Till innehåll på sidan
Sveriges Riksdags logotyp, tillbaka till startsidan

Förslag till Europaparlamentets och rådets förordning om ändring av Europaparlamentets och rådets förordning (EU) 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter.

EU-dokument COM(2026) 314

EUROPEISKA

KOMMISSIONEN

Bryssel den 23.6.2026

COM(2026) 314 final

2026/0173 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om ändring av Europaparlamentets och rådets förordning (EU) 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter.

SV SV

MOTIVERING

1.BAKGRUND TILL FÖRSLAGET

• Motiv och syfte med förslaget

Förordning (EU) 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av EU:s institutioner, organ och byråer utformades för att inrätta ett enhetligt och moderniserat dataskyddssystem för alla EU:s institutioner, organ och byråer. Kapitel IX i förordning (EU) 2018/1725 var särskilt avsett att reglera behandlingen av ”operativa personuppgifter” (dvs. personuppgifter som behandlas för att utföra verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget) av EU:s byråer och organ för rättsliga och inrikes frågor (RIF), inbegripet Europol, Eurojust, Europeiska åklagarmyndigheten (Eppo) och, i begränsad utsträckning, Frontex.

Trots antagandet av dataskyddsförordningen för EU-institutionerna är den dataskyddsram som är tillämplig på EU:s RIF-byråer och RIF-organ fortfarande fragmenterad. I synnerhet är kapitel IX inte tillämpligt på Europeiska åklagarmyndigheten, vars inrättandeförordning antogs före dataskyddsförordningen för EU-institutionerna. Till följd av detta skiljer sig vissa bestämmelser i Eppo-förordningen i sak från, eller är formulerade på ett annat sätt än motsvarande bestämmelser i kapitel IX i dataskyddsförordningen för EU-institutionerna. I dataskyddsförordningen för EU-institutionerna föreskrivs dessutom att när det gäller behandling av operativa personuppgifter är endast artikel 3 (definitioner) och kapitel IX tillämpliga. Å ena sidan har detta lett till att bestämmelser som reglerar vissa aspekter av behandlingen av operativa personuppgifter har behållits i grundrättsakter för respektive organ eller byråer. Men det har också gett upphov till rättsosäkerhet om huruvida, och i vilken utsträckning, bestämmelserna i kapitlen II-VIII, såsom de som rör register över behandling eller dataskyddsombudets uppgifter, är tillämpliga i situationer där motsvarande bestämmelser varken finns i kapitel IX eller i de relevanta organens eller byråernas grundrättsakter. Denna fragmentering undergräver inte bara rättssäkerheten utan skapar också praktiska hinder för ett effektivt samarbete mellan EU:s organ och byråer när de delar uppgifter. I sin första rapport om tillämpningen av dataskyddsförordningen för EU-institutionerna från 2022 erkände kommissionen dessa brister och övervägde lagstiftningsåtgärder för att åtgärda dem.

Mot den bakgrunden syftar detta förslag till att förenkla den tillämpliga ramen för dataskydd och säkerställa konsekvens i denna, särskilt genom att anpassa de berörda reglerna mellan EU:s organ och byråer. Denna anpassning förväntas minska de administrativa bördorna och underlätta datautbytet mellan dem, samtidigt som rättssäkerheten förbättras. För konsekvensens skull och i linje med det allmänna målet att minimera fragmenteringen av dataskyddsreglerna bygger förslaget på fyra huvudmål:

Säkerställa en konsekvent tillämpning av uppgiftsskyddet på alla EU:s institutioner, organ och byråer

Kapitel IX måste ges ett utvidgat tillämpningsområde för att säkerställa att det tillämpas konsekvent inom alla EU:s byråer, organ som arbetar med frågor som rör straffrätt och brottsbekämpning. Förslaget innebär att Eppo integreras i ramen för dataskyddsförordningen för EU-institutionerna. Detta kommer att göras utan att det påverkar möjligheten att i Eppoförordningen behålla de särskilda dataskyddsregler som behövs för att återspegla Europeiska åklagarmyndighetens unika karaktär som unionens oberoende åklagarmyndighet. Reglerna i kapitel IX är redan anpassade till motsvarande regler i direktiv (EU) 2016/680 om brottsbekämpning och kommer att leda till en enda, harmoniserad uppsättning regler för alla berörda parter för att minska fragmenteringen och säkerställa att de regler som tillämpas är konsekventa.

SV 1 SV

Ökad rättslig förutsebarhet

För närvarande saknar kapitel IX bestämmelser om flera viktiga aspekter, bland annat dataskyddsombudens roll, förande av register över behandling, samarbete mellan tillsynsmyndigheter och internationell överföring av operativa personuppgifter. Förslaget syftar till att samla reglerna på ett ställe och effektivisera efterlevnaden utan någon betydande inverkan på det operativa planet. Detta kommer också att skapa större klarhet för personuppgiftsansvariga, personuppgiftsbiträden och registrerade.

Rationalisering av Europeiska datatillsynsmannens befogenheter

För närvarande regleras Europeiska datatillsynsmannens tillsynsbefogenheter i grundrättsakter för Europol, Eurojust och Europeiska åklagarmyndigheten, som var och en innehåller olika bestämmelser, vilket leder till osäkerhet och ineffektivitet. Frontex inrättandeakt reglerar inte Europeiska datatillsynsmannens tillsyn över behandlingen av operativa uppgifter, vilket resulterat i en betydande brist på överensstämmelse.

Förslaget syftar till att klargöra att Europeiska datatillsynsmannen ges tillsynsbefogenheter som är i linje med dem som anges i artikel 58 i dataskyddsförordningen för EU- institutionerna, men anpassade till kraven vid behandling av operativa uppgifter, särskilt med avseende på behoven för Europeiska åklagarmyndigheten i samband med utrednings- och lagföringsverksamhet. I detta avseende följer förslaget modellen för Europeiska datatillsynsmannens befogenheter från 2022 års reform av Europol, samtidigt som överensstämmelse med kapitel VI i dataskyddsförordningen för EU-institutionerna och direktivet om dataskydd vid brottsbekämpning säkerställs. Förslaget innebär att byråspecifika bestämmelser om Europeiska datatillsynsmannens uppgifter och befogenheter tas bort från inrättandeakterna.

Allmän rationalisering

Slutligen syftar förslaget till att rationalisera bestämmelserna och därigenom undanröja redundans, dubbelarbete och inkonsekvenser på området dataskydd för unionens organ och byråer på RIF-området när de bedriver verksamhet som omfattas av tredje delen avdelning V kapitlen 4 och 5 i EUF-fördraget. Det anpassar också bestämmelserna om behandling av operativa data till förslaget om ett digitalt omnibuspaket(1), när så är relevant.

