EUROPEISKA KOMMISSIONEN Bryssel den 29.4.2016 COM(2016) 238 final 2016/0127 (NLE) Förslag till RÅDETS BESLUT om undertecknande, på Europeiska unionens vägnar, av ett avtal mellan Amerikas förenta stater och Europeiska unionen om skydd av personuppgifter i samband med förebyggande, utredning, upptäckt och lagföring av brott SV SV MOTIVERING 1. BAKGRUND TILL FÖRSLAGET • Motiv och syfte med förslaget I november 2006 inrättades en kontaktgrupp på hög nivå bestående av högre tjänstemän från kommissionen, rådets ordförandeskap och Förenta staternas justitieministerium, ministerium för inrikes säkerhet samt utrikesministerium för att undersöka hur EU och Förenta staterna skulle kunna samarbeta närmare och effektivare för att utbyta brottsbekämpande uppgifter och samtidigt sörja för att skyddet av personuppgifter och integritetsskyddet garanteras. Slutsatsen i kontaktgruppens slutrapport i oktober 20091 var att det bästa alternativet skulle vara ett internationellt avtal som föreskriver att både EU och Förenta staterna ska tillämpa gemensamma uppgiftsskyddsprinciper för transatlantiska uppgiftsöverföringar på brottsbekämpningsområdet. Fördelen skulle vara att man fastställer de grundprinciper för ett effektivt integritets- och personuppgiftsskydd som styr utbytet av brottsbekämpande uppgifter och det skulle sörja för den högsta graden av rättssäkerhet. Den 3 december 2010 antog rådet ett beslut om bemyndigande för kommissionen att inleda förhandlingar om ett avtal mellan Europeiska unionen och Amerikas förenta stater om skydd av personuppgifter vid överföring och behandling i syfte att förebygga, upptäcka, utreda eller lagföra brott, inklusive terrorism, inom ramen för polissamarbete och straffrättsligt samarbete (nedan kallat paraplyavtalet)2. Den 28 mars 2011 inledde kommissionen förhandlingar. Den 8 september 2015 paraferade parterna texten. I paraplyavtalet fastställs (för första gången) en omfattande ram av uppgiftsskyddsprinciper och skyddsåtgärder när personuppgifter3 överförs i brottsbekämpningssyfte mellan Förenta staterna, å ena sidan, och EU och dess medlemsstater, å den andra. Målet är att garantera en hög nivå av uppgiftsskydd samtidigt som samarbetet mellan parterna stärks. Även om det inte i sig utgör den rättsliga grunden för någon överföring av personuppgifter till Förenta staterna kompletterar paraplyavtalet vid behov garantier för uppgiftsskydd i befintliga och framtida avtal om överföring av uppgifter eller nationella bestämmelser som tillåter sådana överföringar. Detta är en mycket stor förbättring jämfört med den nuvarande situationen där personuppgifter överförs över Atlanten på grundval av rättsliga instrument (internationella 1 2 3 SV Rapporter från kontaktgruppen på hög nivå för informationsutbyte, integritetsskydd och skydd av personuppgifter, Bryssel den 23 november 2009, 15851/09, JAI 822 DATAPROTECT 74 USA 102. Tillsammans med antagandet av EU:s reform av uppgiftsskyddslagstiftningen och de nya bestämmelserna om integritetsskydd mellan EU och Förenta staterna vad gäller dataöverföring på handelsområdet är ingåendet av ett meningsfullt och omfattande paraplyavtal en väsentlig del av den strategi som fastställs i kommissionens meddelande Återskapande av förtroendet för dataflöden mellan EU och Förenta staterna (COM(2013) 846) av den 27 november 2013, som finns på http://ec.europa.eu/justice/data-protection/files/com_2013_846_en.pdf, vilket också bekräftas i kommissionens ordförande Jean-Claude Junckers politiska riktlinjer, och i kommissionens meddelande till Europaparlamentet och rådet Transatlantiska dataflöden: Återställande av förtroendet genom starka skyddsåtgärder, COM(2016) 117 final av den 29 februari 2016, finns på: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-communication_en.pdf. Begreppet personal information som används i förordningen om paraplyavtalet är synonymt med EU:s begrepp personal data (i båda fall ”personuppgifter” på svenska). 2 SV avtal eller inhemsk lagstiftning) som i allmänhet inte innehåller några bestämmelser alls om uppgiftsskydd eller bara få sådana. • Förenlighet med befintliga bestämmelser inom området Paraplyavtalet kommer att stärka skyddet för alla personuppgifter om registrerade personer i EU när de utbyts med Förenta staterna i brottsbekämpningssyfte. Genom att införa en omfattande ram med uppgiftsskyddsgarantier kommer avtalet att komplettera befintliga avtal (både de bilaterala avtalen mellan medlemsstaterna och Förenta staterna och avtalen mellan EU och Förenta staterna) på grundval av vilka personuppgifter skickas till Förenta staterna i brottsbekämpningssyfte, när och i den utsträckning de saknar den erforderliga graden av skydd. Avtalet kommer vidare att tillhandahålla ett ”skyddsnät” för framtida avtal mellan EU/EU:s medlemsstater och Förenta staterna under vilket skyddsnivån inte kan falla. Detta är en viktig garanti inför framtiden och en stor förändring jämfört med den nuvarande situationen, där skyddsåtgärder och rättigheter måste omförhandlas för varje enskilt nytt avtal. Paraplyavtalet kommer att bidra med ett betydande mervärde för ett ökat skydd för registrerade i EU, i enlighet med kraven i EU:s primär- och sekundärrätt. Med avtalet införs för första gången ett uppgiftsskyddsinstrument som på ett övergripande och konsekvent sätt omfattar alla uppgiftsöverföringar på ett visst område (dvs. transatlantiska utbyten av uppgifter på området polissamarbete och straffrättsligt samarbete). Vidare kommer paraplyavtalet i det transatlantiska sammanhanget att underbygga de allmänna kraven för internationella uppgiftsöverföringar