Förslag till Europaparlamentets och rådets förordning om ändring av rådets beslut 2009/917/RIF vad gäller dess anpassning till unionens bestämmelser om skydd av personuppgifter

EUROPEISKA

KOMMISSIONEN

Bryssel den 17.7.2023

COM(2023) 244 final/2

2023/0143 (COD)

CORRIGENDUM

This document corrects document COM(2023)244 final of 11.5.2023.

Concerns all language versions.

On page 2, under the bullet point 'Subsidiarity (for non-exclusive competence)' of the explanatory memorandum, a sentence has been deleted.

The text shall read as follows:

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om ändring av rådets beslut 2009/917/RIF vad gäller dess anpassning till unionens

bestämmelser om skydd av personuppgifter

SV

SV

MOTIVERING

1.BAKGRUND TILL FÖRSLAGET

• Motiv och syfte med förslaget

Direktiv (EU) 2016/6801 (brottsdatadirektivet) trädde i kraft den 6 maj 2016 och skulle ha införlivats i den nationella lagstiftningen av medlemsstaterna senast den 6 maj 2018. Direktivet upphävde och ersatte rådets rambeslut 2008/977/RIF2, men är ett betydligt mer omfattande instrument om personuppgiftsskydd. Framför allt gäller det både nationell och gränsöverskridande behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott och verkställa straffrättsliga påföljder, inbegripet att skydda mot och förebygga hot mot den allmänna säkerheten (artikel 1.1).

Enligt artikel 62.6 i brottsdatadirektivet skulle kommissionen senast den 6 maj 2019 se över andra EU-rättsakter som reglerar behöriga myndigheters behandling av personuppgifter i samband med brottsbekämpning för att ta ställning till om de behöver anpassas till brottsdatadirektivet och, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter för att säkerställa ett samstämmigt personuppgiftsskydd inom direktivets tillämpningsområde.

Kommissionen redovisade resultaten av översynen i sitt meddelande Det fortsatta arbetet med att anpassa regelverket för den tidigare tredje pelaren till dataskyddsreglerna (24 juni 2020)3 och angav där tio rättsakter som bör anpassas till brottsdatadirektivet. En av dessa är rådets beslut 2009/917/RIF om användning av informationsteknik för tulländamål4.

Föreliggande förslag syftar till att anpassa bestämmelserna om dataskydd i rådets beslut 2009/917/RIF till de principer och bestämmelser som fastställs i brottsdatadirektivet för att skapa ett starkt och enhetligt ramverk för personuppgiftsskydd i unionen.

•Förenlighet med befintliga bestämmelser inom området

Tullinformationssystemet (TIS), som inrättades i enlighet med rådets beslut 2009/917/RIF, är ett automatiserat informationssystem för tulländamål som syftar till att göra det lättare att förebygga, utreda och beivra grova överträdelser av nationella lagar genom att göra information snabbare tillgänglig och öka tullmyndigheternas förutsättningar att arbeta på ett ändamålsenligt sätt. Föreliggande förslag syftar till att anpassa bestämmelserna om dataskydd i rådets beslut 2009/917/RIF till de principer och bestämmelser som fastställs i brottsdatadirektivet för att skapa ett starkt och enhetligt ramverk för personuppgiftsskydd i unionen.

•Förenlighet med unionens politik inom andra områden Ej tillämpligt.

1

2

3

4

Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (EUT L 350, 30.12.2008, s. 60).

COM(2020) 262 final.

EUT L 323, 10.12.2009, s. 20.

SV

1

SV

2. RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

Skyddet för fysiska personer i samband med behandling av deras personuppgifter är en grundläggande rättighet som fastställs i artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (stadgan).

Föreliggande förslag grundar sig på artikel 16.2 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Denna artikel är lämpligast som rättslig grund eftersom den föreslagna ändringen i fråga om både mål och innehåll är tydligt avgränsad till personuppgiftsskydd.

