3. resultat av efterhandsutvärderingar, samråd med

EUROPEISKA
KOMMISSIONEN
Bryssel den 29.4.2016
COM(2016) 238 final
2016/0127 (NLE)
Förslag till
RÅDETS BESLUT
om undertecknande, på Europeiska unionens vägnar, av ett avtal mellan Amerikas
förenta stater och Europeiska unionen om skydd av personuppgifter i samband med
förebyggande, utredning, upptäckt och lagföring av brott
SV
SV
MOTIVERING
1.
BAKGRUND TILL FÖRSLAGET
•
Motiv och syfte med förslaget
I november 2006 inrättades en kontaktgrupp på hög nivå bestående av högre tjänstemän från
kommissionen, rådets ordförandeskap och Förenta staternas justitieministerium, ministerium
för inrikes säkerhet samt utrikesministerium för att undersöka hur EU och Förenta staterna
skulle kunna samarbeta närmare och effektivare för att utbyta brottsbekämpande uppgifter och
samtidigt sörja för att skyddet av personuppgifter och integritetsskyddet garanteras. Slutsatsen
i kontaktgruppens slutrapport i oktober 20091 var att det bästa alternativet skulle vara ett
internationellt avtal som föreskriver att både EU och Förenta staterna ska tillämpa
gemensamma uppgiftsskyddsprinciper för transatlantiska uppgiftsöverföringar på
brottsbekämpningsområdet. Fördelen skulle vara att man fastställer de grundprinciper för ett
effektivt integritets- och personuppgiftsskydd som styr utbytet av brottsbekämpande uppgifter
och det skulle sörja för den högsta graden av rättssäkerhet.
Den 3 december 2010 antog rådet ett beslut om bemyndigande för kommissionen att inleda
förhandlingar om ett avtal mellan Europeiska unionen och Amerikas förenta stater om skydd
av personuppgifter vid överföring och behandling i syfte att förebygga, upptäcka, utreda eller
lagföra brott, inklusive terrorism, inom ramen för polissamarbete och straffrättsligt samarbete
(nedan kallat paraplyavtalet)2.
Den 28 mars 2011 inledde kommissionen förhandlingar. Den 8 september 2015 paraferade
parterna texten.
I paraplyavtalet fastställs (för första gången) en omfattande ram av uppgiftsskyddsprinciper
och skyddsåtgärder när personuppgifter3 överförs i brottsbekämpningssyfte mellan Förenta
staterna, å ena sidan, och EU och dess medlemsstater, å den andra. Målet är att garantera en
hög nivå av uppgiftsskydd samtidigt som samarbetet mellan parterna stärks. Även om det inte
i sig utgör den rättsliga grunden för någon överföring av personuppgifter till Förenta staterna
kompletterar paraplyavtalet vid behov garantier för uppgiftsskydd i befintliga och framtida
avtal om överföring av uppgifter eller nationella bestämmelser som tillåter sådana
överföringar.
Detta är en mycket stor förbättring jämfört med den nuvarande situationen där
personuppgifter överförs över Atlanten på grundval av rättsliga instrument (internationella
1
2
3
SV
Rapporter från kontaktgruppen på hög nivå för informationsutbyte, integritetsskydd och skydd av
personuppgifter, Bryssel den 23 november 2009, 15851/09, JAI 822 DATAPROTECT 74 USA 102.
Tillsammans med antagandet av EU:s reform av uppgiftsskyddslagstiftningen och de nya
bestämmelserna om integritetsskydd mellan EU och Förenta staterna vad gäller dataöverföring på
handelsområdet är ingåendet av ett meningsfullt och omfattande paraplyavtal en väsentlig del av den
strategi som fastställs i kommissionens meddelande Återskapande av förtroendet för dataflöden mellan
EU och Förenta staterna (COM(2013) 846) av den 27 november 2013, som finns på
http://ec.europa.eu/justice/data-protection/files/com_2013_846_en.pdf, vilket också bekräftas i
kommissionens ordförande Jean-Claude Junckers politiska riktlinjer, och i kommissionens meddelande
till Europaparlamentet och rådet Transatlantiska dataflöden: Återställande av förtroendet genom starka
skyddsåtgärder,
COM(2016)
117
final
av den 29
februari
2016, finns
på:
http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-communication_en.pdf.
Begreppet personal information som används i förordningen om paraplyavtalet är synonymt med EU:s
begrepp personal data (i båda fall ”personuppgifter” på svenska).
2
SV
avtal eller inhemsk lagstiftning) som i allmänhet inte innehåller några bestämmelser alls om
uppgiftsskydd eller bara få sådana.
•
Förenlighet med befintliga bestämmelser inom området
Paraplyavtalet kommer att stärka skyddet för alla personuppgifter om registrerade personer i
EU när de utbyts med Förenta staterna i brottsbekämpningssyfte. Genom att införa en
omfattande ram med uppgiftsskyddsgarantier kommer avtalet att komplettera befintliga avtal
(både de bilaterala avtalen mellan medlemsstaterna och Förenta staterna och avtalen mellan
EU och Förenta staterna) på grundval av vilka personuppgifter skickas till Förenta staterna i
brottsbekämpningssyfte, när och i den utsträckning de saknar den erforderliga graden av
skydd.
Avtalet kommer vidare att tillhandahålla ett ”skyddsnät” för framtida avtal mellan EU/EU:s
medlemsstater och Förenta staterna under vilket skyddsnivån inte kan falla. Detta är en viktig
garanti inför framtiden och en stor förändring jämfört med den nuvarande situationen, där
skyddsåtgärder och rättigheter måste omförhandlas för varje enskilt nytt avtal.
Paraplyavtalet kommer att bidra med ett betydande mervärde för ett ökat skydd för
registrerade i EU, i enlighet med kraven i EU:s primär- och sekundärrätt. Med avtalet införs
för första gången ett uppgiftsskyddsinstrument som på ett övergripande och konsekvent sätt
omfattar alla uppgiftsöverföringar på ett visst område (dvs. transatlantiska utbyten av
uppgifter på området polissamarbete och straffrättsligt samarbete). Vidare kommer
paraplyavtalet i det transatlantiska sammanhanget att underbygga de allmänna kraven för
internationella uppgiftsöverföringar i det framtida direktivet om skyddet av enskilda vid
behöriga myndigheters behandling av personuppgifter i syfte att förebygga, utreda, avslöja
eller lagföra brott eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana
uppgifter (nedan kallat polisdirektivet)4, som antogs den 14 april 2016. Mot bakgrund av
ovanstående utgör paraplyavtalet också en viktig modell för eventuella liknande avtal med
andra internationella partner.
