BETÄNKANDE om förslaget till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter

22.11.2013 - (COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD)) - ***I

Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor
Föredragande: Dimitrios Droutsas


Förfarande : 2012/0010(COD)
Dokumentgång i plenum
Dokumentgång :  
A7-0403/2013
Ingivna texter :
A7-0403/2013
Antagna texter :

FÖRSLAG TILL EUROPAPARLAMENTETS LAGSTIFTNINGSRESOLUTION

om förslaget till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter

(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

(Ordinarie lagstiftningsförfarande: första behandlingen)

Europaparlamentet utfärdar denna resolution

–   med beaktande av kommissionens förslag till Europaparlamentet och rådet (COM(2012)0010),

–   med beaktande av artiklarna 294.2 och 16.2 i fördraget om Europeiska unionens funktionssätt, i enlighet med vilka kommissionen har lagt fram sitt förslag för parlamentet (C7‑0024/2012),

–   med beaktande av artikel 294.3 i fördraget om Europeiska unionens funktionssätt,

–   med beaktande av de motiverade yttranden från det tyska förbundsrådet och Sveriges riksdag som lagts fram i enlighet med protokoll nr 2 om tillämpning av subsidiaritets- och proportionalitetsprinciperna, och enligt vilka utkastet till lagstiftningsakt inte är förenligt med subsidiaritetsprincipen,

–   med beaktande av yttrandet från Europeiska datatillsynsmannen av den 7 mars 2012,

–   med beaktande av yttrandet från Europeiska unionens byrå för grundläggande rättigheter av den 1 oktober 2012,

–   med beaktande av artikel 55 i arbetsordningen,

–   med beaktande av betänkandet från utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (A7-0403/2013).

1.  Europaparlamentet antar nedanstående ståndpunkt vid första behandlingen.

2.  Europaparlamentet uppmanar kommissionen att lägga fram en ny text för parlamentet om den har för avsikt att väsentligt ändra sitt förslag eller ersätta det med ett nytt.

3.  Europaparlamentet uppdrar åt talmannen att översända parlamentets ståndpunkt till rådet, kommissionen och de nationella parlamenten.

Ändringsförslag  1

Förslag till direktiv

Skäl 1

Kommissionens förslag

Ändringsförslag

(1) Skyddet av fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16.1 i fördraget om Europeiska unionens funktionssätt garanterar var och en rätten till skydd av de personuppgifter som rör honom eller henne.

(1) Skyddet av fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16.1 i fördraget om Europeiska unionens funktionssätt garanterar var och en rätten till skydd av de personuppgifter som rör honom eller henne. I artikel 8.2 i Europeiska unionens stadga om de grundläggande rättigheterna fastställs att dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund.

Ändringsförslag  2

Förslag till direktiv

Skäl 4

Kommissionens förslag

Ändringsförslag

(4) Detta gör det nödvändigt att underlätta det fria flödet av uppgifter mellan behöriga myndigheter inom unionen samt överföringar till tredjeländer och internationella organisationer, och samtidigt säkerställa en hög skyddsnivå för personuppgifter. Dessa utvecklingstendenser kräver en stark och mer sammanhängande ram för uppgiftsskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete.

(4) Detta kräver att man underlättar det fria flödet av uppgifter mellan behöriga myndigheter inom unionen samt överföringar till tredjeländer och internationella organisationer, när detta är nödvändigt och står i proportion till sitt syfte, och samtidigt att man säkerställer en hög skyddsnivå för personuppgifter. Dessa utvecklingstendenser kräver en stark och mer sammanhängande ram för uppgiftsskyddet inom unionen, uppbackad av kraftfullt tillsynsarbete.

Ändringsförslag  3

Förslag till direktiv

Skäl 7

Kommissionens förslag

Ändringsförslag

(7) Att garantera en enhetlig och hög nivå på skyddet av enskildas personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete. Därför måste skyddet av enskildas fri- och rättigheter i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder vara likvärdigt i alla medlemsstater. Ett effektivt skydd av personuppgifter i hela unionen förutsätter att de registrerades rättigheter stärks och att skyldigheterna för dem som behandlar sådana uppgifter klargörs, men också likvärdiga befogenheter för de myndigheter och organ som har ansvaret för att övervaka och säkerställa efterlevnaden av bestämmelserna om skydd av personuppgifter i medlemsstaterna.

(7) Att garantera en enhetlig och hög nivå på skyddet av enskildas personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete. Därför måste skyddet av enskildas fri- och rättigheter i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder vara likvärdigt i alla medlemsstater. En enhetlig och likartad tillämpning av bestämmelserna om skydd av fysiska personers grundläggande fri- och rättigheter vid behandling av personuppgifter bör garanteras i hela unionen. Ett effektivt skydd av personuppgifter i hela unionen förutsätter att de registrerades rättigheter stärks och att skyldigheterna för dem som behandlar sådana uppgifter klargörs, men också likvärdiga befogenheter för de myndigheter och organ som har ansvaret för att övervaka och säkerställa efterlevnaden av bestämmelserna om skydd av personuppgifter i medlemsstaterna.

Ändringsförslag  4

Förslag till direktiv

Skäl 8

Kommissionens förslag

Ändringsförslag

(8) I artikel 16.2 i fördraget om Europeiska unionens funktionssätt anges att Europaparlamentet och rådet ska fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter samt om den fria rörligheten för sådana uppgifter.

(8) I artikel 16.2 i fördraget om Europeiska unionens funktionssätt anges att Europaparlamentet och rådet ska fastställa bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter, om den fria rörligheten för deras personuppgifter samt om integritet.

Ändringsförslag  5

Förslag till direktiv

Skäl 11

Kommissionens förslag

Ändringsförslag

(11) Ett särskilt direktiv bör således vara anpassat till den särskilda karaktären hos dessa områden och fastställa bestämmelser om skydd för enskilda i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

(11) Ett specifikt direktiv bör således vara anpassat till den särskilda karaktären hos dessa områden och fastställa bestämmelser om skydd för enskilda i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Ändringsförslag  6

Förslag till direktiv

Skäl 15

Kommissionens förslag

Ändringsförslag

(15) Skyddet av enskilda bör vara tekniskt neutralt, det vill säga inte vara beroende av den teknik som används, eftersom detta skulle skapa en allvarlig risk för att reglerna kringgås. Skyddet av enskilda bör vara tillämpligt på både automatisk och manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter, liksom deras omslag, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av detta direktiv. Detta direktiv bör inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, särskilt verksamhet som rör nationell säkerhet, eller av uppgifter som behandlats av unionens institutioner, organ och byråer, t.ex. Europol eller Eurojust.

(15) Skyddet av enskilda bör vara tekniskt neutralt, det vill säga inte vara beroende av den teknik som används, eftersom detta skulle skapa en allvarlig risk för att reglerna kringgås. Skyddet av enskilda bör vara tillämpligt på både automatisk och manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter, liksom deras omslag, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av detta direktiv. Detta direktiv bör inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten. Europaparlamentets och rådets förordning (EG) nr 45/20011 och specifika rättsinstrument som är tillämpliga på unionens institutioner, organ och byråer bör harmoniseras med och tillämpas i enlighet med detta direktiv.

 

___________________

 

1 Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

Ändringsförslag  7

Förslag till direktiv

Skäl 16

Kommissionens förslag

Ändringsförslag

(16) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Vid bedömningen av om en fysisk person är identifierbar bör man ta hänsyn till alla hjälpmedel som den registeransvarige eller någon annan person rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar.

(16) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Vid bedömningen av om en fysisk person är identifierbar bör man ta hänsyn till alla hjälpmedel som den registeransvarige eller någon annan person rimligen kan komma att använda för att identifiera eller särskilja vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar. Detta direktiv bör inte tillämpas på anonyma uppgifter, det vill säga alla uppgifter som inte kan kopplas till en fysisk person, vare sig direkt eller indirekt eller enskilt eller i kombination med tillhörande uppgifter. Med hänsyn till betydelsen av den pågående utvecklingen inom informationssamhället av de tekniker som används för att samla in, överföra, manipulera, registrera, lagra eller kommunicera lokaliseringsuppgifter avseende fysiska personer och som kan användas för olika ändamål, bland annat övervakning och profilering, bör detta direktiv vara tillämpligt på behandling som inbegriper sådana personuppgifter.

Ändringsförslag  8

Förslag till direktiv

Skäl 16a (nytt)

Kommissionens förslag

Ändringsförslag

 

(16a) All behandling av personuppgifter måste vara lagenlig, korrekt och medge insyn för de berörda personerna. I synnerhet bör de specifika ändamål som uppgifterna behandlas för vara uttryckliga, legitima och fastställda vid den tidpunkt då personuppgifterna samlas in. Personuppgifterna bör vara adekvata, relevanta och begränsade till det som är nödvändigt för de ändamål som personuppgifterna behandlas för. Detta kräver i synnerhet att de uppgifter som samlas in och den period under vilken uppgifterna lagras begränsas till det som är strikt nödvändigt. Personuppgifter bör behandlas endast om syftet med behandlingen inte kan uppnås genom andra medel. Alla rimliga åtgärder bör vidtas för att se till att oriktiga personuppgifter rättas eller raderas. För att se till att uppgifter inte sparas längre än nödvändigt bör den registeransvarige införa tidsgränser för radering eller periodisk översyn.

Ändringsförslag  9

Förslag till direktiv

Skäl 18

Kommissionens förslag

Ändringsförslag

(18) Varje behandling av personuppgifter måste vara tillåten, rättvis och öppen i förhållande till berörda enskilda. I synnerhet bör de särskilda ändamål för vilka uppgifterna behandlas formuleras tydligt.

utgår

Ändringsförslag  10

Förslag till direktiv

Skäl 19

Kommissionens förslag

Ändringsförslag

(19) För att ge behöriga myndigheter förutsättningar att förebygga, utreda och lagföra brott är det viktigt att de kan bevara och behandla personuppgifter som insamlats i samband med sådan verksamhet också för andra ändamål, så att det blir möjligt att utveckla kunskap om olika brottsföreteelser och brottstrender, samla in underrättelser om kriminella nätverk och göra kopplingar mellan olika brott.

utgår

Ändringsförslag  11

Förslag till direktiv

Skäl 20

Kommissionens förslag

Ändringsförslag

(20) Personuppgifter bör inte behandlas för ändamål som är oförenliga med det ändamål för vilket de samlades in. Personuppgifter ska vara adekvata, relevanta och inte överdrivet omfattande med hänsyn till ändamålet med behandlingen. Alla rimliga åtgärder bör vidtas för att säkerställa att oriktiga personuppgifter rättas eller raderas.

utgår

Ändringsförslag  12

Förslag till direktiv

Skäl 20a (nytt)

Kommissionens förslag

Ändringsförslag

 

(20a) Det enkla faktum att två ändamål båda rör förebyggande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder betyder inte nödvändigtvis att de är förenliga med varandra. Det finns emellertid fall där vidare behandling för oförenliga ändamål bör vara möjlig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten. Medlemsstaterna bör därför få anta nationella lagar som medger sådana undantag i den utsträckning det är strikt nödvändigt. Sådana nationella lagar bör innehålla lämpliga skyddsåtgärder.

Ändringsförslag  13

Förslag till direktiv

Skäl 22

Kommissionens förslag

Ändringsförslag

(22) Vid tolkning och tillämpning av allmänna principer avseende behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder bör hänsyn tas till de specifika förhållandena inom den berörda sektorn, inklusive de särskilda mål som eftersträvas.

utgår

Ändringsförslag  14

Förslag till direktiv

Skäl 23

Kommissionens förslag

Ändringsförslag

(23) Behandling av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete innebär av naturliga skäl att personuppgifter om olika kategorier av registrerade behandlas. Därför är det viktigt att i möjligaste mån göra en klar åtskillnad mellan personuppgifter om olika kategorier av registrerade, t.ex. brottsmisstänkta, brottsdömda och brottsoffer samt andra som berörs av ett brottmål, t.ex. vittnen, personer med relevant information eller personer med kontakter eller band till brottsmisstänkta och brottsdömda.

(23) Behandling av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete innebär av naturliga skäl att personuppgifter om olika kategorier av registrerade behandlas. Därför är det viktigt att i möjligaste mån göra en klar åtskillnad mellan personuppgifter om olika kategorier av registrerade, t.ex. brottsmisstänkta, brottsdömda och brottsoffer samt andra som berörs av ett brottmål, t.ex. vittnen, personer med relevant information eller personer med kontakter eller band till brottsmisstänkta och brottsdömda. Medlemsstaterna bör införa särskilda bestämmelser om konsekvenserna av denna kategorisering, med hänsyn till de olika ändamål för vilka uppgifterna samlas in. Dessa bestämmelser bör inbegripa särskilda skyddsåtgärder för personer som inte är misstänkta eller dömda för något brott.

Ändringsförslag  15

Förslag till direktiv

Skäl 25

Kommissionens förslag

Ändringsförslag

(25) För att vara laglig bör behandlingen av personuppgifter vara nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, för att utföra en arbetsuppgift av allmänt intresse som en behörig myndighet ansvarar för enligt lag, för att skydda intressen av grundläggande betydelse för den registrerade eller en annan person eller för att förebygga ett omedelbart och allvarligt hot mot den allmänna säkerheten.

(25) För att vara lagenlig bör behandlingen av personuppgifter tillåtas endast när den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, för att utföra en arbetsuppgift av allmänt intresse som en behörig myndighet ansvarar för enligt unionslagstiftningen eller nationell lagstiftning, vilken bör innehålla uttryckliga och detaljerade bestämmelser om minst målen, personuppgifterna, de särskilda ändamålen och medlen, utnämningen av eller tillåtelse att utnämna den registeransvarige, de förfaranden som ska följas, användningen samt begränsningar av räckvidden av eventuell egen bestämmanderätt som de behöriga myndigheterna ges med avseende på behandlingen av personuppgifter.

Ändringsförslag  16

Förslag till direktiv

Skäl 25a (nytt)

Kommissionens förslag

Ändringsförslag

 

(25a) Personuppgifter bör inte behandlas för ändamål som är oförenliga med det ändamål för vilket de samlades in. Vidare behandling av behöriga myndigheter för ett ändamål som omfattas av detta direktiv men som inte är förenligt med det ursprungliga ändamålet bör tillåtas endast i särskilda fall där behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som enligt unionslagstiftningen eller nationell lagstiftning åvilar den registeransvarige, för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten. Att uppgifter behandlas för brottsbekämpning innebär inte nödvändigtvis att detta ändamål är förenligt med det ursprungliga ändamålet. Begreppet förenlig användning bör tolkas återhållsamt.

Ändringsförslag  17

Förslag till direktiv

Skäl 25b (nytt)

Kommissionens förslag

Ändringsförslag

 

(25b) Behandling av personuppgifter i strid med de nationella bestämmelser som antas till följd av detta direktiv bör upphöra.

Ändringsförslag  18

Förslag till direktiv

Skäl 26

Kommissionens förslag

Ändringsförslag

(26) Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter eller skyddet av privatlivet, däribland genetiska data, förtjänar ett särskilt skydd. Sådana uppgifter bör inte behandlas, om inte behandlingen är godkänd enligt lagstiftning som föreskriver lämpliga åtgärder för att säkerställa den registrerades berättigade intressen, behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person eller behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

(26) Personuppgifter som till sin natur är särskilt känsliga och ömtåliga med hänsyn till grundläggande rättigheter eller integritetsskydd förtjänar ett särskilt skydd. Sådana uppgifter bör inte behandlas, om inte behandlingen är nödvändig för att utföra ett uppdrag av allmänt intresse på grundval av unionslagstiftning eller nationell lagstiftning som föreskriver lämpliga åtgärder för att säkerställa den registrerades grundläggande rättigheter och berättigade intressen, behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person eller behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade. Känsliga personuppgifter bör behandlas endast om de kompletterar andra personuppgifter som redan behandlas för brottsbekämpningsändamål. Eventuella undantag till förbudet mot behandling av känsliga uppgifter bör tolkas återhållsamt och inte leda till upprepad, omfattande eller systematisk behandling av känsliga personuppgifter.

Ändringsförslag  19

Förslag till direktiv

Skäl 26a (nytt)

Kommissionens förslag

Ändringsförslag

 

(26a) Behandling av genetiska uppgifter bör vara tillåten endast om det finns ett genetiskt samband som framkommer under en brottsutredning eller ett rättsligt förfarande. Genetiska uppgifter bör lagras bara så länge som är strikt nödvändigt för ändamålet med sådana utredningar och förfaranden, samtidigt som medlemsstaterna kan föreskriva längre lagring på de villkor som anges i detta direktiv.

Ändringsförslag  20

Förslag till direktiv

Skäl 27

Kommissionens förslag

Ändringsförslag

(27) Varje fysisk person bör ha rätt att inte bli föremål för åtgärder som endast grundar sig på automatisk uppgiftsbehandling om detta skulle medföra negativa rättsliga verkningar för denna person, såvida inte behandlingen är tillåten enligt lag och omfattas av lämpliga åtgärder för att skydda den registrerades berättigade intressen.

(27) Varje fysisk person bör ha rätt att inte bli föremål för åtgärder som delvis eller helt grundar sig på profilering genom automatisk uppgiftsbehandling. Sådan behandling som medför rättsliga verkningar för denna person, eller som i betydande grad påverkar den personen, bör förbjudas, såvida inte behandlingen är tillåten enligt lag och omfattas av lämpliga åtgärder för att skydda den registrerades grundläggande rättigheter och berättigade intressen, inbegripet rätten att få meningsfull information om vilka logiska funktioner som används i profileringen. Sådan behandling bör under inga omständigheter inbegripa eller generera, eller diskriminera på grundval av, särskilda uppgiftskategorier.

Ändringsförslag  21

Förslag till direktiv

Skäl 28

Kommissionens förslag

Ändringsförslag

(28) För att den registrerade ska kunna utöva sina rättigheter bör all information som riktar sig till denne vara lättillgänglig och lätt att förstå, vilket inbegriper användning av ett klart och enkelt språk.

(28) För att den registrerade ska kunna utöva sina rättigheter bör all information som riktar sig till denne vara lättillgänglig och lätt att förstå, vilket inbegriper användning av ett klart och enkelt språk. Informationen bör anpassas till den registrerades behov, särskilt när informationen riktas till ett barn.

Ändringsförslag  22

Förslag till direktiv

Skäl 29

Kommissionens förslag

Ändringsförslag

(29) Det bör finnas arrangemang som underlättar för registrerade att utöva sina rättigheter enligt detta direktiv, bl.a. rutiner för att kostnadsfritt begära särskilt tillgång till uppgifterna samt rättelse och radering av dessa. Den registeransvarige bör vara skyldig att besvara framställningar från den registrerade utan onödigt dröjsmål.

(29) Det bör finnas arrangemang som underlättar för registrerade att utöva sina rättigheter enligt detta direktiv, bl.a. rutiner för att kostnadsfritt begära särskilt tillgång till uppgifterna samt rättelse och radering av dessa. Den registeransvarige bör vara skyldig att besvara framställningar från den registrerade utan dröjsmål, dock senast en månad efter mottagandet av en begäran. Om personuppgifter behandlas automatiskt bör den registeransvarige också erbjuda en möjlighet att lämna in begäran elektroniskt.

Ändringsförslag  23

Förslag till direktiv

Skäl 30

Kommissionens förslag

Ändringsförslag

(30) Principen om rättvis uppgiftsbehandling innebär att registrerade ska informeras särskilt om att behandling sker och syftet med behandlingen, hur länge uppgifterna kommer att lagras, rätten att få tillgång till, rätta eller radera uppgifter samt rätten att lämna in klagomål. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att tillhandahålla uppgifterna, och om vilka konsekvenserna blir om de inte lämnar dem.

(30) Principen om korrekt uppgiftsbehandling som medger insyn innebär att registrerade bör informeras särskilt om att behandling sker och syftet med behandlingen, behandlingens rättsliga grund, hur länge uppgifterna kommer att lagras, rätten att få tillgång till, rätta eller radera uppgifter samt rätten att lämna in klagomål. De registrerade bör vidare informeras om huruvida profilering sker och om profileringens avsedda konsekvenser. När uppgifterna samlas in från de registrerade bör dessa även informeras om huruvida de är skyldiga att tillhandahålla uppgifterna, och om vilka konsekvenserna blir om de inte lämnar dem.

Ändringsförslag  24

Förslag till direktiv

Skäl 32

Kommissionens förslag

Ändringsförslag

(32) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är införstådda med att behandling sker och kan kontrollera att den är tillåten. Därför bör varje registrerad har rätt att känna till och underrättas om i synnerhet de ändamål för vilka uppgifterna behandlas, hur länge behandlingen kommer att pågå och vilka som kommer att få del av uppgifterna, inbegripet mottagare i tredjeländer. Registrerade bör ha rätt till en kopia av de uppgifter som behandlas.

(32) Alla bör ha rätt att få tillgång till uppgifter som insamlats om dem och enkelt kunna utöva denna rätt så att de är införstådda med att behandling sker och kan kontrollera att den är tillåten. Därför bör varje registrerad ha rätt att känna till och underrättas om i synnerhet de ändamål för vilka uppgifterna behandlas, behandlingens rättsliga grund, hur länge behandlingen kommer att pågå och vilka som kommer att få del av uppgifterna, inbegripet mottagare i tredjeländer, och få begriplig information om vilka logiska funktioner som tillämpas i eventuell automatisk behandling, om betydande och avsedda konsekvenser av behandlingen, i tillämpliga fall, samt om rätten att inge ett klagomål till tillsynsmyndigheten och om myndighetens kontaktuppgifter. Registrerade bör ha rätt till en kopia av de uppgifter som behandlas.

Ändringsförslag  25

Förslag till direktiv

Skäl 33

Kommissionens förslag

Ändringsförslag

(33) Medlemsstaterna bör ha möjlighet att genom lagstiftning vidta åtgärder som innebär att informationen till de registrerade eller de registrerades tillgång till sina uppgifter senareläggs, begränsas eller utelämnas, i den utsträckning och så länge som en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens berättigade intressen, och syftet är att förebygga obstruktion av officiella eller rättsliga utredningar, undersökningar eller förfaranden, undvika menlig inverkan på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder, skydda allmän eller nationell säkerhet eller skydda den registrerade eller andra personers fri- och rättigheter.

(33) Medlemsstaterna bör ha möjlighet att genom lagstiftning vidta åtgärder som innebär att informationen till de registrerade eller de registrerades tillgång till sina uppgifter senareläggs eller begränsas, i den utsträckning och så länge som en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens grundläggande rättigheter och berättigade intressen, och syftet är att förebygga obstruktion av officiella eller rättsliga utredningar, undersökningar eller förfaranden, undvika menlig inverkan på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder, skydda allmän eller nationell säkerhet eller skydda den registrerade eller andra personers fri- och rättigheter. Den registeransvarige bör genom konkret och individuell granskning i varje enskilt fall bedöma om rätten till tillgång delvis eller helt bör begränsas.

Ändringsförslag  26

Förslag till direktiv

Skäl 34a (nytt)

Kommissionens förslag

Ändringsförslag

 

(34a) Varje inskränkning av den registrerades rättigheter måste vara förenlig med Europeiska unionens stadga om de grundläggande rättigheterna och med den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, i överensstämmelse med rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna, och i synnerhet respektera kärnan i rättigheterna och friheterna.

Ändringsförslag  27

Förslag till direktiv

Skäl 35

Kommissionens förslag

Ändringsförslag

(35) När medlemsstater har antagit lagstiftning som helt eller delvis begränsar rätten till tillgång, bör de registrerade ha rätt att begära att den behöriga nationella tillsynsmyndigheten kontrollerar behandlingens laglighet. De registrerade bör informeras om denna rättighet. När en tillsynsmyndighet utövar rätten att få tillgång till uppgifter för de registrerades räkning, bör tillsynsmyndigheten informera dem åtminstone om att tillsynsmyndigheten har utfört alla nödvändiga kontroller och om resultatet av dessa kontroller när det gäller lagligheten av behandlingen i fråga.

(35) När medlemsstater har antagit lagstiftning som helt eller delvis begränsar rätten till tillgång, bör de registrerade ha rätt att begära att den behöriga nationella tillsynsmyndigheten kontrollerar behandlingens laglighet. De registrerade bör informeras om denna rättighet. När en tillsynsmyndighet utövar rätten att få tillgång till uppgifter för de registrerades räkning, bör tillsynsmyndigheten informera dem åtminstone om att tillsynsmyndigheten har utfört alla nödvändiga kontroller och om resultatet av dessa kontroller när det gäller lagligheten av behandlingen i fråga. Tillsynsmyndigheten bör också informera den registrerade om rätten att begära rättslig prövning.

Ändringsförslag  28

Förslag till direktiv

Skäl 36

Kommissionens förslag

Ändringsförslag

(36) Var och en bör ha rätt att få felaktiga personuppgifter om sig rättade samt rätt till radering om behandlingen av sådana uppgifter inte föreenlig med de grundläggande principerna i detta direktiv. När personuppgifter behandlas inom ramen för en brottsutredning och ett brottmål, bör rätten till rättelse, information, tillgång och radering samt till begränsning av behandlingen kunna säkerställas i enlighet med nationella bestämmelser om rättsliga förfaranden.

(36) Var och en bör ha rätt att få oriktiga eller olovligen behandlade personuppgifter om sig själv rättade samt rätt till radering om behandlingen av sådana uppgifter inte är förenlig med bestämmelserna i detta direktiv. Sådan rättelse, komplettering eller radering bör meddelas till de mottagare till vilka uppgifterna har lämnats ut och till de tredje parter från vilka de oriktiga uppgifterna hade sitt ursprung. De registeransvariga bör också avstå från vidare spridning av sådana uppgifter. När personuppgifter behandlas inom ramen för en brottsutredning och ett brottmål, bör rätten till rättelse, information, tillgång och radering samt till begränsning av behandlingen kunna säkerställas i enlighet med nationella bestämmelser om rättsliga förfaranden.

Ändringsförslag  29

Förslag till direktiv

Skäl 37

Kommissionens förslag

Ändringsförslag

(37) Registeransvariga bör åläggas ett övergripande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Den registeransvarige bör särskilt se till att behandlingen är förenlig med de bestämmelser som antas i enlighet med detta direktiv.

(37) Registeransvariga bör åläggas ett övergripande ansvar för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Den registeransvarige bör särskilt se till att varje behandling är förenlig med de bestämmelser som antas i enlighet med detta direktiv och vara skyldig att kunna styrka att så är fallet.

Ändringsförslag  30

Förslag till direktiv

Skäl 39

Kommissionens förslag

Ändringsförslag

(39) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarnas ansvar kräver en tydlig fördelning av ansvar enligt detta direktiv, inklusive när en registeransvarig bestämmer ändamålen med och villkoren och medlen för behandlingen tillsammans med andra registeransvariga eller när behandlingen utförs på uppdrag av en registeransvarig.

(39) Skyddet av de registrerades rättigheter och friheter samt de registeransvarigas och registerförarnas ansvar kräver en tydlig fördelning av ansvar enligt detta direktiv, inklusive när en registeransvarig bestämmer ändamålen med och villkoren och medlen för behandlingen tillsammans med andra registeransvariga eller när behandlingen utförs på uppdrag av en registeransvarig. Den registrerade bör ha rätt att utöva sina rättigheter enligt detta direktiv avseende och gentemot var och en av de gemensamma registeransvariga.

Ändringsförslag  31

Förslag till direktiv

Skäl 40a (nytt)

Kommissionens förslag

Ändringsförslag

 

(40a) Varje behandling av personuppgifter bör registreras i syfte att möjliggöra kontroll av uppgiftsbehandlingens lagenlighet, egenkontroll samt garantier för lämplig dataintegritet och datasäkerhet. Registreringen bör på begäran göras tillgänglig för tillsynsmyndigheten för dess övervakning av efterlevnaden av bestämmelserna i detta direktiv.

Ändringsförslag  32

Förslag till direktiv

Skäl 40b (nytt)

Kommissionens förslag

Ändringsförslag

 

(40b) En konsekvensbedömning avseende uppgiftsskydd bör genomföras av den registeransvarige eller av registerföraren om det är sannolikt att uppgiftsbehandlingen medför särskilda risker för de registrerades rättigheter och friheter på grund av sin karaktär, sin omfattning eller sina ändamål, vilket bör inbegripa i synnerhet planerade åtgärder, skyddsåtgärder och rutiner för att säkerställa skyddet för personuppgifter och för att styrka efterlevnaden av detta direktiv. Konsekvensbedömningarna bör gälla relevanta system och processer för behandling av personuppgifter, men inte enskilda fall.

Ändringsförslag  33

Förslag till direktiv

Skäl 41

Kommissionens förslag

Ändringsförslag

(41) I syfte att säkerställa ett effektivt skydd av de registrerades rättigheter och friheter genom förebyggande åtgärder, bör den registeransvarige eller registerföraren i vissa fall samråda med tillsynsmyndigheten innan uppgifterna behandlas.

(41) I syfte att säkerställa ett effektivt skydd av de registrerades rättigheter och friheter genom förebyggande åtgärder bör den registeransvarige eller registerföraren i vissa fall samråda med tillsynsmyndigheten innan uppgifterna behandlas. Om en konsekvensbedömning avseende uppgiftsskydd visar att behandlingen sannolikt medför höggradiga specifika risker för de registrerades rättigheter och friheter, bör tillsynsmyndigheten dessutom ha möjlighet att innan behandlingen inleds förhindra en riskabel behandling som inte är förenlig med detta direktiv och ge förslag på hur situationen bör avhjälpas. Denna typ av samråd kan även ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens karaktär och anger lämpliga skyddsåtgärder.

Ändringsförslag  34

Förslag till direktiv

Skäl 41a (nytt)

Kommissionens förslag

Ändringsförslag

 

(41a) För att upprätthålla säkerheten och förhindra behandling som strider mot detta direktiv bör registeransvariga eller registerförare utvärdera de risker som behandlingen är förknippad med och vidta åtgärder för att begränsa dem. Dessa åtgärder bör trygga en lämplig säkerhetsnivå med hänsyn till den senaste tekniken och kostnaderna för genomförandet i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid fastställandet av tekniska standarder och organisatoriska åtgärder som ska trygga säkerheten vid behandlingen bör teknikneutralitet främjas.

Ändringsförslag  35

Förslag till direktiv

Skäl 42

Kommissionens förslag

Ändringsförslag

(42) Ett personuppgiftsbrott kan, om det inte snabbt blir föremål för lämpliga åtgärder, medföra skada, inklusive med avseende på den berörda personens anseende. Så snart som den registeransvarige blir medveten om att ett sådant brott har inträffat, bör denne anmäla brottet till den behöriga nationella myndigheten. Enskilda personer vars personuppgifter eller integritet kan utsättas för negativ påverkan genom brottet bör meddelas utan onödigt dröjsmål, så att de får tillfälle att vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses ha en menlig inverkan på en individs personuppgifter och integritet om det kan leda till exempelvis identitetsstöld eller identitetsbedrägeri, personskada, betydande förödmjukelse eller skadat anseende i samband med behandlingen av personuppgifter.

(42) Ett personuppgiftsbrott kan, om det inte snabbt blir föremål för lämpliga åtgärder, medföra en betydande ekonomisk förlust och social skada, inklusive identitetsbedrägeri, för den berörda personen. Så snart som den registeransvarige blir medveten om att ett sådant brott har inträffat, bör denne anmäla brottet till den behöriga nationella myndigheten. Enskilda personer vars personuppgifter eller integritet kan utsättas för negativ påverkan genom brottet bör meddelas utan dröjsmål, så att de får tillfälle att vidta nödvändiga försiktighetsåtgärder. Ett brott bör anses ha en menlig inverkan på en individs personuppgifter och integritet om det kan leda till exempelvis identitetsstöld eller identitetsbedrägeri, personskada, betydande förödmjukelse eller skadat anseende i samband med behandlingen av personuppgifter. Meddelandet bör innehålla information om åtgärder som vidtagits av leverantören för att ta itu med brottet, liksom rekommendationer för den berörda abonnenten eller individen. Den registrerade bör meddelas så snart som möjligt och i nära samarbete med tillsynsmyndigheten, i enlighet med vägledning från denna myndighet.

Ändringsförslag  36

Förslag till direktiv

Skäl 44

Kommissionens förslag

Ändringsförslag

(44) Registeransvariga eller registerförare bör utse en person som kan hjälpa dem med att övervaka efterlevnaden av de bestämmelser som antas i enlighet med detta direktiv. Flera enheter inom den behöriga myndigheten kan gemensamt utse uppgiftsskyddsombud. Uppgiftsskyddsombuden måste kunna utföra sina uppdrag och arbetsuppgifter på ett oberoende och effektivt sätt.