i det framtida direktivet om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter (nedan kallat polisdirektivet)4, som antogs den 14 april 2016. Mot bakgrund av ovanstående utgör paraplyavtalet också en viktig modell för eventuella liknande avtal med andra internationella partner. • Förenlighet med unionens politik inom andra områden Paraplyavtalet förväntas få stor betydelse för polisens och de brottsbekämpande myndigheternas samarbete med Förenta staterna. I och med att en gemensam och omfattande ram av uppgiftsskyddsregler och garantier skapas kommer EU:s och EU:s medlemsstaters brottsbekämpande myndigheter å ena sidan och Förenta staternas brottsbekämpande myndigheter å den andra att kunna samarbeta effektivare med varandra. Den kommer vidare att säkerställa att befintliga avtal innehåller allt nödvändigt skydd. Detta skapar kontinuitet i det brottsbekämpande samarbetet och borgar för en större rättssäkerhet vid överföringar. Avtalet kommer också att underlätta ingåendet av framtida avtal om uppgiftsöverföring med Förenta staterna på brottsbekämpningsområdet, eftersom det kommer att finnas avtalade uppgiftsskyddsbestämmelser som inte behöver förhandlas fram om och om igen. Slutligen är fastställda gemensamma normer på detta viktiga men komplexa samarbetsområde ett viktigt framsteg som kan bidra väsentligt till att återupprätta förtroendet för transatlantiska uppgiftsflöden. 4 SV Förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter, COM(2012) 10 final – 2012/0010 (COD), finns på: http://eur-lex.europa.eu/legalcontent/EN/TXT/PDF/?uri=CELEX:52012PC0010&from=en 3 SV 2. RÄTTSLIG GRUND, SUBSIDIARITETSPRINCIPEN PROPORTIONALITETSPRINCIPEN • Rättslig grund OCH Den rättsliga grunden för detta förslag är artikel 16 jämförd med artikel 218.5 i EUFfördraget. • Subsidiaritetsprincipen Paraplyavtalet faller under EU:s exklusiva befogenhet enligt artikel 3.2 i EUF-fördraget. Subsidiaritetsprincipen är därför inte tillämplig. • Proportionalitetsprincipen Paraplyavtalet ger de uppgiftsskyddsgarantier som krävdes enligt rådets förhandlingsdirektiv. De betraktas som inslag som är nödvändiga för att säkerställa den erforderliga skyddsnivån när personuppgifter överförs till ett tredjeland, enligt både stadgan om de grundläggande rättigheterna och EU:s framväxande regelverk. Varken ett betydligt mindre antal sådana garantier eller ett instrument med mindre bindande verkan kan anses tillräckligt för att sörja för en sådan skyddsnivå. Förslaget går därför inte längre än vad som är nödvändigt för att uppnå det politiska målet att inrätta en ram för skyddet av personuppgifter som överförs mellan Förenta staterna, å ena sidan, och Europeiska unionen och dess medlemsstater, å andra sidan, i samband med brottsbekämpning. • Val av instrument Inrättandet av en bindande ram för skyddet av personuppgifter, som kommer att komplettera befintliga avtal och utgöra en grund för framtida avtal, kan bara säkerställas genom ett internationellt avtal som ingås mellan EU och Förenta staterna. Såsom framgår av kontaktgruppens rapport från oktober 2009 ger ett internationellt avtal den högsta graden av rättssäkerhet. 3. RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR MED • Efterhandsutvärderingar/kontroller av ändamålsenligheten med befintlig lagstiftning Ej tillämpligt. • Samråd med berörda parter Kommissionen har rapporterat regelbundet både muntligt och skriftligt till den särskilda rådskommittén om hur förhandlingarna fortskridit. Europaparlamentet har informerats regelbundet både muntligt och skriftligt genom utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor. • Insamling och användning av sakkunnigutlåtanden Initiativet genomför rådets förhandlingsdirektiv av den 3 december 2010. • Konsekvensbedömning Ingen konsekvensbedömning behövdes. Förslaget till avtal stämmer överens med rådets förhandlingsdirektiv. SV 4 SV • Lagstiftningens ändamålsenlighet och förenkling Ej tillämpligt. • Grundläggande rättigheter Bestämmelserna i paraplyavtalet syftar till att skydda den grundläggande rätten till skydd av personuppgifter enligt artikel 8 och rätten till ett effektivt rättsmedel och till en opartisk domstol enligt artikel 47 i EU-stadgan om de grundläggande rättigheterna. 4. BUDGETKONSEKVENSER Det föreslagna avtalet har inga budgetkonsekvenser. 5. ÖVRIGA INSLAG • Genomförandeplaner samt åtgärder för övervakning, utvärdering och rapportering Det kommer att krävas ett genomförande från medlemsstaternas sida, men inga större ändringar i lagstiftningen väntas eftersom de materiella bestämmelserna i paraplyavtalet i stor utsträckning återspeglar regler som redan gäller för EU:s och medlemsstaternas myndigheter enligt EU-lagstiftningen och/eller nationell lagstiftning. • Ingående redogörelse för de specifika bestämmelserna i förslaget Paraplyavtalet omfattar i enlighet med rådets förhandlingsdirektiv följande fem kategorier av bestämmelser: i) Övergripande bestämmelser. ii) Principer och skyddsåtgärder för uppgiftsskydd. iii) Enskildas rättigheter. iv) Aspekter som rör tillämpningen av avtalet och tillsyn. v) Slutbestämmelser. (i) Övergripande bestämmelser i) Avtalets syfte (artikel 1) För att uppnå syftet med avtalet (dvs. att garantera ett starkt skydd för personuppgifter och förbättra samarbetet på det brottsbekämpande området) fastställs i paraplyavtalet en ram för skydd av personuppgifter som överförs mellan Förenta staterna, å ena sidan, och EU och dess medlemsstater, å andra sidan, för att förebygga, utreda, upptäcka eller lagföra brott, inklusive terrorism. Hänvisningen till begreppen att ”förebygga, utreda, upptäcka