Index 
 Föregående 
 Nästa 
 All text 
Förfarande : 2012/0010(COD)
Dokumentgång i plenum
Dokumentgång : A7-0403/2013

Ingivna texter :

A7-0403/2013

Debatter :

PV 11/03/2014 - 13
CRE 11/03/2014 - 13

Omröstningar :

PV 12/03/2014 - 8.12

Antagna texter :

P7_TA(2014)0219

Antagna texter
PDF 808kWORD 300k
Onsdagen den 12 mars 2014 - Strasbourg Slutlig utgåva
Behandling av personuppgifter i brottsförebyggande syfte ***I
P7_TA(2014)0219A7-0403/2013
Resolution
 Konsoliderad text

Europaparlamentets lagstiftningsresolution av den 12 mars 2014 om förslaget till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)) (Ordinarie lagstiftningsförfarande: första behandlingen)

Europaparlamentet utfärdar denna resolution

–  med beaktande av kommissionens förslag till Europaparlamentet och rådet (COM(2012)0010),

–  med beaktande av artiklarna 294.2 och 16.2 i fördraget om Europeiska unionens funktionssätt, i enlighet med vilka kommissionen har lagt fram sitt förslag för parlamentet (C7‑0024/2012),

–  med beaktande av artikel 294.3 i fördraget om Europeiska unionens funktionssätt,

–  med beaktande av de motiverade yttranden från det tyska förbundsrådet och Sveriges riksdag som lagts fram i enlighet med protokoll nr 2 om tillämpning av subsidiaritets- och proportionalitetsprinciperna, och enligt vilka utkastet till lagstiftningsakt inte är förenligt med subsidiaritetsprincipen,

–  med beaktande av yttrandet från Europeiska datatillsynsmannen av den 7 mars 2012(1) ,

–  med beaktande av yttrandet från Europeiska unionens byrå för grundläggande rättigheter av den 1 oktober 2012,

–  med beaktande av artikel 55 i arbetsordningen,

–  med beaktande av betänkandet från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (A7-0403/2013).

1.  Europaparlamentet antar nedanstående ståndpunkt vid första behandlingen.

2.  Europaparlamentet uppmanar kommissionen att lägga fram en ny text för parlamentet om den har för avsikt att väsentligt ändra sitt förslag eller ersätta det med ett nytt.

3.  Europaparlamentet uppdrar åt talmannen att översända parlamentets ståndpunkt till rådet, kommissionen och de nationella parlamenten.

(1) EUT C 192, 30.6.2012, s. 7.


Europaparlamentets ståndpunkt fastställd vid första behandlingen den 12 mars 2014 inför antagandet av Europaparlamentets och rådets direktiv 2014/.../EU om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter
P7_TC1-COD(2012)0010

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska datatillsynsmannens yttrande(1) ,

i enlighet med det ordinarie lagstiftningsförfarandet(2) , och

av följande skäl:

(1)  Skyddet av fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan ) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt garanterar var och en rätten till skydd av de personuppgifter som rör dem. I artikel 8.2 i stadgan fastställs att dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. [Ändr. 1]

(2)  Avsikten med att behandla personuppgifter är att betjäna människor. Principerna och reglerna för skyddet av enskilda personer vid behandling av deras personuppgifter bör, oavsett medborgarskap eller hemvist, respektera deras grundläggande rättigheter och friheter, främst deras rätt till skydd av personuppgifter. Behandlingen av personuppgifter bör bidra till att skapa ett område av frihet, säkerhet och rättvisa.

(3)  Den snabba tekniska utvecklingen och globaliseringen har ställt oss inför nya utmaningar vad gäller skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Teknik skapar förutsättningar för behöriga myndigheter att i sin verksamhet använda personuppgifter i en aldrig tidigare skådad omfattning.

(4)  Detta gör kräver att man underlättar det nödvändigt att underlätta det fria flödet av uppgifter mellan behöriga myndigheter inom unionen samt överföringar till tredjeländer och internationella organisationer, när detta är nödvändigt och står i proportion till sitt syfte, och samtidigt säkerställa att man säkerställer en hög skyddsnivå för personuppgifter. Dessa utvecklingstendenser kräver en stark och mer sammanhängande ram för uppgiftsskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete. [Ändr. 2]

(5)  Europaparlamentets och rådet direktiv 95/46/EG (3) är tillämpligt på all behandling av personuppgifter som förekommer i medlemsstaterna, såväl inom den offentliga som inom den privata sektorn. Det är emellertid inte tillämpligt på behandling av personuppgifter ”som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten”, t.ex. verksamhet på områdena för straffrättsligt samarbete och polissamarbete.

(6)  Rådets rambeslut 2008/977/RIF (4) är tillämpligt på områdena för straffrättsligt samarbete och polissamarbete. Tillämpningsområdet för detta rambeslut begränsas till behandlingen av sådana personuppgifter som överförs eller görs tillgängliga mellan medlemsstaterna.

(7)  Att garantera en enhetlig och hög nivå på skyddet av enskildas personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete. Därför måste skyddet av enskildas fri- och rättigheter i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder vara likvärdigt i alla medlemsstater. En enhetlig och likartad tillämpning av bestämmelserna om skydd av fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter bör garanteras i hela unionen. Ett effektivt skydd av personuppgifter i hela unionen förutsätter att de registrerades rättigheter stärks och att skyldigheterna för dem som behandlar sådana uppgifter klargörs, men också likvärdiga befogenheter för de myndigheter och organ som har ansvaret för att övervaka och säkerställa efterlevnaden av bestämmelserna om skydd av personuppgifter i medlemsstaterna. [Ändr. 3]

(8)  I artikel 16.2 i fördraget om Europeiska unionens funktionssätt anges att Europaparlamentet och rådet ska fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter samt om den fria rörligheten för sådana uppgifter deras personuppgifter . [Ändr. 4]

(9)  Därför fastställs i Europaparlamentets och rådets förordning (EU) nr…../2014 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) allmänna bestämmelser om skydd av enskilda i samband med behandling av personuppgifter och om den fria rörligheten för sådana uppgifter inom unionen.

(10)  I förklaring 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, som är fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att särskilda regler om skydd av personuppgifter och om fri rörlighet för sådana uppgifter på områdena för straffrättsligt samarbete och polissamarbete på grundval av artikel 16 i fördraget om Europeiska unionens funktionssätt kan visa sig nödvändig på grund av dessa områden särskilda natur.

(11)  Ett särskilt specifikt direktiv bör således vara anpassat till den särskilda karaktären hos dessa områden och fastställa bestämmelser om skydd för enskilda i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder. [Ändr. 5]

(12)  För att säkerställa en enhetlig skyddsnivå för enskilda genom rättsligt bindande rättigheter i hela unionen och undvika avvikelser som hämmar utbytet av personuppgifter mellan behöriga myndigheter, bör detta direktiv innehålla harmoniserade bestämmelser om skydd och fri rörlighet för personuppgifter på områdena för straffrättsligt samarbete och polissamarbete.

(13)  Detta direktiv gör det möjligt att vid tillämpningen av dess bestämmelser ta hänsyn till principen om allmänhetens rätt att få tillgång till allmänna handlingar.

(14)  Det skydd som ska tillhandahållas enligt detta direktiv gäller vid behandling av enskildas personuppgifter, oavsett de berörda personernas medborgarskap eller hemvist.

(15)  Skyddet av enskilda bör vara tekniskt neutralt, det vill säga inte vara beroende av den teknik som används, eftersom detta skulle skapa en allvarlig risk för att reglerna kringgås. Skyddet av enskilda bör vara tillämpligt på både automatisk och manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter, liksom deras omslag, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av detta direktiv. Detta direktiv bör inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, särskilt verksamhet som rör nationell säkerhet, eller av uppgifter som behandlats av unionens institutioner, organ och byråer, t.ex. Europol eller Eurojust Europaparlamentets och rådets förordning (EG) nr 45/2001 (5) och specifika rättsinstrument som är tillämpliga på unionens institutioner, organ och byråer bör harmoniseras med och tillämpas i enlighet med detta direktiv . [Ändr. 6]

(16)  Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Vid bedömningen av om en fysisk person är identifierbar bör man ta hänsyn till alla hjälpmedel som den registeransvarige eller någon annan person rimligen kan komma att använda för att identifiera eller särskilja vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. Detta direktiv bör inte tillämpas på anonyma uppgifter, det vill säga alla uppgifter som inte kan kopplas till en fysisk person, vare sig direkt eller indirekt eller enskilt eller i kombination med tillhörande uppgifter. Med hänsyn till betydelsen av den pågående utvecklingen inom informationssamhället av de tekniker som används för att samla in, överföra, manipulera, registrera, lagra eller kommunicera lokaliseringsuppgifter avseende fysiska personer och som kan användas för olika ändamål, bland annat övervakning och profilering, bör detta direktiv vara tillämpligt på behandling som inbegriper sådana personuppgifter. [Ändr. 7]

(16a)  All behandling av personuppgifter måste vara lagenlig, korrekt och medge insyn för de berörda personerna. I synnerhet bör de specifika ändamål som uppgifterna behandlas för vara uttryckliga, legitima och fastställda vid den tidpunkt då personuppgifterna samlas in. Personuppgifterna bör vara adekvata, relevanta och begränsade till det som är nödvändigt för de ändamål som personuppgifterna behandlas för. Detta kräver i synnerhet att de uppgifter som samlas in och den period under vilken uppgifterna lagras begränsas till det som är strikt nödvändigt. Personuppgifter bör behandlas endast om syftet med behandlingen inte kan uppnås genom andra medel. Alla rimliga åtgärder bör vidtas för att se till att oriktiga personuppgifter rättas eller raderas. För att se till att uppgifter inte sparas längre än nödvändigt bör den registeransvarige införa tidsgränser för radering eller periodisk översyn. [Ändr. 8]

(17)  Personuppgifter som rör hälsa bör särskilt omfatta alla uppgifter som hänför sig till en registrerad persons hälsotillstånd, uppgifter om registrering av personen för tillhandahållande av hälso- och sjukvårdstjänster, uppgifter om betalning för eller rätt till hälso- och sjukvård avseende personen i fråga, ett nummer, en symbol eller ett kännetecken som personen tilldelats för att identifiera denne uteslutande för hälso- och sjukvårdsändamål, alla uppgifter om personen som insamlats i samband med hälso- och sjukvårdstjänster som personen utnyttjat, uppgifter som härrör från tester eller undersökningar av en kroppsdel eller kroppssubstans, däribland biologiska prover, Identifiering av en person som tillhandahåller hälso- och sjukvård till den registrerade, eller andra uppgifter om t.ex. en sjukdom, funktionshinder, sjukdomsrisk, sjukdomshistoria, klinisk behandling, eller den registrerades faktiska fysiologiska eller biomedicinska tillstånd oberoende av källan, exempelvis från en läkare eller annan sjukvårdspersonal, ett sjukhus, en medicinteknisk produkt eller ett diagnostiskt in vitro-test.

(18)  Varje behandling av personuppgifter måste vara tillåten, rättvis och öppen i förhållande till berörda enskilda. I synnerhet bör de särskilda ändamål för vilka uppgifterna behandlas formuleras tydligt. [Ändr. 9]

(19)  För att ge behöriga myndigheter förutsättningar att förebygga, utreda och lagföra brott är det viktigt att de kan bevara och behandla personuppgifter som insamlats i samband med sådan verksamhet också för andra ändamål, så att det blir möjligt att utveckla kunskap om olika brottsföreteelser och brottstrender, samla in underrättelser om kriminella nätverk och göra kopplingar mellan olika brott. [Ändr. 10]

(20)  Personuppgifter bör inte behandlas för ändamål som är oförenliga med det ändamål för vilket de samlades in. Personuppgifter ska vara adekvata, relevanta och inte överdrivet omfattande med hänsyn till ändamålet med behandlingen. Alla rimliga åtgärder bör vidtas för att säkerställa att oriktiga personuppgifter rättas eller raderas. [Ändr. 11]

(20a)  Det enkla faktum att två ändamål båda rör förebyggande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder betyder inte nödvändigtvis att de är förenliga med varandra. Det finns emellertid fall där vidare behandling för oförenliga ändamål bör vara möjlig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten. Medlemsstaterna bör därför få anta nationella lagar som medger sådana undantag i den utsträckning det är strikt nödvändigt. Sådana nationella lagar bör innehålla lämpliga skyddsåtgärder. [Ändr. 12]

(21)  Principen om uppgifters riktighet ska tillämpas med hänsyn till vilken typ av behandling det är fråga om och syftet med denna. Särskilt i domstolsförfaranden baseras utsagor som innehåller personuppgifter på individers subjektiva uppfattningar, med följden att uppgifterna i vissa fall inte kan verifieras. Följaktligen bör inte riktighetskravet ha någon relevans för frågan om huruvida ett uttalande är riktigt, utan endast för det faktum att ett visst uttalande har gjorts.

(22)  Vid tolkning och tillämpning av allmänna principer avseende behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder bör hänsyn tas till de specifika förhållandena inom den berörda sektorn, inklusive de särskilda mål som eftersträvas. [Ändr. 13]

(23)  Behandling av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete innebär av naturliga skäl att personuppgifter om olika kategorier av registrerade behandlas. Därför är det viktigt att i möjligaste mån göra en klar åtskillnad mellan personuppgifter om olika kategorier av registrerade, t.ex. brottsmisstänkta, brottsdömda och brottsoffer samt andra som berörs av ett brottmål, t.ex. vittnen, personer med relevant information eller personer med kontakter eller band till brottsmisstänkta och brottsdömda. Medlemsstaterna bör införa särskilda bestämmelser om konsekvenserna av denna kategorisering, med hänsyn till de olika ändamål för vilka uppgifterna samlas in. Dessa bestämmelser bör inbegripa särskilda skyddsåtgärder för personer som inte är misstänkta eller dömda för något brott. [Ändr. 14]

(24)  Personuppgifter bör i möjligaste mån delas in efter grad av riktighet och tillförlitlighet. Sakförhållanden bör hållas isär från personliga bedömningar, så att det blir möjligt att garantera såväl skydd för enskilda personer som kvalitet och tillförlitlighet i den information som behandlas av behöriga myndigheter.

(25)  För att vara laglig lagenlig bör behandlingen av personuppgifter vara tillåtas endast när den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, för att utföra en arbetsuppgift av allmänt intresse som en behörig myndighet ansvarar för enligt lag, för att skydda intressen av grundläggande betydelse för den registrerade eller en annan person eller för att förebygga ett omedelbart och allvarligt hot mot den allmänna säkerheten unionslagstiftningen eller nationell lagstiftning, vilken bör innehålla uttryckliga och detaljerade bestämmelser om minst målen, personuppgifterna, de särskilda ändamålen och medlen, utnämningen av eller tillåtelse att utnämna den registeransvarige, de förfaranden som ska följas, användningen samt begränsningar av räckvidden av eventuell egen bestämmanderätt som de behöriga myndigheterna ges med avseende på behandlingen av personuppgifter . [Ändr. 15]

(25a)  Personuppgifter bör inte behandlas för ändamål som är oförenliga med det ändamål för vilket de samlades in. Vidare behandling av behöriga myndigheter för ett ändamål som omfattas av detta direktiv men som inte är förenligt med det ursprungliga ändamålet bör tillåtas endast i särskilda fall där behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som enligt unionslagstiftningen eller medlemsstatens lagstiftning åvilar den registeransvarige, för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten. Att uppgifter behandlas för brottsbekämpning innebär inte nödvändigtvis att detta ändamål är förenligt med det ursprungliga ändamålet. Begreppet förenlig användning bör tolkas återhållsamt. [Ändr. 16]

(25b)  Behandling av personuppgifter i strid med de nationella bestämmelser som antas till följd av detta direktiv bör upphöra. [Ändr. 17]

(26)  Personuppgifter som till sin natur är särskilt känsliga och ömtåliga med hänsyn till grundläggande rättigheter eller skyddet av privatlivet, däribland genetiska data , integritetsskydd förtjänar ett särskilt skydd. Sådana uppgifter bör inte behandlas, om inte behandlingen är godkänd enligt nödvändig för att utföra ett uppdrag av allmänt intresse på grundval av unionslagstiftning eller medlemsstatens lagstiftning som föreskriver lämpliga åtgärder för att säkerställa den registrerades grundläggande rättigheter och berättigade intressen, behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person eller behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. Känsliga personuppgifter bör behandlas endast om de kompletterar andra personuppgifter som redan behandlas för brottsbekämpningsändamål. Eventuella undantag till förbudet mot behandling av känsliga uppgifter bör tolkas återhållsamt och inte leda till upprepad, omfattande eller systematisk behandling av känsliga personuppgifter. [Ändr. 18]

(26a)  Behandling av genetiska uppgifter bör vara tillåten endast om det finns ett genetiskt samband som framkommer under en brottsutredning eller ett rättsligt förfarande. Genetiska uppgifter bör lagras bara så länge som är strikt nödvändigt för ändamålet med sådana utredningar och förfaranden, samtidigt som medlemsstaterna kan föreskriva längre lagring på de villkor som anges i detta direktiv. [Ändr. 19]

(27)  Varje fysisk person bör ha rätt att inte bli föremål för åtgärder som endast delvis eller helt grundar sig på profilering genom automatisk uppgiftsbehandling om detta skulle medföra negativa . Sådan behandling som medför rättsliga verkningar för denna person, eller som i betydande grad påverkar den personen, bör förbjudas, såvida inte behandlingen är tillåten enligt lag och omfattas av lämpliga åtgärder för att skydda den registrerades grundläggande rättigheter och berättigade intressen, inbegripet rätten att få meningsfull information om vilka logiska funktioner som används i profileringen . Sådan behandling bör under inga omständigheter inbegripa eller generera, eller diskriminera på grundval av, särskilda uppgiftskategorier . [Ändr. 20]

(28)  För att den registrerade ska kunna utöva sina rättigheter bör all information som riktar sig till denne vara lättillgänglig och lätt att förstå, vilket inbegriper användning av ett klart och enkelt språk. Informationen bör anpassas till den registrerades behov, särskilt när informationen riktas till ett barn. [Ändr. 21]

(29)  Det bör finnas arrangemang som underlättar för registrerade att utöva sina rättigheter enligt detta direktiv, bl.a. rutiner för att kostnadsfritt begära särskilt tillgång till uppgifterna samt rättelse och radering av dessa. Den registeransvarige bör vara skyldig att besvara framställningar från den registrerade utan onödigt dröjsmål, dock senast en månad efter mottagandet av en begäran . Om personuppgifter behandlas automatiskt bör den registeransvarige också erbjuda en möjlighet att lämna in begäran elektroniskt . [Ändr. 22]

(30)  Principen om rättvis korrekt uppgiftsbehandling som medger insyn innebär att registrerade ska bör informeras särskilt om att behandling sker och syftet med behandlingen, behandlingens rättsliga grund, hur länge uppgifterna kommer att lagras, rätten att få tillgång till, rätta eller radera uppgifter samt rätten att lämna in klagomål. De registrerade bör vidare informeras om huruvida profilering sker och om profileringens avsedda konsekvenser. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att tillhandahålla uppgifterna, och om vilka konsekvenserna blir om de inte lämnar dem. [Ändr. 23]

(31)  Informationen till de registrerade om behandlingen av uppgifter om dem bör överlämnas i samband med att uppgifterna samlas in eller, om uppgifterna inte har erhållits från de registrerade, vid tidpunkten för registreringen, eller inom en skälig tid efter insamlingen, med hänsyn tagen till de särskilda förhållanden under vilka uppgifterna behandlas.

