Förslag till Europaparlamentets och rådets direktiv om ändring av rådets direktiv 2014/41/EU vad gäller dess anpassning till EU:s regler om skydd av personuppgifter (EU-dokument COM(2021) 21)

EUROPEISKA

KOMMISSIONEN

Bryssel den 20.1.2021

COM(2021) 21 final

2021/0009 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV

om ändring av rådets direktiv 2014/41/EU vad gäller dess anpassning till EU:s regler om

skydd av personuppgifter

MOTIVERING

1.BAKGRUND TILL FÖRSLAGET

•Motiv och syfte med förslaget

Direktiv (EU) 2016/6801 (dataskyddsdirektivet för brottsbekämpning – LED) trädde i kraft den 6 maj 2016 och medlemsstaterna hade till och med den 6 maj 2018 på sig att införliva direktivet i sin nationella lagstiftning. Det upphävde och ersatte rådets rambeslut 2008/977/RIF2, men är ett mycket mer omfattande och allmänt hållet instrument för dataskydd. Det är viktigt att notera att det är tillämpligt på både nationell och gränsöverskridande behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott och verkställa straffrättsliga påföljder, inbegripet att skydda mot och förebygga hot mot den allmänna säkerheten (artikel 1.1).

I enlighet med artikel 62.6 i dataskyddsdirektivet skulle kommissionen senast den 6 maj 2019 se över andra EU-rättsakter som reglerar behöriga myndigheters behandling av personuppgifter för brottsbekämpande ändamål, i syfte att bedöma om de behöver anpassas till dataskyddsdirektivet och, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter för att säkerställa ett enhetligt tillvägagångssätt för skydd av personuppgifter inom direktivets tillämpningsområde.

Kommissionen redovisar resultaten från översynen i sitt meddelande Det fortsatta arbetet med att anpassa regelverket för den tidigare tredje pelaren till dataskyddsreglerna (24 Juni 2020)3. Där anges 10 rättsakter som bör anpassas till dataskyddsdirektivet och en tidsfrist för genomförandet. I förteckningen ingår Europaparlamentets och rådets direktiv 2014/41/EU om en europeisk utredningsorder på det straffrättsliga området4. Kommissionen angav att den skulle lägga fram riktade ändringar av det direktivet under det sista kvartalet 2020, vilket är syftet med detta förslag.

Detta initiativ ingår inte i programmet om lagstiftningens ändamålsenlighet och resultat (Refit-programmet).

•Förenlighet med befintliga bestämmelser inom området

Förslaget syftar till att anpassa dataskyddsreglerna i direktiv 2014/41/EU till de principer och regler som fastställs i dataskyddsdirektivet, i syfte att tillhandahålla en stark och enhetlig ram för dataskydd i unionen.

•Förenlighet med unionens politik inom andra områden

Ej tillämpligt

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60).

COM(2020) 262 final. EUT L 130, 1.5.2014, s. 1.

2. RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

Förslaget bygger på artikel 16.2 i fördraget om Europeiska unionens funktionssätt (EUF- fördraget).

Den ursprungliga akten grundade sig på f.d. artikel 34.2 b i det tidigare fördraget om Europeiska unionen, som närmast motsvarar artikel 82.1 i EUF-fördraget. Både syftet med och innehållet i den föreslagna ändringen är dock tydligt begränsade till skydd av personuppgifter.

I detta avseende är artikel 16.2 i EUF-fördraget den lämpligaste rättsliga grunden. Den gör det möjligt att anta bestämmelser om skydd för enskilda personer med avseende på medlemsstaternas behandling av personuppgifter när de utövar verksamhet som omfattas av unionsrättens tillämpningsområde och bestämmelser om den fria rörligheten för personuppgifter.

Enligt artikel 2a i protokoll nr 22 ska Danmark inte vara bundet av regler fastställda på grundval av artikel 16 i EUF-fördraget, vilken avser behandling av personuppgifter vid utövande av verksamhet som omfattas av tillämpningsområdet för kapitlen 4 och 5 i avdelning IV i tredje delen i EUF-fördraget. Detsamma gäller Irland enligt artikel 6a i protokoll nr 21.