•Förenlighet med befintliga bestämmelser inom området

Förslaget syftar till att anpassa bestämmelserna i EU-institutionernas dataskyddsförordning till befintlig dataskyddspolitik och stärka de principer som fastställs i den allmänna dataskyddsförordningen och brottsdatadirektivet. Förslaget säkerställer anpassning till de ändringar av ramen för dataskydd som föreslås inom ramen för det digitala omnibuspaketet, när så är relevant.

•Förenlighet med unionens politik inom andra områden

Förslaget ingår i ett paket med straffrättsliga initiativ som syftar till att uppfylla ett sammanhängande och kompletterande mål, nämligen att stärka unionens kapacitet att förebygga, upptäcka, utreda och lagföra allvarlig gränsöverskridande brottslighet i en alltmer komplex säkerhetsmiljö. Genom att modernisera de rättsliga ramar som styr samarbetet

(1)Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING om ändring av förordningarna (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854 och direktiven 2002/58/EG, (EU) 2022/2555 och (EU) 2022/2557 vad gäller förenkling av lagstiftningsramen på det digitala området och om upphävande av förordningarna (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868 och direktiv (EU) 2019/1024 (det digitala omnibuspaketet), COM(2025) 837 final.

SV 2 SV

mellan brottsbekämpande, rättsliga och andra berörda myndigheter syftar paketet till att stärka effektiviteten, samstämmigheten och interoperabiliteten i unionens struktur för inre säkerhet.

De föreslagna ändringarna av Europol- och Eurojustförordningarna utgör kärnan i denna insats. Europol och Eurojust har olika men kompletterande funktioner inom området med frihet, säkerhet och rättvisa: Där Europol stöder förebyggande, upptäckt och utredning av brottslig verksamhet, underlättar Eurojust det rättsliga samarbetet och säkerställer effektiv lagföring och rättslig uppföljning. Paketet syftar därför till att stärka samarbetet och komplementariteten mellan de två byråerna samt med andra relevanta unionsaktörer på områdena rättsliga och inrikes frågor och arkitektur för bedrägeribekämpning. Syftet är att få en väl fungerande kontinuitet till stånd mellan brottsbekämpande åtgärder och rättslig uppföljning i alla skeden av den straffrättsliga kedjan.

I detta sammanhang bidrar ändringarna av ramen för den europeiska utredningsordern samt detta förslag ytterligare till uppnåendet av detta mål genom att underlätta ett effektivt gränsöverskridande samarbete, förbättra villkoren för informationsutbyte och säkerställa en enhetlig rättslig ram som är anpassad till den operativa verkligheten och den tekniska utvecklingen. Sammantaget kommer de åtgärder som föreslås i detta paket att stärka unionens förmåga att reagera på föränderliga säkerhetshot, samtidigt som de grundläggande rättigheterna, rättsstatsprincipen och ansvarsfördelningen mellan de olika berörda aktörerna respekteras fullt ut.

I detta förslag identifieras i synnerhet alla gemensamma nämnare för dataskyddsregler som är tillämpliga på Europol och Eurojust. Berörda regler samlas i dataskyddsförordningen för EU- institutionerna, vilket undanröjer fragmentering och dubbelarbete. Detta gör det möjligt för unionens organ och byråer som är verksamma inom brottsbekämpningens och straffrättens områden att i sina grundakter endast behålla de skräddarsydda dataskyddsregler som har utvecklats för att återspegla deras respektive specifika operativa behov och karaktär.

Förslaget antas parallellt med översynerna av Europol- och Eurojustförordningarna, vilket säkerställer samstämmighet och anpassning mellan de respektive rättsliga ramarna. Det föregriper också den kommande översynen av förordning (EU) 2017/1939(2) om inrättande av Europeiska åklagarmyndigheten, med beaktande av dess framtida utveckling och utan att det påverkar bedömningen av möjliga politiska alternativ för översynen av förordningen om Europeiska åklagarmyndigheten. Denna samordnade strategi bidrar till en övergripande och konsekvent ram för unionsorganens och unionsbyråernas behandling av operativa data.

2. RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN OCH PROPORTIONALITETSPRINCIPEN

•Rättslig grund

Skyddet av fysiska personer i samband med behandling av deras personuppgifter är en grundläggande rättighet som fastställs i artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna.

Detta förslag grundar sig på artikel 16 i EUF-fördraget, som är den rättsliga grunden för antagandet av regler om skydd av personuppgifter. Denna artikel gör det möjligt att anta bestämmelser om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde. Det gör det också möjligt att

(2)Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1, ELI: http://data.europa.eu/eli/reg/2017/1939/oj)

SV 3 SV

anta bestämmelser om det fria flödet av personuppgifter, inbegripet personuppgifter som behandlas av dessa institutioner, organ och byråer.

•Subsidiaritetsprincipen (för icke-exklusiv befogenhet) Ej tillämpligt

•Proportionalitetsprincipen

Ej tillämpligt

•Val av instrument Ej tillämpligt

3.RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD MED BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR

•Efterhandsutvärderingar/kontroller av ändamålsenligheten med befintlig lagstiftning

I kommissionens första rapport från 2022 om tillämpningen av EUDPR drogs slutsatsen att dataskyddsförordningen på det hela taget fungerar väl och är ändamålsenlig. Samtidigt identifierades behovet av lagstiftningsåtgärder för att minimera fragmenteringen av dataskyddsreglerna för EU-institutioner och EU-organ som behandlar operativa personuppgifter när de bedriver verksamhet inom ramen för polissamarbete och straffrättsligt samarbete (kapitel IX i EUDPR, kapitlet om brottsbekämpning).

•Samråd med berörda parter

Riktade samråd med berörda parter genomfördes med alla enheter som för närvarande omfattas eller i framtiden kommer att omfattas av kapitel IX i EUDPR (dvs. Europol, Eurojust, Eppo och Frontex) samt med Europeiska datatillsynsmannen, som ansvarar för att övervaka efterlevnaden.