och lagföra brott” (nedan gemensamt kallat brottsbekämpning) säkerställer att avtalet kommer att vara förenligt med strukturen på EU:s nuvarande och framtida regelverk om uppgiftsskydd (särskilt gränsdragningen mellan förordningen om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter [nedan kallad den allmänna dataskyddsförordningen5] och ”polisdirektivet” vad gäller deras respektive tillämpningsområde). Genom att precisera att paraplyavtalet i sig inte ska utgöra den rättsliga grunden för överföringar av personuppgifter och att en (separat) rättslig grund alltid ska krävas klargörs 5 SV Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning) (COM(2012) 11 final 2012/0011 (COD), finns på: http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_sv.pdf 5 SV också i artikel 1 att paraplyavtalet är ett avtal om genuina grundläggande rättigheter där en uppsättning skyddsåtgärder fastställs som gäller för sådana överföringar. ii) Definitioner (artikel 2) I artikel 2 finns definitioner av centrala termer i paraplyavtalet. Definitionerna av ”personuppgifter”, ”behandling av personuppgifter”, ”parter”, ”medlemsstat” och ”behörig myndighet” stämmer i stort sett överens med hur dessa begrepp har definierats i andra avtal mellan EU och Förenta staterna och/eller i Europeiska unionens regelverk om uppgiftsskydd. iii) Avtalets tillämpningsområde (artikel 3) Artikel 3 i paraplyavtalet definierar paraplyavtalets tillämpningsområde. Det kommer att säkerställa att de skyddsbestämmelser och skyddsåtgärder som fastställs i paraplyavtalet gäller alla uppgiftsutbyten som sker i samband med det transatlantiska brottsbekämpande samarbetet i straffrättsliga ärenden. Detta omfattar överföringar på grundval av nationell lagstiftning, avtal mellan EU och Förenta staterna (t.ex. avtalet mellan EU och Förenta staterna om ömsesidig rättslig hjälp), avtal mellan medlemsstaterna och Förenta staterna (t.ex. avtal om ömsesidig rättslig hjälp, avtal om utökat samarbete för förebyggande och bekämpning av grov brottslighet, avtal och ordningar om kontroll av terrorister) samt särskilda avtal om privata enheters överföring av personuppgifter i brottsbekämpningssyfte (t.ex. inom ramen för EU:s och Förenta staternas avtal om passageraruppgifter6 och om programmet för att spåra finansiering av terrorism7 (TFTP-avtalet). Tillämpningsområdet formuleras med utgångspunkt i ”uppgiftsöverföring”, dvs. det omfattar i princip alla överföringar av uppgifter i brottsbekämpningssyfte mellan EU och Förenta staterna, oavsett den berörda registrerades nationalitet eller bostadsort. Paraplyavtalet kommer inte att omfatta överföringar av personuppgifter (eller andra former av samarbete) mellan amerikanska myndigheter och medlemsstaternas myndigheter med ansvar för att skydda den nationella säkerheten. iv) Icke-diskriminering (artikel 4) I artikel 4 föreskrivs att parterna ska genomföra paraplyavtalet utan godtycklig eller oberättigad diskriminering mellan sina egna medborgare och den andra partens medborgare. Denna artikel kompletterar och förstärker andra bestämmelser i avtalet (särskilt artiklarna om skyddsåtgärder för enskilda, t.ex. om åtkomst, rättelse och administrativ prövning, se nedan), eftersom den säkerställer att europeiska medborgare i princip kommer att behandlas på samma sätt som amerikanska medborgare vid de amerikanska myndigheternas genomförande av dessa bestämmelser i praktiken. v) Avtalets verkan (artikel 5) 6 7 SV Avtal mellan Amerikas förenta stater och Europeiska unionen om användning och överföring av passageraruppgifter till Förenta staternas Department of Homeland Security, EUT L 2015, 11.8.2012, s. 5. Avtal mellan Europeiska unionen och Amerikas förenta stater om behandling och överföring av uppgifter om finansiella betalningsmeddelanden från Europeiska unionen till Förenta staterna i enlighet med programmet för att spåra finansiering av terrorism, EUT L 195, 27.7.2010, s. 5. 6 SV Paraplyavtalet kommer att komplettera befintliga avtal mellan EU/EU:s medlemsstater och Förenta staterna på lämpligt sätt, dvs. i de fall och i den utsträckning de saknar nödvändiga garantier för uppgiftsskydd8. Ett verksamt genomförande av paraplyavtalet (särskilt artiklarna om enskildas rättigheter) medför en presumtion om förenlighet med de tillämpliga internationella reglerna för uppgiftsöverföring. Det rör sig varken om en automatisk eller en allmän presumtion och i likhet med alla presumtioner kan den vederläggas. Det är inte en automatisk presumtion, eftersom den uttryckligen är beroende av att Förenta staterna genomför paraplyavtalet på ett verksamt sätt, närmare bestämt – såsom artikel 5.2 uttryckligen klargör – på ett verksamt sätt genomför artiklarna om enskildas rättigheter (särskilt åtkomst, rättelse och administrativ och rättslig prövning). Det är heller inte en allmän presumtion; eftersom paraplyavtalet inte är ett ”fristående” instrument för överföringar gäller denna presumtion med nödvändighet efter en bedömning från fall till fall, dvs. efter en bedömning av om kombinationen av paraplyavtalet och den särskilda rättsliga grunden för överföringen ger en skyddsnivå som stämmer överens med EU:s uppgiftsskyddsregler. Med andra ord, till skillnad från ett konstaterande att skyddsnivån är adekvat, medger denna bestämmelse varken ett ”blockerkännande” (en bloc) av den skyddsnivå som tillhandahålls i USA som sådan, eller ett generellt överföringstillstånd. ii) Principer och skyddsåtgärder för uppgiftsskydd De artiklar som beskrivs nedan omfattar viktiga principer för behandling av personuppgifter samt viktiga skyddsåtgärder