ISSN 1977-0820

Europeiska unionens

officiella tidning

L 295

European flag  

Svensk utgåva

Lagstiftning

61 årgången
21 november 2018


Innehållsförteckning

 

I   Lagstiftningsakter

Sida

 

 

FÖRORDNINGAR

 

*

Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 ( 1 )

1

 

*

Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG ( 1 )

39

 

*

Europaparlamentets och rådets förordning (EU) 2018/1726 av den 14 november 2018 om Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA), om ändring av förordning (EG) nr 1987/2006 och rådets beslut 2007/533/RIF och om upphävande av förordning (EU) nr 1077/2011

99

 

*

Europaparlamentets och rådets förordning (EU) 2018/1727 av den 14 november 2018 om Europeiska unionens byrå för straffrättsligt samarbete (Eurojust), och om ersättning och upphävande av rådets beslut 2002/187/RIF

138

 


 

(1)   Text av betydelse för EES.

SV

De rättsakter vilkas titlar är tryckta med fin stil är sådana rättsakter som har avseende på den löpande handläggningen av jordbrukspolitiska frågor. De har normalt en begränsad giltighetstid.

Beträffande alla övriga rättsakter gäller att titlarna är tryckta med fetstil och föregås av en asterisk.


I Lagstiftningsakter

FÖRORDNINGAR

21.11.2018   

SV

Europeiska unionens officiella tidning

L 295/1


EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2018/1724

av den 2 oktober 2018

om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 21.2 och 114.1,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

i enlighet med det ordinarie lagstiftningsförfarandet (2), och

av följande skäl:

(1)

Den inre marknaden är en av unionens mest påtagliga framgångar. Den fria rörligheten för människor, varor, tjänster och kapital ger privatpersoner och företag nya möjligheter. Denna förordning är en viktig del av strategin för den inre marknaden, som inrättades genom kommissionens meddelande av den 28 oktober 2015 med titeln Att förbättra den inre marknaden – bättre möjligheter för individer och företag. Strategin syftar till att frigöra hela potentialen i den inre marknaden genom att göra det enklare för privatpersoner och företag att flytta inom unionen, bedriva handel, etablera sig och utöka sin verksamhet över landsgränserna.

(2)

I kommissionens meddelande av den 6 maj 2015 med titeln En strategi för en inre digital marknad i Europa konstaterades att internet och digital teknik förändrar våra liv och hur privatpersoner och företag får tillgång till information, skaffar sig kunskap, köper varor och tjänster, deltar och arbetar på marknaden, vilket öppnar möjligheter till innovation, tillväxt och jobb. Vidare konstaterades i det meddelandet och i flera resolutioner antagna av Europaparlamentet att privatpersoners och företags behov både i sina egna och andra länder skulle kunna tillgodoses bättre om befintliga portaler, webbplatser, nätverk, tjänster och system på europeisk nivå byggdes ut, integrerades med varandra och kopplades till olika nationella lösningar, vilket skulle skapa en gemensam digital ingång som skulle fungera som en gemensam europeisk kontaktpunkt (nedan kallad ingången). Kommissionens meddelande av den 19 april 2016 med titeln EU:s handlingsplan för e-förvaltning för 2016–2020 – Snabbare digital omvandling av förvaltningar angav ingången som en av unionens åtgärder 2017. I kommissionens rapport av den 24 januari 2017 med titeln Stärka medborgarnas rättigheter i en union av demokratisk förändring – Rapport om EU-medborgarskapet 2017 ansågs ingången som en prioritet för unionsmedborgarnas rättigheter.

(3)

Europaparlamentet och rådet har upprepade gånger efterlyst ett mer omfattande och användarvänligt informations- och hjälppaket för att göra det lättare för privatpersoner och företag att hitta rätt på den inre marknaden och för att förstärka och effektivisera verktygen på den inre marknaden så att behoven hos privatpersoner och företag som utför ärenden eller bedriver verksamhet över gränserna bättre kan tillgodoses.

(4)

Denna förordning utgör ett svar på dessa önskemål, eftersom den kommer att ge privatpersoner och företag enkel tillgång till den information, de förfaranden samt de hjälp- och problemlösningstjänster som de behöver för att kunna utöva sina rättigheter på den inre marknaden. Ingången skulle kunna bidra till ökad insyn i regler och föreskrifter som rör olika händelser i företags- och privatlivet på områden som till exempel resor, pension, utbildning, sysselsättning, hälso- och sjukvård, konsumenträttigheter och familjerättigheter. Den skulle dessutom kunna bidra till att öka konsumenternas förtroende, åtgärda de bristande kunskaperna om konsumentskydd och reglerna för den inre marknaden och minska företagens kostnader för att följa reglerna. Genom denna förordning inrättas en användarvänlig och interaktiv ingång, som på grundval av användarnas behov bör vägleda dem till de lämpligaste tjänsterna. I detta sammanhang bör kommissionen och medlemsstaterna spela en viktig roll för att målen ska uppnås.

(5)

Ingången bör underlätta kommunikationen mellan privatpersoner och företag, å ena sidan, och behöriga myndigheter, å andra sidan, genom att ge tillgång till onlinelösningar som underlättar den dagliga verksamheten för privatpersoner och företag samt minimerar hinder som uppstår på den inre marknaden. En gemensam digital ingång som ger tillgång online till korrekt och aktuell information, till förfaranden och till hjälp- och problemlösningstjänster skulle kunna öka användarnas medvetenhet om de olika onlinetjänster som finns och göra att de sparar tid och pengar.

(6)

Denna förordning har tre syften, nämligen att minska ytterligare administrativa bördor för privatpersoner och företag som i full överensstämmelse med nationella regler och förfaranden utövar eller vill utöva sina rättigheter på den inre marknaden, bland annat den fria rörligheten för personer, att eliminera diskriminering samt att säkerställa att den inre marknaden fungerar i fråga om att tillhandahålla information, förfaranden samt hjälp- och problemlösningstjänster. Eftersom denna förordning täcker fri rörlighet för personer, vilket inte kan anses vara av rent underordnad betydelse, bör den baseras på artiklarna 21.2 och 114.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).

(7)

För att privatpersoner och företag i unionen ska kunna utöva sin rätt till fri rörlighet på den inre marknaden bör unionen anta specifika, icke-diskriminerande åtgärder som ger dem enkel tillgång till tillräckligt utförlig och tillförlitlig information om de rättigheter som unionsrätten ger dem och till information om tillämpliga nationella regler och förfaranden som de måste följa när de flyttar till, bor i, studerar i eller etablerar eller bedriver verksamhet i en annan medlemsstat än sin egen. Information bör anses vara tillräckligt utförlig om den inbegriper all den information som användarna behöver för att förstå sina rättigheter och skyldigheter och beskriver de regler som gäller för den verksamhet de vill bedriva som användare i ett annat land. Informationen bör uttryckas på ett tydligt, koncist och begripligt sätt och vara funktionell och väl anpassad till målgruppen. Informationen om förfaranden bör omfatta alla förutsebara led i förfarandet som är relevanta för användaren. Det är viktigt för privatpersoner och företag som möter komplicerade regelverk, till exempel de som är verksamma inom e-handeln och delningsekonomin, att de på ett enkelt sätt kan ta reda på vilka regler som gäller och hur de tillämpas på deras verksamhet. Enkel och användarvänlig tillgång till information innebär att det blir lätt för användarna att hitta information, att avgöra vilka delar av informationen som är relevanta för deras specifika situation och att förstå den relevanta informationen. Den information som ska tillhandahållas på nationell nivå bör inte bara avse nationella regler som genomför unionsrätten, utan även eventuella andra nationella regler som gäller för både inhemska användare och användare i gränsöverskridande situationer.

(8)

Regler om tillhandahållande av information i denna förordning bör inte tillämpas på nationella rättssystem, eftersom information på det området som är relevant för användare i andra länder redan ingår i e-juridikportalen. I vissa situationer som omfattas av denna förordning bör domstolar anses vara behöriga myndigheter, till exempel när domstolar förvaltar företagsregister. Dessutom bör principen om icke-diskriminering även gälla för onlineförfaranden som ger tillgång till domstolsförfaranden.

(9)

Det är tydligt att privatpersoner och företag från andra medlemsstater kan missgynnas på grund av att de inte känner till nationella regler och administrativa system, de språk som används samt att de befinner sig geografiskt långt från de behöriga myndigheterna i andra medlemsstater än den egna. Det effektivaste sättet att minska de hinder på den inre marknaden som detta är förknippat med är att ge användare i gränsöverskridande situationer och inhemska användare tillgång till information online, på ett språk som de kan förstå, så att de förfaranden som krävs enligt nationella regler kan utföras helt online. Användarna bör även erbjudas hjälp om reglerna och förfarandena inte är tillräckligt tydliga eller om de stöter på hinder när de utövar sina rättigheter.

(10)

Många unionsakter har syftat till att tillhandahålla lösningar genom att inrätta en enda sektorsspecifik kontaktpunkt, bland annat de gemensamma kontaktpunkter som inrättats genom Europaparlamentets och rådets direktiv 2006/123/EG (3) som via internet erbjuder information, hjälptjänster och tillgång till förfaranden som är relevanta för tillhandahållande av tjänster, kontaktpunkter för produkter som inrättats genom Europaparlamentets och rådets förordning (EG) nr 764/2008 (4) och kontaktpunkter för byggprodukter som inrättats genom Europaparlamentets och rådets förordning (EU) nr 305/2011 (5) som ger tillgång till produktspecifika tekniska regler samt nationella rådgivningscentrum för yrkeskvalifikationer som inrättats genom Europaparlamentets och rådets direktiv 2005/36/EG (6) som hjälper yrkesutövare som flyttar över landsgränserna. Dessutom har det upprättats nätverk, t.ex. europeiska konsumentcentrum, vilkas syfte är att öka förståelsen om europeiska konsumenters rättigheter och hjälpa till att lösa klagomål som rör inköp i andra medlemsstater i nätverket som har gjorts under resor eller på nätet. Vidare finns nätverket Solvit, som det hänvisas till i kommissionens rekommendation 2013/461/EU (7), vilket syftar till att ge privatpersoner och företag snabba, effektiva och informella lösningar på problem som de möter när myndigheterna inte respekterar deras rättigheter på den inre marknaden. Slutligen har flera informationsportaler inrättats för att upplysa användare om unionsregler och nationella regler, exempelvis Ditt Europa för den inre marknaden och den europeiska e-juridikportalen som rör rättsliga frågor.

(11)

På grund av sektorsuppdelningen i dessa unionsrättsakter är information, hjälp- och problemlösningstjänster samt förfaranden online för privatpersoner och företag fortfarande högst fragmenterade. Tillgängligheten till information och förfaranden online varierar, det finns kvalitetsbrister när det gäller tjänsterna och det saknas medvetenhet om informationen och hjälp- och problemlösningstjänsterna i fråga. Användare i gränsöverskridande situationer har även problem att hitta och använda tjänsterna.

(12)

Denna förordning bör skapa en gemensam digital ingång som kontaktpunkt genom vilken privatpersoner och företag kan få information om vilka regler och krav som gäller för dem enligt unionsrätt eller nationell rätt. Ingången bör förenkla och effektivisera privatpersonernas och företagens kontakt med hjälp- och problemlösningstjänsterna på unionsnivå eller nationell nivå. Ingången bör också göra det enklare att få tillgång till och utföra onlineförfaranden. Denna förordning bör inte på något sätt påverka befintliga rättigheter och skyldigheter enligt unionsrätt eller nationell rätt inom de politikområdena. För de förfaranden som förtecknas i bilaga II till denna förordning och de förfaranden som föreskrivs i Europaparlamentets och rådets direktiv 2005/36/EG och 2006/123/EG, samt i 2014/24/EU (8) och 2014/25/EU (9), bör denna förordning stödja användningen av engångsprincipen, och fullt ut respektera den grundläggande rätten till skydd av personuppgifter, för utbyte av bevis mellan behöriga myndigheter i olika medlemsstater.

(13)

Ingången och dess innehåll bör vara användarcentrerade och användarvänliga. Ingången bör sträva efter att undvika överlappningar och bör tillhandahålla länkar till befintliga tjänster. Den bör göra det möjligt för privatpersoner och företag att kommunicera med offentliga organ på nationell nivå och unionsnivå genom att ge dem möjlighet att lämna synpunkter både på de tjänster som erbjuds genom ingången och på hur de upplever att den inre marknaden fungerar. Med hjälp av verktyget för återkoppling bör användarna, på ett sätt som gör det möjligt för dem att förbli anonyma, kunna påpeka upplevda problem, brister och behov, så att tjänsternas kvalitet hela tiden kan förbättras.

(14)

Hur framgångsrik ingången blir beror på kommissionens och medlemsstaternas gemensamma insats. Ingången bör ha ett gemensamt användargränssnitt som integreras i den befintliga portalen Ditt Europa som kommer att förvaltas av kommissionen. Det gemensamma användargränssnittet bör ha länkar till information, förfaranden samt hjälp- och problemlösningstjänster som finns på portaler som förvaltas av medlemsstaternas behöriga myndigheter och av kommissionen. För att ingången ska bli mer användarvänlig bör det gemensamma gränssnittet finnas på unionsinstitutionernas samtliga officiella språk (nedan kallade officiella unionsspråk). Den befintliga portalen Ditt Europa och dess ingångssida, som bör anpassas till de krav som ställs av ingången, bör ha som praxis att information tillhandahålls på flera språk. Ingångens funktion bör stödjas av tekniska verktyg som kommissionen utvecklar i nära samarbete med medlemsstaterna.

(15)

I stadgan för elektroniska gemensamma kontaktpunkter enligt direktiv 2006/123/EG, som antogs av rådet 2013, åtog sig medlemsstaterna frivilligt att inta en användarcentrerad hållning i tillhandahållandet av information genom de gemensamma kontaktpunkterna, i syfte att täcka områden som är särskilt viktiga för företag, som moms, inkomstskatt samt socialförsäkrings- och arbetsrättsliga krav. Med utgångspunkt i stadgan och mot bakgrund av erfarenheten av portalen Ditt Europa bör informationen dessutom inbegripa en beskrivning av hjälp- och problemlösningstjänsterna. Privatpersoner och företag bör kunna använda dessa tjänster när de har problem med att förstå informationen och hur den ska tillämpas på deras situation, eller när de har problem med att utföra ett förfarande.

(16)

Denna förordning bör förteckna de informationsområden som är relevanta för privatpersoner och företag som utövar sina rättigheter och fullgör sina skyldigheter på den inre marknaden. För dessa områden bör tillräckligt utförlig information tillhandahållas på nationell nivå, inbegripet på regional och lokal nivå, och på unionsnivå med förklaringar av gällande regler och skyldigheter samt de förfaranden som privatpersoner och företag behöver utföra för att efterleva dessa regler och skyldigheter. I syfte att säkerställa kvaliteten på de tjänster som erbjuds bör den information som tillhandahålls genom ingången vara tydlig, korrekt och aktuell. Användningen av komplex terminologi bör minimeras, och användningen av akronymer bör begränsas till förenklade och lättbegripliga begrepp som inte kräver förkunskaper om frågan eller lagområdet. Informationen bör tillhandahållas på ett sådant sätt att användarna lätt kan förstå de grundläggande regler och krav som gäller för deras situation i fråga om sådana områden. Användarna bör också informeras om att det i vissa medlemsstater inte finns några nationella regler inom de informationsområden som förtecknas i bilaga I till denna förordning, särskilt om dessa områden omfattas av nationella regler i andra medlemsstater. Sådan information om frånvaron av nationella regler skulle kunna införas i portalen Ditt Europa.

(17)

När så är möjligt bör information som redan samlats in av kommissionen från medlemsstaterna enligt befintlig unionsrätt eller befintliga frivilliga arrangemang, såsom information som insamlats för Euresportalen, som inrättades genom Europaparlamentets och rådets förordning (EU) 2016/589 (10), e-juridikportalen, som inrättades genom rådets beslut 2001/470/EG (11), eller databasen över reglerade yrken, som inrättades genom direktiv 2005/36/EG, användas i fråga om en del av den information som ska göras tillgänglig för privatpersoner och företag på unionsnivå och nationell nivå i enlighet med den här förordningen. Medlemsstaterna bör på sina nationella webbplatser inte vara skyldiga att tillhandahålla information som redan finns tillgänglig i relevanta databaser som förvaltas av kommissionen. Om medlemsstaterna redan är skyldiga att tillhandahålla onlineinformation enligt andra unionsakter, såsom Europaparlamentets och rådets direktiv 2014/67/EU (12), bör det vara tillräckligt att medlemsstaterna tillhandahåller länkar till befintlig onlineinformation. På politikområden som redan har harmoniserats fullt ut genom unionsrätten, exempelvis konsumenträttigheter, bör informationen på unionsnivå i allmänhet vara tillräcklig för att användarna ska kunna förstå sina relevanta rättigheter och skyldigheter. I dessa fall bör medlemsstaterna endast behöva tillhandahålla ytterligare information om sina nationella administrativa förfaranden och hjälptjänster eller andra nationella administrativa regler om det är av relevans för användarna. Information om exempelvis konsumenträttigheter bör inte påverka avtalsrätten, utan bör snarare endast informera användarna om deras rättigheter enligt unionsrätt och nationell rätt i samband med affärstransaktioner.

(18)

Denna förordning bör förbättra inremarknadsdimensionen i onlineförfaranden, och därigenom bidra till digitaliseringen av den inre marknaden, genom att den allmänna principen om icke-diskriminering upprätthålls bland annat när det gäller privatpersoners eller företags tillgång till sådana onlineförfaranden som redan inrättats på nationell nivå utifrån nationell rätt eller unionsrätt och förfaranden som ska göras helt tillgängliga online i enlighet med denna förordning. Om en användare i en situation som är exklusivt begränsad till en enda medlemsstat kan få tillgång till och utföra ett förfarande online i den medlemsstaten på ett område som omfattas av denna förordning, bör en användare i gränsöverskridande situationer också kunna ha tillgång till och kunna utföra förfarandet online, genom att använda antingen samma tekniska lösning eller en alternativ, tekniskt separat lösning som får samma resultat, utan några diskriminerande hinder. Sådana hinder kan utgöras av nationellt utformade lösningar, såsom blanketter som bara godtar nationella telefonnummer, nationella prefix för telefonnummer eller nationella postnummer, att avgifter bara kan betalas via system som inte tillåter gränsöverskridande betalningar, avsaknaden av detaljerade förklaringar på ett språk som förstås av användare i gränsöverskridande situationer, att det inte går att skicka in elektroniska bevis från myndigheter i andra medlemsstater eller att medel för elektronisk identifiering som utfärdats i andra medlemsstater inte godtas. Medlemsstaterna bör tillhandahålla lösningar för sådana hinder.

(19)

När användare utför onlineförfaranden över landsgränser bör de kunna få alla relevanta förklaringar på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i andra länder. Detta innebär inte att medlemsstaterna måste översätta sina administrativa formulär som hör till förfarandet eller resultatet av förfarandet till det språket. Medlemsstaterna uppmuntras emellertid att använda tekniska lösningar som skulle göra det möjligt för användarna att i så många fall som möjligt utföra förfarandena på det språket, samtidigt som medlemsstaternas regler för språkanvändning respekteras.

(20)

Nationella onlineförfaranden som är relevanta för att användare i andra länder ska kunna utöva sina rättigheter på den inre marknaden beror på huruvida de är bosatta eller etablerade i den berörda medlemsstaten eller vill ha tillgång till förfarandena i den medlemsstaten trots att de är bosatta eller etablerade i en annan medlemsstat. Denna förordning bör inte hindra att medlemsstater kräver att användare från andra länder som är bosatta eller etablerade på deras territorium erhåller ett nationellt identifieringsnummer i syfte att få tillgång till de nationella förfarandena online, förutsatt att detta inte medför en omotiverad ytterligare börda eller kostnad för dessa användare. För användare i andra länder som inte är bosatta eller etablerade i den berörda medlemsstaten behöver nationella onlineförfaranden som inte är relevanta för utövandet av deras rättigheter på den inre marknaden, exempelvis registrering för att få tillgång till lokala tjänster såsom sophämtning och parkeringstillstånd, inte göras helt tillgängliga online.

(21)

Denna förordning bör bygga på Europaparlamentets och rådets förordning (EU) nr 910/2014 (13), som fastställer på vilka villkor medlemsstaterna erkänner vissa medel för elektronisk identifiering för fysiska och juridiska personer som omfattas av en annan medlemsstats anmälda system för elektronisk identifiering. Förordning (EU) nr 910/2014 fastställer de villkor enligt vilka användare har rätt att använda sina medel för elektronisk identifiering och autentisering för att få tillgång till offentliga tjänster online i gränsöverskridande situationer. Unionens institutioner, organ och byråer uppmuntras att godta medel för elektronisk identifiering och autentisering för de förfaranden som de ansvarar för.

(22)

Ett antal sektorsspecifika unionsakter, t.ex. direktiven 2005/36/EG, 2006/123/EG, 2014/24/EU och 2014/25/EU, innehåller krav på att förfaranden ska vara helt tillgängliga online. Denna förordning bör kräva att ett antal andra förfaranden som är centrala för de flesta privatpersoner och företag som utövar sina rättigheter och fullgör sina skyldigheter över gränserna också görs helt tillgängliga online.

(23)

För att privatpersoner och företag direkt ska kunna dra nytta av den inre marknaden utan att drabbas av onödiga ytterligare administrativa bördor, bör denna förordning innehålla krav på en fullständig digitalisering av användargränssnittet för vissa viktiga förfaranden för användare i andra länder. Dessa förfaranden förtecknas i bilaga II till denna förordning. Denna förordning bör också fastställa kriterier för hur ett förfarande ska bedöms som helt online. Skyldigheten att göra sådana förfaranden helt tillgängliga online bör gälla endast om förfarandena har inrättats i den berörda medlemsstaten. Inledande registrering av en affärsverksamhet, de förfaranden som leder till bildande av bolag som juridiska personer eller senare anmälan av sådana bolag bör emellertid inte omfattas av denna förordning, eftersom sådana förfaranden kräver en heltäckande strategi med syfte att främja digitala lösningar under ett företags hela livscykel. När företag etablerar sig i en annan medlemsstat måste de registrera sig i ett socialförsäkringssystem och ett försäkringssystem, så att de kan anmäla sina anställda till dessa och betala avgifter till båda systemen. De kan behöva anmäla sin affärsverksamhet, skaffa tillstånd eller registrera ändring av affärsverksamhet. Dessa förfaranden måste utföras av företag som bedriver verksamhet i många sektorer av ekonomin, och det är därför lämpligt att kräva att förfarandena görs tillgängliga online.

(24)

Denna förordning bör förtydliga vad det innebär att erbjuda ett förfarande helt online. Ett förfarande bör anses vara helt online om användaren kan gå igenom alla leden i ett förfarande, från tillgång till slutförande, kommunikationen med den behöriga myndigheten (nedan kallad front office) elektroniskt, på distans och via en onlinetjänst. Denna onlinetjänst bör vägleda användaren genom en förteckning över de krav som ska uppfyllas och de bevis som ska tillhandahållas. Tjänsten bör göra det möjligt för användaren att tillhandahålla information och bevis på överensstämmelse enligt kraven och bör förse användaren med ett automatiskt mottagningsbevis, såvida inte resultatet av förfarandet tillhandahålls omedelbart. Detta bör inte hindra de behöriga myndigheterna från att vid behov kontakta användarna direkt för att få ytterligare klargöranden som är nödvändiga för förfarandet. Resultatet av förfarandet, såsom det fastställs i denna förordning, bör även tillhandahållas användaren av de behöriga myndigheterna på elektronisk väg där detta är möjligt enligt tillämplig unionsrätt eller nationell rätt.

(25)

Denna förordning bör inte påverka innehållet i de förfaranden som förtecknas i bilaga II och som fastställs på nationell, regional eller lokal nivå, och den fastställer inga materiella regler eller procedurregler inom de områden som omfattas av bilaga II, inbegripet skattefrågor. Syftet med denna förordning är att fastställa de tekniska kraven för att säkerställa att sådana förfaranden, i de fall sådana har inrättats i den berörda medlemsstaten, görs tillgängliga helt online.

(26)

Denna förordning bör inte påverka de nationella myndigheternas befogenheter i ett förfarande, däribland kontroll av korrekthet och giltighet hos den information eller de bevis som skickats in och kontroll av äktheten om bevis skickas in på annat sätt än via det tekniska system som bygger på engångsprincipen. Denna förordning bör heller inte påverka arbetsflöden inom och mellan behöriga myndigheter (nedan kallat back office), oberoende av om de är digitaliserade eller inte. Som en del av förfarandena för att registrera ändring av affärsverksamhet bör medlemsstaterna när det är nödvändigt kunna fortsätta att begära att notarier eller jurister deltar, vilka kan vilja använda kontrollmetoder som videokonferenser eller andra onlineverktyg som medger audiovisuell förbindelse i realtid. Detta deltagande bör emellertid inte hindra att förfaranden för att registrera sådana ändringar utförs helt online.

(27)

I vissa fall kan användarna behöva lämna in bevis på fakta som inte kan fastställas online. Sådana bevis kan till exempel vara läkarintyg, levnadsbevis och trafiksäkerhetsintyg för motorfordon eller bekräftelse av chassinummer. Så länge sådana bevis kan lämnas in i elektroniskt format bör detta inte utgöra ett undantag från principen att ett förfarande bör erbjudas helt online. I andra fall kan det fortfarande vara nödvändigt att användare inställer sig personligen hos en behörig myndighet som ett led i ett onlineförfarande. Alla undantag, utom de som följer av unionsrätten, bör begränsas till situationer där det är motiverat av tvingande hänsyn till allmänintresset på områdena allmän säkerhet, folkhälsa eller bedrägeribekämpning. För att säkerställa insyn bör medlemsstaterna upplysa kommissionen och de övriga medlemsstaterna om sådana undantag och om de grunder och omständigheter som ger möjlighet att tillämpa dem. Medlemsstaterna bör inte vara skyldiga att rapportera om varje enskilt fall då det i undantagsfall krävts fysisk närvaro, utan snarare upplysa om de nationella bestämmelser där detta föreskrivs. I detta sammanhang bör bästa praxis på nationell nivå och teknisk utveckling som möjliggör vidare digitalisering diskuteras regelbundet i en samordningsgrupp för ingången.

(28)

I gränsöverskridande situationer kan förfarandet för att registrera en adressändring bestå av två separata förfaranden – ett i ursprungsmedlemsstaten för att begära avregistrering från den gamla adressen, och ett annat i destinationsmedlemsstaten för att begära registrering på den nya adressen. Båda förfarandena bör omfattas av denna förordning.

(29)

Eftersom digitaliseringen av krav, förfaranden och formaliteter när det gäller erkännande av yrkeskvalifikationer redan omfattas av direktiv 2005/36/EG, bör denna förordning endast omfatta digitaliseringen av förfarandet för att begära akademiskt erkännande av examensbevis, utbildningsbevis eller andra bevis på fullgjorda kurser i fråga om en person som vill börja eller fortsätta studera eller använda en akademisk titel, utöver de formaliteter som gäller för erkännande av yrkeskvalifikationer.

(30)

Denna förordning bör inte påverka de regler om samordning av social trygghet som anges i Europaparlamentets och rådets förordningar (EG) nr 883/2004 (14) och (EG) nr 987/2009 (15), som innehåller definitioner av rättigheter och skyldigheter för försäkrade personer och socialförsäkringsinstitutioner, liksom av de förfaranden som är tillämpliga på området för samordning av social trygghet.

(31)

Flera nätverk och tjänster har inrättats både på unionsnivå och på nationell nivå för att hjälpa privatpersoner och företag med gränsöverskridande ärenden och verksamhet. Det är viktigt att dessa tjänster, som inbegriper befintliga hjälp- och problemlösningstjänster som inrättats på unionsnivå, såsom de europeiska konsumentcentrumen, rådgivningstjänsten Ditt Europa, Solvit, helpdesken för immateriella rättigheter, Europa direkt och Enterprise Europe Network, ingår i ingången för att säkerställa att alla potentiella användare kan hitta dem. De tjänster som förtecknas i bilaga III har inrättats genom bindande unionsakter, medan andra tjänster fungerar på frivillig grund. Tjänster som inrättats genom bindande unionsakter bör vara bundna av de kvalitetskrav som anges i denna förordning. De tjänster som tillhandahålls på frivillig grund bör uppfylla kvalitetskraven om avsikten är att göra tjänsterna tillgängliga via ingången. Tjänsternas omfattning och karaktär, styrformer, befintliga tidsfrister och hur de fungerar – frivilligt, enligt avtal eller på annan basis – bör inte påverkas av denna förordning. Om exempelvis den hjälp som tillhandahålls är av informell karaktär bör denna förordning inte få till följd att den blir till juridisk rådgivning av bindande karaktär.

(32)

Vidare bör medlemsstaterna och kommissionen kunna besluta att till ingången lägga andra nationella hjälp- och problemlösningstjänster som tillhandahålls av behöriga myndigheter eller av privata eller halvprivata enheter, eller offentliga organ, såsom handelskammare eller icke-statliga hjälptjänster för privatpersoner, på de villkor som fastställs i denna förordning. Behöriga myndigheter bör i princip ha ansvaret för att hjälpa privatpersoner och företag med deras eventuella frågor om tillämpliga regler och förfaranden som inte kan utföras helt med hjälp av onlinetjänster. På mycket specialiserade områden, och om de tjänster som tillhandahålls av privata eller halvprivata organ uppfyller användarnas behov, får medlemsstaterna emellertid föreslå kommissionen att den inkluderar dessa tjänster i ingången, förutsatt att tjänsterna uppfyller samtliga villkor i denna förordning och inte är identiska med hjälp- och problemlösningstjänster som redan finns i ingången.