(32)  Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är införstådda med att behandling sker och kan kontrollera att den är tillåten. Därför bör varje registrerad har ha rätt att känna till och underrättas om i synnerhet de ändamål för vilka uppgifterna behandlas, behandlingens rättsliga grund, hur länge behandlingen kommer att pågå och vilka som kommer att få del av uppgifterna, inbegripet mottagare i tredjeländer, och få begriplig information om vilka logiska funktioner som tillämpas i eventuell automatisk behandling, om betydande och avsedda konsekvenser av behandlingen, i tillämpliga fall, samt om rätten att inge ett klagomål till tillsynsmyndigheten och om myndighetens kontaktuppgifter . Registrerade bör ha rätt till en kopia av de uppgifter som behandlas. [Ändr. 24]

(33)  Medlemsstaterna bör ha möjlighet att genom lagstiftning vidta åtgärder som innebär att informationen till de registrerade eller de registrerades tillgång till sina uppgifter senareläggs, eller begränsas eller utelämnas , i den utsträckning och så länge som en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens grundläggande rättigheter och berättigade intressen, och syftet är att förebygga obstruktion av officiella eller rättsliga utredningar, undersökningar eller förfaranden, undvika menlig inverkan på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder, skydda allmän eller nationell säkerhet eller skydda den registrerade eller andra personers fri- och rättigheter. Den registeransvarige bör genom konkret och individuell granskning i varje enskilt fall bedöma om rätten till tillgång delvis eller helt bör begränsas. [Ändr. 25]

(34)  Varje vägran att ge den registrerade tillgång till sina uppgifter och varje begränsning av sådan tillgång bör meddelas den registrerade skriftligen, inklusive de faktiska eller rättsliga skäl som beslutet grundar sig på.

(34a)  Varje inskränkning av den registrerades rättigheter måste vara förenlig med stadgan och med den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, i överensstämmelse med rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna, och i synnerhet respektera kärnan i rättigheterna och friheterna. [Ändr. 26]

(35)  När medlemsstater har antagit lagstiftning som helt eller delvis begränsar rätten till tillgång, bör de registrerade ha rätt att begära att den behöriga nationella tillsynsmyndigheten kontrollerar behandlingens laglighet. De registrerade bör informeras om denna rättighet. När en tillsynsmyndighet utövar rätten att få tillgång till uppgifter för de registrerades räkning, bör tillsynsmyndigheten informera dem åtminstone om att tillsynsmyndigheten har utfört alla nödvändiga kontroller och om resultatet av dessa kontroller när det gäller lagligheten av behandlingen i fråga. Tillsynsmyndigheten bör också informera den registrerade om rätten att begära rättslig prövning. [Ändr. 27]

(36)  Var och en bör ha rätt att få felaktiga oriktiga eller olovligen behandlade personuppgifter om sig själv rättade samt rätt till radering om behandlingen av sådana uppgifter inte föreenlig är förenlig med de grundläggande principerna bestämmelserna i detta direktiv. Sådan rättelse, komplettering eller radering bör meddelas till de mottagare till vilka uppgifterna har lämnats ut och till de tredje parter från vilka de oriktiga uppgifterna hade sitt ursprung. De registeransvariga bör också avstå från vidare spridning av sådana uppgifter. När personuppgifter behandlas inom ramen för en brottsutredning och ett brottmål, bör rätten till rättelse, information, tillgång och radering samt till begränsning av behandlingen kunna säkerställas i enlighet med nationella bestämmelser om rättsliga förfaranden. [Ändr. 28]

(37)  Registeransvariga bör åläggas ett övergripande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Den registeransvarige bör särskilt se till att behandlingen varje behandling är förenlig med de bestämmelser som antas i enlighet med detta direktiv och vara skyldig att kunna styrka att så är fallet . [Ändr. 29]

(38)  Skyddet av de registrerades rättigheter i samband med behandlingen av personuppgifter kräver lämpliga tekniska och organisatoriska åtgärder för att säkerställa att detta direktivs krav uppfylls. För att garantera överensstämmelse med de bestämmelser som antas enligt detta direktiv, bör den registeransvarige anta strategier och genomföra lämpliga åtgärder, särskilt för att uppfylla principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard.

(39)  Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarnas ansvar kräver en tydlig fördelning av ansvar enligt detta direktiv, inklusive när en registeransvarig bestämmer ändamålen med och villkoren och medlen för behandlingen tillsammans med andra registeransvariga eller när behandlingen utförs på uppdrag av en registeransvarig. Den registrerade bör ha rätt att utöva sina rättigheter enligt detta direktiv avseende och gentemot var och en av de gemensamma registeransvariga. [Ändr. 30]

(40)  Behandling av personuppgifter bör dokumenteras av den registeransvarige eller av registerföraren, i syfte att övervaka efterlevnaden av detta direktiv. Varje registeransvarig och registerförare bör vara skyldig att samarbeta med tillsynsmyndigheten och på dennas begäran göra dokumenteringen tillgänglig så att den kan tjäna som grund för övervakningen av behandlingen.

(40a)  Varje behandling av personuppgifter bör registreras i syfte att möjliggöra kontroll av uppgiftsbehandlingens lagenlighet, egenkontroll samt garantier för lämplig dataintegritet och datasäkerhet. Registreringen bör på begäran göras tillgänglig för tillsynsmyndigheten för dess övervakning av efterlevnaden av bestämmelserna i detta direktiv. [Ändr. 31]

(40b)  En konsekvensbedömning avseende uppgiftsskydd bör genomföras av den registeransvarige eller av registerföraren om det är sannolikt att uppgiftsbehandlingen medför särskilda risker för de registrerades rättigheter och friheter på grund av sin karaktär, sin omfattning eller sina ändamål, vilket bör inbegripa i synnerhet planerade åtgärder, skyddsåtgärder och rutiner för att säkerställa skyddet för personuppgifter och för att styrka efterlevnaden av detta direktiv. Konsekvensbedömningarna bör gälla relevanta system och processer för behandling av personuppgifter, men inte enskilda fall. [Ändr. 32]

(41)  I syfte att säkerställa ett effektivt skydd av de registrerades rättigheter och friheter genom förebyggande åtgärder, bör den registeransvarige eller registerföraren i vissa fall samråda med tillsynsmyndigheten innan uppgifterna behandlas. Om en konsekvensbedömning avseende uppgiftsskydd visar att behandlingen sannolikt medför höggradiga specifika risker för de registrerades rättigheter och friheter, bör tillsynsmyndigheten dessutom ha möjlighet att innan behandlingen inleds förhindra en riskabel behandling som inte är förenlig med detta direktiv och ge förslag på hur situationen bör avhjälpas. Denna typ av samråd kan även ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens karaktär och anger lämpliga skyddsåtgärder. [Ändr. 33]

(41a)  För att upprätthålla säkerheten och förhindra behandling som strider mot detta direktiv bör registeransvariga eller registerförare utvärdera de risker som behandlingen är förknippad med och vidta åtgärder för att begränsa dem. Dessa åtgärder bör trygga en lämplig säkerhetsnivå med hänsyn till den senaste tekniken och kostnaderna för genomförandet i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid fastställandet av tekniska standarder och organisatoriska åtgärder som ska trygga säkerheten vid behandlingen bör teknikneutralitet främjas. [Ändr. 34]

(42)  Ett personuppgiftsbrott kan, om det inte snabbt blir föremål för lämpliga åtgärder, medföra en betydande ekonomisk förlust och social skada, inklusive med avseende på identitetsbedrägeri, för den berörda personens anseende personen . Så snart som den registeransvarige blir medveten om att ett sådant brott har inträffat, bör denne anmäla brottet till den behöriga nationella myndigheten. Enskilda personer vars personuppgifter eller integritet kan utsättas för negativ påverkan genom brottet bör meddelas utan onödigt dröjsmål, så att de får tillfälle att vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses ha en menlig inverkan på en individs personuppgifter och integritet om det kan leda till exempelvis identitetsstöld eller identitetsbedrägeri, personskada, betydande förödmjukelse eller skadat anseende i samband med behandlingen av personuppgifter. Meddelandet bör innehålla information om åtgärder som vidtagits av leverantören för att ta itu med brottet, liksom rekommendationer för den berörda abonnenten eller individen. Den registrerade bör meddelas så snart som möjligt och i nära samarbete med tillsynsmyndigheten, i enlighet med vägledning från denna myndighet. [Ändr. 35]

(43)  När närmare bestämmelser fastställs för tillämpliga format och förfaranden för anmälan av personuppgiftsbrott bör vederbörlig hänsyn tas till omständigheterna kring brottet, däribland om personuppgifterna var omgärdade av lämpligt tekniskt skydd som betydligt begränsade sannolikheten för missbruk. Bestämmelserna och förfarandena bör dessutom beakta behöriga myndigheters berättigade intressen i fall där ett tidigt utlämnande kan riskera att i onödan hämma utredningen av omständigheterna kring ett brott.

(44)  Registeransvariga eller registerförare bör utse en person som kan hjälpa dem med att övervaka och styrka efterlevnaden av de bestämmelser som antas i enlighet med detta direktiv. Om flera enheter inom den behöriga myndigheten kan gemensamt utse myndigheter agerar under tillsyn av en central myndighet, bör åtminstone denna centrala myndighet utnämna ett sådant uppgiftsskyddsombud. Uppgiftsskyddsombuden måste kunna utföra sina uppdrag och arbetsuppgifter på ett oberoende och effektivt sätt, i synnerhet genom att fastställa regler för att undvika intressekonflikter med andra uppdrag som de utför . [Ändr. 36]

(45)  Medlemsstaterna bör se till att överföringar till ett tredjeland endast kan äga rum endast om detta är nödvändigt den berörda överföringen är nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller för att verkställa straffrättsliga påföljder, och den registeransvarige i tredjelandet eller den internationella organisationen är en offentlig myndighet som är behörig i den mening som avses i detta direktiv. En överföring kan äga rum när om kommissionen har beslutat fastställt att skyddsnivån i ett tredjeland eller en internationell organisation är adekvat, eller när om lämpliga skyddsåtgärder föreligger har vidtagits eller om lämpliga skyddsåtgärder har vidtagits genom ett rättsligt bindande instrument . Uppgifter som överförs till behöriga offentliga myndigheter i tredjeländer bör inte behandlas vidare för andra ändamål än det som de överfördes för . [Ändr. 37]

(45a)  Ytterligare vidareöverföringar från behöriga myndigheter i tredjeländer eller internationella organisationer till vilka personuppgifter har överförts bör tillåtas endast om vidareöverföringen är nödvändig för samma specifika ändamål som den ursprungliga överföringen och den andra mottagaren också är en behörig offentlig myndighet. Ytterligare vidareöverföringar bör inte tillåtas för allmänna brottsbekämpningsändamål. Den behöriga myndighet som utförde den ursprungliga överföringen bör ha godkänt vidareöverföringen. [Ändr. 38]

(46)  Kommissionen kan med verkan för hela unionen fastställa att vissa tredjeländer, ett visst territorium eller en viss behandlande sektor i ett tredjeland eller en internationell organisation kan garantera adekvat uppgiftsskydd, och på så sätt skapa rättssäkerhet och enhetlighet i hela unionen vad gäller dessa tredjeländer eller internationella organisationer. I dessa fall får överföringar av personuppgifter till dessa länder ske utan behov av ytterligare tillstånd.

(47)  I linje med de grundläggande värderingar som unionen vilar på, allra främst skyddet av de mänskliga rättigheterna, bör kommissionen beakta hur rättsstatsprincipen, möjlighet till rättslig prövning samt internationella människorättsliga normer och standarder respekteras i det tredjelandet.

(48)  Kommissionen bör likaledes kunna konstatera att ett tredjeland eller ett territorium eller en behandlande sektor inom ett tredjeland, eller en internationell organisation, inte erbjuder en adekvat nivå på skyddet av uppgifterna. Följaktligen bör överföringar av personuppgifter till det tredjelandet förbjudas utom när de bygger på internationella avtal, omgärdas av lämpliga skyddsåtgärder eller grundas på ett undantag. Bestämmelser bör fastställas för förfaranden för samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Ett sådant kommissionsbeslut ska bör dock inte påverka möjligheten att göra överföringar när dessa är omgärdade av lämpliga skyddsåtgärder genom rättsligt bindande instrument eller grundas på ett undantag som finns fastställt i detta direktiv. [Ändr. 39]

(49)  Överföringar som inte grundar sig på ett sådant beslut om adekvat skyddsnivå bör endast tillåtas endast om lämpliga skyddsåtgärder som säkerställer skyddet av personuppgifterna har vidtagits genom ett rättsligt bindande instrument, som säkrar skyddet av personuppgifterna eller om den registeransvarige eller registerföraren har gjort en bedömning av alla omständigheterna kring en uppgiftsöverföring eller en serie uppgiftsöverföringar och på grundval av denna bedömning anser att lämpliga skyddsåtgärder föreligger vad avser skyddet av personuppgifter. När skäl saknas för att tillåta en överföring, bör undantag medges om överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta, eller om det är avgörande för att avvärja en omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller i ett tredjeland, eller i enskilda fall när det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, eller i enskilda fall för att fastslå, göra gällande eller försvara rättsliga anspråk . [Ändr. 40]

(49a)  I fall där grunder saknas för att tillåta en överföring bör undantag medges om detta är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta, eller om det är avgörande för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller i ett tredjeland, eller i enskilda fall när det är nödvändigt för att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, eller i enskilda fall för att fastslå, göra gällande eller försvara rättsliga anspråk. Dessa undantag bör tolkas återhållsamt och inte leda till upprepad, omfattande eller systematisk överföring av personuppgifter och bör inte tillåta överföring av uppgifter i klump, som bör begränsas till uppgifter som är absolut nödvändiga. Beslutet om överföringen bör fattas av en vederbörligen bemyndigad person och den överföringen dokumenteras, och beslutet bör på begäran göras tillgängligt för tillsynsmyndigheten för övervakning av överföringens lagenlighet. [Ändr. 41]

(50)  När personuppgifter förs över gränserna kan detta öka risken för att enskilda inte kan utöva sina uppgiftsskyddsrättigheter att skydda sig från otillåten användning eller utlämnande av dessa uppgifter. Samtidigt kan tillsynsmyndigheter finna att de inte är i stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför gränserna för deras land. Deras strävan att samarbeta i ett gränsöverskridande sammanhang kan också försvåras på grund av otillräckliga preventiva eller korrigerande befogenheter eller oenhetliga rättsliga regelverk. Närmare samarbete mellan tillsynsmyndigheter bör därför främjas för att hjälpa dem att utbyta information med sina utländska motsvarigheter.