•Insamling och användning av sakkunnigutlåtanden Ej tillämpligt

•Konsekvensbedömning

En konsekvensbedömning anses inte lämplig för detta initiativ på grund av dess begränsade omfattning och de föreslagna ändringarnas till stor del tekniska karaktär. Förslaget är inriktat på särskilda bestämmelser i EUDPR och påverkar endast en liten grupp EU-enheter på området straffrättsligt samarbete och polissamarbete, utan att ändra den övergripande ramen. Ändringarna syftar till att säkerställa ett bättre harmoniserat system och omfattar inte nya politiska alternativ, och förväntas ha en minimal, icke kvantifierbar inverkan på de grundläggande rättigheterna och inga ekonomiska, sociala eller miljömässiga konsekvenser. Dessutom är de berörda byråerna redan föremål för separata utvärderingar och konsekvensbedömningar, bland annat när det gäller de dataskyddsregler som är tillämpliga på dem. En separat bedömning enligt dataskyddsförordningen för EU-institutionerna skulle överlappa detta arbete. Förslaget ligger i linje med kommissionens tidigare åtagande i dess första rapport om tillämpningen av dataskyddsförordningen för EU-institutionerna från 2022, och en ytterligare utvärdering av dataskyddsförordningen för EU-institutionerna planeras under 2027. Slutligen uppstår inga subsidiaritetsproblem, eftersom dataskyddsförordningen för EU-institutionerna endast är tillämplig på EU-organ, som inte kan regleras av medlemsstaterna.

SV 4 SV

•Lagstiftningens ändamålsenlighet och förenkling

Förslaget harmoniserar och förenklar de dataskyddsregler som gäller för unionens byråer, kontor och organ som arbetar med frågor om brottsbekämpning och straffrätt. En rationalisering av befintliga regler bidrar till större rättslig klarhet och enhetlighet i hela den institutionella ramen, vilket underlättar tillämpningen av reglerna och minskar den administrativa komplexiteten. Även om fördelarna inte är lätta att kvantifiera förväntas förslaget minska efterlevnadskostnaderna och de administrativa bördorna i samband med hanteringen av olika eller överlappande krav. Förslaget stöder också utvecklingen av alla mekanismer för utbyte mellan aktörer som övervägs i samband med översynen av strukturen för bedrägeribekämpning.

•Grundläggande rättigheter

Ändringarnas riktade karaktär säkerställer att den befintliga dataskyddsnivån bibehålls, samtidigt som det föreskrivs förbättringar när det gäller de tillämpliga reglernas enhetlighet och ytterligare harmonisering.

4.BUDGETKONSEKVENSER Ej tillämpligt

5.ÖVRIGA INSLAG

•Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering

Ej tillämpligt

•Ingående redogörelse för de specifika bestämmelserna i förslaget

Artikel 1 tar upp ändringar av förordning (EU) 2018/1725 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer.

Punkt 1 ersätter artikel 2.2 och utvidgar tillämpningsområdet för artiklarna 43, 44 och 45 samt kapitlen VII och VIII i förordning (EU) 2018/1725 till att omfatta behandling av operativa personuppgifter som utförs av unionens organ och byråer, utan att det påverkar tillämpningen av särskilda dataskyddsregler som är tillämpliga på unionens organ och byråer. Artikel 2.3 stryks också, vilket utvidgar tillämpningen av dataskyddsförordningen för EU-institutionerna till att omfatta Europeiska åklagarmyndigheten, dock utan att undergräva behovet av att i Eppo-förordningen behålla särskilda dataskyddsregler som tar hänsyn till Europeiska åklagarmyndighetens särskilda karaktär som unionens oberoende utrednings- och åklagarmyndighet.

I punkt 2 föreskrivs tekniska justeringar av ordalydelsen i artikel 45 om dataskyddsombudets uppgifter, och det säkerställs att dessa uppgifter även omfattar behandling av operativa uppgifter.

Punkt 3 säkerställer att Europeiska datatillsynsmannens befogenhet enligt artikel 66 i förordning (EU) 2018/1725 att påföra administrativa sanktionsavgifter omfattar behandling av operativa personuppgifter som utförs av unionens organ och byråer.

SV 5 SV

Genom punkt 4 stryks artikel 70 i förordning (EU) 2018/1725, som är föråldrad mot bakgrund av definitionen av de bestämmelser som är tillämpliga på behandling av operativa uppgifter i artikel 2.2.

Genom punkt 5 ändras artikel 77 i förordning (EU) 2018/1725 för att säkerställa anpassning till förslaget om ett digitalt omnibuspaket och för att öka rättssäkerheten genom att specificera att beslut som enbart grundar sig på automatiserad behandling av operativa personuppgifter är tillåtna under förutsättning att särskilda villkor är uppfyllda.

Punkt 6 innebär att artikel 78 i förordning (EU) 2018/1725 ändras för att säkerställa anpassning till förslaget om ett digitalt omnibuspaket genom att klargöra vad som utgör missbruk av rätten till tillgång. I synnerhet anges att en begäran kan anses vara uppenbart ogrundad om den registrerade åberopar rätten till tillgång för andra ändamål än att skydda sina uppgifter. I sådana fall får den personuppgiftsansvarige vägra att tillmötesgå begäran, samtidigt som denne fortfarande omfattas av skyldigheten att visa att begäran är uppenbart ogrundad eller orimlig.

Genom punkt 7 införs en ny artikel 87a i förordning (EU) 2018/1725 om registerföring av operativa personuppgifter, i linje med bestämmelserna i brottsdatadirektivet.

Genom punkterna 8 och 9 läggs ytterligare skyddsåtgärder till i artikel 88 i förordning (EU) 2018/1725 vad gäller loggning.

Punkt 10 ändrar artikel 92.1 i förordning (EU) 2018/1725 i syfte att säkerställa anpassning till förslaget om ett digitalt omnibuspaket genom att tidsfristen för att anmäla en personuppgiftsincident till Europeiska datatillsynsmannen förlängs från 72 timmar till 96 timmar. Ändringen innebär också att tröskeln för anmälan höjs, då det föreskrivs att anmälan endast krävs om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter.

Punkterna 11 och 12 rationaliserar den rättsliga ramen för överföring av operativa personuppgifter till tredjeländer och internationella organisationer genom att anpassa dem till den ram som fastställs i direktiv (EU) 2016/680. Ändringarna tillhandahåller en enhetlig uppsättning regler som är tillämpliga på unionens organ och byråer som är verksamma på områdena brottsbekämpning och straffrättsliga frågor, samtidigt som hänsyn tas till deras specifika operativa och rättsliga sammanhang, inbegripet samarbetsavtal. De föreskriver att överföringar till länder som omfattas ett beslut om adekvat skyddsnivå medges utan ytterligare tillstånd; i avsaknad av ett beslut om adekvat skyddsnivå är överföringar tillåtna om lämpliga skyddsåtgärder har vidtagits genom ett rättsligt bindande instrument eller en personuppgiftsansvarigs bedömning, I specifika scenarier där det varken finns ett beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder gäller vissa undantag. Slutligen föreskriver de också överföringar av operativa personuppgifter till mottagare som inte är behöriga myndigheter som är etablerade i tredjeländer i särskilda fall, förutsatt att de villkor som anges där är uppfyllda, inbegripet när kontakt med en behörig myndighet i ett tredjeland kan vara ineffektiv eller olämplig och att överföringen är absolut nödvändig för att den personuppgiftsansvarige ska kunna utföra sina uppgifter.