(33)

För att användarna ska få hjälp att hitta rätt tjänst bör förordningen omfatta en hjälptjänstsökare som automatiskt vägleder dem till den.

(34)

För att ingången ska bli framgångsrik är det viktigt att en minimiförteckning med kvalitetskrav respekteras så att det säkerställs att tillhandahållandet av information och tjänster är tillförlitligt, eftersom hela ingångens trovärdighet annars skulle urholkas. Det övergripande målet med att uppfylla kraven är att säkerställa att informationen eller tjänsten presenteras på ett tydligt och användarvänligt sätt. Det är medlemsstaternas ansvar att fastställa hur informationen presenteras under hela förfarandet så att detta mål uppnås. Även om det till exempel är viktigt att användarna, innan de inleder ett förfarande, får reda på vilka rättsmedel som i allmänhet står till buds vid ett negativt resultat av ett förfarande, är det mycket mer användarvänligt att ge sådan specifik information om hur man i så fall kan gå tillväga i slutet av förfarandet.

(35)

Användarnas tillgång till information över gränserna kan förbättras avsevärt genom att informationen görs tillgänglig på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i andra länder. Språket bör i de flesta fall vara det språk som studeras som främmande språk av flest användare i unionen. I vissa specifika fall, särskilt när det gäller information som ska tillhandahållas på lokal nivå av små kommuner i närheten av en medlemsstats gräns, kan det lämpligaste språket emellertid vara det språk som talas som förstaspråk av användarna i den angränsande medlemsstaten. Översättningen från det eller de officiella språken i den berörda medlemsstaten till detta andra officiella unionsspråk bör korrekt återge innehållet i informationen på det ursprungliga språket eller de ursprungliga språken. Översättningen kan begränsas till den information som användarna behöver för att förstå de grundläggande regler och krav som gäller för deras situation. Även om medlemsstaterna bör uppmuntras att översätta så mycket information som möjligt till ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i andra länder, kommer den mängd information som ska översättas enligt denna förordning att vara beroende av de finansiella medel som finns tillgängliga för detta ändamål, särskilt från unionens budget. Kommissionen bör vidta lämpliga åtgärder för att säkerställa att översättningar på ett effektivt sätt tillhandahålls medlemsstaterna på deras begäran. Samordningsgruppen för ingången bör diskutera och ge vägledning om det eller de officiella unionsspråk som denna information bör översättas till.

(36)

I enlighet med Europaparlamentets och rådets direktiv (EU) 2016/2102 (16) ska medlemsstaterna säkerställa att deras offentliga organs webbplatser är tillgängliga i enlighet med principerna om möjlighet att uppfatta, hanterbarhet, begriplighet och robust karaktär och att de uppfyller kraven i det direktivet. Kommissionen och medlemsstaterna bör säkerställa efterlevnad av Förenta nationernas konvention om rättigheter för personer med funktionsnedsättning, särskilt artiklarna 9 och 21 i den konventionen, och för att främja tillgång till information för personer med intellektuell funktionsnedsättning bör alternativ på ett lättläst språk tillhandahållas i största möjliga utsträckning och i enlighet med proportionalitetsprincipen. Genom att ratificera respektive ingå (17) den konventionen har medlemsstaterna respektive unionen åtagit sig att vidta ändamålsenliga åtgärder för att säkerställa tillgänglighet till ny teknik och nya system på informations- och kommunikationsområdet, inbegripet internet, för personer med funktionsnedsättning, på samma villkor som för andra, genom att främja tillgänglighet till information för personer med intellektuell funktionsnedsättning och tillhandahålla alternativ på ett lättläst språk i största möjliga utsträckning och proportionellt.

(37)

Direktiv (EU) 2016/2102 gäller inte webbplatser och mobila applikationer tillhörande unionens institutioner, organ och byråer, men kommissionen bör säkerställa att det gemensamma användargränssnittet och de webbsidor som den ansvarar för och som ska inkluderas i ingången är tillgängliga för personer med funktionsnedsättning, så att de är möjliga att uppfatta, hanterbara, begripliga och av robust karaktär. Möjlighet att uppfatta innebär att information och komponenter i ett gemensamt användargränssnitt måste presenteras för användare på sätt som de kan uppfatta. Hanterbara innebär att komponenter i ett gemensamt användargränssnitt och navigering måste vara hanterbara. Begripliga innebär att information och hantering av det gemensamma användargränssnittet måste vara begripliga. Robust karaktär innebär att innehållet måste vara robust nog för att kunna tolkas på ett tillförlitligt sätt av ett brett spektrum av användarprogram, inklusive tekniska hjälpmedel. Vad gäller kraven på möjlighet att uppfatta, hanterbarhet, begriplighet och robust karaktär uppmuntras kommissionen att agera i överensstämmelse med relevanta harmoniserade standarder.

(38)

I syfte att underlätta betalning av avgifter som krävs som en del av onlineförfaranden eller för tillhandahållande av hjälp- eller problemlösningstjänster bör användare i andra länder kunna använda betalningar eller autogireringar i enlighet med Europaparlamentets och rådets förordning (EU) nr 260/2012 (18) eller andra allmänt förekommande medel för gränsöverskridande betalning, inbegripet bankkort eller kreditkort.

(39)

Det är värdefullt för användarna att informeras om vilken tid ett förfarande kan förväntas ta. Därför bör användarna informeras om tillämpliga tidsfrister eller arrangemang för tyst godkännande eller administrativa arrangemang för avsaknad av beslut eller, om sådana inte är tillämpliga, åtminstone om den genomsnittliga, beräknade eller preliminära tid som vanligen krävs för det aktuella förfarandet. Sådana beräkningar eller indikationer bör endast hjälpa användarna att planera sin verksamhet eller eventuella följande administrativa åtgärder och bör inte ha rättslig verkan.

(40)

Denna förordning bör också göra det möjligt att kontrollera bevis som användarna tillhandahållit i elektroniskt format, om bevisen skickats utan elektroniskt sigill eller intyg från den utfärdande behöriga myndigheten, eller om det tekniska verktyg som fastställts i denna förordning eller något annat system för direkt utbyte eller kontroll av bevis mellan behöriga myndigheter i olika medlemsstater ännu inte är tillgängligt. För sådana situationer bör förordningen föreskriva en effektiv mekanism för administrativt samarbete mellan medlemsstaternas behöriga myndigheter, baserat på informationssystemet för den inre marknaden (IMI), som inrättades genom Europaparlamentets och rådets förordning (EU) nr 1024/2012 (19). I dessa fall bör en behörig myndighets beslut att använda IMI vara frivilligt, men så snart myndigheten har lämnat in en begäran om information eller samarbete via IMI bör den behöriga myndighet som begäran riktar sig till vara tvungen att samarbeta och ge ett svar. Begäran kan skickas via IMI antingen till den behöriga myndighet som utfärdar bevisen eller till den centrala myndighet som utses av medlemsstaterna i enlighet med deras egna administrativa regler. För att undvika onödigt dubbelarbete och eftersom Europaparlamentets och rådets förordning (EU) 2016/1191 (20) omfattar en del av de bevis som är relevanta för de förfaranden som omfattas av den här förordningen kan de tillvägagångssätt för samarbete för IMI som fastställs i förordning (EU) 2016/1191 även användas för andra bevis som krävs i de förfaranden som omfattas av den här förordningen. För att unionens organ och byråer ska kunna bli aktörer inom IMI bör förordning (EU) nr 1024/2012 ändras.

(41)

Onlinetjänster som tillhandahålls av behöriga myndigheter är mycket viktiga för att höja kvaliteten på och säkerheten avseende de tjänster som erbjuds privatpersoner och företag. Medlemsstaternas offentliga förvaltningar strävar i allt högre utsträckning efter att återanvända data, vilket innebär att privatpersoner och företag inte längre behöver lämna samma information flera gånger. Denna återanvändning av data bör erbjudas även för användare i andra medlemsstater för att minska ytterligare administrativa bördor.

(42)

I syfte att möjliggöra lagligt gränsöverskridande utbyte av bevis och information genom unionsomfattande tillämpning av engångsprincipen, bör denna förordning och engångsprincipen tillämpas i enlighet med alla tillämpliga regler för dataskydd, inbegripet principerna om uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet, nödvändighet, proportionalitet och ändamålsbegränsning. Genomförandet bör också ske i full överensstämmelse med principerna om inbyggd säkerhet och inbyggt integritetsskydd, samt med respekt för enskilda personers grundläggande rättigheter, inbegripet de som avser rättvisa och öppenhet.

(43)

Medlemsstaterna bör säkerställa att användarna av förfarandena ges tydlig information om hur personuppgifter som rör dem kommer att behandlas i enlighet med artiklarna 13 och 14 i Europaparlamentets och rådets förordning (EU) 2016/679 (21) och artiklarna 15 och 16 i förordning (EU) 2018/1725 (22).

(44)

För att underlätta användningen av onlineförfaranden ytterligare bör denna förordning, i linje med engångsprincipen, ligga till grund för skapandet och användandet av ett fullt fungerande, tryggt och säkert tekniskt system för det automatiskt gränsöverskridande utbytet av bevis mellan de aktörer som medverkar i förfarandet, på uttrycklig förfrågan från privatpersoner och företag. Om utbytet av bevis inbegriper personuppgifter bör förfrågan anses vara uttrycklig om den innehåller en frivillig, specifik, informerad och otvetydig viljeyttring från den enskilda personen om utbyte av de relevanta personuppgifterna, antingen genom ett uttalande eller genom en bekräftande handling. Om användaren inte är den person som berörs av personuppgifterna bör onlineförfarandet inte påverka den personens rättigheter enligt förordning (EU) 2016/679. Gränsöverskridande tillämpning av engångsprincipen bör resultera i att privatpersoner och företag inte behöver lämna samma data till myndigheter mer än en gång och att det även bör vara möjligt att använda dessa data på begäran av användaren i syfte att utföra gränsöverskridande onlineförfaranden som omfattar användare i andra länder. För den utfärdande behöriga myndigheten bör skyldigheten att använda det tekniska systemet för automatiskt utbyte av bevis mellan olika medlemsstater vara tillämplig endast i fall där myndigheter i sin egen medlemsstat utfärdar bevis i elektroniskt format som möjliggör sådant automatiskt utbyte.

(45)

Allt gränsöverskridande utbyte av bevis bör ske med stöd av en lämplig rättslig grund, såsom i direktiv 2005/36/EG, 2006/123/EG, 2014/24/EU eller 2014/25/EU eller, för de förfaranden som förtecknas i bilaga II, i annan tillämplig unionsrätt eller nationell rätt.

(46)

Det är lämpligt att denna förordning, som allmän regel, föreskriver att gränsöverskridande automatiskt utbyte av bevis sker på uttrycklig förfrågan av användaren. Detta krav bör dock inte tillämpas om relevant unionsrätt eller nationell rätt medger gränsöverskridande automatiskt utbyte av data utan en uttrycklig förfrågan från en användare.

(47)

Användningen av det tekniska system som inrättas genom denna förordning bör även fortsättningsvis vara frivillig, och det bör stå användaren fritt att skicka in bevis på annat sätt än genom det tekniska systemet. Användaren bör ha möjlighet att förhandsgranska beviset och rätt att välja att inte fortsätta med utbytet av bevis i fall där användaren, efter att ha förhandsgranskat det bevis som ska utbytas, upptäcker att informationen är felaktig, inaktuell eller omfattar mer än vad som är nödvändigt för det aktuella förfarandet. De data som ingår i förhandsgranskningen bör inte lagras under en längre tid än vad som är nödvändigt i tekniskt hänseende.

(48)

Det säkra tekniska system som bör inrättas för att möjliggöra utbyte av bevis enligt denna förordning bör också ge behöriga myndigheter som begärt bevis visshet om att det har tillhandahållits av rätt utfärdande myndighet. Den behöriga myndigheten bör, innan den godkänner information som en användare tillhandahåller i samband med ett förfarande, kunna kontrollera informationen om det uppstår tvivel och kunna fastställa att den är korrekt.

(49)

Ett antal byggstenar tillhandahåller grundläggande kapacitet som kan användas för att inrätta det tekniska systemet, såsom Fonden för ett sammanlänkat Europa, inrättad genom Europaparlamentets och rådets förordning (EU) nr 1316/2013 (23), och byggstenarna e-tillhandahållande (eDelivery) och elektroniskt id-kort (eID). Byggstenarna utgörs av tekniska specifikationer, provprogramvara och stödtjänster, och syftar till att säkerställa kompatibilitet mellan befintliga system för informations- och kommunikationsteknik (IKT) i medlemsstaterna så att privatpersoner, företag och förvaltningar, oavsett var i unionen de befinner sig kan utnyttja sömlösa digitala offentliga tjänster.

(50)

Det tekniska system som inrättas genom denna förordning bör finnas tillgängligt utöver andra system som omfattar mekanismer för samarbete mellan myndigheter, t.ex. IMI, och bör inte påverka andra system, som det system som föreskrivs i förordning (EG) nr 987/2009, det europeiska enhetliga upphandlingsdokumentet enligt direktiv 2014/24/EU, det elektroniska utbytet av socialförsäkringsuppgifter enligt förordning (EG) nr 987/2009, det europeiska yrkeskortet enligt direktiv 2005/36/EG, sammankopplingen av nationella register och sammankopplingen av centrala register, handelsregister och företagsregister enligt Europaparlamentets och rådets direktiv (EU) 2017/1132 (24) och sammankopplingen av insolvensregister enligt Europaparlamentets och rådets förordning (EU) 2015/848 (25).

(51)

För att säkerställa enhetliga villkor för genomförandet av ett tekniskt system som möjliggör automatiskt utbyte av bevis bör kommissionen tilldelas genomförandebefogenheter att ange specifika tekniska och operativa specifikationer för ett system för behandling av en användares begäran om utbyte av bevis, samt för överföring av sådant bevis och nödvändiga regler för att säkerställa överföringens integritet och konfidentialitet. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (26).

(52)

I syfte att säkerställa att det tekniska systemet tillhandahåller en hög säkerhetsnivå för den gränsöverskridande tillämpningen av engångsprincipen bör kommissionen, när den antar genomförandeakter om specifikationer för ett sådant tekniskt system, ta vederbörlig hänsyn till de standarder och tekniska specifikationer som utarbetats av europeiska och internationella standardiseringsorganisationer och -organ, i synnerhet Europeiska standardiseringskommittén (CEN), Europeiska institutet för telekommunikationsstandarder (Etsi), Internationella standardiseringsorganisationen (ISO) och Internationella teleunionen (ITU), samt till de säkerhetsnormer som avses i artikel 32 i förordning (EU) 2016/679 och artikel 22 i förordning (EU) 2018/1725.

(53)

Om det är nödvändigt för att säkerställa utveckling, tillgänglighet, underhåll, tillsyn, övervakning och säkerhetshantering av de delar av det tekniska systemet som kommissionen ansvarar för, bör kommissionen begära råd från Europeiska datatillsynsmannen.

(54)

De behöriga myndigheterna och kommissionen bör säkerställa att kvalitetskriterierna efterlevs när det gäller den information och de förfaranden och tjänster som de är ansvariga för. De nationella samordnarna som utses genom denna förordning och kommissionen bör regelbundet övervaka att kvalitets- och säkerhetskriterierna efterlevs på nationell nivå respektive unionsnivå, och ta itu med eventuella problem som uppstår. De nationella samordnarna bör dessutom bistå kommissionen i arbetet med att övervaka funktionen hos det tekniska system som möjliggör ett gränsöverskridande utbyte av bevis. Denna förordning bör ge kommissionen flera olika medel för att ta itu med eventuella försämringar av kvaliteten på de tjänster som erbjuds genom ingången, beroende på hur allvarliga och bestående försämringarna är, vilket inbegriper att om nödvändigt involvera samordningsgruppen för ingången. Detta bör inte föregripa kommissionens övergripande ansvar vad gäller övervakningen av att denna förordning efterlevs.

(55)

Denna förordning bör specificera huvudfunktionerna i de tekniska verktyg som ska stödja ingångens funktion, i synnerhet det gemensamma användargränssnittet, centrallagret för länkar och den gemensamma hjälptjänstsökaren. Det gemensamma användargränssnittet bör säkerställa att användarna lätt kan hitta information, förfaranden samt hjälp- och problemlösningstjänster på webbplatser på nationell nivå och unionsnivå. Medlemsstaterna och kommissionen bör sträva efter att tillhandahålla länkar till en gemensam informationskälla för den information som krävs för ingången i syfte att undvika osäkerhet bland användarna på grund av olika, helt eller delvis överlappande källor till samma information. Detta bör inte utesluta möjligheten att tillhandahålla länkar till samma information som tillhandahålls av lokala eller regionala behöriga myndigheter för olika geografiska områden. Det bör inte heller förhindra viss överlappning av information där detta är oundvikligt eller önskvärt, till exempel när vissa unionsrättigheter, -skyldigheter och -regler upprepas eller beskrivs på nationella webbsidor för att förbättra användarvänligheten. För att minimera den mänskliga inblandningen vid uppdateringen av de länkar som ska användas i det gemensamma användargränssnittet bör en direktkoppling mellan medlemsstaternas relevanta tekniska system och centrallagret för länkar upprättas där detta är tekniskt möjligt. De gemensamma IKT-supportverktygen kan använda Core Public Services Vocabulary (CPSV) för att underlätta kompatibilitet med nationella tjänstekataloger och nationell semantik. Medlemsstaterna bör uppmuntras att använda CPSV men har rätt att besluta att använda nationella lösningar. Informationen i centrallagret bör göras tillgänglig för allmänheten i ett öppet och allmänt använt maskinläsbart format, exempelvis genom applikationsprogrammeringsgränssnitt (API:er), så att den kan återanvändas.

(56)

Sökfunktionen i det gemensamma användargränssnittet bör leda användarna till den information som de behöver oberoende av var den finns på webbsidor på unionsnivå eller nationell nivå. Som ett alternativt sätt att vägleda användarna till användbar information kommer det därutöver att vara en hjälp även framöver om det skapas länkar mellan befintliga och kompletterande webbplatser eller webbsidor – med en rationalisering och gruppering av dem i så hög grad som möjligt – samt länkar mellan webbsidor och webbplatser för att ge tillgång till onlinetjänster och information på unionsnivå och nationell nivå.

(57)

Denna förordning bör också specificera kvalitetskrav för det gemensamma användargränssnittet. Kommissionen bör säkerställa att det gemensamma användargränssnittet uppfyller dessa krav, och det bör i synnerhet vara tillgängligt och åtkomligt online via olika kanaler och vara lätt att använda.

(58)

För att säkerställa enhetliga villkor för genomförandet av de tekniska lösningarna till stöd för ingången bör kommissionen tilldelas genomförandebefogenheter att, där så krävs, fastställa tillämpliga standarder och kompatibilitetskrav för att göra det lättare att hitta informationen om regler och skyldigheter, om förfaranden och om hjälp- och problemlösningstjänster som medlemsstaterna och kommissionen ansvarar för. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011.

(59)

Denna förordning bör också innehålla en tydlig fördelning mellan kommissionen och medlemsstaterna av ansvaret för utveckling, tillgänglighet, underhåll och säkerhet för IKT-programmen som stöder ingången. Som ett led i underhållsuppgifterna bör kommissionen och medlemsstaterna regelbundet kontrollera om dessa IKT-program fungerar som de ska.

(60)

För att fullt ut utveckla potentialen i de olika informationsområden, förfaranden samt hjälp- och problemlösningstjänster som bör inkluderas i ingången behöver målgruppernas medvetenhet om att de finns och hur de fungerar förbättras betydligt. Det faktum att de inkluderas i ingången bör göra det mycket lättare för användare att hitta den information, de förfaranden samt de hjälp- och problemlösningstjänster som de behöver, även när de inte känner till dem. Dessutom behövs gemensamma marknadsföringsinsatser för att säkerställa att privatpersoner och företag i hela unionen blir medvetna om ingångens existens och fördelar. Sådana marknadsföringsaktiviteter bör innefatta sökmotoroptimering och andra informationsåtgärder online, eftersom de är mest kostnadseffektiva och har potential att nå största möjliga målgrupp. För att marknadsföringsåtgärderna ska bli så effektiva som möjligt bör de samordnas inom ramen för ingångssamordningsgruppen, och medlemsstaterna bör justera sina marknadsföringsinsatser så att det finns en gemensam referens till ingången i alla relevanta sammanhang, med möjlighet till gemensam marknadsföring av ingången och nationella initiativ.

(61)

Alla andra av unionens institutioner, organ och byråer bör uppmuntras att främja ingången genom att på alla relevanta webbsidor inom respektive ansvarsområde inkludera dess logotyp och länkar till den på alla relevanta webbsidor för vilka de är ansvariga.

(62)

Det namn som ingången ska bli känd under och marknadsföras med för allmänheten bör vara Your Europe. Det gemensamma användargränssnittet bör kunna hittas på ett väl synligt och enkelt sätt, i synnerhet via relevanta webbsidor på unionsnivå och nationell nivå. Logotypen för ingången bör vara synlig på relevanta webbplatser på unionsnivå och nationell nivå.

(63)

För att samla in tillräcklig information för att mäta och förbättra resultatet av ingången bör denna förordning kräva att de behöriga myndigheterna och kommissionen samlar in och analyserar data om användningen av olika informationsområden, förfaranden och tjänster som erbjuds genom ingången. Insamlingen av andvändarstatistik, såsom data avseende antalet besök på specifika webbsidor, antalet användare inom en medlemsstat jämfört med antalet användare från andra medlemsstater, vilka sökord som används, de mest besökta webbsidorna, hänvisningswebbplatser eller antalet, ursprunget och ärendet vad gäller begäranden om hjälp, bör förbättra ingångens funktion genom att bidra till att identifiera målgruppen, utarbeta marknadsföringsaktiviteter och förbättra kvaliteten på de tjänster som erbjuds. Vid insamlingen av sådan data bör man beakta kommissionens årliga jämförande utvärdering av e-förvaltning för att undvika dubbelarbete.

(64)

För att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter att fastställa enhetliga regler för metoden för insamling och utbyte av användarstatistik. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011.

(65)

Ingångens kvalitet beror på kvaliteten på de unionstjänster och nationella tjänster som tillhandahålls via ingången. Därför bör kvaliteten på den information, de förfaranden samt de hjälp- och problemlösningstjänster som finns att tillgå genom ingången också övervakas regelbundet, med hjälp av ett återkopplingsverktyg för användare, genom vilket användarna uppmanas att bedöma och ge återkoppling om omfattning och kvalitet på den information, de förfaranden eller de hjälp- och problemlösningstjänster som de har använt. Deras synpunkter bör samlas i ett gemensamt verktyg som kommissionen, behöriga myndigheter och nationella samordnare bör ha tillgång till. För att säkerställa enhetliga villkor för genomförandet av denna förordning vad gäller användaråterkopplingsverktygens gemensamma funktionalitet och närmare bestämmelser om insamling och utbyte av användarnas återkoppling bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med förordning (EU) nr 182/2011. Kommissionen bör offentliggöra en anonymiserad sammanfattande onlineöversikt av de problem som framkommer av den information, den huvudsakliga användarstatistik och den huvudsakliga användaråterkoppling som samlas in i enlighet med denna förordning.

(66)

Dessutom bör ingången innefatta ett återkopplingsverktyg som gör det möjligt för användare att, frivilligt och anonymt, signalera eventuella problem och svårigheter som de har haft under utövandet av sina rättigheter på den inre marknaden. Detta verktyg bör endast betraktas som ett komplement till mekanismerna för hantering av klagomål, eftersom det inte kan ge användarna någon personlig respons. Mottagna synpunkter bör kombineras med sammanställd information från hjälp- och problemlösningstjänster om ärenden som de har hanterat, för att skapa en översikt över den inre marknaden utifrån hur användarna upplever den och för att identifiera problemområden för eventuella framtida insatser avsedda att förbättra den inre marknadens funktion. Denna översikt bör länkas till befintliga rapporteringsverktyg såsom resultattavlan för den inre marknaden.

(67)

Medlemsstaternas rätt att besluta vem som ska inneha uppgiften som nationell samordnare bör inte påverkas av denna förordning. Medlemsstaterna bör kunna anpassa funktioner och ansvarsområden för sina nationella samordnare i fråga om ingången till sina interna förvaltningsstrukturer. Medlemsstaterna bör kunna utse ytterligare nationella samordnare för att utföra uppgifterna enligt denna förordning, ensamma eller tillsammans med andra, med ansvar för en avdelning inom förvaltningen eller en geografisk region eller i enlighet med andra kriterier. Medlemsstaterna bör underrätta kommissionen om vem den enda nationella samordnare som de har utsett för kontakter med kommissionen är.

(68)

Det bör inrättas en samordningsgrupp för ingången bestående av nationella samordnare och en ordförande från kommissionen i syfte att underlätta tillämpningen av denna förordning, i synnerhet genom utbyte av bästa praxis och samarbete för att i enlighet med denna förordning göra presentationen av information mer enhetlig. Samordningsgruppen för ingången bör i sitt arbete beakta de mål som anges i det årliga arbetsprogrammet, som kommissionen bör lämna in till den för övervägande. Det årliga arbetsprogrammet bör utformas som riktlinjer eller rekommendationer som är icke-bindande för medlemsstaterna. Kommissionen kan på Europaparlamentets begäran besluta att skicka experter att närvara vid sammanträden med samordningsgruppen för ingången.

(69)

I denna förordning bör det förtydligas vilka delar av ingången som ska finansieras via unionsbudgeten och vilka delar som ska vara medlemsstaternas ansvar. Kommissionen bör hjälpa medlemsstaterna att identifiera återanvändbara IKT-byggstenar och finansiering som är tillgänglig genom olika fonder och program på unionsnivå som kan bidra till att täcka kostnaderna för den IKT-anpassning och IKT-utveckling som behövs på nationell nivå för att efterleva denna förordning. Den budget som krävs för genomförandet av denna förordning bör vara förenlig med den gällande fleråriga budgetramen.

(70)

Medlemsstaterna uppmuntras att utöka samordningen, samarbetet och utbytet med varandra för att få större strategisk och operativ kapacitet samt forsknings- och utvecklingskapacitet på it-säkerhetsområdet, särskilt genom genomförandet av den säkerhet i nätverks- och informationssystem som avses i Europaparlamentets och rådets direktiv (EU) 2016/1148 (27), för att stärka säkerheten och motståndskraften inom sin offentliga förvaltning och sina offentliga tjänster. Medlemsstaterna uppmuntras också att öka säkerheten i samband med transaktioner och säkerställa en tillräcklig nivå av förtroende för elektroniska medel genom användandet av eIDAS-ramarna som fastställts i förordning (EU) nr 910/2014, särskilt tillräckliga tillitsnivåer. Medlemsstaterna får vidta åtgärder i enlighet med unionsrätten för att garantera it-säkerheten och förhindra identitetsbedrägeri eller andra former av bedrägeri.

(71)

I de fall tillämpningen av denna förordning inbegriper behandling av personuppgifter bör de utföras i enlighet med unionsrätten om skydd av personuppgifter, i synnerhet förordning (EU) 2016/679 och förordning (EU) 2018/1725. Europaparlamentets och rådets direktiv (EU) 2016/680 (28) är också tillämpligt i samband med den här förordningen. I enlighet med förordning (EU) 2016/679 kan medlemsstaterna behålla eller införa ytterligare villkor, däribland begränsningar, med avseende på behandlingen av personuppgifter som rör hälsa, och de får föreskriva mer detaljerade regler för behandlingen av anställdas personuppgifter i samband med anställning.

(72)

Denna förordning bör främja och underlätta en harmonisering av styrformerna för de tjänster som ingången omfattar. Kommissionen bör i detta syfte, i nära samarbete med medlemsstaterna, se över de befintliga styrformerna och vid behov anpassa dem så att dubbelarbete och ineffektivitet kan undvikas.

(73)

Målet för denna förordning är att säkerställa att användare som verkar i andra medlemsstater har tillgång online till utförlig, tillförlitlig, tillgänglig och begriplig unionsomfattande och nationell information om rättigheter, regler och skyldigheter, till onlineförfaranden som kan utföras helt från ett annat land samt till hjälp- och problemlösningstjänster. Eftersom detta mål inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, utan snarare, med tanke på denna förordnings omfattning och verkningar, bättre kan uppnås på unionsnivå, får unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå det målet.

(74)

För att medlemsstaterna och kommissionen ska kunna utveckla och börja använda de verktyg som krävs för att genomföra denna förordning bör vissa av bestämmelserna i den börja tillämpas två år efter det att den har trätt i kraft. De lokala myndigheterna bör ha fyra år på sig, räknat från ikraftträdandet av denna förordning, att genomföra kraven att kunna tillhandahålla information om reglerna, förfaranden samt hjälp- och problemlösningstjänster som de ansvarar för. Bestämmelserna i denna förordning om förfaranden som ska erbjudas helt online, den gränsöverskridande tillgången till onlineförfaranden och det tekniska systemet för gränsöverskridande automatiskt utbyte av bevis i enlighet med engångsprincipen bör vara genomförda senast fem år efter det att denna förordning har trätt i kraft.

(75)

Denna förordning är förenlig med de grundläggande rättigheter och de principer som erkänns i synnerhet i Europeiska unionens stadga om de grundläggande rättigheterna, och bör genomföras i enlighet med dessa rättigheter och principer.