och begränsningar. i) Syfte och begränsningar av användningen (artikel 6) I överensstämmelse med EU:s stadga om de grundläggande rättigheterna och EU:s regelverk tillämpar artikel 6 principen om ändamålsbegränsning på alla överföringar av personuppgifter som omfattas av paraplyavtalet, både vid överföringar i specifika fall och i fall där Förenta staterna och EU/EU:s medlemsstater ingår ett avtal som tillåter överföring av stora mängder av personuppgifter. Behandling (vilket inbegriper överföringar) kan bara ske för uttryckligt angivna och berättigade ändamål som omfattas av paraplyavtalet, dvs. för att förebygga, utreda, upptäcka eller lagföra brott, inklusive terrorism. Ytterligare behandling av personuppgifter av andra myndigheter (brottsbekämpande myndigheter, tillsynsmyndigheter eller administrativa myndigheter) än en parts första mottagande myndighet medges på villkor att detta inte är oförenligt med de ändamål för vilka uppgifterna ursprungligen överförts och att denna andra myndighet följer alla andra bestämmelser i paraplyavtalet. Den överförande behöriga myndigheten kan också fastställa ytterligare villkor (t.ex. för användningen av uppgifterna) i särskilda fall. Slutligen ska personuppgifter behandlas endast om detta är ”direkt relevant för och inte alltför ingripande eller omfattande i förhållande till ändamålet med behandlingen”. 8 SV I det fjärde skälet i ingressen anges att paraplyavtalet inte ska ändra, uppställa villkor eller på annat sätt innebära avvikelser från avtal där det fastställts att de ger en tillräcklig uppgiftsskyddsnivå, med undantag av bestämmelsen om rättslig prövning i artikel 19, som även kommer att vara tillämplig på dem. Detta gäller avtalet om passageraruppgifter och TFTP-avtalet. 7 SV Artikel 6 är en central bestämmelse i avtalet. Den säkerställer att skyddsåtgärderna tillämpas på en viss uppsättning uppgifter under hela deras ”livscykel”, från den ursprungliga överföringen från EU till behandlingen av dem av en amerikansk behörig myndighet och vice versa, samt eventuellt framtida utbyte med/behandling av en annan amerikansk myndighet eller, vid en överföring av uppgifter från Förenta staterna till en behörig myndighet i EU eller (någon av) EU:s medlemsstater, det eventuella ytterligare utbytet med/behandlingen av en annan EU-myndighet eller medlemsstats myndighet. ii) Vidareöverföring (artikel 7) De begränsningar för vidareöverföring som anges i artikel 7 innebär att om en amerikansk myndighet har för avsikt att vidareöverföra uppgifter som den fått från EU eller någon av EU:s medlemsstater till tredjeland eller ett internationellt organ som inte är bundet av avtalet, måste myndigheten först inhämta samtycke från den brottsbekämpande myndighet i EU som ursprungligen överförde uppgifterna till Förenta staterna. Denna bestämmelse gäller också om en myndighet i EU eller någon av EU:s medlemsstater har för avsikt att vidareöverföra uppgifter som den har fått från Förenta staterna till tredjeland eller ett internationellt organ. När den myndighet som ursprungligen överförde uppgifterna fattar beslut om att lämna sitt samtycke ska den ta vederbörlig hänsyn till alla relevanta faktorer, däribland ändamålet med den ursprungliga överföringen och huruvida tredjelandet eller det internationella organet garanterar en lämplig skyddsnivå för personuppgifter. Den får även knyta särskilda villkor till överföringen. Vad beträffar artiklarna om ändamålsbegränsning (se artikel 6 ovan), lagringsperiod (se artikel 12 nedan) och känsliga uppgifter (se artikel 13 nedan) tas i denna artikel uttryckligen hänsyn till den särskilt känsliga situationen när stora mängder uppgifter om icke misstänkta personer överförs (t.ex. PNR-uppgifter för alla passagerare som reser med ett flyg, oberoende av eventuella specifika misstankar) genom att det föreskrivs att vidareöverföring av ”andra personuppgifter än sådana som avser särskilda fall” endast får ske i enlighet med särskilda villkor som fastställs i det avtal som ligger till grund för vidareöverföringen. Den särskilda situation som föreligger vid vidareöverföring till en annan stat inom EU (t.ex. om fransk polis delar information som man fått av amerikanska FBI med tysk polis) tas också upp i denna artikel (i punkt 4) genom att det föreskrivs att om förhandsgodkännande enligt gällande regler måste inhämtas för sådana överföringar, ska den myndighet som ursprungligen överfört uppgifterna (t.ex. amerikanska FBI) inte kunna vägra att lämna sitt samtycke eller ställa villkor av skäl som avser nivån för uppgiftsskyddet (eftersom alla de aktuella myndigheterna är bundna av paraplyavtalet). iii) Uppgifternas kvalitet och integritet (artikel 8) Parterna ska vidta rimliga åtgärder för att se till att överförda personuppgifter lagras med sådan precision, relevans, aktualitet och fullständighet som krävs och är lämplig för lagenlig behandling av uppgifter. Om den mottagande eller överförande myndigheten får kännedom om allvarliga tvivel angående relevansen, aktualiteten, fullständigheten eller riktigheten hos personuppgifter som mottagits eller överförts, ska den när så är möjligt underrätta den överförande/mottagande myndigheten om detta. iv) Uppgiftssäkerhet (artikel 9) och anmälan av ett tillbud som påverkar uppgiftssäkerheten (artikel 10) SV 8 SV Dessa artiklar bidrar till att säkerställa en hög säkerhetsnivå för personuppgifter som utbyts av parterna i paraplyavtalet. Enligt artikel 9 ska parterna se till att de har lämpliga tekniska, säkerhetsmässiga och organisatoriska arrangemang för att skydda personuppgifter mot oavsiktlig eller olaglig