•
Förenlighet med unionens politik inom andra områden
Paraplyavtalet förväntas få stor betydelse för polisens och de brottsbekämpande
myndigheternas samarbete med Förenta staterna. I och med att en gemensam och omfattande
ram av uppgiftsskyddsregler och garantier skapas kommer EU:s och EU:s medlemsstaters
brottsbekämpande myndigheter å ena sidan och Förenta staternas brottsbekämpande
myndigheter å den andra att kunna samarbeta effektivare med varandra. Den kommer vidare
att säkerställa att befintliga avtal innehåller allt nödvändigt skydd. Detta skapar kontinuitet i
det brottsbekämpande samarbetet och borgar för en större rättssäkerhet vid överföringar.
Avtalet kommer också att underlätta ingåendet av framtida avtal om uppgiftsöverföring med
Förenta staterna på brottsbekämpningsområdet, eftersom det kommer att finnas avtalade
uppgiftsskyddsbestämmelser som inte behöver förhandlas fram om och om igen. Slutligen är
fastställda gemensamma normer på detta viktiga men komplexa samarbetsområde ett viktigt
framsteg som kan bidra väsentligt till att återupprätta förtroendet för transatlantiska
uppgiftsflöden.
4
SV
Förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på
behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra
brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter, COM(2012) 10
final
–
2012/0010
(COD),
finns
på:
http://eur-lex.europa.eu/legalcontent/EN/TXT/PDF/?uri=CELEX:52012PC0010&from=en
3
SV
2.
RÄTTSLIG
GRUND,
SUBSIDIARITETSPRINCIPEN
PROPORTIONALITETSPRINCIPEN
•
Rättslig grund
OCH
Den rättsliga grunden för detta förslag är artikel 16 jämförd med artikel 218.5 i EUFfördraget.
•
Subsidiaritetsprincipen
Paraplyavtalet faller under EU:s exklusiva befogenhet enligt artikel 3.2 i EUF-fördraget.
Subsidiaritetsprincipen är därför inte tillämplig.
•
Proportionalitetsprincipen
Paraplyavtalet ger de uppgiftsskyddsgarantier som krävdes enligt rådets förhandlingsdirektiv.
De betraktas som inslag som är nödvändiga för att säkerställa den erforderliga skyddsnivån
när personuppgifter överförs till ett tredjeland, enligt både stadgan om de grundläggande
rättigheterna och EU:s framväxande regelverk. Varken ett betydligt mindre antal sådana
garantier eller ett instrument med mindre bindande verkan kan anses tillräckligt för att sörja
för en sådan skyddsnivå. Förslaget går därför inte längre än vad som är nödvändigt för att
uppnå det politiska målet att inrätta en ram för skyddet av personuppgifter som överförs
mellan Förenta staterna, å ena sidan, och Europeiska unionen och dess medlemsstater, å andra
sidan, i samband med brottsbekämpning.
•
Val av instrument
Inrättandet av en bindande ram för skyddet av personuppgifter, som kommer att komplettera
befintliga avtal och utgöra en grund för framtida avtal, kan bara säkerställas genom ett
internationellt avtal som ingås mellan EU och Förenta staterna.
Såsom framgår av kontaktgruppens rapport från oktober 2009 ger ett internationellt avtal den
högsta graden av rättssäkerhet.
3.
RESULTAT AV EFTERHANDSUTVÄRDERINGAR, SAMRÅD
BERÖRDA PARTER OCH KONSEKVENSBEDÖMNINGAR
MED
•
Efterhandsutvärderingar/kontroller av ändamålsenligheten med befintlig
lagstiftning
Ej tillämpligt.
•
Samråd med berörda parter
Kommissionen har rapporterat regelbundet både muntligt och skriftligt till den särskilda
rådskommittén om hur förhandlingarna fortskridit. Europaparlamentet har informerats
regelbundet både muntligt och skriftligt genom utskottet för medborgerliga fri- och rättigheter
samt rättsliga och inrikes frågor.
•
Insamling och användning av sakkunnigutlåtanden
Initiativet genomför rådets förhandlingsdirektiv av den 3 december 2010.
•
Konsekvensbedömning
Ingen konsekvensbedömning behövdes. Förslaget till avtal stämmer överens med rådets
förhandlingsdirektiv.
SV
4
SV
•
Lagstiftningens ändamålsenlighet och förenkling
Ej tillämpligt.
•
Grundläggande rättigheter
Bestämmelserna i paraplyavtalet syftar till att skydda den grundläggande rätten till skydd av
personuppgifter enligt artikel 8 och rätten till ett effektivt rättsmedel och till en opartisk
domstol enligt artikel 47 i EU-stadgan om de grundläggande rättigheterna.
4.
BUDGETKONSEKVENSER
Det föreslagna avtalet har inga budgetkonsekvenser.
5.
ÖVRIGA INSLAG
•
Genomförandeplaner samt åtgärder för övervakning, utvärdering och
rapportering
Det kommer att krävas ett genomförande från medlemsstaternas sida, men inga större
ändringar i lagstiftningen väntas eftersom de materiella bestämmelserna i paraplyavtalet i stor
utsträckning återspeglar regler som redan gäller för EU:s och medlemsstaternas myndigheter
enligt EU-lagstiftningen och/eller nationell lagstiftning.
•
Ingående redogörelse för de specifika bestämmelserna i förslaget
Paraplyavtalet omfattar i enlighet med rådets förhandlingsdirektiv följande fem kategorier av
bestämmelser: i) Övergripande bestämmelser. ii) Principer och skyddsåtgärder för
uppgiftsskydd. iii) Enskildas rättigheter. iv) Aspekter som rör tillämpningen av avtalet och
tillsyn. v) Slutbestämmelser.