(76)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 (29) och avgav ett yttrande den 1 augusti 2017 (30).

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Syfte

1.   I denna förordning fastställs bestämmelser om

a)

inrättande och drift av en gemensam digital ingång som gör att privatpersoner och företag på ett enkelt sätt får tillgång till information av hög kvalitet, till effektiva förfaranden och till ändamålsenliga hjälp- och problemlösningstjänster i fråga om unionsregler och nationella regler som gäller för privatpersoner och företag som utövar eller har för avsikt att utöva sina rättigheter enligt unionsrätten inom den inre marknaden, i den mening som avses i artikel 26.2 i EUF-fördraget,

b)

användningen av förfaranden för användare i gränsöverskridande situationer och genomförandet av engångsprincipen i samband med de förfaranden som anges i bilaga II till denna förordning och de förfaranden som föreskrivs i direktiven 2005/36/EG, 2006/123/EG, 2014/24/EU och 2014/25/EU,

c)

rapporteringen av hinder på den inre marknaden baserat på insamling av återkoppling från användare och statistik från de tjänster som ingången omfattar.

2.   Om denna förordning strider mot en bestämmelse i en annan unionsakt som reglerar specifika aspekter av syftet med denna förordning, ska bestämmelsen i denna andra unionsakt ges företräde.

3.   Denna förordning påverkar inte vare sig innehållet i, eller rättigheter som beviljas genom, ett förfarande som fastställs på unionsnivå eller nationell nivå på något av de områden som omfattas av denna förordning. Vidare påverkar denna förordning inte åtgärder som vidtas i enlighet med unionsrätten i syfte att skydda it-säkerheten och att förebygga bedrägeri.

Artikel 2

Inrättande av den gemensamma digitala ingången

1.   En gemensam digital ingång (nedan kallad ingången) ska inrättas av kommissionen och medlemsstaterna i enlighet med denna förordning. Ingången ska bestå av ett gemensamt användargränssnitt (nedan kallat det gemensamma användargränssnittet) som förvaltas av kommissionen, vilket ska vara integrerat i portalen Ditt Europa och ska ge tillgång till relevanta unionsomfattande och nationella webbsidor.

2.   Ingången ska ge tillgång till följande:

a)

Information om rättigheter, skyldigheter och regler som anges i unionsrätt och nationell rätt och som gäller för användare som utövar eller har för avsikt att utöva sina rättigheter enligt unionsrätten på de områden av den inre marknaden som anges i bilaga I.

b)

Information om förfaranden online och offline och länkar till onlineförfaranden, inbegripet förfaranden som omfattas av bilaga II, som inrättats på unionsnivå eller nationell nivå för att användarna ska kunna utöva rättigheterna och efterleva skyldigheterna och reglerna på de områden av den inre marknaden som anges i bilaga I.

c)

Information om och länkar till hjälp- och problemlösningstjänsterna vilka anges i bilaga III eller avses i artikel 7, som privatpersoner och företag kan använda om de har frågor om eller problem som rör de rättigheter, skyldigheter och förfaranden som avses i leden a och b i denna punkt.

3.   Det gemensamma användargränssnittet ska vara tillgängligt på alla unionens officiella språk.

Artikel 3

Definitioner

I denna förordning gäller följande definitioner:

1.

användare: antingen en unionsmedborgare, en fysisk person som bor i en medlemsstat eller en juridisk person som har sitt säte i en medlemsstat, och som använder den information, de förfaranden eller de hjälp- och problemlösningstjänster som avses i artikel 2.2 genom ingången.

2.

användare i gränsöverskridande situationer: användare i en situation som inte i alla avseenden är begränsade till en enda medlemsstat.

3.

förfarande: en sekvens av handlingar som användare måste utföra för att uppfylla kraven eller för att erhålla ett beslut från en behörig myndighet för att kunna utöva sina rättigheter enligt artikel 2.2 a.

4.

behörig myndighet: myndighet eller organ i en medlemsstat som inrättats på nationell, regional eller lokal nivå och som har specifikt ansvar när det gäller den information, de förfaranden samt de hjälp- och problemlösningstjänster som omfattas av denna förordning.

5.

bevis: dokument eller data, inbegripet text eller ljud, bildinspelningar eller audiovisuella inspelningar, oavsett vilket medium som använts, som en behörig myndighet begär för att bevisa fakta eller överensstämmelse med de formkrav som avses i artikel 2.2 b.

KAPITEL II

INGÅNGENS TJÄNSTER

Artikel 4

Tillgång till information

1.   Medlemsstaterna ska säkerställa att användarna har enkel tillgång online till följande på sina nationella webbsidor:

a)

Information om de rättigheter, skyldigheter och regler som avses i artikel 2.2 a, som härrör från nationell rätt.

b)

Information om de förfaranden som avses i artikel 2.2 b, som fastställs på nationell nivå.

c)

Information om de hjälp- och problemlösningstjänster, som avses i artikel 2.2 c, som fastställs på nationell nivå.

2.   Kommissionen ska säkerställa att portalen Ditt Europa erbjuder användarna enkel tillgång online till följande:

a)

Information om de rättigheter, skyldigheter och regler som avses i artikel 2.2 a, som härrör från unionsrätten.

b)

Information om de förfaranden som avses i artikel 2.2 b, som fastställs på unionsnivå.

c)

Information om de hjälp- och problemlösningstjänster, som avses i artikel 2.2 c, som fastställs på unionsnivå.

Artikel 5

Tillgång till information som inte ingår i bilaga I

1.   Medlemsstaterna och kommissionen får tillhandahålla länkar till information inom områden som inte förtecknas i bilaga I som erbjuds av behöriga myndigheter, kommissionen eller unionens organ eller byråer, under förutsättning att denna information omfattas av tillämpningsområdet för den ingång som definieras i artikel 1.1 a och uppfyller kvalitetskraven i artikel 9.

2.   Länkarna till den information som avses i punkt 1 i denna artikel ska tillhandahållas i enlighet med artikel 19.2 och 19.3.

3.   Innan kommissionen aktiverar en länk ska den kontrollera att villkoren i punkt 1 är uppfyllda och samråda med samordningsgruppen för ingången.

Artikel 6

Förfaranden som ska erbjudas helt online

1.   Varje medlemsstat ska säkerställa att användare kan få tillgång till och utföra de förfaranden som förtecknas i bilaga II helt online, om sådana förfaranden har inrättats i den berörda medlemsstaten.

2.   De förfaranden som avses i punkt 1 ska anses vara helt online om

a)

identifiering av användare, tillhandahållande av information och tillhandahållande av bevis, undertecknande och slutlig inlämning kan utföras elektroniskt på distans, genom en tjänstekanal som gör det möjligt för användarna att uppfylla alla de krav som hör till förfarandet på ett användarvänligt och strukturerat sätt,

b)

användare tillhandahålls ett automatiskt mottagningsbevis, om inte resultatet av förfarandet tillhandahålls omedelbart,

c)

resultatet av förfarandet tillhandahålls elektroniskt, eller levereras fysiskt om det är nödvändigt för att iaktta tillämplig unionsrätt eller nationell rätt, och

d)

användarna får ett elektroniskt meddelande om att förfarandet har utförts.

3.   Om det eftersträvade målet, i undantagsfall motiverade av tvingande hänsyn till allmänintresset inom områdena allmän säkerhet, folkhälsa och bedrägeribekämpning, inte kan uppnås helt online, får medlemsstaterna kräva att användaren inställer sig personligen hos den behöriga myndigheten som ett led i förfarandet. I dessa undantagsfall ska medlemsstaterna begränsa denna fysiska närvaro till det som är absolut nödvändigt och objektivt motiverat samt säkerställa att övriga led i förfarandet kan utföras helt online. Medlemsstaterna ska också se till att kraven på fysisk närvaro inte leder till diskriminering av användare i gränsöverskridande situationer.

4.   Medlemsstaterna ska, genom ett gemensamt register som är tillgängligt för kommissionen och övriga medlemsstater, meddela och förklara på vilka grunder och under vilka omständigheter fysisk närvaro kan krävas för de led i förfarandet som avses i punkt 3 och på vilka grunder och under vilka omständigheter fysisk leverans, som avses i punkt 2 c, är nödvändig.

5.   Denna artikel får inte hindra medlemsstaterna från att erbjuda användare möjligheten att även få tillgång till och utföra förfaranden enligt artikel 2.2 b på andra sätt än online eller från att kontakta användarna direkt.

Artikel 7

Tillgång till hjälp- och problemlösningstjänster

1.   Medlemsstaterna och kommissionen ska säkerställa att användarna, inbegripet användarna i gränsöverskridande situationer, via olika kanaler har enkel tillgång online till de hjälp- och problemlösningstjänster som avses i artikel 2.2 c.

2.   De nationella samordnare som avses i artikel 28 och kommissionen får tillhandahålla länkar till hjälp- och problemlösningstjänster som erbjuds av behöriga myndigheter, kommissionen eller unionens organ och byråer, utöver dem som förtecknas i bilaga III, i enlighet med artikel 19.2 och 19.3 förutsatt att dessa tjänster uppfyller kvalitetskraven i artiklarna 11 och 16.

3.   Om det är nödvändigt för att uppfylla användarnas behov får den nationella samordnaren föreslå för kommissionen att länkar till hjälp- och problemlösningstjänster som tillhandahålls av privata eller halvprivata enheter inkluderas i ingången om dessa tjänster uppfyller följande krav:

a)

De erbjuder information eller hjälp på de områden och för de syften som denna förordning omfattar och kompletterar tjänster som redan finns i ingången.

b)

De erbjuds kostnadsfritt eller till ett pris som är överkomligt för mikroföretag, ideella organisationer och privatpersoner.

c)

De uppfyller kraven i artiklarna 8, 11 och 16.

4.   Om den nationella samordnaren har föreslagit att en länk inkluderas i enlighet med punkt 3 i den här artikeln, och tillhandahåller en sådan länk i enlighet med artikel 19.3, ska kommissionen bedöma huruvida villkoren i punkt 3 i den här artikeln uppfylls av den tjänst som ska inkluderas genom länken, och om så är fallet aktivera länken.

Om kommissionen anser att villkoren i punkt 3 inte uppfylls av den tjänst som ska inkluderas, ska den underrätta den nationella samordnaren om skälen till att inte aktivera länken.

Artikel 8

Kvalitetskrav avseende webbtillgänglighet

Kommissionen ska göra de av sina webbplatser och webbsidor genom vilka den ger tillgång till den information som avses i artikel 4.2 och till de hjälp- och problemlösningstjänster som avses i artikel 7 mer tillgängliga genom att göra dem möjliga att uppfatta, hanterbara, begripliga och robusta.

KAPITEL III

KVALITETSKRAV

AVSNITT 1

Kvalitetskrav som rör information om rättigheter, skyldigheter, regler, förfaranden samt hjälp- och problemlösningstjänster

Artikel 9

Kvaliteten på information om rättigheter, skyldigheter och regler

1.   Medlemsstaterna och kommissionen ska, när de i enlighet med artikel 4 ansvarar för att säkerställa tillgång till information enligt artikel 2.2 a, se till att denna information uppfyller följande krav:

a)

Den är användarvänlig så att användarna lätt kan hitta och förstå informationen och avgöra vilka delar av informationen som är relevanta för deras specifika situation.

b)

Den är korrekt och tillräckligt utförlig för att omfatta uppgifter som användarna behöver känna till för att kunna utöva sina rättigheter i full överensstämmelse med gällande regler och skyldigheter.

c)

Den innehåller vid behov hänvisningar, länkar till rättsakter, tekniska specifikationer och riktlinjer.

d)

Den innehåller namnet på den behöriga myndighet eller enhet som är ansvarig för informationsinnehållet.

e)

Den innehåller kontaktuppgifter till alla relevanta hjälp- och problemlösningstjänster, till exempel ett telefonnummer, en e-postadress, ett elektroniskt frågeformulär eller något annat vanligt förekommande elektroniskt kommunikationsmedel som är bäst lämpat för den typ av tjänst som erbjuds och för målgruppen för tjänsten.

f)

Den innehåller datumet för den senaste uppdateringen av informationen, i förekommande fall, eller datumet för offentliggörandet av informationen, om informationen inte har uppdaterats.

g)

Den är välstrukturerad och presenteras på ett sätt som gör att användarna snabbt kan hitta den information de behöver.

h)

Den hålls aktuell.

i)

Den är skriven på ett klart och tydligt språk som är anpassat efter målgruppens behov.

2.   Medlemsstaterna ska göra den information som avses i punkt 1 i denna artikel tillgänglig på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, i enlighet med artikel 12.

Artikel 10

Kvaliteten på information om förfaranden

1.   Medlemsstaterna och kommissionen ska, i syfte att uppfylla bestämmelserna i artikel 4, säkerställa att användarna, innan de behöver identifiera sig före det att förfarandet påbörjas, har tillgång till en tillräckligt utförlig, tydlig och användarvänlig förklaring med avseende på följande delar, i tillämpliga fall, av de förfaranden som avses i artikel 2.2 b:

a)

De relevanta led i förfarandet som användaren ska utföra, inbegripet eventuella undantag enligt artikel 6.3 från medlemsstaternas skyldighet att erbjuda förfarandet helt online.

b)

Namnet på den behöriga myndighet eller enhet som är ansvarig för förfarandet, inbegripet kontaktuppgifterna.

c)

De godtagna metoderna för autentisering, identifiering och undertecknande i förfarandet.

d)

Typ av och format på bevis som ska tillhandahållas.

e)

De möjligheter som i allmänhet finns till ändring av beslut eller överklagande i händelse av tvister med de behöriga myndigheterna.

f)

Tillämpliga avgifter och metod för onlinebetalning.

g)

Alla tidsfrister som ska följas av användaren eller den behöriga myndigheten, och, om tidsfrister saknas, den genomsnittliga, beräknade eller preliminära tid den behöriga myndigheten behöver för att slutföra förfarandet.

h)

Alla regler som gäller avsaknad av svar från den behöriga myndigheten och de rättsliga konsekvenserna därav för användarna, däribland arrangemang för tyst godkännande eller administrativa arrangemang för avsaknad av beslut.

i)

Eventuella ytterligare språk som förfarandet kan utföras på.

2.   Om det inte finns arrangemang för tyst godkännande, administrativa arrangemang för avsaknad av beslut eller liknande, ska de behöriga myndigheterna, i tillämpliga fall, underrätta användarna om eventuella fördröjningar och om eventuella förlängningar av tidsfristerna eller följderna av detta.

3.   Om den förklaring som avses i punkt 1 redan finns tillgänglig för inhemska användare kan den användas eller återanvändas i enlighet med denna förordning, förutsatt att den i tillämpliga fall också täcker situationen för användare i gränsöverskridande situationer.

4.   Medlemsstaterna ska göra den förklaring som avses i punkt 1 i denna artikel tillgänglig på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, i enlighet med artikel 12.

Artikel 11

Kvalitet på information om hjälp- och problemlösningstjänster

1.   Medlemsstaterna och kommissionen ska, i syfte att uppfylla bestämmelserna i artikel 4, säkerställa att användarna, innan de lämnar in en begäran om en tjänst enligt artikel 2.2 c, har tillgång till en tydlig och användarvänlig förklaring av följande:

a)

Den erbjudna tjänstens typ, syfte och förväntade resultat.

b)

Kontaktuppgifter till de enheter som ansvarar för tjänsten, till exempel ett telefonnummer, en e-postadress, ett elektroniskt frågeformulär eller något annat vanligt förekommande elektroniskt kommunikationsmedel som är bäst lämpat för den typ av tjänst som erbjuds och för målgruppen för tjänsten.

c)

I förekommande fall tillämpliga avgifter och metod för onlinebetalning.

d)

Alla tidsfrister som ska följas, och om tidsfrister saknas, en genomsnittlig eller beräknad tid för tillhandahållande av tjänsten.

e)

Eventuella ytterligare språk som begäran kan lämnas in på och som kan användas vid efterföljande kontakter.

2.   Medlemsstaterna ska göra den förklaring som avses i punkt 1 i denna artikel tillgänglig på ett officiellt unionsspråk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, i enlighet med artikel 12.

Artikel 12

Översättning av information

1.   Om en medlemsstat inte tillhandahåller den information, de förklaringar och de instruktioner som anges i artiklarna 9, 10, 11 och 13.2 a på ett av unionens officiella språk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, ska den medlemsstaten begära att kommissionen tillhandahåller översättningar till detta språk, inom ramen för de tillgängliga unionsbudgetmedel som avses i artikel 32.1 c.

2.   Medlemsstaterna ska säkerställa att de texter som inlämnas för översättning enligt punkt 1 i den här artikeln omfattar åtminstone den grundläggande informationen på alla de områden som förtecknas i bilaga I och att, om tillräckliga unionsbudgetmedel finns tillgängliga, de omfattar ytterligare information, förklaringar och instruktioner som avses i artiklarna 9, 10, 11 och 13.2 a, med beaktande av de viktigaste behoven hos användare i gränsöverskridande situationer. Medlemsstaterna ska tillhandahålla länkar till sådan översatt information till det länkregister som avses i artikel 19.

3.   Det språk som avses i punkt 1 ska vara det officiella unionsspråk som studeras som främmande språk av flest användare i unionen. Om den information, de förklaringar eller de instruktioner som ska översättas, undantagsvis, förväntas vara av övervägande intresse för användare i gränsöverskridande situationer som kommer från en annan medlemsstat, får det språk som avses i punkt 1 vara det officiella unionsspråk som används som förstaspråk av dessa användare.

4.   Om en medlemsstat begär en översättning till ett av unionens officiella språk som inte är det språk som studeras som främmande språk av flest användare i unionen, ska den ange skälen för sin begäran. Om kommissionen anser att de villkor som avses i punkt 3 för valet av ett sådant annat språk inte är uppfyllda, får den avslå begäran och ska underrätta medlemsstaten om skälen för detta.

AVSNITT 2

Krav avseende onlineförfaranden

Artikel 13

Gränsöverskridande tillgång till onlineförfaranden

1.   Medlemsstaterna ska säkerställa att om ett förfarande som avses i artikel 2.2 b, som inrättats på nationell nivå, kan användas och utföras online av inhemska användare ska det även kunna användas och utföras online av användare i gränsöverskridande situationer på ett icke-diskriminerande sätt genom samma tekniska lösning eller en alternativ teknisk lösning.

2.   Medlemsstaterna ska säkerställa att minst följande krav uppfylls för de förfaranden som avses i punkt 1 i denna artikel:

a)

Användarna kan få tillgång till anvisningar om utförande av förfarandet på ett av unionens officiella språk som i huvudsak förstås av största möjliga antal användare i gränsöverskridande situationer, i enlighet med artikel 12.

b)

Användare i gränsöverskridande situationer kan lämna de uppgifter som begärs, även då uppgifterna har en annan struktur än liknande uppgifter i den berörda medlemsstaten.

c)

Användare i gränsöverskridande situationer kan identifiera och autentisera sig samt underteckna eller stämpla handlingar på elektronisk väg i enlighet med Europaparlamentets och rådets förordning (EU) nr 910/2014 i samtliga fall där detta även är möjligt för inhemska användare.

d)

Användare i gränsöverskridande situationer kan tillhandahålla bevis på efterlevnad av gällande krav och motta resultatet av förfarandet i elektroniskt format i samtliga fall där detta även är möjligt för inhemska användare.

e)

Om förfarandet förutsätter en betalning kan användarna betala alla avgifter online med hjälp av allmänt tillgängliga gränsöverskridande betalningstjänster, utan diskriminering på grund av betaltjänstleverantörens etableringsort, betalningsinstrumentets utfärdandeort eller den plats där betalkontot finns inom unionen.

3.   Om förfarandet inte kräver elektronisk identifiering eller autentisering i enlighet med punkt 2 c och om de behöriga myndigheterna enligt tillämplig nationell rätt eller administrativ praxis får godta digitaliserade kopior av icke-elektroniska identitetsbevis som id-kort eller pass för inhemska användare, ska myndigheterna också godta sådana digitaliserade kopior för användare i gränsöverskridande situationer.

Artikel 14

Tekniskt system för gränsöverskridande automatiskt utbyte av bevis och tillämpning av engångsprincipen

1.   När det gäller utbyte av bevis för onlineförfaranden som förtecknas i bilaga II i denna förordning och de förfaranden som anges i direktiven 2005/36/EG, 2006/123/EG, 2014/24/EU och 2014/25/EU ska kommissionen i samarbete med medlemsstaterna inrätta ett tekniskt system för automatiskt utbyte av bevis mellan behöriga myndigheter i olika medlemsstater (nedan kallat det tekniska systemet).

2.   Om behöriga myndigheter, i sin egen medlemsstat och i elektroniskt format som möjliggör automatiskt utbyte, lagligen utfärdar bevis och som är av relevans för de onlineförfaranden som avses i punkt 1 ska de också, för behöriga myndigheter i andra medlemsstater som begär detta, göra sådana bevis tillgängliga i ett elektroniskt format som möjliggör automatiskt utbyte.

3.   Det tekniska systemet ska framför allt

a)

möjliggöra behandling av begäranden om bevis på användarens uttryckliga förfrågan,

b)

möjliggöra behandling av begäranden om åtkomst till eller utbyte av bevis,

c)

möjliggöra överföring av bevis mellan behöriga myndigheter,

d)

göra det möjligt för den begärande behöriga myndigheten att behandla beviset,

e)

säkerställa bevisets konfidentialitet och integritet,

f)

ge användaren möjlighet att förhandsgranska det bevis som ska användas av den begärande myndigheten samt att välja om de ska fortsätta med utbytet av bevis eller inte,

g)

säkerställa en tillräcklig nivå av kompatibilitet med andra relevanta system,

h)

säkerställa en hög säkerhetsnivå för överföringen och behandlingen av bevis,

i)

inte behandla bevis utöver uppgifter som är nödvändiga i tekniskt hänseende för att utbyta beviset, samt behandla bevis endast under den tidsperiod som är nödvändig för detta syfte.

4.   Användning av det tekniska systemet ska inte vara obligatorisk för användare och ska endast tillåtas på deras uttryckliga förfrågan, såvida inget annat föreskrivs i unionsrätt eller nationell rätt. Användarna ska tillåtas lämna in bevis på andra sätt än via det tekniska systemet och direkt till den begärande behöriga myndigheten.

5.   Den möjlighet att förhandsgranska bevis som avses i punkt 3 f i denna artikel ska inte krävas för förfaranden för vilka ett automatiskt gränsöverskridande utbyte av uppgifter utan en sådan förhandsgranskning tillåts enligt tillämplig unionsrätt eller nationell rätt. Den möjligheten till förhandsgranskning av bevisen ska inte påverka skyldigheten att tillhandahålla uppgifter enligt artiklarna 13 och 14 i förordning (EU) 2016/679.

6.   Medlemsstaterna ska integrera det fullt operativa tekniska systemet i de förfaranden som avses i punkt 1.

7.   De behöriga myndigheter som ansvarar för de onlineförfaranden som avses i punkt 1 ska, på uttrycklig, frivillig, specifik, informerad och otvetydig förfrågan från användaren i fråga, genom det tekniska systemet begära bevis direkt från behöriga myndigheter som utfärdar bevis i andra medlemsstater. De utfärdande behöriga myndigheter som avses i punkt 2 ska, i enlighet med punkt 3 e, göra sådant bevis tillgängligt genom samma system.

8.   Bevis som gjorts tillgängligt för den begärande behöriga myndigheten ska begränsas till det som har begärts och får användas av den myndigheten endast för det förfarande som det utbytts för. Det bevis som utbyts via det tekniska systemet ska, för den begärande behöriga myndighetens ändamål, anses vara äkta.

9.   Senast den 12 juni 2021 ska kommissionen anta genomförandeakter för att fastställa de tekniska och operativa specifikationer hos det tekniska systemet som behövs för genomförandet av denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 37.2.

10.   Punkterna 1–8 ska inte gälla för förfaranden som inrättats på unionsnivå och som möjliggör andra mekanismer för utbyte av bevis, såvida inte det tekniska system som behövs för genomförandet av denna artikel integreras i dessa förfaranden i enlighet med reglerna i de unionsakter genom vilka de förfarandena inrättas.

11.   Kommissionen och var och en av medlemsstaterna ska ansvara för utveckling, tillgänglighet, underhåll, tillsyn, övervakning och säkerhetshantering av sina respektive delar av det tekniska systemet.

Artikel 15

Kontroll av bevis mellan medlemsstaterna

Om det tekniska systemet eller andra mekanismer för utbyte eller kontroll av bevis mellan medlemsstaterna inte är tillgängliga eller inte är tillämpliga, eller i fall där användaren inte begär användning av det tekniska systemet, ska de behöriga myndigheterna samarbeta genom informationssystemet för den inre marknaden (IMI) när det är nödvändigt för att kontrollera äktheten hos bevis som användaren skickat till en av dem i elektroniskt format för att utföra ett onlineförfarande.

AVSNITT 3

Kvalitetskrav avseende hjälp- och problemlösningstjänster

Artikel 16

Kvalitetskrav avseende hjälp- och problemlösningstjänster

De behöriga myndigheterna och kommissionen ska, inom ramen för sina respektive behörigheter, säkerställa att de hjälp- och problemlösningstjänster som förtecknas i bilaga III och de som har inkluderats i ingången i enlighet med artikel 7.2, 7.3 och 7.4 uppfyller följande kvalitetskrav:

a)

Hjälp- och problemlösningstjänsterna tillhandahålls inom en rimlig tidsram med hänsyn till begärans komplexitet.

b)

Om tidsfrister förlängs underrättas användarna i förväg om orsakerna till detta och om en ny tidsfrist.

c)

Om tillhandahållandet av en tjänst omfattar en betalning kan användarna betala alla avgifter online med hjälp av en allmänt tillgänglig gränsöverskridande betalningstjänst, utan diskriminering på grund av betaltjänstleverantörens etableringsort, betalningsinstrumentets utfärdandeort eller den plats där betalkontot finns inom unionen.

AVSNITT 4

Kvalitetsuppföljning

Artikel 17

Kvalitetsuppföljning

1.   De nationella samordnare som avses i artikel 28 och kommissionen ska, inom sina respektive befogenheter, regelbundet följa upp att information, förfaranden samt hjälp- och problemlösningstjänster som finns tillgängliga genom ingången uppfyller kvalitetskraven i artiklarna 8–13 och 16. Uppföljningen ska ske med utgångspunkt i de data som samlas in i enlighet med artiklarna 24 och 25.

2.   I händelse av en försämring av kvaliteten på den information, de förfaranden samt de hjälp- eller problemlösningstjänster som avses i punkt 1, som tillhandahålls av de behöriga myndigheterna, ska kommissionen, med beaktande av hur allvarliga och bestående försämringarna är, vidta en eller flera av följande åtgärder:

a)

Underrätta den berörda nationella samordnaren och begära korrigerande åtgärder.

b)

Översända rekommendationer om åtgärder för att förbättra efterlevnaden av kvalitetskraven till samordningsgruppen för ingången för diskussion.

c)

Skicka en skrivelse med rekommendationer till den berörda medlemsstaten.

d)

Tillfälligt koppla bort informationen, förfarandet eller hjälp- och problemlösningstjänsten från ingången.

3.   Om en hjälp- eller problemlösningstjänst som det finns länkar till i enlighet med artikel 7.3 konsekvent misslyckas med att efterleva de krav som fastställs i artiklarna 11 och 16, eller inte längre uppfyller användarnas behov enligt de data som samlas in i enlighet med artiklarna 24 och 25, får kommissionen, efter samråd med den berörda nationella samordnaren och, vid behov, med samordningsgruppen för ingången koppla bort den från ingången.

KAPITEL IV

TEKNISKA LÖSNINGAR

Artikel 18

Gemensamt användargränssnitt

1.   Kommissionen ska, i nära samarbete med medlemsstaterna, tillhandahålla ett gemensamt användargränssnitt, integrerat i portalen Ditt Europa, för att säkerställa att ingången fungerar korrekt.

2.   Det gemensamma användargränssnittet ska ge tillgång till information, förfaranden samt hjälp- och problemlösningstjänster genom länkar till relevanta webbplatser eller webbsidor på unionsnivå och nationell nivå som ingår i det länkregister som avses i artikel 19.

3.   Medlemsstaterna och kommissionen ska, i överensstämmelse med sina respektive roller och ansvarsområden enligt artikel 4, säkerställa att information om regler och skyldigheter, om förfaranden och om hjälp- och problemlösningstjänster struktureras och märks ut på ett sätt som gör den lättare att hitta via det gemensamma användargränssnittet.

4.   Kommissionen ska säkerställa att det gemensamma användargränssnittet uppfyller följande kvalitetskrav:

a)

Det är lätt att använda.

b)

Det är tillgängligt online via olika elektroniska enheter.

c)

Det är utvecklat och optimerat för olika webbläsare.

d)

Det uppfyller följande webbtillgänglighetskrav: möjlighet att uppfatta, hanterbarhet, begriplighet och robust karaktär.

5.   Kommissionen får anta genomförandeakter om fastställande av kompatibilitetskrav för att göra det lättare att hitta informationen om regler och skyldigheter, om förfaranden och om hjälp- och problemlösningstjänster via det gemensamma användargränssnittet. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 37.2.

Artikel 19

Länkregister

1.   Kommissionen ska, i nära samarbete med medlemsstaterna, inrätta och underhålla ett elektroniskt länkregister till den information, de förfaranden samt de hjälp- och problemlösningstjänster som avses i artikel 2.2 varigenom förbindelse mellan dessa tjänster och det gemensamma användargränssnittet möjliggörs.