(44) Registeransvariga eller registerförare bör utse en person som kan hjälpa dem med att övervaka och styrka efterlevnaden av de bestämmelser som antas i enlighet med detta direktiv. Om flera behöriga myndigheter agerar under tillsyn av en central myndighet, bör åtminstone denna centrala myndighet utnämna ett sådant uppgiftsskyddsombud. Uppgiftsskyddsombuden måste kunna utföra sina uppdrag och arbetsuppgifter på ett oberoende och effektivt sätt, i synnerhet genom att fastställa regler för att undvika intressekonflikter med andra uppdrag som de utför.

Ändringsförslag  37

Förslag till direktiv

Skäl 45

Kommissionens förslag

Ändringsförslag

(45) Medlemsstaterna bör se till att överföringar till ett tredjeland endast kan äga rum om detta är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott eller för att verkställa straffrättsliga påföljder, och den registeransvarige i tredjelandet eller den internationella organisationen är en myndighet som är behörig i den mening som avses i detta direktiv. En överföring kan äga rum när kommissionen har beslutat att skyddsnivån i ett tredjeland eller en internationell organisation är adekvat, eller när lämpliga skyddsåtgärder föreligger.

(45) Medlemsstaterna bör se till att överföringar till ett tredjeland kan äga rum endast om den berörda överföringen är nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller för att verkställa straffrättsliga påföljder, och den registeransvarige i tredjelandet eller den internationella organisationen är en offentlig myndighet som är behörig i den mening som avses i detta direktiv. En överföring kan äga rum om kommissionen har fastställt att skyddsnivån i ett tredjeland eller en internationell organisation är adekvat, om lämpliga skyddsåtgärder har vidtagits eller om lämpliga skyddsåtgärder har vidtagits genom ett rättsligt bindande instrument. Uppgifter som överförs till behöriga offentliga myndigheter i tredjeländer bör inte behandlas vidare för andra ändamål än det som de överfördes för.

Ändringsförslag  38

Förslag till direktiv

Skäl 45a (nytt)

Kommissionens förslag

Ändringsförslag

 

(45a) Ytterligare vidareöverföringar från behöriga myndigheter i tredjeländer eller internationella organisationer till vilka personuppgifter har överförts bör tillåtas endast om vidareöverföringen är nödvändig för samma specifika ändamål som den ursprungliga överföringen och den andra mottagaren också är en behörig offentlig myndighet. Ytterligare vidareöverföringar bör inte tillåtas för allmänna brottsbekämpningsändamål. Den behöriga myndighet som utförde den ursprungliga överföringen bör ha godkänt vidareöverföringen.

Ändringsförslag  39

Förslag till direktiv

Skäl 48

Kommissionens förslag

Ändringsförslag

(48) Kommissionen bör likaledes kunna konstatera att ett tredjeland eller ett territorium eller en behandlande sektor inom ett tredjeland, eller en internationell organisation, inte erbjuder en adekvat nivå på skyddet av uppgifterna. Följaktligen bör överföringar av personuppgifter till det tredjelandet förbjudas utom när de bygger på internationella avtal, omgärdas av lämpliga skyddsåtgärder eller grundas på ett undantag. Bestämmelser bör fastställas för förfaranden för samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Ett sådant kommissionsbeslut ska dock inte påverka möjligheten att göra överföringar när dessa är omgärdade av lämpliga skyddsåtgärder eller grundas på ett undantag som finns fastställt i direktivet.

(48) Kommissionen bör likaledes kunna konstatera att ett tredjeland eller ett territorium eller en behandlande sektor inom ett tredjeland, eller en internationell organisation, inte erbjuder en adekvat nivå på skyddet av uppgifterna. Följaktligen bör överföringar av personuppgifter till det tredjelandet förbjudas utom när de bygger på internationella avtal, omgärdas av lämpliga skyddsåtgärder eller grundas på ett undantag. Bestämmelser bör fastställas för förfaranden för samråd mellan kommissionen och dessa tredjeländer eller internationella organisationer. Ett sådant kommissionsbeslut bör dock inte påverka möjligheten att göra överföringar när dessa är omgärdade av lämpliga skyddsåtgärder genom rättsligt bindande instrument eller grundas på ett undantag som finns fastställt i direktivet.

Ändringsförslag  40

Förslag till direktiv

Skäl 49

Kommissionens förslag

Ändringsförslag

(49) Överföringar som inte grundar sig på ett sådant beslut om adekvat skyddsnivå bör endast tillåtas om lämpliga skyddsåtgärder vidtagits genom ett rättsligt bindande instrument, som säkrar skyddet av personuppgifterna eller om den registeransvarige eller registerföraren har gjort en bedömning av alla omständigheterna kring en uppgiftsöverföring eller en serie uppgiftsöverföringar och på grundval av denna bedömning anser att lämpliga skyddsåtgärder föreligger vad avser skyddet av personuppgifter. När skäl saknas för att tillåta en överföring, bör undantag medges om överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta, eller om det är avgörande för att avvärja en omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller i ett tredjeland, eller i enskilda fall när det är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, eller i enskilda fall för att fastslå, göra gällande eller försvara rättsliga anspråk.

(49) Överföringar som inte grundar sig på ett sådant beslut om adekvat skyddsnivå bör tillåtas endast om lämpliga skyddsåtgärder som säkerställer skyddet av personuppgifterna har vidtagits genom ett rättsligt bindande instrument.

Ändringsförslag  41

Förslag till direktiv

Skäl 49a (nytt)

Kommissionens förslag

Ändringsförslag

 

(49a) I fall där grunder saknas för att tillåta en överföring bör undantag medges om detta är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta, eller om det är avgörande för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller i ett tredjeland, eller i enskilda fall när det är nödvändigt för att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, eller i enskilda fall för att fastslå, göra gällande eller försvara rättsliga anspråk. Dessa undantag bör tolkas återhållsamt och inte leda till upprepad, omfattande eller systematisk överföring av personuppgifter och bör inte tillåta överföring av uppgifter i klump, som bör begränsas till uppgifter som är absolut nödvändiga. Beslutet om överföringen bör fattas av en vederbörligen bemyndigad person och överföringen dokumenteras, och beslutet bör på begäran göras tillgängligt för tillsynsmyndigheten för övervakning av överföringens lagenlighet.

(En del av skäl 49 i kommissionens förslag har blivit skäl 49a i parlamentets ändringsförslag.)

Ändringsförslag  42

Förslag till direktiv

Skäl 51

Kommissionens förslag

Ändringsförslag

(51) För att skydda enskilda vid behandling av personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i detta direktiv och bidra till enhetlig tillämpning i hela unionen, för att skydda fysiska personer när deras personuppgifter behandlas. För detta ändamål bör tillsynsmyndigheterna samarbeta såväl sinsemellan som med kommissionen.

(51) För att skydda enskilda vid behandling av personuppgifter är det av avgörande betydelse att medlemsstaterna inrättar tillsynsmyndigheter som utför sitt uppdrag under fullständigt oberoende. Tillsynsmyndigheterna bör övervaka tillämpningen av bestämmelserna i detta direktiv och bidra till enhetlig tillämpning i hela unionen, för att skydda fysiska personer när deras personuppgifter behandlas. För detta ändamål bör tillsynsmyndigheterna samarbeta sinsemellan.

Ändringsförslag  43

Förslag till direktiv

Skäl 53

Kommissionens förslag

Ändringsförslag

(53) Medlemsstaterna bör kunna inrätta mer än en tillsynsmyndighet för att återspegla sin konstitutionella, organisatoriska och administrativa struktur. Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen.

(53) Medlemsstaterna bör kunna inrätta mer än en tillsynsmyndighet för att återspegla sin konstitutionella, organisatoriska och administrativa struktur. Varje tillsynsmyndighet bör tilldelas de ekonomiska och personella resurser och lokalutrymmen samt den infrastruktur, inklusive teknisk kapacitet, erfarenhet och kompetens, som krävs för att den effektivt ska kunna utföra sina arbetsuppgifter, däribland de arbetsuppgifter som är knutna till ömsesidigt bistånd och samarbete med övriga tillsynsmyndigheter i hela unionen.

Ändringsförslag  44

Förslag till direktiv

Skäl 54

Kommissionens förslag

Ändringsförslag

(54) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, och inkludera regler om deras personliga kvalifikationer och ställning.

(54) De allmänna villkoren för tillsynsmyndighetens ledamöter bör fastställas genom lag i varje medlemsstat. Bestämmelserna bör bl.a. föreskriva att de ska utnämnas antingen av parlamentet eller av medlemsstatens regering, på grundval av samrådet med parlamentet, och inkludera regler om deras personliga kvalifikationer och ställning.

Ändringsförslag  45

Förslag till direktiv

Skäl 56

Kommissionens förslag

Ändringsförslag

(56) För att detta direktiv ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndigheterna i alla medlemsstater ha samma uppdrag och effektiva befogenheter, bl.a. befogenheter att utreda, vidta rättsligt bindande åtgärder, fatta beslut och ålägga påföljder, särskilt vid klagomål från enskilda, samt delta i rättsliga förfaranden.

(56) För att detta direktiv ska övervakas och verkställas på ett enhetligt sätt i hela unionen bör tillsynsmyndigheterna i alla medlemsstater ha samma uppdrag och effektiva befogenheter, inbegripet effektiva utredningsbefogenheter, befogenhet att få tillgång till alla personuppgifter och all information som är nödvändig för fullgörandet av varje tillsynsfunktion, befogenhet att få tillträde till den registeransvariges eller registerförarens anläggningar, inbegripet uppgiftsbehandlingskrav, befogenhet att vidta rättsligt bindande åtgärder, fatta beslut och ålägga påföljder, särskilt vid klagomål från enskilda, samt befogenhet att inleda rättsliga förfaranden.

Ändringsförslag  46

Förslag till direktiv

Skäl 58

Kommissionens förslag

Ändringsförslag

(58) Tillsynsmyndigheterna bör bistå varandra när de utför sitt uppdrag och ge ömsesidigt bistånd för att se till att bestämmelser som antas i enlighet med i detta direktiv efterlevs och tillämpas enhetligt.

(58) Tillsynsmyndigheterna bör bistå varandra när de utför sitt uppdrag och ge ömsesidigt bistånd för att se till att bestämmelser som antas i enlighet med detta direktiv efterlevs och tillämpas enhetligt. Varje tillsynsmyndighet bör vara redo att delta i gemensamma insatser. Den tillsynsmyndighet som tar emot en begäran bör vara skyldig att besvara denna inom en fastställd tidsperiod.

Ändringsförslag  47

Förslag till direktiv

Skäl 59

Kommissionens förslag

Ändringsförslag

(59) Europeiska dataskyddsstyrelsen som inrättats genom förordning (EU) …./2012 bör bidra till detta direktivs enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till kommissionen och främja samarbetet mellan tillsynsmyndigheterna i hela unionen.

(59) Europeiska dataskyddsstyrelsen, som inrättats genom förordning (EU) …./2013, bör bidra till detta direktivs enhetliga tillämpning i hela unionen, bl.a. genom att lämna råd till unionens institutioner, främja samarbetet mellan tillsynsmyndigheterna i hela unionen samt yttra sig till kommissionen vid utarbetandet av delegerade akter och genomförandeakter som grundas på detta direktiv.

Ändringsförslag  48

Förslag till direktiv

Skäl 61

Kommissionens förslag

Ändringsförslag

(61) Alla organ, organisationer eller sammanslutningar som syftar till att skydda registrerades rättigheter vad gäller skyddet av personuppgifter och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att på de registrerades vägnar, om de av dessa vederbörligen fått detta uppdrag, klaga eller utöva rätten till rättsmedel, eller att oberoende av en registrerad persons klagomål själv klaga när de anser att ett personuppgiftsbrott har begåtts.

(61) Alla organ, organisationer eller sammanslutningar som agerar i det allmänna intresset och som inrättats i enlighet med lagstiftningen i en medlemsstat bör ha rätt att på de registrerades vägnar, om de av dessa vederbörligen fått detta uppdrag, klaga eller utöva rätten till rättsmedel, eller att oberoende av en registrerad persons klagomål själva klaga när de anser att ett personuppgiftsbrott har begåtts.

Ändringsförslag  49

Förslag till direktiv

Skäl 64

Kommissionens förslag

Ändringsförslag

(64) Personer som lider skada till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure.

(64) Personer som lider skada, även ideell skada, till följd av otillåten behandling bör ha rätt till ersättning av registeransvariga eller registerförare, som dock kan befrias från skadeståndsskyldighet om de kan visa att de inte är ansvariga för skadan, särskilt om de kan påvisa att ett fel begåtts av den registrerade eller i fall av force majeure.

Ändringsförslag  50

Förslag till direktiv

Skäl 65a (nytt)

Kommissionens förslag

Ändringsförslag

 

(65a) Överföring av personuppgifter till andra myndigheter eller privata parter i unionen är förbjuden såvida inte överföringen följer lagen, mottagaren är etablerad i en medlemsstat och den registrerade inte har några berättigade särskilda intressen som hindrar överföringen och överföringen är nödvändig i ett visst fall för att den registeransvarige som överför uppgifterna ska kunna fullgöra ett uppdrag som denne lagenligen har tilldelats eller för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten eller förhindra allvarlig skada för enskildas rättigheter. Den registeransvarige bör informera mottagaren om ändamålet med uppgiftsbehandlingen och tillsynsmyndigheten om överföringen. Mottagaren bör också informeras om begränsningar av uppgiftsbehandlingen och se till att dessa iakttas.

Ändringsförslag  51

Förslag till direktiv

Skäl 66

Kommissionens förslag

Ändringsförslag

(66) I syfte att uppnå målen för detta direktiv, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, och i synnerhet deras rätt till skydd av personuppgifter och för att säkra fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör framför allt antas i fråga om anmälningar av personuppgiftsbrott till tillsynsmyndigheterna. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå. Kommissionen bör, då den förbereder och utarbetar delegerande akter, se till att relevanta handlingar översänds samtidigt till Europaparlamentet och rådet och att detta sker så snabbt som möjligt och på lämpligt sätt.

(66) I syfte att uppnå målen för detta direktiv, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, och i synnerhet deras rätt till skydd av personuppgifter och för att säkra fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen bör befogenheten att anta akter i enlighet med artikel 290 i fördraget om Europeiska unionens funktionssätt delegeras till kommissionen. Delegerade akter bör antas framför allt för att ytterligare specificera kriterierna och villkoren för förnyad behandling som kräver en konsekvensbedömning avseende uppgiftsskydd samt kriterierna för och kraven på ett personuppgiftsbrott och med avseende på den adekvata skyddsnivån i ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation. Det är av särskild betydelse att kommissionen genomför lämpliga samråd under sitt förberedande arbete, även på expertnivå och i synnerhet med Europeiska dataskyddsstyrelsen. När kommissionen förbereder och utarbetar delegerade akter bör den se till att relevanta handlingar översänds till Europaparlamentet och till rådet samtidigt, i god tid och på lämpligt sätt.

Ändringsförslag  52

Förslag till direktiv

Skäl 67

Kommissionens förslag

Ändringsförslag

(67) Genomförandebefogenheterna bör delegeras till kommissionen för att förutsättningarna för genomförandet av detta direktiv ska bli enhetliga i fråga om registeransvarigas och registerförares dokumentation, uppgiftsbehandlingens säkerhet, särskilt vad gäller krypteringsstandarder, anmälningar av personuppgiftsbrott till tillsynsmyndigheten samt adekvata skyddsnivåer i ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter36.

(67) Genomförandebefogenheterna bör delegeras till kommissionen för att förutsättningarna för genomförandet av detta direktiv ska bli enhetliga i fråga om uppgiftsbehandlingens säkerhet, särskilt vad gäller krypteringsstandarder och anmälningar av personuppgiftsbrott till tillsynsmyndigheten. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/201136.

_____________

_______________

36 EUT L 55, 28.2.2011, s. 13.

36 Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

Ändringsförslag  53

Förslag till direktiv

Skäl 68

Kommissionens förslag

Ändringsförslag

(68) Mot bakgrund av att dessa rättsakter har allmän räckvidd bör granskningsförfarandet användas åtgärder vidtas som gäller registeransvarigas och registerförares dokumentation, uppgiftsbehandlingens säkerhet, anmälningar av personuppgiftsbrott till tillsynsmyndigheterna samt adekvat skyddsnivå i ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation.

(68) Mot bakgrund av att dessa rättsakter har allmän räckvidd bör granskningsförfarandet användas för antagandet av åtgärder som gäller uppgiftsbehandlingens säkerhet och anmälningar av personuppgiftsbrott till tillsynsmyndigheterna.

Ändringsförslag  54

Förslag till direktiv

Skäl 69

Kommissionens förslag

Ändringsförslag

(69) När tvingande skäl till skyndsamhet föreligger bör kommissionen i vederbörligen motiverade fall anta omedelbart tillämpliga genomförandeakter avseende ett tredjeland eller ett territorium eller en behandlande sektor inom detta tredjeland eller en internationell organisation vars skyddsnivå inte är adekvat.

utgår

Ändringsförslag  55

Förslag till direktiv

Skäl 70

Kommissionens förslag

Ändringsförslag

(70) Eftersom målen för detta direktiv, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, och för att säkerställa ett fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför, på grund av åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå det målet.

(70) Eftersom målen för detta direktiv, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av sina personuppgifter, och för att säkerställa ett fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare, på grund av åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål. Medlemsstaterna får föreskriva strängare normer än dem som fastställs i detta direktiv.

Ändringsförslag  56

Förslag till direktiv

Skäl 72

Kommissionens förslag

Ändringsförslag

(72) Särskilda bestämmelser som avser behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder som finns i unionsakter, antagna före dagen för antagandet av detta direktiv, och som reglerar behandlingen av personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater till informationssystem som inrättats i enlighet med fördragen, bör kvarstå oförändrade. Kommissionen bör utvärdera situationen vad gäller förhållandet mellan detta direktiv och rättsakter, antagna före dagen för antagandet av detta direktiv, som reglerar behandling av personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater till informationssystem som inrättats i enlighet med fördragen, i syfte att bedöma om dessa särskilda bestämmelser behöver anpassas till detta direktiv.

(72) Särskilda bestämmelser som avser behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder som finns i unionsakter, antagna före dagen för antagandet av detta direktiv, och som reglerar behandlingen av personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstater till informationssystem som inrättats i enlighet med fördragen, bör kvarstå oförändrade. Eftersom artikel 8 i stadgan om de grundläggande rättigheterna och artikel 16 i EUF-fördraget innebär att den grundläggande rätten till skydd av personuppgifter ska garanteras på ett konsekvent och enhetligt sätt i hela unionen, bör kommissionen inom två år efter det att direktivet har trätt i kraft utvärdera situationen vad gäller förhållandet mellan detta direktiv och rättsakter, antagna före dagen för antagandet av detta direktiv, som reglerar behandling av personuppgifter mellan medlemsstaterna eller tillträde för utsedda myndigheter i medlemsstaterna till informationssystem som inrättats i enlighet med fördragen och lägga fram lämpliga förslag för att garantera konsekventa och enhetliga lagbestämmelser om behöriga myndigheters behandling av personuppgifter eller åtkomst för de myndigheter som medlemsstaterna utsett till informationssystem som inrättats i enlighet med fördragen, liksom behandling av personuppgifter som utförs av unionens institutioner, organ och byråer i syfte att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder inom detta direktivs tillämpningsområde.

Ändringsförslag  57

Förslag till direktiv

Skäl 73

Kommissionens förslag

Ändringsförslag

(73) För att säkerställa ett övergripande och enhetligt skydd av personuppgifter i unionen, bör internationella avtal som medlemsstaterna ingått före ikraftträdandet av detta direktiv ändras så att de överensstämmer med detta direktiv.

(73) För att säkerställa ett övergripande och enhetligt skydd av personuppgifter i unionen, bör internationella avtal som unionen eller medlemsstaterna ingått före ikraftträdandet av detta direktiv ändras så att de överensstämmer med detta direktiv.

Ändringsförslag  58

Förslag till direktiv

Skäl 76

Kommissionens förslag

Ändringsförslag

(76) I enlighet med artiklarna 2 och 2a i protokollet om Danmarks ställning, som fogats till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, är detta direktiv inte bindande för eller tillämpligt på Danmark. Eftersom detta direktiv innebär en utbyggnad av Schengenregelverket, som omfattas av avdelning V i tredje delen av fördraget om Europeiska unionens funktionssätt, ska Danmark i enlighet med artikel 4 i protokollet inom en tid av sex månader efter antagandet av detta direktiv besluta huruvida landet ska genomföra det i sin nationella lagstiftning.

(76) I enlighet med artiklarna 2 och 2a i protokollet om Danmarks ställning, som fogats till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, är detta direktiv inte bindande för eller tillämpligt på Danmark.

Ändringsförslag  59

Förslag till direktiv

Artikel 1

Kommissionens förslag

Ändringsförslag

Syfte och mål

Syfte och mål

1. I detta direktiv fastställs bestämmelser om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

1. I detta direktiv fastställs bestämmelser om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott och verkställa straffrättsliga påföljder samt villkor för den fria rörligheten för sådana personuppgifter.

2. Enligt detta direktiv ska medlemsstaterna

2. Enligt detta direktiv ska medlemsstaterna

a) skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, och

a) skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av sina personuppgifter och sin integritet, och

b) se till att behöriga myndigheters utbyte av personuppgifter inom unionen varken begränsas eller förbjuds av skäl som rör skyddet för enskilda personer med avseende på behandlingen av personuppgifter.

b) se till att behöriga myndigheters utbyte av personuppgifter inom unionen varken begränsas eller förbjuds av skäl som rör skyddet för enskilda personer med avseende på behandlingen av personuppgifter.

 

2a. Detta direktiv ska inte hindra medlemsstaterna från att föreskriva starkare skyddsåtgärder än dem som fastställs i detta direktiv.

Ändringsförslag  60

Förslag till direktiv

Artikel 2

Kommissionens förslag

Ändringsförslag

Tillämpningsområde

Tillämpningsområde

1. Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.

1. Detta direktiv ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1.

2. Direktivet ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

2. Direktivet ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

3. Direktivet ska inte tillämpas på behandling av personuppgifter

3. Direktivet ska inte tillämpas på behandling av personuppgifter

a) som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen, särskilt avseende nationell säkerhet,

som utgör ett led i en verksamhet som inte omfattas av unionslagstiftningen.

b) som utförs av unionens institutioner, organ och byråer.

 

Ändringsförslag  61

Förslag till direktiv

Artikel 3

Kommissionens förslag

Ändringsförslag

Definitioner

Definitioner

I detta direktiv gäller följande definitioner:

I detta direktiv gäller följande definitioner:

(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

 

(2) personuppgifter: varje upplysning som avser den registrerade.

(2) personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade); en identifierbar person är en person som kan identifieras, direkt eller indirekt, i synnerhet genom hänvisning till en identifikator såsom ett namn, ett identifikationsnummer, lokaliseringsuppgifter, en unik identitetsbeteckning eller till en eller flera faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet eller könsidentitet.

 

(2a) pseudonymiserade uppgifter: personuppgifter som inte kan hänföras till en viss registrerad person utan att kompletterande uppgifter används, så länge som dessa hålls åtskilda och är föremål för tekniska och organisatoriska åtgärder för att utesluta sådan hänföring.

(3) behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

(3) behandling: varje åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiskt eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

 

(3a) profilering: varje form av automatisk behandling av personuppgifter som syftar till att utvärdera vissa personliga egenskaper hos en fysisk person eller att analysera eller förutsäga i synnerhet vederbörandes arbetsprestationer, ekonomiska situation, vistelseort, hälsa, personliga preferenser, pålitlighet eller beteende.

 

(4) begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

(4) begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

(5) register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

(5) register: varje strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

(6) registeransvarig: en behörig offentlig myndighet som ensam eller tillsammans med andra bestämmer ändamålen, villkoren och medlen för behandlingen av personuppgifter; om ändamålen, villkoren och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne kan utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning.

(6) registeransvarig: en behörig offentlig myndighet som ensam eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för behandlingen bestäms av unionslagstiftningen eller medlemsstaternas lagstiftning kan den registeransvarige eller de särskilda kriterierna för hur denne ska utses anges i unionslagstiftningen eller i medlemsstaternas lagstiftning.

(7) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning.

(7) registerförare: en fysisk eller juridisk person, myndighet, institution eller annat organ som behandlar personuppgifter för den registeransvariges räkning.

(8) mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas.

(8) mottagare: en fysisk eller juridisk person, myndighet, institution eller annat organ till vilket uppgifterna utlämnas.

(9) personuppgiftsbrott: ett säkerhetsbrott som leder till förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

(9) personuppgiftsbrott: förstöring, förlust eller ändringar genom olyckshändelse eller otillåtna handlingar eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

(10) genetiska uppgifter: alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling.

(10) genetiska uppgifter: alla uppgifter, oavsett typ, som rör sådana kännetecken för en enskild person som är nedärvda eller har erhållits under tidig prenatal utveckling.

(11) biometriska uppgifter: alla uppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter.

(11) biometriska uppgifter: alla personuppgifter som rör en enskild persons fysiska, fysiologiska eller beteendemässiga kännetecken och som gör det möjligt att identifiera honom eller henne individuellt, såsom ansiktsbilder eller fingeravtrycksuppgifter.

(12) uppgifter om hälsa: alla uppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen.

(12) uppgifter om hälsa: alla personuppgifter som rör en enskild persons fysiska eller psykiska hälsa eller de hälso- och sjukvårdstjänster som tillhandahållits personen.

(13) barn: alla personer som är yngre än arton år.

(13) barn: alla personer som är yngre än arton år.

(14) behöriga myndigheter: varje offentlig myndighet med behörighet att förebygga, utreda, avslöja eller lagföra brott eller att verkställa straffrättsliga påföljder.

(14) behöriga myndigheter: varje offentlig myndighet med behörighet att förebygga, utreda, avslöja eller lagföra brott eller att verkställa straffrättsliga påföljder.

(15) tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 39.

(15) tillsynsmyndighet: en myndighet som är etablerad av en medlemsstat i enlighet med artikel 39.

Ändringsförslag  62

Förslag till direktiv

Artikel 4

Kommissionens förslag

Ändringsförslag

Principer om behandling av personuppgifter

Principer om behandling av personuppgifter

Medlemsstaterna ska föreskriva att personuppgifter ska

Medlemsstaterna ska föreskriva att personuppgifter ska

a) behandlas på ett korrekt och lagligt sätt,

a) behandlas på ett lagenligt och korrekt sätt som medger insyn och kontroll med avseende på den registrerade,

b) samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål,

b) samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål,

c) vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

c) vara adekvata, relevanta och begränsade till vad som är absolut nödvändigt i förhållande till de ändamål för vilka de behandlas; de får behandlas endast om, och så länge som, ändamålen inte kan uppnås genom behandling av information som inte inbegriper personuppgifter,

d) vara riktiga och om nödvändigt hållas aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål,

d) vara riktiga och hållas aktuella; alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är oriktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål,

e) förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas,

e) förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas,

f) behandlas under ansvar av den registeransvarige, som ska se till att kraven i de bestämmelser som antas i enlighet med detta direktiv uppfylls.

f) behandlas under ansvar av den registeransvarige, som ska se till och kunna styrka att de bestämmelser som antas i enlighet med detta direktiv följs,

 

fa) behandlas på ett sätt som gör det möjligt för den registrerade att utöva sina rättigheter enligt artiklarna 10–17,

 

fb) behandlas på ett sätt som skyddar mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse med hjälp av lämpliga tekniska eller organisatoriska åtgärder,

 

fc) behandlas enbart av den vederbörligen bemyndigade personal hos de behöriga myndigheterna som behöver uppgifterna för att utföra sina arbetsuppgifter.

Ändringsförslag  63

Förslag till direktiv

Artikel 4a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 4a

 

Tillgång till uppgifter som ursprungligen behandlades för andra ändamål än dem som avses i artikel 1.1

 

1. Medlemsstaterna ska föreskriva att behöriga myndigheter får ha tillgång till personuppgifter som ursprungligen behandlades för andra ändamål än dem som avses i artikel 1.1 endast om de specifikt tillåts detta enligt unionslagstiftningen eller nationell lagstiftning som ska uppfylla de krav som anges i artikel 7.1a och föreskriva att

 

a) tillgång tillåts endast för vederbörligen bemyndigad personal under utförandet av deras arbetsuppgifter, om det i ett visst fall finns rimliga skäl att anta att behandlingen av personuppgifterna kommer att ge ett betydande bidrag till att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder,

 

b) begäran om tillgång ska vara skriftlig och innehålla en hänvisning till den rättsliga grunden för begäran,

 

c) den skriftliga begäran ska vara dokumenterad, och att

 

d) lämpliga skyddsåtgärder ska vidtas för att garantera skyddet av grundläggande fri- och rättigheter i samband med behandlingen av personuppgifter. Dessa skyddsåtgärder ska inte inverka på utan komplettera särskilda villkor för tillgång till personuppgifter, såsom domstolsgodkännande i enlighet med nationell lagstiftning.

 

2. Tillgång till personuppgifter som innehas av privata parter eller andra offentliga myndigheter ska medges endast för utredning eller lagföring av brott, i överensstämmelse med de nödvändighets- och proportionalitetskrav som ska fastställas enligt unionslagstiftningen av varje medlemsstat i dess nationella lagstiftning, i fullständig överensstämmelse med artikel 7a.

Ändringsförslag  64

Förslag till direktiv

Artikel 4b (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 4b

 

Tidsgränser för lagring och översyn

 

1. Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska radera personuppgifter som behandlas i enlighet med detta direktiv när uppgifterna inte längre är nödvändiga för de ändamål för vilka de behandlades.

 

2. Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska införa rutiner för att säkerställa att tidsgränser i enlighet med artikel 4 fastställs för radering av personuppgifter och för periodisk översyn av behovet att lagra uppgifterna, inbegripet fastställande av lagringsperioder för de olika kategorierna av personuppgifter. Förfaranden ska fastställas för att se till att dessa tidsgränser eller tidsintervallen för periodisk översyn iakttas.

Ändringsförslag  65

Förslag till direktiv

Artikel 5

Kommissionens förslag

Ändringsförslag

Åtskillnad mellan olika kategorier av registrerade

Olika kategorier av registrerade

1. Medlemsstaterna ska föreskriva att den registeransvarige, så långt det är möjligt, ska göra en klar åtskillnad mellan personuppgifter som rör olika kategorier av registrerade, såsom

1. Medlemsstaterna ska föreskriva att de behöriga myndigheterna för de ändamål som avses i artikel 1.1 får behandla personuppgifter för följande olika kategorier av registrerade, och den registeransvarige ska göra en tydlig åtskillnad mellan dessa kategorier:

a) personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott,

a) Personer avseende vilka det finns rimliga skäl att anta att de har begått eller är på väg att begå ett brott.

b) personer som dömts för brott,

b) Personer som dömts för brott.

c) brottsoffer, eller personer avseende vilka det finns vissa omständigheter som ger anledning att anta att de kan ha blivit offer för ett brott,

c) Brottsoffer, eller personer avseende vilka det finns vissa omständigheter som ger anledning att anta att de kan ha blivit offer för ett brott.

d) andra som berörs av brottet, såsom personer som kan komma att kallas att vittna i samband med brottsutredningar eller senare straffrättsliga förfaranden, personer som kan ge information om brott, eller personer med kontakter eller band till någon av de personer som avses i a och b, och

d) Andra som berörs av brottet, såsom personer som kan komma att kallas att vittna i samband med brottsutredningar eller senare straffrättsliga förfaranden, personer som kan ge information om brott, eller personer med kontakter eller band till någon av de personer som avses i a och b.

e) personer som inte passar in i någon av de kategorier som anges ovan.

 

 

2. Personuppgifter avseende andra registrerade än dem som avses i punkt 1 får behandlas endast

 

a) så länge som det är nödvändigt för utredningen eller lagföringen av ett visst brott i syfte att bedöma relevansen av uppgifterna för någon av de kategorier som anges i punkt 1, eller

 

b) om behandlingen är absolut nödvändig för riktade, förebyggande ändamål eller för brottsanalys, om och så länge som detta ändamål är legitimt, väldefinierat och specifikt och behandlingen är strikt begränsad till att bedöma relevansen av uppgifterna för någon av de kategorier som anges i punkt 1. Detta ska ses över regelbundet, minst var sjätte månad. All vidare användning är förbjuden.