Punkt 13 effektiviserar Europeiska datatillsynsmannens befogenheter när det gäller operativa personuppgifter för alla unionens organ, kontor och byråer som är verksamma på området brottsbekämpning och straffrätt, i linje med Europeiska datatillsynsmannens befogenheter som är tillämpliga på Europol från och med 2022.

I artikel 2 klargörs när nya bestämmelser träder i kraft.

SV 6 SV

2026/0173 (COD)

Förslag till

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

om ändring av Europaparlamentets och rådets förordning (EU) 2018/1725 om skydd för

fysiska personer med avseende på behandling av personuppgifter som utförs av

unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter.

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2, med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten, i enlighet med det ordinarie lagstiftningsförfarandet, och

av följande skäl:

(1)Skyddet för fysiska personer med avseende på behandling av personuppgifter är en grundläggande rättighet. I artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Denna rättighet garanteras även i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(2)I Europaparlamentets och rådets förordning (EU) 2018/1725(1) fastställs den rättsliga ramen för behandling av personuppgifter som utförs av unionens institutioner, organ och byråer. Dataskyddsreglerna om behandling av operativa personuppgifter som utförs av unionens organ och byråer när de utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget fastställs dock fortfarande på ett fragmenterat sätt mellan kapitel IX i förordning (EU) 2018/17 och andra unionsrättsakter. Enligt artikel 98 i den förordningen ska kommissionen se över de regler som är tillämpliga på behandlingen av operativa personuppgifter i syfte att identifiera eventuella inkonsekvenser, luckor och skillnader. Där föreskrivs också att kommissionen, när så är lämpligt, ska åtgärda konstaterade brister genom ett lagstiftningsförslag, särskilt för att utvidga tillämpningen av kapitel IX till Europeiska åklagarmyndigheten (Eppo), inrättad genom rådets förordning (EU) 2017/1939(2), beroende på vad som är lämpligt, och för att införa nödvändiga anpassningar av det kapitlet. I sin första rapport om tillämpningen av förordning (EU) 2018/1725

(1)

(2)

Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG)

nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1, ELI: http://data.europa.eu/eli/reg/2017/1939/oj).

SV 7 SV

bekräftade kommissionen förordningens övergripande effektivitet när det gäller att säkerställa en hög skyddsnivå för personuppgifter, samtidigt som den betonade ett antal inkonsekvenser och skillnader samt en viss rättslig fragmentering till följd av förhållandet mellan kapitel IX och de andra bestämmelserna i förordning (EU) 2018/1725, liksom förekomsten av ett fristående dataskyddssystem för Europeiska åklagarmyndigheten.

(3)För närvarande är endast artikel 3 och kapitel IX i förordning (EU) 2018/1725 tillämpliga på behandling av operativa personuppgifter, tillsammans med ett antal särskilda dataskyddsregler som fastställs i inrättandeakterna för Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och Europeiska unionens byrå för straffrättsligt samarbete (Eurojust). Samtidigt har Europeiska åklagarmyndigheten en egen, fristående dataskyddsordning i sin inrättandeakt. Förordning (EU) 2018/1725 bör därför ändras för att utvidga tillämpningen av kapitel IX i den förordningen till att omfatta alla unionsorgan och unionsbyråer som behandlar operativa personuppgifter inom brottsbekämpningssektorn och den straffrättsliga sektorn, för att säkerställa rättssäkerhet genom att åtgärda brister i det nuvarande dataskyddssystemet, särskilt för Europeiska gräns- och kustbevakningsbyrån, och för att rationalisera reglerna om internationella överföringar av personuppgifter samt reglerna om Europeiska datatillsynsmannens befogenheter. Detta bör inte påverka möjligheten att i förordning (EU) 2017/1939 behålla de särskilda dataskyddsregler som behövs för att återspegla Europeiska åklagarmyndighetens unika karaktär som unionens oberoende åklagarmyndighet.

(4)För att skapa en harmoniserad, konsekvent, förenklad och fullständig rättslig ram för behandling av operativa personuppgifter som utförs av unionens organ och byråer bör definitionerna (kapitel I), reglerna om dataskyddsombud (kapitel IV avsnitt 6), reglerna om samarbete och enhetlighet (kapitel VII), reglerna om rättsmedel, ansvar och sanktioner (kapitel VIII) och reglerna om behandling av operativa personuppgifter (som bör anpassas till Europaparlamentets och rådets direktiv (EU) 2016/680(3) – kapitel IX) i förordning (EU) 2018/1725 tillämpas på unionens organ och byråer när de bedriver verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget. Dessa regler bör tillämpas när unionens organ och byråer bedriver sådan verksamhet i syfte att förebygga, upptäcka, utreda eller lagföra brott. Dessa regler bör också tillämpas på Europeiska gräns- och kustbevakningsbyråns behandling av operativa personuppgifter, snarare än enbart kapitel IX i förordning (EU) 2018/1725. Reglerna i förordning (EU) 2018/1725 bör tillämpas utan att det påverkar de särskilda regler som är tillämpliga på behandling av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF- fördraget, särskilt de regler som fastställs i grundrättsakterna för Europol, Eurojust och Europeiska åklagarmyndigheten. Sådana särskilda regler bör ses som lex specialis till bestämmelserna i förordning (EU) 2018/1725 om behandling av operativa personuppgifter.

(5)Ett dataskyddsombud inom alla unionens institutioner och organ bör säkerställa att alla dataskyddsregler, inbegripet förordning (EU) 2018/1725, tillämpas. Tjänstemän bör

(3)Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89, ELI: http://data.europa.eu/eli/dir/2016/680/oj).

SV 8 SV

också bistå personuppgiftsansvariga och personuppgiftsbiträden med råd om deras skyldigheter. För att säkerställa enhetlighet och förhindra dubbelarbete i frågor som rör både administrativa och operativa personuppgifter bör det endast finnas en uppsättning regler för dataskyddsombud.