2.   Kommissionen ska i länkregistret tillhandahålla länkarna till den information, de förfaranden samt de hjälp- och problemlösningstjänster som finns tillgängliga på de webbsidor som förvaltas på unionsnivå, och ska se till att dessa länkar är korrekta och aktuella.

3.   De nationella samordnarna ska i länkregistret tillhandahålla länkarna till den information, de förfaranden samt de hjälp- och problemlösningstjänster som finns tillgängliga på de webbsidor som förvaltas av behöriga myndigheter eller privata eller halvprivata enheter enligt artikel 7.3, och ska se till att dessa länkar är korrekta och aktuella.

4.   När det är tekniskt möjligt får det tillhandahållande av länkar som avses i punkt 3 genomföras automatiskt mellan medlemsstaternas berörda tekniska system och länkregistret.

5.   Kommissionen ska göra informationen i länkregistret tillgänglig för allmänheten i ett öppet och maskinläsbart format.

6.   Kommissionen och de nationella samordnarna ska säkerställa att de länkar till information, förfaranden samt hjälp- och problemlösningstjänster som tillhandahålls genom ingången inte helt eller delvis innehåller några onödiga dubbletter eller överlappningar som kan skapa osäkerhet hos användarna.

7.   Om tillhandahållandet av den information som avses i artikel 4 föreskrivs i andra bestämmelser i unionsrätten får kommissionen och de nationella samordnarna tillhandahålla länkar till den informationen för att uppfylla kraven i den artikeln.

Artikel 20

Gemensam hjälptjänstsökare

1.   För att det ska bli lättare att få tillgång till de hjälp- och problemlösningstjänster som förtecknas i bilaga III eller avses i artikel 7.2 och 7.3 ska de behöriga myndigheterna och kommissionen säkerställa att användarna kommer åt dem via ett gemensamt sökverktyg för hjälp- och problemlösningstjänster (nedan kallat den gemensamma hjälptjänstsökaren) som finns tillgängligt genom ingången.

2.   Kommissionen ska utveckla och förvalta den gemensamma hjälptjänstsökaren, och besluta om med vilken struktur och i vilket format som beskrivningar av och kontaktuppgifter till hjälp- och problemlösningstjänster ska tillhandahållas, så att den gemensamma hjälptjänstsökaren kan fungera korrekt.

3.   De nationella samordnarna ska förse kommissionen med de beskrivningar och kontaktuppgifter som avses i punkt 2.

Artikel 21

Ansvar för IKT-programmet som stöder ingången

1.   Kommissionen ska ansvara för utveckling, tillgänglighet, övervakning, uppdatering, underhåll, säkerhet och värdskap i fråga om följande IKT-program och webbsidor:

a)

Portalen Ditt Europa som avses i artikel 2.1.

b)

Det gemensamma användargränssnitt som avses i artikel 18.1, inbegripet den sökmotor eller något annat IKT-verktyg som möjliggör sökning i webbinformation och webbtjänster.

c)

Det länkregister som avses i artikel 19.1.

d)

Den gemensamma hjälptjänstsökare som avses i artikel 20.1.

e)

De återkopplingsverktyg för användare som avses i artiklarna 25.1 och 26.1 a.

Kommissionen ska i nära samarbete med medlemsstaterna utveckla IKT-programmen.

2.   Medlemsstaterna ska ansvara för utveckling, tillgänglighet, övervakning, uppdatering, underhåll och säkerhet för IKT-program i samband med de nationella webbplatser och webbsidor som de förvaltar och som är kopplade till det gemensamma användargränssnittet.

KAPITEL V

MARKNADSFÖRING

Artikel 22

Namn, logotyp och kvalitetsmärke

1.   Det namn som ingången ska bli känd under och marknadsföras med för allmänheten ska vara Your Europe.

Den logotyp som ingången ska bli känd under och marknadsföras med för allmänheten ska beslutas av kommissionen i nära samarbete med samordningsgruppen för ingången, senast den 12 juni 2019.

Logotypen för ingången och en länk till ingången ska göras synlig och tillgänglig på relevanta webbplatser på unionsnivå och nationell nivå som är länkade till ingången.

2.   Som bevis på iakttagande av de kvalitetskrav som avses i artiklarna 9, 10 och 11 ska ingångens namn och logotyp även fungera som ett kvalitetsmärke. Ingångens logotyp ska dock endast användas som ett kvalitetsmärke på de webbplatser som finns med i det länkregister som avses i artikel 19.

Artikel 23

Marknadsföring

1.   Medlemsstaterna och kommissionen ska främja medvetenheten om och användningen av ingången bland privatpersoner och företag och säkerställa att ingången och dess information, förfarandensamt hjälp- och problemlösningstjänster är synliga för allmänheten och är lätta att hitta via sökmotorer som är tillgängliga för denna.

2.   Medlemsstaterna och kommissionen ska samordna sina marknadsföringsaktiviteter som avses i punkt 1 och hänvisa till ingången och använda dess logotyp i sådana aktiviteter, tillsammans med eventuella andra varumärkesnamn när så är lämpligt.

3.   Medlemsstaterna och kommissionen ska säkerställa att ingången är lätt att hitta genom de relaterade webbplatser som de ansvarar för, och att tydliga länkar till det gemensamma användargränssnittet finns tillgängliga på alla relevanta webbplatser på unionsnivå och nationell nivå.

4.   De nationella samordnarna ska främja ingången hos de nationella behöriga myndigheterna.

KAPITEL VI

INSAMLING AV ANVÄNDARÅTERKOPPLING OCH STATISTIK

Artikel 24

Användarstatistik

1.   I syfte att förbättra ingångens funktionalitet ska de behöriga myndigheterna och kommissionen säkerställa att det på ett sätt som garanterar användarnas anonymitet samlas in statistik om användarnas besök på ingången och på de webbsidor som ingången har länkar till.

2.   De behöriga myndigheterna, leverantörerna av hjälp- och problemlösningstjänster enligt artikel 7.3 och kommissionen ska samla in och i sammanställd form utbyta uppgifter om antal, ursprung och föremål för begäranden om hjälp- och problemlösningstjänster samt om deras svarstider.

3.   Statistik som samlas in i enlighet med punkterna 1 och 2 ska i fråga om den information, de förfaranden samt de hjälp- och problemlösningstjänster som ingången har länkar till omfattar följande datakategorier:

a)

Data om ingångsanvändarnas antal, ursprung och typ.

b)

Data om användarnas preferenser och resor.

c)

Data om informationens, förfarandenas samt hjälp- och problemlösningstjänsternas användbarhet och kvalitet samt om i vilken mån de är lätta att hitta.

Dessa data ska göras tillgängliga för allmänheten i ett öppet och allmänt använt maskinläsbart format.

4.   Kommissionen ska anta genomförandeakter om fastställande av metoden för insamling och utbyte av användarstatistik enligt punkterna 1, 2 och 3 i denna artikel. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 37.2.

Artikel 25

Användarnas återkoppling på ingångens tjänster

1.   I syfte att samla in information direkt från användarna om hur nöjda de är med de tjänster och den information som tillhandahålls genom ingången ska kommissionen via ingången förse användarna med ett användarvänligt återkopplingsverktyg som gör det möjligt att, så snart någon av de tjänster som avses i artikel 2.2 använts, anonymt lämna kommentarer om kvaliteten och tillgängligheten i fråga om de tjänster och den information som tillhandahålls genom ingången, samt det gemensamma användargränssnittet.

2.   De behöriga myndigheterna och kommissionen ska säkerställa att användare erbjuds verktyget från alla webbsidor som ingår i ingången.

3.   Kommissionen, de behöriga myndigheterna och de nationella samordnarna ska ha direktåtkomst till den användaråterkoppling som samlats in med hjälp av det verktyg som avses i punkt 1, för att åtgärda eventuella problem som tagits upp.

4.   De behöriga myndigheterna ska inte vara skyldiga att på de av sina webbsidor som ingår i ingången ge användare tillgång till det verktyg för användaråterkoppling som avses i punkt 1 om det på deras webbsidor, i syfte att övervaka tjänstekvaliteten, redan finns ett verktyg för användaråterkoppling med liknande funktioner som det verktyg för användaråterkoppling som avses i punkt 1. De behöriga myndigheterna ska samla in den användaråterkoppling som mottagits genom deras eget återkopplingsverktyg och dela den med kommissionen och med de nationella samordnarna i de andra medlemsstaterna.

5.   Kommissionen ska anta genomförandeakter om fastställande av regler för insamling och delning av användarnas återkoppling. Dessa genomförandeakter ska antas i enlighet med det granskningsförfarande som avses i artikel 37.2.

Artikel 26

Rapportering om den inre marknadens funktion

1.   Kommissionen ska

a)

förse ingångens användare med ett användarvänligt verktyg för att anonymt signalera och lämna synpunkter på hinder som de har stött på under utövandet av sina rättigheter på den inre marknaden,

b)

samla in information i sammanställd form från de hjälp- och problemlösningstjänster som utgör en del av ingången om föremålet för förfrågningar och svar.

2.   Kommissionen, de behöriga myndigheterna och de nationella samordnarna ska ha direktåtkomst till den återkoppling som samlats in i enlighet med punkt 1 a.

3.   Medlemsstaterna och kommissionen ska analysera och undersöka de problem som tas upp av användare enligt denna artikel och när så är möjligt åtgärda dem med lämpliga medel.

Artikel 27

Onlineöversikt

Kommissionen ska offentliggöra en anonymiserad sammanfattande onlineöversikt av de problem som framkommer av den information som samlas in i enlighet med artikel 26.1, den huvudsakliga användarstatistik som avses i artikel 24 och den centrala återkoppling som avses i artikel 25.

KAPITEL VII

FÖRVALTNING AV INGÅNGEN

Artikel 28

Nationella samordnare

1.   Varje medlemsstat ska utse en nationell samordnare. De nationella samordnarna ska utöver sina skyldigheter enligt artiklarna 7, 17, 19, 20, 23 och 25 göra följande:

a)

Inom sina respektive förvaltningar fungera som kontaktpunkt för alla frågor som rör ingången.

b)

Främja enhetlig tillämpning av artiklarna 9–16 av deras respektive behöriga myndigheter.

c)

Säkerställa att de rekommendationer som avses i artikel 17.2 c genomförs korrekt.

2.   Varje medlemsstat får dessutom, i enlighet med sin interna förvaltningsstruktur, utnämna ytterligare en eller flera samordnare i syfte att genomföra något av de uppdrag som anges i punkt 1. För varje medlemsstat ska en enda nationell samordnare ansvara för kontakter med kommissionen i alla frågor som rör ingången.

3.   Varje medlemsstat ska upplysa de andra medlemsstaterna och kommissionen om sin nationella samordnares namn och kontaktuppgifter.

Artikel 29

Samordningsgrupp

En samordningsgrupp (nedan kallad samordningsgruppen för ingången) inrättas härmed. Den ska bestå av en nationell samordnare från varje medlemsstat och ha en företrädare för kommissionen som ordförande. Den ska anta sin egen arbetsordning. Kommissionen ska tillhandahålla sekretariatet.

Artikel 30

Uppgifter för samordningsgruppen för ingången

1.   Samordningsgruppen för ingången ska stödja genomförandet av denna förordning. Den ska i synnerhet

a)

främja utbyte och regelbunden uppdatering av bästa praxis,

b)

uppmuntra antagande av förfaranden helt online utöver dem som ingår i bilaga II till denna förordning samt av metoder för autentisering, identifiering och underskrift online, särskilt de som föreskrivs i förordning (EU) nr 910/2014,

c)

diskutera förbättringar av den användarvänliga presentationen av information på de områden som förtecknas i bilaga I, särskilt på grundval av de data som samlas in i enlighet med artiklarna 24 och 25,

d)

bistå kommissionen vid utvecklingen av de gemensamma IKT-lösningar som ska stödja ingången,

e)

diskutera utkastet till årligt arbetsprogram,

f)

bistå kommissionen i övervakningen av genomförandet av det årliga arbetsprogrammet,

g)

diskutera ytterligare information som tillhandahålls i enlighet med artikel 5 i syfte att uppmuntra andra medlemsstater att tillhandahålla liknande information, där sådan är av relevans för användarna,

h)

bistå kommissionen i uppföljningen av efterlevnaden av de krav som anges i artiklarna 8–16, i enlighet med artikel 17,

i)

informera om genomförandet av artikel 6.1,

j)

diskutera åtgärder och rekommendera dem till de behöriga myndigheterna och kommissionen i syfte att undvika eller eliminera onödig överlappning av de tjänster som är tillgängliga genom ingången,

k)

lämna yttranden om förfaranden eller åtgärder för att effektivt ta itu med eventuella problem med tjänsternas kvalitet som användarna har tagit upp eller förslag på hur de kan förbättras,

l)

diskutera tillämpningen av principerna om inbyggd säkerhet och inbyggt integritetsskydd inom ramen för denna förordning,

m)

diskutera frågor med anknytning till den insamling av användaråterkoppling och statistik som avses i artiklarna 24 och 25, i syfte att kontinuerligt förbättra de tjänster som erbjuds på unionsnivå och nationell nivå,

n)

diskutera frågor som rör kvalitetskraven för de tjänster som erbjuds genom ingången,

o)

utbyta bästa praxis och bistå kommissionen när det gäller hur de tjänster som avses i artikel 2.2 organiseras, struktureras och presenteras, så att det gemensamma användargränssnittet kan fungera korrekt,

p)

främja utveckling och genomförande av den samordnade marknadsföringen,

q)

samarbeta med de styrande organen eller nätverken för tjänster för information, hjälp och problemlösning,

r)

tillhandahålla vägledning om ett eller flera ytterligare officiella unionsspråk som ska användas av nationella behöriga myndigheter i enlighet med artiklarna 9.2, 10.4, 11.2 och 13.2 a.

2.   Kommissionen får rådgöra med samordningsgruppen för ingången i alla frågor som rör tillämpningen av denna förordning.

Artikel 31

Årligt arbetsprogram

1.   Kommissionen ska anta det årliga arbetsprogrammet, där särskilt följande ska anges:

a)

Åtgärder för att förbättra presentationen av specifik information på de områden som förtecknas i bilaga I och åtgärder för att underlätta för behöriga myndigheter på alla nivåer, även kommunal, att i rätt tid fullgöra skyldigheten att tillhandahålla information.

b)

Åtgärder för att underlätta att artiklarna 6 och 13 följs.

c)

Åtgärder som krävs för att säkerställa att kraven i artiklarna 9–12 uppfylls.

d)

Åtgärder som rör marknadsföringen av ingången i enlighet med artikel 23.

2.   När kommissionen förbereder utkastet till årligt arbetsprogram ska den ta hänsyn till användarstatistik och användaråterkoppling som samlats in i enlighet med artiklarna 24 och 25 och till eventuella förslag från medlemsstaterna. Innan det antas ska kommissionen översända utkastet till årligt arbetsprogram till samordningsgruppen för ingången för diskussion.

KAPITEL VIII

SLUTBESTÄMMELSER

Artikel 32

Kostnader

1.   Europeiska unionens allmänna budget ska täcka kostnaderna för

a)

utveckling och underhåll av de IKT-verktyg som stöder genomförandet av denna förordning på unionsnivå,

b)

marknadsföring av ingången på unionsnivå,

c)

översättning av information, förklaringar och instruktioner i enlighet med artikel 12 inom ramen för en största årlig volym per medlemsstat, utan att det påverkar eventuell omfördelning där detta är nödvändigt för att möjliggöra fullt utnyttjande av de tillgängliga budgetmedlen.

2.   Kostnaderna i samband med nationella webbportaler, informationsplattformar, hjälptjänster och förfaranden som inrättats på medlemsstatsnivå ska tas från respektive medlemsstats budget, såvida inget annat föreskrivs i unionslagstiftningen.

Artikel 33

Skydd av personuppgifter

Behandlingen av personuppgifter av behöriga myndigheter inom ramen för denna förordning ska överensstämma med förordning (EU) 2016/679. Kommissionens behandling av personuppgifter inom ramen för denna förordning ska överensstämma med bestämmelserna i förordning (EU) 2018/1725.

Artikel 34

Samarbete med andra informations- och hjälpnätverk

1.   Efter samråd med medlemsstaterna ska kommissionen besluta vilka befintliga informella styrformer för de hjälp- och problemlösningstjänster som förtecknas i bilaga III eller för några andra informationsområden som omfattas av bilaga I som ska omfattas av samordningsgruppen för ingångens ansvar.

2.   Om tjänsterna eller nätverken för information och hjälp har skapats genom en rättsligt bindande unionsakt för något av de informationsområden som omfattas av bilaga I, ska kommissionen samordna arbetet för samordningsgruppen för ingången och de styrande organen för dessa tjänster eller nätverk i syfte att uppnå synergieffekter och undvika överlappningar.

Artikel 35

Informationssystemet för den inre marknaden

1.   Det informationssystem för den inre marknaden (IMI) som inrättades genom förordning (EU) nr 1024/2012 ska användas vid tillämpningen av och i enlighet med artiklarna 6.4 och 15.

2.   Kommissionen får besluta att använda IMI som det elektroniska länkregister som avses i artikel 19.1.

Artikel 36

Rapportering och översyn

Senast den 12 december 2022 och därefter vartannat år ska kommissionen se över tillämpningen av denna förordning och överlämna en utvärderingsrapport till Europaparlamentet och rådet om hur ingången fungerar och om hur den inre marknaden fungerar med utgångspunkt i den statistik och återkoppling som samlats in i enlighet med artiklarna 24, 25 och 26. Vid översynen ska särskilt räckvidden av artikel 14 utvärderas med beaktande av den tekniska, marknadsrelaterade och juridiska utvecklingen när det gäller utbyte av bevis mellan behöriga myndigheter.

Artikel 37

Kommittéförfarande

1.   Kommissionen ska biträdas av en kommitté. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.   När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

Artikel 38

Ändring av förordning (EU) nr 1024/2012

Förordning (EU) nr 1024/2012 ska ändras på följande sätt:

1.

Artikel 1 ska ersättas med följande:

”Artikel 1

Syfte

I denna förordning fastställs regler för användningen av informationssystemet för den inre marknaden (nedan kallat IMI), för administrativt samarbete mellan IMI-aktörer, inbegripet behandling av personuppgifter.”

2.

Artikel 3.1 ska ersättas med följande:

”1.   IMI ska användas för utbyte av information, inbegripet personuppgifter, mellan IMI-aktörerna och för behandling av den informationen för något av följande syften:

a)

Administrativt samarbete som krävs enligt de akter som förtecknas i bilagan.

b)

Administrativt samarbete som ingår i ett pilotprojekt som genomförs i enlighet med artikel 4.”

3.

I artikel 5 ska andra stycket ändras på följande sätt:

a)

Led a ska ersättas med följande:

”a)

IMI: det elektroniska verktyg som kommissionen tillhandahåller för att underlätta administrativt samarbete mellan IMI-aktörerna.”

b)

Led b ska ersättas med följande:

”b)

administrativt samarbete: samarbete mellan IMI-aktörer genom utbyte och behandling av information i syfte att bättre tillämpa unionsrätten.”

c)

Led g ska ersättas med följande:

”g)

IMI-aktörer: behöriga myndigheter, IMI-samordnare, kommissionen och unionens organ och byråer.”

4.

I artikel 8.1 ska följande led läggas till:

”f)

säkerställa samordning med unionens organ och byråer och bevilja dem tillträde till IMI.”

5.

Artikel 9.4 ska ersättas med följande:

”4.   Lämpliga medel ska inrättas av medlemsstaterna, kommissionen och unionens organ och byråer för att se till att IMI-användarna får tillgång till de personuppgifter som behandlas i IMI endast i de fall det föreligger ett behov och endast inom de områden av den inre marknaden för vilka de har beviljats tillträdesrättigheter enligt punkt 3.”

6.

Artikel 21 ska ändras på följande sätt:

a)

Punkt 2 ska ersättas med följande:

”2.   Europeiska datatillsynsmannen ska ansvara för att övervaka och säkerställa att behandling av personuppgifter som utförs av kommissionen eller unionens organ eller byråer, i deras roll som IMI-aktörer, sker i enlighet med denna förordning. De uppgifter och befogenheter som avses i artiklarna 57 och 58 i förordning (EU) 2018/1725 (*1) ska gälla.

(*1)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295 av den 21.11.2018, s. 39).”"

b)

Punkt 3 ska ersättas med följande:

”3.   De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, båda inom sina respektive befogenheter, samarbeta med varandra för att säkerställa en samordnad övervakning av IMI och IMI-aktörernas användning av IMI i enlighet med artikel 62 i förordning (EU) 2018/1725.”

c)

Punkt 4 ska utgå.

7.

Artikel 29.1 ska utgå.

8.

I bilagan ska följande punkter läggas till:

”11.

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (*2): artiklarna 56, 60–66 och 70.1.

12.

Europaparlamentets och rådets förordning (EU) 2018/1725 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för att erbjuda tillgång till information, till förfaranden samt till hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 (*3): artiklarna 6.4, 15 och 19.

(*2)  EUT L 119, 4.5.2016, s. 1."

(*3)  EUT L 295, 21.11.2018, s. 39.”"

Artikel 39

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Artiklarna 2, 4, 7–12, 16, 17, 18.1–18.4, 19, 20, 24.1, 24.2, 24.3, 25.1–25.4, 26 och 27 ska tillämpas från och med den 12 december 2020.

Artiklarna 6, 13, 14.1–14.8, 14.10 och 15 ska tillämpas från och med den 12 december 2023.

Utan hinder av datumet för tillämpning av artiklarna 2, 9, 10, och 11 ska kommunala myndigheter göra den information, de förklaringar och de instruktioner som avses i dessa artiklar tillgängliga senast den 12 december 2022.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Strasbourg den 2 oktober 2018.

På Europaparlamentets vägnar

A. TAJANI

Ordförande

På rådets vägnar

J. BOGNER-STRAUSS

Ordförande


(1)  EUT C 81, 2.3.2018, s. 88.

(2)  Europaparlamentets ståndpunkt av den 13 september 2018 (ännu ej offentliggjord i EUT) och rådets beslut av den 27 september 2018.

(3)  Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (EUT L 376, 27.12.2006, s. 36).

(4)  Europaparlamentets och rådets förordning (EG) nr 764/2008 av den 9 juli 2008 om förfaranden för tillämpning av vissa nationella tekniska regler på produkter som lagligen saluförts i en annan medlemsstat och om upphävande av beslut nr 3052/95/EG (EUT L 218, 13.8.2008, s. 21).

(5)  Europaparlamentets och rådets förordning (EU) nr 305/2011 av den 9 mars 2011 om fastställande av harmoniserade villkor för saluföring av byggprodukter och om upphävande av rådets direktiv 89/106/EEG (EUT L 88, 4.4.2011, s. 5).

(6)  Europaparlamentets och rådets direktiv 2005/36/EG av den 7 september 2005 om erkännande av yrkeskvalifikationer (EUT L 255, 30.9.2005, s. 22).

(7)  Kommissionens rekommendation 2013/461/EU av den 17 september 2013 om principerna för Solvit (EUT L 249, 19.9.2013, s. 10).

(8)  Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG (EUT L 94, 28.3.2014, s. 65).

(9)  Europaparlamentets och rådets direktiv 2014/25/EU av den 26 februari 2014 om upphandling av enheter som är verksamma på områdena vatten, energi, transporter och posttjänster och om upphävande av direktiv 2004/17/EG (EUT L 94, 28.3.2014, s. 243).

(10)  Europaparlamentets och rådets förordning (EU) 2016/589 av den 13 april 2016 om ett europeiskt nätverk för arbetsförmedlingar (Eures), om arbetstagares tillgång till rörlighetstjänster och om ytterligare integration av arbetsmarknaderna samt om ändring av förordningarna (EU) nr 492/2011 och (EU) nr 1296/2013 (EUT L 107, 22.4.2016, s. 1).

(11)  Rådets beslut 2001/470/EG av den 28 maj 2001 om inrättandet av ett europeiskt rättsligt nätverk på privaträttens område (EGT L 174, 27.6.2001, s. 25).

(12)  Europaparlamentets och rådets direktiv 2014/67/EU av den 15 maj 2014 om tillämpning av direktiv 96/71/EG om utstationering av arbetstagare i samband med tillhandahållande av tjänster och om ändring av förordning (EU) nr 1024/2012 om administrativt samarbete genom informationssystemet för den inre marknaden (IMI-förordningen) (EUT L 159, 28.5.2014, s. 11).

(13)  Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EUT L 257, 28.8.2014, s. 73).

(14)  Europaparlamentets och rådets förordning (EG) nr 883/2004 av den 29 april 2004 om samordning av de sociala trygghetssystemen (EUT L 166, 30.4.2004, s. 1).

(15)  Europaparlamentets och rådets förordning (EG) nr 987/2009 av den 16 september 2009 om tillämpningsbestämmelser till förordning (EG) nr 883/2004 om samordning av de sociala trygghetssystemen (EUT L 284, 30.10.2009, s. 1).

(16)  Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer (EUT L 327, 2.12.2016, s. 1).

(17)  Rådets beslut 2010/48/EG av den 26 november 2009 om ingående från Europeiska gemenskapens sida av Förenta nationernas konvention om rättigheter för personer med funktionsnedsättning (EUT L 23, 27.1.2010, s. 35).

(18)  Europaparlamentets och rådets förordning (EU) nr 260/2012 av den 14 mars 2012 om antagande av tekniska och affärsmässiga krav för betalningar och autogireringar i euro och om ändring av förordning (EG) nr 924/2009 (EUT L 94, 30.3.2012, s. 22).

(19)  Europaparlamentets och rådets förordning (EU) nr 1024/2012 av den 25 oktober 2012 om administrativt samarbete genom informationssystemet för den inre marknaden och om upphävande av kommissionens beslut 2008/49/EG (IMI-förordningen) (EUT L 316, 14.11.2012, s. 1).

(20)  Europaparlamentets och rådets förordning (EU) 2016/1191 av den 6 juli 2016 om främjande av medborgares fria rörlighet genom förenkling av kraven på framläggande av vissa officiella handlingar i Europeiska unionen och om ändring av förordning (EU) nr 1024/2012 (EUT L 200, 26.7.2016, s. 1).

(21)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(22)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (se sidan 39 i detta nummer av EUT).

(23)  Europaparlamentets och rådets förordning (EU) nr 1316/2013 av den 11 december 2013 om inrättande av Fonden för ett sammanlänkat Europa, om ändring av förordning (EU) nr 913/2010 och om upphävande av förordningarna (EG) nr 680/2007 och (EG) nr 67/2010 (EUT L 348, 20.12.2013, s. 129).

(24)  Europaparlamentets och rådets direktiv (EU) 2017/1132 av den 14 juni 2017 om vissa aspekter av bolagsrätt (EUT L 169, 30.6.2017, s. 46).

(25)  Europaparlamentets och rådets förordning (EU) 2015/848 av den 20 maj 2015 om insolvensförfaranden (EUT L 141, 5.6.2015, s. 19).

(26)  Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

(27)  Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

(28)  Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

(29)  Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

(30)  EUT C 340, 11.10.2017, s. 6.


BILAGA I

Förteckning över informationsområden som är relevanta för privatpersoner och företag som utövar sina rättigheter på den inre marknaden enligt artikel 2.2 a

Informationsområden som rör privatpersoner:

Område

INFORMATION OM RÄTTIGHETER, SKYLDIGHETER OCH REGLER ENLIGT UNIONSRÄTT OCH NATIONELL RÄTT

A.

Resor inom unionen

1.

handlingar som unionsmedborgare, deras familjemedlemmar som inte är unionsmedborgare, barn som reser ensamma och personer som inte är unionsmedborgare behöver ha när de reser över landsgränser inom unionen (id-kort, visum, pass)

2.

rättigheter och skyldigheter för personer som reser med flyg, tåg, fartyg eller buss inom och från unionen, och för resenärer som köper paketresor eller sammanlänkade researrangemang

3.

hjälp till personer med nedsatt rörlighet som reser inom och från unionen

4.

transport av djur, växter, alkohol, tobak, cigaretter och andra varor vid resor inom unionen

5.

röstsamtal och sändning och mottagning av elektroniska meddelanden och elektroniska data inom unionen

B.

Arbete och pension inom unionen

1.

söka arbete i en annan medlemsstat

2.

påbörja en anställning i en annan medlemsstat

3.

erkännande av kvalifikationer med avsikt på anställning i en annan medlemsstat

4.

beskattning i en annan medlemsstat

5.

regler om ansvarsskyldighet och obligatorisk försäkring med anknytning till hemvist eller arbete i en annan medlemsstat

6.

anställningsvillkor – även för utstationerade arbetstagare – såsom de fastställs i lag eller lagstiftningsinstrument (inklusive information om arbetstider, betald ledighet, semesterrätt, rättigheter och skyldigheter när det gäller övertidsarbete, hälsokontroller, uppsägning av kontrakt, avskedande och friställning)

7.

likabehandling (regler som förbjuder diskriminering på arbetsplatsen, regler om lika lön för kvinnor och män och om lika lön för anställda med tidsbegränsad anställning eller anställda med tillsvidareanställning)

8.

hälso- och säkerhetskrav i samband med olika typer av verksamhet

9.

rättigheter och skyldigheter när det gäller socialförsäkring i unionen, inklusive erhållande av pension

C.

Fordon i unionen

1.

ta ett motorfordon till en annan medlemsstat tillfälligt eller permanent

2.

erhålla och förnya ett körkort

3.

teckna en obligatorisk motorfordonsförsäkring

4.

köpa och sälja ett motorfordon i en annan medlemsstat

5.

nationella trafikregler och krav för förare, inbegripet allmänna regler för användning av nationell väginfrastruktur: tidsbaserade avgifter (vinjett), avståndsbaserade avgifter (vägtull), klistermärken för utsläpp

D.