Enligt artikel 16.2 i EUF-fördraget får bestämmelser antas om skydd för enskilda personer när det gäller behandling av personuppgifter hos medlemsstaternas behöriga myndigheter när dessa utövar verksamhet för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder som omfattas av unionsrättens tillämpningsområde. Denna artikel gör det även möjligt att anta bestämmelser om det fria flödet av personuppgifter, även för utbyte av personuppgifter mellan behöriga myndigheter inom EU.

Enligt artikel 2a i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF- fördraget, ska Danmark inte vara bundet av bestämmelser grundade på artikel 16 i EUF- fördraget som avser behandling av personuppgifter vid utövande av verksamhet som omfattas av tillämpningsområdet för kapitlen 4 och 5 i avdelning IV i tredje delen i EUF-fördraget. Danmark kommer därför inte att vara bundet av den förordning som nu föreslås utan fortsätta att tillämpa rådets beslut i dess nuvarande lydelse, dvs. utan de föreslagna ändringarna.

Detta innebär bland annat att den gemensamma tillsynsmyndighet som avses i artikel 25 i rådets beslut formellt kommer att fortsätta att existera enbart i fråga om Danmark. Då det föreslås att denna artikel ska utgå och att artikel 26 ska ändras för att införa den samordnade tillsynsmodell som fastställs i artikel 62 i förordning (EU) 2018/1725 får detta emellertid inga effekter för övriga medlemsstater eller tullinformationssystemet som sådant. Eftersom föreliggande förslag endast handlar om att anpassa rådets beslut till brottsdatadirektivet är detta en oundviklig följd av den anpassning som krävs enligt brottsdatadirektivet och de begränsningar som protokoll nr 22 innebär. Kommissionen kommer att ta förnyad ställning till detta problem om det i framtiden är motiverat att göra en mer genomgripande bedömning av rådets beslut.

I enlighet med artikel 6a i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa är Irland inte bundet av de bestämmelser som fastställs på grundval av artikel 16 i EUF-fördraget i de fall då Irland inte är bundet av bestämmelserna om formerna för straffrättsligt samarbete eller polissamarbete inom ramen för vilka de bestämmelser måste iakttas som fastställs på grundval av artikel 16 i EUF-fördraget. Eftersom Irland deltar i rådets beslut 2009/917/RIF kommer Irland även att delta i antagandet av detta förslag.

•Subsidiaritetsprincipen (för icke-exklusiv befogenhet)

Bara unionen kan anpassa EU-rättsakter till bestämmelserna i brottsdatadirektivet, vilket betyder att bara unionen kan anta en lagstiftningsakt om ändring av rådets beslut 2009/917/RIF.

SV

2

SV

•Proportionalitetsprincipen

Förslaget är begränsat till vad som är nödvändigt för att anpassa rådets beslut 2009/917/RIF till unionslagstiftningen om skydd av personuppgifter (brottsdatadirektivet) utan att på något sätt ändra beslutets tillämpningsområde. Förslaget går inte utöver vad som är nödvändigt för att uppnå de eftersträvade målen, i enlighet med artikel 5.4 i fördraget om Europeiska unionen.

•Val av instrument

Syftet med förslaget är att ändra ett rådsbeslut som antogs innan Lissabonfördraget trädde i kraft 2009. Relevanta bestämmelser i rådets beslut 2009/917/RIF om inrättande av tullinformationssystemet och om systemets drift och användning är direkt tillämpliga.

Det lämpligaste instrumentet för att ändra detta rådsbeslut enligt artikel 16.2 i EUF-fördraget är därför genom en förordning antagen av Europaparlamentet och rådet.

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Efterhandsutvärderingar/kontroller av ändamålsenligheten med befintlig lagstiftning

Föreliggande förslag är baserat på de resultat av kommissionens översyn enligt artikel 62.6 i brottsdatadirektivet som redovisades i meddelandet från 2020 Det fortsatta arbetet med att anpassa regelverket för den tidigare tredje pelaren till dataskyddsreglerna. I meddelandet anges att rådets beslut 2009/917/RIF måste anpassas till brottsdatadirektivet på sex konkreta punkter:

–I fråga om de ”grova överträdelser” som rådets beslut gäller.