•Subsidiaritetsprincipen (för icke-exklusiv befogenhet)

Endast unionen kan anta en lagstiftningsakt om ändring av direktiv 2014/41/EU.

•Proportionalitetsprincipen

Detta förslag är begränsat till vad som är nödvändigt för att anpassa direktiv 2014/41/EU till unionslagstiftningen om skydd av personuppgifter (särskilt dataskyddsdirektivet) utan att på något sätt ändra direktivets tillämpningsområde. Detta direktiv går inte utöver vad som är nödvändigt för att uppnå de eftersträvade målen, i enlighet med artikel 5.4 i fördraget om Europeiska unionen.

•Val av instrument

För att ändra direktiv 2014/41/EU är det lämpligaste instrumentet ett direktiv.

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Efterhandsutvärderingar/kontroller av ändamålsenligheten med befintlig lagstiftning

Detta förslag följer resultaten av kommissionens översyn enligt artikel 62.6 i dataskyddsdirektivet, som presenteras i meddelandet Det fortsatta arbetet med att anpassa regelverket för den tidigare tredje pelaren till dataskyddsreglerna. I meddelandet anges på vilka punkter en anpassning är nödvändig. I synnerhet identifieras behovet av att klargöra att all behandling av personuppgifter enligt direktiv 2014/41/EU omfattas av antingen

dataskyddsdirektivet eller förordning (EU) 2016/6795 (den allmänna dataskyddsförordningen), beroende på om behandlingen sker i samband med straffrättsliga eller icke straffrättsliga förfaranden. Anpassningen bör klargöra att uppgifter som erhålls enligt direktiv 2014/41/EU får behandlas för andra ändamål än de för vilka de samlas in endast på de villkor som anges i dataskyddsdirektivet (artiklarna 4.2 eller 9.1) eller i den allmänna dataskyddsförordningen (artikel 6).

Genom att föreslå att artikel 20 i direktiv 2014/41/EU stryks begränsas detta förslag till vad som är nödvändigt för att åtgärda ovanstående punkter.

•Samråd med berörda parter

Ej tillämpligt

•Insamling och användning av sakkunnigutlåtanden

I sin översyn tog kommissionen hänsyn till en studie som genomfördes som en del av pilotprojektet om en översyn av instrument och program för insamling av uppgifter i unionen med avseende på grundläggande rättigheter6. I studien kartlades unionsakter som omfattas av artikel 62.6 i dataskyddsdirektivet och bestämmelser identifierades som eventuellt skulle behöva anpassas till dataskyddsfrågor.

•Konsekvensbedömning

Konsekvenserna av detta förslag är begränsade till behöriga myndigheters behandling av personuppgifter i de specifika fall som regleras i direktiv 2014/41/EU. Konsekvenserna av de nya skyldigheter som följer av dataskyddsdirektivet bedömdes inom ramen för det förberedande arbetet med dataskyddsdirektivet. Detta innebär att det inte behövs någon särskild konsekvensbedömning för detta förslag.

•Lagstiftningens ändamålsenlighet och förenkling

Ej tillämpligt

•Grundläggande rättigheter

Rätten till skydd av personuppgifter fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16 i EUF-fördraget. Såsom har framhållits av Europeiska unionens domstol7 är rätten till skydd av personuppgifter inte absolut, utan ska

5Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

6Pilotprojektet begärdes av Europaparlamentet, leddes av kommissionen och genomfördes av en uppdragstagare (grupp av oberoende experter). Kommissionen valde ut uppdragstagaren på grundval av kriterier som fastställts av Europaparlamentet. Projektresultaten återspeglar endast uppdragstagarens synpunkter och åsikter och kommissionen kan inte hållas ansvarig för eventuell användning av informationen i dem. Resultaten har publicerats påhttp://www.fondazionebrodolini.it/en/projects/pilot-project-fundamental- rights-review-eu-data-collectioninstruments-and-programmes

7Domstolens dom av den 9 november 2010, Volker und Markus Schecke och Eifert, förenade målen C-92/09 och C-93/09 (ECLI:EU:C:2009:284, punkt 48.

beaktas i förhållande till dess funktion i samhället8. Uppgiftsskyddet är nära knutet till respekten för privatlivet och familjelivet som skyddas genom artikel 7 i stadgan.