Bosättning i en annan medlemsstat

1.

tillfällig eller permanent flytt till en annan medlemsstat

2.

förvärv och försäljning av fast egendom, inbegripet villkor och skyldigheter med anknytning till beskattning, ägande eller användning av sådan egendom, även användning av denna som en andra bostad

3.

deltagande i kommunala val och val till Europaparlamentet

4.

krav på uppehållskort för unionsmedborgare och deras familjemedlemmar, inklusive familjemedlemmar som inte är unionsmedborgare

5.

villkor tillämpliga på naturalisering av personer från en annan medlemsstat

6.

regler tillämpliga vid dödsfall, inbegripet regler om hemtransport av avliden till en annan medlemsstat

E.

Utbildning eller praktik i en annan medlemsstat

1.

utbildningssystem i en annan medlemsstat, även förskoleverksamhet och barnomsorg, grundskola och gymnasium, högre utbildning och vuxenutbildning

2.

volontärarbete i en annan medlemsstat

3.

praktik i en annan medlemsstat

4.

bedrivande av forskning i en annan medlemsstat som en del av ett utbildningsprogram

F.

Hälso- och sjukvård

1.

få läkarvård i en annan medlemsstat

2.

köpa receptbelagda läkemedel i en annan medlemsstat än den medlemsstat där receptet utfärdades, online eller personligen

3.

sjukförsäkringsregler tillämpliga vid kortare eller längre vistelse i en annan medlemsstat, inbegripet regler för hur man beställer ett europeiskt sjukförsäkringskort

4.

allmän information om rätten till tillgång samt skyldigheter i fråga om att delta i allmänt tillgängliga förebyggande hälso- och sjukvårdsåtgärder

5.

tjänster som tillhandahålls genom nationella larmnummer, däribland numren 112 och 116

6.

rättigheter och villkor i samband med flytt till omsorgsboende

G.

Gräns-överskridande rättigheter, skyldigheter och regler för medborgare och familjer

1.

födsel, vårdnad av minderåriga barn, föräldraansvar, regler för surrogatmoderskap och adoption, inbegripet närståendeadoption, underhållsskyldigheter för barn i en gränsöverskridande familjesituation

2.

sammanlevande par av olika nationaliteter, däribland samkönade par (giftermål, registrerat partnerskap, separation, skilsmässa, makars egendomsrättigheter, sambors rättigheter)

3.

regler för erkännande av könstillhörighet

4.

rättigheter och skyldigheter i samband med arv i en annan medlemsstat, inbegripet skatteregler

5.

rättigheter och regler tillämpliga vid gränsöverskridande bortförande av barn

H.

Konsument-rättigheter

1.

köp av varor, digitalt innehåll eller tjänster (inbegripet finansiella sådana) från en annan medlemsstat, online eller personligen

2.

innehav av ett bankkonto i en annan medlemsstat

3.

anslutning till allmännyttiga tjänster som gas, el, vatten, bortskaffande av hushållsavfall, telefoni och internet

4.

betalningar, inbegripet gireringar, förseningar av gränsöverskridande betalningar

5.

konsumenternas rättigheter och garantier i samband med köp av varor och tjänster, inbegripet förfaranden för lösning av konsumenttvister och gottgörelse i detta sammanhang

6.

konsumentprodukters säkerhet

7.

hyra ett motorfordon

I.

Skydd av personuppgifter

1.

utövande av de registrerades rättigheter med avseende på skydd av personuppgifter

Informationsområden som rör företag:

Område

INFORMATION OM RÄTTIGHETER, SKYLDIGHETER OCH REGLER

J.

Starta, driva och avveckla ett företag

1.

registrera, förändra den rättsliga formen för eller avveckla ett företag (registreringsförfaranden och juridiska former för affärsverksamhet)

2.

omlokalisering av ett företag till en annan medlemsstat

3.

immateriella rättigheter (ansöka om patent, registrera ett varumärke, en ritning eller en konstruktion, erhålla en licens för återgivning)

4.

rättvisa och öppenhet i affärsmetoder, inklusive konsumenternas rättigheter och garantier i samband med köp av varor och tjänster

5.

tillhandahållande av onlinefunktioner för gränsöverskridande betalningar vid försäljning av varor och tjänster online

6.

rättigheter och skyldigheter enligt avtalsrätten, inklusive dröjsmålsränta

7.

insolvensförfaranden och likvidation av företag

8.

kreditförsäkring

9.

företagsfusioner eller försäljning av företag

10.

civilrättsligt ansvar för företagsledare

11.

regler och skyldigheter med avseende på behandling av personuppgifter

K.

Personal

1.

anställningsvillkor fastställda i lag eller nationell sekundärrätt (inklusive arbetstider, betald ledighet, semesterrätt, rättigheter och skyldigheter när det gäller övertidsarbete, hälsokontroller, uppsägning av kontrakt, avskedande och friställning)

2.

rättigheter och skyldigheter när det gäller socialförsäkring i unionen (registrera sig som arbetsgivare, registrera anställda, meddela uppsägning av en anställds kontrakt, betala sociala avgifter, rättigheter och skyldigheter i samband med pensioner)

3.

anställning av arbetstagare i andra medlemsstater (utstationering av arbetstagare, regler om frihet att tillhandahålla tjänster, krav på bosättning för arbetstagare)

4.

likabehandling (regler som förbjuder diskriminering på arbetsplatsen, lika lön för kvinnor och män, lika lön för anställda med tidsbegränsad anställning eller anställda med tillsvidareanställning)

5.

regler om personalrepresentation

L.

Skatter

1.

moms: information om allmänna regler, momssatser och momsbefrielser, momsregistrering och momsbetalning, återbetalning av moms

2.

punktskatter: information om allmänna regler, skattesatser och undantag, registrering för och betalning av punktskatt, återbetalning av punktskatt

3.

tull och andra skatter och avgifter som tas ut på import

4.

tullförfaranden vid import och export enligt unionens tullkodex

5.

övriga skatter: betalning, skattesatser, deklarationer

M.

Varor

1.

erhållande av CE-märkning

2.

regler och krav i samband med produkter

3.

identifiering av tillämpliga standarder, tekniska specifikationer och certifiering av produkter

4.

ömsesidigt erkännande av produkter som inte omfattas av unionens specifikationer

5.

krav avseende klassificering, märkning och förpackning för farliga kemikalier

6.

distansförsäljning/försäljning utanför fasta affärslokaler: förhandsinformation som ska lämnas till kunderna, skriftlig bekräftelse av avtal, frånträdande av avtal, varuleverans, andra specifika skyldigheter

7.

defekta produkter: konsumenternas rättigheter och garantier, ansvar efter försäljningen, rättsmedel för en skadelidande part

8.

certifiering, märkning (Emas, energimärkningar, ekodesign, EU-miljömärket)

9.

återvinning och avfallshantering

N.

Tjänster

1.

erhålla licenser, godkännande eller tillstånd för att starta och driva ett företag

2.

underrätta myndigheterna om gränsöverskridande verksamhet

3.

erkännande av yrkeskvalifikationer, inbegripet yrkesutbildning

O.

Finansiera ett företag

1.

få tillgång till finansiering på unionsnivå, inklusive unionens finansieringsprogram och företagsstöd

2.

få tillgång till finansiering på nationell nivå

3.

initiativ som riktar sig till företagare (utbyten som anordnas för nya företagare, mentorprogram osv.)

P.

Offentlig upphandling

1.

deltagande i offentliga upphandlingar: regler och förfaranden

2.

lämna anbud online i ett offentligt anbudsförfarande

3.

rapportera oriktigheter i samband med anbudsförfarandet

Q.

Arbetsmiljö

1.

arbetsmiljökrav i samband med olika typer av verksamhet, inklusive riskförebyggande, information och utbildning


BILAGA II

Förfaranden som avses i artikel 6.1

Livshändelser

Förfaranden

Förväntat resultat med förbehåll för den behöriga myndighetens bedömning av ansökan i enlighet med nationell rätt, där så är relevant

Födelse

Ansöka om bevis om registrering av födelse

Bevis om registrering av födelse eller födelsebevis

Hemvist

Ansöka om bevis för bosättning

Bekräftelse på aktuell folkbokföringsadress

Studera

Ansöka om studiefinansiering för tertiär utbildning, t.ex. studiebidrag och studielån, från ett offentligt organ eller en offentlig institution

Beslut om ansökan om finansiering eller mottagningsbevis

Lämna in inledande ansökan om antagning till en offentlig inrättning för högre utbildning

Bekräftelse på mottagande av ansökan

Ansöka om akademiskt erkännande av examensbevis, utbildningsbevis eller andra bevis på fullgjorda studier eller kurser

Beslut om ansökan om erkännande

Arbeta

Ansöka om beslut om fastställande av tillämplig lagstiftning i enlighet med avdelning II i förordning (EG) nr 883/2004 (1)

Beslut om tillämplig lagstiftning

Anmäla ändrade personliga eller yrkesrelaterade förhållanden avseende den person som erhåller sociala trygghetsförmåner, vilka är relevanta för sådana förmåner

Bekräftelse på mottagande av anmälan om ändring

Ansöka om europeiskt sjukförsäkringskort

Europeiskt sjukförsäkringskort

Lämna in en inkomstskattedeklaration

Bekräftelse på mottagande av deklarationen

Flytta

Anmäla adressändring

Bekräftelse på avregistrering från den gamla adressen och registrering på den nya adressen

Registrera ett motorfordon som ursprungligen kommer från eller redan är registrerat i en medlemsstat, enligt standardförfaranden (2)

Bevis på motorfordonsregistrering

Erhållande av klistermärken för användning av nationell väginfrastruktur: tidsbaserade avgifter (vinjett), avståndsbaserade avgifter (vägtull), klistermärken för utsläpp utfärdade av ett offentligt organ eller en offentlig institution

Mottagande av vägtullsmärke eller vinjett eller annat bevis på betalning

Erhållande av klistermärken för utsläpp utfärdade av ett offentligt organ eller en offentlig institution

Mottagande av klistermärke för utsläpp eller annat bevis på betalning

Gå i pension

Ansöka om pension och förmåner vid förtida pensionering från obligatoriska system

Bekräftelse på mottagning av ansökan eller beslut om ansökan om pension eller förmåner vid förtida pensionering

Begära ut information om uppgifter med anknytning till pension från obligatoriska system

Redovisning av personliga pensionsuppgifter

Starta företag och bedriva affärsverksamhet

Anmälan av affärsverksamhet, tillstånd för affärsverksamhet, ändring av affärsverksamhet och avslutande av affärsverksamhet utan insolvens- eller likvidationsförfaranden, undantaget inledande registrering av affärsverksamhet i företagsregistret och undantaget förfaranden för bildande eller senare anmälan av bolag i den mening som avses i artikel 54 andra stycket i EUF-fördraget

Bekräftelse på mottagande av anmälan eller ändring av – eller av ansökan om tillstånd för – affärsverksamhet

Registrera en arbetsgivare (en fysisk person) i ett obligatoriskt pensions- och försäkringssystem

Bekräftelse på registrering eller socialförsäkringsnummer

Registrera anställda i ett obligatoriskt pensions- och försäkringssystem

Bekräftelse på registrering eller socialförsäkringsnummer

Lämna in en bolagsskattedeklaration

Bekräftelse på mottagande av deklarationen

Meddela socialförsäkringssystemet när en anställds kontrakt avslutas, dock ej förfaranden för kollektivt avslutande av anställningskontrakt

Bekräftelse på mottagande av meddelandet

Betala sociala avgifter för anställda

Kvitto eller annan form av bekräftelse på betalningen av sociala avgifter för anställda


(1)  Europaparlamentets och rådets förordning (EG) nr 883/2004 av den 29 april 2004 om samordning av de sociala trygghetssystemen (EUT L 166, 30.4.2004, s. 1).

(2)  Detta omfattar följande fordon: a) motorfordon och släpvagnar enligt artikel 3 i Europaparlamentets och rådets direktiv 2007/46/EG (EUT L 263, 9.10.2007, s. 1) och b) två- och trehjuliga motorfordon – även sådana med tvillinghjul – som är avsedda för vägtrafik enligt artikel 1 i Europaparlamentets och rådets förordning (EU) nr 168/2013 (EUT L 60, 2.3.2013, s. 52).


BILAGA III

Förteckning över de hjälp- och problemlösningstjänster som avses i artikel 2.2 c

1.

Gemensamma kontaktpunkter (1)

2.

Kontaktpunkter för produkter (2)

3.

Kontaktpunkter för byggprodukter (3)

4.

Nationella rådgivningscentrum för yrkeskvalifikationer (4)

5.

Nationella kontaktpunkter för gränsöverskridande hälso- och sjukvård (5)

6.

Europeiska nätverket för arbetsförmedlingar (Eures) (6)

7.

Tvistlösning online (7)


(1)  Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden (EUT L 376, 27.12.2006, s. 36).

(2)  Europaparlamentets och rådets förordning (EG) nr 764/2008 av den 9 juli 2008 om förfaranden för tillämpning av vissa nationella tekniska regler på produkter som lagligen saluförts i en annan medlemsstat och om upphävande av beslut nr 3052/95/EG (EUT L 218, 13.8.2008, s. 21).

(3)  Europaparlamentets och rådets förordning (EU) nr 305/2011 av den 9 mars 2011 om fastställande av harmoniserade villkor för saluföring av byggprodukter och om upphävande av rådets direktiv 89/106/EEG (EUT L 88, 4.4.2011, s. 5).

(4)  Europaparlamentets och rådets direktiv 2005/36/EG av den 7 september 2005 om erkännande av yrkeskvalifikationer (EUT L 255, 30.9.2005, s. 22).

(5)  Europaparlamentets och rådets direktiv 2011/24/EU av den 9 mars 2011 om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård (EUT L 88, 4.4.2011, s. 45).

(6)  Europaparlamentets och rådets förordning (EU) 2016/589 av den 13 april 2016 om ett europeiskt nätverk för arbetsförmedlingar (Eures), om arbetstagares tillgång till rörlighetstjänster och om ytterligare integration av arbetsmarknaderna samt om ändring av förordningarna (EU) nr 492/2011 och (EU) nr 1296/2013 (EUT L 107, 22.4.2016, s. 1).

(7)  Europaparlamentets och rådets förordning (EU) nr 524/2013 av den 21 maj 2013 om tvistlösning online vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (förordningen om tvistlösning online vid konsumenttvister) (EUT L 165, 18.6.2013, s. 1).


21.11.2018   

SV

Europeiska unionens officiella tidning

L 295/39


EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2018/1725

av den 23 oktober 2018

om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

i enlighet med det ordinarie lagstiftningsförfarandet (2), och

av följande skäl:

(1)

Skyddet för fysiska personer med avseende på behandling av personuppgifter är en grundläggande rättighet. I artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Denna rättighet garanteras även i artikel 8 i den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(2)

Europaparlamentets och rådets förordning (EG) nr 45/2001 (3) föreskriver verkställbara rättigheter för fysiska personer, anger de skyldigheter avseende behandling av personuppgifter som åligger personuppgiftsansvariga inom gemenskapsinstitutionerna och gemenskapsorganen, och inrättar en oberoende tillsynsmyndighet, Europeiska datatillsynsmannen, vars uppgift är att övervaka behandlingen av personuppgifter vid unionens institutioner och unionsorgan. Den är emellertid inte tillämplig på behandling av personuppgifter som utgör ett led i sådan verksamhet vid unionsinstitutioner eller unionsorgan vilken inte omfattas av unionsrätten.

(3)

Europaparlamentets och rådets förordning (EU) 2016/679 (4) och Europaparlamentets och rådets direktiv (EU) 2016/680 (5) antogs den 27 april 2016. Medan förordningen fastställer allmänna regler som syftar till att skydda fysiska personer med avseende på behandling av personuppgifter och att säkerställa det fria flödet av personuppgifter inom unionen, fastställs i direktivet särskilda regler som syftar till att skydda fysiska personer med avseende på behandlingen av personuppgifter och att säkerställa det fria flödet av personuppgifter inom unionen på området för straffrättsligt samarbete och polissamarbete.

(4)

I förordning (EU) 2016/679 föreskrivs anpassningar av förordning (EG) nr 45/2001 för att säkerställa en stark och sammanhängande ram för dataskyddet inom unionen och för att göra det möjligt att tillämpa den parallellt med förordning (EU) 2016/679.

(5)

För att främja en konsekvent strategi för skyddet av personuppgifter i hela unionen och för det fria flödet av personuppgifter inom unionen är det viktigt att så långt som möjligt anpassa de regler om skydd av personuppgifter som gäller för unionens institutioner, organ och byråer till de regler om skydd för personuppgifter som har antagits för den offentliga sektorn i medlemsstaterna. När en bestämmelse i denna förordning följer samma principer som en bestämmelse i förordning (EU) 2016/679 bör dessa båda bestämmelser, enligt rättspraxis från Europeiska unionens domstol (nedan kallad domstolen), tolkas enhetligt, särskilt eftersom den systematik som denna förordning bygger på bör uppfattas som en motsvarighet till systematiken bakom förordning (EU) 2016/679.

(6)

Personer vars personuppgifter behandlas av unionsinstitutioner och unionsorgan bör skyddas, oavsett i vilket sammanhang behandlingen sker, till exempel därför att dessa personer är anställda av dessa institutioner och organ. Denna förordning bör inte vara tillämplig på behandling av personuppgifter som rör avlidna personer. Denna förordning omfattar inte behandling av personuppgifter rörande juridiska personer, särskilt företag som bildats som juridiska personer, exempelvis uppgifter om namn på och typ av juridisk person samt kontaktuppgifter.

(7)

För att förhindra att det uppstår en allvarlig risk för att reglerna kringgås bör skyddet för fysiska personer vara teknikneutralt och inte vara beroende av den teknik som används.

(8)

Denna förordning bör vara tillämplig på behandling av personuppgifter som utförs av alla unionens institutioner, organ och byråer. Den bör vara tillämplig på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av sådana personuppgifter som ingår i eller är avsedda att ingå i ett register. Akter eller grupper av akter samt omslag till dessa, som inte är ordnade enligt särskilda kriterier, bör inte omfattas av denna förordning.

(9)

I förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att det med hänsyn till detta områdes särart kan komma att bli nödvändigt att anta särskilda regler om skydd av personuppgifter och om det fria flödet av personuppgifter på området för straffrättsligt samarbete och polissamarbete med stöd av artikel 16 i EUF-fördraget. Ett särskilt kapitel med allmänna regler i denna förordning bör därför vara tillämpligt på behandlingen av operativa personuppgifter, t.ex. sådana personuppgifter som unionens organ eller byråer behandlar i samband med brottsutredningar när de utövar verksamhet på området för straffrättsligt samarbete och polissamarbete.

(10)

I direktiv (EU) 2016/680 fastställs harmoniserade regler om skydd och fri rörlighet för personuppgifter som behandlas i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. I syfte att säkerställa en enhetlig skyddsnivå för skyddet av fysiska personer genom rättsligt verkställbara rättigheter i hela unionen och undvika avvikelser som hämmar utbytet av personuppgifter mellan unionens organ eller byråer som utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget och behöriga myndigheter, bör reglerna om skyddet av och den fria rörligheten för operativa personuppgifter som behandlas av sådana unionsorgan eller unionsbyråer vara förenliga med direktiv (EU) 2016/680.

(11)

De allmänna reglerna i kapitlet om behandling av operativa personuppgifter i denna förordning bör inte påverka tillämpningen av de särskilda regler som är tillämpliga på behandlingen av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget. Sådana särskilda regler bör betraktas som lex specialis till bestämmelserna i kapitlet i denna förordning om behandling av operativa personuppgifter (lex specialis derogat generali, dvs. en speciallag äger företräde framför en allmän lag). För att minska den rättsliga fragmenteringen bör de särskilda regler om skydd för personuppgifter som är tillämpliga på behandlingen av operativa personuppgifter som utförs av unionens organ eller byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget vara förenliga med de principer som ligger till grund för kapitlet om behandling av operativa personuppgifter i denna förordning och med de bestämmelser i denna förordning som rör oberoende tillsyn, rättsmedel, ansvar och sanktioner.

(12)

Kapitlet om behandling av operativa personuppgifter i denna förordning bör tillämpas på unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, oavsett om de utövar denna verksamhet som sin huvuduppgift eller tilläggsuppgift i syfte att förebygga, förhindra, avslöja, utreda eller lagföra brott. Kapitlet bör emellertid inte tillämpas på Europol eller på Europeiska åklagarmyndigheten förrän rättsakterna om inrättande av Europol och Europeiska åklagarmyndigheten har ändrats så att kapitlet om behandling av operativa personuppgifter i denna förordning, i dess anpassade lydelse, är tillämpligt på dem.

(13)

Kommissionen bör se över denna förordning, särskilt kapitlet om behandling av operativa personuppgifter i denna förordning. Kommissionen bör också se över andra rättsakter som har antagits på grundval av fördragen och som reglerar den behandling av operativa personuppgifter som utförs av unionens organ eller byråer när de utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget. Efter en sådan översyn bör kommissionen ha möjlighet att lägga fram lämpliga lagstiftningsförslag, bland annat nödvändiga anpassningar av kapitlet om behandling av operativa personuppgifter i denna förordning för att säkerställa ett enhetligt och konsekvent skydd för fysiska personer med avseende på behandlingen av personuppgifter och i syfte att tillämpa det på Europol och Europeiska åklagarmyndigheten. Anpassningarna bör bland annat ta hänsyn till bestämmelserna om oberoende tillsyn, rättsmedel, ansvar och sanktioner.

(14)

Behandlingen av administrativa personuppgifter, t.ex. personaluppgifter, som utförs av unionens organ eller byråer som utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget bör omfattas av denna förordning.

(15)

Denna förordning bör vara tillämplig på behandling av personuppgifter som utförs av unionens institutioner, organ eller byråer som utövar verksamhet som omfattas av avdelning V kapitel 2 i fördraget om Europeiska unionen (EU-fördraget). Denna förordning bör inte tillämpas på sådan behandling av personuppgifter som utförs av de uppdrag som avses i artiklarna 42.1, 43 och 44 i EU-fördraget och som genomför den gemensamma säkerhets- och försvarspolitiken. Vid behov bör relevanta förslag läggas fram för att ytterligare reglera behandlingen av personuppgifter inom den gemensamma säkerhets- och försvarspolitiken.

(16)

Principerna för dataskyddet bör gälla all information som rör en identifierad eller identifierbar fysisk person. Personuppgifter som har pseudonymiserats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används bör anses som uppgifter om en identifierbar fysisk person. För att avgöra om en fysisk person är identifierbar bör man beakta alla hjälpmedel, som t.ex. utgallring, som, antingen av den personuppgiftsansvarige eller av en annan person, rimligen kan komma att användas för att direkt eller indirekt identifiera den fysiska personen. För att fastställa om hjälpmedel med rimlig sannolikhet kan komma att användas för att identifiera den fysiska personen bör man beakta samtliga objektiva faktorer, såsom kostnader och tidsåtgång för identifiering, med beaktande av såväl tillgänglig teknik vid tidpunkten för behandlingen som den tekniska utvecklingen. Principerna för dataskyddet bör därför inte gälla för anonym information, dvs. information som inte hänför sig till en identifierad eller identifierbar fysisk person, eller för personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar. Denna förordning berör därför inte behandling av sådan anonym information, vilket inbegriper information för statistiska ändamål eller forskningsändamål.

(17)

Tillämpningen av pseudonymisering av personuppgifter kan minska riskerna för de registrerade som berörs och hjälpa personuppgiftsansvariga och personuppgiftsbiträden att fullgöra sina skyldigheter i fråga om dataskydd. Ett uttryckligt införande av pseudonymisering i denna förordning är inte avsett att utesluta andra åtgärder för dataskydd.

(18)

Fysiska personer kan knytas till nätidentifierare som lämnas av deras utrustning, applikationer, verktyg och protokoll, t.ex. ip-adresser, kakor eller andra identifierare, som radiofrekvensetiketter. Detta kan efterlämna spår som, särskilt i kombination med unika identifierare och andra uppgifter som tas emot av servrarna, kan användas för att skapa profiler för fysiska personer och identifiera dem.

(19)

Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denna godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan t.ex. ske genom att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen sker för flera olika ändamål, bör samtycke ges för samtliga ändamål. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna begäran vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. Samtidigt bör den registrerade ha rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandling som grundar sig på samtycket innan detta återkallades. För att säkerställa att samtycket lämnas frivilligt bör det inte utgöra giltig rättslig grund för behandling av personuppgifter i särskilda fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Det är ofta inte möjligt att fullt ut identifiera syftet med en behandling av personuppgifter för vetenskapliga forskningsändamål i samband med insamlingen av uppgifter. Därför bör registrerade kunna ge sitt samtycke till vissa områden för vetenskaplig forskning, när vedertagna etiska standarder för vetenskaplig forskning iakttas. Registrerade bör ha möjlighet att lämna sitt samtycke endast till vissa forskningsområden eller delar av forskningsprojekt i den utsträckning det avsedda syftet medger detta.

(20)

Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem samlas in, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det säkerställs att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att säkerställa att felaktiga uppgifter rättas eller raderas. Personuppgifter bör behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till, eller obehörig användning av, personuppgifter och den utrustning som används för behandlingen samt för att förhindra obehörigt utlämnande i samband med överföring.

(21)

I enlighet med principen om ansvarsskyldighet bör unionsinstitutioner och unionsorgan, i samband med att de överför personuppgifter inom samma unionsinstitution eller unionsorgan, och mottagaren inte är en del av den personuppgiftsansvarige, eller till andra av unionsinstitutioner eller unionsorgan, kontrollera om sådana personuppgifter är nödvändiga för det legitima utförandet av uppgifter som omfattas av mottagarens behörighet. Efter en mottagares begäran om överföring av uppgifter bör den personuppgiftsansvarige kontrollera att det föreligger en relevant grund för laglig behandling av personuppgifter och att mottagaren är behörig. Den personuppgiftsansvarige bör också göra en preliminär bedömning av om överföringen av uppgifterna är nödvändig. Om det uppstår tveksamhet om nödvändigheten bör den personuppgiftsansvarige begära ytterligare förklaringar från mottagaren. Mottagaren bör se till att det senare kan kontrolleras att överföringen av uppgifterna var nödvändig.

(22)

För att behandling ska vara laglig bör personuppgifterna behandlas med hänsyn till nödvändigheten av att unionsinstitutioner och unionsorgan utför en uppgift av allmänt intresse eller som ett led i sin myndighetsutövning, nödvändigheten av att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller någon annan legitim grund i denna förordning, inbegripet samtycke från den registrerade, en nödvändighet som hänför sig till fullgörandet av ett avtal i vilket den registrerade är part eller vidtagandet av åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Behandling av personuppgifter för utförandet av de uppgifter av allmänt intresse som unionsinstitutionerna och unionsorganen utför inbegriper sådan behandling av personuppgifter som är nödvändig för förvaltningen av dessa institutioner och organ för att de ska fungera. Behandling av personuppgifter bör även anses laglig när den är nödvändig för att skydda ett intresse som är av avgörande betydelse för den registrerades eller en annan fysisk persons liv. Behandling av personuppgifter på grundval av en annan fysisk persons grundläggande intressen bör i princip äga rum endast om behandlingen inte uppenbart kan ha en annan rättslig grund. Vissa typer av behandling kan tjäna både viktiga allmänintressen och intressen som är av grundläggande betydelse för den registrerade, till exempel när behandlingen är nödvändig av humanitära skäl, bland annat för att övervaka epidemier och deras spridning eller i humanitära nödsituationer, särskilt vid naturkatastrofer eller katastrofer orsakade av människan.

(23)

Den unionsrätt som avses i denna förordning bör vara tydlig och precis, och dess tillämpning bör vara förutsägbar för personer som omfattas av den, i enlighet med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

(24)

De interna regler som det hänvisas till i denna förordning bör vara tydliga och precisa akter med allmän giltighet som är avsedda att ha rättsverkan gentemot registrerade. De bör antas på unionsinstitutionernas och unionsorganens högsta administrativa nivå inom ramen för deras behörighet när det gäller frågor rörande deras funktion. De bör offentliggöras i Europeiska unionens officiella tidning. Tillämpningen av dessa regler bör vara förutsägbar för personer som omfattas av dem, i enlighet med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Interna regler kan vara utformade som beslut, särskilt om de har antagits av unionsinstitutioner.

(25)

Behandling av personuppgifter för andra ändamål än de för vilka de ursprungligen samlades in bör vara tillåten endast när detta är förenligt med de ändamål för vilka personuppgifterna ursprungligen samlades in. I dessa fall krävs det inte någon annan separat rättslig grund än den med stöd av vilken insamlingen av personuppgifter medgavs. Om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som den personuppgiftsansvarige har fått i uppgift att utföra, kan unionsrätten fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter. Den rättsliga grund för behandling av personuppgifter som återfinns i unionsrätten kan också utgöra en rättslig grund för ytterligare behandling. För att fastställa om ett ändamål med den ytterligare behandlingen är förenligt med det ändamål för vilket personuppgifterna ursprungligen samlades in bör den personuppgiftsansvarige, efter att ha uppfyllt alla krav vad beträffar den ursprungliga behandlingens laglighet, bland annat beakta alla kopplingar mellan dessa ändamål och ändamålen med den avsedda ytterligare behandlingen, det sammanhang inom vilket personuppgifterna samlats in, särskilt de registrerades rimliga förväntningar till följd av förhållandet till den personuppgiftsansvarige när det gäller den fortsatta behandlingen, personuppgifternas art, konsekvenserna för de registrerade av den planerade fortsatta behandlingen samt förekomsten av lämpliga skyddsåtgärder för både den ursprungliga och den planerade ytterligare behandlingen.