(i)
Övergripande bestämmelser
i) Avtalets syfte (artikel 1)
För att uppnå syftet med avtalet (dvs. att garantera ett starkt skydd för personuppgifter och
förbättra samarbetet på det brottsbekämpande området) fastställs i paraplyavtalet en ram för
skydd av personuppgifter som överförs mellan Förenta staterna, å ena sidan, och EU och dess
medlemsstater, å andra sidan, för att förebygga, utreda, upptäcka eller lagföra brott, inklusive
terrorism. Hänvisningen till begreppen att ”förebygga, utreda, upptäcka och lagföra brott”
(nedan gemensamt kallat brottsbekämpning) säkerställer att avtalet kommer att vara förenligt
med strukturen på EU:s nuvarande och framtida regelverk om uppgiftsskydd (särskilt
gränsdragningen mellan förordningen om skydd för enskilda personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana uppgifter [nedan kallad den
allmänna dataskyddsförordningen5] och ”polisdirektivet” vad gäller deras respektive
tillämpningsområde).
Genom att precisera att paraplyavtalet i sig inte ska utgöra den rättsliga grunden för
överföringar av personuppgifter och att en (separat) rättslig grund alltid ska krävas klargörs
5
SV
Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på
behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän
uppgiftsskyddsförordning)
(COM(2012)
11
final
2012/0011
(COD),
finns
på:
http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_sv.pdf
5
SV
också i artikel 1 att paraplyavtalet är ett avtal om genuina grundläggande rättigheter där en
uppsättning skyddsåtgärder fastställs som gäller för sådana överföringar.
ii) Definitioner (artikel 2)
I artikel 2 finns definitioner av centrala termer i paraplyavtalet. Definitionerna av
”personuppgifter”, ”behandling av personuppgifter”, ”parter”, ”medlemsstat” och ”behörig
myndighet” stämmer i stort sett överens med hur dessa begrepp har definierats i andra avtal
mellan EU och Förenta staterna och/eller i Europeiska unionens regelverk om uppgiftsskydd.
iii) Avtalets tillämpningsområde (artikel 3)
Artikel 3 i paraplyavtalet definierar paraplyavtalets tillämpningsområde. Det kommer att
säkerställa att de skyddsbestämmelser och skyddsåtgärder som fastställs i paraplyavtalet
gäller alla uppgiftsutbyten som sker i samband med det transatlantiska brottsbekämpande
samarbetet i straffrättsliga ärenden. Detta omfattar överföringar på grundval av nationell
lagstiftning, avtal mellan EU och Förenta staterna (t.ex. avtalet mellan EU och Förenta
staterna om ömsesidig rättslig hjälp), avtal mellan medlemsstaterna och Förenta staterna (t.ex.
avtal om ömsesidig rättslig hjälp, avtal om utökat samarbete för förebyggande och
bekämpning av grov brottslighet, avtal och ordningar om kontroll av terrorister) samt
särskilda avtal om privata enheters överföring av personuppgifter i brottsbekämpningssyfte
(t.ex. inom ramen för EU:s och Förenta staternas avtal om passageraruppgifter6 och om
programmet för att spåra finansiering av terrorism7 (TFTP-avtalet). Tillämpningsområdet
formuleras med utgångspunkt i ”uppgiftsöverföring”, dvs. det omfattar i princip alla
överföringar av uppgifter i brottsbekämpningssyfte mellan EU och Förenta staterna, oavsett
den berörda registrerades nationalitet eller bostadsort.
Paraplyavtalet kommer inte att omfatta överföringar av personuppgifter (eller andra former av
samarbete) mellan amerikanska myndigheter och medlemsstaternas myndigheter med ansvar
för att skydda den nationella säkerheten.
iv) Icke-diskriminering (artikel 4)
I artikel 4 föreskrivs att parterna ska genomföra paraplyavtalet utan godtycklig eller
oberättigad diskriminering mellan sina egna medborgare och den andra partens medborgare.
Denna artikel kompletterar och förstärker andra bestämmelser i avtalet (särskilt artiklarna om
skyddsåtgärder för enskilda, t.ex. om åtkomst, rättelse och administrativ prövning, se nedan),
eftersom den säkerställer att europeiska medborgare i princip kommer att behandlas på
samma sätt som amerikanska medborgare vid de amerikanska myndigheternas genomförande
av dessa bestämmelser i praktiken.
v) Avtalets verkan (artikel 5)
6
7
SV
Avtal mellan Amerikas förenta stater och Europeiska unionen om användning och överföring av
passageraruppgifter till Förenta staternas Department of Homeland Security, EUT L 2015, 11.8.2012,
s. 5.
Avtal mellan Europeiska unionen och Amerikas förenta stater om behandling och överföring av
uppgifter om finansiella betalningsmeddelanden från Europeiska unionen till Förenta staterna i enlighet
med programmet för att spåra finansiering av terrorism, EUT L 195, 27.7.2010, s. 5.
6
SV
Paraplyavtalet kommer att komplettera befintliga avtal mellan EU/EU:s medlemsstater och
Förenta staterna på lämpligt sätt, dvs. i de fall och i den utsträckning de saknar nödvändiga
garantier för uppgiftsskydd8.
Ett verksamt genomförande av paraplyavtalet (särskilt artiklarna om enskildas rättigheter)
medför en presumtion om förenlighet med de tillämpliga internationella reglerna för
uppgiftsöverföring. Det rör sig varken om en automatisk eller en allmän presumtion och i
likhet med alla presumtioner kan den vederläggas. Det är inte en automatisk presumtion,
eftersom den uttryckligen är beroende av att Förenta staterna genomför paraplyavtalet på ett
verksamt sätt, närmare bestämt – såsom artikel 5.2 uttryckligen klargör – på ett verksamt sätt
genomför artiklarna om enskildas rättigheter (särskilt åtkomst, rättelse och administrativ och
rättslig prövning). Det är heller inte en allmän presumtion; eftersom paraplyavtalet inte är ett
”fristående” instrument för överföringar gäller denna presumtion med nödvändighet efter en
bedömning från fall till fall, dvs. efter en bedömning av om kombinationen av paraplyavtalet
och den särskilda rättsliga grunden för överföringen ger en skyddsnivå som stämmer överens
med EU:s uppgiftsskyddsregler. Med andra ord, till skillnad från ett konstaterande att
skyddsnivån är adekvat, medger denna bestämmelse varken ett ”blockerkännande” (en bloc)
av den skyddsnivå som tillhandahålls i USA som sådan, eller ett generellt överföringstillstånd.
