter som antagits
före det datum då detta direktiv antas och som reglerar behandlingen av
personuppgifter medlemsstaterna emellan och medlemsstaternas utsedda
myndigheters tillgång till informationssystem som inrättats på grundval
av fördragen och som är relevanta för direktivets tillämpningsområde.
Artikel 60 Förhållande till tidigare ingångna internationella avtal på
området för polissamarbete och straffrättsligt samarbete
Internationella avtal som ingåtts av medlemsstaterna innan detta
direktiv trädde i kraft ska där så krävs ändras behov inom fem år efter
det att direktivet trätt i kraft.
Artikel 61 Utvärdering
1. Kommissionen ska utvärdera tillämpningen av detta direktiv.
2. Kommissionen ska inom tre år efter det att detta direktiv har trätt i
kraft se över andra rättsakter som antagits av Europeiska unionen och
som reglerar behöriga myndigheters behandling av personuppgifter i syfte
att förebygga, utreda, avslöja eller lagföra brott eller verkställa
straffrättsliga påföljder, i synnerhet de unionsakter som avses i
artikel 59, i syfte att bedöma om de behöver anpassas till detta
direktiv och, i förekommande fall, lägga fram förslag till ändring av
dessa rättsakter för att slå vakt om ett enhetligt tillvägagångssätt för
skydd av personuppgifter inom tillämpningsområdet för detta direktiv.
3. Kommissionen ska i kraft av punkt 1 regelbundet överlämna rapporter
om tillämpningen och översynen av detta direktiv till Europaparlamentet
och rådet. Den första rapporten ska överlämnas senast fyra år efter det
att detta direktiv träder i kraft. Därefter ska rapporter överlämnas
vart fjärde år. Kommissionen ska om så krävs lägga fram lämpliga förslag
om ändring av detta direktiv och om anpassning av andra rättsinstrument.
Rapporten ska offentliggöras.
Artikel 62 Genomförande
1. Medlemsstaterna ska senast [datum, två år efter ikraftträdandet] anta
och offentliggöra de lagar och andra författningar som är nödvändiga för
att följa detta direktiv. De ska genast överlämna texten till dessa
bestämmelser till kommissionen.
De ska tillämpa dessa bestämmelser från och med [datum/xx.xx.201x, två
år efter ikraftträdandet].
När en medlemsstat antar sådana bestämmelser ska de innehålla en
hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när
de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska
varje medlemsstat själv utfärda.
2. Medlemsstaterna ska till kommissionen överlämna texten till de
centrala bestämmelser i nationell lagstiftning som de antar inom det
område som omfattas av detta direktiv.
Artikel 63 Ikraftträdande och tillämpning
Detta direktiv träder i kraft dagen efter det att det har
offentliggjorts i Europeiska unionens officiella tidning .
Artikel 64 Adressater
Detta direktiv riktar sig till medlemsstaterna.
Utfärdat i Bryssel den 25.1.2012
På Europaparlamentets vägnar På rådets vägnar
Ordförande Ordförande
[1] Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober
1995 om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281,
23.11.1995, s. 31.
[2] Se den fullständiga förteckningen i bilaga 3 till
konsekvensbedömningen (SEC(2012) 72).
[3] Rådets rambeslut 2008/977/RIF om skydd av personuppgifter som
behandlas inom ramen för polissamarbete och straffrättsligt samarbete
som är strikt nödvändiga, EUT L 350, 31.12.2008, s. 60.
[4] I Stockholmsprogrammet, EGT C 115, 4.5.2010, s. 1.
[5] Se Europaparlamentets resolution om Stockholmsprogrammet, som antogs
den 25 november 2009.
[6] KOM(2010) 171 slutlig.
[7] Europeiska kommissionen, Ett samlat grepp på skyddet av
personuppgifter i Europeiska unionen , KOM(2010) 609 slutlig, 4.11.2010.
[8] Förklaring 21 om skydd av personuppgifter på området för
straffrättsligt samarbete och polissamarbete (bifogad till slutakten
från den regeringskonferens som antog Lissabonfördraget, 13.12.2007).
[9]
http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm.
[10]
http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm.
[11] Special Eurobarometer (EB) 359, Attitudes on Data Protection and
Electronic
Identity in the European Union (2011):
http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf.
[12] Se undersökningen av de ekonomiska fördelarna med
integritetshöjande teknik och den jämförande undersökningen av olika
strategier för att hantera nya integritetsutmaningar, särskilt mot
bakgrund av den tekniska utvecklingen, januari
2010.(http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).
[13] Arbetsgruppen, som har en rådgivande ställning, inrättades 1996
(genom artikel 29 i direktiv 95/46/EG) och består av företrädare för
nationella tillsynsmyndigheter med ansvar för uppgiftsskydd, Europeiska
datatillsynsmannen och kommissionen. Mer information om dess verksamhet
finns på
http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
[14] Se särskilt följande yttranden: om "integritetens framtid" (2009,
WP 168), Om begreppen registeransvarig och registerförare (1/2010, WP
169), om beteendebaserad reklam på internet (2/2010, WP 171), om
principen om ansvarsskyldighet (3/2010, WP 173), om tillämplig
lagstiftning (8/2010, WP 179) och om samtycke (15/2011, WP 187). På
kommissionens begäran antog den också följande tre rådgivande dokument
om anmälningar, om känsliga uppgifter och om det praktiska genomförandet
av artikel 28.6 i direktiv 95/46/EG. De finns alla att tillgå på
http://ec.europa.eu/justice/data-protection/article-29/documentation/index_….