(26)

När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG (6) bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lättillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(27)

Barns personuppgifter förtjänar särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter. Sådant särskilt skydd bör i synnerhet vara tillämpligt på skapande av personlighetsprofiler samt på insamlingen av personuppgifter med avseende på barn i samband med tjänster som erbjuds direkt till barn på webbplatser som tillhör unionsinstitutioner och unionsorgan, såsom interpersonella kommunikationstjänster eller internetförsäljning av biljetter, och behandlingen av personuppgifter grundar sig på samtycke.

(28)

När mottagare som är etablerade i unionen och som inte är unionsinstitutioner och unionsorgan vill få personuppgifter överförda till sig av unionsinstitutioner och unionsorgan, bör dessa mottagare visa att överföringen är nödvändig för att de ska kunna utföra en uppgift som antingen är av allmänt intresse eller är ett led i deras myndighetsutövning. Alternativt bör dessa mottagare visa att överföringen är nödvändig för ett specifikt ändamål av allmänt intresse, och den personuppgiftsansvarige bör fastställa om det finns skäl att anta att den registrerades legitima intressen skulle kunna skadas. Om så är fallet bör den personuppgiftsansvarige på ett påvisbart sätt väga de olika konkurrerande intressena mot varandra för att bedöma om den begärda överföringen av personuppgifter är proportionell. Det specifika ändamålet av allmänt intresse kan vara kopplat till öppenheten inom unionsinstitutioner och unionsorgan. Unionens institutioner och organ bör dessutom visa att det föreligger en sådan nödvändighet när de själva initierar en överföring, i överensstämmelse med principen om öppenhet och god förvaltningssed. De krav som fastställs i denna förordning för överföring till mottagare som är etablerade i unionen och som inte är unionsinstitutioner och unionsorgan bör uppfattas som kompletterande till villkoren för laglig behandling.

(29)

Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Sådana personuppgifter bör inte behandlas om inte villkoren i denna förordning är uppfyllda. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton definieras som biometriska uppgifter endast när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Utöver de särskilda kraven för behandling av känsliga uppgifter, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(30)

Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör behandlas endast i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård eller social omsorg och deras system. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter som rör hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade tystnadsplikt. Unionsrätten bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter.

(31)

På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/2008 (7), nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål.

(32)

Om de personuppgifter som behandlas av en personuppgiftsansvarig inte gör det möjligt för denna att identifiera en fysisk person, bör den personuppgiftsansvarige inte vara tvungen att skaffa ytterligare information för att kunna identifiera den registrerade, om ändamålet endast är att följa någon av bestämmelserna i denna förordning. Den personuppgiftsansvarige bör dock inte vägra att ta emot kompletterande uppgifter som den registrerade lämnat till stöd för utövandet av sina rättigheter. Identifiering bör omfatta digital identifiering av en registrerad, till exempel genom en autentiseringsmekanism, exempelvis samma identifieringsinformation som används av den registrerade för att logga in på den nättjänst som tillhandahålls av den personuppgiftsansvarige.

(33)

Behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör omfattas av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt denna förordning. Skyddsåtgärderna bör säkerställa att tekniska och organisatoriska åtgärder har införts för att se till att särskilt principen om uppgiftsminimering iakttas. Ytterligare behandling av personuppgifter för arkivändamål av allmänintresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör genomföras när den personuppgiftsansvarige har bedömt möjligheten att uppnå dessa ändamål genom behandling av personuppgifter som inte medger eller inte längre medger identifiering av de registrerade, förutsatt att det finns lämpliga skyddsåtgärder (t.ex. pseudonymisering av personuppgifter). Unionsinstitutioner och unionsorgan bör införa lämpliga skyddsåtgärder för behandlingen av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i unionsrätten, vilket kan inbegripa interna regler som har antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion.

(34)

Förfaranden bör fastställas som gör det lättare för registrerade att utöva sina rättigheter enligt denna förordning, inklusive mekanismer för att begära och i förekommande fall kostnadsfritt få tillgång till och erhålla rättelse eller radering av personuppgifter samt för att utöva rätten att göra invändningar. Den personuppgiftsansvarige bör också tillhandahålla hjälpmedel för ingivande av elektroniska framställningar, särskilt i fall då personuppgifter behandlas elektroniskt. Den personuppgiftsansvarige bör utan onödigt dröjsmål och senast inom en månad vara skyldig att besvara registrerades önskemål och lämna en motivering, om den inte avser att uppfylla sådana önskemål.

(35)

Principerna om rättvis och öppen behandling fordrar att den registrerade informeras om att behandling sker och syftet med den. Den personuppgiftsansvarige bör till den registrerade lämna all ytterligare information som krävs för att säkerställa en rättvis och öppen behandling, med beaktande av personuppgiftsbehandlingens specifika omständigheter och sammanhang. Dessutom bör den registrerade informeras om förekomsten av profilering samt om konsekvenserna av sådan profilering. Om personuppgifterna samlas in från den registrerade, bör den registrerade även informeras om huruvida han eller hon är skyldig att tillhandahålla personuppgifterna och om konsekvenserna om han eller hon inte lämnar dem. Denna information får tillhandahållas tillsammans med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt bör de vara maskinläsbara.

(36)

Information om behandling av personuppgifter som rör den registrerade bör lämnas till honom eller henne vid den tidpunkt då personuppgifterna samlas in från den registrerade eller, om personuppgifterna erhålls direkt från en annan källa, inom en rimlig period, beroende på omständigheterna i fallet. Om personuppgifter legitimt kan lämnas ut till en annan mottagare, bör de registrerade informeras första gången personuppgifterna lämnas ut till denna mottagare. Om den personuppgiftsansvarige avser att behandla personuppgifter för ett annat ändamål än det för vilket uppgifterna samlades in, bör denna före denna ytterligare behandling informera den registrerade om detta andra syfte och lämna annan nödvändig information. Om personuppgifternas ursprung inte kan meddelas den registrerade på grund av att olika källor har använts, bör allmän information ges.

(37)

Den registrerade bör ha rätt att få tillgång till personuppgifter som samlats in om honom eller henne samt på enkelt sätt och med rimliga intervall kunna utöva denna rätt, för att vara medveten om att behandling sker och kunna kontrollera att den är laglig. Detta innefattar rätten för registrerade att få tillgång till uppgifter om sin hälsa, exempelvis uppgifter i läkarjournaler med t.ex. diagnoser, undersökningsresultat, bedömningar av behandlande läkare och eventuella vårdbehandlingar eller interventioner. Alla registrerade bör därför ha rätt att få kännedom och underrättelse om framför allt för vilka ändamål personuppgifterna behandlas, om möjligt vilken tidsperiod behandlingen pågår, vilka som mottar personuppgifterna, bakomliggande logik i samband med automatisk behandling av personuppgifter och, åtminstone när behandlingen bygger på profilering, konsekvenserna av sådan behandling. Denna rätt bör inte inverka menligt på andras rättigheter eller friheter, t.ex. affärshemligheter eller immateriell äganderätt och särskilt inte på upphovsrätt som skyddar programvaran. Resultatet av dessa överväganden bör dock inte bli att den registrerade förvägras all information. Om den personuppgiftsansvarige behandlar en stor mängd uppgifter om den registrerade, bör den personuppgiftsansvarige kunna begära att den registrerade lämnar uppgift om vilken information eller vilken behandling en begäran avser, innan informationen lämnas ut.

(38)

Den registrerade bör ha rätt att få sina personuppgifter rättade och ha en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätt som den personuppgiftsansvarige omfattas av. En registrerad bör ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återkallat sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är ett barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk.

(39)

För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att en personuppgiftsansvarig som offentliggjort personuppgifter är förpliktigad att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

(40)

Sätten att begränsa behandlingen av personuppgifter kan bland annat inbegripa att man tillfälligt flyttar de valda personuppgifterna till ett annat databehandlingssystem, gör de valda uppgifterna otillgängliga för användare eller tillfälligt avlägsnar offentliggjorda uppgifter från en webbplats. I automatiserade register bör begränsningen av behandlingen i princip ske med tekniska medel på ett sådant sätt att personuppgifterna inte blir föremål för ytterligare behandling och inte kan ändras. Det förhållandet att behandlingen av personuppgifter är begränsad bör klart anges inom systemet.

(41)

För att ytterligare förbättra kontrollen över sina egna uppgifter bör den registrerade, om personuppgifterna behandlas automatiskt, också tillåtas att motta de personuppgifter som rör honom eller henne, som han eller hon har tillhandahållit den personuppgiftsansvarige, i ett strukturerat, allmänt använt, maskinläsbart och kompatibelt format och överföra dessa till en annan personuppgiftsansvarig. Personuppgiftsansvariga bör uppmuntras att utveckla kompatibla format som möjliggör dataportabilitet. Denna rättighet bör vara tillämplig om den registrerade har tillhandahållit uppgifterna efter att ha lämnat sitt samtycke eller om behandlingen är nödvändig för att ett avtal ska kunna genomföras. Därför bör den inte vara tillämplig när behandlingen av personuppgifterna är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige. Den registrerades rätt att överföra eller motta personuppgifter som rör honom eller henne innebär inte någon skyldighet för de personuppgiftsansvariga att införa eller upprätthålla behandlingssystem som är tekniskt kompatibla. Om mer än en registrerad berörs inom en viss uppsättning personuppgifter, bör rätten att motta personuppgifterna inte inverka på andra registrerades rättigheter och friheter i enlighet med denna förordning. Denna rättighet bör inte heller påverka den registrerades rätt att få till stånd radering av personuppgifter och de inskränkningar av denna rättighet vilka anges i denna förordning och bör i synnerhet inte medföra radering av personuppgifter om den registrerade som denne har lämnat för genomförande av ett avtal, i den utsträckning och så länge som personuppgifterna krävs för genomförande av avtalet. Om det är tekniskt möjligt, bör den registrerade ha rätt till direkt överföring av personuppgifterna från en personuppgiftsansvarig till en annan.

(42)

När personuppgifter lagligen får behandlas, eftersom behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i en myndighetsutövning som utförs av den personuppgiftsansvarige, bör alla registrerade ändå ha rätt att göra invändningar mot behandling av personuppgifter som rör de registrerades särskilda situation. Det bör ankomma på den personuppgiftsansvarige att visa att dennes tvingande berättigade intressen väger tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.

(43)

Den registrerade bör ha rätt att inte bli föremål för ett beslut, vilket kan inbegripa en åtgärd, med bedömning av personliga aspekter rörande honom eller henne, vilket enbart grundas på automatiserad behandling och medför rättsverkan för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne, såsom e-rekrytering utan personlig kontakt. Sådan behandling omfattar profilering i form av automatisk behandling av personuppgifter med bedömning av personliga aspekter rörande en fysisk person, särskilt för att analysera eller förutse aspekter avseende den registrerades arbetsprestation, ekonomiska situation, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i den mån dessa har rättsverkan rörande honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

Beslutsfattande grundat på sådan behandling, inbegripet profilering, bör dock tillåtas när det uttryckligen är tillåtet enligt unionsrätten. Denna form av uppgiftsbehandling bör under alla omständigheter omgärdas av lämpliga skyddsåtgärder, som bör inkludera specifik information till den registrerade och rätt till personlig kontakt, att framföra sina synpunkter, att erhålla en förklaring till det beslut som fattas efter sådan bedömning och att överklaga beslutet. Sådana åtgärder bör inte gälla barn. I syfte att sörja för rättvis och öppen behandling med avseende på den registrerade, med beaktande av de specifika omständigheterna och det sammanhang i vilket personuppgifterna behandlas, bör den personuppgiftsansvarige använda adekvata matematiska eller statistiska förfaranden för profilering, genomföra tekniska och organisatoriska åtgärder som framför allt säkerställer att faktorer som kan medföra felaktigheter i personuppgifter korrigeras och att risken för fel minimeras samt säkra personuppgifterna på sådant sätt att man beaktar potentiella risker för den registrerades intressen och rättigheter samt förhindra bland annat diskriminerande effekter för fysiska personer, på grund av ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse, medlemskap i fackföreningar, genetisk status eller hälsostatus eller sexuell läggning, eller behandling som leder till åtgärder som får sådana effekter. Automatiserat beslutsfattande och profilering baserat på särskilda kategorier av personuppgifter bör tillåtas endast på särskilda villkor.

(44)

Rättsakter som antagits på grundval av fördragen eller interna regler som antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion får föreskriva begränsningar med avseende på specifika principer och med avseende på rätt till information, tillgång till och rättelse eller radering av personuppgifter, rätt till dataportabilitet, konfidentiell behandling av uppgifter från elektronisk kommunikation, underrättelse om en personuppgiftsincident till den registrerade och vissa därmed sammanhängande skyldigheter för personuppgiftsansvariga, i den utsträckning åtgärden är nödvändig och proportionell i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten och för att förebygga, förhindra, utreda och lagföra brott eller verkställa straffrättsliga sanktioner. Detta inbegriper skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten, skydd av människoliv, särskilt vid naturkatastrofer eller katastrofer orsakade av människan, inre säkerhet för unionsinstitutioner och unionsorgan, andra viktiga mål av allmänt intresse för hela unionen eller en medlemsstat, i synnerhet målen för unionens gemensamma utrikes- och säkerhetspolitik eller ett viktigt ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat samt förande av offentliga register av hänsyn till ett allmänt intresse eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl.

(45)

Personuppgiftsansvariga bör åläggas ansvaret för all behandling av personuppgifter som de utför eller som utförs på deras vägnar. Personuppgiftsansvariga bör särskilt vara skyldiga att vidta lämpliga och effektiva åtgärder och kunna visa att behandlingen är förenlig med denna förordning, även vad gäller åtgärdernas effektivitet. Man bör inom dessa åtgärder beakta behandlingens art, omfattning, sammanhang och ändamål samt risken för fysiska personers rättigheter och friheter.

(46)

Risken för fysiska personers rättigheter och friheter, av varierande sannolikhetsgrad och allvar, kan uppkomma till följd av personuppgiftsbehandling som skulle kunna medföra fysiska, materiella eller immateriella skador, i synnerhet om behandlingen kan leda till diskriminering, identitetsstöld eller bedrägeri, ekonomisk förlust, skadat anseende, förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt, obehörigt hävande av pseudonymisering, eller annan betydande ekonomisk eller social nackdel, om registrerade kan berövas sina rättigheter och friheter eller hindras att utöva kontroll över sina personuppgifter, om personuppgifter behandlas som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller övertygelse eller medlemskap i fackförening, om genetiska uppgifter, uppgifter om hälsa eller sexualliv eller fällande domar i brottmål samt lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder behandlas, om personliga aspekter bedöms, framför allt analyser eller förutsägelser beträffande sådant som rör arbetsprestationer, ekonomisk ställning, hälsa, personliga preferenser eller intressen, pålitlighet eller beteende, vistelseort eller förflyttningar, i syfte att skapa eller använda personliga profiler, om det sker behandling av personuppgifter rörande sårbara fysiska personer, framför allt barn, eller om behandlingen inbegriper ett stort antal personuppgifter och gäller ett stort antal registrerade.

(47)

Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör fastställas utifrån behandlingens art, omfattning, sammanhang och ändamål. Risken bör utvärderas på grundval av en objektiv bedömning, genom vilken det fastställs huruvida uppgiftsbehandlingen inbegriper en risk eller en hög risk.

(48)

Skyddet av fysiska personers rättigheter och friheter med avseende på behandling av personuppgifter förutsätter att lämpliga tekniska och organisatoriska åtgärder vidtas, så att kraven i denna förordning uppfylls. För att kunna visa att denna förordning följs bör den personuppgiftsansvarige anta interna strategier och vidta åtgärder, särskilt för att uppfylla principerna om inbyggt dataskydd och dataskydd som standard. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att personuppgifter snarast möjligt pseudonymiseras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Principerna om inbyggt dataskydd och dataskydd som standard bör också beaktas vid offentliga upphandlingar.

(49)

I förordning (EU) 2016/679 föreskrivs att personuppgiftsansvariga får styrka efterlevnad genom anslutning till godkända certifieringsmekanismer. På liknande sätt bör unionsinstitutioner och unionsorgan kunna styrka efterlevnad av denna förordning genom att certifieras i enlighet med artikel 42 i förordning (EU) 2016/679.

(50)

Skyddet av de registrerades rättigheter och friheter samt de personuppgiftsansvarigas och personuppgiftsbiträdenas ansvar kräver ett tydligt fastställande av vem som bär ansvaret enligt denna förordning, bl.a. när personuppgiftsansvariga gemensamt fastställer ändamål och medel för en behandling tillsammans med andra personuppgiftsansvariga eller när en behandling utförs på en personuppgiftsansvarigs vägnar.

(51)

För att säkerställa att kraven i denna förordning uppfylls vad gäller behandling som av ett personuppgiftsbiträde ska utföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige, när denne anförtror behandling åt ett personuppgiftsbiträde, endast använda personuppgiftsbiträden som ger tillräckliga garantier, i synnerhet i fråga om sakkunskap, tillförlitlighet och resurser, för att genomföra tekniska och organisatoriska åtgärder som uppfyller kraven i denna förordning, bl.a. vad gäller säkerhet i samband med behandlingen av uppgifter. Anslutning av andra personuppgiftsbiträden än unionsinstitutioner och unionsorgan till en godkänd uppförandekod eller en godkänd certifieringsmekanism kan användas som ett sätt att påvisa att den personuppgiftsansvarige fullgör sina skyldigheter. När uppgifter behandlas av andra personuppgiftsbiträden än unionsinstitutioner och unionsorgan bör hanteringen regleras genom ett avtal eller, om unionsinstitutioner och unionsorgan är personuppgiftsbiträden, genom ett avtal eller en annan rättsakt enligt unionsrätten mellan personuppgiftsbiträdet och den personuppgiftsansvarige, där föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade anges, med beaktande av personuppgiftsbiträdets specifika arbets- och ansvarsuppgifter inom ramen för den behandling som ska utföras och risken med avseende på den registrerades rättigheter och friheter. Den personuppgiftsansvarige och personuppgiftsbiträdet bör kunna välja att använda sig av ett enskilt avtal eller standardavtalsklausuler som antingen antas direkt av kommissionen eller av Europeiska datatillsynsmannen och därefter av kommissionen. Efter det att behandlingen på den personuppgiftsansvariges vägnar har avslutats, bör personuppgiftsbiträdet återlämna eller radera personuppgifterna, beroende på vad den personuppgiftsansvarige väljer, såvida inte lagring av personuppgifterna krävs enligt den unionsrätt eller medlemsstaternas nationella rätt som personuppgiftsbiträdet omfattas av.

(52)

För att påvisa att denna förordning följs bör personuppgiftsansvariga föra register över sådan uppgiftsbehandling som de ansvarar för, och personuppgiftsbiträden bör föra register över kategorier av uppgiftsbehandling som de ansvarar för. Unionsinstitutioner och unionsorgan bör vara skyldiga att samarbeta med Europeiska datatillsynsmannen och göra sina register tillgängliga på begäran, så att de kan tjäna som grund för övervakningen av behandlingen. Såvida det inte är olämpligt, med hänsyn tagen till en unionsinstitutions eller ett unionsorgans storlek, bör unionens institutioner och organ ha möjlighet att inrätta ett centralt register över sin uppgiftsbehandling. Av öppenhetsskäl bör de också kunna göra ett sådant register offentligt.

(53)

För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör man även beakta de risker som personuppgiftsbehandling medför, såsom oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt utlämnande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada.

(54)

Unionens institutioner och unionsorgan bör säkerställa konfidentiell behandling av elektronisk kommunikation, som anges i artikel 7 i stadgan. I synnerhet bör unionsinstitutioner och unionsorgan säkerställa säkerheten i sina elektroniska kommunikationsnät. De bör skydda information som rör användares terminalutrustning som används för att få tillgång till unionsinstitutionernas och unionsorganens allmänt tillgängliga webbplatser och mobila applikationer i enlighet med Europaparlamentets och rådets direktiv 2002/58/EG (8). De bör även skydda personuppgifter som förvaras i kataloger över användare.

(55)

Ett personuppgiftsincident kan, om den inte snabbt åtgärdas på lämpligt sätt, leda till fysisk, materiell eller immateriell skada för fysiska personer. Så snart en personuppgiftsansvarig blir medveten om att en personuppgiftsincident har inträffat, bör den personuppgiftsansvarige därför anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen utan onödigt dröjsmål och, om så är möjligt, inom 72 timmar efter att ha blivit medveten om denna, om inte den personuppgiftsansvarige, i enlighet med principen om ansvarsskyldighet, kan påvisa att det är osannolikt att personuppgiftsincidenten kommer att medföra en risk för fysiska personers rättigheter och friheter. Om en sådan anmälan inte kan ske inom 72 timmar, bör den åtföljas av skälen till fördröjningen, och information kan lämnas i omgångar utan otillbörligt vidare dröjsmål. Om en sådan fördröjning är motiverad, av mindre känslig natur eller mindre specifik bör information om incidenten lämnas så tidigt som möjligt, i stället för att man väntar med att lämna information till dess att den underliggande incidenten har avhjälpts fullt ut.

(56)

Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgiftsincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med Europeiska datatillsynsmannen och i enlighet med den vägledning som lämnats av den eller av andra relevanta myndigheter, exempelvis brottsbekämpande myndigheter.

(57)

I förordning (EG) nr 45/2001 föreskrivs en allmän skyldighet för en personuppgiftsansvarig att anmäla behandling av personuppgifter till dataskyddsombudet. Såvida det inte är olämpligt, med hänsyn tagen till unionsinstitutionens eller unionsorganets storlek, bör dataskyddsombudet föra ett register över sådana anmälda behandlingar. Utöver denna allmänna skyldighet bör effektiva förfaranden och mekanismer inrättas för att övervaka behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa förfaranden bör, i synnerhet, också finnas på plats när behandlingstyper inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgiftsansvarige, eller om de blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen. I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(58)

Om det av en konsekvensbedömning avseende dataskydd framgår att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan begränsas genom åtgärder som är rimliga med avseende på tillgänglig teknik och genomförandekostnader, bör samråd hållas med Europeiska datatillsynsmannen innan behandlingen inleds. En sådan hög risk kommer sannolikt att orsakas av vissa typer av behandling samt av en viss omfattning och frekvens för behandlingen, vilket även kan leda till skador för eller kränkningar av fysiska personers rättigheter och friheter. Europeiska datatillsynsmannen bör inom en fastställd tid svara på en begäran om samråd. Ett uteblivet svar från Europeiska datatillsynsmannen inom denna tid bör dock inte hindra ett eventuellt ingripande från Europeiska datatillsynsmannens sida i enlighet med dess uppgifter och befogenheter enligt denna förordning, inbegripet befogenheten att förbjuda behandling. Som en del av denna samrådsprocess bör det vara möjligt att överlämna resultatet av en konsekvensbedömning avseende dataskydd som utförs med avseende på behandlingen i fråga till Europeiska datatillsynsmannen, framför allt de åtgärder som planeras för att minska risken för fysiska personers rättigheter och friheter.

(59)

Europeiska datatillsynsmannen bör informeras om administrativa åtgärder och höras om interna bestämmelser som antas av unionsinstitutioner och unionsorgan när det gäller frågor avseende deras funktion som rör deras behandling av personuppgifter, föreskriver villkor för begränsning av de registrerades rättigheter eller inför lämpligt skydd för de registrerades rättigheter, i syfte att säkerställa att den avsedda behandlingen överensstämmer med denna förordning, framför allt när det gäller att minska riskerna för den registrerade.

(60)

Genom förordning (EU) 2016/679 inrättades Europeiska dataskyddsstyrelsen som ett oberoende unionsorgan med ställning som juridisk person. Styrelsen bör bidra till en enhetlig tillämpning av förordning (EU) 2016/679 och direktiv (EU) 2016/680 i hela unionen, bl.a. genom att lämna råd till kommissionen. Samtidigt bör Europeiska datatillsynsmannen fortsätta att utöva sina övervakande och rådgivande funktioner med avseende på alla unionsinstitutioner och unionsorgan, på eget initiativ eller på begäran. I syfte att säkerställa överensstämmelse mellan regler om skydd av personuppgifter inom hela unionen bör kommissionen vid utarbetande av förslag eller rekommendationer sträva efter att samråda med Europeiska datatillsynsmannen. Samråd med kommissionen bör vara obligatoriskt efter antagandet av lagstiftningsakter eller vid utarbetandet av delegerade akter och genomförandeakter som anges i artiklarna 289, 290 och 291 i EUF-fördraget och efter antagandet av rekommendationer och förslag som rör avtal med tredjeländer och internationella organisationer som anges i artikel 218 i EUF-fördraget vilka har en inverkan på rätten till skydd av personuppgifter. I sådana fall bör kommissionen vara skyldig att samråda med Europeiska datatillsynsmannen, utom i de fall då det i förordning (EU) 2016/679 föreskrivs obligatoriskt samråd med Europeiska dataskyddsstyrelsen, exempelvis vad gäller beslut om adekvat skyddsnivå eller delegerade akter om standardiserade symboler och krav för certifieringsmekanismer. Om akten i fråga är av särskild vikt för skyddet av fysiska personers rättigheter och friheter med avseende på behandlingen av personuppgifter, bör kommissionen dessutom ha möjlighet att samråda med Europeiska dataskyddsstyrelsen. I sådana fall bör Europeiska datatillsynsmannen, i egenskap av medlem i Europeiska dataskyddsstyrelsen, samordna sitt arbete med den senare i syfte att utfärda ett gemensamt yttrande. Europeiska datatillsynsmannen och, i tillämpliga fall, Europeiska dataskyddsstyrelsen, bör lämna sina skriftliga råd inom åtta veckor. Denna tidsfrist bör förkortas i brådskande fall eller när det annars är lämpligt, t.ex. när kommissionen utarbetar delegerade akter och genomförandeakter.

(61)

I enlighet med artikel 75 i förordning (EU) 2016/679 bör Europeiska datatillsynsmannen tillhandahålla ett sekretariat för Europeiska dataskyddsstyrelsen.

(62)

Inom varje unionsinstitution eller unionsorgan bör ett dataskyddsombud säkerställa att bestämmelserna i denna förordning tillämpas och ge råd åt personuppgiftsansvariga och personuppgiftsbiträden då de fullgör sina åligganden. Dataskyddsombudet bör vara en person med expertkunskap om lagstiftning och praxis på området för uppgiftsskydd, vilket bör bedömas med särskild hänsyn till den uppgiftsbehandling som utförs av den personuppgiftsansvarige eller det personuppgiftsbiträdet och det skydd som krävs för de inblandade personuppgifterna. Denna typ av dataskyddsombud bör kunna fullgöra sina uppdrag och utföra sina uppgifter på ett oberoende sätt.

(63)

Den skyddsnivå som säkerställs för fysiska personer inom unionen genom denna förordning bör garanteras när personuppgifter överförs från unionsinstitutioner och unionsorgan till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland eller till internationella organisationer. Samma garantier bör tillämpas när personuppgifter vidarebefordras från tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning och med respekt för de grundläggande rättigheter och friheter som föreskrivs i stadgan. En överföring kan ske endast om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personuppgiftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(64)

Kommissionen får, enligt artikel 45 i förordning (EU) 2016/679 eller artikel 36 i direktiv (EU) 2016/680, besluta att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland, eller en internationell organisation, erbjuder en adekvat dataskyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet eller den internationella organisationen av en unionsinstitution eller ett unionsorgan ske utan ytterligare tillstånd.

(65)

Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av standardbestämmelser om dataskydd som antagits av kommissionen, standardbestämmelser om dataskydd som antagits av Europeiska datatillsynsmannen eller avtalsbestämmelser som godkänts av Europeiska datatillsynsmannen. Om personuppgiftsbiträdet inte är en unionsinstitution eller ett unionsorgan kan dessa lämpliga skyddsåtgärder också bestå av bindande företagsregler, uppförandekoder och certifieringsmekanismer som används för internationella överföringar enligt förordning (EU) 2016/679. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om dataskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för behandling av personuppgifter samt principerna om inbyggt dataskydd och dataskydd som standard. Uppgifter kan också överföras av unionsinstitutioner och unionsorgan till offentliga myndigheter eller organ i tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från Europeiska datatillsynsmannen bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.

(66)

Personuppgiftsansvarigas eller personuppgiftsbiträdens möjlighet att använda standardiserade dataskyddsbestämmelser som antagits av kommissionen eller av Europeiska datatillsynsmannen bör inte hindra att de infogar standardiserade dataskyddsbestämmelser i ett vidare avtal, såsom ett avtal mellan personuppgiftsbiträdet och ett annat personuppgiftsbiträde, eller lägger till andra bestämmelser eller ytterligare skyddsåtgärder, under förutsättning att de inte direkt eller indirekt står i strid med standardavtalsklausuler som antagits av kommissionen eller av Europeiska datatillsynsmannen eller påverkar de registrerades grundläggande rättigheter eller friheter. Personuppgiftsansvariga och personuppgiftsbiträden bör uppmuntras att tillhandahålla ytterligare skyddsåtgärder via avtalsmässiga åtaganden som kompletterar de standardiserade dataskyddsbestämmelserna.