ii)
Principer och skyddsåtgärder för uppgiftsskydd
De artiklar som beskrivs nedan omfattar viktiga principer för behandling av personuppgifter
samt viktiga skyddsåtgärder och begränsningar.
i) Syfte och begränsningar av användningen (artikel 6)
I överensstämmelse med EU:s stadga om de grundläggande rättigheterna och EU:s regelverk
tillämpar artikel 6 principen om ändamålsbegränsning på alla överföringar av personuppgifter
som omfattas av paraplyavtalet, både vid överföringar i specifika fall och i fall där Förenta
staterna och EU/EU:s medlemsstater ingår ett avtal som tillåter överföring av stora mängder
av personuppgifter. Behandling (vilket inbegriper överföringar) kan bara ske för uttryckligt
angivna och berättigade ändamål som omfattas av paraplyavtalet, dvs. för att förebygga,
utreda, upptäcka eller lagföra brott, inklusive terrorism.
Ytterligare behandling av personuppgifter av andra myndigheter (brottsbekämpande
myndigheter, tillsynsmyndigheter eller administrativa myndigheter) än en parts första
mottagande myndighet medges på villkor att detta inte är oförenligt med de ändamål för vilka
uppgifterna ursprungligen överförts och att denna andra myndighet följer alla andra
bestämmelser i paraplyavtalet.
Den överförande behöriga myndigheten kan också fastställa ytterligare villkor (t.ex. för
användningen av uppgifterna) i särskilda fall.
Slutligen ska personuppgifter behandlas endast om detta är ”direkt relevant för och inte alltför
ingripande eller omfattande i förhållande till ändamålet med behandlingen”.
8
SV
I det fjärde skälet i ingressen anges att paraplyavtalet inte ska ändra, uppställa villkor eller på annat sätt
innebära avvikelser från avtal där det fastställts att de ger en tillräcklig uppgiftsskyddsnivå, med
undantag av bestämmelsen om rättslig prövning i artikel 19, som även kommer att vara tillämplig på
dem. Detta gäller avtalet om passageraruppgifter och TFTP-avtalet.
7
SV
Artikel 6 är en central bestämmelse i avtalet. Den säkerställer att skyddsåtgärderna tillämpas
på en viss uppsättning uppgifter under hela deras ”livscykel”, från den ursprungliga
överföringen från EU till behandlingen av dem av en amerikansk behörig myndighet och vice
versa, samt eventuellt framtida utbyte med/behandling av en annan amerikansk myndighet
eller, vid en överföring av uppgifter från Förenta staterna till en behörig myndighet i EU eller
(någon av) EU:s medlemsstater, det eventuella ytterligare utbytet med/behandlingen av en
annan EU-myndighet eller medlemsstats myndighet.
ii) Vidareöverföring (artikel 7)
De begränsningar för vidareöverföring som anges i artikel 7 innebär att om en amerikansk
myndighet har för avsikt att vidareöverföra uppgifter som den fått från EU eller någon av
EU:s medlemsstater till tredjeland eller ett internationellt organ som inte är bundet av avtalet,
måste myndigheten först inhämta samtycke från den brottsbekämpande myndighet i EU som
ursprungligen överförde uppgifterna till Förenta staterna. Denna bestämmelse gäller också om
en myndighet i EU eller någon av EU:s medlemsstater har för avsikt att vidareöverföra
uppgifter som den har fått från Förenta staterna till tredjeland eller ett internationellt organ.
När den myndighet som ursprungligen överförde uppgifterna fattar beslut om att lämna sitt
samtycke ska den ta vederbörlig hänsyn till alla relevanta faktorer, däribland ändamålet med
den ursprungliga överföringen och huruvida tredjelandet eller det internationella organet
garanterar en lämplig skyddsnivå för personuppgifter. Den får även knyta särskilda villkor till
överföringen.
Vad beträffar artiklarna om ändamålsbegränsning (se artikel 6 ovan), lagringsperiod (se
artikel 12 nedan) och känsliga uppgifter (se artikel 13 nedan) tas i denna artikel uttryckligen
hänsyn till den särskilt känsliga situationen när stora mängder uppgifter om icke misstänkta
personer överförs (t.ex. PNR-uppgifter för alla passagerare som reser med ett flyg, oberoende
av eventuella specifika misstankar) genom att det föreskrivs att vidareöverföring av ”andra
personuppgifter än sådana som avser särskilda fall” endast får ske i enlighet med särskilda
villkor som fastställs i det avtal som ligger till grund för vidareöverföringen.
Den särskilda situation som föreligger vid vidareöverföring till en annan stat inom EU (t.ex.
om fransk polis delar information som man fått av amerikanska FBI med tysk polis) tas också
upp i denna artikel (i punkt 4) genom att det föreskrivs att om förhandsgodkännande enligt
gällande regler måste inhämtas för sådana överföringar, ska den myndighet som
ursprungligen överfört uppgifterna (t.ex. amerikanska FBI) inte kunna vägra att lämna sitt
samtycke eller ställa villkor av skäl som avser nivån för uppgiftsskyddet (eftersom alla de
aktuella myndigheterna är bundna av paraplyavtalet).
iii) Uppgifternas kvalitet och integritet (artikel 8)
Parterna ska vidta rimliga åtgärder för att se till att överförda personuppgifter lagras med
sådan precision, relevans, aktualitet och fullständighet som krävs och är lämplig för lagenlig
behandling av uppgifter. Om den mottagande eller överförande myndigheten får kännedom
om allvarliga tvivel angående relevansen, aktualiteten, fullständigheten eller riktigheten hos
personuppgifter som mottagits eller överförts, ska den när så är möjligt underrätta den
överförande/mottagande myndigheten om detta.
iv) Uppgiftssäkerhet (artikel 9) och anmälan av ett tillbud som påverkar uppgiftssäkerheten
(artikel 10)
SV
8
SV
Dessa artiklar bidrar till att säkerställa en hög säkerhetsnivå för personuppgifter som utbyts av
parterna i paraplyavtalet.