 

3. Medlemsstaterna ska se till att ytterligare begränsningar och skyddsåtgärder i enlighet med nationell lagstiftning tillämpas på vidare behandling av personuppgifter om registrerade som avses i punkt 1 c och d.

Ändringsförslag  66

Förslag till direktiv

Artikel 6

Kommissionens förslag

Ändringsförslag

Olika grader av korrekthet och tillförlitlighet hos personuppgifter

Olika grader av riktighet och tillförlitlighet hos personuppgifter

1. Medlemsstaterna ska se till att de olika kategorier av personuppgifter som behandlas, så långt det är möjligt, åtskiljs i enlighet med deras korrekthets- och tillförlitlighetsgrad.

1. Medlemsstaterna ska se till att riktigheten och tillförlitligheten för personuppgifter som behandlas garanteras.

2. Medlemsstaterna ska se till att personuppgifter som grundar sig på fakta så långt det är möjligt åtskiljs från personuppgifter som grundar sig på personliga bedömningar.

2. Medlemsstaterna ska se till att personuppgifter som grundar sig på fakta åtskiljs från personuppgifter som grundar sig på personliga bedömningar, i enlighet med deras grad av riktighet och tillförlitlighet.

 

2a. Medlemsstaterna ska se till att personuppgifter som är oriktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. I detta syfte ska de behöriga myndigheterna bedöma personuppgifternas kvalitet innan dessa överförs eller görs tillgängliga. Vid all överföring av uppgifter ska, så långt det är möjligt, sådan tillgänglig information läggas till som gör att den mottagande medlemsstaten kan bedöma graden av riktighet, fullständighet, aktualitet och tillförlitlighet. Personuppgifter ska inte överföras utan en begäran från en behörig myndighet; detta gäller särskilt uppgifter som ursprungligen härrör från privata parter.

 

2b. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter olovligen har överförts ska mottagaren omedelbart underrättas om detta. Mottagaren ska vara skyldig att utan dröjsmål rätta uppgifterna i enlighet med punkt 1 och artikel 15 eller radera dem i enlighet med artikel 16.

Ändringsförslag  67

Förslag till direktiv

Artikel 7

Kommissionens förslag

Ändringsförslag

När personuppgifter får behandlas

Tillåten behandling

Medlemsstaterna ska föreskriva att behandling av personuppgifter är tillåten endast om och i den mån som behandlingen är nödvändig

1. Medlemsstaterna ska föreskriva att behandling av personuppgifter är tillåten endast om och i den mån som behandlingen grundas på unionslagstiftning eller nationell lagstiftning, för de ändamål som anges i artikel 1.1, och är nödvändig

a) för att utföra en arbetsuppgift som utförs av en behörig myndighet, på grundval av lagstiftning och för de ändamål som anges i artikel 1.1, eller

a) för att utföra en arbetsuppgift som utförs av en behörig myndighet,

b) för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, eller

 

c) för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

c) för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

d) för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten.

d) för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten.

 

1a. Den lagstiftning i medlemsstaterna som reglerar behandlingen av personuppgifter inom tillämpningsområdet för detta direktiv ska innehålla uttryckliga och detaljerade bestämmelser som anger minst följande:

 

a) Målet för behandlingen.

 

b) Vilka personuppgifter som ska behandlas.

 

c) De specifika ändamålen med och medlen för behandlingen.

 

d) Utnämningen av den registeransvarige eller de särskilda kriterierna för utnämningen av denne.

 

e) Kategorier av vederbörligen bemyndigad personal hos de behöriga myndigheterna för behandling av personuppgifter.

 

f) Det förfarande som ska följas under behandlingen.

 

g) Hur erhållna personuppgifter får användas.

 

h) Begränsningar av räckvidden för eventuell bestämmanderätt som de behöriga myndigheterna ges med avseende på behandlingen av personuppgifter.

Ändringsförslag  68

Förslag till direktiv

Artikel 7a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 7a

 

Vidare behandling för oförenliga ändamål

 

1. Medlemsstaterna ska föreskriva att personuppgifter får behandlas vidare för ett annat ändamål som anges i artikel 1.1 och som inte är förenligt med de ändamål för vilka uppgifterna ursprungligen samlades in endast om och i den utsträckning som

 

a) ändamålet är absolut nödvändigt och proportionellt i ett demokratiskt samhälle och påbjuds av unionslagstiftningen eller nationell lagstiftning för ett legitimt, väldefinierat och specifikt ändamål,

 

b) behandlingen är strikt begränsad till en period som inte överskrider den tid som krävs för den specifika uppgiftsbehandlingen,

 

c) all vidare användning för andra ändamål är förbjuden.

 

Innan någon behandling utförs ska medlemsstaten höra datatillsynsmannen och göra en konsekvensbedömning avseende uppgiftsskydd.

 

2. Utöver de krav som anges i artikel 7.1a ska den lagstiftning i medlemsstaterna som ger tillstånd till sådan vidare behandling som avses i punkt 1 innehålla uttryckliga och detaljerade bestämmelser som anger minst följande:

 

a) De specifika ändamålen med och medlen för den aktuella behandlingen.

 

b) Att tillgång medges endast av de behöriga myndigheternas vederbörligen bemyndigade personal under utförandet av deras arbetsuppgifter, om det i ett visst fall finns rimliga skäl att anta att behandlingen av personuppgifterna på ett betydande sätt kommer att bidra till att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder.

 

c) Att lämpliga skyddsåtgärder vidtas för att garantera skyddet av grundläggande rättigheter och friheter i samband med behandlingen av personuppgifter.

 

Medlemsstaterna får kräva att tillgången till personuppgifter omfattas av ytterligare villkor, såsom domstolsgodkännande, i enlighet med sin nationella lagstiftning.

 

3. Medlemsstaterna får också tillåta vidare behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål förutsatt att de vidtar lämpliga skyddsåtgärder, exempelvis att uppgifterna görs anonyma.

Ändringsförslag  69

Förslag till direktiv

Artikel 8

Kommissionens förslag

Ändringsförslag

Behandling av särskilda kategorier av personuppgifter

Behandling av särskilda kategorier av personuppgifter

1. Medlemsstaterna ska förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv.

1. Medlemsstaterna ska förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller livsåskådning, sexuell läggning eller könsidentitet samt medlemskap eller verksamhet i fackföreningar, liksom behandling av biometriska uppgifter eller uppgifter om hälsa eller sexualliv.

2. Punkt 1 ska inte gälla om

2. Punkt 1 ska inte gälla om

a) behandlingen godkänns av lagstiftning med bestämmelser om lämpliga skyddsåtgärder, eller

a) behandlingen är absolut nödvändig för och står i proportion till de behöriga myndigheternas utförande av en arbetsuppgift för de ändamål som anges i artikel 1.1, på grundval av unionslagstiftning eller nationell lagstiftning som ska föreskriva särskilda och lämpliga åtgärder för att skydda den registrerades berättigade intressen, inklusive särskilt godkännande från en rättslig myndighet, om så krävs enligt nationell lagstiftning,

b) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

b) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

c) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

c) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade, under förutsättning att de är relevanta och absolut nödvändiga för ändamålet i ett specifikt fall.

Ändringsförslag  70

Förslag till direktiv

Artikel 8a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 8a

 

Behandling av genetiska uppgifter för brottsutredningar eller rättsliga förfaranden

 

1. Medlemsstaterna ska se till att genetiska uppgifter får användas endast för att fastställa ett genetiskt samband inom ramen för framläggande av bevisning, avvärjande av hot mot den allmänna säkerheten eller förhindrande av att ett visst brott begås. Genetiska uppgifter får inte användas för att fastställa andra egenskaper som kan ha ett genetisk samband.

 

2. Medlemsstaterna ska föreskriva att genetiska uppgifter eller information som härrör från analys av sådana uppgifter får bevaras endast så länge som är nödvändigt för de ändamål för vilka uppgifterna behandlas och om den berörda personen har dömts för allvarliga brott mot människors liv, integritet eller säkerhet; bevarandet ska underkastas strikta lagringsperioder som ska fastställas i nationell lagstiftning.

 

3. Medlemsstaterna ska se till att genetiska uppgifter och information som härrör från analys av sådana uppgifter lagras under längre perioder endast om de genetiska uppgifterna inte kan hänföras till en enskild person, i synnerhet vid fynd på en brottsplats.

Ändringsförslag  71

Förslag till direktiv

Artikel 9

Kommissionens förslag

Ändringsförslag

Åtgärder som grundar sig på profilering och automatisk behandling

Åtgärder som grundar sig på profilering och automatisk behandling

1. Medlemsstaterna ska föreskriva att åtgärder som har negativa rättsliga följder för den registrerade eller som väsentligt berör honom eller henne och som enbart grundas på en automatisk behandling av uppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska förbjudas om åtgärderna inte godkänns av lagstiftning som också innehåller bestämmelser till skydd för den registrerades berättigade intressen.

1. Medlemsstaterna ska föreskriva att åtgärder som har rättsliga följder för den registrerade eller som väsentligt berör honom eller henne och som delvis eller helt grundas på en automatisk behandling av uppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska förbjudas om åtgärderna inte godkänns av lagstiftning som också innehåller bestämmelser till skydd för den registrerades berättigade intressen.

2. Automatisk behandling av personuppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska inte grunda sig enbart på de särskilda kategorier av personuppgifter som anges i artikel 8.

2. Automatisk behandling av personuppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska inte grunda sig på de särskilda kategorier av personuppgifter som anges i artikel 8.

 

2a. Automatisk behandling av personuppgifter som är avsedd att särskilja en registrerad person utan någon inledande misstanke om att den registrerade kan ha begått eller kommer att begå brott ska vara tillåten endast om och i den mån det är absolut nödvändigt för att utreda ett allvarligt brott eller för att avvärja en uppenbar och överhängande fara, fastställd på grundval av faktiska omständigheter, för den allmänna säkerheten, statens säkerhet eller människors liv.

 

2b. Profilering som – avsiktligt eller ej – diskriminerar enskilda på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, kön eller sexuell läggning, eller som – avsiktligt eller ej – leder till åtgärder som får en sådan verkan, ska alltid vara förbjuden.

Ändringsförslag  72

Förslag till direktiv

Artikel 9a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 9a

 

Allmänna principer för den registrerades rättigheter

 

1. Medlemsstaterna ska se till att grunden för uppgiftsskyddet är tydlig och ger den registrerade otvetydiga rättigheter som ska respekteras av den registeransvarige. Bestämmelserna i detta direktiv syftar till att stärka, förtydliga, garantera och vid behov lagfästa dessa rättigheter.

 

2. Medlemsstaterna ska se till att dessa rättigheter inbegriper bland annat rätten till tydlig och lättbegriplig information om behandlingen av den registrerades personuppgifter, rätten till tillgång, rättelse och radering av uppgifter, rätten att erhålla uppgifter, rätten att klaga hos den behöriga uppgiftsskyddsmyndigheten och att inleda ett rättsligt förfarande samt rätten till ersättning och skadestånd till följd av otillåten behandling av personuppgifter. Dessa rättigheter ska i allmänhet kunna utövas kostnadsfritt. Den registeransvarige ska besvara en begäran från den registrerade inom rimlig tid.

Ändringsförslag  73

Förslag till direktiv

Artikel 10

Kommissionens förslag

Ändringsförslag

Villkor för utövandet av den registrerades rättigheter

Villkor för utövandet av den registrerades rättigheter

1. Medlemsstaterna ska föreskriva att den registeransvarige ska vidta alla rimliga åtgärder för att ha en klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

1. Medlemsstaterna ska föreskriva att den registeransvarige ska ha en koncis, klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

2. Medlemsstaterna ska föreskriva att all information och kommunikation som rör behandlingen av personuppgifter ska tillhandahållas av den registeransvarige till den registrerade i en begriplig form, med användning av klart och tydligt språk.

2. Medlemsstaterna ska föreskriva att all information och kommunikation som rör behandlingen av personuppgifter ska tillhandahållas av den registeransvarige till den registrerade i en begriplig form, med användning av klart och tydligt språk, i synnerhet om informationen specifikt riktas till ett barn.

3. Medlemsstaterna ska föreskriva att den registeransvarige ska vidta alla rimliga åtgärder för att fastställa förfaranden för tillhandahållandet av den information som anges i artikel 11 och för utövandet av den registrerades rättigheter enligt i artiklarna 12–17.

3. Medlemsstaterna ska föreskriva att den registeransvarige ska fastställa förfaranden för tillhandahållandet av den information som avses i artikel 11 och för utövandet av den registrerades rättigheter enligt artiklarna 12–17. Om personuppgifter behandlas automatiskt ska den registeransvarige också erbjuda en möjlighet att lämna in begäran elektroniskt.

4. Medlemsstaterna ska föreskriva att den registeransvarige ska informera den registrerade om uppföljningen av hans eller hennes begäran utan onödigt dröjsmål.

4. Medlemsstaterna ska föreskriva att den registeransvarige ska informera den registrerade om uppföljningen av dennes begäran utan dröjsmål, dock senast inom en månad efter mottagandet av begäran. Informationen ska ges skriftligt. Om den registrerade gör begäran i elektronisk form ska informationen lämnas i elektronisk form.

5. Medlemsstaterna ska föreskriva att den information och de åtgärder som vidtas av den registeransvarige på sådan begäran som avses i punkterna 3 och 4 ska vara gratis. Om begäran är särskilt betungande, särskilt på grund av dess repetitiva karaktär, storlek eller volym, får den registeransvarige ta ut en avgift för att tillhandahålla den information eller vidta den åtgärd som begärts, och får om denna avgift inte betalas avstå från att vidta åtgärden. I så fall ska det åligga den registeransvarige att visa att begäran är särskilt betungande.

5. Medlemsstaterna ska föreskriva att den information och de åtgärder som vidtas av den registeransvarige på sådan begäran som avses i punkterna 3 och 4 ska vara gratis. Om begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får den registeransvarige ta ut en avgift som är rimlig med hänsyn till de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts. I så fall ska det åligga den registeransvarige att visa att begäran är uppenbart orimlig.

 

5a. Medlemsstaterna får föreskriva att den registrerade ska kunna hävda sina rättigheter direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten. Om tillsynsmyndigheten har handlat på den registrerades begäran ska den underrätta denne om de genomförda kontrollerna.

Ändringsförslag  74

Förslag till direktiv

Artikel 11

Kommissionens förslag

Ändringsförslag

Information till den registrerade

Information till den registrerade

1. Om personuppgifter som rör en registrerad person samlas in, ska medlemsstaterna se till att den registeransvarige vidtar alla lämpliga åtgärder för att till den registrerade åtminstone lämna information om följande:

1. Om personuppgifter som rör en registrerad person samlas in, ska medlemsstaterna se till att den registeransvarige till den registrerade lämnar information om åtminstone följande:

a) Identitet och kontaktuppgifter för den registeransvarige och uppgiftsskyddsombudet.

a) Identitet och kontaktuppgifter för den registeransvarige och uppgiftsskyddsombudet.

b) Ändamålen med den behandling för vilken personuppgifterna är avsedda.

b) Den rättsliga grunden för och ändamålen med den behandling för vilken personuppgifterna är avsedda.

c) Den period under vilken personuppgifterna kommer att lagras.

c) Den period under vilken personuppgifterna kommer att lagras.

d) Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse, radering eller begränsning av behandlingen av de personuppgifter som rör den registrerade.

d) Förekomsten av rättigheten att av den registeransvarige begära tillgång till och rättelse, radering eller begränsning av behandlingen av de personuppgifter som rör den registrerade.

e) Rätten att inge ett klagomål till den tillsynsmyndighet som avses i artikel 39, samt dess kontaktuppgifter.

e) Rätten att inge ett klagomål till den tillsynsmyndighet som avses i artikel 39, samt dess kontaktuppgifter.

f) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, inbegripet i tredjeländer eller internationella organisationer.

f) Mottagarna av personuppgifterna, inbegripet i tredjeländer eller internationella organisationer, och vem som är behörig att få tillgång till dessa uppgifter enligt tredjelandets lagar eller den internationella organisationens regler, huruvida det finns ett beslut av kommissionen om adekvat skyddsnivå, eller, vid sådana överföringar som avses i artikel 35 eller artikel 36, hur man får en kopia av de lämpliga skyddsåtgärder som används för överföringen.

 

fa) Om den registeransvarige behandlar personuppgifter enligt artikel 9.1: information om att behandlingen sker för en åtgärd av det slag som avses i artikel 9.1 samt om de avsedda effekterna av denna behandling för den registrerade, information om vilka logiska funktioner som används i profileringen och om rätten att få en bedömning utförd av en människa.

 

fb) Information om säkerhetsåtgärder som vidtagits för att skydda personuppgifter.

g) Eventuell ytterligare information i den utsträckning som den ytterligare informationen är nödvändig för att garantera en korrekt behandling när det gäller den registrerade, med hänsyn tagen till de särskilda omständigheter under vilka personuppgifter behandlas.

g) Eventuell ytterligare information i den utsträckning som den ytterligare informationen är nödvändig för att garantera en korrekt behandling när det gäller den registrerade, med hänsyn tagen till de särskilda omständigheter under vilka personuppgifter behandlas.

2. Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas.

2. Om personuppgifterna samlas in från den registrerade ska den registeransvarige, utöver den information som anges i punkt 1, till den registrerade också lämna information om huruvida tillhandahållandet av personuppgifter är obligatoriskt eller frivilligt, samt om de möjliga följderna om sådana uppgifter inte lämnas.

3. Den registeransvarige ska lämna den information som anges i punkt 1

3. Den registeransvarige ska lämna den information som anges i punkt 1

a) vid den tidpunkt när personuppgifterna erhålls från den registrerade, eller

a) vid den tidpunkt när personuppgifterna erhålls från den registrerade, eller

b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna behandlas.

b) om personuppgifterna inte samlas in från den registrerade, vid tidpunkten för registreringen eller inom en rimlig period efter insamlingen, med hänsyn tagen till de särskilda omständigheter under vilka uppgifterna behandlas.

4. Medlemsstaterna får genom lagstiftning vidta åtgärder som gör att informationen till den registrerade senareläggs, begränsas eller utelämnas, i den utsträckning och så länge som, en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens berättigade intressen, i syfte att

4. Medlemsstaterna får genom lagstiftning vidta åtgärder som gör att informationen till den registrerade senareläggs eller begränsas, i ett specifikt fall, i den utsträckning och så länge som en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens grundläggande rättigheter och berättigade intressen, i syfte att

a) hindra obstruktion av officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

a) hindra obstruktion av officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

c) skydda allmän säkerhet,

c) skydda allmän säkerhet,

d) skydda nationell säkerhet,

d) skydda nationell säkerhet,

e) skydda andra personers fri- och rättigheter.

e) skydda andra personers fri- och rättigheter.

5. Medlemsstaterna får fastställa kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 4.

5. Medlemsstaterna ska föreskriva att den registeransvarige genom en konkret och individuell prövning i varje enskilt fall ska bedöma om en partiell eller fullständig begränsning av något av de skäl som anges i punkt 4 är tillämplig. Medlemsstaterna får genom lag även fastställa kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 4 a, b, c och d.

Ändringsförslag  75

Förslag till direktiv

Artikel 12

Kommissionens förslag

Ändringsförslag

Den registrerades rätt till tillgång

Den registrerades rätt till tillgång

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Om sådana personuppgifter håller på att behandlas ska den registeransvarige tillhandahålla följande information:

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige få bekräftelse på huruvida personuppgifter som rör den registrerade håller på att behandlas. Om sådana personuppgifter håller på att behandlas ska den registeransvarige tillhandahålla följande information, om den inte redan har tillhandahållits:

 

-a) Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer samt, i förekommande fall, begriplig information om vilka logiska funktioner som används för eventuell automatisk behandling.

 

-aa) Betydelsen och de förutsedda följderna av sådan behandling, åtminstone när det rör sig om de åtgärder som avses i artikel 9.

a) Ändamålen med behandlingen.

a) Ändamålen med behandlingen och dess rättsliga grund.

b) De kategorier av personuppgifter som behandlingen gäller.

b) De kategorier av personuppgifter som behandlingen gäller.

c) De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut, särskilt mottagare i tredjeländer.

c) De mottagare till vilka personuppgifterna har lämnats ut, särskilt mottagare i tredjeländer.

d) Den period under vilken personuppgifterna kommer att lagras.

d) Den period under vilken personuppgifterna kommer att lagras.

e) Förekomsten av rättigheten att av den registeransvarige begära rättelse, radering eller begränsning av behandling av personuppgifter som rör den registrerade,

e) Förekomsten av rättigheten att av den registeransvarige begära rättelse, radering eller begränsning av behandling av personuppgifter som rör den registrerade,

f) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

f) Rätten att inge klagomål till tillsynsmyndigheten, samt tillsynsmyndighetens kontaktuppgifter.

g) Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer.

 

2. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige erhålla en kopia av de personuppgifter som håller på att behandlas.

2. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige erhålla en kopia av de personuppgifter som håller på att behandlas. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i elektronisk form, såvida inte den registrerade begär något annat.

(Punkt 1 g i kommissionens text blir en del av punkt 1 -aa i parlamentets ändringsförslag.)

Ändringsförslag  76

Förslag till direktiv

Artikel 13

Kommissionens förslag

Ändringsförslag

Begränsningar av rätten till tillgång

Begränsningar av rätten till tillgång

1. Medlemsstaterna får anta lagstiftning som helt eller delvis begränsar den registrerades rätt till tillgång i den utsträckning som en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens berättigade intressen, i syfte att

1. Medlemsstaterna får anta lagstiftning som helt eller delvis, beroende på det specifika fallet, begränsar den registrerades rätt till tillgång, i den utsträckning och för den tidsperiod som en sådan partiell eller fullständig begränsning utgör en absolut nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens grundläggande rättigheter och berättigade intressen, i syfte att

a) hindra obstruktion av officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

a) hindra obstruktion av officiella eller rättsliga utredningar, förundersökningar eller förfaranden,

b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

c) skydda allmän säkerhet,

c) skydda allmän säkerhet,

d) skydda nationell säkerhet,

d) skydda nationell säkerhet,

e) skydda andra personers fri- och rättigheter.

e) skydda andra personers fri- och rättigheter.

2. Medlemsstaterna får i lag fastställa kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 1.

2. Medlemsstaterna ska föreskriva att den registeransvarige genom en konkret och individuell prövning i varje enskilt fall ska bedöma om en partiell eller fullständig begränsning av något av de skäl som anges i punkt 1 är tillämplig. Medlemsstaterna får också i lag fastställa kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 1 a–d.

3. I de fall som avses i punkterna 1 och 2 ska medlemsstaterna föreskriva att den registeransvarige ska informera den registrerade skriftligen om varje vägran att ge tillgång eller begränsning av tillgången, om skälen för vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning. Information om den sakliga eller rättsliga grunden för beslutet får utelämnas om tillhandahållande av sådan information skulle undergräva ett ändamål enligt punkt 1.

3. I de fall som avses i punkterna 1 och 2 ska medlemsstaterna föreskriva att den registeransvarige ska informera den registrerade skriftligen utan onödigt dröjsmål om varje avslag eller begränsning av tillgången, om motiveringen till avslaget och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning. Information om den sakliga eller rättsliga grunden för beslutet får utelämnas om tillhandahållande av sådan information skulle undergräva ett ändamål enligt punkt 1.

4. Medlemsstaterna ska se till att den registeransvarige dokumenterar skälen till utelämnandet av informationen om de sakliga och rättsliga grunderna för beslutet.

4. Medlemsstaterna ska se till att den registeransvarige dokumenterar den bedömning som avses i punkt 2 samt skälen till begränsningen av informationen om de sakliga och rättsliga grunderna för beslutet. Denna information ska göras tillgänglig för de nationella tillsynsmyndigheterna.

Ändringsförslag  77

Förslag till direktiv

Artikel 14

Kommissionens förslag

Ändringsförslag

Villkor för att utöva rätten till tillgång

Villkor för att utöva rätten till tillgång

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att begära att tillsynsmyndigheten kontrollerar att behandlingen är tillåten, särskilt i de fall som anges i artikel 13.

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att när som helst begära att tillsynsmyndigheten kontrollerar att behandlingen är tillåten, särskilt i de fall som anges i artiklarna 12 och 13.

2. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade om rätten att begära att tillsynsmyndigheten ska ingripa enligt punkt 1.

2. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade om rätten att begära att tillsynsmyndigheten ska ingripa enligt punkt 1.

3. När den rätt som avses i punkt 1 utövas, ska tillsynsmyndigheten åtminstone underrätta den registrerade om att tillsynsmyndighetens alla nödvändiga kontroller har ägt rum, och om resultatet när det gäller huruvida den berörda behandlingen är tillåten.

3. När den rätt som avses i punkt 1 utövas, ska tillsynsmyndigheten åtminstone underrätta den registrerade om att tillsynsmyndighetens alla nödvändiga kontroller har ägt rum, och om resultatet när det gäller huruvida den berörda behandlingen är tillåten. Tillsynsmyndigheten ska också informera den registrerade om rätten att begära rättslig prövning.

 

3a. Medlemsstaterna får föreskriva att den registrerade ska kunna hävda denna rättighet direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten.

 

3b. Medlemsstaterna ska säkerställa att det finns rimliga tidsfrister för den registeransvarige att besvara en begäran från den registrerade i fråga om utövandet av dennes rätt till tillgång.

Ändringsförslag  78

Förslag till direktiv

Artikel 15

Kommissionens förslag

Ändringsförslag

Rätt till rättelse

Rätt till rättelse och komplettering

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige erhålla rättelse av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade ska ha rätt att få till stånd komplettering av ofullständiga personuppgifter, i synnerhet genom en korrigering.

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige erhålla rättelse eller komplettering av personuppgifter som rör vederbörande och som är oriktiga eller ofullständiga, i synnerhet genom en komplettering eller korrigering.

2. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen om eventuell vägran att medge rättelse, om skälen för vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättsmedel.

2. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen om ett eventuellt avslag på rättelse eller komplettering, om motiveringen till avslaget och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

 

2a. Medlemsstaterna ska föreskriva att den registeransvarige ska meddela varje rättelse som genomförs till varje mottagare till vilken uppgifterna har lämnats ut, såvida inte detta visar sig omöjligt eller innebär en orimlig möda.

 

2b. Medlemsstaterna ska föreskriva att den registeransvarige ska meddela varje rättelse av oriktiga personuppgifter till den tredje part från vilken de oriktiga personuppgifterna kommer.

 

2c. Medlemsstaterna ska föreskriva att den registrerade ska kunna hävda denna rättighet även via den behöriga nationella tillsynsmyndigheten.

Ändringsförslag  79

Förslag till direktiv

Artikel 16

Kommissionens förslag

Ändringsförslag

Rätt till radering

Rätt till radering

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas om behandlingen inte uppfyller kraven i de bestämmelser som antas enligt artiklarna 4 a–e, 7 och 8 i det här direktivet.

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör henne eller honom raderas om behandlingen inte uppfyller kraven i de bestämmelser som antas i enlighet med artiklarna 4, 6, 7 och 8 i detta direktiv.

2. Den registeransvarige ska genomföra raderingen utan dröjsmål.

2. Den registeransvarige ska genomföra raderingen utan dröjsmål. Den registeransvarige ska också avstå från vidare spridning av sådana uppgifter.

3. I stället för radering ska den registeransvarige märka personuppgifterna om

3. I stället för radering ska den registeransvarige begränsa behandlingen av personuppgifterna om

a) den registrerade bestrider deras korrekthet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är korrekta,

a) den registrerade bestrider deras riktighet, under en tid som ger den registeransvarige möjlighet att kontrollera om personuppgifterna är riktiga,

b) personuppgifterna måste bevaras för bevisändamål,

b) personuppgifterna måste bevaras för bevisändamål eller för skydd av intressen som är av grundläggande betydelse för den registrerade eller en annan person.

c) den registrerade motsätter sig att de raderas och i stället begär att deras användning begränsas.

 

 

3a. Om behandlingen av personuppgifter begränsas i enlighet med punkt 3 ska den registeransvarige underrätta den registrerade före upphävandet av begränsningen av behandlingen.

4. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen om eventuell vägran att radera eller eventuell märkning av behandlingen, om skälen till vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

4. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen med motivering om ett eventuellt avslag på radering eller begränsning av behandlingen, om skälen till avslaget och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

 

4a. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta mottagarna av dessa uppgifter om varje radering eller begränsning som genomförts i enlighet med punkt 1, såvida inte detta visar sig omöjligt eller innebär en orimlig möda. Den registeransvarige ska underrätta den registrerade om dessa tredje parter.

 

4b. Medlemsstaterna får föreskriva att den registrerade ska kunna hävda denna rättighet direkt gentemot den registeransvarige eller via den behöriga nationella tillsynsmyndigheten.

Ändringsförslag  80

Förslag till direktiv

Artikel 18

Kommissionens förslag

Ändringsförslag

Den registeransvariges ansvar

Den registeransvariges ansvar

1. Medlemsstaterna ska föreskriva att den registeransvarige ska anta policyer och vidta lämpliga åtgärder för att se till att behandlingen av personuppgifter uppfyller kraven i de bestämmelser som antas i enlighet med detta direktiv.

1. Medlemsstaterna ska föreskriva att den registeransvarige ska anta policyer och vidta lämpliga åtgärder för att se till att – och för varje behandling på ett öppet sätt kunna styrka att – behandlingen av personuppgifter uppfyller kraven i de bestämmelser som antas till följd av detta direktiv, både vid tidpunkten för fastställandet av medlen för behandlingen och vid tidpunkten för själva behandlingen.

2. De åtgärder som avses i punkt 1 ska särskilt avse att

2. De åtgärder som avses i punkt 1 ska särskilt avse att

a) förvara den dokumentation som avses i artikel 23,

a) förvara den dokumentation som avses i artikel 23,

 

aa) genomföra en konsekvensbedömning avseende uppgiftsskydd i enlighet med artikel 25a,

b) uppfylla kraven på förhandssamråd enligt artikel 26,

b) uppfylla kraven på förhandssamråd enligt artikel 26,

c) genomföra de krav på datasäkerhet som fastställs i artikel 27,

c) genomföra de krav på datasäkerhet som fastställs i artikel 27,

d) utse ett uppgiftsskyddsombud enligt artikel 30.

d) utse ett uppgiftsskyddsombud enligt artikel 30,

 

da) vid behov utarbeta och vidta särskilda skyddsåtgärder för behandling av personuppgifter om barn.

3. Den registeransvarige ska införa rutiner för att säkerställa kontrollen av att de åtgärder som anges i punkt 1 i denna artikel är verkningsfulla. Om det är proportionellt, ska denna kontroll utföras av oberoende interna eller externa granskare.

3. Den registeransvarige ska införa rutiner för att säkerställa kontrollen av att de åtgärder som avses i punkt 1 i denna artikel är adekvata och verkningsfulla. Om det står i proportion till sitt syfte ska denna kontroll utföras av oberoende interna eller externa granskare.

Ändringsförslag  81

Förslag till direktiv

Artikel 19

Kommissionens förslag

Ändringsförslag

Inbyggt uppgiftsskydd och uppgiftsskydd som standard

Inbyggt uppgiftsskydd och uppgiftsskydd som standard

1. Medlemsstaterna ska föreskriva att den registeransvarige, med beaktande av dagens tillgängliga teknik och genomförandekostnaden, ska genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i bestämmelser som antas i enlighet med detta direktiv och säkerställa skydd av den registrerades rättigheter.

1. Medlemsstaterna ska föreskriva att den registeransvarige, och i förekommande fall registerföraren, med beaktande av den senaste tekniken, aktuell teknisk kunskap, internationell bästa praxis och de risker som uppgiftsbehandlingen är förknippad med, både vid tidpunkten för fastställandet av ändamålen och medlen för behandlingen och vid tidpunkten för själva behandlingen, ska genomföra lämpliga och proportionella tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i bestämmelser som antas i enlighet med detta direktiv och säkerställa skydd av den registrerades rättigheter, i synnerhet med avseende på de principer som anges i artikel 4. Vid inbyggt uppgiftsskydd ska den fullständiga hanteringen av personuppgifter särskilt beaktas, från insamling till behandling och radering, med systematisk inriktning på omfattande rättssäkerhetsgarantier för personuppgifternas riktighet, konfidentialitet, integritet, fysiska säkerhet och radering. Om den registeransvarige har genomfört en konsekvensbedömning avseende uppgiftsskydd i enlighet med artikel 25a ska resultatet beaktas vid framtagandet av dessa åtgärder och förfaranden.