Detta förslag säkerställer att all behandling av personuppgifter enligt direktiv 2014/41/EU omfattas av de övergripande principerna och reglerna i EU:s dataskyddslagstiftning, vilket innebär ett ytterligare genomförande av artikel 8 i stadgan. Denna lagstiftning syftar till att säkerställa en hög skyddsnivå för personuppgifter och till att klargöra att principerna och reglerna i direktiv 2016/680 är tillämpliga på uppgiftsbehandling enligt direktivet, vilket kommer att ha en positiv inverkan på de grundläggande rättigheterna till integritet och uppgiftsskydd.

4.BUDGETKONSEKVENSER

Ej tillämpligt

5.ÖVRIGA INSLAG

•Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering

Ej tillämpligt

•Förklarande dokument (för direktiv)

Detta förslag kräver inga förklarande dokument om införlivande, eftersom det innebär att en artikel i direktiv 2014/41/EU stryks.

•Ingående redogörelse för de specifika bestämmelserna i förslaget

Artikel 1 upphäver artikel 20 i direktiv 2014/41/EU. I samband med detta begränsas detta förslag till vad som är nödvändigt för att behandla ovanstående punkter. Enligt artikel 20 ska all behandling av personuppgifter enligt direktivet vara förenlig med rådets rambeslut 2008/977/RIF och principerna i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (28 januari 1981) och dess tilläggsprotokoll.

Genom dataskyddsdirektivet upphävdes rambeslutet med verkan från och med den 6 maj 2018. Enligt artikel 59 i dataskyddsdirektivet ska hänvisningar till rambeslutet tolkas som hänvisningar till dataskyddsdirektivet.

Enligt artikel 2.1 i dataskyddsdirektivet ska direktivet tillämpas på behöriga myndigheters behandling av personuppgifter för de ändamål som anges i artikel 1.1, dvs. att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot och förebygga hot mot den allmänna säkerheten. Direktiv 2014/41/EU är dock också tillämpligt på vissa typer av icke-straffrättsliga förfaranden – dessa regleras i dataskyddsförordningen.

8I enlighet med artikel 52.1 i stadgan får utövandet av rätten till dataskydd begränsas, under förutsättning att begränsningarna har föreskrivits i lag, är förenliga med det väsentliga innehållet i rättigheten och friheterna och, med beaktande av proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

Det faktum att det i artikel 20 i direktiv 2014/41/EU hänvisas till rambeslutet kan leda till förvirring om huruvida dataskyddsdirektivet även är tillämpligt på behandling av personuppgifter som rör europeiska utredningsorder i samband med icke-straffrättsliga förfaranden (som inte omfattas av dataskyddsdirektivet). Att stryka artikel 20 är tillräckligt för att råda bot på denna situation. Dataskyddsdirektivet fortsätter att gälla för behandling av personuppgifter enligt direktiv 2014/41/EU inom dess tillämpningsområde.

Eftersom dataskyddsdirektivet och dataskyddsförordningen (var och en inom sina tillämpningsområden) är tillämpliga på behandling av personuppgifter enligt direktiv 2014/41/EU, kommer behandlingen av sådana uppgifter för andra ändamål än det för vilka de samlas in att utföras i enlighet med dataskyddsdirektivet (artiklarna 4.2 och 9.1) eller dataskyddsförordningen (artikel 6.4). Det behövs ingen ny bestämmelse i detta avseende.