–För att klargöra villkoren för insamling och registrering av personuppgifter och kräva att personuppgifter förs in i TIS endast om det finns rimliga skäl att anta, i synnerhet på grundval av tidigare olaglig verksamhet, att den berörda personen har gjort, gör eller kommer att göra sig skyldig till ett brott.

–För att fastställa ytterligare krav avseende säkerhet vid behandling så att förteckningen över nödvändiga säkerhetsåtgärder är anpassad till artikel 29 i brottsdatadirektivet, dvs. genom att lägga till krav på systemets återställande, driftsäkerhet och dataintegritet.

–För att begränsa senare behandling, så att personuppgifter som registrerats i TIS får behandlas för andra ändamål än de ändamål för vilka de samlats in endast på de villkor som anges i brottsdatadirektivet.

–För att göra behandlingen av personuppgifter enligt rådets beslut 2009/917/RIF

föremål för den samordnade tillsynsmodell som fastställs i artikel 62 i förordning (EU) 2018/17255. Rådets beslut är den enda rättsakt enligt vilken tillsyn av

5Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

SV

3

SV

behandlingen av personuppgifter ska utföras av den gemensamma tillsynsmyndighet som sedan dess har blivit obsolet.

–För att uppdatera den allmänna hänvisningen till rådets rambeslut 2008/977/RIF med en hänvisning till brottsdatadirektivets tillämplighet. Alla bestämmelser som överlappar med brottsdatadirektivet (t.ex. definitioner av eller bestämmelser om registrerades rättigheter eller tillgång till rättsmedel och ansvar) bör utgå eftersom de är föråldrade och obsoleta. Hänvisningar till särskilda bestämmelser i rådets rambeslut 2008/977/RIF bör uppdateras med specifika motsvarande hänvisningar till brottsdatadirektivet.

Föreliggande förslag är begränsat till vad som är nödvändigt för att genomföra ovanstående punkter.

•Samråd med berörda parter

Ej tillämpligt.

•Insamling och användning av sakkunnigutlåtanden

I sin översyn enligt artikel 62.6 i brottsdatadirektivet tog kommissionen hänsyn till en studie som genomfördes som en del av pilotprojektet om en översyn av instrument och program för insamling av uppgifter i unionen med avseende på grundläggande rättigheter6. I studien kartlades unionsakter som omfattas av artikel 62.6 i brottsdatadirektivet och bestämmelser identifierades som eventuellt skulle behöva anpassas i dataskyddshänseende.

•Konsekvensbedömning

Konsekvenserna av detta förslag är begränsade till behöriga myndigheters behandling av personuppgifter i de specifika fall som regleras i rådets beslut 2009/917/RIF. Konsekvenserna av de nya skyldigheter som följer av brottsdatadirektivet bedömdes i samband med beredningen av brottsdatadirektivet. Detta innebär att det inte behövs någon särskild konsekvensbedömning för detta förslag.

•Lagstiftningens ändamålsenlighet och förenkling

Förslaget ingår inte i programmet om lagstiftningens ändamålsenlighet och resultat (Refitprogrammet).

•Grundläggande rättigheter

Rätten till skydd av personuppgifter fastställs i artikel 8 i stadgan och artikel 16 i EUF- fördraget. Som Europeiska unionens domstol7 har framhållit är rätten till skydd av

6

7

Pilotprojektet begärdes av Europaparlamentet, leddes av kommissionen och genomfördes av en uppdragstagare (en grupp av oberoende experter). Kommissionen valde ut uppdragstagaren på grundval av kriterier som fastställts av Europaparlamentet. Projektresultaten återspeglar endast uppdragstagarens synpunkter och åsikter och kommissionen kan inte hållas ansvarig för eventuell användning av informationen i dem. Resultaten har publicerats på http://www.fondazionebrodolini.it/en/projects/pilot- project-fundamental-rights-review-eu-data-collectioninstruments-and-programmes

Domstolens dom av den 9 november 2010, Volker und Markus Schecke och Eifert, förenade målen C-92/09 och C-93/09 (ECLI:EU:C:2009:284, punkt 48).