(6)Europeiska datatillsynsmannen bör, som en sista utväg, ha befogenhet att påföra administrativa sanktionsavgifter, inbegripet för behandling av operativa personuppgifter som utförs av unionsorgan och unionsbyråer som är verksamma inom brottsbekämpning och straffrätt.

(7)För att undvika överlappning inom förordning (EU) 2018/1725 bör artikel 70 i den förordningen utgå, eftersom tillämpningsområdet för kapitel IX redan regleras i artikel 2 i förordning (EU) 2018/1725.

(8)För att säkerställa anpassning till förordning (EU).../... [förslaget om ett digitalt omnibuspaket] bör det i artikel 77 i förordning (EU) 2018/1725 klargöras att beslut som enbart grundar sig på automatiserad behandling av operativa personuppgifter är tillåtna under förutsättning att särskilda villkor är uppfyllda.

(9)För att säkerställa anpassningen till förordning (EU).../... [förslaget om ett digitalt omnnibuspaket] bör det i artikel 78 i förordning (EU) 2018/1725 klargöras att rätten till tillgång, som redan från början är gynnsam för de registrerade, inte får missbrukas genom att registrerade använder uppgifterna i andra syften än för att skydda sina uppgifter.

(10)För att visa att förordning (EU) 2018/1725 efterlevs bör unionsorgan och unionsbyråer som är verksamma inom områdena brottsbekämpning och straffrätt ha enhetliga regler för att föra register över alla kategorier av behandling som de ansvarar för. Varje personuppgiftsansvarig och personuppgiftsbiträde bör vara skyldig att samarbeta med Europeiska datatillsynsmannen och göra dessa register tillgängliga på begäran, så att de kan tjäna som grund för övervakningen av behandlingen.

(11)Unionens organ och byråer bör inte kunna ändra loggar. När unionsorgan och unionsbyråer mottar operativa personuppgifter från nationella behöriga myndigheter bör de översända loggarna till dessa myndigheter när dessa loggar behövs för interna utredningar om efterlevnad av dataskyddet.

(12)För att säkerställa anpassning till förordning (EU).../... [förslaget om ett digitalt omnibuspaket] bör tröskeln för anmälan av en personuppgiftsincident till Europeiska datatillsynsmannen höjas och tidsfristen för detta förlängas.

(13)Unionsorgan och unionsbyråer som är verksamma inom områdena brottsbekämpning och straffrätt bör alla omfattas av en enhetlig uppsättning regler om internationella överföringar av operativa personuppgifter, anpassad till direktiv (EU) 2016/680.

(14)Kommissionen får, enligt artikel 36 i direktiv (EU) 2016/680, besluta att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland, eller en internationell organisation, erbjuder en adekvat dataskyddsnivå. I dessa fall får överföringar av operativa personuppgifter till det tredjelandet eller den internationella organisationen av unionsorgan eller unionsbyråer ske utan ytterligare tillstånd.

(15)Överföringar som inte grundar sig på ett sådant beslut om adekvat skyddsnivå bör endast tillåtas om lämpliga skyddsåtgärder garanteras i ett rättsligt bindande instrument, som säkerställer skyddet av personuppgifterna eller om den personuppgiftsansvarige har gjort en bedömning av alla omständigheter kring en uppgiftsöverföring och på grundval av denna bedömning anser att lämpliga

SV 9 SV

skyddsåtgärder föreligger vad avser skyddet av personuppgifter. Sådana rättsligt bindande instrument skulle till exempel kunna vara samarbetsavtal mellan Eurojust och ett tredjeland som ingåtts före den 12 december 2019 i enlighet med artikel 26a i beslut 2002/187/RIF, samarbetsavtal mellan Europol och ett tredjeland som ingåtts före den 1 maj 2017 i enlighet med artikel 23 i beslut 2009/371/RIF eller internationella avtal som ingåtts mellan unionen och ett tredjeland i enlighet med artikel 218 i EUF-fördraget.

(16)Om det inte finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder kan en överföring eller en kategori av överföringar ske genom undantag i särskilda situationer. Undantag bör tolkas restriktivt och inte möjliggöra upprepade, omfattande eller strukturella överföringar av personuppgifter eller storskaliga överföringar av uppgifter, utan begränsas till uppgifter som är absolut nödvändiga. Sådana överföringar bör dokumenteras och på begäran göras tillgängliga för Europeiska datatillsynsmannen så att man kan övervaka om överföringen är laglig.

(17)I specifika enskilda fall är emellertid de ordinarie förfaranden som kräver kontakt med en behörig myndighet i tredjelandet ineffektiva eller olämpliga, framför allt för att överföringen inte skulle kunna utföras i tid eller för att myndigheten i tredjelandet inte respekterar rättsstatsprincipen eller internationella människorättsliga normer och standarder. Detta kan till exempel vara fallet om det finns ett akut behov av att överföra personuppgifter till ett privat företag i ett tredjeland för att erhålla information om en okänd gärningsman bakom ett internetbrott, eller för att rädda livet på en person som riskerar att utsättas för ett brott eller för att förhindra en överhängande fara för brottslighet, inbegripet terrorism. I sådana fall kan unionens organ och byråer på vissa villkor besluta att överföra operativa personuppgifter direkt till mottagare som inte är behöriga myndigheter och som är etablerade i dessa tredjeländer.

(18)Europeiska datatillsynsmannen bör ha en enhetlig uppsättning befogenheter som är tillämpliga på behandling av operativa personuppgifter som utförs av unionsorgan och unionsbyråer som är verksamma inom områdena brottsbekämpning och straffrätt. Europol har haft sådana befogenheter sedan 2022, exempelvis i form av rätten att beordra den personuppgiftsansvarige att säkerställa efterlevnad av förordning (EU) 2018/1725, beordra att dataflödena till en mottagare i en medlemsstat, ett tredjeland eller en internationell organisation avbryts eller ålägga administrativa sanktionsavgifter vid bristande efterlevnad av dess föreläggande.

(19)Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav sitt yttrande den XX XX 2026.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Ändringar av förordning (EU) 2018/1725

Förordning (EU) 2018/1725 ska ändras på följande sätt:

1.Artikel 2 ska ändras på följande sätt:

(a)Punkt 2 ska ersättas med följande:

”2. Endast artiklarna3, 43, 44, 45 och kapitlen VII, VIII och IX i denna förordning ska vara tillämpliga på behandlingen av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som

SV 10 SV

omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, utan att det påverkar särskilda dataskyddsbestämmelser som är tillämpliga på dessa unionsorgan och unionsbyråer.

(b)Punkt 3 ska utgå.