förstöring, oavsiktlig förlust eller otillåtet utlämnande, otillåtna ändringar, otillåten åtkomst eller annan behandling. Dessa arrangemang ska inbegripa att åtkomst till personuppgifter bara tillåts för godkänd personal. Enligt artikel 10 ska, vid ett säkerhetstillbud där det finns en betydande risk för skada, lämpliga åtgärder vidtas omedelbart för att lindra skadeverkningarna. Dessa åtgärder ska innefatta anmälan till den överförande myndigheten och underrättelse till den enskilde, om det är lämpligt med hänsyn till omständigheterna kring tillbudet. Undantag från anmälnings- och underrättelseplikten anges utförligt i bestämmelsen och motsvarar rimliga begränsningar (t.ex. den nationella säkerheten). v) Förande av register (artikel 11) Parterna ska ha effektiva metoder (t.ex. loggar) för att bevisa att behandlingen och användningen av personuppgifter sker i enlighet med lag. Detta krav är en viktig skyddsåtgärd för enskilda personer, eftersom de brottsbekämpande myndigheterna måste visa att en viss uppgiftsbehandling har utförts i enlighet med lagen. Skyldigheten att dokumentera databehandlingar innebär i synnerhet att det kommer att finnas ett ”spår” om behandlingen är olaglig. Detta bör underlätta handläggningen av klagomål och göra det enklare att framföra anspråk beträffande lagenligheten av uppgiftsbehandling. vi) Lagringsperiod (artikel 12). Behandlingen av uppgifter ska omfattas av särskilda lagringsperioder i syfte att se till att uppgifter inte lagras längre än vad som behövs och är lämpligt. För att bestämma hur långa dessa lagringsperioder ska vara måste ett antal faktorer beaktas, särskilt ändamålet med behandlingen eller användningen, uppgifternas art och inverkan på de berörda registrerades rättigheter och intressen. Det preciseras också att om parterna ingår ett avtal om överföring av ”datamängder” måste detta avtal innehålla en särskild bestämmelse om den lagringsperiod som gäller. Med denna bestämmelse godtar parterna principen om att sådana avtal om överföring av datamängder ska föreskriva en specifik lagringsperiod, som därför inte behöver förhandlas fram på nytt. Lagringsperioderna ska omprövas regelbundet för att avgöra om förändrade omständigheter kräver en ändring av den tillämpliga perioden. För att säkerställa öppenhet ska lagringsperioderna offentliggöras eller på annat sätt göras allmänt tillgängliga. vii) Särskilda kategorier av uppgifter (artikel 13) Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller annan övertygelse, fackföreningstillhörighet eller personuppgifter rörande hälsa eller sexuell läggning får endast ske med iakttagande av lämpliga skyddsåtgärder i enlighet med gällande lag (t.ex. maskering av uppgifterna efter det att ändamålet med behandlingen SV 9 SV har uppnåtts eller krav på tillsynsmyndighetens godkännande för att få åtkomst till uppgifterna). Avtal som tillåter överföring av stora uppgiftsmängder ska ytterligare specificera de standarder och villkor enligt vilka särskilda kategorier av uppgifter kan behandlas. Bestämmelserna om särskilda kategorier av uppgifter är förenliga med kravet att behandlingen ska vara direkt relevant och inte alltför ingripande enligt artikel 6 om syfte och begränsningar av användningen. viii) Databehandlat beslutsfattande (artikel 15) Uppgiftsbehandling som kan leda till beslut som har negativa verkningar för en enskild (t.ex. i samband med profilering) får inte uteslutande vara baserade på automatisk databehandling av personuppgifter, såvida inte behandlingen är tillåten enligt nationell rätt och under förutsättning att lämpliga skyddsåtgärder vidtas, inklusive möjligheten till att erhålla personligt ingripande. ix) Öppenhet (artikel 20) Enskilda har rätt att få information (genom allmänna tillkännagivanden eller direkt underrättelse och med förbehåll för ”skäliga begränsningar”) om syftet med behandlingen och eventuell ytterligare användning av deras personuppgifter, de lagar och andra författningar enligt vilka sådan behandling äger rum, identiteten på tredje parter till vilka deras personuppgifter får lämnas ut samt vilka möjligheter som finns till åtkomst, rättelse och prövning. Att öka enskildas medvetenhet om varför och av vem deras uppgifter behandlas bidrar till möjligheterna för den enskilde att utöva sin rätt till åtkomst, rättelse eller prövning (se artiklarna 16–19 nedan). (iii) Enskildas rättigheter Dessa rättigheter är av särskild betydelse för skyddet av registrerade, som för första gången kommer att kunna utnyttja rättigheter som gäller allmänt för alla transatlantiska överföringar av personuppgifter på det brottsbekämpande området. i) Åtkomst och rättelse (artikel 16 och 17) Rätten till åtkomst ger varje enskild person rätt att begära och få tillgång till personuppgifter som rör honom eller henne. Skälen för att begränsa åtkomsten anges uttömmande och motsvarar skäliga begränsningar (t.ex. för att skydda den nationella säkerheten, undvika att arbetet med att utreda eller lagföra brott påverkas menligt och skydda andra personers fri- och rättigheter). Orimliga kostnader får inte införas som ett krav för att man ska få åtkomst till sina uppgifter. Rätten till rättelse ger enskilda rätt att ansöka om korrigering eller rättelse av egna personuppgifter om dessa är felaktiga eller har behandlats på ett felaktigt sätt. Detta kan inbegripa åtgärder som att komplettera, radera, blockera uppgifter eller andra metoder för att åtgärda brister eller felaktig behandling. SV 10 SV Om den behöriga myndigheten i mottagarlandet, efter en begäran från en enskild person, ett meddelande från den som tillhandahållit