(51)  För att skydda enskilda vid behandling av personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i detta direktiv och bidra till enhetlig tillämpning i hela unionen, för att skydda fysiska personer när deras personuppgifter behandlas. För detta ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen . [Ändr. 42]

(52)  Medlemsstaterna får anförtro en tillsynsmyndighet som de redan inrättat i enlighet med förordning (EU) …./2014 ansvaret för de arbetsuppgifter som ska skötas av de nationella tillsynsmyndigheter som ska inrättas med anledning av detta direktiv.

(53)  Medlemsstaterna bör kunna inrätta mer än en tillsynsmyndighet för att återspegla sin konstitutionella, organisatoriska och administrativa struktur. Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur, inklusive teknisk kapacitet, erfarenhet och kompetens, som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen. [Ändr. 43]

(54)  De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, på grundval av samrådet med parlamentet, och inkludera regler om deras personliga kvalifikationer och ställning. [Ändr. 44]

(55)  Detta direktiv är visserligen tillämpligt på nationella domstolars verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter i domstolar när detta sker som en del av domstolarnas dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga arbetsuppgifter. Detta undantag bör dock vara inskränkt till genuint rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga verksamheter där domare i enlighet med nationell lagstiftning kan medverka.

(56)  För att detta direktiv ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndigheterna i alla medlemsstater ha samma uppdrag och effektiva befogenheter, bl.a. befogenheter att utreda, inbegripet effektiva utredningsbefogenheter , befogenhet att få tillgång till alla personuppgifter och all information som är nödvändig för fullgörandet av varje tillsynsfunktion, befogenhet att få tillträde till den registeransvariges eller registerförarens anläggningar, inbegripet uppgiftsbehandlingsutrustning, befogenhet att vidta rättsligt bindande åtgärder, fatta beslut och ålägga påföljder, särskilt vid klagomål från enskilda, samt delta i befogenhet att inleda rättsliga förfaranden. [Ändr. 45]

(57)  Tillsynsmyndigheterna bör ta emot klagomål som lämnas in av registrerade och utreda ärendena i fråga. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Tillsynsmyndigheten bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare utredning eller samordning med en annan tillsynsmyndighet bör den registrerade underrättas även om detta.

(58)  Tillsynsmyndigheterna bör bistå varandra när de utför sitt uppdrag och ge ömsesidigt bistånd för att se till att bestämmelser som antas i enlighet med i detta direktiv efterlevs och tillämpas enhetligt. Varje tillsynsmyndighet bör vara redo att delta i gemensamma insatser. Den tillsynsmyndighet som tar emot en begäran bör vara skyldig att besvara denna inom en fastställd tidsperiod. [Ändr. 46]

(59)  Europeiska dataskyddsstyrelsen som inrättats genom förordning (EU) …./2012 2014, bör bidra till detta direktivs enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen och unionens institutioner, främja samarbetet mellan tillsynsmyndigheterna i hela unionen samt yttra sig till kommissionen vid utarbetandet av delegerade akter och genomförandeakter som grundas på detta direktiv . [Ändr. 47]

(60)  Alla registrerade bör ha rätt att klaga hos en tillsynsmyndighet i en medlemsstat och ha rätt till rättsmedel om de anser att deras rättigheter enligt detta direktiv har kränkts eller om tillsynsmyndigheten inte agerar med anledning av ett klagomål eller inte agerar när så är nödvändigt för att skydda de registrerades rättigheter.

(61)  Alla organ, organisationer eller sammanslutningar som syftar till att skydda registrerades rättigheter vad gäller skyddet av personuppgifter agerar i det allmänna intresset och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att på de registrerades vägnar, om de av dessa vederbörligen fått detta uppdrag, klaga eller utöva rätten till rättsmedel, eller att oberoende av en registrerad persons klagomål själv själva klaga när de anser att ett personuppgiftsbrott har begåtts. [Ändr. 48]

(62)  Varje fysisk eller juridisk person bör ha rätt till ett rättsmedel mot beslut rörande dem som meddelats av en tillsynsmyndighet. En eventuell talan mot en tillsynsmyndighet bör väckas vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

(63)  Medlemsstaterna bör se till att domstolsförfarandena, för att vara effektiva, medger att åtgärder snabbt vidtas för att åtgärda eller förhindra överträdelser av detta direktiv.

(64)  Personer som lider skada, även ideell skada, till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure. [Ändr. 49]

(65)  Om någon fysisk eller juridisk person underlåter att följa detta direktiv bör detta leda till påföljder, oavsett om personen i fråga omfattas av privaträttslig eller offentligrättslig lagstiftning. Medlemsstaterna bör se till att påföljderna är effektiva, proportionella och avskräckande och ska vidta alla åtgärder som krävs för att påföljderna ska verkställas.

(65a)  Överföring av personuppgifter till andra myndigheter eller privata parter i unionen är förbjuden såvida inte överföringen följer lagen, mottagaren är etablerad i en medlemsstat och den registrerade inte har några berättigade särskilda intressen som hindrar överföringen och överföringen är nödvändig i ett visst fall för att den registeransvarige som överför uppgifterna ska kunna fullgöra ett uppdrag som denne lagenligen har tilldelats eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten eller förhindra allvarlig skada för enskildas rättigheter. Den registeransvarige bör informera mottagaren om ändamålet med uppgiftsbehandlingen och tillsynsmyndigheten om överföringen. Mottagaren bör också informeras om begränsningar av uppgiftsbehandlingen och se till att dessa iakttas. [Ändr. 50]

(66)  I syfte att uppnå målen för detta direktiv, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, och i synnerhet deras rätt till skydd av personuppgifter och för att säkra fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör antas framför allt antas i fråga om anmälningar av personuppgiftsbrott till tillsynsmyndigheterna för att ytterligare specificera kriterierna och villkoren för behandling som kräver en konsekvensbedömning avseende uppgiftsskydd samt kriterierna för och kraven på ett personuppgiftsbrott och med avseende på den adekvata skyddsnivån i ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation . Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive även på expertnivå och i synnerhet med Europeiska dataskyddsstyrelsen . När kommissionen bör, då den förbereder och utarbetar delegerande delegerade akter, bör den se till att relevanta handlingar översänds samtidigt till Europaparlamentet och till rådet samtidigt, i god tid och att detta sker så snabbt som möjligt och på lämpligt sätt. [Ändr. 51]

(67)  Genomförandebefogenheterna bör delegeras till kommissionen för att förutsättningarna för genomförandet av detta direktiv ska bli enhetliga i fråga om registeransvarigas och registerförares dokumentation, uppgiftsbehandlingens säkerhet, särskilt vad gäller krypteringsstandarder, och anmälningar av personuppgiftsbrott till tillsynsmyndigheten samt adekvata skyddsnivåer i ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation . Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (6) . [Ändr. 52]

(68)  Mot bakgrund av att dessa rättsakter har allmän räckvidd bör granskningsförfarandet användas för antagandet av åtgärder vidtas som gäller registeransvarigas och registerförares dokumentation, uppgiftsbehandlingens säkerhet, och anmälningar av personuppgiftsbrott till tillsynsmyndigheterna samt adekvat skyddsnivå i ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation . [Ändr. 53]

(69)  När tvingande skäl till skyndsamhet föreligger bör kommissionen i vederbörligen motiverade fall anta omedelbart tillämpliga genomförandeakter avseende ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation vars skyddsnivå inte är adekvat. [Ändr. 54]

(70)  Eftersom målen för detta direktiv, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av sina personuppgifter, och för att säkerställa ett fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför utan snarare , på grund av åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål. Medlemsstaterna får föreskriva strängare normer än dem som fastställs i detta direktiv. [Ändr. 55]

(71)  Rambeslut 2008/977/RIF bör upphävas genom detta direktiv.

(72)  Särskilda bestämmelser som avser behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder som finns i unionsakter, antagna före dagen för antagandet av detta direktiv, och som reglerar behandlingen av personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater till informationssystem som inrättats i enlighet med fördragen, bör kvarstå oförändrade. Eftersom artikel 8 i stadgan och artikel 16 i EUF-fördraget innebär att den grundläggande rätten till skydd av personuppgifter ska garanteras på ett konsekvent och enhetligt sätt i hela unionen, bör kommissionen bör inom två år efter det att direktivet har trätt i kraft utvärdera situationen vad gäller förhållandet mellan detta direktiv och rättsakter, antagna före dagen för antagandet av detta direktiv, som reglerar behandling av personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater medlemsstaterna till informationssystem som inrättats i enlighet med fördragen, i syfte att bedöma om dessa särskilda bestämmelser behöver anpassas till detta direktiv och lägga fram lämpliga förslag för att garantera konsekventa och enhetliga lagbestämmelser om behöriga myndigheters behandling av personuppgifter eller åtkomst för de myndigheter som medlemsstaterna utsett till informationssystem som inrättats i enlighet med fördragen, liksom behandling av personuppgifter som utförs av unionens institutioner, organ och byråer i syfte att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder inom detta direktivs tillämpningsområde . [Ändr. 56]

(73)  För att säkerställa ett övergripande och enhetligt skydd av personuppgifter i unionen, bör internationella avtal som unionen eller medlemsstaterna ingått före ikraftträdandet av detta direktiv ändras så att de överensstämmer med detta direktiv. [Ändr. 57]

(74)  Detta direktiv påverkar inte bestämmelserna om bekämpande av sexuella övergrepp mot barn och sexuell exploatering av barn och barnpornografi i Europaparlamentets och rådets direktiv 2011/93/EU(7) .

(75)  I enlighet med artikel 6a i protokollet nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, som fogats till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, är Förenade kungariket och Irland inte bundna av bestämmelserna i detta direktiv, i det fall då Förenade kungariket och Irland inte är bundna av bestämmelserna om formerna för straffrättsligt samarbete eller polissamarbete inom ramen för vilka de bestämmelser måste iakttas som fastställs på grundval av artikel 16 i fördraget om Europeiska unionens funktionssätt.

(76)  I enlighet med artiklarna 2 och 2a i protokollet nr 22 om Danmarks ställning, som fogats till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, är detta direktiv inte bindande för eller tillämpligt på Danmark. Eftersom detta direktiv innebär en utbyggnad av Schengenregelverket, som omfattas av avdelning V i tredje delen av fördraget om Europeiska unionens funktionssätt, ska Danmark i enlighet med artikel 4 i protokollet inom en tid av sex månader efter antagandet av detta direktiv besluta huruvida landet ska genomföra det i sin nationella lagstiftning. [Ändr. 58]

(77)  När det gäller Island och Norge utgör detta direktiv en vidareutveckling av Schengenregelverket i enlighet med avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket(8) .

(78)  När det gäller Schweiz utgör detta direktiv, i enlighet med avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, en utveckling av bestämmelserna i Schengenregelverket(9) .

(79)  När det gäller Liechtenstein utgör detta direktiv en vidareutveckling av bestämmelserna i Schengenregelverket i enlighet med protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket(10) .

(80)  Detta direktiv respekterar de grundläggande rättigheterna och iakttar de principer som erkänns i stadgan som fastställs i fördraget, bl.a. rätten till respekt för privatlivet och familjelivet, rätten till skydd av personuppgifter, rätt till ett effektivt rättsmedel och till en opartisk domstol. De inskränkningar som gjorts av dessa rättigheter överensstämmer med artikel 52.1 i stadgan eftersom de är nödvändiga för att uppnå av unionen erkända mål av allmänt intresse eller för att skydda andras fri- och rättigheter.

(81)  I enlighet med medlemsstaternas och kommissionens gemensamma politiska förklaring om förklarande dokument av den 28 september 2011(11) har medlemsstaterna, i de fall detta är motiverat, åtagit sig att till anmälan av införlivandeåtgärder bifoga ett eller flera dokument som förklarar förhållandet mellan ett direktivs olika delar och motsvarande delar i de nationella instrumenten för införlivande. När det gäller detta direktiv anser lagstiftaren det vara motiverat att sådana dokument lämnas in.

(82)  Detta direktiv bör inte hindra medlemsstaterna från att i nationell straffprocesslagstiftning genomföra bestämmelser om registrerades utövande av sina rättigheter vad gäller information, tillgång, rättelse, radering och begränsning av sina personuppgifter som behandlas i samband med straffrättsliga förfaranden samt eventuella begränsningar av dessa rättigheter.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Syfte och mål

1.  I detta direktiv fastställs bestämmelser om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller och verkställa straffrättsliga påföljder samt villkor för den fria rörligheten för sådana personuppgifter .

2.  Enligt detta direktiv ska medlemsstaterna

a)  skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av sina personuppgifter och sin integritet , och

b)  se till att behöriga myndigheters utbyte av personuppgifter inom unionen varken begränsas eller förbjuds av skäl som rör skyddet för enskilda personer med avseende på behandlingen av personuppgifter.

2a.  Detta direktiv ska inte hindra medlemsstaterna från att föreskriva starkare skyddsåtgärder än dem som fastställs i detta direktiv. [Ändr. 59]

Artikel 2

Tillämpningsområde

1.  Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.

2.  Direktivet ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

3.  Direktivet ska inte tillämpas på behandling av personuppgifter

a)  som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen, särskilt avseende nationell säkerhet, .

b)  som utförs av unionens institutioner, organ och byråer. [Ändr. 60]

Artikel 3

Definitioner

I detta direktiv gäller följande definitioner:

(1)  den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

2.  personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person ( den registrerade); en identifierbar person är en person som kan identifieras, direkt eller indirekt, i synnerhet genom hänvisning till en identifikator såsom ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en unik identitetsbeteckning eller till en eller flera faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet eller könsidentitet .

2a.  pseudonymiserade uppgifter: personuppgifter som inte kan hänföras till en viss registrerad person utan att kompletterande uppgifter används, så länge som dessa hålls åtskilda och är föremål för tekniska och organisatoriska åtgärder för att utesluta sådan hänföring.

3.  behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat automatiskt eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

3a.   profilering: varje form av automatisk behandling av personuppgifter som syftar till att utvärdera vissa personliga egenskaper hos en fysisk person eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende.

4.  begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

5.  register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

6.  registeransvarig: en behörig offentlig myndighet som ensam eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne kan utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning.

7.  registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning.

8.  mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas.

9.  personuppgiftsbrott: ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

10.  genetiska uppgifter: alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling.

11.  biometriska uppgifter: alla uppgifter personuppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter.

12.  uppgifter om hälsa: alla uppgifter personuppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen.

13.  barn: alla personer som är yngre än arton år.

14.  behöriga myndigheter: varje offentlig myndighet med behörighet att förebygga, utreda, avslöja eller lagföra brott eller att verkställa straffrättsliga påföljder.

15.  tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 39. [Ändr. 61]

KAPITEL II

Principer

Artikel 4

Principer om behandling av personuppgifter

Medlemsstaterna ska föreskriva att personuppgifter ska

a)  behandlas på ett lagenligt och korrekt sätt som medger insyn och lagligt sätt kontroll med avseende på den registrerade ,

b)  samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål,

c)  vara adekvata, relevanta och inte för omfattande begränsade till vad som är absolut nödvändigt i förhållande till de syften ändamål för vilka de behandlas; de får behandlas endast om, och så länge som, ändamålen inte kan uppnås genom behandling av information som inte inbegriper personuppgifter ,

d)  vara riktiga och om nödvändigt hållas aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga oriktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål,

e)  förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas,

f)  behandlas under ansvar av den registeransvarige, som ska se till och kunna styrka att kraven i de bestämmelser som antas i enlighet med detta direktiv uppfylls. följs,

fa)  behandlas på ett sätt som gör det möjligt för den registrerade att utöva sina rättigheter enligt artiklarna 10–17,

fb)  behandlas på ett sätt som skyddar mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse med hjälp av lämpliga tekniska eller organisatoriska åtgärder,

fc)  behandlas enbart av den vederbörligen bemyndigade personal hos de behöriga myndigheterna som behöver uppgifterna för att utföra sina arbetsuppgifter. [Ändr. 62]

Artikel 4a

Tillgång till uppgifter som ursprungligen behandlades för andra ändamål än dem som avses i artikel 1.1

1.  Medlemsstaterna ska föreskriva att behöriga myndigheter får ha tillgång till personuppgifter som ursprungligen behandlades för andra ändamål än dem som avses i artikel 1.1 endast om de specifikt tillåts detta enligt unionslagstiftningen eller nationell lagstiftning som ska uppfylla de krav som anges i artikel 7.1a och föreskriva att

a)  tillgång tillåts endast för vederbörligen bemyndigad personal under utförandet av deras arbetsuppgifter, om det i ett visst fall finns rimliga skäl att anta att behandlingen av personuppgifterna kommer att ge ett betydande bidrag till att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder,

b)  begäran om tillgång ska vara skriftlig och innehålla en hänvisning till den rättsliga grunden för begäran,

c)  den skriftliga begäran ska vara dokumenterad, och att

d)  lämpliga skyddsåtgärder ska vidtas för att garantera skyddet av grundläggande fri- och rättigheter i samband med behandlingen av personuppgifter. Dessa skyddsåtgärder ska inte inverka på utan komplettera särskilda villkor för tillgång till personuppgifter, såsom domstolsgodkännande i enlighet med nationell lagstiftning.