2. Den registeransvarige ska införa rutiner för att se till att, i standardfallet, endast sådana personuppgifter som är nödvändiga för behandlingens ändamål behandlas.

2. Den registeransvarige ska se till att, i standardfallet, endast de personuppgifter behandlas som är nödvändiga för varje specifikt ändamål med behandlingen, och särskilt att de inte samlas in, bevaras eller sprids utöver vad som är absolut nödvändigt för dessa ändamål, i fråga om både mängden uppgifter och deras lagringstid. Dessa rutiner ska i synnerhet säkerställa att personuppgifter i standardfallet inte görs tillgängliga för ett obestämt antal enskilda personer och att de registrerade kan kontrollera spridningen av sina personuppgifter.

Ändringsförslag  82

Förslag till direktiv

Artikel 20

Kommissionens förslag

Ändringsförslag

Gemensamma registeransvariga

Gemensamma registeransvariga

Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra, ska medlemsstaterna föreskriva att de gemensamma registeransvariga måste fastställa sitt respektive ansvar för att uppfylla villkoren i de bestämmelser som antas i enlighet med detta direktiv, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett arrangemang som de enas om sinsemellan.

1. Om en registeransvarig fastställer ändamålen, villkoren och medlen för behandlingen av personuppgifter tillsammans med andra, ska medlemsstaterna föreskriva att de gemensamma registeransvariga skriftligen måste fastställa sitt respektive ansvar, av bindande karaktär, för att uppfylla villkoren i de bestämmelser som antas i enlighet med detta direktiv, särskilt avseende förfarandena och rutinerna för den registrerades utövande av sina rättigheter, genom ett rättsligt bindande avtal dem emellan.

 

2. Såvida den registrerade inte har underrättats om vilken av de gemensamma registeransvariga som är ansvarig i enlighet med punkt 1 får vederbörande utöva sina rättigheter enligt detta direktiv avseende och gentemot var och en av två eller fler gemensamma registeransvariga.

Ändringsförslag  83

Förslag till direktiv

Artikel 21

Kommissionens förslag

Ändringsförslag

Registerförare

Registerförare

1. Om behandlingen utförs på uppdrag av en registeransvarig ska medlemsstaterna föreskriva att den registeransvarige måste välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i de bestämmelser som antas i enlighet med detta direktiv och säkerställa skyddet av den registrerades rättigheter.

1. Om behandlingen utförs på uppdrag av en registeransvarig ska medlemsstaterna föreskriva att den registeransvarige ska välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i de bestämmelser som antas i enlighet med detta direktiv och säkerställa skyddet av den registrerades rättigheter, särskilt respekten för de tekniska säkerhetsåtgärder och de organisatoriska åtgärder som reglerar den behandling som ska utföras, och se till att dessa åtgärder efterlevs.

2. Medlemsstaterna ska föreskriva att en registerförares behandling av uppgifter ska regleras av en rättsligt bindande handling mellan registerföraren och den registeransvarige och att det i handlingen särskilt ska föreskrivas att registerföraren endast får handla på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden.

2. Medlemsstaterna ska föreskriva att behandling av uppgifter med hjälp av en registerförare ska regleras av ett avtal eller en rättsligt bindande handling mellan registerföraren och den registeransvarige och att det i handlingen särskilt ska föreskrivas att registerföraren

 

a) får handla endast efter instruktioner från den registeransvarige,

 

b) anställer enbart personal som har förbundit sig till ett konfidentialitetskrav eller har lagstadgad tystnadsplikt,

 

c) vidtar alla åtgärder som krävs enligt artikel 27,

 

d) anlitar en annan registerförare endast med tillstånd från den registeransvarige och därmed informerar den registeransvarige om avsikten att anlita en annan registerförare i tillräckligt god tid för att den registeransvarige ska kunna motsätta sig detta,

 

e) så långt det är möjligt med tanke på behandlingens karaktär i samförstånd med den registeransvarige antar de nödvändiga tekniska och organisatoriska kraven för att den registeransvarige ska anses fullgöra sin skyldighet att besvara begäranden om utövande av den registrerades rättigheter enligt kapitel III,

 

f) bistår den registeransvarige i säkerställandet av fullgörandet av skyldigheterna enligt artiklarna 25a–29,

 

g) återlämnar alla resultat till den registeransvarige efter behandlingens slut och inte behandlar personuppgifterna på annat sätt samt raderar existerande kopior, såvida inte unionslagstiftningen eller nationell lagstiftning kräver att uppgifterna lagras,

 

h) ger den registeransvarige och tillsynsmyndigheten tillgång till all information som behövs för att kontrollera fullgörandet av skyldigheterna enligt denna artikel,

 

i) beaktar principen om inbyggt uppgiftsskydd och uppgiftsskydd som standard.

 

2a. Den registeransvarige och registerföraren ska skriftligen dokumentera den registeransvariges instruktioner och registerförarens skyldighet enligt punkt 2.

3. Om en registerförare behandlar andra personuppgifter än de som den registeransvarige gett instruktioner om ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 20.

3. Om en registerförare behandlar andra personuppgifter än de som den registeransvarige gett instruktioner om ska registerföraren anses vara en registeransvarig med avseende på den behandlingen och ska omfattas av de bestämmelser om gemensamma registeransvariga som fastställs i artikel 20.

Ändringsförslag  84

Förslag till direktiv

Artikel 22 – punkt 1a (ny)

Kommissionens förslag

Ändringsförslag

 

1a. Om registerföraren är eller blir den som fattar beslut om ändamålen, medlen eller metoderna för uppgiftsbehandlingen eller inte endast handlar efter instruktioner från den registeransvarige, ska registerföraren anses vara en gemensam registeransvarig enligt artikel 20.

Ändringsförslag  85

Förslag till direktiv

Artikel 23

Kommissionens förslag

Ändringsförslag

Dokumentation

Dokumentation

1. Medlemsstaterna ska föreskriva att varje registeransvarig och registerförare ska bevara dokumentation om alla system och förfaranden för uppgiftsbehandling som ligger inom deras ansvarsområde.

1. Medlemsstaterna ska föreskriva att varje registeransvarig och registerförare ska bevara dokumentation om alla system och förfaranden för uppgiftsbehandling som ligger inom deras ansvarsområde.

2. Dokumentationen ska innehålla åtminstone följande uppgifter:

2. Dokumentationen ska innehålla åtminstone följande uppgifter:

a) Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare.

a) Namn och kontaktuppgifter för den registeransvarige, eller eventuella gemensamma registeransvariga eller registerförare.

 

aa) Ett rättsligt bindande avtal, om det finns gemensamma registeransvariga; en förteckning över registerförare och deras verksamhet.

b) Ändamålen med behandlingen.

b) Ändamålen med behandlingen.

 

ba) En uppgift om vilka delar av den registeransvariges eller registerförarens organisation som anförtrotts behandlingen av personuppgifter för ett visst ändamål.

 

bb) En beskrivning av den eller de kategorier av registrerade som berörs och av de uppgifter eller kategorier av uppgifter som hänför sig till dem.

c) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

c) Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna.

 

ca) I förekommande fall, information om profilering, om åtgärder som grundar sig på profilering och om rutiner för att motsätta sig profilering.

 

cb) Begriplig information om vilka logiska funktioner som tillämpas i eventuell automatisk behandling.

d) Överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen.

d) Överföringar av uppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen samt de rättsliga grunderna för överföringen av uppgifterna. En materiell förklaring ska lämnas när en överföring grundas på artikel 35 eller artikel 36 i detta direktiv.

 

da) Tidsgränserna för radering av de olika kategorierna av uppgifter.

 

db) Resultaten av kontrollerna av de åtgärder som avses i artikel 18.1.

 

dc) En uppgift om den rättsliga grunden för den behandling för vilken uppgifterna är avsedda.

3. Den registeransvarige och registerföraren ska på begäran göra dokumentationen tillgänglig för tillsynsmyndigheten.

3. Den registeransvarige och registerföraren ska på begäran göra all dokumentation tillgänglig för tillsynsmyndigheten.

Ändringsförslag  86

Förslag till direktiv

Artikel 24

Kommissionens förslag

Ändringsförslag

Registerföring

Registerföring

1. Medlemsstaterna ska se till att register förs över åtminstone följande typer av behandlingar: insamling, ändring, läsning, utlämning, sammanförande eller radering. Registren över läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan behandling och i möjligaste mån identifikationen av den person som har läst eller lämnat ut personuppgifter.

1. Medlemsstaterna ska se till att register förs över åtminstone följande typer av behandlingar: insamling, ändring, läsning, utlämning, sammanförande eller radering. Registren över läsning och utlämning ska särskilt visa ändamål, datum och tidpunkt för sådan behandling och i möjligaste mån identifikationen av den person som har läst eller lämnat ut personuppgifter och identitetsuppgifter för de personer som mottagit uppgifterna.

2. Registren får endast användas för att kontrollera om behandlingen av uppgifterna är tillåten, för egenkontroll samt för att garantera dataintegritet och datasäkerhet.

2. Registren får endast användas för att kontrollera om behandlingen av uppgifterna är tillåten, för egenkontroll samt för att garantera dataintegritet och datasäkerhet, eller för kontroll som utförs av uppgiftsskyddsombudet eller tillsynsmyndigheten.

 

2a. Den registeransvarige och registerföraren ska på begäran göra registren tillgängliga för tillsynsmyndigheten.

Ändringsförslag  87

Förslag till direktiv

Artikel 25

Kommissionens förslag

Ändringsförslag

Samarbete med tillsynsmyndigheten

Samarbete med tillsynsmyndigheten

1. Medlemsstaterna ska föreskriva att den registeransvarige och registerföraren på begäran ska samarbeta med tillsynsmyndigheten i dess tjänsteutövning, särskilt genom att tillhandahålla all den information som krävs för att tillsynsmyndigheten ska kunna utföra sina uppgifter.

1. Medlemsstaterna ska föreskriva att den registeransvarige och registerföraren på begäran ska samarbeta med tillsynsmyndigheten i dess tjänsteutövning, särskilt genom att tillhandahålla den information som avses i artikel 46.2 a och genom att ge tillgång i enlighet med artikel 46.2 b.

2. Som reaktion på tillsynsmyndighetens utövande av sina befogenheter enligt artikel 46 a och b ska den registeransvarige och registerföraren svara tillsynsmyndigheten inom en rimlig period. Svaret ska inbegripa en beskrivning av de åtgärder som vidtagits och de resultat som uppnåtts som svar på tillsynsmyndighetens anmärkningar.

2. Som reaktion på tillsynsmyndighetens utövande av sina befogenheter enligt artikel 46.1 a och b ska den registeransvarige och registerföraren svara tillsynsmyndigheten inom en rimlig period som anges av tillsynsmyndigheten. Svaret ska inbegripa en beskrivning av de åtgärder som vidtagits och de resultat som uppnåtts som svar på tillsynsmyndighetens anmärkningar.

Ändringsförslag  88

Förslag till direktiv

Artikel 25a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 25a

 

Konsekvensbedömning avseende uppgiftsskydd

 

1. Medlemsstaterna ska föreskriva att den registeransvarige, eller registerföraren på den registeransvariges vägnar, ska genomföra en bedömning av konsekvenserna av de planerade behandlingssystemen och förfarandena för skyddet av personuppgifter, om det är sannolikt att uppgiftsbehandlingen medför särskilda risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning eller sina ändamål, innan nya behandlingar inleds eller snarast möjligt i fall av pågående behandling.

 

2. Det är sannolikt att i synnerhet följande behandlingar medför de särskilda risker som avses i punkt 1:

 

a) Behandling av personuppgifter i storskaliga register i syfte att förebygga, upptäcka, utreda eller lagföra brott och verkställa straffrättsliga påföljder.

 

b) Behandling av särskilda kategorier av personuppgifter enligt vad som avses i artikel 8, av personuppgifter som gäller barn och av biometriska uppgifter och lokaliseringsuppgifter i syfte att förebygga, upptäcka, utreda eller lagföra brott och verkställa straffrättsliga påföljder.

 

c) Utvärdering av en fysisk persons personliga egenskaper eller analyser eller förutsägelser av i synnerhet den fysiska personens beteende, på grundval av automatisk behandling och med den sannolika följden att åtgärder vidtas som ger rättsliga verkningar för den personen eller väsentligt påverkar vederbörande.

 

d) Övervakning på allmän plats, särskilt med användning av optoelektroniska komponenter (videoövervakning).

 

e) Annan behandling för vilken samråd med tillsynsmyndigheten måste ske enligt artikel 26.1.

 

3. Bedömningen ska innehålla åtminstone

 

a) en systematisk beskrivning av den planerade behandlingen,

 

b) en bedömning av behandlingens nödvändighet och dess omfattning i förhållande till ändamålet,

 

c) en bedömning av riskerna för de registrerades fri- och rättigheter och de åtgärder som planeras för att hantera dessa risker och minimera mängden behandlade personuppgifter,

 

d) säkerhetsåtgärder och rutiner för att garantera skyddet av personuppgifterna och för att visa att de bestämmelser som antas i enlighet med detta direktiv efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen,

 

e) en allmän anvisning om tidsgränserna för radering av de olika kategorierna av uppgifter,

 

f) i tillämpliga fall, en förteckning över planerade överföringar av uppgifter till ett tredjeland eller en internationell organisation, med identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 36.2, dokumentation om lämpliga skyddsåtgärder.

 

4. Om den registeransvarige eller registerföraren har utsett ett uppgiftsskyddsombud ska detta delta i konsekvensbedömningen.

 

5. Medlemsstaterna ska föreskriva att den registeransvarige ska samråda med allmänheten om den planerade behandlingen, utan att detta påverkar skyddet av allmänintresset eller säkerheten för uppgiftsbehandlingen.

 

6. Bedömningen ska göras lättillgänglig för allmänheten, utan att detta påverkar skyddet av allmänintresset eller säkerheten för uppgiftsbehandlingen.

 

7. Kommissionen ska ges befogenhet att efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen anta delegerade akter i enlighet med artikel 56 i syfte att närmare ange kriterierna och villkoren för de behandlingar som sannolikt medför de särskilda risker som avses i punkterna 1 och 2 samt kraven för den bedömning som avses i punkt 3, däribland villkor för skalbarhet, kontroll och granskningsmöjligheter.

Ändringsförslag  89

Förslag till direktiv

Artikel 26

Kommissionens förslag

Ändringsförslag

Förhandssamråd med tillsynsmyndigheten

Förhandssamråd med tillsynsmyndigheten

1. Medlemsstaterna ska se till att den registeransvarige eller registerföraren samråder med tillsynsmyndigheten innan man behandlar personuppgifter som ska ingå i ett nytt register som ska inrättas, om

1. Medlemsstaterna ska se till att den registeransvarige eller registerföraren samråder med tillsynsmyndigheten innan man behandlar personuppgifter, i syfte att se till att den avsedda behandlingen överensstämmer med de bestämmelser som antas till följd av detta direktiv och i synnerhet för att begränsa riskerna för de registrerade, om

a) särskilda kategorier av uppgifter enligt artikel 8 ska behandlas,

a) en konsekvensbedömning avseende uppgiftsskydd enligt artikel 25a visar att behandlingen på grund av sin karaktär, sin omfattning eller sina ändamål sannolikt medför höggradiga specifika risker, eller

b) behandlingens typ, särskilt användning av ny teknik, rutiner eller förfaranden, i övrigt innebär särskilda risker för de registrerades grundläggande fri- och rättigheter och särskilt skyddet av personuppgifter.

b) tillsynsmyndigheten anser det nödvändigt att genomföra ett förhandssamråd om en viss behandling som sannolikt medför specifika risker för de registrerades fri- och rättigheter på grund av sin karaktär, sin omfattning eller sina ändamål.

 

1a. Om tillsynsmyndigheten i enlighet med sin befogenhet fastställer att den avsedda behandlingen inte överensstämmer med de bestämmelser som antas till följd av detta direktiv, särskilt om riskerna är otillräckligt fastställda eller begränsade, ska den förbjuda den avsedda behandlingen och lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse.

2. Medlemsstaterna får föreskriva att tillsynsmyndigheten ska upprätta en förteckning över de olika typer av uppgiftsbehandling som omfattas av förhandssamråd enligt punkt 1.

2. Medlemsstaterna ska föreskriva att tillsynsmyndigheten efter samråd med Europeiska dataskyddsstyrelsen ska upprätta en förteckning över de olika typer av uppgiftsbehandling som omfattas av förhandssamråd enligt punkt 1 b.

 

2a. Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren till tillsynsmyndigheten ska lämna in den konsekvensbedömning avseende uppgiftsskydd som avses i artikel 25a och, på begäran, eventuell övrig information som gör att tillsynsmyndigheten kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades personuppgifter och av därmed sammanhängande skyddsåtgärder.

 

2b. Om tillsynsmyndigheten anser att den avsedda behandlingen inte överensstämmer med de bestämmelser som antas till följd av detta direktiv eller att riskerna är otillräckligt fastställda eller begränsade, ska den lägga fram lämpliga förslag för att åtgärda sådan brist på överensstämmelse.

 

2c. Medlemsstaterna får samråda med tillsynsmyndigheten vid utarbetandet av lagstiftningsåtgärder som ska antas av det nationella parlamentet eller av en åtgärd som grundar sig på en sådan lagstiftningsåtgärd, som fastställer behandlingens karaktär, i syfte att garantera att den avsedda behandlingen överensstämmer med detta direktiv och i synnerhet för att begränsa riskerna för de registrerade.

Ändringsförslag  90

Förslag till direktiv

Artikel 27

Kommissionens förslag

Ändringsförslag

Säkerhet i samband med behandlingen av uppgifter

Säkerhet i samband med behandlingen av uppgifter

1. Medlemsstaterna ska föreskriva att den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och kostnaden för att vidta åtgärderna.

1. Medlemsstaterna ska föreskriva att den registeransvarige och registerföraren ska införa lämpliga tekniska och organisatoriska åtgärder och förfaranden för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas, med hänsyn till den senaste tekniken och kostnaden för att vidta åtgärderna.

2. När det gäller automatisk uppgiftsbehandling ska varje medlemsstat föreskriva att den registeransvarige eller registerföraren, efter en bedömning av riskerna, ska vidta åtgärder i syfte att

2. När det gäller automatisk uppgiftsbehandling ska varje medlemsstat föreskriva att den registeransvarige eller registerföraren, efter en bedömning av riskerna, ska vidta åtgärder i syfte att

a) vägra varje obehörig person åtkomst till datorutrustning som används för behandling av personuppgifter (åtkomstskydd för utrustning),

a) vägra varje obehörig person åtkomst till datorutrustning som används för behandling av personuppgifter (åtkomstskydd för utrustning),

b) förhindra att datamedier läses, kopieras, ändras eller avlägsnas av obehöriga (kontroll av datamedier),

b) förhindra att datamedier läses, kopieras, ändras eller avlägsnas av obehöriga (kontroll av datamedier),

c) förhindra obehörig registrering av data och obehörig kännedom om, ändring eller radering av lagrade personuppgifter,

c) förhindra obehörig registrering av data och obehörig kännedom om, ändring eller radering av lagrade personuppgifter,

d) förhindra att obehöriga kan använda system för automatisk databehandling med hjälp av utrustning för dataöverföring (användarkontroll),

d) förhindra att obehöriga kan använda system för automatisk databehandling med hjälp av utrustning för dataöverföring (användarkontroll),

e) se till att personer som är behöriga att använda ett system för automatisk databehandling endast har tillgång till uppgifter som omfattas av deras behörighet (åtkomstkontroll),

e) se till att personer som är behöriga att använda ett system för automatisk databehandling endast har tillgång till uppgifter som omfattas av deras behörighet (åtkomstkontroll),

f) se till att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring (kommunikationskontroll),

f) se till att det kan kontrolleras och fastställas till vilka organ personuppgifter har överförts eller kan överföras och för vilka organ uppgifterna har gjorts tillgängliga eller kan göras tillgängliga med hjälp av utrustning för dataöverföring (kommunikationskontroll),

g) se till att det finns möjlighet att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiskt databehandlingssystem, samt när och av vem uppgifterna infördes (indatakontroll),

g) se till att det finns möjlighet att i efterhand kontrollera och fastställa vilka personuppgifter som förts in i ett automatiskt databehandlingssystem, samt när och av vem uppgifterna infördes (indatakontroll),

h) förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),

h) förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),

i) se till att de system som används kan återställas vid störningar (återställande),

i) se till att de system som används kan återställas vid störningar (återställande),

j) se till att system fungerar, att funktionsfel rapporteras (driftsäkerhet) och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet).

j) se till att system fungerar, att funktionsfel rapporteras (driftssäkerhet) och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet),

 

ja) se till att ytterligare säkerhetsåtgärder införs med avseende på behandling av känsliga personuppgifter i enlighet med artikel 8, i syfte att garantera riskmedvetenhet och förmågan att snabbt vidta förebyggande, korrigerande och begränsande åtgärder mot svagheter eller upptäckta tillbud som skulle kunna innebära en risk för uppgifterna.

 

2a. Medlemsstaternas ska föreskriva att registerförare får utses endast om de garanterar att de vidtar de nödvändiga tekniska och organisatoriska åtgärderna enligt punkt 1 och följer anvisningarna enligt artikel 21.2 a. Den behöriga myndigheten ska övervaka registerföraren i dessa avseenden.

3. När så är nödvändigt får kommissionen anta genomförandeakter i syfte att precisera kraven i punkterna 1 och 2 för olika situationer, särskilt krypteringsstandarder. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

3. När så är nödvändigt får kommissionen anta genomförandeakter i syfte att precisera kraven i punkterna 1 och 2 för olika situationer, särskilt krypteringsstandarder. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

Ändringsförslag  91

Förslag till direktiv

Artikel 28

Kommissionens förslag

Ändringsförslag

Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten

Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten

1. Medlemsstaterna ska föreskriva att den registeransvarige vid ett personuppgiftsbrott utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, ska anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan inte görs inom 24 timmar ska den registeransvarige på begäran lämna en utförlig motivering till tillsynsmyndigheten.

1. Medlemsstaterna ska föreskriva att den registeransvarige vid ett personuppgiftsbrott utan onödigt dröjsmål och, om så är möjligt, efter högst 24 timmar, ska anmäla personuppgiftsbrottet till tillsynsmyndigheten. Den registeransvarige ska på begäran lämna en utförlig motivering till dröjsmålet till tillsynsmyndigheten.

2. Registerföraren ska underrätta och informera den registeransvarige omedelbart efter att ha fått vetskap om ett personuppgiftsbrott.

2. Registerföraren ska underrätta och informera den registeransvarige utan onödigt dröjsmål efter det att ett personuppgiftsbrott har fastställts.

3. Den anmälan som avses i punkt 1 ska åtminstone

3. Den anmälan som avses i punkt 1 ska åtminstone

a) beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs,

a) beskriva personuppgiftsbrottets karaktär, inbegripet de kategorier av och antalet registrerade som berörs samt de kategorier av och antalet uppgiftsposter som berörs,

b) förmedla identiteten på och kontaktuppgifterna för det uppgiftsskyddsombud som avses i artikel 30 eller andra kontaktpunkter där mer information kan erhållas,

b) förmedla identiteten på och kontaktuppgifterna för det uppgiftsskyddsombud som avses i artikel 30 eller andra kontaktpunkter där mer information kan erhållas,

c) rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet,

c) rekommendera åtgärder för att begränsa de möjliga negativa effekterna av personuppgiftsbrottet,

d) beskriva de möjliga konsekvenserna av personuppgiftsbrottet,

d) beskriva de möjliga konsekvenserna av personuppgiftsbrottet,

e) beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet.

e) beskriva de åtgärder som den registeransvarige föreslagit eller vidtagit för att åtgärda personuppgiftsbrottet och begränsa dess följder.

 

Om alla uppgifter inte kan tillhandahållas utan onödigt dröjsmål kan den registeransvarige komplettera anmälan i ett senare skede.

4. Medlemsstaterna ska föreskriva att den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål.

4. Medlemsstaterna ska föreskriva att den registeransvarige ska dokumentera alla personuppgiftsbrott, inbegripet omständigheterna kring brottet, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska vara tillräckligt omfattande för att göra det möjligt för tillsynsmyndigheten att kontrollera efterlevnaden av denna artikel. Dokumentationen ska endast innehålla den information som behövs för detta ändamål.

 

4a. Tillsynsmyndigheten ska föra ett offentligt register över de olika typer av uppgiftsbrott som anmäls.

5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 56 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet.

5. Kommissionen ska ha befogenhet att efter att ha begärt ett yttrande av Europeiska dataskyddsstyrelsen anta delegerade akter enligt artikel 56 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet.

6. Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

6. Kommissionen får fastställa standardformatet för sådana anmälningar till tillsynsmyndigheten, de förfaranden som gäller för anmälningskravet och formen och villkoren för den dokumentation som avses i punkt 4, inbegripet tidsgränserna för raderingen av informationen i denna. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

Ändringsförslag  92

Förslag till direktiv

Artikel 29

Kommissionens förslag

Ändringsförslag

Information till den registrerade om ett personuppgiftsbrott

Information till den registrerade om ett personuppgiftsbrott

1. Medlemsstaterna ska föreskriva att den registeransvarige, om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter eller integritet, efter den anmälan som avses i artikel 28 utan onödigt dröjsmål ska informera den registrerade om personuppgiftsbrottet.

1. Medlemsstaterna ska föreskriva att den registeransvarige, om personuppgiftsbrottet sannolikt har en negativ inverkan på skyddet av den registrerades personuppgifter, integritet, rättigheter eller berättigade intressen, efter den anmälan som avses i artikel 28 utan onödigt dröjsmål ska informera den registrerade om personuppgiftsbrottet.

2. Den information till den registrerade som avses i punkt 1 ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 28.3 b och c.

2. Den information till den registrerade som avses i punkt 1 ska vara begriplig och avfattad på ett klart och tydligt språk. Den ska innehålla en beskrivning av personuppgiftsbrottets karaktär och åtminstone de upplysningar och de rekommendationer som anges i artikel 28.3 b, c och d samt information om den registrerades rättigheter, inklusive rätten till rättslig prövning.

3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de personuppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

3. Det ska inte vara ett krav att informera den registrerade om personuppgiftsbrottet om den registeransvarige tillfredsställande visar för den behöriga myndigheten att den har genomfört lämpliga tekniska skyddsåtgärder och att dessa åtgärder tillämpats på de personuppgifter som berördes av personuppgiftsbrottet. Sådana tekniska skyddsåtgärder ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till uppgifterna.

 

3a. Utan att det påverkar den registeransvariges skyldighet att informera den registrerade om personuppgiftsbrottet får tillsynsmyndigheten, om den registeransvarige inte redan har informerat den registrerade om personuppgiftsbrottet, efter att ha övervägt de sannolika negativa effekterna av brottet, begära att den registeransvarige gör detta.

4. Informationen till den registrerade kan senareläggas, begränsas eller utelämnas av de skäl som anges i artikel 11.4.

4. Informationen till den registrerade kan senareläggas eller begränsas av de skäl som anges i artikel 11.4.

Ändringsförslag  93

Förslag till direktiv

Artikel 30

Kommissionens förslag

Ändringsförslag

Utnämning av uppgiftsskyddsombudet

Utnämning av uppgiftsskyddsombudet

1. Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska utnämna ett uppgiftsskyddsombud.

1. Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska utnämna ett uppgiftsskyddsombud.

2. Uppgiftsskyddsombudet ska utnämnas på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de uppgifter som avses i artikel 32.

2. Uppgiftsskyddsombudet ska utnämnas på grundval av yrkesmässiga kvalifikationer och, i synnerhet, expertkunnande om lagstiftning och praxis avseende uppgiftsskydd samt förmåga att fullgöra de uppgifter som avses i artikel 32. Den nödvändiga nivån på expertkunskapen ska fastställas särskilt i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av den registeransvarige och registerföraren.

 

2a. Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska se till att uppgiftsskyddsombudets eventuella övriga yrkesuppgifter är förenliga med personens arbetsuppgifter och uppdrag som uppgiftsskyddsombud och inte leder till en intressekonflikt.

 

2b. Uppgiftsskyddsombudet ska utnämnas för en period på minst fyra år. Uppgiftsskyddsombudet får utnämnas på nytt för ytterligare perioder. Under sin mandatperiod får uppgiftsskyddsombudet avsättas endast om han eller hon inte längre uppfyller de villkor som krävs för fullgörandet av sitt uppdrag.

 

2c. Medlemsstaterna ska föreskriva att den registrerade har rätt att kontakta uppgiftsskyddsombudet angående alla frågor som rör behandlingen av den registrerades personuppgifter.

3. Uppgiftsskyddsombudet får utnämnas för flera enheter, med hänsyn tagen till den behöriga myndighetens struktur.

3. Uppgiftsskyddsombudet får utnämnas för flera enheter, med hänsyn tagen till den behöriga myndighetens struktur.

 

3a. Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska meddela uppgiftsskyddsombudets namn och kontaktuppgifter till tillsynsmyndigheten och till allmänheten.

Ändringsförslag  94

Förslag till direktiv

Artikel 31 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a. Den registeransvarige eller registerföraren ska stödja uppgiftsskyddsombudet i fullgörandet av dennes uppgifter och tillhandahålla alla medel, inklusive personal, anläggningar, utrustning, fortlöpande yrkesutbildning och alla andra resurser som krävs för att utföra de uppdrag och arbetsuppgifter som avses i artikel 32 och upprätthålla uppgiftsskyddsombudets yrkeskunskaper.

Ändringsförslag  95

Förslag till direktiv

Artikel 32

Kommissionens förslag

Ändringsförslag

Uppgiftsskyddsombudets uppgifter

Uppgiftsskyddsombudets uppgifter

Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande uppgifter:

Medlemsstaterna ska föreskriva att den registeransvarige eller registerföraren ska anförtro uppgiftsskyddsombudet åtminstone följande uppgifter:

a) Att informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt de bestämmelser som antas i enlighet med detta direktiv och att dokumentera denna verksamhet och de inkomna svaren.

a) Att öka medvetenheten, informera och ge råd till den registeransvarige eller registerföraren om deras skyldigheter enligt de bestämmelser som antas i enlighet med detta direktiv, i synnerhet med avseende på tekniska och organisatoriska åtgärder och förfaranden, och att dokumentera denna verksamhet och de inkomna svaren.

b) Att övervaka genomförandet och tillämpningen av policyn för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning.

b) Att övervaka genomförandet och tillämpningen av policyn för skydd av personuppgifter, inbegripet ansvarstilldelning, utbildning av personal som deltar i behandlingen och tillhörande granskning.

c) Att övervaka genomförandet och tillämpningen av de bestämmelser som antas i enlighet med detta direktiv, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt de bestämmelser som antas i enlighet med detta direktiv.

c) Att övervaka genomförandet och tillämpningen av de bestämmelser som antas i enlighet med detta direktiv, särskilt när det gäller de krav som avser inbyggt uppgiftsskydd, uppgiftsskydd som standard och datasäkerhet samt information till de registrerade och deras begäranden i utövandet av sina rättigheter enligt de bestämmelser som antas i enlighet med detta direktiv.

d) Att se till att den dokumentation som avses i artikel 23 bevaras.

d) Att se till att den dokumentation som avses i artikel 23 bevaras.

e) Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 28 och 29.

e) Att övervaka dokumentationen om, anmälan av och informationen om personuppgiftsbrott enligt artiklarna 28 och 29.

f) Att övervaka ansökan till tillsynsmyndigheten om förhandssamråd, om så krävs enligt artikel 26.

f) Att övervaka den registeransvariges eller registerförarens tillämpning av konsekvensbedömningen avseende uppgiftsskydd och ansökan om förhandssamråd, om så krävs enligt artikel 26.1.

g) Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ.

g) Att övervaka svaret på begäranden från tillsynsmyndigheten, och, inom uppgiftsskyddsombudets behörighet, att samarbeta med tillsynsmyndigheten på den senares begäran eller på uppgiftsskyddsombudets eget initiativ.

h) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på uppgiftsskyddsombudets eget initiativ.

h) Att fungera som kontaktpunkt för tillsynsmyndigheten i frågor som rör behandlingen och, om så är lämpligt, samråda med tillsynsmyndigheten på uppgiftsskyddsombudets eget initiativ.