personuppgifterna eller en egen utredning, kommer till slutsatsen att uppgifterna är oriktiga eller har behandlats på ett felaktigt sätt, ska myndigheten vidta åtgärder för att komplettera, radera eller blockera uppgifterna eller andra åtgärder för korrigering eller rättelse. Om det är tillåtet enligt nationell lagstiftning har enskilda rätt att ge en tillsynsmyndighet (dvs. en nationell dataskyddsmyndighet för den registrerade i EU) befogenhet att ansöka om åtkomst eller rättelse på hans eller hennes vägnar. Denna möjlighet till indirekt utövande av rättigheter, via en myndighet och inom ramen för en rättsordning som de känner till, bör konkret hjälpa de registrerade att hävda sina rättigheter. Om en ansökan om åtkomst eller rättelse avslås eller medges endast i begränsad omfattning, ska den anmodade myndigheten svara den enskilde (eller hans eller hennes företrädare) och ange grunden för att vägra eller endast i begränsad omfattning medge åtkomst till eller rättelse av uppgifterna. Skyldigheten att ge den enskilde ett motiverat svar syftar till att möjliggöra och underlätta utövandet av hans eller hennes rätt till administrativ och rättslig prövning om åtkomst/rättelse nekas eller begränsas av den berörda brottsbekämpande myndigheten. ii) Administrativ prövning (artikel 18) Om den enskilde inte är nöjd med resultatet av sin ansökan om åtkomst/rättelse av personuppgifter har han eller hon rätt att begära administrativ prövning. För att underlätta ett verksamt utövande av rätten till åtkomst och rättelse kan den registrerade vända sig till en tillsynsmyndighet (dvs. en nationell dataskyddsmyndighet för registrerade i EU) eller en annan företrädare, om detta är tillåtet enligt tillämplig nationell lagstiftning. Den myndighet som agerar som företrädare ska ge den registrerade ett skriftligt svar och ange vilka förbättrande eller korrigerande åtgärder som vidtagits i förekommande fall. iii) Rättslig prövning (artikel 19) Medborgare i varje part ska kunna begära rättslig prövning om den andra partens myndigheter i) nekar åtkomst, ii) nekar rättelse av eller iii) i strid med lag lämnar ut hans eller hennes personuppgifter. För Förenta staternas del återspeglas detta i lagen om rättslig prövning (Judicial Redress Act), som undertecknades av president Barack Obama den 24 februari 2016. Denna lag utvidgar dessa tre grunder för rättslig prövning – som för närvarande föreskrivs i 1974 års amerikanska lag om skydd av privatlivet (Privacy Act) för amerikanska medborgare och varaktigt bosatta personer i Förenta staterna – till att gälla medborgare från ”länder som omfattas”9. Av det fjärde skälet i ingressen till paraplyavtalet framgår det att denna utvidgning även kommer att omfatta uppgifter som utbyts enligt avtal som exempelvis avtalet om passageraruppgifter och 9 SV Ett ”land som omfattas” (Covered Country) i den mening som avses i den amerikanska lagen om rättslig prövning är ett land i) som har slutit ett avtal med Förenta staterna vilket innehåller lämpligt skydd av personuppgifter som utbyts i brottsbekämpande syfte (eller som faktiskt har utbytt uppgifter i brottsbekämpande syfte och har lämpligt personuppgiftsskydd vid utbytet av sådana uppgifter), ii) som tillåter överföring av personuppgifter för kommersiella ändamål genom ett avtal med Förenta staterna eller på annat sätt, iii) vars politik för överföring av personuppgifter för kommersiella ändamål inte utgör något väsentligt hinder för Förenta staternas nationella säkerhetsintressen. Förenta staternas justitieminister fattar beslutet om huruvida ett land ”omfattas” . 11 SV TFTP-avtalet. I kombination med antagandet av lagen om rättslig prövning kommer artikel 19 således att avsevärt förbättra det rättsliga skyddet för EU-medborgare. Lagen om rättslig prövning innehåller ett antal begränsningar (i synnerhet gäller den bara för de uppgifter om medborgare från ”länder som omfattas” vars uppgifter har överförts av EU:s brottsbekämpande myndigheter, särskilt – men inte bara – EU-medborgare), men genom artikel 19 i paraplyavtalet uppfylls ett krav som EU har efterfrågat länge. Bestämmelsen motsvarar kommissionens ordförande Jean-Claude Junckers politiska riktlinjer: ”Förenta staterna måste [...] garantera att alla EU-medborgare kan hävda sin rätt till uppgiftsskydd även i amerikanska domstolar, vare sig de är bosatta på amerikansk mark eller inte. Detta är nödvändigt om förtroendet för de nära transatlantiska förbindelserna ska kunna återskapas.” Den är också ett svar på Europaparlamentets resolution av den 12 mars 2014 om amerikanska NSA:s övervakningsprogram, där parlamentet framförde att förhandlingarna med Förenta staterna om ”paraplyavtalet” omedelbart bör återupptas så att ”unionsmedborgarnas rättigheter likställs med de rättigheter som medborgarna i Förenta staterna åtnjuter (...)” och att avtalet bör ”bana väg för effektiva och genomförbara (...) rättsliga åtgärder för alla EU-medborgare i Förenta staterna utan någon diskriminering”10. I artikel 19.3 klargörs att utvidgningen av de tre ovannämnda skälen för rättslig prövning inte påverkar andra former av rättslig prövning som finns att tillgå när det gäller uppgiftsbehandling (t.ex. Administrative Procedure Act, Electronics Communication Privacy Act eller Freedom of Information Act). Dessa andra rättsliga grunder för rättslig prövning är öppna för alla registrerade i EU som berörs av överföringen av uppgifter för brottsbekämpande ändamål, oavsett deras nationalitet eller bostadsort. (iv) Aspekter som rör tillämpningen av paraplyavtalet och tillsyn i) Ansvarighet (artikel 14) Åtgärder ska ha