2.  Tillgång till personuppgifter som innehas av privata parter eller andra offentliga myndigheter ska medges endast för utredning eller lagföring av brott, i överensstämmelse med de nödvändighets- och proportionalitetskrav som ska fastställas enligt unionslagstiftningen eller medlemsstatens lagstiftning, i fullständig överensstämmelse med artikel 7a. [Ändr. 63]

Artikel 4b

Tidsgränser för lagring och översyn

1.  Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska radera personuppgifter som behandlas i enlighet med detta direktiv när uppgifterna inte längre är nödvändiga för de ändamål för vilka de behandlades.

2.  Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska införa rutiner för att säkerställa att tidsgränser i enlighet med artikel 4 fastställs för radering av personuppgifter och för periodisk översyn av behovet att lagra uppgifterna, inbegripet fastställande av lagringsperioder för de olika kategorierna av personuppgifter. Förfaranden ska fastställas för att se till att dessa tidsgränser eller tidsintervallen för periodisk översyn iakttas. [Ändr. 64]

Artikel 5

Åtskillnad mellan Olika kategorier av registrerade

1.  Medlemsstaterna ska föreskriva att den registeransvarige, så långt det är möjligt, ska göra en klar åtskillnad mellan de behöriga myndigheterna för de ändamål som avses i artikel 1.1 får behandla personuppgifter som rör för följande olika kategorier av registrerade, såsom och den registeransvarige ska göra en tydlig åtskillnad mellan dessa kategorier:

a)  personer avseende vilka det finns tungt vägande rimliga skäl att anta att de har begått eller är på väg att begå ett brott,

b)  personer som dömts för brott,

c)  brottsoffer, eller personer avseende vilka det finns vissa omständigheter som ger anledning att anta att de kan ha blivit offer för ett brott,

d)  andra som berörs av brottet, såsom personer som kan komma att kallas att vittna i samband med brottsutredningar eller senare straffrättsliga förfaranden, personer som kan ge information om brott, eller personer med kontakter eller band till någon av de personer som avses i a och b, och

e)  personer som inte passar in i någon av de kategorier som anges ovan.

2.  Personuppgifter avseende andra registrerade än dem som avses i punkt 1 får behandlas endast

a)  så länge som det är nödvändigt för utredningen eller lagföringen av ett visst brott i syfte att bedöma relevansen av uppgifterna för någon av de kategorier som anges i punkt 1, eller

b)  om behandlingen är absolut nödvändig för riktade, förebyggande ändamål eller för brottsanalys, om och så länge som detta ändamål är legitimt, väldefinierat och specifikt och behandlingen är strikt begränsad till att bedöma relevansen av uppgifterna för någon av de kategorier som anges i punkt 1. Detta ska ses över regelbundet, minst var sjätte månad. All vidare användning är förbjuden.

3.  Medlemsstaterna ska se till att ytterligare begränsningar och skyddsåtgärder i enlighet med nationell lagstiftning tillämpas på vidare behandling av personuppgifter om registrerade som avses i punkt 1 c och d. [Ändr. 65]

Artikel 6

Olika grader av korrekthet riktighet och tillförlitlighet hos personuppgifter

1.  Medlemsstaterna ska se till att de olika kategorier av riktigheten och tillförlitligheten för personuppgifter som behandlas, så långt det är möjligt, åtskiljs i enlighet med deras korrekthets- och tillförlitlighetsgrad garanteras .

2.  Medlemsstaterna ska se till att personuppgifter som grundar sig på fakta så långt det är möjligt åtskiljs från personuppgifter som grundar sig på personliga bedömningar, i enlighet med deras grad av riktighet och tillförlitlighet .

2a.  Medlemsstaterna ska se till att personuppgifter som är oriktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. I detta syfte ska de behöriga myndigheterna bedöma personuppgifternas kvalitet innan dessa överförs eller görs tillgängliga. Vid all överföring av uppgifter ska, så långt det är möjligt, sådan tillgänglig information läggas till som gör att den mottagande medlemsstaten kan bedöma graden av riktighet, fullständighet, och tillförlitlighet. Personuppgifter ska inte överföras utan en begäran från en behörig myndighet; detta gäller särskilt uppgifter som ursprungligen härrör från privata parter.

2b.  Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter olovligen har överförts ska mottagaren omedelbart underrättas om detta. Mottagaren ska vara skyldig att utan dröjsmål rätta uppgifterna i enlighet med punkt 1 och artikel 15 eller radera dem i enlighet med artikel 16. [Ändr. 66]

Artikel 7

När personuppgifter får behandlas Tillåten behandling

1.   Medlemsstaterna ska föreskriva att behandling av personuppgifter är tillåten endast om och i den mån som behandlingen grundas på unionslagstiftning eller nationell lagstiftning, för de ändamål som anges i artikel 1.1, och är nödvändig

a)  för att utföra en arbetsuppgift som utförs av en behörig myndighet, på grundval av lagstiftning och för de ändamål som anges i artikel 1.1, eller

(b)  för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller

c)  för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

d)  för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten.

1a.  Den lagstiftning i medlemsstaterna som reglerar behandlingen av personuppgifter inom tillämpningsområdet för detta direktiv ska innehålla uttryckliga och detaljerade bestämmelser som anger minst följande:

a)  Målet för behandlingen.

b)  Vilka personuppgifter som ska behandlas.

c)  De specifika ändamålen med och medlen för behandlingen.

d)  Utnämningen av den registeransvarige eller de särskilda kriterierna för utnämningen av denne.

e)  Kategorier av vederbörligen bemyndigad personal hos de behöriga myndigheterna för behandling av personuppgifter.

f)  Det förfarande som ska följas under behandlingen.

g)  Hur erhållna personuppgifter får användas.

h)  Begränsningar av räckvidden för eventuell bestämmanderätt som de behöriga myndigheterna ges med avseende på behandlingen av personuppgifter. [Ändr. 67]

Artikel 7a

Vidare behandling för oförenliga ändamål

1.  Medlemsstaterna ska föreskriva att personuppgifter får behandlas vidare för ett annat ändamål som anges i artikel 1.1 och som inte är förenligt med de ändamål för vilka uppgifterna ursprungligen samlades in endast om och i den utsträckning som

a)  ändamålet är absolut nödvändigt och proportionellt i ett demokratiskt samhälle och påbjuds av unionslagstiftningen eller nationell lagstiftning för ett legitimt, väldefinierat och specifikt ändamål,

b)  behandlingen är strikt begränsad till en period som inte överskrider den tid som krävs för den specifika uppgiftsbehandlingen,

c)  all vidare användning för andra ändamål är förbjuden.

Innan någon behandling utförs ska medlemsstaten höra den behöriga nationella tillsynsmyndigheten och göra en konsekvensbedömning avseende uppgiftsskydd.

2.  Utöver de krav som anges i artikel 7.1a ska den lagstiftning i medlemsstaterna som ger tillstånd till sådan vidare behandling som avses i punkt 1 innehålla uttryckliga och detaljerade bestämmelser som anger minst följande:

a)  De specifika ändamålen med och medlen för den aktuella behandlingen.

b)  Att tillgång medges endast av de behöriga myndigheternas vederbörligen bemyndigade personal under utförandet av deras arbetsuppgifter, om det i ett visst fall finns rimliga skäl att anta att behandlingen av personuppgifterna på ett betydande sätt kommer att bidra till att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder.

c)  Att lämpliga skyddsåtgärder vidtas för att garantera skyddet av grundläggande rättigheter och friheter i samband med behandlingen av personuppgifter.

Medlemsstaterna får kräva att tillgången till personuppgifter omfattas av ytterligare villkor, såsom domstolsgodkännande, i enlighet med sin nationella lagstiftning.

3.  Medlemsstaterna får också tillåta vidare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål förutsatt att de vidtar lämpliga skyddsåtgärder, exempelvis att uppgifterna görs anonyma. [Ändr. 68]

Artikel 8

Behandling av särskilda kategorier av personuppgifter

1.  Medlemsstaterna ska förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse livsåskådning, sexuell läggning eller könsidentitet samt medlemskap eller verksamhet i fackförening, samt fackföreningar, liksom behandling av genetiska biometriska uppgifter eller uppgifter om hälsa eller sexualliv.

2.  Punkt 1 ska inte gälla om

a)  behandlingen godkänns av lagstiftning med bestämmelser om lämpliga skyddsåtgärder, eller är absolut nödvändig för och står i proportion till de behöriga myndigheternas utförande av en arbetsuppgift för de ändamål som anges i artikel 1.1, på grundval av unionslagstiftning eller nationell lagstiftning som ska föreskriva särskilda och lämpliga åtgärder för att skydda den registrerades berättigade intressen, inklusive särskilt godkännande från en rättslig myndighet, om så krävs enligt nationell lagstiftning,

b)  behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

c)  behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade, under förutsättning att de är relevanta och absolut nödvändiga för ändamålet i ett specifikt fall . [Ändr. 69]

Artikel 8a

Behandling av genetiska uppgifter för brottsutredningar eller rättsliga förfaranden

1.  Medlemsstaterna ska se till att genetiska uppgifter får användas endast för att fastställa ett genetiskt samband inom ramen för framläggande av bevisning, avvärjande av hot mot den allmänna säkerheten eller förhindrande av att ett visst brott begås. Genetiska uppgifter får inte användas för att fastställa andra egenskaper som kan ha ett genetisk samband.

2.  Medlemsstaterna ska föreskriva att genetiska uppgifter eller information som härrör från analys av sådana uppgifter får bevaras endast så länge som är nödvändigt för de ändamål för vilka uppgifterna behandlas och om den berörda personen har dömts för allvarliga brott mot människors liv, integritet eller säkerhet; bevarandet ska underkastas strikta lagringsperioder som ska fastställas i nationell lagstiftning.

3.  Medlemsstaterna ska se till att genetiska uppgifter och information som härrör från analys av sådana uppgifter lagras under längre perioder endast om de genetiska uppgifterna inte kan hänföras till en enskild person, i synnerhet vid fynd på en brottsplats. [Ändr. 70]

Artikel 9

Åtgärder som grundar sig på profilering och automatisk behandling

1.  Medlemsstaterna ska föreskriva att åtgärder som har negativa rättsliga följder för den registrerade eller som väsentligt berör honom eller henne och som enbart delvis eller helt grundas på en automatisk behandling av uppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska förbjudas om åtgärderna inte godkänns av lagstiftning som också innehåller bestämmelser till skydd för den registrerades berättigade intressen.

2.  Automatisk behandling av personuppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska inte grunda sig enbart på de särskilda kategorier av personuppgifter som anges i artikel 8.

2a.  Automatisk behandling av personuppgifter som är avsedd att särskilja en registrerad person utan någon inledande misstanke om att den registrerade kan ha begått eller kommer att begå brott ska vara tillåten endast om och i den mån det är absolut nödvändigt för att utreda ett allvarligt brott eller för att avvärja en uppenbar och överhängande fara, fastställd på grundval av faktiska omständigheter, för den allmänna säkerheten, statens säkerhet eller människors liv.

2b.  Profilering som – avsiktligt eller ej – diskriminerar enskilda på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, kön eller sexuell läggning, eller som – avsiktligt eller ej – leder till åtgärder som får en sådan verkan, ska alltid vara förbjuden. [Ändr. 71]

Artikel 9a

Allmänna principer för den registrerades rättigheter

1.  Medlemsstaterna ska se till att grunden för uppgiftsskyddet är tydlig och ger den registrerade otvetydiga rättigheter som ska respekteras av den registeransvarige. Bestämmelserna i detta direktiv syftar till att stärka, förtydliga, garantera och vid behov lagfästa dessa rättigheter.

2.  Medlemsstaterna ska se till att dessa rättigheter inbegriper bland annat rätten till tydlig och lättbegriplig information om behandlingen av den registrerades personuppgifter, rätten till tillgång, rättelse och radering av uppgifter, rätten att erhålla uppgifter, rätten att klaga hos den behöriga uppgiftsskyddsmyndigheten och att inleda ett rättsligt förfarande samt rätten till ersättning och skadestånd till följd av otillåten behandling av personuppgifter. Dessa rättigheter ska i allmänhet kunna utövas kostnadsfritt. Den registeransvarige ska besvara en begäran från den registrerade inom rimlig tid. [Ändr. 72]

KAPITEL III

DEN REGISTRERADES RÄTTIGHETER

Artikel 10

Villkor för utövandet av den registrerades rättigheter

1.  Medlemsstaterna ska föreskriva att den registeransvarige ska vidta alla rimliga åtgärder för att ha en koncis, klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

2.  Medlemsstaterna ska föreskriva att all information och kommunikation som rör behandlingen av personuppgifter ska tillhandahållas av den registeransvarige till den registrerade i en begriplig form, med användning av klart och tydligt språk, i synnerhet om informationen specifikt riktas till ett barn .

3.  Medlemsstaterna ska föreskriva att den registeransvarige ska vidta alla rimliga åtgärder för att fastställa förfaranden för tillhandahållandet av den information som anges avses i artikel 11 och för utövandet av den registrerades rättigheter enligt i artiklarna 12–17. Om personuppgifter behandlas automatiskt ska den registeransvarige också erbjuda en möjlighet att lämna in begäran elektroniskt.

4.  Medlemsstaterna ska föreskriva att den registeransvarige ska informera den registrerade om uppföljningen av hans eller hennes dennes begäran utan onödigt dröjsmål, dock senast inom en månad efter mottagandet av begäran . Informationen ska ges skriftligt. Om den registrerade gör begäran i elektronisk form ska informationen lämnas i elektronisk form.

5.  Medlemsstaterna ska föreskriva att den information och de åtgärder som vidtas av den registeransvarige på sådan begäran som avses i punkterna 3 och 4 ska vara gratis. Om begäran är särskilt betungande uppenbart orimlig , särskilt på grund av dess repetitiva karaktär, storlek eller volym, får den registeransvarige ta ut en avgift som är rimlig med hänsyn till de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden . I så fall ska det åligga den registeransvarige att visa att begäran är särskilt betungande uppenbart orimlig .

5a.  Medlemsstaterna får föreskriva att den registrerade ska kunna hävda sina rättigheter direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten. Om tillsynsmyndigheten har handlat på den registrerades begäran ska den underrätta denne om de genomförda kontrollerna. [Ändr. 73]

Artikel 11

Information till den registrerade

1.  Om personuppgifter som rör en registrerad person samlas in, ska medlemsstaterna se till att den registeransvarige vidtar alla lämpliga åtgärder för att till den registrerade åtminstone lämna lämnar information om åtminstone följande:

a)  Identitet och kontaktuppgifter för den registeransvarige och uppgiftsskyddsombudet.

b)  Den rättsliga grunden för och ändamålen med den behandling för vilken personuppgifterna är avsedda.

c)  Den period under vilken personuppgifterna kommer att lagras.

d)  Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse, radering eller begränsning av behandlingen av de personuppgifter som rör den registrerade.

e)  Rätten att inge ett klagomål till den tillsynsmyndighet som avses i artikel 39, samt dess kontaktuppgifter.

f)  Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet i tredjeländer eller internationella organisationer, och vem som är behörig att få tillgång till dessa uppgifter enligt tredjelandets lagar eller den internationella organisationens regler, huruvida det finns ett beslut av kommissionen om adekvat skyddsnivå, eller, vid sådana överföringar som avses i artiklarna 35 eller 36, hur man får en kopia av de lämpliga skyddsåtgärder som används för överföringen .

fa)  Om den registeransvarige behandlar personuppgifter enligt artikel 9.1: information om att behandlingen sker för en åtgärd av det slag som avses i artikel 9.1 samt om de avsedda effekterna av denna behandling för den registrerade, information om vilka logiska funktioner som används i profileringen och om rätten att få en bedömning utförd av en människa.

fb)  Information om säkerhetsåtgärder som vidtagits för att skydda personuppgifter.

g)  Eventuell ytterligare information i den utsträckning som den ytterligare informationen är nödvändig för att garantera en korrekt behandling när det gäller den registrerade, med hänsyn tagen till de särskilda omständigheter under vilka personuppgifter behandlas.

2.  Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller valfritt, samt om de möjliga följderna om sådana uppgifter inte lämnas.

3.  Den registeransvarige ska lämna den information som anges i punkt 1

a)  vid den tidpunkt när personuppgifterna erhålls från den registrerade, eller

b)  om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna behandlas.

4.  Medlemsstaterna får genom lagstiftning vidta åtgärder som gör att informationen till den registrerade senareläggs, eller begränsas eller utelämnas , i ett specifikt fall, i den utsträckning och så länge som, en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens grundläggande rättigheter och berättigade intressen, i syfte att

a)  hindra obstruktion av officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

b)  inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)  skydda allmän säkerhet,

d)  skydda nationell säkerhet,

e)  skydda andra personers fri- och rättigheter.