Ändringsförslag  96

Förslag till direktiv

Artikel 33

Kommissionens förslag

Ändringsförslag

Allmänna principer för överföringar av personuppgifter

Allmänna principer för överföringar av personuppgifter

Medlemsstaterna ska föreskriva att de behöriga myndigheterna endast får överföra personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation, inklusive för vidare överföring till ett annat tredjeland eller en annan internationell organisation, under förutsättning att

Medlemsstaterna ska föreskriva att de behöriga myndigheterna får överföra personuppgifter som håller på att behandlas eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation, inklusive för vidare överföring till ett annat tredjeland eller en annan internationell organisation, endast under förutsättning att

a) överföringen är nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och

a) den specifika överföringen är nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,

 

aa) uppgifter överförs till en registeransvarig i ett tredjeland eller till en internationell organisation som är en behörig offentlig myndighet för de ändamål som avses i artikel 1.1,

 

ab) de villkor som föreskrivs i detta kapitel följs av den registeransvarige eller registerföraren, inklusive för vidare överföring av personuppgifter från tredjelandet eller en internationell organisation till ett annat tredjeland eller till en annan internationell organisation,

b) att den registeransvarige och registerföraren följer villkoren i detta kapitel.

b) den registeransvarige och registerföraren följer andra bestämmelser som antas till följd av detta direktiv,

 

ba) den skyddsnivå för enskildas personuppgifter i unionen som garanteras genom detta direktiv inte hotas,

 

bb) kommissionen enligt de villkor och förfaranden som avses i artikel 34 har fastställt att det berörda tredjelandet eller den berörda organisationen kan garantera en adekvat skyddsnivå, eller att

 

bc) lämpliga skyddsåtgärder för personuppgiftsskyddet har vidtagits genom ett rättsligt bindande instrument enligt vad som avses i artikel 35.

 

Medlemsstaterna ska föreskriva att vidare överföring som avses i första stycket i denna artikel får äga rum endast om, utöver de villkor som anges i det stycket,

 

a) den vidare överföringen är nödvändig för samma specifika ändamål som den ursprungliga överföringen, och

 

b) den behöriga myndighet som utförde den ursprungliga överföringen godkänner den vidare överföringen.

Ändringsförslag  97

Förslag till direktiv

Artikel 34

Kommissionens förslag

Ändringsförslag

Överföring efter beslut om adekvat skyddsnivå

Överföring efter beslut om adekvat skyddsnivå

1. Medlemsstaterna ska föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation får ske om kommissionen i enlighet med artikel 41 i förordning (EU) nr …./2012 eller i enlighet med punkt 3 i denna artikel beslutar att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet, eller en internationell organisation utgör en garant för en adekvat skyddsnivå. I dessa fall ska det inte krävas något ytterligare tillstånd.

1. Medlemsstaterna ska föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation får ske om kommissionen i enlighet med punkt 3 i denna artikel beslutar att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet eller en internationell organisation kan garantera en adekvat skyddsnivå. I dessa fall ska det inte krävas något särskilt tillstånd.

2. Om inget beslut enligt artikel 41 i förordning (EU) nr …./2012 föreligger ska kommissionen bedöma om skyddsnivån är adekvat, och då ta hänsyn till

2. När kommissionen bedömer om skyddsnivån är adekvat ska den ta hänsyn till

a) rättsstatsprincipen, befintlig allmän och sektorsspecifik lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, samt huruvida det finns faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom Europeiska unionen och vars personuppgifter överförs.

a) rättsstatsprincipen, befintlig lagstiftning inom områden som allmän säkerhet, försvar, nationell säkerhet och straffrätt liksom genomförandet av denna lagstiftning och säkerhetsbestämmelser som ska följas i det tredjeland eller inom den internationella organisation som berörs, rättsliga prejudikat samt faktiska och lagstadgade rättigheter, inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade som är bosatta inom unionen och vars personuppgifter överförs.

b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och

b) huruvida det finns en eller flera effektivt fungerande oberoende tillsynsmyndigheter i tredjelandet eller inom den internationella organisationen med ansvar för att se till att bestämmelserna för uppgiftsskydd följs, inklusive tillräckliga befogenheter att besluta om påföljder, ge de registrerade råd och assistans när det gäller utövandet av deras rättigheter och samarbeta med unionens och medlemsstaternas tillsynsmyndigheter, och

c) vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort.

c) vilka internationella åtaganden tredjelandet eller den internationella organisationen har gjort, särskilt rättsligt bindande konventioner eller instrument med avseende på skyddet av personuppgifter.

3. Kommissionen får inom tillämpningsområdet för detta direktiv besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet, eller en internationell organisation utgör en garant för en adekvat skyddsnivå i den mening som avses i punkt 2. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

3. Kommissionen ska ha befogenhet att efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen anta delegerade akter enligt artikel 56 för att inom tillämpningsområdet för detta direktiv besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet, eller en internationell organisation kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2.

4. Den geografiska och sektorsmässiga tillämpningen ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b.

4. Beslutets geografiska och sektorsmässiga tillämpning ska regleras i den delegerade akten, där det också ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b.

 

4a. Kommissionen ska fortlöpande övervaka utvecklingstendenser som kan påverka uppfyllandet av de villkor som förtecknas i punkt 2 i tredjeländer och internationella organisationer för vilka en delegerad akt har antagits i enlighet med punkt 3.

5. Kommissionen får inom tillämpningsområdet för detta direktiv fastställa att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för de registrerade vars personuppgifter överförs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 57.2 eller, i fall som är ytterst brådskande för den individ vars personuppgifter behöver skyddas, enligt förfarandet i artikel 57.3.

5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 56 för att inom tillämpningsområdet för detta direktiv fastställa att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för de registrerade vars personuppgifter överförs.

6. Medlemsstaterna ska säkerställa att om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga; detta ska inte påverka överföringar enligt artiklarna 35.1 eller 36. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5.

6. Medlemsstaterna ska säkerställa att inga uppgifter får överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet eller den internationella organisationen i fråga, om kommissionen fattar beslut i enlighet med punkt 5. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet i enlighet med punkt 5.

7. Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning över de tredjeländer, territorier och behandlande sektorer i tredjeländer eller de internationella organisationer för vilka den har beslutat att en adekvat skyddsnivå inte kan garanteras.

7. Kommissionen ska offentliggöra en förteckning i Europeiska unionens officiella tidning över de tredjeländer, territorier och behandlande sektorer i tredjeländer eller de internationella organisationer för vilka den har beslutat att en adekvat skyddsnivå inte kan garanteras.

8. Kommissionen ska övervaka tillämpningen av de genomförandeakter som avses i punkterna 3 och 5.

8. Kommissionen ska övervaka tillämpningen av de delegerade akter som avses i punkterna 3 och 5.

Ändringsförslag  98

Förslag till direktiv

Artikel 35

Kommissionens förslag

Ändringsförslag

Överföring med stöd av lämpliga skyddsåtgärder

Överföring med stöd av lämpliga skyddsåtgärder

1. Om kommissionen inte har fattat något beslut enligt artikel 34 ska medlemsstaterna föreskriva att överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation får äga rum om

1. Om kommissionen inte har fattat något beslut i enlighet med artikel 34, eller om den fastställer att ett tredjeland, ett territorium inom detta tredjeland eller en internationell organisation inte kan garantera en adekvat skyddsnivå i enlighet med artikel 34.5, får en registeransvarig eller registerförare inte överföra personuppgifter till ett tredjeland, ett territorium eller inom detta tredjeland eller en internationell organisation, såvida inte den registeransvarige eller registerföraren har vidtagit lämpliga skyddsåtgärder för personuppgiftsskyddet i ett rättsligt bindande instrument.

a) lämpliga skyddsåtgärder för personuppgifter har vidtagits genom ett rättsligt bindande instrument, eller

 

b) den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring av personuppgifter och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.

 

1. Beslutet om överföringar enligt punkt 1 b måste göras av vederbörligen bemyndigad personal. De måste också dokumenteras, och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten.

2. Dessa överföringar måste godkännas av tillsynsmyndigheten före överföringen.

Ändringsförslag  99

Förslag till direktiv

Artikel 36

Kommissionens förslag

Ändringsförslag

Undantag

Undantag

 

1. Om kommissionen i enlighet med artikel 34.5 fastställer att det saknas en adekvat skyddsnivå, får personuppgifterna inte överföras till det berörda tredjelandet eller till den berörda internationella organisationen, om den registrerades berättigade intressen av att uppgifterna inte överförs i det enskilda fallet väger tyngre än allmänintresset av att uppgifterna överförs.

Genom undantag från artiklarna 34 och 35 ska medlemsstaterna föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation endast får ske om något av följande villkor är uppfyllda:

2. Genom undantag från artiklarna 34 och 35 ska medlemsstaterna föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation endast får ske om något av följande villkor är uppfyllda:

a) Överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person.

a) Överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person.

b) Överföringen är nödvändig för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta.

b) Överföringen är nödvändig för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta.

c) Överföringen av uppgifter är avgörande för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.

c) Överföringen av uppgifter är avgörande för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.

d) Överföring är i ett enskilt fall nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

d) Överföring är i ett enskilt fall nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

e) Överföring är i ett enskilt fall nödvändig för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställandet av en specifik straffrättslig påföljd.

e) Överföring är i ett enskilt fall nödvändig för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställandet av en specifik straffrättslig påföljd.

 

2a. Uppgiftsbehandling på grundval av punkt 2 ska ha en rättslig grund i unionslagstiftningen eller i den medlemsstats lagstiftning som den registeransvarige omfattas av, och den lagstiftningen ska tillgodose målet om allmänintresse eller behovet att skydda andras fri- och rättigheter, respektera kärnan i rätten till skydd av personuppgifter och stå i proportion till det eftersträvade legitima syftet.

 

2b. Samtliga överföringar av personuppgifter som har beslutats genom undantag från bestämmelserna ska vara vederbörligen motiverade och begränsas till vad som är strikt nödvändigt, och upprepade och omfattande överföringar ska inte tillåtas.

 

2c. Beslutet om överföringar enligt punkt 2 ska fattas av vederbörligen bemyndigad personal. Överföringarna ska dokumenteras, och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten, inbegripet datum och tidpunkt för överföringen, information om den mottagande myndigheten, motiveringen för överföringen och de uppgifter som har överförts.

Ändringsförslag  100

Förslag till direktiv

Artikel 37

Kommissionens förslag

Ändringsförslag

Särskilda villkor för överföring av personuppgifter

Särskilda villkor för överföring av personuppgifter

Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta mottagaren av personuppgifter om eventuella begränsningar av behandlingen av uppgifterna och vidta alla rimliga åtgärder för att säkerställa att dessa begränsningar följs.

Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta mottagaren av personuppgifter om eventuella begränsningar av behandlingen av uppgifterna och vidta alla rimliga åtgärder för att säkerställa att dessa begränsningar följs. Den registeransvarige ska också underrätta mottagaren av personuppgifterna om varje uppdatering, rättelse eller radering av uppgifter som har utförts, och mottagaren ska i sin tur meddela eventuella vidareöverföringar av uppgifterna.

Ändringsförslag  101

Förslag till direktiv

Artikel 38 – punkt 1 – led a

Kommissionens förslag

Ändringsförslag

a) utveckla ändamålsenliga rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

a) utveckla ändamålsenliga rutiner för det internationella samarbetet för att garantera genomförandet av lagstiftningen om skydd av personuppgifter,

Ändringsförslag  102

Förslag till direktiv

Artikel 38 – punkt 1 – led da (nytt)

Kommissionens förslag

Ändringsförslag

 

da) klargöra och rådgöra om behörighetskonflikter med tredjeländer.

Ändringsförslag  103

Förslag till direktiv

Artikel 38a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 38a

 

Rapport från kommissionen

 

Kommissionen ska med jämna mellanrum lämna en rapport till Europaparlamentet och till rådet om tillämpningen av artiklarna 33–38. Den första rapporten ska lämnas senast fyra år efter det att detta direktiv träder i kraft. För detta ändamål får kommissionen begära in information från medlemsstaterna och tillsynsmyndigheterna, som ska lämna informationen utan onödigt dröjsmål. Rapporten ska offentliggöras.

Ändringsförslag  104

Förslag till direktiv

Artikel 40 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska se till att tillsynsmyndigheterna är fullständigt oberoende i utövandet av de uppdrag och befogenheter som de anförtrotts.

1. Medlemsstaterna ska se till att tillsynsmyndigheterna är fullständigt oberoende i utövandet av de uppdrag och befogenheter som de anförtrotts, utan att det påverkar samarbetsarrangemang enligt kapitel VII i detta direktiv.

Ändringsförslag  105

Förslag till direktiv

Artikel 40 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Medlemsstaterna ska föreskriva att tillsynsmyndigheternas ledamöter i sin tjänsteutövning varken får begära eller ta emot instruktioner från någon.

2. Medlemsstaterna ska föreskriva att tillsynsmyndigheternas ledamöter i sin tjänsteutövning varken får begära eller ta emot instruktioner från någon och att de ska vara fulltständigt oberoende och opartiska.

Ändringsförslag  106

Förslag till direktiv

Artikel 43

Kommissionens förslag

Ändringsförslag

Tystnadsplikt

Tystnadsplikt

Medlemsstaterna ska föreskriva att tillsynsmyndighetens ledamöter och personal både under och efter sin mandattid respektive anställning ska omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen.

Medlemsstaterna ska föreskriva att tillsynsmyndighetens ledamöter och personal både under och efter sin mandattid respektive anställning, och i överensstämmelse med nationell lagstiftning och praxis, ska omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen, samtidigt som de fullgör sitt uppdrag på ett oberoende och öppet sätt enligt vad som anges i detta direktiv.

Ändringsförslag  107

Förslag till direktiv

Artikel 44 – punkt 1

Kommissionens förslag

Ändringsförslag

Behörighet

Behörighet

1. Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inom dess territorium ska utöva de befogenheter som tilldelas den i enlighet med detta direktiv.

1. Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska vara behörig att fullgöra sitt uppdrag och att inom sin egen medlemsstats territorium utöva de befogenheter som tilldelas den i enlighet med detta direktiv.

Ändringsförslag  108

Förslag till direktiv

Artikel 45

Kommissionens förslag

Ändringsförslag

Uppdrag

Uppdrag

Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ansvara för följande:

1. Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ansvara för följande:

a) Övervaka och garantera tillämpningen av de bestämmelser som antas till följd av detta direktiv och dess genomförandeåtgärder.

a) Övervaka och garantera tillämpningen av de bestämmelser som antas till följd av detta direktiv och dess genomförandeåtgärder.

b) Ta emot klagomål från registrerade eller från sammanslutningar som representerar registrerade och handlar på deras uppdrag enligt artikel 50, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

b) Ta emot klagomål från registrerade eller från sammanslutningar enligt artikel 50, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

c) Kontrollera att behandling av uppgifter enligt artikel 14 är tillåten och inom en rimlig period informera den registrerade om resultatet av kontrollen eller om skälen till att kontrollen inte har genomförts.

c) Kontrollera att behandling av uppgifter enligt artikel 14 är tillåten och inom en rimlig period informera den registrerade om resultatet av kontrollen eller om skälen till att kontrollen inte har genomförts.

d) Utbyta ömsesidigt bistånd med andra tillsynsmyndigheter och se till att de bestämmelser som antagits till följd av detta direktiv tillämpas och verkställs enhetligt.

d) Utbyta ömsesidigt bistånd med andra tillsynsmyndigheter och se till att de bestämmelser som antas till följd av detta direktiv tillämpas och verkställs enhetligt.

e) Utföra undersökningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och, om en undersökning grundar sig på ett klagomål som lämnats in av en registrerad, underrätta den registrerade om resultatet inom rimlig tid.

e) Utföra undersökningar, inspektioner och granskningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och, om en undersökning grundar sig på ett klagomål som lämnats in av en registrerad, underrätta den registrerade om resultatet inom rimlig tid.

f) Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunikationsteknik.

f) Följa sådan utveckling som påverkar skyddet av personuppgifter, bland annat inom informations- och kommunikationsteknik.

g) Ge råd till institutioner och organ i medlemsstaterna i fråga om lagstiftningsåtgärder och administrativa åtgärder som rör skyddet av enskildas fri- och rättigheter i samband med behandling av personuppgifter.

g) Ge råd till institutioner och organ i medlemsstaterna i fråga om lagstiftningsåtgärder och administrativa åtgärder som rör skyddet av enskildas fri- och rättigheter i samband med behandling av personuppgifter.

h) Ge råd om behandling av personuppgifter enligt artikel 26.

h) Ge råd om behandling av personuppgifter enligt artikel 26.

i) Delta i Europeiska dataskyddsstyrelsens verksamhet.

i) Delta i Europeiska dataskyddsstyrelsens verksamhet.

2. Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Särskild uppmärksamhet ska ägnas åt verksamhet som riktar sig till barn.

2. Alla tillsynsmyndigheter har i uppdrag att öka allmänhetens medvetenhet om risker, regler, skyddsåtgärder och rättigheter i fråga om behandlingen av personuppgifter. Särskild uppmärksamhet ska ägnas åt verksamhet som riktar sig till barn.

3. En tillsynsmyndighet ska på begäran ge råd till registrerade om hur de ska utöva sina rättigheter enligt de bestämmelser som antagits till följd av detta direktiv, och ska om så är lämpligt samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

3. En tillsynsmyndighet ska på begäran ge råd till registrerade om hur de ska utöva sina rättigheter enligt de bestämmelser som antas till följd av detta direktiv, och ska om så är lämpligt samarbeta med tillsynsmyndigheter i andra medlemsstater för detta ändamål.

4. För klagomål enligt punkt 1 b ska tillsynsmyndigheten bistå med ett särskilt formulär för ändamålet, vilket ska kunna fyllas i elektroniskt; det elektroniska formuläret ska inte utesluta andra kommunikationsformer.

4. För klagomål enligt punkt 1 b ska tillsynsmyndigheten bistå med ett särskilt formulär för ändamålet, vilket ska kunna fyllas i elektroniskt; det elektroniska formuläret ska inte utesluta andra kommunikationsformer.

5. Medlemsstaterna ska föreskriva att tillsynsmyndighetens tjänster ska vara avgiftsfria för den registrerade.

5. Medlemsstaterna ska föreskriva att tillsynsmyndighetens tjänster ska vara avgiftsfria för den registrerade.

6. Om en registrerad begär tjänster som är särskilt betungande, till exempel på grund av repetitiv karaktär, får tillsynsmyndigheten ta ut en avgift eller avstå från att utföra de tjänster som den registrerade begär. I så fall ska det åligga tillsynsmyndigheten att visa att begäran är särskilt betungande.

6. Om en begäran är uppenbart orimlig, särskilt på grund av dess repetitiva karaktär, får tillsynsmyndigheten ta ut en rimlig avgift. Avgiften får inte överstiga kostnaderna för att vidta den åtgärd som begärts. Det ska åligga tillsynsmyndigheten att visa att begäran är uppenbart orimlig.

Ändringsförslag  109

Förslag till direktiv

Artikel 46

Kommissionens förslag

Ändringsförslag

Befogenheter

Befogenheter

Medlemsstaterna ska föreskriva att varje tillsynsmyndighet särskilt förses med

1. Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska ha befogenhet att

a) utredande befogenheter, så som befogenhet att få tillgång till uppgifter som blir föremål för behandling och befogenhet att samla in all information som är nödvändig för att utföra tillsynen,

a) meddela den registeransvarige eller registerföraren om en påstådd överträdelse av bestämmelserna om behandling av personuppgifter och vid behov beordra den registeransvarige eller registerföraren att åtgärda överträdelsen på ett specifikt sätt och därigenom förbättra skyddet av den registrerade,

b) befogenheter att agera, bland annat genom att lägga fram yttranden innan uppgifter behandlas, se till att sådana yttranden offentliggörs på lämpligt sätt, beordra att uppgifter ska begränsas, raderas eller förstöras, besluta om tillfälligt eller definitivt förbud mot behandling, varna eller tillrättavisa den registeransvarige eller hänvisa saken till nationella parlament eller till andra politiska institutioner,

b) beordra den registeransvarige att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt detta direktiv, inklusive de rättigheter som föreskrivs i artiklarna 12–17, om en sådan begäran har avslagits i strid med dessa bestämmelser,

c) befogenhet att inleda rättsliga förfaranden när bestämmelser som har antagits till följd av detta direktiv har överträtts, eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.

c) beordra den registeransvarige eller registerföraren att tillhandahålla information i enlighet med artikel 10.1 och 10.2 samt artiklarna 11, 28 och 29,

 

d) se till att yttrandena om de förhandssamråd som avses i artikel 26 efterlevs,

 

e) varna eller tillrättavisa den registeransvarige eller registerföraren,

 

f) beordra rättelse, radering eller förstöring av alla uppgifter som har behandlats på ett sätt som står i strid med de bestämmelser som antas till följd av detta direktiv samt underrättelse om sådana åtgärder till de tredje parter till vilka uppgifterna har lämnats ut,

 

g) tillfälligt eller definitivt förbjuda behandling,

 

h) avbryta flöden av uppgifter till en mottagare i ett tredjeland eller till en internationell organisation,

 

i) informera nationella parlament, regeringar eller andra offentliga institutioner samt allmänheten om saken.

 

2. Varje tillsynsmyndighet ska ha de utredningsbefogenheter som behövs för att erhålla följande av den registeransvarige eller registerföraren:

 

a) Tillgång till alla personuppgifter och all information som myndigheten behöver för att kunna fullgöra sitt tillsynsuppdrag.

 

b) Tillträde till alla anläggningar, inbegripet all utrustning och alla medel för uppgiftsbehandling, i enlighet med nationell lagstiftning, om det finns rimliga skäl att anta att en verksamhet i strid med de bestämmelser som antas till följd av detta direktiv utförs där, utan att det påverkar tillämpningen av domstolsgodkännanden om ett sådant krävs enligt nationell lagstiftning.

 

3. Utan att det påverkar artikel 43 ska medlemsstaterna föreskriva att inga ytterligare sekretesskrav får utfärdas på tillsynsmyndigheternas begäran.

 

4. Medlemsstaterna får föreskriva att ytterligare säkerhetsundersökningar som överensstämmer med nationell lagstiftning ska krävas för tillgång till information som sekretessbelagts på en nivå som motsvarar ”Confidentiel UE/EU Confidential” eller högre. Om ingen ytterligare säkerhetsundersökning krävs enligt lagstiftningen i den medlemsstat där den berörda tillsynsmyndigheten verkar, ska detta erkännas av alla andra medlemsstater.

 

5. Varje tillsynsmyndighet ska ha befogenhet att underrätta de rättsliga myndigheterna om brott mot de bestämmelser som antas till följd av detta direktiv och att inleda rättsliga förfaranden och väcka talan vid den behöriga domstolen i enlighet med artikel 53.2.

 

6. Varje tillsynsmyndighet ska ha befogenhet att ålägga påföljder vid administrativa överträdelser.

Ändringsförslag  110

Förslag till direktiv

Artikel 46a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 46a

 

Anmälan av överträdelser

 

1. Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska beakta riktlinjer som utfärdas av Europeiska dataskyddsstyrelsen i enlighet med artikel 66.4 b i förordning (EU) nr .../2013 samt införa ändamålsenliga rutiner för att uppmuntra konfidentiell anmälan av överträdelser av detta direktiv.

 

2. Medlemsstaterna ska föreskriva att de behöriga myndigheterna ska införa ändamålsenliga rutiner för att uppmuntra konfidentiell anmälan av överträdelser av detta direktiv.

Ändringsförslag  111

Förslag till direktiv

Artikel 47

Kommissionens förslag

Ändringsförslag

Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska upprätta en årlig rapport om sin verksamhet. Rapporten ska göras tillgänglig för kommissionen och Europeiska dataskyddsstyrelsen.

Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska upprätta en rapport om sin verksamhet minst vartannat år. Rapporten ska göras tillgänglig för allmänheten, det nationella parlamentet, kommissionen och Europeiska dataskyddsstyrelsen. Den ska inbegripa information om i vilken omfattning de behöriga myndigheterna inom sin jurisdiktion fått tillgång till uppgifter som innehas av privata parter för att utreda eller lagföra brott.

Ändringsförslag  112

Förslag till direktiv

Artikel 48

Kommissionens förslag

Ändringsförslag

Ömsesidigt bistånd

Ömsesidigt bistånd

1. Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ge varandra ömsesidigt bistånd i arbetet för att genomföra och tillämpa de bestämmelser som antas till följd av detta direktiv på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att begära att den andra myndigheten utför förhandssamråd, inspektioner och utredningar.

1. Medlemsstaterna ska föreskriva att tillsynsmyndigheterna ska ge varandra ömsesidigt bistånd i arbetet för att genomföra och tillämpa de bestämmelser som antas till följd av detta direktiv på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Som en del av det ömsesidiga biståndet ska tillsynsmyndigheterna bland annat kunna begära information från varandra och bistå varandra i tillsynsarbetet, till exempel genom att begära att den andra myndigheten utför förhandssamråd, inspektioner och utredningar.

2. Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska vidta alla lämpliga åtgärder för att besvara en begäran från en annan tillsynsmyndighet.

2. Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska vidta alla lämpliga åtgärder för att besvara en begäran från en annan tillsynsmyndighet. Sådana åtgärder kan inbegripa i synnerhet överföring av relevant information eller verkställighetsåtgärder för att se till att behandling som strider mot detta direktiv upphör eller förbjuds utan dröjsmål, dock senast inom en månad efter det att begäran har tagits emot.

 

2a. En begäran om bistånd ska innehålla alla nödvändiga uppgifter, inklusive syftet med och skälen till begäran. Information som utbyts får användas endast i det ärende för vilket den har begärts.

 

2b. En tillsynsmyndighet som tar emot en begäran om bistånd får vägra att tillmötesgå begäran endast om

 

a) den inte är behörig att behandla den, eller

 

b) det skulle vara oförenligt med de bestämmelser som antas till följd av detta direktiv att tillmötesgå begäran.

3. Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer ifrån om resultatet eller, i förekommande fall, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider.

3. Den tillsynsmyndighet som tagit emot begäran ska meddela den myndighet som begäran kommer från om resultatet eller, i förekommande fall, om hur de åtgärder som vidtagits för att tillmötesgå begäran fortskrider.

 

3a. Tillsynsmyndigheterna ska lämna den information som begärs av andra tillsynsmyndigheter på elektronisk väg, i standardiserat format och inom kortast möjliga tid.

 

3b. Åtgärder som vidtas efter en begäran om ömsesidigt bistånd ska inte vara belagda med någon avgift.

Ändringsförslag  113

Förslag till direktiv

Artikel 48a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 48a

 

Gemensamma insatser

 

1. Medlemsstaterna ska föreskriva att tillsynsmyndigheterna i syfte att intensifiera samarbete och ömsesidigt bistånd får genomföra gemensamma verkställighetsåtgärder och andra gemensamma insatser där utsedda medlemmar eller personal från tillsynsmyndigheter i andra medlemsstater deltar i insatser inom en medlemsstats territorium.

 

2. Medlemsstaterna ska föreskriva att den behöriga tillsynsmyndigheten, i fall där personer registrerade i en annan medlemsstat eller andra medlemsstater sannolikt berörs av personuppgiftsbehandlingen, får inbjudas att delta i de gemensamma insatserna. Den behöriga tillsynsmyndigheten får inbjuda tillsynsmyndigheterna i var och en av de berörda medlemsstaterna att delta i respektive insats och, om den inbjuds, utan dröjsmål besvara en annan tillsynsmyndighets begäran att få delta.

 

3. Medlemsstaterna ska reglera de praktiska aspekterna av enskilda åtgärder som genomförs gemensamt.

Ändringsförslag  114

Förslag till direktiv

Artikel 49

Kommissionens förslag

Ändringsförslag

Europeiska dataskyddsstyrelsens arbetsuppgifter

Europeiska dataskyddsstyrelsens arbetsuppgifter

1. Europeiska dataskyddsstyrelsen, som inrättats genom förordning (EU) …./2012, ska i samband med behandling av uppgifter inom tillämpningsområdet för detta direktiv ha följande arbetsuppgifter:

1. Europeiska dataskyddsstyrelsen, som inrättats genom förordning (EU) …./2013, ska i samband med behandling av uppgifter inom tillämpningsområdet för detta direktiv ha följande arbetsuppgifter:

a) Ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella förslag till ändring av detta direktiv.

a) Ge unionens institutioner råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella förslag till ändring av detta direktiv.

b) På begäran av kommissionen, på eget initiativ eller på initiativ av en av sina ledamöter undersöka frågor om tillämpningen av de bestämmelser som antas till följd av detta direktiv och sprida riktlinjer, rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av dessa bestämmelser.

b) På begäran av kommissionen, Europaparlamentet eller rådet, på eget initiativ eller på initiativ av en av sina ledamöter undersöka frågor om tillämpningen av de bestämmelser som antas till följd av detta direktiv och sprida riktlinjer, rekommendationer och exempel på god praxis till tillsynsmyndigheterna i syfte att främja en enhetlig tillämpning av dessa bestämmelser, inbegripet användning av verkställighetsbefogenheter.

c) Se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta.

c) Se över den praktiska tillämpningen av de riktlinjer, rekommendationer och exempel på god praxis som avses i b samt rapportera regelbundet till kommissionen om detta.

d) Yttra sig till kommissionen i fråga om skyddsnivån i tredjeländer eller internationella organisationer.

d) Yttra sig till kommissionen i fråga om skyddsnivån i tredjeländer eller internationella organisationer.

e) Främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna.

e) Främja samarbete och effektivt bilateralt och multilateralt utbyte av praxis och information mellan tillsynsmyndigheterna, inbegripet samordning av gemensamma insatser och andra gemensamma verksamheter om så beslutas på begäran av en eller flera tillsynsmyndigheter.

f) Främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer.

f) Främja gemensamma utbildningsprogram och underlätta personalutbyte mellan tillsynsmyndigheterna, där så är lämpligt även med tillsynsmyndigheter i tredjeland och internationella organisationer.

g) Främja utbyte av kunskap och dokumentation, bland annat om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen.

g) Främja utbyte av kunskap och dokumentation, bland annat om lagstiftning om och praxis för uppgiftsskydd med tillsynsmyndigheter för uppgiftsskydd i andra delar av världen.

 

ga) Avge ett yttrande till kommissionen vid utarbetandet av delegerade akter och genomförandeakter i enlighet med detta direktiv.

2. När kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning.

2. När Europaparlamentet, rådet eller kommissionen begär rådgivning från Europeiska dataskyddsstyrelsen får den med hänsyn till hur brådskande frågan är fastställa en tidsfrist för denna rådgivning.

3. Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till kommissionen och till den kommitté som avses i artikel 57.1, samt offentliggöra dem.

3. Europeiska dataskyddsstyrelsen ska vidarebefordra sina yttranden, riktlinjer, rekommendationer och exempel på god praxis till kommissionen och till den kommitté som avses i artikel 57.1, samt offentliggöra dem.

4. Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis.

4. Kommissionen ska hålla Europeiska dataskyddsstyrelsen underrättad om de åtgärder den vidtagit som en följd av den senares yttranden, riktlinjer, rekommendationer och exempel på god praxis.

Ändringsförslag  115

Förslag till direktiv

Artikel 50 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter och intressen när det gäller skyddet av deras personuppgifter, och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt detta direktiv har åsidosatts som en följd av behandling av vederbörandes personuppgifter. Organisationen eller sammanslutningen ska på vederbörligt sätt ha anförtrotts att handla på den eller de registrerades uppdrag.

2. Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som agerar i allmänintresset och som har inrättats på vederbörligt sätt i enlighet med lagen i en medlemsstat, ska ha rätt att lämna in ett klagomål till en tillsynsmyndighet i en medlemsstat för en eller flera registrerades räkning, om den anser att de rättigheter som tillkommer en registrerad enligt detta direktiv har åsidosatts som en följd av behandling av vederbörandes personuppgifter.

Ändringsförslag  116

Förslag till direktiv

Artikel 51

Kommissionens förslag

Ändringsförslag

Rätt att begära rättsmedel mot en tillsynsmyndighets beslut

Rätt att begära rättslig prövning hos en tillsynsmyndighet

1. Medlemsstaterna ska fastställa rätten till rättsmedel mot en tillsynsmyndighets beslut.

1. Medlemsstaterna ska föreskriva att varje fysisk eller juridisk person har rätt till rättslig prövning av en tillsynsmyndighets beslut som berör dem.

2. Varje registrerad ska ha rätt till ett rättsmedel som förpliktar tillsynsmyndigheten att behandla ett klagomål om ett beslut som krävs för att skydda den registrerades rättigheter inte har fattats eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 45.1 b.

2. Medlemsstaterna ska föreskriva att varje registrerad ska ha rätt till rättslig prövning som förpliktigar tillsynsmyndigheten att behandla ett klagomål i avsaknad av ett beslut som är nödvändigt för att skydda den registrerades rättigheter, eller om tillsynsmyndigheten inte inom tre månader informerar den registrerade om hur ärendet fortskrider eller vilket beslut som har fattats med anledning av klagomålet i enlighet med artikel 45.1 b.