SV

4

SV

personuppgifter inte en absolut rättighet, utan måste beaktas utifrån sin funktion i samhället8. Personuppgiftsskyddet är även nära knutet till respekten för privatlivet och familjelivet som skyddas genom artikel 7 i stadgan.

Föreliggande förslag säkerställer att all behandling av personuppgifter enligt rådets beslut 2009/917/RIF omfattas av de övergripande principerna och bestämmelserna i EU:s lagstiftning om personuppgiftsskydd och genomför därmed artikel 8 i stadgan. Syftet med denna lagstiftning är att säkerställa ett starkt personuppgiftsskydd. Ett förtydligande av att bestämmelserna i brottsdatadirektivet är tillämpliga och hur de ska tillämpas på behandling av personuppgifter enligt rådets beslut kommer att ha en positiv inverkan på den grundläggande rätten till privatliv och personuppgiftsskydd.

4.BUDGETKONSEKVENSER

Ej tillämpligt.

5.ÖVRIGA INSLAG

•Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering

Ej tillämpligt.

•Ingående redogörelse för de specifika bestämmelserna i förslaget

I artikel 1 fastställs vilka bestämmelser i rådets beslut 2009/917/RIF som måste ändras baserat på resultaten av kommissionens översyn enligt artikel 62.6 i brottsdatadirektivet som redovisades i meddelandet från 2020. Det handlar om följande bestämmelser:

∙Artikel 1 – punkt 2 ändras för att ersätta begreppet ”grova överträdelser av nationella lagar” med en hänvisning till ”brott enligt nationella lagar” som ett förtydligande och en anpassning till brottsdatadirektivet.

∙Artikel 2 – punkt 2 om definitionen av ”personuppgifter” utgår eftersom definitionen av personuppgifter i artikel 3.1 i brottsdatadirektivet är tillämplig.

∙Artikel 3 – punkt 2 ändras för att förtydliga kommissionens och medlemsstaternas respektive roller när det gäller personuppgifter. Ett skäl införs i samma syfte.

∙Artikel 4 – punkt 5 uppdateras för att ersätta hänvisningen till förteckningen över vissa kategorier av personuppgifter som inte får föras in i systemet enligt rambeslut 2008/977/RIF med en hänvisning till motsvarande förteckning enligt brottsdatadirektivet.

∙Artikel 5 – punkt 2 uppdateras för att klargöra villkoren för insamling och registrering av uppgifter och kräva att uppgifter förs in i TIS endast om det finns rimliga skäl att anta, i synnerhet på grundval av tidigare olaglig verksamhet, att den

8I enlighet med artikel 52.1 i stadgan får utövandet av rätten till dataskydd begränsas, under förutsättning att begränsningarna har föreskrivits i lag, är förenliga med det väsentliga innehållet i rättigheten och friheterna och, med beaktande av proportionalitetsprincipen, endast görs om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.

SV

5

SV

berörda personen har gjort, gör eller kommer att göra sig skyldig till ett av de brott enligt nationella lagar som omfattas.

∙Artikel 7 – punkt 3 uppdateras för att klargöra på vilka villkor internationella eller regionala organisationer kan få åtkomst till TIS enligt brottsdatadirektivet.

∙Artikel 8 – punkt 1 uppdateras för att begränsa senare behandling av personuppgifter som förts in i TIS i enlighet med den princip om ändamålsbegränsning som regleras genom brottsdatadirektivet. Artikeln klargör på vilka villkor icke-personuppgifter kan behandlas för andra ändamål. Punkt 4 omarbetas för att klargöra på vilka villkor personuppgifter och icke-personuppgifter får överföras, även internationellt.

∙Artikel 14 om bevarande av personuppgifter uppdateras för att införa en maximal lagringsperiod i enlighet med artikel 4.1 e i brottsdatadirektivet och förenkla det tidigare förfarandet. Ett skäl införs också för att närmare förklara varför denna uppdatering görs.

∙Artikel 15 – punkt 3 ersätts för att anpassa begreppet ”grova överträdelser av nationella lagar” till den hänvisning till ”brott enligt nationella lagar” som införs i den nya punkt 2 som infogas i artikel 1.