2.I artikel 45.1 ska leden d, e och f ersättas med följande:

”d) På begäran ge råd vad gäller behovet av en anmälan av eller ett meddelande om en personuppgiftsincident enligt artiklarna 34 och 35 eller artiklarna 92 och 93.

e) På begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet enligt artikel 39 eller artikel 89 och samråda med Europeiska datatillsynsmannen vid eventuellt tvivel om behovet av en konsekvensbedömning avseende dataskydd.

På begäran ge råd vad gäller behovet av föregående samråd med Europeiska

datatillsynsmannen enligt artikel 40 och samråda med Europeiska datatillsynsmannen vid eventuellt tvivel om behovet av ett föregående samråd.

3.I artikel 66.1 ska första meningen ersättas med följande:

”1. Europeiska datatillsynsmannen får påföra unionens institutioner och organ administrativa sanktionsavgifter, beroende på omständigheterna i varje enskilt fall, om en unionsinstitution eller ett unionsorgan inte rättar sig efter ett beslut av Europeiska datatillsynsmannen enligt artikel 58.2 d-h och j eller enligt artikel 95a.3 c, e, f, j och k.”

4.Artikel 70 ska utgå.

5.Artikel 77 ska ersättas med följande:

”1. Beslut som har rättsliga följder för en registrerad eller som på liknande sätt i betydande grad påverkar honom eller henne får endast grundas enbart på automatisk behandling, inbegripet profilering, om beslutet är tillåtet enligt unionsrätten som den personuppgiftsansvarige omfattas av, och som även fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och legitima intressen, åtminstone rätten till personlig medverkan från den personuppgiftsansvariges sida.”

6.I artikel 78 ska punkt 4 ersättas med följande:

”4. Den personuppgiftsansvarige ska tillhandahålla informationen enligt artikel 79 och alla meddelanden eller åtgärder som vidtas enligt artiklarna 80–84 och 92 kostnadsfritt. Om begäranden registrerads begäranden är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva karaktär eller, när det gäller begäranden enligt artikel 80, på grund av att den registrerade missbrukar rätten till tillgång för andra ändamål än att skydda sina uppgifter, får den personuppgiftsansvarige vägra att tillmötesgå begäran. Det ska åligga den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller att det finns rimliga skäl att anta att den är orimlig.”

7.Följande artikel ska införas som artikel 87a:

”Artikel 87a

Register över kategorier av behandling av operativa personuppgifter

1.Varje personuppgiftsansvarig ska föra ett register över alla kategorier av behandling av operativa personuppgifter som omfattas av dennes ansvar. Detta register ska innehålla samtliga följande uppgifter:

SV 11 SV

(a)Den personuppgiftsansvariges kontaktuppgifter samt dataskyddsombudets namn och kontaktuppgifter och, i förekommande fall, kontaktuppgifter för den gemensamt personuppgiftsansvarige.

b)Ändamålen med behandlingen.

c)De kategorier av mottagare som de personuppgifterna har lämnats eller ska lämnas ut till, inbegripet privata parter och mottagare i tredjeländer eller internationella organisationer.

d)En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

e)Användning av profilering, i förekommande fall.

f)I förekommande fall, kategorier av personuppgiftsöverföringar till ett tredjeland eller en internationell organisation.

g)En uppgift om den rättsliga grunden för den behandling, inbegripet överföringar, för vilken personuppgifterna är avsedda.

h)Om möjligt, de planerade tidsfristerna för utplåning av de olika kategorierna av uppgifter.

i)Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 91.1.

2.Personuppgiftsbiträdet ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, vilket ska omfatta följande:

a) Personuppgiftsbiträdets eller personuppgiftsbiträdenas kontaktuppgifter, kontaktuppgifter för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar och dataskyddsombudets kontaktuppgifter.

b)De kategorier av behandling som har utförts på varje personuppgiftsansvarigs vägnar.

c)I förekommande fall, överföringar av personuppgifter till en privat part, ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen, om den personuppgiftsansvarige uttryckligen begär detta.

d)Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 91.1.

3. De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form. Den personuppgiftsansvarige och personuppgiftsbiträdet ska på begäran göra registren tillgängliga för Europeiska datatillsynsmannen.”

8.I artikel 88.1 ska följande mening läggas till:

”Det ska inte vara möjligt att ändra loggar.”

9.I artikel 88.3 ska följande mening läggas till:

”Om den nationella behöriga myndigheten så begär för en särskild utredning som rör efterlevnaden av dataskyddsreglerna ska de loggar som avses i punkt 1 överlämnas till den myndigheten.”

10.Artikel 92 ska ersättas med följande:

SV 12 SV

”1. Vid en personuppgiftsincident som sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål och, om möjligt, inte senare än 96 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen. Om anmälan till Europeiska datatillsynsmannen inte görs inom 96 timmar, ska den åtföljas av en motivering till förseningen.”

11.Artikel 94 ska ersättas med följande: Artikel 94

Allmänna principer för överföringar av operativa personuppgifter till tredjeländer och internationella organisationer

1. Den personuppgiftsansvarige får, med förbehåll för att de tillämpliga dataskyddsreglerna och övriga bestämmelser i denna förordning efterlevs, överföra operativa personuppgifter till ett tredjeland eller en internationell organisation endast om följande villkor är uppfyllda:

(a)Överföringen är nödvändig för utförandet av den personuppgiftsansvariges arbetsuppgifter.

(b)Myndigheten i tredjelandet eller den internationella organisationen till vilken de operativa personuppgifterna överförs har behörighet inom brottsbekämpning eller i straffrättsliga frågor.

(c)Om personuppgifter som ska överföras i enlighet med denna artikel har överförts eller gjorts tillgängliga för den personuppgiftsansvarige av en medlemsstat eller ett unionsorgan eller en unionsbyrå, ska den personuppgiftsansvarige från den relevanta myndigheten i den medlemsstaten eller från unionsorganet eller unionsbyrån i fråga, inhämta förhandstillstånd för överföringen i överensstämmelse med dess tillämpliga lagstiftning, såvida inte den medlemsstaten eller unionsorganet eller unionsbyrån har gett sitt tillstånd till denna överföring i allmänna termer eller med förbehåll för särskilda villkor,

(d)Vid vidareöverföring från ett tredjeland eller en internationell organisation, till ett annat tredjeland eller en annan internationell organisation ska den personuppgiftsansvarige kräva att det tredjeland eller den internationella organisation som överför uppgifterna anhåller om förhandstillstånd från den personuppgiftsansvarige för vidareöverföringen.