(67)

Vissa tredjeländer antar lagar och andra författningar som syftar till att direkt reglera behandling som utförs av unionsinstitutioner och unionsorgan. Detta kan inkludera rättsliga avgöranden eller beslut av administrativa myndigheter i tredjeländer där det krävs att personuppgiftsansvariga eller personuppgiftsbiträden överför eller lämnar ut personuppgifter, utan grund i ett gällande internationellt avtal mellan det begärande tredjelandet och unionen. Extraterritoriell tillämpning av dessa lagar och andra författningar kan strida mot internationell rätt och inverka menligt på det skydd av fysiska personer som säkerställs inom unionen genom denna förordning. Överföringar bör tillåtas endast om villkoren i denna förordning för en överföring till tredjeländer är uppfyllda. Detta kan vara fallet bl.a. när utlämnande är nödvändigt på grund av ett viktigt allmänintresse som erkänns i unionsrätten.

(68)

Det bör införas bestämmelser som i särskilda situationer ger möjlighet att under vissa omständigheter göra överföringar, om den registrerade har lämnat sitt uttryckliga samtycke, när överföringen är tillfällig och nödvändig med hänsyn till ett avtal eller ett rättsligt anspråk, oavsett om detta sker inom ett rättsligt förfarande eller i ett administrativt eller utomrättsligt förfarande, inbegripet förfaranden inför tillsynsorgan. Det bör också införas bestämmelser som ger möjlighet till överföringar om viktiga allmänintressen fastställda genom unionsrätten så kräver eller när överföringen görs från ett register som inrättats genom lag och är avsett att konsulteras av allmänheten eller av personer med ett berättigat intresse. I sistnämnda fall bör en sådan överföring inte omfatta alla personuppgifter eller hela kategorier av uppgifter i registret, om detta inte tillåts i unionsrätten, och överföringen bör göras endast när registret är avsett att vara tillgängligt för personer med ett berättigat intresse, på begäran av dessa personer eller, om de själva är mottagarna, med full hänsyn till de registrerades intressen och grundläggande rättigheter.

(69)

Dessa undantag bör främst vara tillämpliga på uppgiftsöverföringar som krävs och är nödvändiga med hänsyn till viktiga allmänintressen, exempelvis vid internationella utbyten av uppgifter mellan unionsinstitutioner och unionsorgan och konkurrensmyndigheter, skatte- eller tullmyndigheter, finanstillsynsmyndigheter, socialförsäkringsmyndigheter eller hälsovårdsmyndigheter, till exempel vid kontaktspårning för smittsamma sjukdomar eller för att minska och/eller undanröja dopning inom idrott. En överföring av personuppgifter bör också betraktas som laglig, om den är nödvändig för att skydda ett intresse som är väsentligt för den registrerades eller en annan persons vitala intressen, inklusive dennes fysiska integritet och liv, om den registrerade är oförmögen att ge sitt samtycke. Saknas beslut om adekvat skyddsnivå, får unionsrätten med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av uppgifter till ett tredjeland eller en internationell organisation. Varje överföring till en internationell humanitär organisation av personuppgifter rörande en registrerad som är fysiskt eller rättsligt förhindrad att ge sitt samtycke, i syfte att utföra en uppgift inom ramen för Genèvekonventionerna eller för att följa internationell humanitär rätt som är tillämplig vid väpnade konflikter, kan ses som nödvändig av skäl som rör ett betydande allmänintresse eller för att den är av grundläggande intresse för den registrerade.

(70)

Om kommissionen inte har fattat beslut om adekvat dataskyddsnivå i ett tredjeland, bör den personuppgiftsansvarige eller personuppgiftsbiträdet under alla omständigheter använda sig av lösningar som ger de registrerade verkställbara och faktiska rättigheter vad gäller behandlingen av deras personuppgifter inom unionen när dessa uppgifter väl har överförts, så att de fortsatt kan utöva sina grundläggande rättigheter och att skyddsåtgärder fortsatt gäller i förhållande till dem.

(71)

När personuppgifter förs över gränser utanför unionen kan detta öka risken för att fysiska personer inte kan utöva sina dataskyddsrättigheter, i synnerhet för att skydda sig från otillåten användning eller otillåtet utlämnande av denna information. Samtidigt kan nationella tillsynsmyndigheter och Europeiska datatillsynsmannen, vara ur stånd att handlägga klagomål eller göra utredningar som gäller verksamheter utanför deras jurisdiktion. Deras strävan att arbeta tillsammans över gränserna kan också hindras av otillräckliga preventiva eller korrigerande befogenheter, inkonsekventa rättsliga regelverk och praktiska hinder, som exempelvis bristande resurser. Därför bör ett närmare samarbete mellan Europeiska datatillsynsmannen och nationella tillsynsmyndigheter främjas för att bidra till informationsutbytet med deras internationella motparter.

(72)

Inrättandet av Europeiska datatillsynsmannen i förordning (EG) nr 45/2001, som är bemyndigad att utföra sina uppgifter och utöva sina befogenheter under fullständigt oberoende, är ett väsentligt inslag i skyddet av fysiska personer med avseende på behandlingen av personuppgifter. Denna förordning bör ytterligare stärka och klargöra dess roll och oberoende. Europeiska datatillsynsmannen bör vara en person vars oberoende är ställt utom varje tvivel och som har den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeisk datatillsynsman, exempelvis genom att personen har tillhört någon av de tillsynsmyndigheter som har inrättats i enlighet med artikel 51 i förordning (EU) 2016/679.

(73)

För att säkerställa en enhetlig tillsyn över och ett enhetligt upprätthållande av regler om skydd av personuppgifter i hela unionen bör Europeiska datatillsynsmannen ha samma uppgifter och faktiska befogenheter som de nationella tillsynsmyndigheterna, inbegripet undersökningsbefogenheter, korrigerande befogenheter och befogenheter att påföra sanktioner samt befogenheter att utfärda tillstånd och ge råd, särskilt vid klagomål från fysiska personer, befogenheter att uppmärksamma domstolen på överträdelser av denna förordning och delta i rättsliga förfaranden i enlighet med primärrätten. Dessa befogenheter bör även omfatta en befogenhet att införa en tillfällig eller definitiv begränsning av, inklusive förbud mot, behandling. För att undvika onödiga kostnader och alltför stora nackdelar för de berörda personer som kan komma att påverkas negativt, bör var och en av de åtgärder som Europeiska datatillsynsmannen vidtar vara lämplig, nödvändig och proportionell för att säkerställa efterlevnad av denna förordning och ta hänsyn till omständigheterna i varje enskilt fall samt respektera varje persons rätt att bli hörd innan någon enskild åtgärd vidtas. Varje rättsligt bindande åtgärd som vidtas av Europeiska datatillsynsmannen bör vara skriftlig, klar och entydig, innehålla uppgift om datum för utfärdandet, vara undertecknad av Europeiska datatillsynsmannen samt innehålla en motivering till åtgärden och en hänvisning till rätten till ett effektivt rättsmedel.

(74)

Europeiska datatillsynsmannens tillsynsbehörighet bör inte omfatta domstolens behandling av personuppgifter när detta sker inom ramen för domstolens dömande verksamhet, i syfte att säkerställa domstolens oberoende när den utför sin rättsskipande verksamhet, inbegripet när den fattar beslut. För sådan behandling bör domstolen inrätta en oberoende tillsyn, i enlighet med artikel 8.3 i stadgan, exempelvis genom en intern mekanism.

(75)

Europeiska datatillsynsmannens beslut om undantag, garantier, tillstånd och villkor när det gäller behandling av uppgifter, såsom de fastställs i denna förordning, bör offentliggöras i verksamhetsrapporten. Förutom det årliga offentliggörandet av verksamhetsrapporten kan Europeiska datatillsynsmannen offentliggöra rapporter om särskilda ämnen.

(76)

Europeiska datatillsynsmannen bör följa Europaparlamentets och rådets förordning (EG) nr 1049/2001 (9).

(77)

De nationella tillsynsmyndigheterna övervakar tillämpningen av förordning (EU) 2016/679 och bidrar till att den tillämpas enhetligt över hela unionen, för att skydda fysiska personer vid behandling av deras personuppgifter och för att underlätta det fria flödet av personuppgifter inom den inre marknaden. För att skapa större enhetlighet vid tillämpningen av regler om skydd av personuppgifter som är tillämpliga i medlemsstaterna och av regler om skydd av personuppgifter som är tillämpliga för unionsinstitutioner och unionsorgan bör Europeiska datatillsynsmannen samarbeta effektivt med de nationella tillsynsmyndigheterna.

(78)

I vissa fall föreskriver unionsrätten en modell för samordnad tillsyn som delas mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna. Europeiska datatillsynsmannen är även tillsynsmyndighet för Europol, och av den anledningen har en särskild modell för samarbete med de nationella tillsynsmyndigheterna inrättats genom en samarbetsnämnd med en rådgivande funktion. I syfte att förbättra tillsynen och upprätthållandet av materiella regler om uppgiftsskydd i praktiken bör en gemensam, enhetlig modell för samordnad tillsyn införas i unionen. Kommissionen bör därför lägga fram lagstiftningsförslag när så är lämpligt, i syfte att ändra unionsrättsakter som föreskriver en modell för samordnad tillsyn, för att anpassa dessa till den samordnade tillsynsmodellen i denna förordning. Europeiska dataskyddsstyrelsen bör fungera som ett gemensamt forum för att säkerställa en effektiv samordnad tillsyn på alla områden.

(79)

Alla registrerade bör ha rätt att lämna in ett klagomål till Europeiska datatillsynsmannen och ha rätt till ett effektivt rättsmedel inför domstolen i enlighet med fördragen, om den registrerade anser att hans eller hennes rättigheter enligt denna förordning har kränkts eller om Europeiska datatillsynsmannen inte reagerar på ett klagomål, helt eller delvis avslår eller avvisar ett klagomål eller inte agerar när så är nödvändigt för att skydda den registrerades rättigheter. Utredningen av ett klagomål bör, med förbehåll för eventuell domstolsprövning, ske i den utsträckning som är lämplig i det enskilda fallet. Europeiska datatillsynsmannen bör i rimlig tid informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir. Om ärendet fordrar ytterligare samordning med en nationell tillsynsmyndighet, bör den registrerade underrättas även om detta. För att förenkla inlämningen av klagomål bör Europeiska datatillsynsmannen vidta åtgärder, såsom att tillhandahålla ett formulär för inlämnande av klagomål som även kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

(80)

Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning bör ha rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan, med förbehåll för de villkor som föreskrivs i fördragen.

(81)

För att stärka Europeiska datatillsynsmannens tillsynsroll och främja ett effektivt upprätthållande av denna förordning bör Europeiska datatillsynsmannen ha befogenhet att påföra administrativa sanktionsavgifter, som en sanktion att använda i sista hand. Sanktionsavgifterna bör syfta till att bestraffa unionsinstitutioner eller unionsorgan – snarare än fysiska personer – för bristande efterlevnad av denna förordning, för att avskräcka från framtida överträdelser av denna förordning och för att främja en kultur av skydd för personuppgifter inom unionsinstitutioner och unionsorgan. Denna förordning bör ange överträdelser som är föremål för administrativa sanktionsavgifter och de övre gränserna och kriterierna för fastställande av sådana sanktionsavgifter. Europeiska datatillsynsmannen bör fastställa avgiftsbeloppen i varje enskilt fall, med beaktande av alla relevanta omständigheter i det särskilda fallet, med vederbörlig hänsyn till överträdelsens karaktär, svårhetsgrad och varaktighet, dess följder och de åtgärder som vidtas för att sörja för fullgörandet av skyldigheterna enligt denna förordning och för att förebygga eller lindra konsekvenserna av överträdelsen. Vid påförande av en administrativ sanktionsavgift till en unionsinstitution eller ett unionsorgan bör Europeiska datatillsynsmannen bedöma huruvida sanktionsavgiftsbeloppet är proportionellt. Det administrativa förfarandet för att påföra sanktionsavgifter för unionsinstitutioner och unionsorgan bör följa de allmänna unionsrättsliga principerna, såsom dessa har tolkats av domstolen.

(82)

Om en registrerad anser att hans eller hennes rättigheter enligt denna förordning har kränkts, bör han eller hon ha rätt att ge mandat till ett organ, en organisation eller en sammanslutning som drivs utan vinstsyfte och som har inrättats i enlighet med unionsrätten eller en medlemsstats rätt, som har stadgeenliga mål av allmänt intresse och utövar verksamhet på området skydd av personuppgifter, att på hans eller hennes vägnar lämna in ett klagomål till Europeiska datatillsynsmannen. Detta organ, denna organisation eller denna sammanslutning bör också kunna utöva rätten till ett rättsmedel på registrerades vägnar eller utöva rätten att ta emot ersättning för registrerades räkning.

(83)

Tjänstemän eller övriga anställda i unionen som inte följer de skyldigheter som anges i denna förordning bör bli föremål för disciplinära eller andra åtgärder, i enlighet med de regler och förfaranden som föreskrivs i tjänsteföreskrifterna för tjänstemän i Europeiska unionen och anställningsvillkoren för övriga anställda i unionen som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (10) (nedan kallade tjänsteföreskrifterna).

(84)

För att säkerställa enhetliga villkor för genomförandet av denna förordning bör kommissionen tilldelas genomförandebefogenheter. Dessa befogenheter bör utövas i enlighet med Europaparlamentets och rådets förordning (EU) nr 182/2011 (11). Granskningsförfarandet bör användas för att anta standardavtalsklausuler mellan personuppgiftsansvariga och personuppgiftsbiträden och mellan personuppgiftsbiträden, för att anta en förteckning över sådan behandling som kräver förhandssamråd med Europeiska datatillsynsmannen av personuppgiftsansvariga som behandlar personuppgifter för att utföra en uppgift av allmänt intresse, och för att anta standardavtalsklausuler om lämpliga skyddsåtgärder vid internationella överföringar.

(85)

De konfidentiella uppgifter som unionens myndigheter och nationella statistikansvariga myndigheter samlar in för att framställa officiell europeisk och officiell nationell statistik bör skyddas. Europeisk statistik bör utvecklas, framställas och spridas i enlighet med de statistiska principerna enligt artikel 338.2 i EUF-fördraget. Europaparlamentets och rådets förordning (EG) nr 223/2009 (12) innehåller ytterligare preciseringar om statistisk konfidentialitet för europeisk statistik.

(86)

Förordning (EG) nr 45/2001 och Europaparlamentets, rådets och kommissionens beslut nr 1247/2002/EG (13) bör upphöra att gälla. Hänvisningar till den upphävda förordningen och det upphävda beslutet bör anses som hänvisningar till den här förordningen.

(87)

För att garantera fullständigt oberoende för ledamöterna av den oberoende tillsynsmyndigheten, bör mandattiden för den nuvarande Europeiska datatillsynsmannen och den nuvarande biträdande datatillsynsmannen inte påverkas av denna förordning. Den nuvarande biträdande datatillsynsmannen bör förbli på sin post fram till slutet av sin mandattid, såvida inte något av villkoren för ett förtida avslutande av Europeiska datatillsynsmannens mandattid enligt denna förordning är uppfyllt. De relevanta bestämmelserna i denna förordning bör tillämpas på den biträdande datatillsynsmannen fram till slutet av hans eller hennes mandattid.

(88)

I enlighet med proportionalitetsprincipen är det nödvändigt och lämpligt, för att förverkliga det grundläggande målet att säkerställa en likvärdig nivå för skyddet av fysiska personer med avseende på behandling av personuppgifter och det fria flödet av personuppgifter över hela unionen, att fastställa bestämmelser om behandling av personuppgifter i unionsinstitutioner och unionsorgan. Denna förordning går inte utöver vad som är nödvändigt för att uppnå de eftersträvade målen i enlighet med artikel 5.4 i EU-fördraget.

(89)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 och avgav ett yttrande den 15 mars 2017 (14).

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Syfte och mål

1.   I denna förordning fastställs bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionsinstitutioner och unionsorgan samt bestämmelser om det fria flödet av personuppgifter mellan dem eller till andra mottagare som är etablerade i unionen.

2.   Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

3.   Europeiska datatillsynsmannen ska övervaka att bestämmelserna i denna förordning tillämpas vid all behandling som utförs av en unionsinstitution eller unionsorgan.

Artikel 2

Tillämpningsområde

1.   Denna förordning är tillämplig på alla unionsinstitutioners och unionsorgans behandling av personuppgifter.

2.   Endast artikel 3 och kapitel IX i denna förordning är tillämpliga på behandling av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget.

3.   Fram till dess att Europaparlamentets och rådets förordning (EU) 2016/794 (15) och rådets förordning (EU) 2017/1939 (16) har anpassats i enlighet med artikel 98 i den här förordningen, är denna förordning inte tillämplig på behandling av operativa personuppgifter som utförs av Europol och Europeiska åklagarmyndigheten.

4.   Denna förordning är inte tillämplig på behandling av personuppgifter som utförs inom ramen för sådana uppdrag som avses i artiklarna 42.1, 43 och 44 i EU-fördraget.

5.   Denna förordning ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register.

Artikel 3

Definitioner

I denna förordning avses med

1.

personuppgifter: varje upplysning som avser en identifierad eller identifierbar fysisk person (nedan kallad den registrerade); varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

2.

operativa personuppgifter: alla personuppgifter som behandlas av unionens organ eller byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget för att uppfylla de mål och fullgöra de uppgifter som fastställs i rättsakterna om inrättande av dessa organ och byråer.

3.

behandling: en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

4.

begränsning av behandling: markering av lagrade personuppgifter med syftet att begränsa behandlingen av dessa i framtiden.

5.

profilering: varje form av automatisk behandling av personuppgifter som består i att dessa personuppgifter används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga denna fysiska persons arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.

6.

pseudonymisering: behandling av personuppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte tillskrivs en identifierad eller identifierbar fysisk person.

7.

register: en strukturerad samling personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.

8.

personuppgiftsansvarig: den unionsinstitution eller det unionsorgan eller det generaldirektorat eller varje annan organisatorisk enhet som ensam(t) eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; om ändamålen och medlen för denna behandling bestäms av en särskild unionsakt kan den personuppgiftsansvarige eller de särskilda kriterierna för utnämning av personuppgiftsansvarig föreskrivas i unionsrätten.

9.

andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan: personuppgiftsansvariga i den mening som avses i artikel 4.7 i förordning (EU) 2016/679 och personuppgiftsansvariga i den mening som avses i artikel 3.8 i direktiv (EU) 2016/680.

10.

unionsinstitutioner och unionsorgan: unionsinstitutioner, unionsorgan och unionsbyråer som har inrättats genom eller på grundval av EU-fördraget, EUF-fördraget eller Euratomfördraget.

11.

behörig myndighet: en offentlig myndighet i en medlemsstat som har behörighet att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inbegripet att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten.

12.

personuppgiftsbiträde: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.

13.

mottagare: en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som personuppgifterna utlämnas till, oavsett om det rör sig om en tredje part eller inte; offentliga myndigheter som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte.

14.

tredje part: en fysisk eller juridisk person, offentlig myndighet, institution eller organ som inte är den registrerade, den personuppgiftsansvariga, personuppgiftsbiträdet eller de personer som, under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar, är behöriga att behandla personuppgifterna.

15.

samtycke av den registrerade: varje slag av frivillig, specifik, informerad och otvetydig viljeyttring genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

16.

personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörig utlämning av eller obehörig åtkomst till de personuppgifter som har överförts, lagrats eller på annat sätt behandlats.

17.

genetiska uppgifter: alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga.

18.

biometriska uppgifter: personuppgifter som har erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar en entydig identifiering av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter.

19.

uppgifter om hälsa: personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om personens hälsostatus.

20.

informationssamhällets tjänster: alla tjänster enligt definitionen i artikel 1.1 b i Europaparlamentets och rådets direktiv (EU) 2015/1535 (17).

21.

internationell organisation: en organisation och dess underställda organ som lyder under internationell rätt, eller ett annat organ som har inrättats genom eller på grundval av en överenskommelse mellan två eller flera länder.

22.

nationell tillsynsmyndighet: en oberoende offentlig myndighet som har utsetts av en medlemsstat enligt artikel 51 i förordning (EU) 2016/679 eller enligt artikel 41 i direktiv (EU) 2016/680.

23.

användare: en fysisk person som använder ett nätverk eller en terminalutrustning som drivs under överinseende av en unionsinstitution eller ett unionsorgan.

24.

katalog: en allmänt tillgänglig användarförteckning eller en intern användarförteckning som är tillgänglig inom en unionsinstitution eller ett unionsorgan eller som delas mellan unionsinstitutioner och unionsorgan, antingen i tryckt eller i elektroniskt format.

25.

elektroniskt kommunikationsnät: ett system för överföring, oberoende av om det bygger på en permanent infrastruktur eller centraliserad förvaltningskapacitet eller inte, och i tillämpliga fall utrustning för koppling eller dirigering samt andra resurser, inbegripet nätkomponenter som inte är aktiva, som medger överföring av signaler via tråd, via radio, på optisk väg eller via andra elektromagnetiska överföringsmedier, däribland satellitnät, fasta nät (kretskopplade och paketkopplade, inbegripet internet) och markbundna mobilnät, elnätsystem i den utsträckning dessa används för signalöverföring, rundradionät samt kabel-tv-nät, oberoende av vilken typ av information som överförs.

26.

terminalutrustning: terminalutrustning enligt definitionen i artikel 1.1 i kommissionens direktiv 2008/63/EG (18).

KAPITEL II

ALLMÄNNA PRINCIPER

Artikel 4

Principer för behandling av personuppgifter

1.   Vid behandling av personuppgifter ska följande gälla:

a)

Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).

b)

De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska, i enlighet med artikel 13, inte anses vara oförenlig med de ursprungliga ändamålen (ändamålsbegränsning).

c)

De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)

De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

e)

De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Personuppgifter får lagras under längre perioder i den mån som personuppgifterna enbart kommer att behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 13, under förutsättning att de lämpliga tekniska och organisatoriska åtgärder som krävs enligt denna förordning genomförs för att säkerställa den registrerades rättigheter och friheter (lagringsminimering).

f)

De ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.   Den personuppgiftsansvarige ska ansvara för och kunna visa att punkt 1 efterlevs (ansvarsskyldighet).

Artikel 5

Laglig behandling av personuppgifter

1.   Behandling är endast laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt:

a)

Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i unionsinstitutionens eller unionsorganets myndighetsutövning.

b)

Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

c)

Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

d)

Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.

e)

Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.

2.   Den grund för behandlingen som avses i punkt 1 a och b ska fastställas i unionsrätten.

Artikel 6

Behandling för ett annat förenligt ändamål

Om en behandling för ett annat ändamål än det för vilket personuppgifterna har samlats in inte grundar sig på den registrerades samtycke eller på unionsrätten, men utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 25.1, ska den personuppgiftsansvarige för att fastställa huruvida behandling för annat ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in bland annat beakta följande:

a)

Kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen.

b)

Det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige.

c)

Personuppgifternas art, särskilt huruvida särskilda kategorier av personuppgifter behandlas enligt artikel 10, eller huruvida personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott behandlas, enligt artikel 11.

d)

Eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen.

e)

Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Artikel 7

Villkor för samtycke

1.   Om behandlingen grundar sig på samtycke, ska den personuppgiftsansvarige kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter.

2.   Om den registrerades samtycke lämnas i samband med en skriftlig förklaring som också rör andra frågor, ska begäran om samtycke läggas fram på ett sätt som klart och tydligt kan särskiljas från de andra frågorna i en begriplig och lättillgänglig form med användning av klart och tydligt språk. Om en del av förklaringen innebär en överträdelse av denna förordning, ska denna del inte vara bindande.

3.   Den registrerade ska ha rätt att när som helst återkalla sitt samtycke. Återkallandet av samtycket ska inte påverka lagligheten av behandling som grundar sig på samtycket innan detta återkallades. Innan samtycke lämnas ska den registrerade informeras om detta. Det ska vara lika lätt att återkalla som att ge sitt samtycke.

4.   Vid bedömning av huruvida samtycke är frivilligt ska största hänsyn tas till bland annat huruvida genomförandet av ett avtal, inbegripet tillhandahållandet av en tjänst, har gjorts beroende av samtycke till sådan behandling av personuppgifter som inte är nödvändig för genomförandet av det avtalet.

Artikel 8

Villkor som gäller för ett barns samtycke avseende informationssamhällets tjänster

1.   Vid erbjudande av informationssamhällets tjänster direkt till ett barn, ska vid tillämpningen av artikel 5.1 d behandling av personuppgifter som rör ett barn vara tillåten om barnet är minst 13 år. Om barnet är under 13 år ska sådan behandling vara tillåten endast om och i den mån samtycke ges eller godkänns av den person som har föräldraansvar för barnet.

2.   Den personuppgiftsansvarige ska göra rimliga ansträngningar för att i sådana fall kontrollera att samtycke ges eller godkänns av den person som har föräldraansvar för barnet, med hänsyn tagen till tillgänglig teknik.

3.   Punkt 1 ska inte påverka tillämpningen av allmän avtalsrätt i medlemsstaterna, såsom bestämmelser om giltigheten, upprättandet eller verkan av ett avtal som gäller ett barn.

Artikel 9

Överföring av personuppgifter till mottagare som är etablerade i unionen och som inte är unionsinstitutioner och unionsorgan

1.   Utan att det påverkar tillämpningen av artiklarna 4 – 6 och 10 ska personuppgifter överföras till mottagare som är etablerade i unionen och som inte utgörs av unionsinstitutioner och unionsorgan endast om

a)

mottagaren visar att uppgifterna är nödvändiga för att utföra en uppgift av allmänt intresse eller som ett led i mottagarens myndighetsutövning, eller om

b)

mottagaren visar att det är nödvändigt att uppgifterna överförs för ett specifikt ändamål av allmänt intresse och, i de fall då det finns skäl att anta att den registrerades legitima intressen skulle kunna skadas, den personuppgiftsansvarige visar att överföringen av personuppgifterna är proportionell i förhållande till det specifika ändamålet, efter en påvisbar avvägning mellan de olika konkurrerande intressena.

2.   Om den personuppgiftsansvarige tar initiativ till överföringen enligt denna artikel ska denne visa att överföringen av personuppgifterna är nödvändig och proportionell i förhållande till ändamålet med överföringen med tillämpning av de kriterier som anges i punkt 1 a eller b.

3.   Unionsinstitutioner och unionsorgan ska förena rätten till skydd av personuppgifter med rätten till tillgång till handlingar i enlighet med unionsrätten.

Artikel 10

Behandling av särskilda kategorier av personuppgifter

1.   Behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning ska vara förbjuden.

2.   Punkt 1 ska inte tillämpas om något av följande gäller:

a)

Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten föreskriver att förbudet i punkt 1 inte får upphävas av den registrerade.

b)

Behandlingen är nödvändig för att den personuppgiftsansvarige eller den registrerade ska kunna fullgöra sina skyldigheter och utöva sina särskilda rättigheter inom arbetsrätten och på områdena om social trygghet och socialt skydd, i den omfattning detta är tillåtet enligt unionsrätten där lämpliga skyddsåtgärder som säkerställer den registrerades grundläggande rättigheter och intressen fastställs.

c)

Behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

d)

Behandlingen utförs inom ramen för berättigad verksamhet med lämpliga skyddsåtgärder i ett icke vinstdrivande organ som utgör en enhet som är integrerad i en unionsinstitution eller ett unionsorgan och som har ett politiskt, filosofiskt, religiöst eller fackligt syfte, förutsatt att behandlingen endast rör organets medlemmar eller före detta medlemmar eller personer som på grund av organets ändamål har regelbunden kontakt med det och att uppgifterna inte lämnas ut utanför organet utan den registrerades samtycke.

e)

Behandlingen rör personuppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

f)

Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk eller som en del av domstolens dömande verksamhet.

g)

Behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten som ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och specifika åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

h)

Behandlingen är nödvändig av skäl som hör samman med förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård, behandling, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system, på grundval av unionsrätten eller enligt avtal med yrkesverksamma på hälsoområdet och under förutsättning att de villkor och skyddsåtgärder som avses i punkt 3 är uppfyllda.

i)

Behandlingen är nödvändig av skäl av allmänt intresse på folkhälsoområdet, såsom behovet av att säkerställa ett skydd mot allvarliga gränsöverskridande hot mot hälsan eller säkerställa höga kvalitets- och säkerhetsnormer för vård och läkemedel eller medicintekniska produkter, på grundval av unionsrätten som föreskriver lämpliga och specifika åtgärder för att skydda den registrerades rättigheter och friheter, särskilt tystnadsplikt.

j)

Behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål på grundval av unionsrätten vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

3.   Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h när uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställts av nationella behöriga organ, eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställts av nationella behöriga organ.

Artikel 11

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 5.1 får endast utföras under kontroll av en myndighet eller då behandlingen är tillåten enligt unionsrätten, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Artikel 12

Behandling som inte kräver identifiering

1.   Om de ändamål för vilka den personuppgiftsansvarige behandlar personuppgifter inte kräver eller inte längre kräver att den registrerade identifieras av den personuppgiftsansvarige, ska den personuppgiftsansvarige inte vara skyldig att bevara, förvärva eller behandla ytterligare information för att identifiera den registrerade endast i syfte att följa denna förordning.

2.   Om den personuppgiftsansvarige, i de fall som avses i punkt 1 i denna artikel, kan visa att den inte är i stånd att identifiera den registrerade, ska den personuppgiftsansvarige om möjligt informera den registrerade om detta. I sådana fall ska artiklarna 17–22 inte gälla, förutom om den registrerade i syfte att utöva sina rättigheter i enlighet med dessa artiklar tillhandahåller ytterligare information som gör identifieringen möjlig.