3. Medlemsstaterna ska föreskriva att talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

3. Medlemsstaterna ska föreskriva att talan mot beslut som har fattats av en tillsynsmyndighet ska ges in vid domstolarna i den medlemsstat där tillsynsmyndigheten har sitt säte.

 

3a. Medlemsstaterna ska sörja för att de slutliga avgörandena från den domstol som avses i denna artikel verkställs.

Ändringsförslag  117

Förslag till direktiv

Artikel 52 – punkt 1a (ny)

Kommissionens förslag

Ändringsförslag

 

1a. Medlemsstaterna ska sörja för att de slutliga avgörandena från den domstol som avses i denna artikel verkställs.

Ändringsförslag  118

Förslag till direktiv

Artikel 53 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som avses i artikel 50.2 har rätt att utöva de rättigheter som anges i artiklarna 51 och 52 på uppdrag av en eller flera registrerade.

1. Medlemsstaterna ska föreskriva att varje organisation eller sammanslutning som avses i artikel 50.2 har rätt att utöva de rättigheter som anges i artiklarna 51, 52 och 54 på uppdrag av en eller flera registrerade.

Ändringsförslag  119

Förslag till direktiv

Artikel 53 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Varje tillsynsmyndighet ska ha rätt att delta i rättsliga förfaranden och väcka talan vid domstol för att säkerställa tillämpningen av de bestämmelser som antas till följd av detta direktiv eller för att garantera ett enhetligt skydd av personuppgifter i unionen.

2. Medlemsstaterna ska föreskriva att varje tillsynsmyndighet ska ha rätt att inleda rättsliga förfaranden och väcka talan vid domstol för att säkerställa tillämpningen av de bestämmelser som antas till följd av detta direktiv eller för att garantera ett enhetligt skydd av personuppgifter i unionen.

Ändringsförslag  120

Förslag till direktiv

Artikel 54 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att var och en som lidit skada till följd av en otillåten behandling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv har rätt till ersättning av den registeransvarige för denna skada.

1. Medlemsstaterna ska föreskriva att var och en som lidit skada, även ideell skada, till följd av en otillåten behandling av personuppgifter eller av någon annan åtgärd som är oförenlig med de bestämmelser som antas till följd av detta direktiv har rätt att begära ersättning av den registeransvarige eller registerföraren för denna skada.

Ändringsförslag  121

Förslag till direktiv

Artikel 55a (ny)

Kommissionens förslag

Ändringsförslag

 

Kapitel VIIIa

 

Överföring av personuppgifter till andra parter

 

Artikel 55a

 

Överföring av personuppgifter till andra myndigheter eller privata parter i unionen

 

1. Medlemsstaterna ska sörja för att den registeransvarige inte överför, eller instruerar registerföraren att överföra, personuppgifter till en fysisk eller juridisk person som inte omfattas av de bestämmelser som antas till följd av detta direktiv, såvida inte

 

a) överföringen överensstämmer med unionslagstiftningen eller nationell lagstiftning,

 

b) mottagaren är etablerad i en medlemsstat i Europeiska unionen,

 

c) inga berättigade specifika intressen för den registrerade personen hindrar överföringen, mottagaren är etablerad i en medlemsstat i Europeiska unionen, och

 

d) överföringen är nödvändig i ett visst fall för den registeransvarige som överför personuppgifterna för att

 

i) utföra en lagenligen tilldelad arbetsuppgift,

 

ii) avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

 

iii) förhindra att enskilda personers rättigheter lider allvarlig skada.

 

2. Den registeransvarige ska informera mottagaren om det ändamål för vilket personuppgifterna uteslutande får behandlas.

 

3. Den registeransvarige ska informera tillsynsmyndigheten om sådana överföringar.

 

4. Den registeransvarige ska informera mottagaren om begränsningar för uppgiftsbehandlingen och se till att dessa begränsningar iakttas.

Ändringsförslag  122

Förslag till direktiv

Artikel 56

Kommissionens förslag

Ändringsförslag

Utövande av delegering

Utövande av delegeringen

1. Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

1. Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2. Den delegering av befogenhet som avses i artikel 28.5 ska ges till kommissionen under en obegränsad tid från och med det datum då detta direktiv träder i kraft.

2. Den befogenhet att anta delegerade akter som avses i artiklarna 25a.7, 28.5, 34.3 och 34.5 ska ges till kommissionen på obestämd tid från och med det datum då detta direktiv träder i kraft.

3. Den delegering av befogenhet som avses i artikel 28.5 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan trätt i kraft.

3. Den delegering av befogenhet som avses i artiklarna 25a.7, 28.5, 34.3 och 34.5 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare datum som anges i beslutet Det påverkar inte giltigheten av delegerade akter som redan trätt i kraft.

4. Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet detta.

4. Så snart kommissionen har antagit en delegerad akt ska den underrätta Europaparlamentet och rådet om detta samtidigt.

5. En delegerad akt som antas enligt artikel 28.5 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

5. En delegerad akt som har antagits i enlighet med artiklarna 25a.7, 28.5, 34.3 och 34.5 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av sex månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet innan den perioden löper ut har meddelat kommissionen att de inte kommer att invända. Denna period ska förlängas med sex månader på Europaparlamentets eller rådets initiativ.

Ändringsförslag  123

Förslag till direktiv

Artikel 56a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 56a

 

Tidsfrist för antagande av delegerade akter

 

1. Kommissionen ska anta de delegerade akterna enligt artiklarna 25a.7 och 28.5 senast [sex månader före den dag som anges i artikel 62.1]. Kommissionen får förlänga den tidsfrist som anges i denna punkt med sex månader.

Motivering

För att säkerställa korrekt genomförande av direktivet och rättssäkerheten är det nödvändigt att de delegerade akterna beträffande anmälan av personuppgiftsbrott antas innan direktivet börjar tillämpas.

Ändringsförslag  124

Förslag till direktiv

Artikel 57 – punkt 3

Kommissionens förslag

Ändringsförslag

3. När det hänvisas till denna punkt, ska artikel 8 i förordning (EU) nr 182/2011 jämförd med artikel 5 i den förordningen tillämpas.

utgår

Ändringsförslag  125

Förslag till direktiv

Artikel 61

Kommissionens förslag

Ändringsförslag

Utvärdering

Utvärdering

1. Kommissionen ska utvärdera tillämpningen av detta direktiv.

1. Kommissionen ska efter att ha begärt ett yttrande från Europeiska dataskyddsstyrelsen utvärdera tillämpningen och genomförandet av detta direktiv. Kommissionen ska i nära samarbete med medlemsstaterna ansvara för samordningen, där förhandsanmälda och oanmälda besök ska ingå. Europaparlamentet och rådet ska hållas underrättade under hela förfarandet och få tillgång till relevanta handlingar.

2. Kommissionen ska inom tre år efter det att detta direktiv har trätt i kraft se över andra rättsakter som antagits av Europeiska unionen och som reglerar behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i synnerhet de unionsakter som avses i artikel 59, i syfte att bedöma om de behöver anpassas till detta direktiv och, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter för att slå vakt om ett enhetligt tillvägagångssätt för skydd av personuppgifter inom tillämpningsområdet för detta direktiv.

2. Kommissionen ska inom två år efter det att detta direktiv har trätt i kraft se över andra rättsakter som antagits av Europeiska unionen och som reglerar behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i synnerhet de unionsakter som avses i artikel 59 och lägga fram lämpliga förslag i syfte att garantera konsekventa och enhetliga lagbestämmelser om behöriga myndigheters behandling av personuppgifter för att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder inom tillämpningsområdet för detta direktiv.

 

2a. Kommissionen ska inom två år efter det att detta direktiv trätt i kraft lägga fram ett lämpligt förslag om översyn av det regelverk som är tillämpligt på den behandling av personuppgifter som utförs av unionens institutioner, organ och byråer, i syfte att förebygga, upptäcka, utreda eller lagföra brott eller verkställa straffrättsliga påföljder för att garantera konsekventa och enhetliga lagbestämmelser om den grundläggande rätten till skydd av personuppgifter i unionen.

3. Kommissionen ska i kraft av punkt 1 regelbundet överlämna rapporter om tillämpningen och översynen av detta direktiv till Europaparlamentet och rådet. Den första rapporten ska överlämnas senast fyra år efter det att detta direktiv träder i kraft. Därefter ska rapporter överlämnas vart fjärde år. Kommissionen ska om så krävs lägga fram lämpliga förslag om ändring av detta direktiv och om anpassning av andra rättsinstrument. Rapporten ska offentliggöras.

3. Kommissionen ska i kraft av punkt 1 regelbundet överlämna rapporter om tillämpningen och översynen av detta direktiv till Europaparlamentet och till rådet. Den första rapporten ska överlämnas senast fyra år efter det att detta direktiv träder i kraft. Därefter ska rapporter överlämnas vart fjärde år. Kommissionen ska om så krävs lägga fram lämpliga förslag om ändring av detta direktiv och om anpassning av andra rättsinstrument. Rapporten ska offentliggöras.

MOTIVERING

Bakgrund till förslaget

Föredraganden anser att ett effektivt regelverk för uppgiftsskydd i EU kan bidra stort till uppnåendet av en god uppgiftsskyddsnivå för varje enskild EU-medborgare. Innehållet i kommissionens förslag 2012/0010 (COD) har ändrats av föredraganden i syfte att höja standarden på skyddet till en liknande nivå som i den föreslagna förordningen och samtidigt ge tydliga motiveringar av de föreslagna lösningarna.

Rådets befintliga rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete erbjuder inte något samlat regelverk för brottsbekämpande och rättsliga myndigheter uppgiftsskydd vid straffrättsligt samarbete, eftersom det endast tar upp gränsöverskridande situationer och inte frågan om att bestämmelser om uppgiftsskydd förekommer parallellt i andra befintliga EU-instrument om brottsbekämpning och straffrätt.

Föredraganden är övertygad om att den snabba tekniska utvecklingen har medfört nya utmaningar för skyddet av personuppgifter. Omfattningen på datadelning och insamling av uppgifter har ökat spektakulärt. Tekniken gör det möjligt för både offentliga myndigheter, inklusive brottsbekämpande myndigheter, och privata enheter att använda personuppgifter i en omfattning som aldrig tidigare förekommit. Allt fler privatpersoner behandlar sina personliga uppgifter på ett sätt som gör att de blir tillgängliga för var och en, oberoende av plats i världen. Tekniken har omvandlat såväl ekonomin som samhällslivet.

I en globaliserad och sammankopplad värld som bygger på kommunikation på nätet, är personuppgifter tillgängliga, lagras, används och utvärderas dagligen i en omfattning som aldrig tidigare förekommit. Under de närmaste åren och decennierna måste EU besluta om hur all denna information ska utnyttjas, särskilt när det gäller den brottsförebyggande sektorn och förebyggande och bekämpning av brott utan att göra avkall på de grundläggande rättigheter och normer vi har kämpat så hårt för att utveckla. Det är en unik möjlighet att utveckla två välavvägda rättsinstrument av hög standard.

Föredraganden välkomnar starkt de insatser som kommissionen gjort för att skapa ett enhetligt regelverk för uppgiftsskydd och harmonisera de olika systemen i EU:s medlemsstater och föredraganden hoppas att även rådet kommer att fullgöra sina skyldigheter.

Föredragandens ändringsförslag

Föredraganden anser att flera specifika frågor måste klargöras ytterligare i förslaget till direktiv, bland annat följande:

Samtliga undantag från principen måste motiveras i vederbörlig ordning eftersom uppgiftsskydd är en grundläggande rättighet. Den måste skyddas likvärdigt under alla förhållanden och artikel 52 i stadgan där begränsningar medges gäller fullt ut. Dessa begränsningar måste vara ett undantag från den allmänna regeln och får inte bli själva regeln. Obegränsade, generella och breda undantag kan därför inte godtas.

En tydlig definition av principerna för uppgiftsskydd såsom inslag rörande lagring av uppgifter, insyn och kontroll av att uppgifterna är uppdaterade, korrekta, relevanta och inte onödigt omfattande. Dessutom saknas bestämmelser om att den registeransvarige ska styrka att han eller hon följer reglerna.

Varje behandling av personuppgifter måste vara laglig, korrekt och öppen i förhållande till berörda enskilda. De särskilda ändamål som uppgifterna behandlas för bör vara uttryckliga och berättigade och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vidare vara adekvata, relevanta och begränsa sig till vad som är strikt nödvändigt för de ändamål som personuppgifterna behandlas för. Personuppgifter bör endast behandlas om syftet med behandlingen inte kan uppnås genom andra medel. Enligt det föreslagna systemet ska det också säkerställas att uppgifterna inte bevaras längre än nödvändigt. Den registeransvarige ska fastställa tidsgränser för radering eller regelbunden kontroll.

Personuppgifter bör inte behandlas för ändamål som är oförenliga med det ändamål för vilket de samlades in. Att uppgifter behandlas för brottsbekämpning innebär inte nödvändigtvis att detta ändamål är förenligt med det ursprungliga ändamålet. Begreppet förenlig användning bör tolkas restriktivt.

Det är viktigt att överföring av personuppgifter till andra myndigheter eller privata parter i unionen förbjuds såvida inte överföringen är lagenlig och mottagaren är etablerad i en medlemsstat. De registrerades berättigade särskilda intressen ska inte heller förhindra överföring om den är nödvändig i ett enskilt fall för att den registeransvarige som överför uppgifterna ska kunna utföra en uppgift som lagligen tilldelats till denne eller för att avvärja en allvarlig fara för den allmänna säkerheten eller allvarlig skada för enskildas rättigheter. Den registeransvarige ska informera mottagaren om ändamålet med behandlingen och tillsynsmyndigheten om överföringen. Mottagaren ska även informeras om begränsningar för behandlingen och se till att dessa iakttas.

Ett utvärderingssystem saknas för att korrekt utvärdera behov och proportionalitet. Det är mycket viktigt att utvärdera frågan om vissa uppgifter som behandlas alls behövs och uppfyller sitt syfte. En sådan utvärdering skulle dessutom hindra att ett slags ”orwellskt” samhälle inrättas där i slutändan alla uppgifter behandlas och analyseras. Insamlingen av uppgifter måste vara nödvändig för att motivera ett mål, med beaktande av att målet inte kan uppnås på andra sätt och att kärnan i den enskildas privata sfär är välbevarad. Proportionalitet är också förbundet med frågan om att återanvända uppgifter för ett annat syfte än de ursprungligen rättmätigt behandlades för, i syfte att förhindra en allmän profilering av befolkningen.

Den registeransvarige eller registerföraren bör före behandlingen göra en konsekvensbedömning avseende uppgiftsskydd, som främst bör innefatta planerade åtgärder, skyddsåtgärder och rutiner för att säkerställa personuppgiftsskyddet och styrka att detta direktiv efterlevs. Konsekvensbedömningar bör avse relevanta system och processer för behandling av personuppgifter, inte enskilda fall. Om en konsekvensbedömning av uppgiftsskyddet visar att behandlingen sannolikt medför en hög grad av särskilda risker för de registrerades rättigheter och friheter, bör tillsynsmyndigheten dessutom ha möjlighet att innan den inleds förhindra en riskabel behandling som inte är förenlig med detta direktiv och lämna förslag på hur situationen bör avhjälpas. Denna typ av samråd bör även ske som ett led i det nationella parlamentets förberedande arbete med en åtgärd eller som ett led i arbetet med en åtgärd som grundas på en sådan lagstiftande åtgärd som definierar behandlingens karaktär och anger lämpliga skyddsåtgärder.

Det saknades en tydlig definition av profilering. Varje sådan definition bör överensstämma med Europarådets rekommendation CM/Rec(2010)13. Profilering vid brottsbekämpning måste föreskrivas i lagstiftningen, och innehålla åtgärder för att trygga de registrerade personernas berättigade intressen, särskilt genom att tillåta att de framför sin uppfattning. Eventuella negativa konsekvenser måste bedömas genom mänsklig inblandning. Samtidigt ska inte profilering bli en boxningsring för enbart oskyldiga personer utan någon motiverad personlig utlösande faktor – det får inte leda till den så kallade allmänna Rasterfahndung.

Det föreslagna systemet för att överföra personuppgifter till tredjeländer var svagt och tillhandahåller inte alla de skyddsåtgärder som krävs för att garantera skydd av rättigheter för enskilda vars uppgifter ska överföras. Systemet erbjuder ett sämre skydd än den föreslagna förordningen. Kommissionens förslag medger exempelvis överföring till en myndighet i ett tredjeland eller en internationell organisation som inte är behörig för brottsbekämpning. När överföringen bygger på den registeransvariges bedömning (artikel 35.1 b) kan direktivet dessutom medge omfattande överföringar av hela partier av personuppgifter.

Det är ytterst viktigt att i de fall då det inte finns några grunder för att tillåta överföring, undantag medges om det är nödvändigt för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person, eller för att skydda den registrerades berättigade intressen. Undantagen, t.ex. för en medlemsstats eller ett tredjelands allmänna säkerhet, bör tolkas restriktivt och inte möjliggöra ofta förekommande, omfattande och strukturell överföring av personuppgifter och bör inte tillåta storskalig överföring av uppgifter utan begränsas till uppgifter som är strikt nödvändiga. Beslutet om överföringen bör vidare fattas av en vederbörligen bemyndigad person och överföringen måste dokumenteras och på begäran göras tillgänglig för tillsynsmyndigheten för övervakning av att överföringen är laglig.

Befogenheterna för de tillsynsmyndigheter som övervakar efterlevnaden av bestämmelserna om uppgiftsskydd var inte lämpligt definierade. Jämfört med den föreslagna förordningen var tillsynsmyndigheternas befogenheter mindre tydliga. Det var inte uppenbart att dessa tillsynsmyndigheter kan få tillträde till den registeransvariges lokaler, såsom anges i förordningen. Sanktioner och genomförandeåtgärder föreföll också vara mindre exakta.

En ny artikel har införts om genetiska uppgifter. Behandling av genetiska uppgifter bör endast vara tillåten om det finns ett genetiskt samband som framkommer under en brottsutredning eller ett rättsligt förfarande. Genetiska uppgifter bör endast lagras så länge som det är strikt nödvändigt för ändamålet med en sådan utredning eller ett sådant förfarande, samtidigt som medlemsstaterna kan föreskriva längre lagring enligt de villkor som anges i detta direktiv.

Föredraganden anser att det föreslagna direktivet i många avseenden inte uppfyllde kraven på en hög nivå för uppgiftsskyddet, som kommissionen beskrev som ”av avgörande betydelse” (se skäl 7), och att det inte var inte rättsligt anpassat till bestämmelserna i den föreslagna förordningen. Han anser dessutom att det är av största vikt att de båda rättsinstrumenten (förordningen om uppgiftsskydd och direktivet) betraktas som ett paket när det gäller tidsplanen och det slutliga antagandet.

Efter en period då de brottsbekämpande myndigheterna har varit tvungna att anpassa nivån på uppgiftsskyddet efter den situation de hade att göra med (intern eller gränsöverskridande situation, Prüm, Europol, Eurojust), kan till sist ett hållbart och sammanhängande instrument ge rättssäkerhet och samtidigt vara internationellt konkurrenskraftigt och en förebild för uppgiftsskydd under 2000-talet.

YTTRANDE från utskottet för rättsliga frågor (16.4.2013)

till utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor

över förslaget till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter
(COM(2012)0010 – C7‑0024/2012 – 2012/0010(COD))

Föredragande: Axel Voss

KORTFATTAD MOTIVERING

EU gör rätt i att utarbeta en omfattande, enhetlig och modern ram för ett uppgiftsskydd på hög nivå. Det finns många utmaningar i samband med uppgiftsskydd, t.ex. globaliseringen, den tekniska utvecklingen, ökad internetverksamhet, användning i samband med ständigt växande brottslighet och säkerhetsproblem.

Därför måste man inom ramen för tillämpliga EU-bestämmelser (artikel 16 i EUF-fördraget och artikel 8 om rätten till skydd av personuppgifter i Europeiska unionens stadga om de grundläggande rättigheterna) kunna garantera enskilda individers rättssäkerhet och värna om förtroendet för den registeransvarige och i synnerhet för de brottsbekämpande myndigheterna. I annat fall kan överträdelser av bestämmelserna om uppgiftsskydd leda till allvarliga risker för den enskildes grundläggande rättigheter och friheter och för medlemsstaternas normer.

Europaparlamentet har därför också alltid utgått från att den grundläggande rättigheten till uppgiftsskydd och till integritet även omfattar att skydda enskilda individer mot eventuell övervakning och missbruk av personuppgifter från statens sida. Det är alltså en logisk följd att kommissionen även föreslår ett direktiv om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter, och föredraganden välkomnar i princip förslaget.

När det gäller att utreda brott och verkställa straffrättsliga påföljder måste uppgiftsskyddet emellertid anpassas till andra rättsstatliga villkor som har att göra med statens våldsmonopol. När det gäller att avvärja hot, åstadkomma och garantera allmän säkerhet samt reda ut brott och verkställa straffrättsliga påföljder måste bestämmelserna om uppgiftsskydd anpassas till respektive stats uppgifter och garantera att staten kan fortsätta att effektivt fullgöra dessa uppgifter för alla medborgares bästa.

EU-lagstiftningen om uppgiftsskydd karaktäriseras i allmänhet av olika behörigheter: Inom den före detta första pelaren finns en mycket utpräglad behörighet som kan härledas till den inre marknaden. Inom den före detta tredje pelaren står inte unionens behörighet utan i stället samarbete i förgrunden. Därför var även här rambeslut 2008/977/RIF det mest långtgående instrumentet för att fastställa miniminivån.

Dessutom har EU-medlemsstaternas rättstraditioner under århundraden utvecklats i helt skilda riktningar just inom polissamarbetet och det straffrättsliga samarbetet, och det är därför lämpligt att gå försiktigt fram på detta känsliga område och endast steg för steg införa EU-bestämmelser som ändrar de etablerade nationella strukturerna och traditionerna.

När det gäller tillämpningsområdet för artikel 16 i EUF-fördraget finns en motstridighet i EU:s lagstiftning om uppgiftsskydd som ännu inte är utredd genom beslut i högsta rättsinstans. Detta skapar rättsosäkerhet och bör enligt föredraganden hanteras på ett pragmatiskt sätt. Problemet kan sammanfattas enligt följande:

Kommissionens förslag till direktiv omfattar även utbyte av uppgifter som sker inom en medlemsstat, men artikel 16.2 i EUF-fördraget tar endast upp en behörighet inom unionslagstiftningens tillämpningsområde. Inomstatlig uppgiftsbehandling på det polisiära området kan inte ingå i denna behörighet (artikel 87 i EUF-fördraget).

Utmärkande för uppgiftsskyddet är att det har horisontell direkt effekt och lämpar sig för sådana områden som inte är EU:s exklusiva behörighet och därmed eventuellt också kan strida mot subsidiaritetsprincipen.

Föredraganden anser av de skäl som anges ovan att direktivet åtminstone bör innehålla minimistandarder. På så vis blir frågan om ”enbart gränsöverskridande” eller ”även inomstatligt” uppgiftsskydd i praktiken ovidkommande, och man kan utan vidare bibehålla ett uppgiftsskydd på hög nivå.

För att också behålla balansen i förhållande till uppgiftsskyddet som grundläggande rättighet måste man å andra sidan stärka den enskildes rättigheter och klargöra detta i direktivet. Principerna om öppenhet och kontroll måste förankras men får inte motverka syftet att avvärja hot och verkställa straffrättsliga påföljder.

För att åstadkomma denna balans mellan att å ena sidan bevara våldsmonopolet, garantera allmän säkerhet och ordning och den enskildes integritet och å andra sidan garantera rätten till uppgiftsskydd anser föredraganden att det krävs följande ändringar:

Kapitel I

 Avvärjande av hot bör ingå i tillämpningsområdet (artikel 1).

 Medlemsstaterna bör ha tydlig rätt att införa strängare standarder (artikel 1). Direktivet syftar inte till harmonisering utan till att fastställa minimistandarder.

 Tillämpningsområdet bör utökas så att det omfattar unionens institutioner, organ och byråer (artikel 2).

Kapitel II

 Texten i det viktiga avsnittet om principer om behandling av personuppgifter bör anpassas till den allmänna uppgiftsskyddsförordningen. Dessa principer bör vara förenliga med varandra med tanke på att de ska ingå i ett paket (artikel 4).

 Artikel 5 bör tas bort, eftersom den leder till ökad byråkrati och ökade kostnader för medlemsstaterna samtidigt som det saknas bestämmelser om rättsföljderna.

 Begränsning av syftet med uppgiftsbehandling är en viktig princip för uppgiftsskyddet. Det bör ske en genomgripande översyn av artiklarna 6 och 7, och dessa bör utökas i linje med rambeslut 2008/977/RIF (häri: artikel 8 om uppgifters riktighet, artikel 3 om begränsning av ändamål och artikel 13 om begränsning av ändamålet med överföring av personuppgifter från en annan medlemsstat).

Kapitel III

Ändringarna i kapitel III handlar om kravet på att vara personligen berörd och individens begäran om tillgång till lagrade uppgifter.

 Möjligheten att begränsa rätten till tillgång (artikel 12) bör begränsas till enskilda fall med särskild prövning, vilket stärker individens rättigheter.

 Rätten till information, vid den tidpunkt när personuppgifterna erhålls utan att den registrerade begärt detta, bör respektive medlemsstat reglera i sin lagstiftning.

 Rätten till radering och rättelse bör ses över i texten och stärkas. Man bör dock samtidigt införa vissa undantag för rätten till radering, t.ex. lagstadgad skyldighet att bevara uppgifter.

Kapitel IV

 Artikel 20 om gemensamma registeransvariga bör tas bort, eftersom den ger uppgiftsskyddet en lägre standard. Gentemot tredje part bör de båda registeransvariga ha gemensamt ansvar till förmån för den registrerade.

 Artikel 23 om dokumentation bör skärpas på grundval av artikel 10 i rambeslut 2008/977/RIF. Som en följd av detta utgår artikel 24 om registerföring.

 Artikel 27 om datasäkerhet bör anpassas till texten i artikel 22 i rambeslutet.

 Föregående samråd bör införas på nytt genom artikel 28a, som härrör från artikel 23 i rambeslut 2008/977/RIF.

 Anmälan av ett personuppgiftsbrott bör endast ske till tillsynsmyndigheten och inte till den berörda registrerade (artiklarna 28 och 29).

Kapitel V

 I artikel 35b bör man införa de särskilda bestämmelser ur artikel 13 i rambeslutet som rör hantering av uppgifter som överförts från andra medlemsstater.

 Artikel 36 bör formuleras om. I strikt begränsade enskilda fall när syftet är att skydda sådana värden som människors liv och hälsa måste det vara möjligt att på ytterst stränga villkor överföra personuppgifter till tredjeländer, även om man gör bedömningen att tredjelandet saknar adekvat skydd för uppgifterna.

Kapitel VIII

 Artikel 50 om organisationers och sammanslutningars rätt att lämna in klagomål tas bort. Ett giltigt klagomål måste uppfylla villkoren att den klagande är personligen berörd och att det är ett enskilt fall.

Delegerade akter och genomförandeakter

 Det behövs ändringar i kommissionens förslag som ger enhetliga föreskrifter för utfärdande av delegerade akter och genomförandeakter, så att inga behörigheter hamnar mellan stolarna. På samma sätt som när det gäller de planerade ändringarna av förslaget till allmän uppgiftsskyddsförordning (COM(2012)0011), är det i detta fall lämpligast med delegerade rättsakter eller att överlåta befogenheten åt de enskilda medlemsstaterna.

Utomobligatoriskt ansvar

 Det finns en risk för att kommissionen fattar fel beslut vid bedömningen av om ett tredjeland eller en internationell organisation har en adekvat uppgiftsskyddsnivå eller inte, och att detta ger upphov till skador. Detta bör tas upp i direktivet.

ÄNDRINGSFÖRSLAG

Utskottet för rättsliga frågor uppmanar utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor att som ansvarigt utskott infoga följande ändringsförslag i sitt betänkande:

Ändringsförslag  1

Förslag till direktiv

Skäl 7

Kommissionens förslag

Ändringsförslag

(7) Att garantera en enhetlig och hög nivå på skyddet av enskildas personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete. Därför måste skyddet av enskildas fri- och rättigheter i samband med behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder vara likvärdigt i alla medlemsstater. Ett effektivt skydd av personuppgifter i hela unionen förutsätter att de registrerades rättigheter stärks och att skyldigheterna för dem som behandlar sådana uppgifter klargörs, men också likvärdiga befogenheter för de myndigheter och organ som har ansvaret för att övervaka och säkerställa efterlevnaden av bestämmelserna om skydd av personuppgifter i medlemsstaterna.

(7) Att garantera en enhetlig och hög nivå på skyddet av enskildas personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete. Därför måste det i alla medlemsstater finnas minimistandarder för behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

Ändringsförslag  2

Förslag till direktiv

Skäl 15

Kommissionens förslag

Ändringsförslag

(15) Skyddet av enskilda bör vara tekniskt neutralt, det vill säga inte vara beroende av den teknik som används, eftersom detta skulle skapa en allvarlig risk för att reglerna kringgås. Skyddet av enskilda bör vara tillämpligt på både automatisk och manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter, liksom deras omslag, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av detta direktiv. Detta direktiv bör inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, särskilt verksamhet som rör nationell säkerhet, eller av uppgifter som behandlats av unionens institutioner, organ och byråer, t.ex. Europol eller Eurojust.

(15) Skyddet av enskilda bör vara tekniskt neutralt, det vill säga inte vara beroende av den teknik som används, eftersom detta skulle skapa en allvarlig risk för att reglerna kringgås. Skyddet av enskilda bör vara tillämpligt på både automatisk och manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter, liksom deras omslag, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av detta direktiv. Detta direktiv bör inte tillämpas på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, särskilt verksamhet som rör nationell säkerhet.

Ändringsförslag  3

Förslag till direktiv

Skäl 16

Kommissionens förslag

Ändringsförslag

(16) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Vid bedömningen av om en fysisk person är identifierbar bör man ta hänsyn till alla hjälpmedel som den registeransvarige eller någon annan person rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar.

(16) Principerna för skyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Vid bedömningen av om en fysisk person är identifierbar bör man ta hänsyn till alla hjälpmedel som den registeransvarige eller någon annan person som samarbetar med den registeransvarige rimligen kan komma att använda för att identifiera vederbörande. Skyddsprinciperna bör inte gälla för uppgifter som gjorts anonyma på ett sådant sätt att den registrerade inte längre är identifierbar.

Ändringsförslag  4

Förslag till direktiv

Skäl 23

Kommissionens förslag

Ändringsförslag

(23) Behandling av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete innebär av naturliga skäl att personuppgifter om olika kategorier av registrerade behandlas. Därför är det viktigt att i möjligaste mån göra en klar åtskillnad mellan personuppgifter om olika kategorier av registrerade, t.ex. brottsmisstänkta, brottsdömda och brottsoffer samt andra som berörs av ett brottmål, t.ex. vittnen, personer med relevant information eller personer med kontakter eller band till brottsmisstänkta och brottsdömda.

utgår

Ändringsförslag  5

Förslag till direktiv

Skäl 24

Kommissionens förslag

Ändringsförslag

(24) Personuppgifter bör i möjligaste mån delas in efter grad av riktighet och tillförlitlighet. Sakförhållanden bör hållas isär från personliga bedömningar, så att det blir möjligt att garantera såväl skydd för enskilda personer som kvalitet och tillförlitlighet i den information som behandlas av behöriga myndigheter.

utgår

Ändringsförslag  6

Förslag till direktiv

Skäl 43

Kommissionens förslag

Ändringsförslag

(43) När närmare bestämmelser fastställs för tillämpliga format och förfaranden för anmälan av personuppgiftsbrott bör vederbörlig hänsyn tas till omständigheterna kring brottet, däribland om personuppgifterna var omgärdade av lämpligt tekniskt skydd som betydligt begränsade sannolikheten för missbruk. Bestämmelserna och förfarandena bör dessutom beakta behöriga myndigheters berättigade intressen i fall där ett tidigt utlämnande kan riskera att i onödan hämma utredningen av omständigheterna kring ett brott.

utgår

Ändringsförslag  7

Förslag till direktiv

Skäl 45

Kommissionens förslag

Ändringsförslag

(45) Medlemsstaterna bör se till att överföringar till ett tredjeland endast kan äga rum om detta är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott eller för att verkställa straffrättsliga påföljder, och den registeransvarige i tredjelandet eller den internationella organisationen är en myndighet som är behörig i den mening som avses i detta direktiv. En överföring kan äga rum när kommissionen har beslutat att skyddsnivån i ett tredjeland eller en internationell organisation är adekvat, eller när lämpliga skyddsåtgärder föreligger.