(e)De personuppgiftsansvarige får endast bevilja tillstånd enligt led d med förhandstillstånd från den medlemsstat eller det unionsorgan eller den unionsbyrå som uppgifterna kommer från, i tillämpliga fall, efter vederbörligt beaktande av alla relevanta faktorer, inbegripet hur allvarligt brottet är, det ändamål för vilket de operativa personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter i det tredjeland eller den internationella organisation som de operativa personuppgifterna ska vidareöverföras till.

2.Med förbehåll för de villkor som anges i punkt 1 i denna artikel får den personuppgiftsansvarige överföra operativa personuppgifter till ett tredjeland eller en internationell organisation endast om villkoren i artiklarna 94a, 94b, 94c eller 94d är uppfyllda:

3.Utan att det påverkar tillämpningen av artikel 94c får den personuppgiftsansvarige överföra operativa personuppgifter till en behörig myndighet i ett land som är

SV 13 SV

associerat till genomförandet, tillämpningen och utvecklingen av Schengenregelverket och som har genomfört och i praktiken tillämpar bestämmelserna i direktiv (EU) 2016/680 och bestämmelserna om informationsutbyte i direktiv (EU) 2023/977.

4.Den personuppgiftsansvarige får i brådskande fall överföra operativa personuppgifter utan förhandstillstånd från en medlemsstat eller ett unionsorgan eller en unionsbyrå i enlighet med punkt 1 c. Den personuppgiftsansvarige får endast göra så om överföringen av de operativa personuppgifterna är nödvändig för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland eller mot en medlemsstats väsentliga intressen och ett förhandstillstånd inte kan erhållas i tid. Den myndighet som är ansvarig för att ge förhandstillstånd ska underrättas utan dröjsmål.

5.Alla bestämmelser om internationella överföringar i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.”

12.Följande artiklar ska införas:

”Artikel 94a

Överföring på grundval av ett beslut om adekvat skyddsnivå

Den personuppgiftsansvarige får överföra operativa personuppgifter till ett tredjeland eller en internationell organisation, om kommissionen i enlighet med artikel 36 i direktiv (EU) 2016/680 har beslutat att tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå.

Artikel 94b

Överföring som omfattas av lämpliga skyddsåtgärder

1.Om det inte föreligger något beslut om adekvat skyddsnivå, får den personuppgiftsansvarige överföra operativa personuppgifter till ett tredjeland eller en internationell organisation, om

(a)lämpliga skyddsåtgärder för operativa personuppgifter har fastställts i ett rättsligt bindande instrument,

(b)eller den personuppgiftsansvarige har bedömt alla omständigheter kring en överföring av operativa personuppgifter och dragit slutsatsen att lämpliga skyddsåtgärder för de operativa personuppgifterna föreligger.

2. Det rättsligt bindande instrumentet enligt punkt 1 a ska vara

(a)en internationell överenskommelse mellan unionen och tredjelandet eller den internationella organisationen i enlighet med artikel 218 i EUF-fördraget som erbjuder tillräckliga skyddsåtgärder för den personliga integriteten och enskildas grundläggande fri- och rättigheter,

(b)ett samarbetsavtal för utbyte av operativa personuppgifter som har ingåtts före den 12 december 2019 mellan Eurojust och tredjelandet eller den internationella organisationen i enlighet med artikel 26a i beslut 2002/187/RIF, eller

(c)ett samarbetsavtal som medger utbyte av operativa personuppgifter vilket ingicks före den 1 maj 2017 mellan Europol och tredjelandet eller den

SV 14 SV

internationella organisationen i fråga i enlighet med artikel 23 i beslut 2009/371/RIF.

3.Unionens organ och byråer får ingå samarbetsavtal för att fastställa villkor för genomförandet av de avtal som avses i punkt 2.

4.Den personuppgiftsansvarige ska informera Europeiska datatillsynsmannen om kategorier av överföringar enligt punkt 1 b.

5.Om en överföring grundas på punkt 1 b, ska denna överföring dokumenteras och dokumentationen på begäran göras tillgänglig för Europeiska datatillsynsmannen. Dokumentationen ska inbegripa uppgift om datum och tidpunkt för överföringen och information om den mottagande behöriga myndigheten, om skälet till överföringen och om de operativa personuppgifter som har överförts.

Artikel 94c

Undantag i särskilda situationer

1.Om det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder enligt artikel 94b, får den personuppgiftsansvarige endast överföra operativa personuppgifter till ett tredjeland eller en internationell organisation, om överföringen är nödvändig

(a)för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person,

(b)för att skydda den registrerades legitima intressen,

(c)för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland,

(d)i enskilda fall för utförandet av den personuppgiftsansvariges uppgifter såvida inte den personuppgiftsansvarige fastställer att den berörda registrerades grundläggande rättigheter och friheter väger tyngre än det allmänna intresset av en sådan överföring.

2.Om en överföring grundas på punkt 1, ska denna överföring dokumenteras och dokumentationen på begäran göras tillgänglig för Europeiska datatillsynsmannen. Dokumentationen ska inbegripa uppgift om datum och tidpunkt för överföringen och information om den mottagande behöriga myndigheten, om skälet till överföringen och om de operativa personuppgifter som har överförts.

Artikel 94d

Överföring av operativa personuppgifter till mottagare som är etablerade i tredjeländer

1.Genom undantag från artikel 94.1 b och utan att det påverkar tillämpningen av sådana internationella avtal som avses i punkt 2 i den här artikeln, får den personuppgiftsansvarige i enskilda och särskilda fall överföra operativa personuppgifter direkt till mottagare som är etablerade i tredjeländer, men endast om samtliga följande villkor är uppfyllda:

(a) Överföringen är absolut nödvändig för utförandet av den personuppgiftsansvariges arbetsuppgifter, för de ändamål för vilka behandling av operativa personuppgifter är tillåten.

SV 15 SV

(b)Den personuppgiftsansvarige har fastställt att ingen av den berörda registrerades grundläggande rättigheter och friheter väger tyngre än det allmänna intresse som nödvändiggör överföringen i det aktuella fallet.

(c)Den personuppgiftsansvarige anser att överföring till en behörig myndighet i tredjelandet är ineffektivt eller olämpligt, i synnerhet eftersom överföringen inte kan göras inom rimlig tid.

(d)Den behöriga myndigheten i tredjelandet har utan onödigt dröjsmål informerats, såvida detta inte är ineffektivt eller olämpligt.

(e)Den personuppgiftsansvarige har informerat mottagaren om det eller de specifika ändamål för vilka denna uteslutande får behandla de operativa personuppgifterna, förutsatt att behandlingen är nödvändig.