införts för att främja ansvarigheten för de myndigheter som behandlar personuppgifter som omfattas av paraplyavtalet. När den mottagande myndigheten överför personuppgifter vidare till andra myndigheter bör de senare underrättas om de skyddsåtgärder som är tillämpliga enligt detta avtal samt om eventuella ytterligare (begränsande) villkor som är kopplade till överföringen enligt artikel 6.3 (om syfte och begränsningar av användningen). Allvarlig försummelse ska leda till lämpliga och avskräckande straffrättsliga, civilrättsliga eller administrativa påföljder eller sanktioner. Åtgärder för att främja ansvarighet inbegriper, i förekommande fall, avbrytande av vidare överföringar av personuppgifter till parters enheter som inte omfattas av paraplyavtalet, om de inte säkerställer ett effektivt skydd av personuppgifter, med hänsyn till syftet med avtalet (särskilt bestämmelserna om ändamålsbegränsning och vidareöverföring). Denna bestämmelse rör situationer där personuppgifter skickas från en myndighet i EU till en amerikansk federal myndighet (dvs. en myndighet som omfattas av detta avtal) och därefter överförs till en brottsbekämpande myndighet på nationell nivå. Förenta staterna är enligt sina konstitutionella bestämmelser begränsat i sitt utrymme att binda sina delstater på 10 SV Se punkt 57 och skäl BJ i resolutionen av den 12 mars 2014 om amerikanska NSA:s övervakningsprogram, övervakningsorgan i olika medlemsstater samt inverkan på EU-medborgarnas grundläggande rättigheter och på det transatlantiska samarbetet i rättsliga och inrikes frågor (2013/2188(INI)), som finns på http://www.europarl.europa.eu/sides/getDoc.do?pubRef=//EP//TEXT+TA+P7-TA-2014-0230+0+DOC+XML+V0//SV 12 SV internationell nivå11. För att säkerställa ett kontinuerligt skydd för de uppgifter som överförs till amerikanska federala myndigheter och som sedan delas med brottsbekämpande myndigheter på nationell nivå inbegriper denna artikel i) i sin räckvidd parternas ”andra myndigheter” (dvs. de myndigheter som inte omfattas av avtalet, såsom Förenta staternas nationella myndigheter), ii) föreskriver att de skyddsåtgärder som ska tillämpas enligt paraplyavtalet ska anmälas till dem, och iii) att, i förekommande fall, överföringar till sådana myndigheter ska avbrytas om de inte på ett effektivt sätt skyddar personuppgifterna med hänsyn till syftet med paraplyavtalet och i synnerhet artiklarna om ändamålsbegränsning och vidareöverföring. Denna artikel är en viktig byggsten för ett verksamt system för genomförande och tillsyn inom ramen för avtalet då den säkerställer att de behöriga brottsbekämpande myndigheterna är ansvariga för efterlevnaden av paraplyavtalet. Den kommer också att underlätta för enskilda att göra gällande anspråk vid försummelse (som de offentliga myndigheternas ansvarar för). Slutligen kommer EU:s myndigheter att kunna ta upp problem med sina amerikanska motparter och få relevant information om hur de fullgör sina skyldigheter enligt artikel 14 (och om de åtgärder som vidtagits i detta avseende). Ett effektivt genomförande av denna artikel kommer att uppmärksammas särskilt även inom ramen för de gemensamma översynerna (se artikel 23 nedan). ii) Effektiv tillsyn (artikel 21) Parterna ska ha en eller flera offentliga myndigheter som utövar oberoende tillsynsfunktioner och tillsynsbefogenheter, däribland granskning, utredning och ingripande. Dessa myndigheter ska ha befogenhet att ta emot och agera vid klagomål från enskilda rörande åtgärder för att genomföra paraplyavtalet och befogenhet att hänskjuta lagöverträdelser som har samband med detta avtal för lagföring eller disciplinära åtgärder. Vad beträffar det amerikanska systemets särdrag kommer en kombination av tillsynsmyndigheter (bl.a. dataskyddsansvariga, generalinspektörer och styrelsen för tillsyn av personlig integritet och medborgerliga fri- och rättigheter [Privacy and Civil Liberties Oversight Board] att gemensamt utöva de tillsynsfunktioner som dataskyddsmyndigheterna i EU innehar. Denna artikel kompletterar de skyddsåtgärder som finns att tillgå på grundval av bestämmelserna om åtkomst, rättelse och administrativ prövning. Den innebär att enskilda kan lämna in klagomål till oberoende myndigheter om hur den andra parten har genomfört paraplyavtalet. iii) Samarbete mellan tillsynsmyndigheter (artikel 22) Tillsynsmyndigheter ska samarbeta för att säkerställa ett verkningsfullt genomförande av avtalet, särskilt när det gäller systemet för indirekt utövande av enskildas rättigheter till åtkomst, rättelse och administrativ prövning (se artiklarna 16–18 ovan). Nationella kontaktpunkter ska inrättas för att bistå vid fastställandet av vilken tillsynsmyndighet som är behörig i ett visst fall. Med tanke på att det finns en rad olika tillsynsmyndigheter i Förenta staterna ska inrättandet av en central kontaktpunkt för ansökningar om bistånd och samarbete bidra till att dessa ansökningar handläggs effektivt. 11 SV Eftersom det är en federal republik delas makten mellan den federala regeringen och regeringarna i de enskilda staterna (se även artikel 5.2 i paraplyavtalet i detta hänseende). 