5.  Medlemsstaterna ska föreskriva att den registeransvarige genom en konkret och individuell prövning i varje enskilt fall ska bedöma om en partiell eller fullständig begränsning av något av de skäl som anges i punkt 4 är tillämplig. Medlemsstaterna får genom lag även fastställa kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 4 a, b, c och d . [Ändr. 74]

Artikel 12

Den registrerades rätt till tillgång

1.  Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Om sådana personuppgifter håller på att behandlas ska den registeransvarige tillhandahålla följande information, om den inte redan har tillhandahållits :

—a)  Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer samt, i förekommande fall, begriplig information om vilka logiska funktioner som används för eventuell automatisk behandling.

—aa)  Betydelsen och de förutsedda följderna av sådan behandling, åtminstone när det rör sig om de åtgärder som avses i artikel 9.

a)  Ändamålen med behandlingen och dess rättsliga grund .

b)  De kategorier av personuppgifter som behandlingen gäller.

c)  De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut, särskilt mottagare i tredjeländer.

d)  Den period under vilken personuppgifterna kommer att lagras.

e)  Förekomsten av rättigheten att av den registeransvarige begära rättelse, radering eller begränsning av behandling av personuppgifter som rör den registrerade,

f)  Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

g)  Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer.

2.  Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige erhålla en kopia av de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, såvida inte den registrerade begär något annat. [Ändr. 75]

Artikel 13

Begränsningar av rätten till tillgång

1.  Medlemsstaterna får anta lagstiftning som helt eller delvis, beroende på det specifika fallet, begränsar den registrerades rätt till tillgång, i den utsträckning och för den tidsperiod som en sådan partiell eller fullständig begränsning utgör en absolut nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens grundläggande rättigheter och berättigade intressen, i syfte att

a)  hindra obstruktion av officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

b)  inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)  skydda allmän säkerhet,

d)  skydda nationell säkerhet,

e)  skydda andra personers fri- och rättigheter.

2.  Medlemsstaterna ska föreskriva att den registeransvarige genom en konkret och individuell prövning i varje enskilt fall ska bedöma om en partiell eller fullständig begränsning av något av de skäl som anges i punkt 1 är tillämplig. Medlemsstaterna får också i lag fastställa kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 1 1 a–d .

3.  I de fall som avses i punkterna 1 och 2 ska medlemsstaterna föreskriva att den registeransvarige ska informera den registrerade skriftligen utan onödigt dröjsmål om varje vägran att ge tillgång avslag eller begränsning av tillgången, om skälen för vägran motiveringen till avslaget och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning. Information om den sakliga eller rättsliga grunden för beslutet får utelämnas om tillhandahållande av sådan information skulle undergräva ett ändamål enligt punkt 1.

4.  Medlemsstaterna ska se till att den registeransvarige dokumenterar den bedömning som avses i punkt 2 samt skälen till utelämnandet begränsningen av informationen om de sakliga och rättsliga grunderna för beslutet. Denna information ska göras tillgänglig för de nationella tillsynsmyndigheterna. [Ändr. 76]

Artikel 14

Villkor för att utöva rätten till tillgång

1.  Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att begära att när som helst tillsynsmyndigheten kontrollerar att behandlingen är tillåten, särskilt i de fall som anges i artikel artiklarna 12 och 13.

2.  Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade om rätten att begära att tillsynsmyndigheten ska ingripa enligt punkt 1.

3.  När den rätt som avses i punkt 1 utövas, ska tillsynsmyndigheten åtminstone underrätta den registrerade om att tillsynsmyndighetens alla nödvändiga kontroller har ägt rum, och om resultatet när det gäller huruvida den berörda behandlingen är tillåten. Tillsynsmyndigheten ska också informera den registrerade om rätten att begära rättslig prövning.

3a.  Medlemsstaterna får föreskriva att den registrerade ska kunna hävda denna rättighet direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten.

3b.  Medlemsstaterna ska säkerställa att det finns rimliga tidsfrister för den registeransvarige att besvara en begäran från den registrerade i fråga om utövandet av dennes rätt till tillgång. [Ändr. 77]

Artikel 15

Rätt till rättelse och komplettering

1.  Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige erhålla rättelse eller komplettering av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade ska ha rätt att få till stånd komplettering av oriktiga eller ofullständiga personuppgifter , i synnerhet genom en komplettering eller korrigering.

2.  Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen om eventuell vägran att medge ett eventuellt avslag på rättelse eller komplettering , om skälen för vägran motiveringen till avslaget och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättsmedel rättslig prövning .

2a.  Medlemsstaterna ska föreskriva att den registeransvarige ska meddela varje rättelse som genomförs till varje mottagare till vilken uppgifterna har lämnats ut, såvida inte detta visar sig omöjligt eller innebär en orimlig möda.

2b.  Medlemsstaterna ska föreskriva att den registeransvarige ska meddela varje rättelse av oriktiga personuppgifter till den tredje part från vilken de oriktiga personuppgifterna kommer.

2c.  Medlemsstaterna ska föreskriva att den registrerade ska kunna hävda denna rättighet även via den behöriga nationella tillsynsmyndigheten. [Ändr. 78]

Artikel 16

Rätt till radering

1.  Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande henne eller honom raderas om behandlingen inte uppfyller kraven i de bestämmelser som antas enligt i enlighet med artiklarna 4 a–e 4 , 6 och 7- 8 i det här direktivet detta direktiv .

2.  Den registeransvarige ska genomföra raderingen utan dröjsmål. Den registeransvarige ska också avstå från vidare spridning av sådana uppgifter.

3.  I stället för radering ska den registeransvarige märka begränsa behandlingen av personuppgifterna om

a)  den registrerade bestrider deras korrekthet riktighet , under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta riktiga ,

b)  personuppgifterna måste bevaras för bevisändamål, eller för skydd av intressen som är av grundläggande betydelse för den registrerade eller en annan person.

(c)  den registrerade motsätter sig att de raderas och i stället begär att deras användning begränsas.

3a.  Om behandlingen av personuppgifter begränsas i enlighet med punkt 3 ska den registeransvarige underrätta den registrerade före upphävandet av begränsningen av behandlingen.

4.  Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen med motivering om eventuell vägran att radera ett eventuellt avslag på radering eller eventuell märkning begränsning av behandlingen, om skälen till vägran avslaget och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

4a.  Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta mottagarna av dessa uppgifter om varje radering eller begränsning som genomförts i enlighet med punkt 1, såvida inte detta visar sig omöjligt eller innebär en orimlig möda. Den registeransvarige ska underrätta den registrerade om dessa tredje parter.

4b.  Medlemsstaterna får föreskriva att den registrerade ska kunna hävda denna rättighet direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten. [Ändr. 79]

Artikel 17

Den registrerades rättigheter i brottsutredningar och straffrättsliga förfaranden

Medlemsstaterna får föreskriva att de rättigheter till information, tillgång, rättelse, radering och begränsning av behandling som avses i artiklarna 11–16 ska genomföras i enlighet med nationella bestämmelser om rättsliga förfaranden om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll som behandlas i samband med brottsutredningar och straffrättsliga förfaranden.

KAPITEL IV

REGISTERANSVARIG OCH REGISTERFÖRARE

AVSNITT 1

ALLMÄNNA SKYLDIGHETER

Artikel 18

Den registeransvariges ansvar

1.  Medlemsstaterna ska föreskriva att den registeransvarige ska anta policyer och vidta lämpliga åtgärder för att se till att – och för varje behandling på ett öppet sätt kunna styrka att – behandlingen av personuppgifter uppfyller kraven i de bestämmelser som antas i enlighet med till följd av detta direktiv, både vid tidpunkten för fastställandet av medlen för behandlingen och vid tidpunkten för själva behandlingen .

2.  De åtgärder som avses i punkt 1 ska särskilt avse att

a)  förvara den dokumentation som avses i artikel 23,

aa)  genomföra en konsekvensbedömning avseende uppgiftsskydd i enlighet med artikel 25a,

b)  uppfylla kraven på förhandssamråd enligt artikel 26,

c)  genomföra de krav på datasäkerhet som fastställs i artikel 27,

d)  utse ett uppgiftsskyddsombud enligt artikel 30. ,

da)  vid behov utarbeta och vidta särskilda skyddsåtgärder för behandling av personuppgifter om barn .

3.  Den registeransvarige ska införa rutiner för att säkerställa kontrollen av att de åtgärder som anges avses i punkt 1 i denna artikel är adekvata och verkningsfulla. Om det är proportionellt står i proportion till sitt syfte , ska denna kontroll utföras av oberoende interna eller externa granskare. [Ändr. 80]

Artikel 19

Inbyggt uppgiftsskydd och uppgiftsskydd som standard

1.  Medlemsstaterna ska föreskriva att den registeransvarige, och i förekommande fall registerföraren, med beaktande av dagens tillgängliga teknik och genomförandekostnaden den senaste tekniken , aktuell teknisk kunskap, internationell bästa praxis och de risker som uppgiftsbehandlingen är förknippad med, både vid tidpunkten för fastställandet av ändamålen och medlen för behandlingen och vid tidpunkten för själva behandlingen , ska genomföra lämpliga och proportionella tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i bestämmelser som antas i enlighet med detta direktiv och säkerställa skydd av den registrerades rättigheter, i synnerhet med avseende på de principer som anges i artikel 4 . Vid inbyggt uppgiftsskydd ska den fullständiga hanteringen av personuppgifter särskilt beaktas, från insamling till behandling och radering, med systematisk inriktning på omfattande rättssäkerhetsgarantier för personuppgifternas riktighet, konfidentialitet, integritet, fysiska säkerhet och radering. Om den registeransvarige har genomfört en konsekvensbedömning avseende uppgiftsskydd i enlighet med artikel 25a ska resultatet beaktas vid framtagandet av dessa åtgärder och förfaranden.

2.  Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast sådana de personuppgifter behandlas som är nödvändiga för behandlingens varje specifikt ändamål behandlas med behandlingen, och särskilt att de inte samlas in, bevaras eller sprids utöver vad som är absolut nödvändigt för dessa ändamål, i fråga om både mängden uppgifter och deras lagringstid . Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga för ett obestämt antal enskilda personer och att de registrerade kan kontrollera spridningen av sina personuppgifter. [Ändr. 81]

Artikel 20

Gemensamma registeransvariga

1.  Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra, ska medlemsstaterna föreskriva att de gemensamma registeransvariga ska fastställa sitt respektive ansvar för att uppfylla villkoren i de bestämmelser som antas i enlighet med detta direktiv, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan rättsligt bindande avtal dem emellan .

2.  Såvida den registrerade inte har underrättats om vilken av de gemensamma registeransvariga som är ansvarig i enlighet med punkt 1 får vederbörande utöva sina rättigheter enligt detta direktiv avseende och gentemot var och en av två eller fler gemensamma registeransvariga. [Ändr. 82]

Artikel 21

Registerförare

1.  Om behandlingen utförs på uppdrag av en registeransvarig ska medlemsstaterna föreskriva att den registeransvarige måste ska välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i de bestämmelser som antas i enlighet med detta direktiv och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras, och se till att dessa åtgärder efterlevs .

2.  Medlemsstaterna ska föreskriva att en registerförares behandling av uppgifter med hjälp av en registerförare ska regleras av ett avtal eller en rättsligt bindande handling mellan registerföraren och den registeransvarige och att det i handlingen särskilt ska föreskrivas att registerföraren endast får handla på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden.

a)   får handla endast efter instruktioner från den registeransvarige,

b)  anställer enbart personal som har förbundit sig till ett konfidentialitetskrav eller har lagstadgad tystnadsplikt,

c)  vidtar alla åtgärder som krävs enligt artikel 27,

d)  anlitar en annan registerförare endast med tillstånd från den registeransvarige och därmed informerar den registeransvarige om avsikten att anlita en annan registerförare i tillräckligt god tid för att den registeransvarige ska kunna motsätta sig detta,

e)  så långt det är möjligt med tanke på behandlingens karaktär i samförstånd med den registeransvarige antar de nödvändiga tekniska och organisatoriska kraven för att den registeransvarige ska anses fullgöra sin skyldighet att besvara begäranden om utövande av den registrerades rättigheter enligt kapitel III,

f)  bistår den registeransvarige i säkerställandet av fullgörandet av skyldigheterna enligt artiklarna 25a–29,

g)  återlämnar alla resultat till den registeransvarige efter behandlingens slut och inte behandlar personuppgifterna på annat sätt samt raderar existerande kopior, såvida inte unionslagstiftningen eller nationell lagstiftning kräver att uppgifterna lagras,

h)  ger den registeransvarige och tillsynsmyndigheten tillgång till all information som behövs för att kontrollera fullgörandet av skyldigheterna enligt denna artikel,

i)  beaktar principen om inbyggt uppgiftsskydd och uppgiftsskydd som standard.

2a.  Den registeransvarige och registerföraren ska skriftligen dokumentera den registeransvariges instruktioner och registerförarens skyldighet enligt punkt 2.

3.  Om en registerförare behandlar andra personuppgifter än de som den registeransvarige gett instruktioner om ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 20. [Ändr. 83]

Artikel 22

Behandling under den registeransvariges och registerförarens överinseende

1.  Medlemsstaterna ska föreskriva att registerföraren och personer som utför arbete under den registeransvariges eller registerförarens överinseende, och som får tillgång till personuppgifter, endast får behandla dessa enligt instruktion från den registeransvarige, eller där så krävs enligt unionslagstiftningen eller medlemsstaternas lagstiftning.

1a.  Om registerföraren är eller blir den som fattar beslut om ändamålen, medlen eller metoderna för uppgiftsbehandlingen eller inte endast handlar efter instruktioner från den registeransvarige, ska registerföraren anses vara en gemensam registeransvarig enligt artikel 20. [Ändr. 84]

Artikel 23

Dokumentation

1.  Medlemsstaterna ska föreskriva att varje registeransvarig och registerförare ska bevara dokumentation om alla system och förfaranden för uppgiftsbehandling som ligger inom deras ansvarsområde.

2.  Dokumentationen ska innehålla åtminstone följande uppgifter:

a)  Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare.

aa)  Ett rättsligt bindande avtal, om det finns gemensamma registeransvariga; en förteckning över registerförare och deras verksamhet.

b)  Ändamålen med behandlingen.

ba)  En uppgift om vilka delar av den registeransvariges eller registerförarens organisation som anförtrotts behandlingen av personuppgifter för ett visst ändamål.

bb)  En beskrivning av den eller de kategorier av registrerade som berörs och av de uppgifter eller kategorier av uppgifter som hänför sig till dem.

c)  Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

ca)  I förekommande fall, information om profilering, om åtgärder som grundar sig på profilering och om rutiner för att motsätta sig profilering.

cb)  Begriplig information om vilka logiska funktioner som tillämpas i eventuell automatisk behandling.

d)  Överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen samt de rättsliga grunderna för överföringen av uppgifterna . En materiell förklaring ska lämnas när en överföring grundas på artikel 35 eller artikel 36 i detta direktiv.

da)  Tidsgränserna för radering av de olika kategorierna av uppgifter.

db)  Resultaten av kontrollerna av de åtgärder som avses i artikel 18.1.

dc)  En uppgift om den rättsliga grunden för den behandling för vilken uppgifterna är avsedda.

3.  Den registeransvarige och registerföraren ska på begäran göra dokumentationen all dokumentation tillgänglig för tillsynsmyndigheten. [Ändr. 85]

Artikel 24

Registerföring

1.  Medlemsstaterna ska se till att register förs över åtminstone följande typer av behandlingar: insamling, ändring, läsning, utlämning, sammanförande eller radering. Registren över läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan behandling och i möjligaste mån identifikationen av den person som har läst eller lämnat ut personuppgifter och identitetsuppgifter för de personer som mottagit uppgifterna .

2.  Registren får endast användas för att kontrollera om behandlingen av uppgifterna är tillåten, för egenkontroll samt för att garantera dataintegritet och datasäkerhet, eller för kontroll som utförs av uppgiftsskyddsombudet eller tillsynsmyndigheten .

2a.  Den registeransvarige och registerföraren ska på begäran göra registren tillgängliga för tillsynsmyndigheten. [Ändr. 86]

Artikel 25

Samarbete med tillsynsmyndigheten

1.  Medlemsstaterna ska föreskriva att den registeransvarige och registerföraren på begäran ska samarbeta med tillsynsmyndigheten i dess tjänsteutövning, särskilt genom att tillhandahålla all den information som krävs för att tillsynsmyndigheten ska kunna utföra sina uppgifter avses i artikel 46.2 a och genom att ge tillgång i enlighet med artikel 46.2 b .

2.  Som reaktion på tillsynsmyndighetens utövande av sina befogenheter enligt artikel 46 46.1 a och b ska den registeransvarige och registerföraren svara tillsynsmyndigheten inom en rimlig period som anges av tillsynsmyndigheten . Svaret ska inbegripa en beskrivning av de åtgärder som vidtagits och de resultat som uppnåtts som svar på tillsynsmyndighetens anmärkningar. [Ändr. 87]

Artikel 25a

Konsekvensbedömning avseende uppgiftsskydd

1.  Medlemsstaterna ska föreskriva att den registeransvarige, eller registerföraren på den registeransvariges vägnar, ska genomföra en bedömning av konsekvenserna av de planerade behandlingssystemen och förfarandena för skyddet av personuppgifter, om det är sannolikt att uppgiftsbehandlingen medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning eller sina ändamål, innan nya behandlingar inleds eller snarast möjligt i fall av pågående behandling.