2.Med ett internationellt avtal enligt punkt 1 avses varje gällande bilateralt eller multilateralt internationellt avtal mellan unionen och tredjeländer inom området för straffrättsligt samarbete och polissamarbete.

3.Om en överföring grundas på punkt 1, ska denna överföring dokumenteras och dokumentationen på begäran göras tillgänglig för Europeiska datatillsynsmannen, inbegripet datum och tidpunkt för överföringen samt information om den mottagande behöriga myndigheten, om skälet till överföringen och om de operativa personuppgifter som har överförts.

13.Följande artikel ska införas som artikel 95a:

”Artikel 95a

Europeiska datatillsynsmannens övervakning

1.Europeiska datatillsynsmannen ska ansvara för övervakning och kontroll av att bestämmelserna om skydd för fysiska personers grundläggande fri- och rättigheter tillämpas i samband med unionsorgans och unionsbyråers behandling av operativa personuppgifter och för rådgivning till dem och de registrerade i alla frågor som rör behandling av operativa personuppgifter. För detta ändamål ska datatillsynsmannen fullgöra de uppgifter som anges i punkt 2 och utöva de befogenheter som anges i punkt 3, i nära samarbete med de nationella tillsynsmyndigheterna.

2.Europeiska datatillsynsmannen ska ha samtliga följande uppgifter:

a)Ta emot och utreda klagomål och informera den registrerade om resultatet inom rimlig tid, samt bedriva utredningar, antingen på eget initiativ eller på grundval av ett klagomål, och informera berörda personer om resultatet inom rimlig tid.

b)Övervaka och säkerställa att denna förordning och varje annan unionsakt som rör skyddet för fysiska personer tillämpas vid unionsorgans och unionsbyråers behandling av operativa personuppgifter.

c)Bistå med rådgivning till alla unionsorgan och unionsbyråer, antingen på eget initiativ eller som svar på en begäran om rådfrågning, i alla frågor som rör behandling av operativa personuppgifter, särskilt innan de utarbetar interna bestämmelser om skydd av enskildas grundläggande fri- och rättigheter i samband med behandlingen av operativa personuppgifter,

d)Föra ett register över nya typer av behandlingar som har anmälts till datatillsynsmannen.

SV 16 SV

c)Genomföra föregående samråd avseende behandling som har anmälts till datatillsynsmannen.

3.Europeiska datatillsynsmannen får i enlighet med denna förordning a) bistå registrerade med råd när de utövar sina rättigheter,

b)hänskjuta ett ärende till det berörda unionsorganet eller den berörda unionsbyrån vid en påstådd överträdelse av bestämmelserna om behandling av operativa personuppgifter och vid behov lämna förslag om hur överträdelsen kan rättas till och hur skyddet för de registrerade kan förbättras,

c)beordra att en begäran om att utöva vissa rättigheter i samband med operativa personuppgifter ska tillmötesgås om en sådan begäran har avslagits i strid med tillämpliga regler om registrerades rättigheter,

d)varna eller tillrättavisa unionsorganet eller unionsbyrån,

e)beordra det berörda unionsorganet eller den berörda unionsbyrån att utföra rättelse, begränsning, utplåning eller förstöring av personuppgifter som har behandlats i strid med bestämmelserna för behandling av operativa personuppgifter samt att underrätta tredje man till vilka dessa uppgifter har lämnats ut om åtgärderna,

f)införa ett tillfälligt eller definitivt förbud mot sådan behandling från unionsorganets eller unionsbyråns sida som strider mot bestämmelserna om behandling av operativa personuppgifter,

g)hänskjuta ett ärende till det berörda unionsorganet eller den berörda unionsbyrån och vid behov till Europaparlamentet, rådet och kommissionen,

h)hänskjuta ärendet till Europeiska unionens domstol på de villkor som anges i EUF-fördraget,

i)intervenera i ärenden som har anhängiggjorts vid Europeiska unionens domstol,

(j)förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att säkerställa att behandlingen sker i enlighet med denna förordning och, i tillämpliga fall, med de dataskyddsregler som fastställs i inrättandeakten för unionsorganet eller unionsbyrån i fråga, när så är lämpligt, på ett specifikt sätt och inom en angiven period,

k)besluta att flödet av uppgifter till en mottagare i en medlemsstat, ett tredjeland eller en internationell organisation ska avbrytas,

l)påföra administrativa sanktionsavgifter enligt artikel 66, om ett unionsorgan eller en unionsbyrå inte har efterlevt en av de åtgärder som avses i leden c, e, f, j och k i denna punkt, med hänsyn till omständigheterna i det enskilda fallet.

4. Den europeiska datatillsynsmannen ska ha befogenhet att

(a)från unionsorganet och unionsbyrån få tillgång till alla operativa personuppgifter och all information som denne behöver för sina förfrågningar,

b)få tillträde till alla lokaler där unionsorganet eller unionsbyrån bedriver verksamhet, om det finns rimliga skäl att anta att en verksamhet som avses i detta kapitel bedrivs där.

5.Europeiska datatillsynsmannen ska utarbeta en årlig rapport om sin tillsynsverksamhet med avseende de personuppgiftsansvariga enligt detta kapitel. Denna rapport ska ingå i den årsrapport från Europeiska datatillsynsmannen som avses i artikel 60.

SV 17 SV

Europeiska datatillsynsmannen ska ge de nationella tillsynsmyndigheterna möjlighet att lämna synpunkter på den delen av den årliga rapporten innan den årliga rapporten antas. Europeiska datatillsynsmannen ska ta största möjliga hänsyn till dessa synpunkter och ska hänvisa till dem i den årliga rapporten.

Den del av den årliga rapporten som avses i andra stycket ska omfatta statistiska uppgifter om klagomål och utredningar och om överföringar av operativa personuppgifter till tredjeländer och internationella organisationer, eventuella förhandssamråd med Europeiska datatillsynsmannen samt utnyttjandet av de befogenheter som fastställs i punkt 3 i denna artikel.

6.Europeiska datatillsynsmannen samt tjänstemän och övriga anställda vid Europeiska datatillsynsmannens sekretariat ska vara bundna av tystnadsplikt i enlighet med artikel 95.”

Artikel 2

Ikraftträdande

1.Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.Denna förordning ska dock tillämpas på Europeiska åklagarmyndighetens behandling av operativa personuppgifter från och med den [dag då den nya Eppoförordningen börjar tillämpas].

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater. Utfärdad i Bryssel den

På Europaparlamentets vägnar På rådets vägnar
Ordförande Ordförande
[...] [...]
SV 18 SV
Tillbaka till dokumentetTill toppen