[15] Tillgängligt på Europeiska datatillsynsmannens webbplats:
http://www.edps.europa.eu/EDPSWEB/.
[16] Europaparlamentets resolution av den 6 juli 2011 om ett samlat
grepp på skyddet av personuppgifter i Europeiska unionen (2011/2025
(INI),
http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2011-…
(föredragande: Europaparlamentariker Axel Voss (EPP/DE).
[17] CESE 999/2011.
[18] SEC(2012)72.
[19] COM(2012) 12.
[20] EU-domstolens dom av den 9 november 2010, förenade målen C-92/09
och C-93/09 Volker und Markus Schecke och Eifert, REU 2010, s. I-0000.
[21] I enlighet med artikel 52.1 i stadgan får utövandet av rätten till
uppgiftsskydd begränsas, under förutsättning att begränsningarna
föreskrivs i lag, att de i allt väsentligt är förenliga med rättigheter
och friheter och, med beaktande av proportionalitetsprincipen, endast
görs om de är nödvändiga och faktiskt svarar mot mål av allmänt
samhällsintresse som erkänns av unionen eller mot behovet av skydd för
andra människors rättigheter och friheter.
[22] Som också nämns i artikel 2 a i Europaparlamentets och rådets
direktiv 2011/93/EU av den 13 december 2011 om bekämpande av sexuella
övergrepp mot barn, sexuell exploatering av barn och barnpornografi samt
om ersättande av rådets rambeslut 2004/68/RIF, EUT L 335, 17.12.2011, s. 1.
[23] KOM(2005) 475 slutlig.
[24] Artikel 14 i Europolbeslutet 2009/371/RIF.
[25] Artikel 15 i Eurojustbeslutet 2009/426/RIF.
[26] Artikel 14 i Europolbeslutet 2009/371/RIF.
[27] Europadomstolens dom, 4.12.2008, S. och Marper mot Förenade
kungariket (talan nr 30562/04 och 30566/04).
[28] Antagen av den internationella konferensen för
uppgiftsskyddsmyndigheter ( International Conference of Data Protection
and Privacy Commissioners ) den 5 november 2009.
[29] EU-domstolens dom av den 9 mars 2010, kommissionen / Tyskland, mål
(C-518/07, REU 2010 s. I-1885).
[30] Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18
december 2000 om skydd för enskilda då gemenskapsinstitutionerna och
gemenskapsorganen behandlar personuppgifter och om den fria rörligheten
för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).
[31] Op. cit., fotnot 27.
[32] Europaparlamentets och rådets direktiv 2000/31/EG av den 8 juni
2000 om vissa rättsliga aspekter på informationssamhällets tjänster,
särskilt elektronisk handel, på den inre marknaden ("direktiv om
elektronisk handel"), EGT L 178, 17.7.2000, s. 1.
[33] EUT C ...., .....s. .....
[34] EUT L 281, 23.11.2011, s. 31.
[35] EUT L 350, 30.12.2008, s. 60.
[36] EUT L 55, 28.2.2011, s. 13.
[37] EUT L 335, 17.12.2011, s. 1.
[38] EGT L 176, 10.7.1999, s. 36.
[39] EUT L 53, 27.2.2008, s. 52.
[40] EUT L 160, 18.6.2011, s. 19.
------------------------------------------------------------------------
Administreras av publikationsbyrån <http://publications.europa.eu>
Hej listan!
Är det någon mer som har problem att läsa sidorna 9-25 i "Hemlig
teleavlyssning, hemlig teleövervakning och hemlig kameraövervakning"
länkad från http://regeringen.se/sb/d/108/a/205806 ?
Är det någon som har förslag på hur man får ut texten i sin helhet?
(Något som inte är "mejla regeringskansliet och vänta till mitten av
januari" för det har jag redan tänkt ut själv.)
Hej DFRI! Ni är väldigt välkomna till ISOC-SE:s diskussion kring vad ett öppet och fritt Internet egentligen är!
Vi har tre inledande talare:
Eva Frölich, Board Chair, Internet Society
Pelle Snickars, Medievetare och forskningschef på Kungl. Biblioteket
Nurani Nimpuno, Head of Outreach and Communications, Netnod
Sedan startar diskussionen, vi bjuder på vin och snacks och det kostar inget att gå.
Vi kör tisdagen den 29 januari från 17.00 hos .SE på Ringvägen 100 (Se bifogad inbjudan för mer detaljer)
Vore väldigt kul om ni dök upp! Helt ok att skicka inbjudan vidare!
Man behöver inte vara medlem för att komma, så det går bra att ta med vänner, kollegor etc...
Ni kan anmäla er direkt här: http://simplesignup.se/event/16957
Linda Sandberg,
genom styrelsen i ISOC-SE (även medlem i DFRI såklart ;)
linda(a)isoc.se
Brittiska Consumer Focus har sammanställt en undersökning av konsumenters uppfattning av operatörers traffic management. Åtminstone summeringen är intressant att läsa för den oinsatte:
http://www.consumerfocus.org.uk/files/2012/11/Lost-on-the-broadband-super-h…
"Overall, our research found that consumers
have very limited awareness of the term ‘traffic
management’. Consumers do not understand the
term, find it difficult to access relevant information
and, when they do, struggle to understand it.
The research indicated that without explaining
traffic management and its impact on the user
experience, any information provided is not
meaningful to consumers and is therefore not
taken into consideration. The research found no
difference in perceived transparency between
BSG and non-BSG signatories."
...