2.  Det är sannolikt att i synnerhet följande behandlingar medför de särskilda risker som avses i punkt 1:

a)  Behandling av personuppgifter i storskaliga register i syfte att förebygga, upptäcka, utreda eller lagföra brott och verkställa straffrättsliga påföljder.

b)  Behandling av särskilda kategorier av personuppgifter enligt vad som avses i artikel 8, av personuppgifter som gäller barn och av biometriska uppgifter och lokaliseringsuppgifter i syfte att förebygga, upptäcka, utreda eller lagföra brott och verkställa straffrättsliga påföljder.

c)  Utvärdering av en fysisk persons personliga egenskaper eller analyser eller förutsägelser av i synnerhet den fysiska personens beteende, på grundval av automatisk behandling och med den sannolika följden att åtgärder vidtas som ger rättsliga verkningar för den personen eller väsentligt påverkar vederbörande.

d)  Övervakning på allmän plats, särskilt med användning av optoelektroniska komponenter (videoövervakning).

e)  Annan behandling för vilken samråd med tillsynsmyndigheten måste ske enligt artikel 26.1.

3.  Bedömningen ska innehålla åtminstone

a)  en systematisk beskrivning av den planerade behandlingen,

b)  en bedömning av behandlingens nödvändighet och dess omfattning i förhållande till ändamålet,

c)  en bedömning av riskerna för de registrerades fri- och rättigheter och de åtgärder som planeras för att hantera dessa risker och minimera mängden behandlade personuppgifter,

d)  säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att de bestämmelser som antas i enlighet med detta direktiv efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen,

e)  en allmän anvisning om tidsgränserna för radering av de olika kategorierna av uppgifter,

f)  i tillämpliga fall, en förteckning över planerade överföringar av uppgifter till ett tredjeland eller en internationell organisation, med identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 36.2, dokumentation om lämpliga skyddsåtgärder.

4.  Om den registeransvarige eller registerföraren har utsett ett uppgiftsskyddsombud ska detta delta i konsekvensbedömningen.

5.  Medlemsstaterna ska föreskriva att den registeransvarige ska samråda med allmänheten om den planerade behandlingen, utan att detta påverkar skyddet av allmänintresset eller säkerheten för uppgiftsbehandlingen.

6.  Bedömningen ska göras lättillgänglig för allmänheten, utan att detta påverkar skyddet av allmänintresset eller säkerheten för uppgiftsbehandlingen.

7.  Kommissionen ska ges befogenhet att efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen anta delegerade akter i enlighet med artikel 56 i syfte att närmare ange kriterierna och villkoren för de behandlingar som sannolikt medför de särskilda risker som avses i punkterna 1 och 2 samt kraven för den bedömning som avses i punkt 3, däribland villkor för skalbarhet, kontroll och granskningsmöjligheter. [Ändr. 88]

Artikel 26

Förhandssamråd med tillsynsmyndigheten

1.  Medlemsstaterna ska se till att den registeransvarige eller registerföraren samråder med tillsynsmyndigheten innan man behandlar personuppgifter som ska ingå i ett nytt register som ska inrättas , i syfte att se till att den avsedda behandlingen överensstämmer med de bestämmelser som antas till följd av detta direktiv och i synnerhet för att begränsa riskerna för de registrerade , om

a)  särskilda kategorier av uppgifter enligt artikel 8 ska behandlas, en konsekvensbedömning avseende uppgiftsskydd enligt artikel 25a visar att behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål sannolikt medför höggradiga specifika risker, eller

b)  behandlingens typ, särskilt användning av ny teknik, rutiner eller förfaranden, i övrigt innebär särskilda risker för de registrerades grundläggande fri- och rättigheter och särskilt skyddet av personuppgifter. tillsynsmyndigheten anser det nödvändigt att genomföra ett förhandssamråd om en viss behandling som sannolikt medför specifika risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning eller sina ändamål.

1a.  Om tillsynsmyndigheten i enlighet med sin befogenhet fastställer att den avsedda behandlingen inte överensstämmer med de bestämmelser som antas till följd av detta direktiv, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse.

2.  Medlemsstaterna får ska föreskriva att tillsynsmyndigheten efter samråd med Europeiska dataskyddsstyrelsen ska upprätta en förteckning över de olika typer av uppgiftsbehandling som omfattas av förhandssamråd enligt punkt 1 b .

2a.  Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren till tillsynsmyndigheten ska lämna in den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 25a och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddsåtgärder.

2b.  Om tillsynsmyndigheten anser att den avsedda behandlingen inte överensstämmer med de bestämmelser som antas till följd av detta direktiv eller att riskerna är otillräckligt fastställda eller begränsade, ska den lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse.

2c.  Medlemsstaterna får samråda med tillsynsmyndigheten vid utarbetandet av lagstiftningsåtgärder som ska antas av det nationella parlamentet eller av en åtgärd som grundar sig på en sådan lagstiftningsåtgärd, som fastställer behandlingens karaktär, i syfte att garantera att den avsedda behandlingen överensstämmer med detta direktiv och i synnerhet för att begränsa riskerna för de registrerade. [Ändr. 89]

AVSNITT 2

DATASÄKERHET

Artikel 27

Säkerhet i samband med behandlingen av uppgifter

1.  Medlemsstaterna ska föreskriva att den registeransvarige och registerföraren ska vidta införa lämpliga tekniska och organisatoriska åtgärder och förfaranden för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik den senaste tekniken och kostnaden för att vidta åtgärderna.

2.  När det gäller automatisk uppgiftsbehandling ska varje medlemsstat föreskriva att den registeransvarige eller registerföraren, efter en bedömning av riskerna, ska vidta åtgärder i syfte att

a)  vägra varje obehörig person åtkomst till datorutrustning som används för behandling av personuppgifter (åtkomstskydd för utrustning),

b)  förhindra att datamedier läses, kopieras, ändras eller avlägsnas av obehöriga (kontroll av datamedier),

c)  förhindra obehörig registrering av data och obehörig kännedom om, ändring eller radering av lagrade personuppgifter,

d)  förhindra att obehöriga kan använda system för automatisk databehandling med hjälp av utrustning för dataöverföring (användarkontroll),

e)  se till att personer som är behöriga att använda ett system för automatisk databehandling endast har tillgång till uppgifter som omfattas av deras behörighet (åtkomstkontroll),

f)  se till att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring (kommunikationskontroll),

g)  se till att det finns möjlighet att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiskt databehandlingssystem, samt när och av vem uppgifterna infördes (indatakontroll),

h)  förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),

i)  se till att de system som används kan återställas vid störningar (återställande),

j)  se till att system fungerar, att funktionsfel rapporteras (driftsäkerhet driftssäkerhet ) och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet). ,

ja)  se till att ytterligare säkerhetsåtgärder införs med avseende på behandling av känsliga personuppgifter i enlighet med artikel 8, i syfte att garantera riskmedvetenhet och förmågan att snabbt vidta förebyggande, korrigerande och begränsande åtgärder mot svagheter eller upptäckta tillbud som skulle kunna innebära en risk för uppgifterna.

2a.  Medlemsstaternas ska föreskriva att registerförare får utses endast om de garanterar att de vidtar de nödvändiga tekniska och organisatoriska åtgärderna enligt punkt 1 och följer anvisningarna enligt artikel 21.2. Den behöriga myndigheten ska övervaka registerföraren i dessa avseenden.

3.  När så är nödvändigt får kommissionen anta genomförandeakter i syfte att precisera kraven i punkterna 1 och 2 för olika situationer, särskilt krypteringsstandarder. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2. [Ändr. 90]

Artikel 28

Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten

1.  Medlemsstaterna ska föreskriva att den registeransvarige vid ett personuppgiftsbrott utan onödigt dröjsmål och, om så är möjligt, inte senare än efter högst 24 timmar efter att ha fått vetskap om det , ska anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan inte görs inom 24 timmar ska Den registeransvarige ska på begäran lämna en utförlig motivering till dröjsmålet till tillsynsmyndigheten.

2.  Registerföraren ska underrätta och informera den registeransvarige omedelbart utan onödigt dröjsmål efter det att ha fått vetskap om ett personuppgiftsbrott har fastställts .

3.  Den anmälan som avses i punkt 1 ska åtminstone

a)  beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs,

b)  förmedla identiteten på och kontaktuppgifterna för det uppgiftsskyddsombud som avses i artikel 30 eller andra kontaktpunkter där mer information kan erhållas,

c)  rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet,

d)  beskriva de möjliga konsekvenserna av personuppgiftsbrottet,

e)  beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet och begränsa dess följder .

Om alla uppgifter inte kan tillhandahållas utan onödigt dröjsmål kan den registeransvarige komplettera anmälan i ett senare skede.

4.  Medlemsstaterna ska föreskriva att den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska vara tillräckligt omfattande för att göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål.

4a.  Tillsynsmyndigheten ska föra ett offentligt register över de olika typer av uppgiftsbrott som anmäls.

5.  Kommissionen ska ha befogenhet att efter att ha begärt ett yttrande av Europeiska dataskyddsstyrelsen anta delegerade akter enligt artikel 56 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet.

6.  Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2. [Ändr. 91]

Artikel 29

Information till den registrerade om ett personuppgiftsbrott

1.  Medlemsstaterna ska föreskriva att den registeransvarige, om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter, eller integritet, rättigheter eller berättigade intressen , efter den anmälan som avses i artikel 28 utan onödigt dröjsmål ska informera den registrerade om personuppgiftsbrottet.

2.  Den information till den registrerade som avses i punkt 1 ska vara begriplig och avfattad på ett klart och tydligt språk. Den ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 28.3 b, c och c d samt information om den registrerades rättigheter, inklusive rätten till rättslig prövning .

3.  Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de personuppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

3a.  Utan att det påverkar den registeransvariges skyldighet att informera den registrerade om personuppgiftsbrottet får tillsynsmyndigheten, om den registeransvarige inte redan har informerat den registrerade om personuppgiftsbrottet, efter att ha övervägt de sannolika negativa effekterna av brottet, begära att den registeransvarige gör detta.

4.  Informationen till den registrerade kan senareläggas, eller begränsas eller utelämnas av de skäl som anges i artikel 11.4. [Ändr. 92]

AVSNITT 3

UPPGIFTSSKYDDSOMBUD

Artikel 30

Utnämning av uppgiftsskyddsombudet

1.  Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska utnämna ett uppgiftsskyddsombud.

2.  Uppgiftsskyddsombudet ska utnämnas på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de uppgifter som avses i artikel 32. Den nödvändiga nivån på expertkunskapen ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren.

2a.  Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt.

2b.  Uppgiftsskyddsombudet ska utnämnas för en period på minst fyra år. Uppgiftsskyddsombudet får utnämnas på nytt för ytterligare perioder. Under sin mandatperiod får uppgiftsskyddsombudet avsättas endast om han eller hon inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag.

2c.  Medlemsstaterna ska föreskriva att den registrerade har rätt att kontakta uppgiftsskyddsombudet angående alla frågor som rör behandlingen av den registrerades personuppgifter.

3.  Uppgiftsskyddsombudet får utnämnas för flera enheter, med hänsyn tagen till den behöriga myndighetens struktur.

3a.  Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska meddela uppgiftsskyddsombudets namn och kontaktuppgifter till tillsynsmyndigheten och till allmänheten. [Ändr. 93]

Artikel 31

Uppgiftsskyddsombudets ställning

1.  Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2.  Den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudet ges möjlighet att fullgöra sina skyldigheter och utföra sina uppgifter enligt artikel 32 på ett verkningsfullt och oberoende sätt, och att han eller hon inte tar emot några instruktioner när det gäller utövandet av funktionen.

2a.  Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i fullgörandet av dennes uppgifter och tillhandahålla alla medel, inklusive personal, anläggningar, utrustning, fortlöpande yrkesutbildning och alla andra resurser som krävs för att utföra de uppdrag och arbetsuppgifter som avses i artikel 32 och upprätthålla uppgiftsskyddsombudets yrkeskunskaper. [Ändr. 94]

Artikel 32

Uppgiftsskyddsombudets uppgifter

Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande uppgifter:

a)  Att öka medvetenheten, informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt de bestämmelser som antas i enlighet med detta direktiv, i synnerhet med avseende på tekniska och organisatoriska åtgärder och förfaranden, och att dokumentera denna verksamhet och de inkomna svaren.

b)  Att övervaka genomförandet och tillämpningen av policyn för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning.

c)  Att övervaka genomförandet och tillämpningen av de bestämmelser som antas i enlighet med detta direktiv, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt de bestämmelser som antas i enlighet med detta direktiv.

d)  Att se till att den dokumentation som avses i artikel 23 bevaras.

e)  Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 28 och 29.

f)  Att övervaka den registeransvariges eller registerförarens tillämpning av konsekvensbedömningen avseende uppgiftsskydd och ansökan till tillsynsmyndigheten om förhandssamråd, om så krävs enligt artikel 26 artikel 26.1 .

g)  Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ.

h)  Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på uppgiftsskyddsombudets eget initiativ. [Ändr. 95]

KAPITEL V

ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER INTERNATIONELLA ORGANISATIONER

Artikel 33

Allmänna principer för överföringar av personuppgifter

1.  Medlemsstaterna ska föreskriva att de behöriga myndigheterna endast får överföra personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation, inklusive för vidare överföring till ett annat tredjeland eller en annan internationell organisation, endast under förutsättning att

a)  den specifika överföringen är nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och

aa)  uppgifter överförs till en registeransvarig i ett tredjeland eller till en internationell organisation som är en behörig offentlig myndighet för de ändamål som avses i artikel 1.1,

ab)  de villkor som föreskrivs i detta kapitel följs av den registeransvarige eller registerföraren, inklusive för vidare överföring av personuppgifter från ett tredjeland eller en internationell organisation till ett annat tredjeland eller till en annan internationell organisation,

b)  att den registeransvarige och registerföraren följer villkoren i andra bestämmelser som antas till följd av detta kapitel. direktiv,

ba)  den skyddsnivå för enskildas personuppgifter i unionen som garanteras genom detta direktiv inte hotas,

bb)  kommissionen enligt de villkor och förfaranden som avses i artikel 34 har fastställt att det berörda tredjelandet eller den berörda organisationen kan garantera en adekvat skyddsnivå, eller att

bc)  lämpliga skyddsåtgärder för personuppgiftsskyddet har vidtagits genom ett rättsligt bindande instrument enligt vad som avses i artikel 35.

2.  Medlemsstaterna ska föreskriva att vidare överföring som avses i första stycket i denna artikel får äga rum endast om, utöver de villkor som anges i det stycket,

a)  den vidare överföringen är nödvändig för samma specifika ändamål som den ursprungliga överföringen, och

b)  den behöriga myndighet som utförde den ursprungliga överföringen godkänner den vidare överföringen. [Ändr. 96]

Artikel 34

Överföring efter beslut om adekvat skyddsnivå

1.  Medlemsstaterna ska föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation får ske om kommissionen i enlighet med artikel 41 i förordning (EU) nr …./2012 eller i enlighet med punkt 3 i denna artikel beslutar att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet, eller en internationell organisation utgör en garant för kan garantera en adekvat skyddsnivå. I dessa fall ska det inte krävas något ytterligare särskilt tillstånd.

2.  Om inget beslut enligt artikel 41 i förordning (EU) nr …./2012 föreligger ska När kommissionen bedöma bedömer om skyddsnivån är adekvat, och då ska den ta hänsyn till

a)  rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt liksom genomförandet av denna lagstiftning och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, rättsliga prejudikat samt huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs.

b)  huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, inklusive tillräckliga befogenheter att besluta om påföljder, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och

c)  vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort, särskilt rättsligt bindande konventioner eller instrument med avseende på skyddet av personuppgifter .

3.  Kommissionen får ska ha befogenhet att efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen anta delegerade akter enligt artikel 56 för att inom tillämpningsområdet för detta direktiv besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet, eller en internationell organisation utgör en garant för kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

4.  Den Beslutets geografiska och sektorsmässiga tillämpningen tillämpning ska regleras i genomförandeakten den delegerade akten , där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b.

4a.  Kommissionen ska fortlöpande övervaka utvecklingstendenser som kan påverka uppfyllandet av de villkor som förtecknas i punkt 2 i tredjeländer och internationella organisationer för vilka en delegerad akt har antagits i enlighet med punkt 3.

5.  Kommissionen får ska ha befogenhet att anta delegerade akter enligt artikel 56 för att inom tillämpningsområdet för detta direktiv fastställa att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för de registrerade vars personuppgifter överförs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 57.2 eller, i fall som är ytterst brådskande för den individ vars personuppgifter behöver skyddas, enligt förfarandet i artikel 57.3.

6.  Medlemsstaterna ska säkerställa att om kommissionen fattar beslut enligt punkt 5 får inga uppgifter får överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga; detta ska inte påverka överföringar enligt artiklarna 35.1 eller 36 , om kommissionen fattar beslut i enlighet med punkt 5 . Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt i enlighet med punkt 5.