Enligt artikel 9 ska parterna se till att de har lämpliga tekniska, säkerhetsmässiga och
organisatoriska arrangemang för att skydda personuppgifter mot oavsiktlig eller olaglig
förstöring, oavsiktlig förlust eller otillåtet utlämnande, otillåtna ändringar, otillåten åtkomst
eller annan behandling. Dessa arrangemang ska inbegripa att åtkomst till personuppgifter bara
tillåts för godkänd personal.
Enligt artikel 10 ska, vid ett säkerhetstillbud där det finns en betydande risk för skada,
lämpliga åtgärder vidtas omedelbart för att lindra skadeverkningarna. Dessa åtgärder ska
innefatta anmälan till den överförande myndigheten och underrättelse till den enskilde, om det
är lämpligt med hänsyn till omständigheterna kring tillbudet. Undantag från anmälnings- och
underrättelseplikten anges utförligt i bestämmelsen och motsvarar rimliga begränsningar (t.ex.
den nationella säkerheten).
v) Förande av register (artikel 11)
Parterna ska ha effektiva metoder (t.ex. loggar) för att bevisa att behandlingen och
användningen av personuppgifter sker i enlighet med lag.
Detta krav är en viktig skyddsåtgärd för enskilda personer, eftersom de brottsbekämpande
myndigheterna måste visa att en viss uppgiftsbehandling har utförts i enlighet med lagen.
Skyldigheten att dokumentera databehandlingar innebär i synnerhet att det kommer att finnas
ett ”spår” om behandlingen är olaglig. Detta bör underlätta handläggningen av klagomål och
göra det enklare att framföra anspråk beträffande lagenligheten av uppgiftsbehandling.
vi) Lagringsperiod (artikel 12).
Behandlingen av uppgifter ska omfattas av särskilda lagringsperioder i syfte att se till att
uppgifter inte lagras längre än vad som behövs och är lämpligt. För att bestämma hur långa
dessa lagringsperioder ska vara måste ett antal faktorer beaktas, särskilt ändamålet med
behandlingen eller användningen, uppgifternas art och inverkan på de berörda registrerades
rättigheter och intressen.
Det preciseras också att om parterna ingår ett avtal om överföring av ”datamängder” måste
detta avtal innehålla en särskild bestämmelse om den lagringsperiod som gäller. Med denna
bestämmelse godtar parterna principen om att sådana avtal om överföring av datamängder ska
föreskriva en specifik lagringsperiod, som därför inte behöver förhandlas fram på nytt.
Lagringsperioderna ska omprövas regelbundet för att avgöra om förändrade omständigheter
kräver en ändring av den tillämpliga perioden.
För att säkerställa öppenhet ska lagringsperioderna offentliggöras eller på annat sätt göras
allmänt tillgängliga.
vii) Särskilda kategorier av uppgifter (artikel 13)
Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter,
religiös eller annan övertygelse, fackföreningstillhörighet eller personuppgifter rörande hälsa
eller sexuell läggning får endast ske med iakttagande av lämpliga skyddsåtgärder i enlighet
med gällande lag (t.ex. maskering av uppgifterna efter det att ändamålet med behandlingen
SV
9
SV
har uppnåtts eller krav på tillsynsmyndighetens godkännande för att få åtkomst till
uppgifterna).
Avtal som tillåter överföring av stora uppgiftsmängder ska ytterligare specificera de
standarder och villkor enligt vilka särskilda kategorier av uppgifter kan behandlas.
Bestämmelserna om särskilda kategorier av uppgifter är förenliga med kravet att
behandlingen ska vara direkt relevant och inte alltför ingripande enligt artikel 6 om syfte och
begränsningar av användningen.
viii) Databehandlat beslutsfattande (artikel 15)
Uppgiftsbehandling som kan leda till beslut som har negativa verkningar för en enskild (t.ex. i
samband med profilering) får inte uteslutande vara baserade på automatisk databehandling av
personuppgifter, såvida inte behandlingen är tillåten enligt nationell rätt och under
förutsättning att lämpliga skyddsåtgärder vidtas, inklusive möjligheten till att erhålla
personligt ingripande.
ix) Öppenhet (artikel 20)
Enskilda har rätt att få information (genom allmänna tillkännagivanden eller direkt
underrättelse och med förbehåll för ”skäliga begränsningar”) om syftet med behandlingen och
eventuell ytterligare användning av deras personuppgifter, de lagar och andra författningar
enligt vilka sådan behandling äger rum, identiteten på tredje parter till vilka deras
personuppgifter får lämnas ut samt vilka möjligheter som finns till åtkomst, rättelse och
prövning.
Att öka enskildas medvetenhet om varför och av vem deras uppgifter behandlas bidrar till
möjligheterna för den enskilde att utöva sin rätt till åtkomst, rättelse eller prövning (se
artiklarna 16–19 nedan).
(iii)
Enskildas rättigheter
Dessa rättigheter är av särskild betydelse för skyddet av registrerade, som för första gången
kommer att kunna utnyttja rättigheter som gäller allmänt för alla transatlantiska överföringar
av personuppgifter på det brottsbekämpande området.
i) Åtkomst och rättelse (artikel 16 och 17)
Rätten till åtkomst ger varje enskild person rätt att begära och få tillgång till personuppgifter
som rör honom eller henne. Skälen för att begränsa åtkomsten anges uttömmande och
motsvarar skäliga begränsningar (t.ex. för att skydda den nationella säkerheten, undvika att
arbetet med att utreda eller lagföra brott påverkas menligt och skydda andra personers fri- och
rättigheter). Orimliga kostnader får inte införas som ett krav för att man ska få åtkomst till
sina uppgifter.
Rätten till rättelse ger enskilda rätt att ansöka om korrigering eller rättelse av egna
personuppgifter om dessa är felaktiga eller har behandlats på ett felaktigt sätt. Detta kan
inbegripa åtgärder som att komplettera, radera, blockera uppgifter eller andra metoder för att
åtgärda brister eller felaktig behandling.