(45) Medlemsstaterna bör se till att överföringar till ett tredjeland endast kan äga rum om detta är nödvändigt för att förebygga, utreda, avslöja eller lagföra brott eller för att verkställa straffrättsliga påföljder, och den registeransvarige i tredjelandet eller den internationella organisationen är en myndighet som är behörig i den mening som avses i detta direktiv.

Ändringsförslag  8

Förslag till direktiv

Skäl 55

Kommissionens förslag

Ändringsförslag

(55) Detta direktiv är visserligen tillämpligt på nationella domstolars verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter i domstolar när detta sker som en del av domstolarnas dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga arbetsuppgifter. Detta undantag bör dock vara inskränkt till genuint rättsliga verksamheter i domstolsmål och inte vara tillämpligt på övriga verksamheter där domare i enlighet med nationell lagstiftning kan medverka.

(55) Detta direktiv är visserligen tillämpligt på nationella domstolars verksamheter, men tillsynsmyndigheterna bör inte ha behörighet att övervaka behandling av personuppgifter i domstolar när detta sker som en del av domstolarnas dömande verksamhet. Syftet är att garantera domarnas oberoende när de utför sina rättsliga arbetsuppgifter.

Ändringsförslag  9

Förslag till direktiv

Skäl 70

Kommissionens förslag

Ändringsförslag

(70) Eftersom målen för detta direktiv, nämligen att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd av personuppgifter, och för att säkerställa ett fritt utbyte av personuppgifter mellan behöriga myndigheter inom unionen, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och de därför, på grund av åtgärdens omfattning eller verkningar, bättre kan uppnås på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå det målet.

utgår

Ändringsförslag  10

Förslag till direktiv

Skäl 73

Kommissionens förslag

Ändringsförslag

(73) För att säkerställa ett övergripande och enhetligt skydd av personuppgifter i unionen, bör internationella avtal som medlemsstaterna ingått före ikraftträdandet av detta direktiv ändras så att de överensstämmer med detta direktiv.

utgår

Ändringsförslag  11

Förslag till direktiv

Artikel 1 – punkt 1

Kommissionens förslag

Ändringsförslag

1. I detta direktiv fastställs bestämmelser om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

1. I detta direktiv fastställs bestämmelser om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att avvärja hot, utreda, avslöja eller lagföra brott och verkställa straffrättsliga påföljder.

Motivering

När det gäller polisens förebyggande arbete finns det svårigheter att avgränsa direktivets och förordningens tillämpningsområde. Om det hot som ska avvärjas inte är straffbart och polisen alltså inte förebygger något brott i den mening som avses i artikel 1.1 i förslaget till direktiv, är direktivet inte tillämpligt (exempelvis register över saknade personer eller personer som begått självmord). Föreskrifterna i den allmänna uppgiftsskyddsförordningen är direkt olämpliga för avvärjande av hot.

Ändringsförslag  12

Förslag till direktiv

Artikel 1 – punkt 2 – inledningen

Kommissionens förslag

Ändringsförslag

2. Enligt detta direktiv ska medlemsstaterna

2. Minimistandarderna i detta direktiv utgör inget hinder för medlemsstaterna i fråga om att behålla eller införa strängare bestämmelser för skydd av personuppgifter.

Motivering

Direktivet ska syfta till att utarbeta en EU-omfattande minimistandard för uppgiftsskyddet och inte till att ersätta medlemsstaternas befintliga regelverk. Det måste därför uttryckligen anges att medlemsstaterna får införa strängare bestämmelser.

Ändringsförslag  13

Förslag till direktiv

Artikel 1 – punkt 2 – led b

Kommissionens förslag

Ändringsförslag

b) se till att behöriga myndigheters utbyte av personuppgifter inom unionen varken begränsas eller förbjuds av skäl som rör skyddet för enskilda personer med avseende på behandlingen av personuppgifter.

utgår

Ändringsförslag  14

Förslag till direktiv

Artikel 2 – punkt 3 – led b

Kommissionens förslag

Ändringsförslag

b) som utförs av unionens institutioner, organ och byråer.

utgår

Motivering

EU:s institutioner och myndigheter bör också omfattas av direktivet.

Ändringsförslag  15

Förslag till direktiv

Artikel 3 – led 1

Kommissionens förslag

Ändringsförslag

(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

(1) den registrerade: en fysisk person som är direkt eller indirekt identifierad eller identifierbar, med medel som rimligen kan komma att användas av den registeransvarige eller av någon annan fysisk eller juridisk person som samarbetar med den registeransvarige, framför allt med hänvisning till ett identifikationsnummer, en lokaliseringsuppgift eller online-identifikatorer, eller till en eller fler faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

Ändringsförslag  16

Förslag till direktiv

Artikel 3 – led 9a (nytt)

Kommissionens förslag

Ändringsförslag

 

(9a) den registrerades samtycke: varje slag av frivillig, specifik, informerad och uttrycklig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig affirmativ handling, godtar behandling av personuppgifter som rör honom eller henne.

Motivering

Ändringsförslaget ger en tydligare avgränsning av den registrerades samtycke. Även om medborgare och stat i princip inte kan ha en jämbördig ställning kan det i ett enskilt fall vara motiverat att tillämpa samtycke, t.ex. vid masstest av DNA.

Ändringsförslag  17

Förslag till direktiv

Artikel 3 – led 14

Kommissionens förslag

Ändringsförslag

(14) behöriga myndigheter: varje offentlig myndighet med behörighet att förebygga, utreda, avslöja eller lagföra brott eller att verkställa straffrättsliga påföljder.

(14) behöriga myndigheter: varje offentlig myndighet med behörighet att avvärja hot, utreda, avslöja eller lagföra brott eller att verkställa straffrättsliga påföljder, inbegripet Europeiska unionens institutioner, organ och byråer.

Ändringsförslag  18

Förslag till direktiv

Artikel 4 – led a

Kommissionens förslag

Ändringsförslag

a) behandlas på ett korrekt och lagligt sätt,

a) behandlas på ett lagligt, korrekt, öppet och kontrollerbart sätt i förhållande till den registrerade,

Ändringsförslag  19

Förslag till direktiv

Artikel 4 – led c

Kommissionens förslag

Ändringsförslag

c) vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas,

c) vara adekvata, relevanta och begränsade till vad som är absolut nödvändigt i förhållande till de syften för vilka de behandlas; de får behandlas endast om avidentifierad behandling inte är tillräcklig för de respektive syftena och i den mån syftena inte skulle kunna uppnås genom att man behandlar information som inte rör personuppgifter,

Ändringsförslag  20

Förslag till direktiv

Artikel 4 – led e

Kommissionens förslag

Ändringsförslag

e) förvaras i en form som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas,

(Berör inte den svenska versionen.)

Motivering

(Berör inte den svenska versionen.)

Ändringsförslag  21

Förslag till direktiv

Artikel 4 – led f

Kommissionens förslag

Ändringsförslag

f) behandlas under ansvar av den registeransvarige, som ska se till att kraven i de bestämmelser som antas i enlighet med detta direktiv uppfylls.

f) endast få behandlas och användas av behörig personal vid behöriga myndigheter inom ramen för utövandet av deras uppgifter.

Ändringsförslag  22

Förslag till direktiv

Artikel 4 – led f

Kommissionens förslag

Ändringsförslag

f) behandlas under ansvar av den registeransvarige, som ska se till att kraven i de bestämmelser som antas i enlighet med detta direktiv uppfylls.

f) behandlas under ansvar av den registeransvarige, som ska se till och visa att kraven i de bestämmelser som antas i enlighet med detta direktiv uppfylls.

Ändringsförslag  23

Förslag till direktiv

Artikel 5 – punkt 1a (ny)

Kommissionens förslag

Ändringsförslag

 

1a. Medlemsstaterna får, så långt som möjligt, tillhandahålla särskilda bestämmelser om kategorisering av uppgifter, inklusive de respektive följderna, med beaktande av de olika syften för vilka uppgifterna samlas in, däribland villkoren för uppgiftsinsamlingen, tidsgränser för lagring, eventuella begränsningar av den registrerades rätt till tillgång och information samt villkoren för de behöriga myndigheternas tillgång till uppgifter.

Ändringsförslag  24

Förslag till direktiv

Artikel 6 – rubriken

Kommissionens förslag

Ändringsförslag

Olika grader av korrekthet och tillförlitlighet hos personuppgifter

Uppgifters korrekthet

Ändringsförslag  25

Förslag till direktiv

Artikel 6 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska se till att de olika kategorier av personuppgifter som behandlas, så långt det är möjligt, åtskiljs i enlighet med deras korrekthets- och tillförlitlighetsgrad.

1. De behöriga myndigheterna ska se till att personuppgifter så långt det är möjligt är korrekta och fullständiga och om nödvändigt hålls aktuella.

Ändringsförslag  26

Förslag till direktiv

Artikel 6 – punkt 2 och punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

2. Medlemsstaterna ska se till att personuppgifter som grundar sig på fakta så långt det är möjligt åtskiljs från personuppgifter som grundar sig på personliga bedömningar.

2. De behöriga myndigheterna ska se till att personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. De behöriga myndigheterna ska därför i görligaste mån kontrollera kvaliteten på personuppgifterna innan dessa överförs eller görs tillgängliga. Vid all överföring av uppgifter ska, så långt det är möjligt, sådan tillgänglig information läggas till som gör att den mottagande medlemsstaten kan bedöma graden av riktighet, fullständighet, aktualitet och tillförlitlighet. Om personuppgifter överförs utan att någon begäran har gjorts ska den mottagande myndigheten utan dröjsmål bedöma huruvida dessa uppgifter är nödvändiga för det ändamål som låg till grund för överföringen.

 

2a. Om det visar sig att felaktiga uppgifter har överförts eller att uppgifter olovligen har överförts ska mottagaren omedelbart underrättas om detta. Mottagaren ska ofördröjligen rätta uppgifterna i enlighet med punkt 1 och artikel 15 eller radera dem i enlighet med artikel 16.

Motivering

Ändringsförslaget grundar sig på artikel 8 i rambeslut 2008/977/RIF och innebär ett förbud mot att överföra felaktiga uppgifter.

Ändringsförslag  27

Förslag till direktiv

Artikel 7a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 7a

 

När personuppgifter får behandlas och för vilka ändamål

 

1. Behandling av personuppgifter får endast ske i enlighet med följande principer.

 

2. De behöriga myndigheterna får inom ramen för sina uppgifter samla in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Berättigade ändamål för insamling av personuppgifter är framför allt

 

a) för att en behörig myndighet ska utföra en lagstadgad arbetsuppgift för de ändamål som anges i artikel 1.1,

 

b) för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige,

 

c) för att skydda den registrerades legitima intressen,

 

d) för att skydda en annan persons legitima intressen, såvida inte den registrerades legitima intresse av att personuppgifterna inte behandlas väger tyngre,

 

e) för att avvärja ett hot mot den allmänna säkerheten.

 

3. Behandlingen av personuppgifterna måste vara rimlig i förhållande till det ändamål för vilket de samlades in. Ytterligare behandling för ett annat ändamål är tillåten under förutsättning att

 

a) ändamålet är lagenligt (punkt 2),

 

b) denna behandling är nödvändig för detta andra ändamål,

 

c) denna behandling inte är oförenlig med det ändamål för vilket uppgifterna samlades in.

 

4. För historiska, statistiska eller vetenskapliga ändamål får de överförda personuppgifterna behandlas vidare med avvikelse från punkt 3, under förutsättning att medlemsstaterna föreskriver lämpliga säkerhetsåtgärder, såsom avidentifiering av uppgifterna.

Ändringsförslag  28

Förslag till direktiv

Artikel 7b (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 7b

 

Specifika förhållanden avseende personuppgifter från andra medlemsstater

 

För personuppgifter som överförts eller gjorts tillgängliga av den behöriga myndigheten i en annan medlemsstat ska följande beaktas utöver de allmänna principerna:

 

1. Personuppgifter får endast överföras till en privat part om

 

a) den behöriga myndigheten i den medlemsstat från vilken uppgifterna erhållits har samtyckt till överföring i enlighet med sin nationella lagstiftning,

 

b) inga legitima specifika intressen för den registrerade personen hindrar överföringen, och

 

c) överföringen i särskilda fall är absolut nödvändig för den behöriga myndighet som översänder uppgifterna till en privat part för att denna ska kunna

 

i) utföra en uppgift den lagenligt tilldelats,

 

ii) förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,

 

iii) avvärja en omedelbar och allvarlig fara för den allmänna säkerheten, eller

 

iv) förhindra att enskilda personers rättigheter lider allvarlig skada.

 

Den behöriga myndighet som överför uppgifterna till en privat part ska underrätta denna om för vilka ändamål uppgifterna uteslutande får användas.

 

2. Personuppgifterna får, i enlighet med kraven i artikel 7.3, endast vidarebehandlas för följande ändamål, utöver dem för vilka de överfördes eller gjordes tillgängliga:

 

a) För att förebygga, utreda, avslöja eller lagföra andra brott eller verkställa andra straffrättsliga påföljder än dem för vilka uppgifterna överfördes eller gjordes tillgängliga.

 

b) För andra rättsliga eller administrativa förfaranden med direkt anknytning till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställighet av straffrättsliga påföljder.

 

c) För att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten.

 

d) För varje annat syfte endast med förhandsmedgivande från den översändande medlemsstaten eller med den registrerades samtycke som givits i överensstämmelse med nationell lagstiftning.

 

Artikel 7.4 påverkas inte.

 

3. Om det, enligt den överförande medlemsstatens nationella lagstiftning, under särskilda omständigheter gäller särskilda begränsningar i fråga om utbyte av uppgifter mellan behöriga myndigheter inom den medlemsstaten, ska den överförande myndigheten informera mottagaren om dessa begränsningar. Mottagaren ska se till att dessa begränsningar för behandlingen följs.

Motivering

Ändringsförslaget grundar sig på bestämmelserna i artikel 13 i rambeslut 2008/977/RIF om behandling av uppgifter som överförts från andra medlemsstater. Bestämmelserna ger ett särskilt skydd för dessa uppgifter. Artikel 7a ska samtidigt skydda den medlemsstat som uppgifterna kommer från och skapar därmed den tillit som krävs till att utbyte av uppgifter inom EU inte medför att uppgifterna behandlas godtyckligt i den mottagande medlemsstaten.

Ändringsförslag  29

Förslag till direktiv

Artikel 7c (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 7c

 

Fastställande av tidsfrister för radering och kontroll

 

För radering av personuppgifter eller en regelbunden kontroll av nödvändigheten av lagringen av uppgifterna ska lämpliga tidsfrister fastställas. Genom föreskrifter om förfarandena ska det garanteras att tidsfristerna efterlevs.

Motivering

Tillägget är ordagrant hämtat från artikel 5 i rambeslut 2008/977/RIF.

Ändringsförslag  30

Förslag till direktiv

Artikel 8

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter eller uppgifter om hälsa eller sexualliv.

Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv får endast förekomma när

2. Punkt 1 ska inte gälla om

 

(a) behandlingen godkänns av lagstiftning med bestämmelser om lämpliga skyddsåtgärder, eller

a) behandlingen är absolut nödvändig och godkänns av lagstiftning med bestämmelser om lämpliga skyddsåtgärder, eller

(b) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

b) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan person, eller

(c) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

c) behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

Motivering

Artikeln har omformulerats med utgångspunkt i artikel 6 i rambeslut 2008/977/RIF. Även om den rent systematiskt avviker från förbudsprincipen i kommissionens förslag till direktiv, kvarstår regeln att känsliga uppgifter endast får behandlas på strikta villkor. Med tanke på DNA-spårens stora betydelse har kommissionens förslag om ett grundläggande förbud mot behandling av genetiska uppgifter strukits.

Ändringsförslag  31

Förslag till direktiv

Artikel 9 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att åtgärder som har negativa rättsliga följder för den registrerade eller som väsentligt berör honom eller henne och som enbart grundas på en automatisk behandling av uppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska förbjudas om åtgärderna inte godkänns av lagstiftning som också innehåller bestämmelser till skydd för den registrerades berättigade intressen.

1. Åtgärder som har negativa rättsliga följder för den registrerade eller som väsentligt berör honom eller henne och som enbart grundas på en automatisk behandling av uppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska vara tillåtna endast om åtgärderna godkänns av lagstiftning som också innehåller bestämmelser till skydd för den registrerades legitima intressen.

Motivering

Ändringsförslaget grundar sig på ordalydelsen i artikel 7 i rambeslut 2008/977/RIF. Profilering bör även i fortsättningen endast vara tillåtet på strikta villkor, även om förbudsprincipen frångås.

Ändringsförslag  32

Förslag till direktiv

Artikel 9 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Automatisk behandling av personuppgifter som är avsedd att bedöma vissa personliga egenskaper hos den registrerade ska inte grunda sig enbart på de särskilda kategorier av personuppgifter som anges i artikel 8.

utgår

Motivering

Punkt 2 skulle vara enkel att kringgå, vilket kan leda till synnerligen omfattande profilering.

Ändringsförslag  33

Förslag till direktiv

Artikel 10 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att den registeransvarige ska vidta alla rimliga åtgärder för att ha en klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

1. Medlemsstaterna ska föreskriva att den registeransvarige ska vidta lämpliga och rimliga åtgärder för att ha en klar och tydlig och lätt tillgänglig policy för behandlingen av personuppgifter och för utövandet av den registrerades rättigheter.

Ändringsförslag  34

Förslag till direktiv

Artikel 10 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Medlemsstaterna ska föreskriva att all information och kommunikation som rör behandlingen av personuppgifter ska tillhandahållas av den registeransvarige till den registrerade i en begriplig form, med användning av klart och tydligt språk.

2. Medlemsstaterna ska föreskriva att all information och kommunikation som rör behandlingen av personuppgifter ska tillhandahållas av den registeransvarige till den registrerade i en begriplig form, med användning av ett så klart och tydligt språk som möjligt.

Ändringsförslag  35

Förslag till direktiv

Artikel 10 – punkt 4

Kommissionens förslag

Ändringsförslag

4. Medlemsstaterna ska föreskriva att den registeransvarige ska informera den registrerade om uppföljningen av hans eller hennes begäran utan onödigt dröjsmål.

utgår

Ändringsförslag  36

Förslag till direktiv

Artikel 12 – punkt 1 – led a (nytt)

Kommissionens förslag

Ändringsförslag

 

a) Alla personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer.

Ändringsförslag  37

Förslag till direktiv

Artikel 12 – punkt 1 – led g

Kommissionens förslag

Ändringsförslag

g) Information om vilka personuppgifter som behandlas och all tillgänglig information om varifrån dessa uppgifter kommer.

utgår

Motivering

Detta avser den registrerades grundläggande tillgång till information och bör prioriteras.

Ändringsförslag  38

Förslag till direktiv

Artikel 13 – punkt 1 – inledningen

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna får anta lagstiftning som helt eller delvis begränsar den registrerades rätt till tillgång i den utsträckning som en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens berättigade intressen, i syfte att

1. Medlemsstaterna får anta lagstiftning som i enskilda fall, beroende av omständigheterna i det enskilda fallet, helt eller delvis begränsar den registrerades rätt till tillgång, i den utsträckning och för den tidsperiod som en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda personens legitima intressen, i syfte att

Ändringsförslag  39

Förslag till direktiv

Artikel 13 – punkt 1 – led b

Kommissionens förslag

Ändringsförslag

(b) inte inverka menligt på förebyggande, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

(b) inte inverka menligt på avvärjande av hot, upptäckt, utredning och lagföring av brott eller verkställighet av straffrättsliga påföljder,

Ändringsförslag  40

Förslag till direktiv

Artikel 13 – punkt 1 – led e

Kommissionens förslag

Ändringsförslag

(e) skydda andra personers fri- och rättigheter.

(e) skydda den registrerade eller andra personers fri- och rättigheter.

Ändringsförslag  41

Förslag till direktiv

Artikel 13 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Medlemsstaterna får i lag fastställa kategorier av uppgiftsbehandling som helt eller delvis omfattas av undantagen i punkt 1.

utgår

Motivering

Nekad tillgång måste alltid vara beroende av det enskilda fallet.

Ändringsförslag  42

Förslag till direktiv

Artikel 14 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att begära att tillsynsmyndigheten kontrollerar att behandlingen är tillåten, särskilt i de fall som anges i artikel 13.

1. Medlemsstaterna ska föreskriva att den registrerade inom ramen för artiklarna 12 och 13 ska ha rätt att begära att tillsynsmyndigheten kontrollerar att behandlingen är tillåten.

Ändringsförslag  43

Förslag till direktiv

Artikel 14 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade om rätten att begära att tillsynsmyndigheten ska ingripa enligt punkt 1.

2. Medlemsstaterna ska föreskriva att den registeransvarige på den registrerades begäran ska underrätta den registrerade om rätten att begära att tillsynsmyndigheten ska ingripa enligt punkt 1.

Ändringsförslag  44

Förslag till direktiv

Artikel 14 – punkt 3 – stycke 1a (nytt)

Kommissionens förslag

Ändringsförslag

 

Medlemsstaterna ska föreskriva huruvida den registrerade får göra anspråk på denna rättighet direkt gentemot den registeransvarige eller via den behöriga tillsynsmyndigheten.

Motivering

Detta möjliggör ett system med indirekta begäranden om tillgång till information från den registrerade, med användning av ordalydelsen i rambeslutet från 2008.

Ändringsförslag  45

Förslag till direktiv

Artikel 15 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige erhålla rättelse av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade ska ha rätt att få till stånd komplettering av ofullständiga personuppgifter, i synnerhet genom en korrigering.

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att erhålla rättelse av personuppgifter som rör vederbörande och som är felaktiga. Den registrerade ska ha rätt att få till stånd komplettering av ofullständiga personuppgifter, i synnerhet genom en korrigering.

Ändringsförslag  46

Förslag till direktiv

Artikel 15 – punkt 2 och punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

2. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen om eventuell vägran att medge rättelse, om skälen för vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättsmedel.

2. Medlemsstaterna ska föreskriva huruvida den registrerade får göra anspråk på dessa rättigheter direkt gentemot den registeransvarige eller via den behöriga tillsynsmyndigheten.

 

2a. Om den registrerade gör anspråk på sina rättigheter direkt gentemot den registeransvarige och denne vägrar att rätta eller komplettera uppgifterna, ska den registeransvarige underrätta den registrerade skriftligen om eventuell vägran att medge rättelse, om skälen för vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättsmedel.

Motivering

Man bör överlåta åt medlemsstaterna att utforma detta.

Ändringsförslag  47

Förslag till direktiv

Artikel 16 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas om behandlingen inte uppfyller kraven i de bestämmelser som antas enligt artiklarna 4 a–e, 7 och 8 i det här direktivet.

1. Medlemsstaterna ska föreskriva att den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas om behandlingen inte uppfyller kraven i de bestämmelser som antas enligt artiklarna 4, 6, 7 och 8 i det här direktivet.

Motivering

Ändringsförslaget utökar tillämpningsområdet och stärker den enskildes rättigheter.

Ändringsförslag  48

Förslag till direktiv

Artikel 16 – punkt 2 och punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

2. Den registeransvarige ska genomföra raderingen utan dröjsmål.

2. Medlemsstaterna ska föreskriva huruvida den registrerade får göra anspråk på denna rättighet direkt gentemot den registeransvarige eller via den behöriga tillsynsmyndigheten.

 

2a. Om den registrerade gör anspråk på sina rättigheter direkt gentemot den registeransvarige och denne vägrar att rätta eller komplettera uppgifterna, ska den registeransvarige underrätta den registrerade skriftligen om vägran att medge rättelse, om skälen för vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättsmedel.

Ändringsförslag  49

Förslag till direktiv

Artikel 16 – punkt 3 – inledningen

Kommissionens förslag

Ändringsförslag

3. I stället för radering ska den registeransvarige märka personuppgifterna om

3. I stället för radering ska den registeransvarige begränsa behandlingen av personuppgifterna om

Ändringsförslag  50

Förslag till direktiv

Artikel 16 – punkt 3 – led c

Kommissionens förslag

Ändringsförslag

(c) den registrerade motsätter sig att de raderas och i stället begär att deras användning begränsas.

(c) en radering skulle inkräkta på den registrerades legitima intressen eller om den registrerade motsätter sig att uppgifterna raderas och i stället begär att deras användning begränsas.

Ändringsförslag  51

Förslag till direktiv

Artikel 16 – punkt 3 – leden ca–cc (nya)

Kommissionens förslag

Ändringsförslag

 

ca) det finns lagstadgade dokumentations- eller lagringsskyldigheter som gör att uppgifterna inte får raderas, vilket i så fall innebär att uppgifterna ska behandlas i enlighet med de lagstadgade dokumentations- eller lagringsskyldigheterna,

 

cb) de endast lagras för ändamål som rör datasäkerhet eller dataskyddskontroll,

 

cc) raderingen kräver orimligt stora tekniska resurser, t.ex. på grund av en viss typ av lagring.

Ändringsförslag  52

Förslag till direktiv

Artikel 16 – punkt 3a (ny)

Kommissionens förslag

Ändringsförslag

 

3a. Uppgifter som omfattas av begränsningar får användas endast för det ändamål som gjort att radering inte skett. De får även användas om de är oumbärliga som bevismaterial.

Motivering

Ändringsförslaget klargör vilka rättsliga följder en begränsning bör få.

Ändringsförslag  53

Förslag till direktiv

Artikel 16 – punkt 4

Kommissionens förslag

Ändringsförslag

4. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen om eventuell vägran att radera eller eventuell märkning av behandlingen, om skälen till vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

4. Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta den registrerade skriftligen om eventuell vägran att radera eller eventuell begränsning av behandlingen, om skälen till vägran och om möjligheterna att inge ett klagomål till tillsynsmyndigheten och begära rättslig prövning.

Ändringsförslag  54

Förslag till direktiv

Artikel 17

Kommissionens förslag

Ändringsförslag

Medlemsstaterna får föreskriva att de rättigheter till information, tillgång, rättelse, radering och begränsning av behandling som avses i artiklarna 11–16 ska genomföras i enlighet med nationella bestämmelser om rättsliga förfaranden om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll som behandlas i samband med brottsutredningar och straffrättsliga förfaranden.

Medlemsstaterna får föreskriva att den information, tillgång, rättelse, radering och begränsning av behandling som avses i artiklarna 11–16 ska överensstämma med nationell processrätt, om personuppgifterna ingår i ett domstolsbeslut eller ett rättsligt protokoll i samband med meddelandet av ett domstolsbeslut.

Motivering

Artikeln bör utökas till alla rättsliga förfaranden och inte bara omfatta straffrättsliga förfaranden.

Ändringsförslag  55

Förslag till direktiv

Artikel 18 – punkt 3

Kommissionens förslag

Ändringsförslag

3. Den registeransvarige ska införa rutiner för att säkerställa kontrollen av att de åtgärder som anges i punkt 1 i denna artikel är verkningsfulla. Om det är proportionellt, ska denna kontroll utföras av oberoende interna eller externa granskare.

utgår

Motivering

Artikel 18.3 bör strykas utan att ersättas, eftersom det annars riskerar att uppstå ett kontrollkaos. Det bör räcka med uppgiftsskyddsombud och tillsynsmyndigheter för att garantera uppgiftsskyddet. Ytterligare externa eller interna granskare behövs inte, utan leder snarare till förvirring.

Ändringsförslag  56

Förslag till direktiv

Artikel 21 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Om behandlingen utförs på uppdrag av en registeransvarig ska medlemsstaterna föreskriva att den registeransvarige måste välja en registerförare som ger tillräckliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder och förfaranden på ett sådant sätt att behandlingen uppfyller kraven i de bestämmelser som antas i enlighet med detta direktiv och säkerställa skyddet av den registrerades rättigheter.

1. Om behandlingen utförs på uppdrag av en registeransvarig ska medlemsstaterna föreskriva att den registeransvarige måste välja en registerförare som ger tillräckliga garantier för att

 

a) de tekniska och organisatoriska åtgärderna i artikel 27.1 genomförs,

 

b) behandlingen i övrigt uppfyller kraven i de bestämmelser som antas i enlighet med detta direktiv och säkerställer skyddet av den registrerades rättigheter, och

 

c) den registrerade följer den registeransvariges instruktioner.

Motivering

Ändringsförslaget till denna artikel grundar sig på rambeslut 2008/977/RIF, då det inte finns någon anledning att avvika från detta. Delar av punkt 1 i kommissionens förslag har placerats i leden a och b i parlamentets ändringsförslag.

Ändringsförslag  57

Förslag till direktiv

Artikel 21 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Medlemsstaterna ska föreskriva att en registerförares behandling av uppgifter ska regleras av en rättsligt bindande handling mellan registerföraren och den registeransvarige och att det i handlingen särskilt ska föreskrivas att registerföraren endast får handla på instruktioner från den registeransvarige, särskilt om överföringen av de personuppgifter som används är förbjuden.

2. En registerförares behandling av uppgifter ska regleras av en rättsakt eller ett skriftligt avtal, som föreskriver att registerföraren endast får handla på instruktioner från den registeransvarige.

Motivering

Ändringsförslaget till denna artikel grundar sig på rambeslut 2008/977/RIF, då det inte finns någon anledning att avvika från detta.

Ändringsförslag  58

Förslag till direktiv

Artikel 23 – punkt 1 och punkterna 1a och 1b (nya)

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att varje registeransvarig och registerförare ska bevara dokumentation om alla system och förfaranden för uppgiftsbehandling som ligger inom deras ansvarsområde.

1. Alla behöriga myndigheter ska bevara detaljerad dokumentation om alla system och förfaranden för uppgiftsbehandling som ligger inom deras ansvarsområde.

 

1a. Varje överföring av personuppgifter ska registreras eller dokumenteras för att man ska kunna kontrollera om behandlingen av uppgifterna är lagenlig, för egenkontroll samt för att garantera lämplig integritet och säkerhet för uppgifterna.

 

1b. Denna registrering och dokumentation ska på begäran översändas till tillsynsmyndigheten. Tillsynsmyndigheten får använda dessa uppgifter endast för att kontrollera att behandlingen av uppgifterna är lagenlig och för att garantera integritet och säkerhet för uppgifterna.

Motivering

Ändringsförslaget grundar sig på artikel 10 i rambeslut 2008/977/RIF. Genom detta ändringsförslag stryks skyldigheterna på nationell nivå och man hänvisar endast till gränsöverskridande överföringar, vilket upphäver ändamålet med detta direktiv och skapar ytterligare avstånd från förordningen och hela det så kallade harmoniserade paketet. Det ovanstående ändringsförslaget säkerställer åtminstone vissa bestämmelser på nationell nivå, även om ett återinförande av det ursprungliga skulle vara önskvärt för en harmonisering med förordningen.

Ändringsförslag  59

Förslag till direktiv

Artikel 27 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att den registeransvarige och registerföraren ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och kostnaden för att vidta åtgärderna.

1. Medlemsstaterna ska föreskriva att den registeransvarige ska vidta tekniska och organisatoriska åtgärder för att förhindra

 

a) utplåning genom oavsiktliga eller otillåtna handlingar,

 

b) förlust genom olyckshändelse,

 

c) ändringar utan tillstånd,

 

d) otillåten spridning av eller otillåten tillgång till uppgifter, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk eller om uppgifterna gjorts tillgängliga genom direkt automatisk åtkomst, samt

 

e) varje annat slags otillåten behandling av personuppgifter.

 

Dessa åtgärder måste säkerställa en lämplig säkerhetsnivå med tanke på de risker som behandlingen medför och karaktären hos de uppgifter som ska skyddas, med hänsyn till dagens tillgängliga teknik och kostnaden för att vidta åtgärderna.

Motivering

Ändringsförslaget utgår från artikel 22.1 i rambeslutet.

Ändringsförslag  60

Förslag till direktiv

Artikel 27 – punkt 2 – inledningen

Kommissionens förslag

Ändringsförslag

2. När det gäller automatisk uppgiftsbehandling ska varje medlemsstat föreskriva att den registeransvarige eller registerföraren, efter en bedömning av riskerna, ska vidta åtgärder i syfte att

2. När det gäller automatisk uppgiftsbehandling ska varje medlemsstat anta åtgärder som är lämpliga för att

Ändringsförslag  61

Förslag till direktiv

Artikel 27 – punkt 2 – led j

Kommissionens förslag

Ändringsförslag

(j) se till att system fungerar, att funktionsfel rapporteras (driftsäkerhet) och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet).