13 SV iv) Gemensam översyn (artikel 23) Parterna ska genomföra regelbundna gemensamma översyner av genomförandet av paraplyavtalet och dess effektivitet. Särskild uppmärksamhet ska ägnas åt ett effektivt genomförande av artiklarna om enskildas rättigheter (åtkomst, rättelse, administrativ och rättslig prövning) samt åt frågan om överföringar till territoriella enheter som inte omfattas av avtalet (dvs. de amerikanska delstaterna). Den första gemensamma översynen ska genomföras senast tre år från avtalets ikraftträdande och därefter regelbundet. Sammansättningen av de respektive delegationerna ska inbegripa företrädare för både dataskyddsmyndigheterna och brottsbekämpande och rättsliga myndigheter. Resultaten av de gemensamma översynerna kommer att offentliggöras. (v) Slutbestämmelser Paraplyavtalet innehåller ett antal slutbestämmelser om följande: SV Underrättelse till den andra parten om alla lagar och andra författningar som väsentligt påverkar tillämpningen av avtalet. Förenta staterna ska underrätta EU om alla åtgärder vad gäller tillämpningen av bestämmelserna i lagen om rättslig prövning (artikel 24). Samråd vid tvister om tolkningen eller tillämpningen av avtalet (artikel 25). Möjligheten för en part att tillfälligt upphäva avtalet vid en väsentlig överträdelse av avtalet från den andra partens sida (artikel 26). Den territoriella tillämpningen av avtalet för att ta hänsyn till den särskilda situationen vad gäller Förenade kungariket, Irland och Danmark (artikel 27). Avtalets obegränsade löptid (som motiveras med hänsyn till avtalets karaktär som en ram som ger skydd och garantier, samt mot bakgrund av möjligheten att tillfälligt upphäva och säga upp avtalet) (artikel 28). Möjligheten för en part att säga upp avtalet genom att underrätta den andra parten. Det preciseras att personuppgifter som överförts före uppsägningen kommer att fortsätta att behandlas i enlighet med bestämmelserna i paraplyavtalet (artikel 29.2 och 29.3). Avtalet träder i kraft den första dagen i den månad som följer på den dag då parterna har utväxlat underrättelser om att de har avslutat sina interna godkännandeförfaranden (artikel 29.1). Språkklausulen (direkt före raden för undertecknade) som föreskriver i) att avtalet utfärdas på engelska och kommer att upprättas av EU på övriga 23 officiella språk i EU, ii) möjligheten att efter undertecknandet bestyrka avtalstexten på något av dessa övriga officiella EU-språk genom en utväxling av diplomatiska noter med Förenta staterna, iii) och att i händelse av bristande överensstämmelse mellan giltiga språkversioner ska den engelskspråkiga versionen ha företräde. 14 SV 2016/0127 (NLE) Förslag till RÅDETS BESLUT om undertecknande, på Europeiska unionens vägnar, av ett avtal mellan Amerikas förenta stater och Europeiska unionen om skydd av personuppgifter i samband med förebyggande, utredning, upptäckt och lagföring av brott EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA BESLUT med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16 jämförd med artikel 218.5, med beaktande av Europeiska kommissionens förslag, och av följande skäl: SV (1) Den 3 december 2010 bemyndigade rådet kommissionen att inleda förhandlingar med Amerikas förenta staters regering om ett avtal om skydd av personuppgifter som överförs och behandlas för att förebygga, utreda, upptäcka och lagföra brott, inklusive terrorism. (2) Förhandlingarna med Amerikas förenta staters regering har slutförts och texten till avtalet paraferades den 8 september 2015. (3) Syftet med avtalet är att fastställa en omfattande ram av uppgiftsskyddsprinciper och skyddsåtgärder när personuppgifter överförs i brottsbekämpningssyfte mellan Förenta staterna, å ena sidan, och EU och dess medlemsstater, å den andra. Målet är att säkerställa ett starkt uppgiftsskydd och därmed underlätta samarbetet mellan parterna. Även om det inte i sig utgör den rättsliga grunden för någon överföring av personuppgifter till Förenta staterna kompletterar paraplyavtalet vid behov uppgiftsskyddsåtgärder i befintliga och framtida avtal om överföring av uppgifter eller nationella bestämmelser som medger sådana överföringar. (4) Unionen har befogenheter som omfattar alla bestämmelser i avtalet. Unionen har antagit direktiv 2016/XXX/EU12 om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter. (5) Europeiska unionen har exklusiv befogenhet i den mån som avtalet kan påverka unionens gemensamma regler eller ändra räckvidden för dessa. (6) I enlighet med artikel 6a i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, är Förenade kungariket och Irland inte bundna av de bestämmelser i avtalet vilka avser behandling av personuppgifter när de bedriver verksamhet som omfattas av avdelning 12 Europaparlamentets och rådets direktiv om skyddet av enskilda vid behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter, och om upphävande av rådets rambeslut 2008/977/RIF. 15 SV V kapitel 4 (straffrättsligt samarbete) och kapitel 5 (polissamarbete) i tredje delen av EUF-fördraget, i de fall då Förenade kungariket och Irland inte är bundna av de bestämmelser inom ramen för vilka efterlevnad av avtalet krävs. (7) I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, deltar Danmark inte i antagandet av detta beslut och avtalet är därför inte bindande för eller tillämpligt på Danmark. (8) Avtalet bör undertecknas med förbehåll för att det ingås vid en senare tidpunkt. HÄRIGENOM FÖRESKRIVS FÖLJANDE. Artikel 1 Härmed bemyndigas på Europeiska unionens vägnar undertecknandet av avtalet mellan Amerikas förenta stater och Europeiska unionen om skydd av personuppgifter i samband med förebyggande, utredning, upptäckt och lagföring av brott, med förbehåll för att avtalet ingås. Texten till det avtal som ska undertecknas åtföljer detta beslut. Artikel 2 Rådets generalsekretariat ska utfärda det instrument som ger den person som anges av kommissionen full befogenhet att underteckna avtalet, med förbehåll för att det ingås. Artikel 3 Detta beslut träder i kraft samma dag som det antas. Utfärdat i Bryssel den På rådets vägnar Ordförande SV 16 SV