SV
10
SV
Om den behöriga myndigheten i mottagarlandet, efter en begäran från en enskild person, ett
meddelande från den som tillhandahållit personuppgifterna eller en egen utredning, kommer
till slutsatsen att uppgifterna är oriktiga eller har behandlats på ett felaktigt sätt, ska
myndigheten vidta åtgärder för att komplettera, radera eller blockera uppgifterna eller andra
åtgärder för korrigering eller rättelse.
Om det är tillåtet enligt nationell lagstiftning har enskilda rätt att ge en tillsynsmyndighet
(dvs. en nationell dataskyddsmyndighet för den registrerade i EU) befogenhet att ansöka om
åtkomst eller rättelse på hans eller hennes vägnar. Denna möjlighet till indirekt utövande av
rättigheter, via en myndighet och inom ramen för en rättsordning som de känner till, bör
konkret hjälpa de registrerade att hävda sina rättigheter.
Om en ansökan om åtkomst eller rättelse avslås eller medges endast i begränsad omfattning,
ska den anmodade myndigheten svara den enskilde (eller hans eller hennes företrädare) och
ange grunden för att vägra eller endast i begränsad omfattning medge åtkomst till eller rättelse
av uppgifterna. Skyldigheten att ge den enskilde ett motiverat svar syftar till att möjliggöra
och underlätta utövandet av hans eller hennes rätt till administrativ och rättslig prövning om
åtkomst/rättelse nekas eller begränsas av den berörda brottsbekämpande myndigheten.
ii) Administrativ prövning (artikel 18)
Om den enskilde inte är nöjd med resultatet av sin ansökan om åtkomst/rättelse av
personuppgifter har han eller hon rätt att begära administrativ prövning. För att underlätta ett
verksamt utövande av rätten till åtkomst och rättelse kan den registrerade vända sig till en
tillsynsmyndighet (dvs. en nationell dataskyddsmyndighet för registrerade i EU) eller en
annan företrädare, om detta är tillåtet enligt tillämplig nationell lagstiftning.
Den myndighet som agerar som företrädare ska ge den registrerade ett skriftligt svar och ange
vilka förbättrande eller korrigerande åtgärder som vidtagits i förekommande fall.
iii) Rättslig prövning (artikel 19)
Medborgare i varje part ska kunna begära rättslig prövning om den andra partens myndigheter
i) nekar åtkomst, ii) nekar rättelse av eller iii) i strid med lag lämnar ut hans eller hennes
personuppgifter.
För Förenta staternas del återspeglas detta i lagen om rättslig prövning (Judicial Redress Act),
som undertecknades av president Barack Obama den 24 februari 2016. Denna lag utvidgar
dessa tre grunder för rättslig prövning – som för närvarande föreskrivs i 1974 års amerikanska
lag om skydd av privatlivet (Privacy Act) för amerikanska medborgare och varaktigt bosatta
personer i Förenta staterna – till att gälla medborgare från ”länder som omfattas”9. Av det
fjärde skälet i ingressen till paraplyavtalet framgår det att denna utvidgning även kommer att
omfatta uppgifter som utbyts enligt avtal som exempelvis avtalet om passageraruppgifter och
9
SV
Ett ”land som omfattas” (Covered Country) i den mening som avses i den amerikanska lagen om
rättslig prövning är ett land i) som har slutit ett avtal med Förenta staterna vilket innehåller lämpligt
skydd av personuppgifter som utbyts i brottsbekämpande syfte (eller som faktiskt har utbytt uppgifter i
brottsbekämpande syfte och har lämpligt personuppgiftsskydd vid utbytet av sådana uppgifter), ii) som
tillåter överföring av personuppgifter för kommersiella ändamål genom ett avtal med Förenta staterna
eller på annat sätt, iii) vars politik för överföring av personuppgifter för kommersiella ändamål inte
utgör något väsentligt hinder för Förenta staternas nationella säkerhetsintressen. Förenta staternas
justitieminister fattar beslutet om huruvida ett land ”omfattas” .
11
SV
TFTP-avtalet. I kombination med antagandet av lagen om rättslig prövning kommer artikel 19
således att avsevärt förbättra det rättsliga skyddet för EU-medborgare.
Lagen om rättslig prövning innehåller ett antal begränsningar (i synnerhet gäller den bara för
de uppgifter om medborgare från ”länder som omfattas” vars uppgifter har överförts av EU:s
brottsbekämpande myndigheter, särskilt – men inte bara – EU-medborgare), men genom
artikel 19 i paraplyavtalet uppfylls ett krav som EU har efterfrågat länge.
Bestämmelsen motsvarar kommissionens ordförande Jean-Claude Junckers politiska
riktlinjer: ”Förenta staterna måste [...] garantera att alla EU-medborgare kan hävda sin rätt
till uppgiftsskydd även i amerikanska domstolar, vare sig de är bosatta på amerikansk mark
eller inte. Detta är nödvändigt om förtroendet för de nära transatlantiska förbindelserna ska
kunna återskapas.” Den är också ett svar på Europaparlamentets resolution av den 12 mars
2014 om amerikanska NSA:s övervakningsprogram, där parlamentet framförde att
förhandlingarna med Förenta staterna om ”paraplyavtalet” omedelbart bör återupptas så att
”unionsmedborgarnas rättigheter likställs med de rättigheter som medborgarna i Förenta
staterna åtnjuter (...)” och att avtalet bör ”bana väg för effektiva och genomförbara (...)
rättsliga åtgärder för alla EU-medborgare i Förenta staterna utan någon diskriminering”10.
I artikel 19.3 klargörs att utvidgningen av de tre ovannämnda skälen för rättslig prövning inte
påverkar andra former av rättslig prövning som finns att tillgå när det gäller
uppgiftsbehandling (t.ex. Administrative Procedure Act, Electronics Communication Privacy
Act eller Freedom of Information Act). Dessa andra rättsliga grunder för rättslig prövning är
öppna för alla registrerade i EU som berörs av överföringen av uppgifter för
brottsbekämpande ändamål, oavsett deras nationalitet eller bostadsort.