7.  Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning över de tredjeländer, territorier och behandlande sektorer i tredjeländer eller de internationella organisationer för vilka den har beslutat att en adekvat skyddsnivå inte kan garanteras.

8.  Kommissionen ska övervaka tillämpningen av de genomförandeakter delegerade akter som avses i punkterna 3 och 5. [Ändr. 97]

Artikel 35

Överföring med stöd av lämpliga skyddsåtgärder

1.  Om kommissionen inte har fattat något beslut enligt i enlighet med artikel 34 ska medlemsstaterna föreskriva att överföring av personuppgifter till en mottagare i , eller om den fastställer att ett tredjeland, ett territorium inom detta tredjeland eller en internationell organisation inte kan garantera en adekvat skyddsnivå i enlighet med artikel 34.5, får äga rum om en registeransvarig eller registerförare inte överföra personuppgifter till ett tredjeland, ett territorium eller inom detta tredjeland eller en internationell organisation, såvida inte den registeransvarige eller registerföraren har vidtagit lämpliga skyddsåtgärder för personuppgiftsskyddet i ett rättsligt bindande instrument.

a)  lämpliga skyddsåtgärder för personuppgifter har vidtagits genom ett rättsligt bindande instrument, eller

b)  den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring av personuppgifter och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.

2.  Beslutet om Dessa överföringar enligt punkt 1 b måste göras av vederbörligen bemyndigad personal. De måste också dokumenteras, och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten godkännas av tillsynsmyndigheten före överföringen. [Ändr. 98]

Artikel 36

Undantag

1.  Om kommissionen i enlighet med artikel 34.5 beslutar att det saknas en adekvat skyddsnivå, får personuppgifterna inte överföras till det berörda tredjelandet eller till den berörda internationella organisationen, om den registrerades berättigade intressen av att uppgifterna inte överförs i det enskilda fallet väger tyngre än allmänintresset av att uppgifterna överförs.

2.  Genom undantag från artiklarna 34 och 35 ska medlemsstaterna föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation endast får ske om något av följande villkor är uppfyllda:

a)  Överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person.

b)  Överföringen är nödvändig för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta.

c)  Överföringen av uppgifter är avgörande för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.

d)  Överföring är i ett enskilt fall nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

e)  Överföring är i ett enskilt fall nödvändig för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställandet av en specifik straffrättslig påföljd.

2a.  Uppgiftsbehandling på grundval av punkt 2 ska ha en rättslig grund i unionslagstiftningen eller i den medlemsstats lagstiftning som den registeransvarige omfattas av, och den lagstiftningen ska tillgodose målet om allmänintresse eller behovet att skydda andras fri- och rättigheter, respektera kärnan i rätten till skydd av personuppgifter och stå i proportion till det eftersträvade legitima syftet.

2b.  Samtliga överföringar av personuppgifter som har beslutats genom undantag från bestämmelserna ska vara vederbörligen motiverade och begränsas till vad som är strikt nödvändigt, och upprepade och omfattande överföringar ska inte tillåtas.

2c.  Beslutet om överföringar enligt punkt 2 ska fattas av vederbörligen bemyndigad personal. Överföringarna ska dokumenteras, och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten, inbegripet datum och tidpunkt för överföringen, information om den mottagande myndigheten, motiveringen för överföringen och de uppgifter som har överförts. [Ändr. 99]

Artikel 37

Särskilda villkor för överföring av personuppgifter

Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta mottagaren av personuppgifter om eventuella begränsningar av behandlingen av uppgifterna och vidta alla rimliga åtgärder för att säkerställa att dessa begränsningar följs. Den registeransvarige ska också underrätta mottagaren av personuppgifterna om varje uppdatering, rättelse eller radering av uppgifter som har utförts, och mottagaren ska i sin tur meddela eventuella vidareöverföringar av uppgifterna. [Ändr. 100]

Artikel 38

Internationellt samarbete för skydd av personuppgifter

1.  I förbindelser med tredjeland och internationella organisationer ska kommissionen och medlemsstaterna vidta lämpliga åtgärder för att

a)  utveckla ändamålsenliga rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning garantera genomförandet av lagstiftningen om skydd av personuppgifter, [Ändr. 101]

b)  på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom rutiner för anmälan, hänskjutande av klagomål, assistans vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt skyddet av andra grundläggande rättigheter och friheter,

c)  involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

d)  främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter.

da)  klargöra och rådgöra om behörighetskonflikter med tredjeländer. [Ändr. 102]

2.  Vid tillämpningen av punkt 1 ska kommissionen vidta lämpliga åtgärder för att vidareutveckla förbindelserna med tredjeländer och internationella organisationer, och särskilt med deras tillsynsmyndigheter, i de fall då kommissionen har bedömt att motparten i fråga garanterar en adekvat skyddsnivå i den mening som avses i artikel 34.3.

Artikel 38a

Rapport från kommissionen

Kommissionen ska med jämna mellanrum lämna en rapport till Europaparlamentet och till rådet om tillämpningen av artiklarna 33–38. Den första rapporten ska lämnas senast fyra år efter det att detta direktiv träder i kraft. För detta ändamål får kommissionen begära in information från medlemsstaterna och tillsynsmyndigheterna, som ska lämna informationen utan onödigt dröjsmål. Rapporten ska offentliggöras. [Ändr. 103]

KAPITEL VI

OBEROENDE TILLSYNSMYNDIGHETER

AVSNITT 1

OBEROENDE STÄLLNING

Artikel 39

Tillsynsmyndighet

1.  Varje medlemsstat ska utse en eller flera offentliga myndigheter som ska vara ansvariga för att övervaka tillämpningen av de bestämmelser som antas som en följd av detta direktiv och medverka till direktivets enhetliga tillämpning i hela unionen, i syfte att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av deras personuppgifter samt underlätta det fria flödet av sådana uppgifter inom unionen. För detta ändamål ska tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen.

2.  En medlemsstat får föreskriva att den tillsynsmyndighet som har inrättats i medlemsstaten enligt förordning (EG) …./2014 tar på sig de arbetsuppgifter som ska utföras av den tillsynsmyndighet som inrättas enligt punkt 1 i denna artikel.

3.  Om det finns fler än en tillsynsmyndighet i en medlemsstat ska medlemsstaten utse den tillsynsmyndighet som ska fungera som enda kontaktpunkt, så att myndigheten i fråga kan delta effektivt i Europeiska dataskyddsstyrelsens arbete.

Artikel 40

Oberoende

1.  Medlemsstaterna ska se till att tillsynsmyndigheterna är fullständigt oberoende i utövandet av de uppdrag och befogenheter som de anförtrotts, utan att det påverkar samarbetsarrangemang enligt kapitel VII i detta direktiv . [Ändr. 104]

2.  Medlemsstaterna ska föreskriva att tillsynsmyndigheternas ledamöter i sin tjänsteutövning varken får begära eller ta emot instruktioner från någon och att de ska vara fulltständigt oberoende och opartiska . [Ändr. 105]

3.  Tillsynsmyndighetens ledamöter ska avstå från alla handlingar som står i strid med deras tjänsteutövning och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet som står i strid med deras uppdrag.

4.  Efter sin mandattid ska tillsynsmyndighetens ledamöter visa integritet och omdöme i fråga om att acceptera utnämningar och ta emot förmåner.

5.  Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över tillräckliga mänskliga, tekniska och finansiella resurser samt de lokaler och den infrastruktur som behövs för att myndigheten ska kunna utöva sina uppdrag och befogenheter, inklusive inom ramen för det ömsesidiga biståndet, samarbetet och det aktiva deltagandet i Europeiska dataskyddsstyrelsens verksamhet.

6.  Varje medlemsstat ska se till att tillsynsmyndigheten förfogar över egen personal, som ska tillsättas av och ta instruktioner från tillsynsmyndighetens chef.

7.  Medlemsstaterna ska se till att tillsynsmyndigheterna också blir föremål för finansiell kontroll, utan att detta påverkar tillsynsmyndigheternas oberoende. Medlemsstaterna ska också se till att tillsynsmyndigheterna förfogar över en egen årsbudget. Denna budget ska offentliggöras.

Artikel 41

Allmänna villkor för tillsynsmyndighetens ledamöter

1.  Varje medlemsstat ska fastställa att tillsynsmyndighetens ledamöter ska utses antingen av medlemsstatens parlament eller av dess regering.

2.  Ledamöterna ska utses bland personer vars oberoende är ställt utom varje tvivel och som har erkänd erfarenhet och sakkunskap för att utföra sitt uppdrag.

3.  Varje ledamots uppdrag ska i enlighet med punkt 5 upphöra då mandattiden löper ut eller då ledamoten avgår eller avsätts från sin tjänst.

4.  En ledamot kan avsättas eller berövas rätten till pension eller andra förmåner av den behöriga nationella domstolen om han eller hon inte längre uppfyller villkoren för att utöva uppdraget eller har gjort sig skyldig till ett allvarligt fel.

5.  När mandattiden löper ut eller ledamoten avgår ska han eller hon fortsätta utföra sina uppdrag tills en ny ledamot tillsatts.

Artikel 42

Regler för inrättandet av en tillsynsmyndighet

Varje medlemsstat ska fastställa följande i lag:

a)  Att en tillsynsmyndighet ska inrättas och vilken ställning denna myndighet ska ha, i enlighet med artiklarna 39 och 40.

b)  Vilken kompetens, erfarenhet och sakkunskap som krävs för att utöva uppdragen som ledamot vid tillsynsmyndigheten.

c)  Regler och förfaranden för att utse tillsynsmyndighetens ledamöter samt regler om vilka handlingar och vilken yrkesverksamhet som ska vara oförenliga med ledamöternas befogenheter under deras mandattid.

d)  Mandattiden för tillsynsmyndighetens ledamöter, vilken inte får understiga fyra år utom vid tillsättandet av de första ledamöterna efter det att detta direktiv trätt i kraft, då mandattiden får vara kortare för några av ledamöterna.

e)  Huruvida myndighetens ledamöter får ges förnyat mandat.

f)  Vilka bestämmelser och allmänna villkor som myndighetens ledamöter och personal omfattas av.

g)  Bestämmelser och förfaranden för när tillsynsmyndighetens ledamöter ska fråntas sitt uppdrag, bland annat om de inte längre uppfyller villkoren för att utöva uppdraget eller om de gjort sig skyldiga till ett allvarligt fel.

Artikel 43

Tystnadsplikt

Medlemsstaterna ska föreskriva att tillsynsmyndighetens ledamöter och personal både under och efter sin mandattid respektive anställning, och i överensstämmelse med nationell lagstiftning och praxis, ska omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen, samtidigt som de fullgör sitt uppdrag på ett oberoende och öppet sätt enligt vad som anges i detta direktiv . [Ändr. 106]

AVSNITT 2

UPPDRAG OCH BEFOGENHETER

Artikel 44

Behörighet

1.  Varje medlemsstat Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska vara behörig att fullgöra sitt uppdrag och att inom dess sin egen medlemsstats territorium ska utöva de befogenheter som tilldelas den i enlighet med detta direktiv. [Ändr. 107]

2.  Medlemsstaterna ska föreskriva att tillsynsmyndigheterna inte ska vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter som en del av sin dömande verksamhet.

Artikel 45

Uppdrag

1.  Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ansvara för följande:

a)  Övervaka och garantera tillämpningen av de bestämmelser som antas till följd av detta direktiv och dess genomförandeåtgärder.

b)  Ta emot klagomål från registrerade eller från sammanslutningar som representerar registrerade och handlar på deras uppdrag enligt artikel 50, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

c)  Kontrollera att behandling av uppgifter enligt artikel 14 är tillåten och inom en rimlig period informera den registrerade om resultatet av kontrollen eller om skälen till att kontrollen inte har genomförts.

d)  Utbyta ömsesidigt bistånd med andra tillsynsmyndigheter och se till att de bestämmelser som antagits antas till följd av detta direktiv tillämpas och verkställs enhetligt.

e)  Utföra undersökningar, inspektioner och granskningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och, om en undersökning grundar sig på ett klagomål som lämnats in av en registrerad, underrätta den registrerade om resultatet inom rimlig tid.

f)  Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunikationsteknik.

g)  Ge råd till institutioner och organ i medlemsstaterna i fråga om lagstiftningsåtgärder och administrativa åtgärder som rör skyddet av enskildas fri- och rättigheter i samband med behandling av personuppgifter.

h)  Ge råd om behandling av personuppgifter enligt artikel 26.

i)  Delta i Europeiska dataskyddsstyrelsens verksamhet.

2.  Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Särskild uppmärksamhet ska ägnas åt verksamhet som riktar sig till barn.

3.  En tillsynsmyndighet ska på begäran ge råd till registrerade om hur de ska utöva sina rättigheter enligt de bestämmelser som antagits antas till följd av detta direktiv, och ska om så är lämpligt samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

4.  För klagomål enligt punkt 1 b ska tillsynsmyndigheten bistå med ett särskilt formulär för ändamålet, vilket ska kunna fyllas i elektroniskt; det elektroniska formuläret ska inte utesluta andra kommunikationsformer.

5.  Medlemsstaterna ska föreskriva att tillsynsmyndighetens tjänster ska vara avgiftsfria för den registrerade.

6.  Om en registrerad begär tjänster som begäran är uppenbart orimlig, särskilt betungande, till exempel på grund av repetitiv dess repetitiva karaktär, får tillsynsmyndigheten ta ut en rimlig avgift eller avstå från att utföra de tjänster som den registrerade begär . I så fall Avgiften får inte överstiga kostnaderna för att vidta den åtgärd som begärts. Det ska det åligga tillsynsmyndigheten att visa att begäran är särskilt betungande uppenbart orimlig . [Ändr. 108]

Artikel 46

Befogenheter

1.   Medlemsstaterna ska föreskriva att varje tillsynsmyndighet särskilt förses med ska ha befogenhet att

a)  utredande befogenheter, så som befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att samla in all information som är nödvändig för att utföra tillsynen, meddela den registeransvarige eller registerföraren om en påstådd överträdelse av bestämmelserna om behandling av personuppgifter och vid behov beordra den registeransvarige eller registerföraren att åtgärda överträdelsen på ett specifikt sätt och därigenom förbättra skyddet av den registrerade,

b)  befogenheter att agera, bland annat genom att lägga fram yttranden innan uppgifter behandlas, se till att sådana yttranden offentliggörs på lämpligt sätt, beordra att uppgifter ska begränsas, raderas eller förstöras, besluta om tillfälligt eller definitivt förbud mot behandling, varna eller tillrättavisa den registeransvarige eller hänvisa saken till nationella parlament eller till andra politiska institutioner, beordra den registeransvarige att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt detta direktiv, inklusive de rättigheter som föreskrivs i artiklarna 12–17, om en sådan begäran har avslagits i strid med dessa bestämmelser,

c)  befogenhet att inleda rättsliga förfaranden när bestämmelser som har antagits till följd av detta direktiv har överträtts, eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. c) beordra den registeransvarige eller registerföraren att tillhandahålla information i enlighet med artikel 10.1 och 10.2 samt artiklarna 11, 28 och 29,

d)  se till att yttrandena om de förhandssamråd som avses i artikel 26 efterlevs,

e)  varna eller tillrättavisa den registeransvarige eller registerföraren,

f)  beordra rättelse, radering eller förstöring av alla uppgifter som har behandlats på ett sätt som står i strid med de bestämmelser som antas till följd av detta direktiv samt underrättelse om sådana åtgärder till de tredje parter till vilka uppgifterna har lämnats ut,

g)  tillfälligt eller definitivt förbjuda behandling,

h)  avbryta flöden av uppgifter till en mottagare i ett tredjeland eller till en internationell organisation,

i)  informera nationella parlament, regeringar eller andra offentliga institutioner samt allmänheten om saken.

2.  Varje tillsynsmyndighet ska ha de utredningsbefogenheter som behövs för att erhålla följande av den registeransvarige eller registerföraren:

a)  Tillgång till alla personuppgifter och all information som myndigheten behöver för att kunna fullgöra sitt tillsynsuppdrag.

b)  Tillträde till alla anläggningar, inbegripet all utrustning och alla medel för uppgiftsbehandling, i enlighet med nationell lagstiftning, om det finns rimliga skäl att anta att en verksamhet i strid med de bestämmelser som antas till följd av detta direktiv utförs där, utan att det påverkar tillämpningen av domstolsgodkännanden om ett sådant krävs enligt nationell lagstiftning.

3.  Utan att det påverkar artikel 43 ska medlemsstaterna föreskriva att inga ytterligare sekretesskrav får utfärdas på tillsynsmyndigheternas begäran.

4.  Medlemsstaterna får föreskriva att ytterligare säkerhetsundersökningar som överensstämmer med nationell lagstiftning ska krävas för tillgång till information som sekretessbelagts på en nivå som motsvarar ”Confidentiel UE/EU Confidential” eller högre. Om ingen ytterligare säkerhetsundersökning krävs enligt lagstiftningen i den medlemsstat där den berörda tillsynsmyndigheten verkar, ska detta erkännas av alla andra medlemsstater.