(Berör inte den svenska versionen.)

Ändringsförslag  62

Förslag till direktiv

Artikel 27 – punkt 3

Kommissionens förslag

Ändringsförslag

3. När så är nödvändigt får kommissionen anta genomförandeakter i syfte att precisera kraven i punkterna 1 och 2 för olika situationer, särskilt krypteringsstandarder. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

3. När så är nödvändigt får medlemsstaterna anta bestämmelser i syfte att precisera kraven i punkterna 1 och 2 för olika situationer, särskilt krypteringsstandarder.

Ändringsförslag  63

Förslag till direktiv

Artikel 28 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att den registeransvarige vid ett personuppgiftsbrott utan onödigt dröjsmål och, om så är möjligt, inte senare än 24 timmar efter att ha fått vetskap om det, ska anmäla personuppgiftsbrottet till tillsynsmyndigheten. Om anmälan inte görs inom 24 timmar ska den registeransvarige på begäran lämna en utförlig motivering till tillsynsmyndigheten.

1. Medlemsstaterna ska föreskriva att den registeransvarige vid ett personuppgiftsbrott utan onödigt dröjsmål efter att ha fått vetskap om det, ska anmäla personuppgiftsbrottet till tillsynsmyndigheten. För de allvarligaste brotten ska medlemsstaterna föreskriva att den registeransvarige, inte senare än 24 timmar efter att ha fått vetskap om det, ska anmäla brottet till tillsynsmyndigheten.

Motivering

En begäran om att de registeransvariga ska anmäla alla brott inte senare än 24 timmar efter att ha fått vetskap om dem, och även en begäran om en utförlig motivering, är alltför byråkratisk.

Ändringsförslag  64

Förslag till direktiv

Artikel 28 – punkt 5

Kommissionens förslag

Ändringsförslag

5. Kommissionen ska ha befogenhet att anta delegerade akter enligt artikel 56 i syfte att närmare precisera kriterierna och kraven för fastställandet av det uppgiftsbrott som avses i punkterna 1 och 2 samt för de särskilda omständigheter under vilka en registeransvarig och en registerförare ska anmäla personuppgiftsbrottet.

utgår

Motivering

Kriterier och villkor för att fastställa att ett uppgiftsbrott har begåtts anges redan tillräckligt utförligt i punkt 1. Förslaget om befogenhet att anta delegerade akter skulle i vart fall beröra viktiga delar som inte kan delegeras, och de borde anges i den grundläggande rättsakten. Motsvarande ändring föreslås också i den allmänna uppgiftsskyddsförordningen.

Ändringsförslag  65

Förslag till direktiv

Artikel 28a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 28a

 

Föregående samråd

 

Medlemsstaterna ska se till att de behöriga nationella tillsynsmyndigheterna rådfrågas före behandling av personuppgifter när nya behandlingssystem inrättas om

 

a) särskilda uppgiftskategorier enligt artikel 8 behandlas, eller om

 

b) behandlingens typ, särskilt användning av ny teknik, nya mekanismer eller förfaranden, i övrigt innebär särskilda risker för registrerades grundläggande fri- och rättigheter och framför allt deras rätt till privatliv.

Motivering

Texten är hämtad från artikel 13 i rambeslut 2008/977/RIF.

Ändringsförslag  66

Förslag till direktiv

Artikel 31 – punkt 2a (ny)

Kommissionens förslag

Ändringsförslag

 

2a. Uppgiftsskyddsombudet får inte missgynnas på grund av utförandet av sina uppgifter. Ett uppgiftsskyddsombud får inte avsättas under sin mandatperiod eller under året efter dess slut, såvida det inte finns fakta som berättigar den registeransvarige att avsätta uppgiftsskyddsombudet av ett tillräckligt allvarligt skäl.

Ändringsförslag  67

Förslag till direktiv

Artikel 33 – led a

Kommissionens förslag

Ändringsförslag

a) överföringen är nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och

a) överföringen är nödvändig för att avvärja hot, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och

Ändringsförslag  68

Förslag till direktiv

Artikel 33 – led b

Kommissionens förslag

Ändringsförslag

b) att den registeransvarige och registerföraren följer villkoren i detta kapitel.

b) att villkoren i detta kapitel är uppfyllda.

Ändringsförslag  69

Förslag till direktiv

Artikel 34 – punkt 2 – inledningen

Kommissionens förslag

Ändringsförslag

2. Om inget beslut enligt artikel 41 i förordning (EU) nr …./2012 föreligger ska kommissionen bedöma om skyddsnivån är adekvat, och då ta hänsyn till

2. Om inget beslut enligt artikel 41 i förordning (EU) nr …./2012 föreligger ska kommissionen bedöma om skyddsnivån är adekvat, och då ta hänsyn till alla generella omständigheter vid uppgiftsöverföring eller serier av uppgiftsöverföringar som kan bedömas fristående från konkreta överföringar. Vid bedömningen ska särskild hänsyn tas till

Ändringsförslag  70

Förslag till direktiv

Artikel 34 – punkt 3

Kommissionens förslag

Ändringsförslag

3. Kommissionen får inom tillämpningsområdet för detta direktiv besluta att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet, eller en internationell organisation utgör en garant för en adekvat skyddsnivå i den mening som avses i punkt 2. Genomförandeakterna ska antas i enlighet med det granskningsförfarande som avses i artikel 57.2.

3. Kommissionen ska ha behörighet att anta delegerade akter i enlighet med artikel 56 för att komplettera förteckningen i bilaga [x] över tredjeländer, territorier eller behandlande sektorer i tredjeländer eller internationella organisationer som kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2. Vid bedömningen av skyddsnivån måste kommissionen ta hänsyn till huruvida den relevanta lagstiftning, både den allmänna och den sektorsspecifika, som gäller i tredjelandet eller för den internationella organisationen garanterar faktiska och verkställbara rättigheter, inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för registrerade vars personuppgifter överförs.

Motivering

De aktuella besluten är långtgående och har större räckvidd än vad som krävs för enhetliga genomförandevillkor, och dessa icke-obligatoriska delar måste därför vara föremål för delegerade akter i enlighet med artikel 290 i EUF-fördraget. Motsvarande ändring föreslås också i den allmänna uppgiftsskyddsförordningen.

Ändringsförslag  71

Förslag till direktiv

Artikel 34 – punkt 4

Kommissionens förslag

Ändringsförslag

4. Den geografiska och sektorsmässiga tillämpningen ska regleras i genomförandeakten, där det också i förekommande fall ska anges vilken myndighet som är tillsynsmyndighet enligt punkt 2 b.

4. Enligt artikel 340 andra stycket i EUF‑fördraget och EU-domstolens fasta rättspraxis ska unionen i enlighet med de allmänna principer som tillämpas i medlemsstaternas lagstiftning gottgöra all eventuell skada som orsakas av unionens institutioner när de utför sina uppgifter, inbegripet eventuell skada på grund av felaktig användning av personuppgifter till följd av ett felaktigt beslut i enlighet med punkterna 2 och 3.

Motivering

Man bör uttryckligen redogöra för unionens utomobligatoriska ansvar i fall där felaktiga beslut fattas på grundval av villkoren i punkterna 2 och 3.

Ändringsförslag  72

Förslag till direktiv

Artikel 34 – punkt 5

Kommissionens förslag

Ändringsförslag

5. Kommissionen får inom tillämpningsområdet för detta direktiv fastställa att ett tredjeland, ett territorium eller en behandlande sektor inom tredjelandet i fråga eller en internationell organisation inte kan garantera en adekvat skyddsnivå i den mening som avses i punkt 2, särskilt om den relevanta allmänna eller sektorsspecifika lagstiftning som tillämpas i tredjelandet eller av den internationella organisationen inte garanterar faktiska och lagstadgade rättigheter inklusive tillgång till effektiv administrativ eller rättslig prövning för de registrerade, i synnerhet för de registrerade vars personuppgifter överförs. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 57.2 eller, i fall som är ytterst brådskande för den individ vars personuppgifter behöver skyddas, enligt förfarandet i artikel 57.3. Genomförandeakterna ska antas enligt det granskningsförfarande som avses i artikel 57.2 eller, i fall som är ytterst brådskande för den individ vars personuppgifter behöver skyddas, enligt förfarandet i artikel 57.3.

utgår

Ändringsförslag  73

Förslag till direktiv

Artikel 34 – punkt 6

Kommissionens förslag

Ändringsförslag

6. Medlemsstaterna ska säkerställa att om kommissionen fattar beslut enligt punkt 5 får inga uppgifter överföras till tredjelandet, territoriet eller den behandlande sektorn inom tredjelandet, eller den internationella organisationen i fråga; detta ska inte påverka överföringar enligt artiklarna 35.1 eller 36. Kommissionen ska vid lämplig tidpunkt samråda med tredjelandet eller den internationella organisationen i fråga för att lösa den situation som uppstått som följd av beslutet enligt punkt 5.

utgår

Ändringsförslag  74

Förslag till direktiv

Artikel 34 – punkt 8

Kommissionens förslag

Ändringsförslag

8. Kommissionen ska övervaka tillämpningen av de genomförandeakter som avses i punkterna 3 och 5.

utgår

Ändringsförslag  75

Förslag till direktiv

Artikel 35

Kommissionens förslag

Ändringsförslag

Artikel 35

utgår

Överföring med stöd av lämpliga skyddsåtgärder

 

1. Om kommissionen inte har fattat något beslut enligt artikel 34 ska medlemsstaterna föreskriva att överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation får äga rum om

 

a) lämpliga skyddsåtgärder för personuppgifter har vidtagits genom ett rättsligt bindande instrument, or

 

b) den registeransvarige eller registerföraren har bedömt alla omständigheter kring en överföring av personuppgifter och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger.

 

2. Beslutet om överföringar enligt punkt 1 b måste göras av vederbörligen bemyndigad personal. De måste också dokumenteras, och dokumentationen ska på begäran göras tillgänglig för tillsynsmyndigheten.

 

Ändringsförslag  76

Förslag till direktiv

Artikel 35a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 35a

 

Överföring med stöd av lämpliga skyddsåtgärder

 

1. Om kommissionen inte har fattat något beslut enligt artikel 34 får överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation äga rum om

 

a) lämpliga skyddsåtgärder för personuppgifter har vidtagits genom ett rättsligt bindande instrument,

 

b) den registeransvarige eller registerföraren har bedömt alla allmänna omständigheter kring en överföring av personuppgifter (artikel 34.2) och dragit slutsatsen att lämpliga skyddsåtgärder för personuppgifterna föreligger, eller

 

c) överföringen av personuppgifterna skulle vara tillåten i ett specifikt fall (artikel 36) trots att kommissionen fastställt att adekvat skyddsnivå saknas.

Ändringsförslag  77

Förslag till direktiv

Artikel 35b (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 35b

 

Överföring av personuppgifter från andra medlemsstater

 

1. Medlemsstaterna ska föreskriva att behöriga myndigheter får överföra personuppgifter som överförts eller gjorts tillgängliga av de behöriga myndigheterna i en annan medlemsstat, inbegripet vidare överföring till tredjeländer eller internationella organisationer, endast om

 

a) mottagaren i tredjelandet eller det mottagande internationella organet har ansvar för förebyggande, utredning, avslöjande eller lagföring av brott eller för verkställigheten av straffrättsliga påföljder,

 

b) den medlemsstat från vilken uppgifterna erhölls har gett sitt medgivande till överföringen i enlighet med sin nationella lagstiftning, och om

 

c) vid fall som omfattas av artiklarna 34a.3 och 35 b och c, även den medlemsstat från vilken uppgifterna erhölls i enlighet med sin nationella lagstiftning bedömer att det finns adekvata garantier för skyddet av de överförda uppgifterna.

 

2. Vidare överföring utan förhandsmedgivande enligt punkt 1 b ska tillåtas endast om överföringen av uppgifter är absolut nödvändig för att kunna avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland eller för en medlemsstats väsentliga intressen och ett förhandsmedgivande inte kan erhållas i tid. Den myndighet som ansvarar för att bevilja medgivandet ska informeras utan dröjsmål.

 

3. Med avvikelse från punkt 1 c får personuppgifter överföras vidare om den nationella lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta på grund av

 

a) den registrerades starka och legitima intressen, eller

 

b) tvingande legitima intressen, främst viktiga allmänna intressen.

 

4. Överföring till andra mottagare än offentliga myndigheter får ske endast om villkoren i artiklarna 7a.1 och 7b.1 är uppfyllda.

Motivering

Artikel 35b motsvarar artikel 13 i rambeslutet och rör särskilda bestämmelser för behandling av uppgifter som överförts från andra medlemsstater. Den inför särskilda bestämmelser om behandling av uppgifter som överförts från andra medlemsstater. Bestämmelserna ger ett särskilt skydd för dessa uppgifter. Denna bestämmelse ska skydda den medlemsstat som uppgifterna kommer från och skapar därmed den tillförlitlighet som krävs för interna EU-uppgifter på grundval av att de överförda uppgifterna inte behandlas ytterligare och godtyckligt i de mottagande medlemsstaterna.

Ändringsförslag  78

Förslag till direktiv

Artikel 36

Kommissionens förslag

Ändringsförslag

Artikel 36

utgår

Undantag

 

Genom undantag från artiklarna 34 och 35 ska medlemsstaterna föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation endast får ske om något av följande villkor är uppfyllda:

 

a) Överföringen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person.

 

b) Överföringen är nödvändig för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta.

 

c) Överföringen av uppgifter är avgörande för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland.

 

d) Överföring är i ett enskilt fall nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

 

e) Överföring är i ett enskilt fall nödvändig för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till förebyggande, utredning, avslöjande eller lagföring av brott eller verkställandet av en specifik straffrättslig påföljd.

 

Ändringsförslag  79

Förslag till direktiv

Artikel 36a (ny)

Kommissionens förslag

Ändringsförslag

 

Artikel 36a

 

Undantag vid uppgiftsöverföring med hänsyn till intressen i specifika enskilda fall

 

1. Om kommissionen i enlighet med artikel 34.5 bedömer att det saknas en adekvat skyddsnivå, får personuppgifterna inte överföras till det berörda tredjelandet eller till ett område eller en behandlande sektor i detta tredjeland eller till den berörda internationella organisationen, förutsatt att den registrerades legitima intresse av att uppgifterna inte överförs i det enskilda fallet väger tyngre än allmänna intressen i uppgiftsöverföringen.

 

2. Inom ramen för bedömningen av särskilda intressen enligt punkt 1 ska man även ta hänsyn till om det finns en adekvat skyddsnivå i det specifika fallet. Vid bedömningen av om det finns en adekvat skyddsnivå i det specifika fallet ska hänsyn tas till alla omständigheter kring den föreslagna uppgiftsöverföringen, särskilt

 

a) vilken typ av uppgifter som ska överföras,

 

b) för vilket/vilka ändamål de ska överföras, och

 

c) hur lång tid behandlingen beräknas ta i tredjelandet.

 

3. Genom undantag från artiklarna 1 och 35 får medlemsstaterna föreskriva att överföring av personuppgifter till ett tredjeland eller en internationell organisation endast får ske om något av följande villkor är uppfyllda:

 

a) Överföringen är nödvändig för att skydda den registrerades eller en annan persons avgörande och legitima intressen, i synnerhet avseende liv och hälsa.

 

b) Överföringen är nödvändig för att skydda den registrerades legitima intressen om lagstiftningen i den medlemsstat som överför uppgifterna föreskriver detta.

 

c) Överföringen är i ett enskilt fall nödvändig för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder.

 

d) Överföring är i ett enskilt fall nödvändig för att fastslå, göra gällande eller försvara rättsliga anspråk som hänför sig till förebyggande, utredning, avslöjande eller lagföring av ett specifikt brott eller verkställandet av en specifik straffrättslig påföljd.

 

4. Det kan i vissa fall även finnas en adekvat skyddsnivå om det berörda tredjelandet, ett område, en behandlande sektor eller ett internationellt eller överstatligt organ i detta tredjeland eller den berörda internationella organisationen garanterar ett adekvat skydd för de överförda uppgifterna.

Motivering

Omformuleringen av artikel 36 ger en logisk vidareutveckling av artiklarna 34 och 35. I strikt begränsade enskilda fall, när syftet är att skydda sådana värden som människors liv och hälsa, måste det vara möjligt att på ytterst stränga villkor överföra personuppgifter till tredjeländer, även om man gör bedömningen att tredjelandet saknar adekvat skydd för uppgifterna.

Ändringsförslag  80

Förslag till direktiv

Artikel 37

Kommissionens förslag

Ändringsförslag

Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta mottagaren av personuppgifter om eventuella begränsningar av behandlingen av uppgifterna och vidta alla rimliga åtgärder för att säkerställa att dessa begränsningar följs.

Medlemsstaterna ska föreskriva att den registeransvarige ska underrätta mottagaren av personuppgifter om eventuella begränsningar av behandlingen av uppgifterna och vidta alla rimliga åtgärder för att säkerställa att dessa begränsningar följs. I första meningen avses även de begränsningar av behandlingen som den registeransvarige måste ta hänsyn till enligt artikel 7a.3.

Motivering

När uppgifter överförs inom EU bör man absolut tillämpa nationella begränsningar av behandlingen, om uppgifterna sedan lämnas vidare till ett tredjeland. I annat fall skulle förtroendet för utbyte av uppgifter inom EU gå förlorat.

Ändringsförslag  81

Förslag till direktiv

Artikel 38 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Vid tillämpningen av punkt 1 ska kommissionen vidta lämpliga åtgärder för att vidareutveckla förbindelserna med tredjeländer och internationella organisationer, och särskilt med deras tillsynsmyndigheter, i de fall då kommissionen har bedömt att motparten i fråga garanterar en adekvat skyddsnivå i den mening som avses i artikel 34.3.

2. Vid tillämpningen av punkt 1 ska kommissionen inom tillämpningsområdet för detta direktiv vidta lämpliga åtgärder för att vidareutveckla förbindelserna med tredjeländer och internationella organisationer, och särskilt med deras tillsynsmyndigheter, i de fall då kommissionen har bedömt att motparten i fråga garanterar en adekvat skyddsnivå i den mening som avses i artikel 34.3. I detta avseende ska kommissionen vederbörligen beakta medlemsstaternas befogenheter och de rättsliga eller faktiska åtgärder som vidtas vid utövandet av dessa befogenheter.

Ändringsförslag  82

Förslag till direktiv

Artikel 41 – punkt 5

Kommissionens förslag

Ändringsförslag

5. När mandattiden löper ut eller ledamoten avgår ska han eller hon fortsätta utföra sina uppdrag tills en ny ledamot tillsatts.

5. När mandattiden löper ut eller ledamoten avgår ska han eller hon på begäran fortsätta utföra sina uppdrag tills en ny ledamot tillsatts.

Motivering

Särskilt om ledamoten har avsatts på grund av att hon eller han gjort sig skyldig till ett allvarligt fel kan det vara ohållbart att den avsatta ledamoten ovillkorligen ska fortsätta utföra sina uppdrag tills man har tillsatt en ersättare. En ledamot bör därför bara få fortsätta med sitt uppdrag på begäran.

Ändringsförslag  83

Förslag till direktiv

Artikel 44 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inom dess territorium ska utöva de befogenheter som tilldelas den i enlighet med detta direktiv.

1. Varje medlemsstat ska föreskriva att varje tillsynsmyndighet inom medlemsstatens territorium ska utöva åtminstone de befogenheter som tilldelas den i enlighet med detta direktiv.

Ändringsförslag  84

Förslag till direktiv

Artikel 45 – punkt 1 – led a

Kommissionens förslag

Ändringsförslag

(a) Övervaka och garantera tillämpningen av de bestämmelser som antas till följd av detta direktiv och dess genomförandeåtgärder.

(a) Övervaka och garantera tillämpningen av åtminstone de bestämmelser som antas till följd av detta direktiv och dess genomförandeåtgärder.

Ändringsförslag  85

Förslag till direktiv

Artikel 45 – punkt 1 – led b

Kommissionens förslag

Ändringsförslag

(b) Ta emot klagomål från registrerade eller från sammanslutningar som representerar registrerade och handlar på deras uppdrag enligt artikel 50, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade eller sammanslutningen om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

(b) Ta emot klagomål från registrerade, där så är lämpligt undersöka sakfrågan och inom rimlig tid underrätta den registrerade om hur behandlingen av klagomålet fortskrider och vilken slutsats som nås, i synnerhet om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

Motivering

Till följd av att man tar bort artikel 50 om organisationers och sammanslutningars rätt att lämna in klagomål.

Ändringsförslag  86

Förslag till direktiv

Artikel 45 – punkt 1 – led e

Kommissionens förslag

Ändringsförslag

(e) Utföra undersökningar på eget initiativ, på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och, om en undersökning grundar sig på ett klagomål som lämnats in av en registrerad, underrätta den registrerade om resultatet inom rimlig tid.

(e) Utföra undersökningar på grundval av klagomål eller på begäran av en annan tillsynsmyndighet och, om en undersökning grundar sig på ett klagomål som lämnats in av en registrerad, underrätta den registrerade om resultatet inom rimlig tid. Tillsynsmyndigheten får också genomföra sådana undersökningar på eget initiativ inom ramen för den nationella lagstiftningen.

Ändringsförslag  87

Förslag till direktiv

Artikel 46 – led c

Kommissionens förslag

Ändringsförslag

c) befogenhet att inleda rättsliga förfaranden när bestämmelser som har antagits till följd av detta direktiv har överträtts, eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser.

c) befogenhet att inleda rättsliga förfaranden när bestämmelser som har antagits till följd av detta direktiv har överträtts, eller att uppmärksamma de rättsliga myndigheterna på dessa överträdelser. Beslut av tillsynsmyndigheten vilka ger upphov till klagomål bör kunna överklagas till domstol.

Motivering

Beslut av tillsynsmyndigheten vilka ger upphov till klagomål bör kunna överklagas till domstol. Rätten till rättslig prövning är en självklarhet, och formuleringen är hämtad ur artikel 25.2 c i rambeslut 2008/977/RIF.

Ändringsförslag  88

Förslag till direktiv

Artikel 49 – punkt 1 – led a

Kommissionens förslag

Ändringsförslag

(a) Ge kommissionen råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella förslag till ändring av detta direktiv.

(a) Ge EU-institutionerna råd i alla frågor som gäller skydd av personuppgifter inom unionen, inklusive om eventuella förslag till ändring av detta direktiv.

Ändringsförslag  89

Förslag till direktiv

Artikel 52

Kommissionens förslag

Ändringsförslag

Utan att det påverkar tillgängliga administrativa rättsmedel, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet, ska medlemsstaterna föreskriva en rätt att begära rättsmedel för varje fysisk person som anser att hans eller hennes rättigheter enligt de bestämmelser som antas till följd av detta direktiv har åsidosatts som en följd av att personuppgifter har behandlats på ett sätt som inte är förenligt med dessa bestämmelser.

Utan att det påverkar tillgängliga administrativa rättsmedel, inbegripet rätten att lämna in ett klagomål till en tillsynsmyndighet, ska medlemsstaterna föreskriva en rätt att begära rättsmedel om en fysisk persons rättigheter enligt de bestämmelser som antas till följd av detta direktiv har åsidosatts som en följd av att personuppgifter har behandlats på ett sätt som inte är förenligt med dessa bestämmelser.

Ändringsförslag  90

Förslag till direktiv

Artikel 54 – punkt 1

Kommissionens förslag

Ändringsförslag

1. Medlemsstaterna ska föreskriva att var och en som lidit skada till följd av en otillåten behandling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv har rätt till ersättning av den registeransvarige för denna skada.

1. Medlemsstaterna ska föreskriva att var och en som lidit skada till följd av en otillåten behandling av personuppgifter eller av någon annan åtgärd som är oförenlig med de nationella bestämmelser som antagits till följd av detta direktiv har rätt till ersättning av den registeransvarige för denna skada i enlighet med nationell lagstiftning.

Ändringsförslag  91

Förslag till direktiv

Artikel 54 – punkt 1a (ny)

Kommissionens förslag

Ändringsförslag

 

1a. Om den behöriga myndigheten i en medlemsstat överfört personuppgifter kan mottagaren inte åberopa det faktum att de överförda uppgifterna varit felaktiga för att undgå det ansvar som denne i enlighet med den nationella lagstiftningen har gentemot den skadelidande. Om mottagaren utbetalar skadestånd för en skada som vållats av att felaktigt överförda uppgifter kommit till användning ska den överförande behöriga myndigheten ersätta mottagaren med det skadestånd som utbetalats, med beaktande av eventuella felaktigheter som kan ha begåtts av mottagaren.

Motivering

Jämför artikel 19.1 och 19.2 i rambeslut 2008/977/RIF.

Ändringsförslag  92

Förslag till direktiv

Artikel 55

Kommissionens förslag

Ändringsförslag

Medlemsstaterna ska föreskriva påföljder för överträdelser av bestämmelser som har utfärdats med tillämpning av detta direktiv och ska vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas. Påföljderna ska vara effektiva, proportionerliga och avskräckande.

Medlemsstaterna ska anta lämpliga åtgärder för att se till att bestämmelserna i detta direktiv tillämpas fullt ut, och de ska särskilt föreskriva påföljder för överträdelser av bestämmelser som har utfärdats med tillämpning av detta direktiv och ska vidta de åtgärder som krävs för att se till att dessa påföljder tillämpas. Påföljderna ska vara effektiva, proportionerliga och avskräckande.

Motivering

Jämför artikel 24 i rambeslut 2008/977/RIF.

Ändringsförslag  93

Förslag till direktiv

Artikel 56 – punkt 2

Kommissionens förslag

Ändringsförslag

2. Den delegering av befogenhet som avses i artikel 28.5 ska ges till kommissionen under en obegränsad tid från och med det datum då detta direktiv träder i kraft.

2. Den delegering av befogenhet som avses i artikel 34.3 ska ges till kommissionen under en obegränsad tid från och med det datum då detta direktiv träder i kraft.

Motivering

Ändringsförslag till följd av att delegeringen stryks i artikel 28.5 och att genomförandeakter ändras till delegerade akter i artikel 34.3.

Ändringsförslag  94

Förslag till direktiv

Artikel 56 – punkt 3

Kommissionens förslag

Ändringsförslag

3. Den delegering av befogenhet som avses i artikel 28.5 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan trätt i kraft.

3. Den delegering av befogenhet som avses i artikel 34.3 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning, eller vid ett senare i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan trätt i kraft.

Motivering

Ändringsförslag till följd av att delegeringen stryks i artikel 28.5 och att genomförandeakter ändras till delegerade akter i artikel 34.3.

Ändringsförslag  95

Förslag till direktiv

Artikel 56 – punkt 5

Kommissionens förslag

Ändringsförslag

5. En delegerad akt som antas enligt artikel 28.5 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

5. En delegerad akt som antas enligt artikel 34.3 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period av två månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med två månader på Europaparlamentets eller rådets initiativ.

Motivering

Ändringsförslag till följd av att delegeringen stryks i artikel 28.5 och att genomförandeakter ändras till delegerade akter i artikel 34.3.

Ändringsförslag  96

Förslag till direktiv

Artikel 57 – punkt 2

Kommissionens förslag

Ändringsförslag

2. När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

utgår

Motivering

Ändringsförslag till följd av ändringarna i artikel 34.5.

Ändringsförslag  97

Förslag till direktiv

Artikel 60

Kommissionens förslag

Ändringsförslag

Internationella avtal som ingåtts av medlemsstaterna innan detta direktiv trädde i kraft ska där så krävs ändras behov inom fem år efter det att direktivet trätt i kraft.

1. Internationella avtal som ingåtts av medlemsstaterna innan detta direktiv trädde i kraft ska där så krävs ändras inom tio år efter det att direktivet trätt i kraft, såvida de inte är föremål för särskild kontroll.

 

2. Bestämmelserna i artikel 36 ska, utan att det påverkar punkt 1, tillämpas även för de internationella avtal som ingåtts innan direktivet trädde i kraft, om man gör bedömningen att det saknas adekvat uppgiftsskydd i tredjelandet i fråga.

Motivering

En femårig tidsfrist för anpassning är för kort, eftersom det finns så många och komplexa internationella avtal. Innehållet i bestämmelserna i artikel 36 kan inte gälla enbart mellan medlemsstaterna utan måste tillämpas på samma sätt även för befintliga internationella avtal.

Ändringsförslag  98

Förslag till direktiv

Bilaga [x] (ny)

Kommissionens förslag

Ändringsförslag

 

Bilaga [x]

 

Förteckning över tredjeländer, territorier eller behandlande sektorer i tredjeländer eller internationella organisationer som kan garantera en adekvat skyddsnivå i den mening som avses i artikel 34.2

Motivering

Ändringsförslag till följd av ändringarna i artikel 34.

ÄRENDETS GÅNG

Titel

Skydd för enskilda personer med avseende på behandling av personuppgifter av behöriga myndigheter för att kunna förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (direktiv)

Referensnummer

COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)

Ansvarigt utskott

       Tillkännagivande i kammaren

LIBE

16.2.2012

 

 

 

Yttrande från

       Tillkännagivande i kammaren

JURI

14.6.2012

Föredragande av yttrande

       Utnämning

Axel Voss

14.6.2012

Behandling i utskott

18.12.2012

21.2.2013

 

 

Antagande

19.3.2013

 

 

 

Slutomröstning: resultat

+:

–:

0:

14

9

0

Slutomröstning: närvarande ledamöter

Raffaele Baldassarre, Luigi Berlinguer, Sebastian Valentin Bodu, Françoise Castex, Christian Engström, Marielle Gallo, Lidia Joanna Geringer de Oedenberg, Sajjad Karim, Klaus-Heiner Lehne, Jiří Maštálka, Alajos Mészáros, Bernhard Rapkay, Evelyn Regner, Francesco Enrico Speroni, Rebecca Taylor, Alexandra Thein, Rainer Wieland, Cecilia Wikström, Tadeusz Zwiefka

Slutomröstning: närvarande suppleanter

Piotr Borys, Eva Lichtenberger, Axel Voss

Slutomröstning: närvarande suppleanter (art. 187.2)

Ricardo Cortés Lastra

ÄRENDETS GÅNG

Titel

Skydd för enskilda personer med avseende på behandling av personuppgifter av behöriga myndigheter för att kunna förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter (direktiv)

Referensnummer

COM(2012)0010 – C7-0024/2012 – 2012/0010(COD)

Framläggande för parlamentet

25.1.2012

 

 

 

Ansvarigt utskott

       Tillkännagivande i kammaren

LIBE

16.2.2012

 

 

 

Rådgivande utskott

       Tillkännagivande i kammaren

JURI

14.6.2012

 

 

 

Föredragande

       Utnämning

Dimitrios Droutsas

25.4.2012

 

 

 

Behandling i utskott

27.2.2012

31.5.2012

9.7.2012

19.9.2012

 

5.11.2012

10.1.2013

21.1.2013

20.3.2013

 

7.5.2013

9.7.2013

21.10.2013

 

Antagande

21.10.2013

 

 

 

Slutomröstning: resultat

+:

–:

0:

29

20

3

Slutomröstning: närvarande ledamöter

Jan Philipp Albrecht, Roberta Angelilli, Edit Bauer, Rita Borsellino, Emine Bozkurt, Arkadiusz Tomasz Bratkowski, Salvatore Caronna, Philip Claeys, Carlos Coelho, Agustín Díaz de Mera García Consuegra, Ioan Enciu, Cornelia Ernst, Tanja Fajon, Kinga Gál, Kinga Göncz, Sylvie Guillaume, Salvatore Iacolino, Sophia in ‘t Veld, Juan Fernando López Aguilar, Baroness Sarah Ludford, Clemente Mastella, Véronique Mathieu Houillon, Anthea McIntyre, Nuno Melo, Roberta Metsola, Louis Michel, Claude Moraes, Georgios Papanikolaou, Carmen Romero López, Judith Sargentini, Birgit Sippel, Wim van de Camp, Axel Voss, Josef Weidenholzer, Cecilia Wikström, Tatjana Ždanoka, Auke Zijlstra

Slutomröstning: närvarande suppleanter

Alexander Alvaro, Silvia Costa, Dimitrios Droutsas, Evelyne Gebhardt, Monika Hohlmeier, Jan Mulder, Raül Romeva i Rueda, Carl Schlyter, Marco Scurria

Slutomröstning: närvarande suppleanter (art. 187.2)

Jean-Pierre Audy, Pilar Ayuso, Miloslav Ransdorf, Britta Reimers, Kay Swinburne, Rafał Trzaskowski

Ingivande

22.11.2013