∙Artikel 20 – denna artikel ersätts för att uppdatera den allmänna hänvisningen till rådets rambeslut 2008/977/RIF med en hänvisning till brottsdatadirektivet.

∙Artikel 22 om rätt till tillgång samt rätt till rättelse, radering eller blockering utgår eftersom den är föråldrad och inaktuell.

∙Artikel 23 om registrerades rättigheter på nationell nivå utgår eftersom den är föråldrad och inaktuell.

∙Artikel 24 om utseende av en eller flera nationella tillsynsmyndigheter utgår eftersom den är föråldrad och inaktuell.

∙Artikel 25 om inrättande av en gemensam tillsynsmyndighet utgår eftersom den är föråldrad och inaktuell.

∙Artikel 26 – denna artikel uppdateras för att underställa behandling av personuppgifter den samordnade tillsynsmodell som fastställs i artikel 62 i förordning (EU) 2018/1725.

∙Artikel 28 – punkt 2 ändras för att fastställa ytterligare krav avseende säkerhet vid behandling så att förteckningen över nödvändiga säkerhetsåtgärder är anpassad till artikel 29 i brottsdatadirektivet, dvs. krav läggs till som avser systemets återställande, driftsäkerhet och dataintegritet.

∙Artikel 30 – punkt 1 utgår eftersom den är föråldrad och inaktuell.

I artikel 2 anges när denna förordning träder i kraft.

SV

6

SV

2023/0143 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om ändring av rådets beslut 2009/917/RIF vad gäller dess anpassning till unionens

bestämmelser om skydd av personuppgifter

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2, med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1)I Europaparlamentets och rådets direktiv (EU) 2016/6809 fastställs harmoniserade bestämmelser om skydd och fri rörlighet för personuppgifter som behandlas i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Enligt det direktivet måste kommissionen se över andra relevanta unionsrättsakter i syfte att bedöma om de behöver anpassas till direktivet och, i förekommande fall, lägga fram förslag till ändring av dessa rättsakter för att säkerställa ett enhetligt tillvägagångssätt för skydd av personuppgifter inom direktivets tillämpningsområde.

(2)Genom rådets beslut 2009/917/RIF10 om användning av informationsteknik för tulländamål upprättas tullinformationssystemet (TIS) för att bistå med att förebygga, utreda och beivra grova överträdelser av nationella lagar genom att göra information snabbare tillgänglig och därmed öka tullmyndigheternas förutsättningar att arbeta på ett ändamålsenligt sätt. För att säkerställa ett enhetligt tillvägagångssätt för skydd av personuppgifter i unionen bör beslutet ändras för att anpassa det till direktiv (EU) 2016/680. Bestämmelserna om personuppgiftsskydd bör framför allt respektera principen om specificering av ändamål, vara begränsade till angivna kategorier av registrerade och personuppgifter, respektera datasäkerhetskrav, omfatta ytterligare skydd för särskilda kategorier av personuppgifter och respektera villkoren för senare behandling. Det bör dessutom finnas en bestämmelse om den samordnade tillsynsmodell som införs genom artikel 62 i förordning (EU) 2018/172511.

9Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

10Rådets beslut 2009/917/RIF om användning av informationsteknik för tulländamål (EUT L 323, 10.12.2009, s. 20).

11Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och

SV

7

SV

(3)För att genom ett tydligt och enhetligt tillvägagångssätt säkerställa ett tillräckligt skydd av personuppgifter bör i synnerhet termen ”grova överträdelser” ersättas med ”brott”, eftersom det faktum att ett handlande är förbjudet enligt en medlemsstats strafflagstiftning i sig innebär att det är en överträdelse av en viss grovhetsgrad. Syftet med TIS bör dessutom även fortsättningsvis vara begränsat till att hjälpa till att förebygga, förhindra, utreda, avslöja och lagföra brott enligt nationella lagar såsom dessa definieras i rådets beslut 2009/917/RIF, dvs. nationella lagar i fråga om vilka nationella tullmyndigheter är behöriga och som därför är särskilt relevanta i tullsammanhang. Även om beteckningen som brott är ett nödvändigt krav bör därför inte alla brott omfattas av denna bestämmelse. Som exempel kan nämnas att olaglig narkotikahandel, olaglig vapenhandel och penningtvätt är brott som faller under denna bestämmelse. Förutom införandet av termen ”brott” bör denna ändring vidare inte förstås som att den påverkar de särskilda kraven i rådets beslut vad gäller upprättande och översändande av en förteckning över brott enligt nationella lagar som uppfyller vissa villkor, eftersom dessa krav endast gäller det specifika syftet med registret för identifiering av tullutredningar.