(iv)
Aspekter som rör tillämpningen av paraplyavtalet och tillsyn
i) Ansvarighet (artikel 14)
Åtgärder ska ha införts för att främja ansvarigheten för de myndigheter som behandlar
personuppgifter som omfattas av paraplyavtalet. När den mottagande myndigheten överför
personuppgifter vidare till andra myndigheter bör de senare underrättas om de skyddsåtgärder
som är tillämpliga enligt detta avtal samt om eventuella ytterligare (begränsande) villkor som
är kopplade till överföringen enligt artikel 6.3 (om syfte och begränsningar av användningen).
Allvarlig försummelse ska leda till lämpliga och avskräckande straffrättsliga, civilrättsliga
eller administrativa påföljder eller sanktioner.
Åtgärder för att främja ansvarighet inbegriper, i förekommande fall, avbrytande av vidare
överföringar av personuppgifter till parters enheter som inte omfattas av paraplyavtalet, om de
inte säkerställer ett effektivt skydd av personuppgifter, med hänsyn till syftet med avtalet
(särskilt bestämmelserna om ändamålsbegränsning och vidareöverföring). Denna
bestämmelse rör situationer där personuppgifter skickas från en myndighet i EU till en
amerikansk federal myndighet (dvs. en myndighet som omfattas av detta avtal) och därefter
överförs till en brottsbekämpande myndighet på nationell nivå. Förenta staterna är enligt sina
konstitutionella bestämmelser begränsat i sitt utrymme att binda sina delstater på
10
SV
Se punkt 57 och skäl BJ i resolutionen av den 12 mars 2014 om amerikanska NSA:s
övervakningsprogram, övervakningsorgan i olika medlemsstater samt inverkan på EU-medborgarnas
grundläggande rättigheter och på det transatlantiska samarbetet i rättsliga och inrikes frågor
(2013/2188(INI)),
som
finns
på
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=//EP//TEXT+TA+P7-TA-2014-0230+0+DOC+XML+V0//SV
12
SV
internationell nivå11. För att säkerställa ett kontinuerligt skydd för de uppgifter som överförs
till amerikanska federala myndigheter och som sedan delas med brottsbekämpande
myndigheter på nationell nivå inbegriper denna artikel i) i sin räckvidd parternas ”andra
myndigheter” (dvs. de myndigheter som inte omfattas av avtalet, såsom Förenta staternas
nationella myndigheter), ii) föreskriver att de skyddsåtgärder som ska tillämpas enligt
paraplyavtalet ska anmälas till dem, och iii) att, i förekommande fall, överföringar till sådana
myndigheter ska avbrytas om de inte på ett effektivt sätt skyddar personuppgifterna med
hänsyn till syftet med paraplyavtalet och i synnerhet artiklarna om ändamålsbegränsning och
vidareöverföring.
Denna artikel är en viktig byggsten för ett verksamt system för genomförande och tillsyn
inom ramen för avtalet då den säkerställer att de behöriga brottsbekämpande myndigheterna
är ansvariga för efterlevnaden av paraplyavtalet. Den kommer också att underlätta för
enskilda att göra gällande anspråk vid försummelse (som de offentliga myndigheternas
ansvarar för).
Slutligen kommer EU:s myndigheter att kunna ta upp problem med sina amerikanska
motparter och få relevant information om hur de fullgör sina skyldigheter enligt artikel 14
(och om de åtgärder som vidtagits i detta avseende). Ett effektivt genomförande av denna
artikel kommer att uppmärksammas särskilt även inom ramen för de gemensamma
översynerna (se artikel 23 nedan).
ii) Effektiv tillsyn (artikel 21)
Parterna ska ha en eller flera offentliga myndigheter som utövar oberoende tillsynsfunktioner
och tillsynsbefogenheter, däribland granskning, utredning och ingripande. Dessa myndigheter
ska ha befogenhet att ta emot och agera vid klagomål från enskilda rörande åtgärder för att
genomföra paraplyavtalet och befogenhet att hänskjuta lagöverträdelser som har samband
med detta avtal för lagföring eller disciplinära åtgärder. Vad beträffar det amerikanska
systemets särdrag kommer en kombination av tillsynsmyndigheter (bl.a. dataskyddsansvariga,
generalinspektörer och styrelsen för tillsyn av personlig integritet och medborgerliga fri- och
rättigheter [Privacy and Civil Liberties Oversight Board] att gemensamt utöva de
tillsynsfunktioner som dataskyddsmyndigheterna i EU innehar.
Denna artikel kompletterar de skyddsåtgärder som finns att tillgå på grundval av
bestämmelserna om åtkomst, rättelse och administrativ prövning. Den innebär att enskilda kan
lämna in klagomål till oberoende myndigheter om hur den andra parten har genomfört
paraplyavtalet.
iii) Samarbete mellan tillsynsmyndigheter (artikel 22)
Tillsynsmyndigheter ska samarbeta för att säkerställa ett verkningsfullt genomförande av
avtalet, särskilt när det gäller systemet för indirekt utövande av enskildas rättigheter till
åtkomst, rättelse och administrativ prövning (se artiklarna 16–18 ovan).
Nationella kontaktpunkter ska inrättas för att bistå vid fastställandet av vilken
tillsynsmyndighet som är behörig i ett visst fall. Med tanke på att det finns en rad olika
tillsynsmyndigheter i Förenta staterna ska inrättandet av en central kontaktpunkt för
ansökningar om bistånd och samarbete bidra till att dessa ansökningar handläggs effektivt.
11
SV
Eftersom det är en federal republik delas makten mellan den federala regeringen och regeringarna i de
enskilda staterna (se även artikel 5.2 i paraplyavtalet i detta hänseende).
13
SV
iv) Gemensam översyn (artikel 23)
Parterna ska genomföra regelbundna gemensamma översyner av genomförandet av
paraplyavtalet och dess effektivitet. Särskild uppmärksamhet ska ägnas åt ett effektivt
genomförande av artiklarna om enskildas rättigheter (åtkomst, rättelse, administrativ och
rättslig prövning) samt åt frågan om överföringar till territoriella enheter som inte omfattas av
avtalet (dvs. de amerikanska delstaterna). Den första gemensamma översynen ska genomföras
senast tre år från avtalets ikraftträdande och därefter regelbundet.