5.  Varje tillsynsmyndighet ska ha befogenhet att underrätta de rättsliga myndigheterna om överträdelser mot de bestämmelser som antas till följd av detta direktiv och att inleda rättsliga förfaranden och väcka talan vid den behöriga domstolen i enlighet med artikel 53.2.

6.  Varje tillsynsmyndighet ska ha befogenhet att ålägga påföljder vid administrativa överträdelser. [Ändr. 109]

Artikel 46a

Anmälan av överträdelser

1.  Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska beakta riktlinjer som utfärdas av Europeiska dataskyddsstyrelsen i enlighet med artikel 66.4 b i förordning (EU) nr .../2014 samt införa ändamålsenliga rutiner för att uppmuntra konfidentiell anmälan av överträdelser av detta direktiv.

2.  Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska införa ändamålsenliga rutiner för att uppmuntra konfidentiell anmälan av överträdelser av detta direktiv. [Ändr. 110]

Artikel 47

Verksamhetsrapport

Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet minst vartannat år . Rapporten ska göras tillgänglig för allmänheten, det nationella parlamentet, kommissionen och Europeiska dataskyddsstyrelsen. Den ska inbegripa information om i vilken omfattning de behöriga myndigheterna inom sin jurisdiktion fått tillgång till uppgifter som innehas av privata parter för att utreda eller lagföra brott. [Ändr. 111]

KAPITEL VII

SAMARBETE

Artikel 48

Ömsesidigt bistånd

1.  Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ge varandra ömsesidigt bistånd i arbetet för att genomföra och tillämpa de bestämmelser som antas till följd av detta direktiv på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom at begära att den andra myndigheten utför förhandssamråd, inspektioner och utredningar.

2.  Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska vidta alla lämpliga åtgärder för att besvara en begäran från en annan tillsynsmyndighet. Sådana åtgärder kan inbegripa i synnerhet överföring av relevant information eller verkställighetsåtgärder för att se till att behandling som strider mot detta direktiv upphör eller förbjuds utan dröjsmål, dock senast inom en månad efter det att begäran har tagits emot.

2a.  En begäran om bistånd ska innehålla alla nödvändiga uppgifter, inklusive syftet med och skälen till begäran. Information som utbyts får användas endast i det ärende för vilket den har begärts.

2b.  En tillsynsmyndighet som tar emot en begäran om bistånd får vägra att tillmötesgå begäran endast om

a)  den inte är behörig att behandla den, eller

b)  det skulle vara oförenligt med de bestämmelser som antas till följd av detta direktiv att tillmötesgå begäran.

3.  Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån från om resultatet eller, i förekommande fall, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider.

3a.  Tillsynsmyndigheterna ska lämna den information som begärs av andra tillsynsmyndigheter på elektronisk väg, i standardiserat format och inom kortast möjliga tid.

3b.  Åtgärder som vidtas efter en begäran om ömsesidigt bistånd ska inte vara belagda med någon avgift. [Ändr. 112]

Artikel 48a

Gemensamma insatser

1.  Medlemsstaterna ska föreskriva att tillsynsmyndigheterna i syfte att intensifiera samarbete och ömsesidigt bistånd får genomföra gemensamma verkställighetsåtgärder och andra gemensamma insatser där utsedda medlemmar eller personal från tillsynsmyndigheter i andra medlemsstater deltar i insatser inom en medlemsstats territorium.

2.  Medlemsstaterna ska föreskriva att den behöriga tillsynsmyndigheten, i fall där personer registrerade i en annan medlemsstat eller andra medlemsstater sannolikt berörs av personuppgiftsbehandlingen, får inbjudas att delta i de gemensamma insatserna. Den behöriga tillsynsmyndigheten får inbjuda tillsynsmyndigheterna i var och en av de berörda medlemsstaterna att delta i respektive insats och, om den inbjuds, utan dröjsmål besvara en annan tillsynsmyndighets begäran att få delta.

3.  Medlemsstaterna ska reglera de praktiska aspekterna av enskilda åtgärder som genomförs gemensamt. [Ändr. 113]

Artikel 49

Europeiska dataskyddsstyrelsens arbetsuppgifter

1.  Europeiska dataskyddsstyrelsen, som inrättats genom förordning (EU) …./2012 2014 , ska i samband med behandling av uppgifter inom tillämpningsområdet för detta direktiv ha följande arbetsuppgifter:

a)  Ge kommissionen unionens institutioner råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella förslag till ändring av detta direktiv.

b)  På begäran av kommissionen, Europaparlamentet eller rådet, på eget initiativ eller på initiativ av en av sina ledamöter undersöka frågor om tillämpningen av de bestämmelser som antas till följd av detta direktiv och sprida riktlinjer, rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av dessa bestämmelser, inbegripet användning av verkställighetsbefogenheter .

c)  Se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta.

d)  Yttra sig till kommissionen i fråga om skyddsnivån i tredjeländer eller internationella organisationer.

e)  Främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna, inbegripet samordning av gemensamma insatser och andra gemensamma verksamheter om så beslutas på begäran av en eller flera tillsynsmyndigheter .

f)  Främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer.

g)  Främja utbyte av kunskap och dokumentation, bland annat om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen.

ga)  Avge ett yttrande till kommissionen vid utarbetandet av delegerade akter och genomförandeakter i enlighet med detta direktiv.

2.  När Europaparlamentet, rådet eller kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning.

3.  Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till kommissionen och till den kommitté som avses i artikel 57.1, samt offentliggöra dem.

4.  Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis. [Ändr. 114]

KAPITEL VIII

RÄTTSMEDEL, ANSVAR, PÅFÖLJDER OCH ADMINISTRATIVA SANKTIONER

Artikel 50

Rätt till klagomål mot beslut som fattats av en tillsynsmyndighet

1.  Utan att det påverkar andra rättsmedel av administrativ eller rättslig natur ska medlemsstaterna föreskriva att varje registrerad som anser att uppgifter rörande henne eller honom inte är förenliga med de bestämmelser som antas till följd av detta direktiv har rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat.

2.  Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter, agerar i allmänintresset och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt detta direktiv har åsidosatts som en följd av behandling av vederbörandes personuppgifter. Organisationen eller sammanslutningen ska på vederbörligt sätt ha anförtrotts att handla på den eller de registrerades uppdrag. [Ändr. 115]

3.  Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som avses i punkt 2, oberoende av om det föreligger ett klagomål från en registrerad, ska ha rätt att klaga hos en tillsynsmyndighet i en medlemsstat om den anser att en överträdelse har skett.

Artikel 51

Rätt att begära rättsmedel mot en tillsynsmyndighets beslut rättslig prövning hos en tillsynsmyndighet

1.  Medlemsstaterna ska fastställa rätten föreskriva att varje fysisk eller juridisk person har rätt till rättsmedel mot rättslig prövning av en tillsynsmyndighets beslut som berör dem .

2.  Medlemsstaterna ska föreskriva att varje registrerad ska ha rätt till ett rättsmedel som förpliktar rättslig prövning som förpliktigar tillsynsmyndigheten att behandla ett klagomål om i avsaknad av ett beslut som krävs är nödvändigt för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 45.1 b.

3.  Medlemsstaterna ska föreskriva att talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

3a.  Medlemsstaterna ska sörja för att de slutliga avgörandena från den domstol som avses i denna artikel verkställs. [Ändr. 116]

Artikel 52

Rätt till rättsmedel mot en registeransvarig eller en registerförare

1.  Utan att det påverkar tillgängliga administrativa rättsmedel, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet, ska medlemsstaterna föreskriva en rätt att begära rättsmedel för varje fysisk person som anser att hans eller hennes rättigheter enligt de bestämmelser som antas till följd av detta direktiv har åsidosatts som en följd av att personuppgifter har behandlats på ett sätt som inte är förenligt med dessa bestämmelser.

1a.  Medlemsstaterna ska sörja för att de slutliga avgörandena från den domstol som avses i denna artikel verkställs. [Ändr. 117]

Artikel 53

Gemensamma regler om domstolsförfaranden

1.  Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som avses i artikel 50.2 har rätt att utöva de rättigheter som anges i artiklarna 51 och , 52 och 54 på uppdrag av en eller flera registrerade. [Ändr. 118]

2.  Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska ha rätt att delta i inleda rättsliga förfaranden och väcka talan vid domstol för att säkerställa tillämpningen av de bestämmelser som antas till följd av detta direktiv eller för att garantera ett enhetligt skydd av personuppgifter i unionen. [Ändr. 119]

3.  Medlemsstaterna ska se till att de möjligheter att föra talan inför domstol som är tillgängliga enligt nationell lagstiftning gör det möjligt att snabbt vidta åtgärder, även interimistiska sådana, i syfte att avbryta den påstådda överträdelsen och hindra ytterligare skada av berörda intressen.

Artikel 54

Ansvar och rätt till ersättning

1.  Medlemsstaterna ska föreskriva att var och en som lidit skada, även ideell skada, till följd av en otillåten behandling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits antas till följd av detta direktiv har rätt till att begära ersättning av den registeransvarige eller registerföraren för denna skada. [Ändr. 120]

2.  Om fler än en registeransvarig eller registerförare har medverkat vid behandlingen av uppgifter, ska var och en av dem ansvara solidariskt för hela den uppkomna skadan.

3.  Den registeransvarige eller registerföraren kan helt eller delvis undgå detta ansvar om vederbörande bevisar att han inte är ansvarig för den händelse som orsakade skadan.

Artikel 55

Påföljder

Medlemsstaterna ska föreskriva påföljder för överträdelser av bestämmelser som har utfärdats med tillämpning av detta direktiv och ska vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas. Påföljderna ska vara effektiva, proportionerliga och avskräckande.

Kapitel VIIIa

Överföring av personuppgifter till andra parter

Artikel 55a

Överföring av personuppgifter till andra myndigheter eller privata parter i unionen

1.  Medlemsstaterna ska sörja för att den registeransvarige inte överför, eller instruerar registerföraren att överföra, personuppgifter till en fysisk eller juridisk person som inte omfattas av de bestämmelser som antas till följd av detta direktiv, såvida inte

a)  överföringen överensstämmer med unionslagstiftningen eller medlemsstatslagstiftningen,

b)  mottagaren är etablerad i en medlemsstat i Europeiska unionen,

c)  inga berättigade specifika intressen för den registrerade personen hindrar överföringen, mottagaren är etablerad i en medlemsstat i Europeiska unionen, och

d)  överföringen är nödvändig i ett visst fall för den registeransvarige som överför personuppgifterna för att

i)  utföra en lagenligen tilldelad arbetsuppgift,

ii)  avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

iii)  förhindra att enskilda personers rättigheter lider allvarlig skada.

2.  Den registeransvarige ska informera mottagaren om det ändamål för vilket personuppgifterna uteslutande får behandlas.

3.  Den registeransvarige ska informera tillsynsmyndigheten om sådana överföringar.

4.  Den registeransvarige ska informera mottagaren om begränsningar för uppgiftsbehandlingen och se till att dessa begränsningar iakttas. [Ändr. 121]

KAPITEL IX

DELEGERADE AKTER OCH GENOMFÖRANDEAKTER

Artikel 56

Utövande av delegering delegeringen

1.  Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.  Den delegering av befogenhet att anta delegerade akter som avses i artikel  artiklarna 25a.7, 28.5, 34.3 och 34.5 ska ges till kommissionen under en obegränsad på obestämd tid från och med det datum då detta direktiv träder i kraft.

3.  Den delegering av befogenhet som avses i artikel artiklarna 25a.7, 28.5, 34.3 och 34.5 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare datum som anges i beslutet angivet datum . Det påverkar inte giltigheten av delegerade akter som redan trätt i kraft.

4.  Så snart kommissionen antar har antagit en delegerad akt ska den samtidigt delge underrätta Europaparlamentet och rådet om detta samtidigt .

5.  En delegerad akt som antas enligt artikel har antagits i enlighet med artiklarna 25a.7, 28.5, 34.3 och 34.5 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två sex månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av innan den perioden, löper ut har underrättat meddelat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två sex månader på Europaparlamentets eller rådets initiativ. [Ändr. 122]

Artikel 56a

Tidsfrist för antagande av delegerade akter

Kommissionen ska anta de delegerade akterna enligt artiklarna 25a.7 och 28.5 senast [sex månader före den dag som anges i artikel 62.1]. Kommissionen får förlänga den tidsfrist som anges i denna punkt med sex månader. [Ändr. 123]

Artikel 57

Kommittéförfarande

1.  Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.  När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

3.  När det hänvisas till denna punkt, ska artikel 8 i förordning (EU) nr 182/2011 jämförd med artikel 5 i den förordningen tillämpas. [Ändr. 124]

KAPITEL X

SLUTBESTÄMMELSER

Artikel 58

Upphävande

1.  Rambeslut 2008/977/RIF ska upphöra att gälla.

2.  Hänvisningar till det upphävda rambeslut som avses i punkt 1 ska anses som hänvisningar till detta direktiv.

Artikel 59

Förhållande till tidigare antagna unionsakter för straffrättsligt samarbete och polissamarbete

Direktivet ska inte påverka särskilda bestämmelser om skydd av personuppgifter när behöriga myndigheter behandlar personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder i sådana unionsakter som antagits före det datum då detta direktiv antas och som reglerar behandlingen av personuppgifter medlemsstaterna emellan och medlemsstaternas utsedda myndigheters tillgång till informationssystem som inrättats på grundval av fördragen och som är relevanta för direktivets tillämpningsområde.

Artikel 60

Förhållande till tidigare ingångna internationella avtal på området för polissamarbete och straffrättsligt samarbete

Internationella avtal som ingåtts av medlemsstaterna innan detta direktiv trädde i kraft ska där så krävs ändras behov inom fem år efter det att direktivet trätt i kraft.

Artikel 61

Utvärdering

1.  Kommissionen ska efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen utvärdera tillämpningen och genomförandet av detta direktiv. Kommissionen ska i nära samarbete med medlemsstaterna ansvara för samordningen, där förhandsanmälda och oanmälda besök ska ingå. Europaparlamentet och rådet ska hållas underrättade under hela förfarandet och få tillgång till relevanta handlingar.

2.  Kommissionen ska inom tre två år efter det att detta direktiv har trätt i kraft se över andra rättsakter som antagits av Europeiska unionen och som reglerar behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i synnerhet de unionsakter som avses i artikel 59, och lägga fram lämpliga förslag i syfte att bedöma om de behöver anpassas till detta direktiv och, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter garantera konsekventa och enhetliga lagbestämmelser om behöriga myndigheters behandling av personuppgifter för att slå vakt om ett enhetligt tillvägagångssätt för skydd av personuppgifter förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder inom tillämpningsområdet för detta direktiv.

2a.  Kommissionen ska inom två år efter det att detta direktiv trätt i kraft lägga fram ett lämpligt förslag om översyn av det regelverk som är tillämpligt på den behandling av personuppgifter som utförs av unionens institutioner, organ och byråer, i syfte att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder för att garantera konsekventa och enhetliga lagbestämmelser om den grundläggande rätten till skydd av personuppgifter i unionen.

3.  Kommissionen ska i kraft av punkt 1 regelbundet överlämna rapporter om tillämpningen och översynen av detta direktiv till Europaparlamentet och till rådet. Den första rapporten ska överlämnas senast fyra år efter det att detta direktiv träder i kraft. Därefter ska rapporter överlämnas vart fjärde år. Kommissionen ska om så krävs lägga fram lämpliga förslag om ändring av detta direktiv och om anpassning av andra rättsinstrument. Rapporten ska offentliggöras. [Ändr. 125]

Artikel 62

Genomförande

1.  Medlemsstaterna ska senast ...(12) anta och offentliggöra de lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska genast överlämna texten till dessa bestämmelser till kommissionen.

De ska tillämpa dessa bestämmelser från och med ... * .

När en medlemsstat antar sådana bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

2.  Medlemsstaterna ska till kommissionen överlämna texten till de centrala bestämmelser i nationell lagstiftning som de antar inom det område som omfattas av detta direktiv.

Artikel 63

Ikraftträdande och tillämpning

Detta direktiv träder i kraft dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning .

Artikel 64

Adressater

Detta direktiv riktar sig till medlemsstaterna.

Utfärdat i ...

På Europaparlamentets vägnar På rådets vägnar

Ordförande Ordförande

(1) EUT C 192, 30.6.2012, s. 7.
(2) Europaparlamentets ståndpunkt av den 12 mars 2014.
(3)Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EUT L 281, 23.11.1995, s. 31).
(4)Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60).
(5) Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).
(6)Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter ( EUT L 55, 28.2.2011, s. 13) .
(7)Europaparlamentets och rådets direktiv 2011/93/EU av den 13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut 2004/68/RIF (EUT L 335, 17.12.2011, s. 1).
(8)EGT L 176, 10.7.1999, s. 36.
(9)EUT L 53, 27.2.2008, s. 52.
(10)EUT L 160, 18.6.2011, s. 21.
(11) EUT C 369, 17.12.2011, s. 14
(12) Två år efter dagen för detta direktivs ikraftträdande.

Senaste uppdatering: 21 november 2017Rättsligt meddelande