Enligt artikel 20 i direktiv 2014/41/EU ska tillgången till personuppgifter begränsas, utan att det påverkar den registrerades rättigheter, och endast behöriga personer ska ha tillgång till sådana uppgifter. I dataskyddsdirektivet och dataskyddsförordningen fastställs en övergripande ram för registrerades rättigheter och den personuppgiftsansvariges skyldigheter, bland annat när det gäller inbyggt dataskydd och dataskydd som standard samt säkerhet vid behandling. Artikel 20 andra stycket är därför överflödig.

Eftersom direktiv 2014/41/EU inte innehåller några specifika dataskyddsbestämmelser krävs inga ytterligare ändringar av uppgiftsskyddet.

I artikel 2 fastställs tidsfristen för införlivandet av det föreslagna nya direktivet.

I artikel 3 anges datumet för ikraftträdandet av detta direktiv.

I artikel 4 anges att direktivet riktar sig till medlemsstaterna.

2021/0009 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV

om ändring av rådets direktiv 2014/41/EU vad gäller dess anpassning till EU:s regler om

skydd av personuppgifter

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2, med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1)Enligt artikel 62.6 i direktiv (EU) 2016/6801 ska kommissionen se över andra rättsakter som antagits av unionen och som reglerar de behöriga myndigheternas behandling av personuppgifter för de ändamål som anges i artikel 1.1 i det direktivet, i syfte att bedöma om dessa akter behöver anpassas till det direktivet och, i förekommande fall, lägga fram förslag till ändring av dessa akter för att säkerställa ett

enhetligt tillvägagångssätt för skydd av personuppgifter inom tillämpningsområdet för det direktivet. Denna översyn har lett till att rådets direktiv 2014/41/EU2 har identifierats som en av de övriga akter som bör ändras.

(2)För att uppnå enhetlighet och ett effektivt skydd av personuppgifter bör behandlingen

av personuppgifter enligt direktiv 2014/41/EU i tillämpliga fall följa bestämmelserna i direktiv (EU) 2016/680. Förordning (EU) 2016/6793 bör tillämpas på behandling av personuppgifter i samband med sådana förfaranden som avses i artikel 4 b, c och d i direktiv 2014/41/EU om de inte omfattas av direktiv (EU) 2016/680.

(3)I enlighet med artiklarna 1, 2 och 4a.1 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, och utan att det påverkar tillämpningen av artikel 4 i det protokollet, deltar Irland inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Irland.

(4)I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt,

Europaparlamentets och rådets direktiv 2014/41/EU av den 3 april 2014 om en europeisk utredningsorder på det straffrättsliga området (EUT L 130, 1.5.2014, s. 1).

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

deltar Danmark inte i antagandet av detta direktiv, som inte är bindande för eller tillämpligt på Danmark.

(5)Direktiv 2014/41/EU bör därför ändras i enlighet med detta.

(6)Europeiska datatillsynsmannen har hörts i enlighet med artikel 42 i förordning (EU) 2018/17254 och avgav ett yttrande den XX/XX/XXXX5.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Ändring av direktiv 2014/41/EU

Artikel 20 i direktiv 2014/41/EU ska strykas.

Artikel 2

1.Medlemsstaterna ska senast den [ett år efter antagandet] sätta i kraft de lagar och andra författningar som är nödvändiga för att följa detta direktiv. De ska genast överlämna texten till dessa bestämmelser till kommissionen.

När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

2.Medlemsstaterna ska till kommissionen överlämna texten till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av detta direktiv.

Artikel 3

Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

Artikel 4

Detta direktiv riktar sig till medlemsstaterna i enlighet med fördragen.

Utfärdat i Bryssel den

På Europaparlamentets vägnar	På rådets vägnar
Ordförande	Ordförande

Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

Förslag till Europaparlamentets och rådets direktiv om ändring av rådets direktiv 2014/41/EU vad gäller dess anpassning till EU:s regler om skydd av personuppgifter

Händelser

EU-initiativ

EU-initiativ