(4)Det är nödvändigt att förtydliga kommissionens och medlemsstaternas respektive roller när det gäller personuppgifter. Kommissionen betraktas som personuppgiftsbiträde som agerar för de nationella myndigheter som utsetts av av varje medlemsstat och som betraktas som personuppgiftsansvariga.

(5)För att säkerställa en optimal lagring av uppgifterna och samtidigt minska den administrativa bördan för behöriga myndigheter bör förfarandet för bevarande av personuppgifter i TIS förenklas genom att skyldigheten att se över uppgifterna en gång om året avskaffas och en maximal lagringsperiod på fem år fastställs som i motiverade fall kan förlängas med ytterligare två år. Denna lagringsperiod är nödvändig och proportionell med tanke på hur länge straffrättsliga förfaranden normalt pågår och behovet av uppgifterna för att genomföra gemensamma tullaktioner och utredningar.

(6)I enlighet med artikel 6a i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen (EU-fördraget) och EUF-fördraget, är Irland bundet av rådets beslut 2009/917/RIF och deltar därför i antagandet av denna förordning.

(7)I enlighet med artiklarna 1, 2 och 2a i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark.

(8)Europeiska datatillsynsmannen har hörts i enlighet med artikel 42 i förordning (EU) 2018/1725 och avgav ett yttrande den XX/XX/202X.

(9)Rådets beslut 2009/917/RIF bör därför ändras i enlighet med detta.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Rådets beslut 2009/917/RIF ändras på följande sätt:

(1)Artikel 1.2 ska ersättas med följande:

byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

SV

8

SV

”2. Syftet med tullinformationssystemet är att bistå behöriga myndigheter i medlemsstaterna med att förebygga, förhindra, utreda, avslöja och lagföra brott enligt nationella lagar genom att göra information snabbare tillgänglig och därmed öka ändamålsenligheten i samarbets- och kontrollförfarandena hos tullmyndigheterna i medlemsstaterna.”

(2)Artikel 2.2 ska utgå.

(3)En ny mening ska läggas till efter artikel 3.2 första meningen enligt följande:

”När det gäller behandling av personuppgifter i tullinformationssystemet ska kommissionen betraktas som personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 som agerar för de nationella myndigheter som utsetts av varje medlemsstat och som ska betraktas som personuppgiftsansvariga.”

(4)Artikel 4.5 ska ersättas med följande:

”5. Inte under några omständigheter får de personuppgifter som avses i artikel 10 i direktiv 2016/680 föras in i tullinformationssystemet.”

(5)Artikel 5.2 ska ersättas med följande:

”2. För de åtgärder som avses i punkt 1 får personuppgifter i de kategorier som avses i artikel 3.1 föras in i tullinformationssystemet endast om det finns rimliga skäl, särskilt på grundval av tidigare olaglig verksamhet, som tyder på att den berörda personen har gjort, gör eller kommer att göra sig skyldig till brott enligt nationella lagar.”

(6)Artikel 7.3 ska ersättas med följande:

”3. Utan hinder av punkterna 1 och 2 får rådet i undantagsfall genom ett enhälligt beslut och efter samråd med Europeiska dataskyddsstyrelsen tillåta att internationella eller regionala organisationer får åtkomst till tullinformationssystemet, under förutsättning att båda följande villkor uppfylls:

(a)Åtkomsten är i enlighet med de allmänna principer för överföringar av personuppgifter som anges i artikel 35 eller, i tillämpliga fall, artikel 39 i direktiv (EU) 2016/680.