Sammansättningen av de respektive delegationerna ska inbegripa företrädare för både
dataskyddsmyndigheterna och brottsbekämpande och rättsliga myndigheter. Resultaten av de
gemensamma översynerna kommer att offentliggöras.
(v)
Slutbestämmelser
Paraplyavtalet innehåller ett antal slutbestämmelser om följande:
SV

Underrättelse till den andra parten om alla lagar och andra författningar som
väsentligt påverkar tillämpningen av avtalet. Förenta staterna ska underrätta EU om
alla åtgärder vad gäller tillämpningen av bestämmelserna i lagen om rättslig prövning
(artikel 24).

Samråd vid tvister om tolkningen eller tillämpningen av avtalet (artikel 25).

Möjligheten för en part att tillfälligt upphäva avtalet vid en väsentlig överträdelse av
avtalet från den andra partens sida (artikel 26).

Den territoriella tillämpningen av avtalet för att ta hänsyn till den särskilda
situationen vad gäller Förenade kungariket, Irland och Danmark (artikel 27).

Avtalets obegränsade löptid (som motiveras med hänsyn till avtalets karaktär som en
ram som ger skydd och garantier, samt mot bakgrund av möjligheten att tillfälligt
upphäva och säga upp avtalet) (artikel 28).

Möjligheten för en part att säga upp avtalet genom att underrätta den andra parten.
Det preciseras att personuppgifter som överförts före uppsägningen kommer att
fortsätta att behandlas i enlighet med bestämmelserna i paraplyavtalet (artikel 29.2
och 29.3).

Avtalet träder i kraft den första dagen i den månad som följer på den dag då parterna
har utväxlat underrättelser om att de har avslutat sina interna
godkännandeförfaranden (artikel 29.1).

Språkklausulen (direkt före raden för undertecknade) som föreskriver i) att avtalet
utfärdas på engelska och kommer att upprättas av EU på övriga 23 officiella språk i
EU, ii) möjligheten att efter undertecknandet bestyrka avtalstexten på något av dessa
övriga officiella EU-språk genom en utväxling av diplomatiska noter med Förenta
staterna, iii) och att i händelse av bristande överensstämmelse mellan giltiga
språkversioner ska den engelskspråkiga versionen ha företräde.
14
SV
2016/0127 (NLE)
Förslag till
RÅDETS BESLUT
om undertecknande, på Europeiska unionens vägnar, av ett avtal mellan Amerikas
förenta stater och Europeiska unionen om skydd av personuppgifter i samband med
förebyggande, utredning, upptäckt och lagföring av brott
EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA BESLUT
med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16 jämförd
med artikel 218.5,
med beaktande av Europeiska kommissionens förslag, och
av följande skäl:
SV
(1)
Den 3 december 2010 bemyndigade rådet kommissionen att inleda förhandlingar med
Amerikas förenta staters regering om ett avtal om skydd av personuppgifter som
överförs och behandlas för att förebygga, utreda, upptäcka och lagföra brott, inklusive
terrorism.
(2)
Förhandlingarna med Amerikas förenta staters regering har slutförts och texten till
avtalet paraferades den 8 september 2015.
(3)
Syftet med avtalet är att fastställa en omfattande ram av uppgiftsskyddsprinciper och
skyddsåtgärder när personuppgifter överförs i brottsbekämpningssyfte mellan Förenta
staterna, å ena sidan, och EU och dess medlemsstater, å den andra. Målet är att
säkerställa ett starkt uppgiftsskydd och därmed underlätta samarbetet mellan parterna.
Även om det inte i sig utgör den rättsliga grunden för någon överföring av
personuppgifter till Förenta staterna kompletterar paraplyavtalet vid behov
uppgiftsskyddsåtgärder i befintliga och framtida avtal om överföring av uppgifter eller
nationella bestämmelser som medger sådana överföringar.
(4)
Unionen har befogenheter som omfattar alla bestämmelser i avtalet. Unionen har
antagit direktiv 2016/XXX/EU12 om skyddet av enskilda vid behöriga myndigheters
behandling av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott
eller verkställa straffrättsliga påföljder, samt fri rörlighet för sådana uppgifter.
(5)
Europeiska unionen har exklusiv befogenhet i den mån som avtalet kan påverka
unionens gemensamma regler eller ändra räckvidden för dessa.
(6)
I enlighet med artikel 6a i protokoll nr 21 om Förenade kungarikets och Irlands
ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till
fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt,
är Förenade kungariket och Irland inte bundna av de bestämmelser i avtalet vilka avser
behandling av personuppgifter när de bedriver verksamhet som omfattas av avdelning
12
Europaparlamentets och rådets direktiv om skyddet av enskilda vid behöriga myndigheters behandling
av personuppgifter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga
påföljder, samt fri rörlighet för sådana uppgifter, och om upphävande av rådets rambeslut
2008/977/RIF.
15
SV
V kapitel 4 (straffrättsligt samarbete) och kapitel 5 (polissamarbete) i tredje delen av
EUF-fördraget, i de fall då Förenade kungariket och Irland inte är bundna av de
bestämmelser inom ramen för vilka efterlevnad av avtalet krävs.
(7)
I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till
fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt,
deltar Danmark inte i antagandet av detta beslut och avtalet är därför inte bindande för
eller tillämpligt på Danmark.
(8)
Avtalet bör undertecknas med förbehåll för att det ingås vid en senare tidpunkt.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Härmed bemyndigas på Europeiska unionens vägnar undertecknandet av avtalet mellan
Amerikas förenta stater och Europeiska unionen om skydd av personuppgifter i samband med
förebyggande, utredning, upptäckt och lagföring av brott, med förbehåll för att avtalet ingås.
Texten till det avtal som ska undertecknas åtföljer detta beslut.
Artikel 2
Rådets generalsekretariat ska utfärda det instrument som ger den person som anges av
kommissionen full befogenhet att underteckna avtalet, med förbehåll för att det ingås.
Artikel 3
Detta beslut träder i kraft samma dag som det antas.
Utfärdat i Bryssel den
På rådets vägnar
Ordförande
SV
16
SV