(b)Åtkomsten grundas antingen på ett beslut om adekvat skyddsnivå som antagits enligt artikel 36 i det direktivet eller omfattas av lämpliga skyddsåtgärder enligt artikel 37 i samma direktiv.”

(7)Artikel 8.1 ska ersättas med följande:

”1. Medlemsstaterna, Europol och Eurojust får endast behandla personuppgifter som erhålls från tullinformationssystemet för att uppnå det mål som anges i artikel 1.2 och i enlighet med tillämpliga bestämmelser i unionsrätten om behandling av personuppgifter.

Medlemsstaterna, Europol och Eurojust får behandla icke-personuppgifter som erhålls från tullinformationssystemet för att uppnå det mål som anges i artikel 1.2 eller för andra ändamål, inbegripet administrativa ändamål, i enlighet med eventuella villkor som angetts av den medlemsstat som förde in dessa icke-personuppgifter i systemet.”

(8)Artikel 8.4 ska ersättas med följande:

”4. Personuppgifter som erhålls från tullinformationssystemet får, med föregående tillstånd av den medlemsstat som fört in uppgifterna i systemet och om inte annat följer av de villkor som denna stat angett,

SV

9

SV

(a)överföras till, och senare behandlas av, andra nationella myndigheter än de som utsetts enligt punkt 2, i enlighet med tillämpliga bestämmelser i unionsrätten om behandling av personuppgifter, eller

(b)överföras till, och senare behandlas av, tredjeländers behöriga myndigheter och till internationella eller regionala organisationer i enlighet med kapitel V i direktiv (EU) 2016/680 och, i relevanta fall, kapitel V i förordning (EU) 2018/1725.

Icke-personuppgifter som erhålls från tullinformationssystemet får överföras till, och senare behandlas av, andra nationella myndigheter än de som utses enligt punkt 2, tredjeländer och internationella eller regionala organisationer i enlighet med eventuella villkor som angetts av den medlemsstat som förde in icke-personuppgifterna i systemet.”

(9)Artikel 14 ska ersättas med följande:

”Personuppgifter som förs in i tullinformationssystemet ska bevaras endast under den tid som behövs för att uppnå det syfte som anges i artikel 1.2 och inte längre än fem år. I undantagsfall får dessa uppgifter dock bevaras i ytterligare högst två år om, och i den mån, det i ett enskilt fall har konstaterats vara strängt nödvändigt för att uppnå detta syfte.”

(10)Artikel 15.3 ska ersättas med följande:

”3. För tillämpning av registret för identifiering av tullutredningar ska varje medlemsstat översända en förteckning över brott mot dess nationella lagar till övriga medlemsstater, Europol, Eurojust och den kommitté som avses i artikel 27.

Denna förteckning ska endast omfatta sådana brott som kan bestraffas med

(a)ett frihetsstraff eller en frihetsberövande åtgärd under en maximiperiod av minst tolv månader, eller med

(b)böter på minst 15 000 EUR.”

(11)Artikel 20 ska ersättas med följande:

”Direktiv (EU) 2016/680 ska gälla för behandling av personuppgifter enligt detta beslut.”

(12)Artiklarna 22, 23, 24 och 25 ska utgå.

(13)Artikel 26 ska ersättas med följande:

”Samordnad tillsyn av nationella tillsynsmyndigheter och Europeiska datatillsynsmannen ska säkerställas i enlighet med artikel 62 i förordning (EU)

2018/1725.”

(14)I artikel 28.2 ska följande led läggas till:

”i) säkerställa att de system som används kan återställas vid störningar,

j)säkerställa att systemet fungerar, att funktionsfel rapporteras och att de lagrade personuppgifterna inte kan förvanskas genom funktionsfel i systemet.”

(15)Artikel 30.1 ska utgå.

SV

10

SV

Artikel 2

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.

Utfärdad i Bryssel den

På Europaparlamentets vägnar	På rådets vägnar
Ordförande	Ordförande

SV

11

SV