Artikel 13

Skyddsåtgärder vid behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål

Behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder i enlighet med denna förordning för den registrerades rättigheter och friheter. Skyddsåtgärderna ska säkerställa att tekniska och organisatoriska åtgärder har införts för att särskilt se till att principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att ändamålen kan uppfyllas på det sättet. När ändamålen kan uppfyllas genom ytterligare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ändamålen uppfyllas på det sättet.

KAPITEL III

DEN REGISTRERADES RÄTTIGHETER

AVSNITT 1

Öppenhet och villkor

Artikel 14

Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheter

1.   Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att tillhandahålla den registrerade all information som avses i artiklarna 15 och 16 och all kommunikation enligt artiklarna 17–24 och 35 vilken avser behandling i en koncis, klar och tydlig, begriplig och lättillgänglig form och på ett klart och tydligt språk, i synnerhet information som är särskilt riktad till barn. Informationen ska tillhandahållas skriftligen, eller i någon annan form, inbegripet, när så är lämpligt, i elektronisk form. Om den registrerades begär det får informationen tillhandahållas muntligen, förutsatt att den registrerades identitet bevisats på andra sätt.

2.   Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter enligt artiklarna 17–24. I de fall som avses i artikel 12.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 17–24, om inte den personuppgiftsansvarige visar att den inte är i stånd att identifiera den registrerade.

3.   Den personuppgiftsansvarige ska på begäran utan onödigt dröjsmål och under alla omständigheter senast en månad efter att ha mottagit begäran tillhandahålla den registrerade information om de åtgärder som vidtagits enligt artiklarna 17–24. Denna period får vid behov förlängas med ytterligare två månader, med beaktande av hur komplicerad begäran är och antalet inkomna begäranden. Den personuppgiftsansvarige ska underrätta den registrerade om en sådan förlängning inom en månad från mottagandet av begäran och ange orsakerna till förseningen. Om den registrerade lämnar begäran i elektronisk form ska informationen om möjligt tillhandahållas i elektronisk form, om inte den registrerade begär något annat.

4.   Om den personuppgiftsansvarige inte vidtar åtgärder på den registrerades begäran, ska den personuppgiftsansvarige utan dröjsmål och senast inom en månad efter att ha mottagit begäran informera den registrerade om orsaken till att åtgärder inte vidtagits och om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen och begära rättslig prövning.

5.   Information som tillhandahålls enligt artiklarna 15 och 16, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 17–24 och 35 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige vägra att tillmötesgå dem. Det ska åligga den personuppgiftsansvarige att visa att en begäran är uppenbart ogrundad eller orimlig.

6.   Utan att det påverkar tillämpningen av artikel 12 får den personuppgiftsansvarige, om den har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 17–23, begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet tillhandahålls.

7.   Den information som ska tillhandahållas den registrerade enligt artiklarna 15 och 16 får tillhandahållas tillsammans med standardiserade symboler för att ge en överskådlig, begriplig, lättläst och meningsfull överblick över den planerade behandlingen. Om sådana symboler visas elektroniskt ska de vara maskinläsbara.

8.   Om kommissionen antar delegerade akter enligt artikel 12.8 i förordning (EU) 2016/679 för att fastställa vilken information som ska visas med hjälp av symboler och förfarandena för att tillhandahålla standardiserade symboler, ska unionsinstitutioner och unionsorgan tillhandahålla de uppgifter som avses i artiklarna 15 och 16 i den här förordningen tillsammans med sådana standardiserade symboler när det är lämpligt.

AVSNITT 2

Information och tillgång till personuppgifter

Artikel 15

Information som ska tillhandahållas när personuppgifter samlas in från den registrerade

1.   Om personuppgifter som rör en registrerad person samlas in från den registrerade ska den personuppgiftsansvarige, vid den tidpunkt då personuppgifterna erhålls, till den registrerade lämna information om följande:

a)

Identitet och kontaktuppgifter för den personuppgiftsansvarige.

b)

Kontaktuppgifter för dataskyddsombudet.

c)

Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

d)

Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

e)

I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller när det gäller de överföringar som avses i artikel 48, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.   Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige vid insamlingen av personuppgifterna tillhandahålla den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och öppen behandling:

a)

Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

b)

Att det föreligger en rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller, i tillämpliga fall, rätten att invända mot behandling samt rätten till dataportabilitet.

c)

Om behandlingen grundar sig på artikel 5.1 d eller artikel 10.2 a, att det föreligger en rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket, innan detta återkallades.

d)

Rätten att inge klagomål till Europeiska datatillsynsmannen.

e)

Huruvida tillhandahållandet av personuppgifter är ett lagstadgat eller avtalsenligt krav eller ett krav som är nödvändigt för att ingå ett avtal samt om huruvida den registrerade är skyldig att tillhandahålla personuppgifterna och de möjliga följderna av att sådana uppgifter inte lämnas.

f)

Förekomsten av automatiserat beslutsfattande, inbegripet profilering, som avses i artikel 24.1 och 24.4 varvid det åtminstone i dessa fall, ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.   Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling ge den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

4.   Punkterna 1, 2 och 3 ska inte tillämpas om och i den mån den registrerade redan förfogar över informationen.

Artikel 16

Information som ska tillhandahållas om personuppgifter inte har erhållits från den registrerade

1.   Om personuppgifterna inte har erhållits från den registrerade, ska den personuppgiftsansvarige tillhandahålla den registrerade följande information:

a)

Identitet och kontaktuppgifter för den personuppgiftsansvarige.

b)

Kontaktuppgifter för dataskyddsombudet.

c)

Ändamålen med den behandling för vilken personuppgifterna är avsedda samt den rättsliga grunden för behandlingen.

d)

De kategorier av personuppgifter som behandlingen gäller.

e)

Mottagarna eller de kategorier av mottagare som ska ta del av personuppgifterna, i förekommande fall.

f)

I tillämpliga fall uppgift om att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland eller en internationell organisation och huruvida ett beslut av kommissionen om adekvat skyddsnivå föreligger eller saknas eller, när det gäller de överföringar som avses i artikel 48, hänvisning till lämpliga eller passande skyddsåtgärder och hur en kopia av dem kan erhållas eller var dessa har gjorts tillgängliga.

2.   Utöver den information som avses i punkt 1 ska den personuppgiftsansvarige lämna den registrerade följande ytterligare information, vilken krävs för att säkerställa rättvis och öppen behandling när det gäller den registrerade:

a)

Den period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

b)

Förekomsten av rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade eller, i tillämpliga fall, rätt att invända mot behandling eller rätt till dataportabilitet.

c)

Om behandlingen grundar sig på artikel 5.1 d eller artikel 10.2 a, rätten att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandlingen på grundval av samtycket innan detta återkallades.

d)

Rätten att inge klagomål till Europeiska datatillsynsmannen.

e)

Varifrån personuppgifterna kommer och i förekommande fall huruvida de har sitt ursprung i allmänt tillgängliga källor.

f)

Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 24.1 och 24.4, varvid det åtminstone i dessa fall ska lämnas meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

3.   Den personuppgiftsansvarige ska lämna den information som anges i punkterna 1 och 2

a)

inom en rimlig period efter det att personuppgifterna har erhållits, dock senast inom en månad, med beaktande av de särskilda omständigheter under vilka personuppgifterna behandlas,

b)

om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen med den registrerade, eller

c)

om ett utlämnande till en annan mottagare förutses, senast när personuppgifterna lämnas ut för första gången.

4.   Om den personuppgiftsansvarige avser att ytterligare behandla personuppgifterna för ett annat syfte än det för vilket de insamlades, ska den personuppgiftsansvarige före denna ytterligare behandling tillhandahålla den registrerade information om detta andra syfte samt ytterligare relevant information enligt punkt 2.

5.   Punkterna 1–4 ska inte tillämpas i följande fall och i den mån

a)

den registrerade redan förfogar över informationen,

b)

tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån den skyldighet som avses i punkt 1 i denna artikel sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen,

c)

erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen, eller

d)

personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten, inbegripet andra lagstadgade sekretessförpliktelser.

6.   I de fall som avses i punkt 5 b ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intressen, däribland göra informationen allmänt tillgänglig.

Artikel 17

Den registrerades rätt till tillgång

1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information:

a)

Ändamålen med behandlingen.

b)

De kategorier av personuppgifter som behandlingen gäller.

c)

De mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d)

Om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

e)

Förekomsten av rätten att hos den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling.

f)

Rätten att lämna in ett klagomål till Europeiska datatillsynsmannen.

g)

Om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer.

h)

Förekomsten av automatiserat beslutsfattande, inbegripet profilering enligt artikel 24.1 och 24.4, varvid åtminstone i dessa fall meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.

2.   Om personuppgifter överförs till ett tredjeland eller till en internationell organisation, ska den registrerade ha rätt till information om de lämpliga skyddsåtgärder som i enlighet med artikel 48 har vidtagits vid överföringen.

3.   Den personuppgiftsansvarige ska förse den registrerade med en kopia av de personuppgifter som är under behandling. Om den registrerade gör begäran i elektronisk form ska informationen tillhandahållas i ett elektroniskt format som är allmänt använt, om den registrerade inte begär något annat.

4.   Den rätt till en kopia som avses i punkt 3 ska inte inverka menligt på andras rättigheter och friheter.

AVSNITT 3

Rättelse och radering

Artikel 18

Rätt till rättelse

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålen med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Artikel 19

Rätt till radering (”rätten att bli bortglömd”)

1.   Den registrerade ska ha rätt att hos den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

a)

Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b)

Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 5.1 d eller artikel 10.2 a, och det finns inte någon annan rättslig grund för behandlingen.

c)

Den registrerade invänder mot behandlingen i enlighet med artikel 23.1 och det saknas berättigade skäl för behandlingen som väger tyngre.

d)

Personuppgifterna har behandlats på olagligt sätt.

e)

Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige omfattas av.

f)

Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, som avses i artikel 8.1.

2.   Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga, eller andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan, som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av, dessa personuppgifter.

3.   Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a)

För att utöva rätten till yttrande- och informationsfrihet.

b)

För att uppfylla en rättslig förpliktelse som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

c)

För skäl som rör ett allmänt intresse på folkhälsoområdet enligt artikel 10.2 h och i samt artikel 10.3.

d)

För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

e)

För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Artikel 20

Rätt till begränsning av behandling

1.   Den registrerade ska ha rätt att hos den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande är tillämpligt:

a)

Den registrerade bestrider personuppgifternas riktighet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är riktiga och fullständiga.

b)

Behandlingen är olaglig, och den registrerade motsätter sig att personuppgifterna raderas och begär i stället en begränsning av deras användning.

c)

Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d)

Den registrerade har invänt mot behandling i enlighet med artikel 23.1 i avvaktan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

2.   Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, behandlas endast med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller av skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

3.   En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgiftsansvarige innan begränsningen av behandlingen upphör.

4.   I automatiserade register ska begränsningar av behandlingen i princip ske med tekniska medel. Det förhållandet att personuppgifter omfattas av begränsningar ska anges i systemet på ett sådant sätt att det är tydligt att personuppgifterna inte får användas.

Artikel 21

Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 18, 19.1 och 20, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.

Artikel 22

Rätt till dataportabilitet

1.   Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om

a)

behandlingen grundar sig på samtycke enligt artikel 5.1 d eller artikel 10.2 a eller på ett avtal enligt artikel 5.1 c, och

b)

behandlingen sker automatiserat.

2.   Vid utövandet av sin rätt till dataportabilitet i enlighet med punkt 1 ska den registrerade ha rätt till överföring av personuppgifterna direkt från en personuppgiftsansvarig till en annan, eller till andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan, när detta är tekniskt möjligt.

3.   Utövandet av den rätt som avses i punkt 1 i denna artikel ska inte påverka tillämpningen av artikel 19. Den rätten ska inte gälla i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

4.   Den rätt som avses i punkt 1 får inte påverka andras rättigheter och friheter på ett ogynnsamt sätt.

AVSNITT 4

Rätt att göra invändningar och automatiserat individuellt beslutsfattande

Artikel 23

Rätt att göra invändningar

1.   Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 5.1 a, inbegripet profilering som grundar sig på den bestämmelsen. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denna inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.

2.   Senast vid den första kommunikationen med den registrerade ska den rätt som avses i punkt 1 uttryckligen meddelas den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information.

3.   I samband med användningen av informationssamhällets tjänster får den registrerade, utan att det påverkar tillämpningen av artiklarna 36 och 37, utöva sin rätt att göra invändningar på automatiserat sätt med användning av tekniska specifikationer.

4.   Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska den registrerade, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne om inte behandlingen är nödvändig för att utföra en uppgift av allmänt intresse.

Artikel 24

Automatiserat individuellt beslutsfattande, inbegripet profilering

1.   Den registrerade ska ha rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, och som har rättsliga följder för honom eller henne eller på liknande sätt i betydande grad påverkar honom eller henne.

2.   Punkt 1 ska inte tillämpas om beslutet

a)

är nödvändigt för ingående eller fullgörande av ett avtal mellan den registrerade och den personuppgiftsansvarige,

b)

tillåts enligt unionsrätten, som även fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen, eller

c)

grundar sig på den registrerades uttryckliga samtycke.

3.   I fall som avses i punkt 2 a och c ska den personuppgiftsansvarige genomföra lämpliga åtgärder för att säkerställa den registrerades rättigheter, friheter och berättigade intressen, åtminstone rätten till personlig kontakt med den personuppgiftsansvarige för att kunna utrycka sin åsikt och bestrida beslutet.

4.   Beslut som avses i punkt 2 i denna artikel får inte grunda sig på de särskilda kategorier av personuppgifter som avses i artikel 10.1, såvida inte artikel 10.2 a eller g är tillämplig och lämpliga åtgärder som ska skydda den registrerades rättigheter, friheter och berättigade intressen har inrättats.

AVSNITT 5

Begränsningar

Artikel 25

Begränsningar

1.   Rättsakter som antas på grundval av fördragen eller, när det gäller frågor rörande unionsinstitutioners och unionsorgans funktion, interna regler som införts av de sistnämnda får föreskriva begränsningar i tillämpningen av artiklarna 14–22, 35 och 36, samt artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

a)

den nationella säkerheten, den allmänna säkerheten eller försvaret i medlemsstaterna,

b)

förebyggande, förhindrande, utredning, avslöjande och lagföring av brott eller verkställande av straffrättsliga sanktioner, inbegripet skydd mot samt förebyggande och förhindrande av hot mot den allmänna säkerheten,

c)

andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt målen för unionens gemensamma utrikes- och säkerhetspolitik eller ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet,

d)

den inre säkerheten i unionsinstitutioner och unionsorgan, inbegripet deras elektroniska kommunikationsnät,

e)

skydd av rättsväsendets oberoende och rättsliga åtgärder,

f)

förebyggande, förhindrande, utredning, avslöjande och lagföring av överträdelser av etiska regler som gäller för lagreglerade yrken,

g)

en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som avses i leden a–c,

h)

skydd av den registrerade eller andras rättigheter och friheter,

i)

verkställighet av civilrättsliga krav.

2.   Framför allt ska alla rättsakter eller interna regler som avses i punkt 1 innehålla specifika bestämmelser, när så är relevant, avseende

a)

ändamålen med behandlingen eller kategorierna av behandling,

b)

kategorierna av personuppgifter,

c)

omfattningen av de införda begränsningarna,

d)

skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

e)

specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvarige,

f)

lagringsperioderna samt tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling, och

g)

riskerna för de registrerades rättigheter och friheter.

3.   Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten, som kan inkludera interna regler som antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

4.   Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten, som kan inkludera interna regler som antagits av unionsinstitutioner och unionsorgan när det gäller frågor rörande deras funktion, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20, 21, 22 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller mycket svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

5.   Sådana interna regler som avses i punkterna 1, 3 och 4 ska vara klara och precisa akter med allmän giltighet som är avsedda att ha rättsverkan gentemot registrerade och som har antagits på unionsinstitutionernas och unionsorganens högsta administrativa nivå och ska offentliggöras i Europeiska unionens officiella tidning.

6.   Om en begränsning införs i enlighet med punkt 1, ska den registrerade i enlighet med unionsrätten informeras om de huvudsakliga skälen till begränsningen och om att han eller hon har rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

7.   Om en begränsning som införts i enlighet med punkt 1 åberopas för att vägra den registrerade tillgång, ska Europeiska datatillsynsmannen vid utredning av klagomålet endast informera honom eller henne om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts.

8.   Tillhandahållande av den information som avses i punkterna 6 och 7 i den här artikeln samt i artikel 45.2 får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med punkt 1 i den här artikeln.

KAPITEL IV

PERSONUPPGIFTSANSVARIGA OCH PERSONUPPGIFTSBITRÄDEN

AVSNITT 1

Allmänna skyldigheter

Artikel 26

Den personuppgiftsansvariges ansvar

1.   Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med denna förordning. Dessa åtgärder ska ses över och uppdateras vid behov.

2.   Om det står i proportion till behandlingen, ska de åtgärder som avses i punkt 1 omfatta den personuppgiftsansvariges genomförande av lämpliga strategier för dataskydd.

3.   Tillämpningen av godkända certifieringsmekanismer som avses i artikel 42 i förordning (EU) 2016/679 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

Artikel 27

Inbyggt dataskydd och dataskydd som standard

1.   Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för ett effektivt genomförande av dataskyddsprinciper, såsom uppgiftsminimering, och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas.

2.   Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att som standard säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter som standard inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

3.   En godkänd certifieringsmekanism i enlighet med artikel 42 i förordning (EU) 2016/679 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs.

Artikel 28

Gemensamt personuppgiftsansvariga

1.   Om två eller flera personuppgiftsansvariga eller en eller flera personuppgiftsansvariga tillsammans med en eller flera personuppgiftsansvariga som inte är unionsinstitutioner och unionsorgantillsammans fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra sina skyldigheter i fråga om dataskydd, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artiklarna 15 och 16, genom ett inbördes arrangemang, såvida inte de gemensamt personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de gemensamt personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.   Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3.   Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och gentemot var och en av de personuppgiftsansvariga.

Artikel 29

Personuppgiftsbiträden

1.   Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades rättigheter skyddas.

2.   Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan särskilt eller allmänt skriftligt förhandstillstånd från den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits, ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

3.   När uppgifter behandlas av ett personuppgiftsbiträde ska behandlingen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade, samt den personuppgiftsansvariges skyldigheter och rättigheter anges. I det avtalet eller den rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet

a)

endast får behandla personuppgifter på dokumenterade instruktioner från den personuppgiftsansvarige, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation, såvida inte denna behandling krävs enligt unionsrätten eller enligt en medlemsstats nationella rätt som personuppgiftsbiträdet omfattas av; i så fall ska personuppgiftsbiträdet informera den personuppgiftsansvarige om det rättsliga kravet innan uppgifterna behandlas, såvida sådan information inte är förbjuden med hänvisning till ett viktigt allmänintresse enligt denna rätt,

b)

ska säkerställa att personer med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,

c)

ska vidta alla åtgärder som krävs enligt artikel 33,

d)

ska respektera de villkor som avses i punkterna 2 och 4 för anlitandet av ett annat personuppgiftsbiträde,

e)

med tanke på behandlingens art, ska hjälpa den personuppgiftsansvarige genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att den personuppgiftsansvarige kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III,

f)

ska bistå den personuppgiftsansvarige med att säkerställa att skyldigheterna enligt artiklarna 33–41 fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,

g)

beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänster har avslutats och radera befintliga kopior, såvida inte lagring av personuppgifterna krävs enligt unionsrätten eller medlemsstaternas nationella rätt,

h)

ska ge den personuppgiftsansvarige tillgång till all information som krävs för att visa att de skyldigheter som fastställs i denna artikel iakttas samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av den personuppgiftsansvarige eller av en annan revisor som bemyndigats av den personuppgiftsansvarige.

Med avseende på första stycket led h ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om personuppgiftsbiträdet anser att en instruktion strider mot denna förordning eller mot andra av unionens eller medlemsstaternas dataskyddsbestämmelser.

4.   I de fall där ett personuppgiftsbiträde anlitar ett annat personuppgiftsbiträde för utförande av specifik behandling på den personuppgiftsansvariges vägnar ska det andra personuppgiftsbiträdet, genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt, åläggas samma skyldigheter i fråga om dataskydd som de som fastställs i avtalet eller den andra rättsakten mellan den personuppgiftsansvarige och personuppgiftsbiträdet enligt punkt 3, och särskilt att ge tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning. Om det andra personuppgiftsbiträdet inte fullgör sina skyldigheter i fråga om dataskydd ska det ursprungliga personuppgiftsbiträdet vara fullt ansvarigt gentemot den personuppgiftsansvarige för utförandet av det andra personuppgiftsbiträdets skyldigheter.

5.   Om ett personuppgiftsbiträde inte är en unionsinstitution eller ett unionsorgan får dess anslutning till en godkänd uppförandekod som avses i artikel 40.5 i förordning (EU) 2016/679 eller en godkänd certifieringsmekanism som avses i artikel 42 i förordning (EU) 2016/679 användas för att visa att tillräckliga garantier tillhandahålls, så som avses i punkterna 1 och 4 i denna artikel.

6.   Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 i denna artikel får, utan att det påverkar tillämpningen av ett enskilt avtal mellan den personuppgiftsansvarige och personuppgiftsbiträdet, helt eller delvis baseras på sådana standardavtalsklausuler som avses i punkterna 7 och 8 i denna artikel, inbegripet när de ingår i en certifiering som beviljats det personuppgiftsbiträde som inte är en unionsinstitution eller ett unionsorgan enligt artikel 42 i förordning (EU) 2016/679.

7.   Kommissionen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4 i denna artikel, i enlighet med det granskningsförfarande som avses i artikel 96.2.

8.   Europeiska datatillsynsmannen får fastställa standardavtalsklausuler för de frågor som avses i punkterna 3 och 4.

9.   Det avtal eller den andra rättsakt som avses i punkterna 3 och 4 ska upprättas skriftligen, inbegripet i ett elektroniskt format.

10.   Om ett personuppgiftsbiträde överträder denna förordning genom att fastställa ändamålen med och medlen för behandlingen, ska personuppgiftsbiträdet anses vara en personuppgiftsansvarig med avseende på den behandlingen, utan att det påverkar tillämpningen av artiklarna 65 och 66.

Artikel 30

Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende

Personuppgiftsbiträdet och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, får endast behandla dessa på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt.

Artikel 31

Register över behandling

1.   Varje personuppgiftsansvarig ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:

a)

Namn och kontaktuppgifter för den personuppgiftsansvarige, dataskyddsombudet samt, i tillämpliga fall, personuppgiftsbiträdet och den gemensamt personuppgiftsansvarige.

b)

Ändamålen med behandlingen.

c)

En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.

d)

De kategorier av mottagare till vilka personuppgifterna har lämnats ut eller ska lämnas ut, inbegripet mottagare i medlemsstater, tredjeländer eller internationella organisationer.

e)

I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och dokumentation av lämpliga skyddsåtgärder.

f)

Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.

g)

Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 33.

2.   Varje personuppgiftsbiträde ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:

a)

Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena, för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar samt för dataskyddsombudet.

b)

De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.

c)

I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och dokumentation av lämpliga skyddsåtgärder.

d)

Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 33.

3.   De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

4.   Unionsinstitutioner och unionsorgan ska på begäran göra registret tillgängligt för Europeiska datatillsynsmannen.

5.   Såvida det inte är olämpligt med hänsyn till unionsinstitutionens eller unionsorganets storlek, ska unionsinstitutioner och unionsorgan bevara sina register över behandling i ett centralt register. De ska göra registret allmänt tillgängligt.

Artikel 32

Samarbete med Europeiska datatillsynsmannen

Unionsinstitutioner och unionsorgan ska på begäran samarbeta med Europeiska datatillsynsmannen vid fullgörandet av dess uppgifter.

AVSNITT 2

Säkerhet för personuppgifter

Artikel 33

Säkerhet i samband med behandlingen

1.   Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet när det är lämpligt

a)

pseudonymisering och kryptering av personuppgifter,

b)

förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och behandlingstjänsterna,

c)

förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,

d)

ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

2.   Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandling medför, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt utlämnande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

3.   Den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, behandlar dessa endast på instruktion från den personuppgiftsansvarige, om inte unionsrätten ålägger honom eller henne att göra det.

4.   Anslutning till en godkänd certifieringsmekanism som avses i artikel 42 i förordning (EU) 2016/679 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

Artikel 34

Anmälan av en personuppgiftsincident till Europeiska datatillsynsmannen

1.   Vid en personuppgiftsincident ska den personuppgiftsansvarige utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om den, anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till Europeiska datatillsynsmannen inte görs inom 72 timmar ska den åtföljas av en motivering till förseningen.

2.   Personuppgiftsbiträdet ska underrätta den personuppgiftsansvarige utan onödigt dröjsmål efter att ha fått vetskap om en personuppgiftsincident.

3.   Den anmälan som avses i punkt 1 ska åtminstone

a)

beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs,

b)

förmedla namnet på och kontaktuppgifterna för dataskyddsombudet,

c)

beskriva de sannolika konsekvenserna av personuppgiftsincidenten,

d)

beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

4.   Om och i den utsträckning det inte är möjligt att tillhandahålla informationen samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

5.   Den personuppgiftsansvarige ska underrätta dataskyddsombudet om personuppgiftsincidenten.

6.   Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för Europeiska datatillsynsmannen att kontrollera efterlevnaden av denna artikel.

Artikel 35

Information till den registrerade om en personuppgiftsincident

1.   Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

2.   Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och åtgärder som avses i artikel 34.3 b, c och d.

3.   Information till den registrerade i enlighet med punkt 1 ska inte krävas om något av följande villkor är uppfyllt:

a)

Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder har tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

b)

Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c)

Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade underrättas på ett lika effektivt sätt.

4.   Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får Europeiska datatillsynsmannen, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att den personuppgiftsansvarige gör det eller får besluta att något av de villkor som avses i punkt 3 uppfylls.

AVSNITT 3

Konfidentialitet för elektronisk kommunikation

Artikel 36

Konfidentialitet för elektronisk kommunikation

Unionsinstitutioner och unionsorgan ska säkerställa konfidentiell behandling av uppgifter inom elektronisk kommunikation, särskilt genom att säkra sina elektroniska kommunikationsnät.

Artikel 37

Skydd av information som sänds till, lagras i, avser, behandlas av eller samlas in från användares terminalutrustning

Unionsinstitutioner och unionsorgan ska skydda information som sänds till, lagras i, avser, behandlas av eller samlas in från användares terminalutrustning som används för att få tillgång till unionsinstitutionernas och unionsorganens allmänt tillgängliga webbplatser och mobila applikationer i enlighet med artikel 5.3 i direktiv 2002/58/EG.

Artikel 38

Kataloger över användare

1.   Personuppgifter i kataloger och tillgång till sådana kataloger ska begränsas till vad som är absolut nödvändigt för de specifika ändamålen med katalogen.

2.   Unionsinstitutioner och unionsorgan ska vidta alla nödvändiga åtgärder för att förhindra att personuppgifter i dessa kataloger används för direkt marknadsföring, oavsett om de är tillgängliga för allmänheten eller inte.

AVSNITT 4

konsekvensbedömning avseende dataskydd samt föregående samråd

Artikel 39

Konsekvensbedömning avseende dataskydd

1.   Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, sannolikt leder till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av personuppgifter. En enda bedömning får omfatta en serie liknande behandlingar som medför liknande höga risker.

2.   Den personuppgiftsansvarige ska rådfråga dataskyddsombudet vid genomförande av en konsekvensbedömning avseende dataskydd.

3.   En konsekvensbedömning avseende dataskydd som avses i punkt 1 ska särskilt krävas i följande fall:

a)

En systematisk och omfattande bedömning av fysiska personers personliga aspekter som grundar sig på automatisk behandling, inbegripet profilering, och på vilken beslut grundar sig som har rättsliga följder för fysiska personer eller på liknande sätt i betydande grad påverkar fysiska personer.

b)

Behandling i stor omfattning av särskilda kategorier av uppgifter som avses i artikel 10 eller av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott, som avses i artikel 11.

c)

Systematisk övervakning av en allmän plats i stor omfattning.

4.   Europeiska datatillsynsmannen ska upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd i enlighet med punkt 1.

5.   Europeiska datatillsynsmannen får också upprätta och offentliggöra en förteckning över det slags behandlingsverksamheter som inte kräver någon konsekvensbedömning avseende dataskydd.

6.   Innan de förteckningar som avses i punkterna 4 och 5 i denna artikel antas ska Europeiska datatillsynsmannen begära att Europeiska dataskyddsstyrelsen, som inrättats genom artikel 68 i förordning (EU) 2016/679, undersöker dem i enlighet med artikel 70.1 e i den förordningen, om de avser behandling som utförs av en personuppgiftsansvarig gemensamt med en eller flera andra personuppgiftsansvariga än unionsinstitutioner och unionsorgan.

7.   Bedömningen ska innehålla åtminstone

a)

en systematisk beskrivning av den planerade behandlingen och behandlingens syften,

b)

en bedömning av behovet av och proportionaliteten hos behandlingen i förhållande till syftena,

c)

en bedömning av de risker för de registrerades rättigheter och friheter som avses i punkt 1, och

d)

de åtgärder som planeras för att hantera riskerna, inbegripet skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av personuppgifterna och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

8.   Efterlevnaden av godkända uppförandekoder enligt artikel 40 i förordning (EU) 2016/679 från andra personuppgiftsbiträden än unionsinstitutioner och unionsorgan ska på lämpligt sätt beaktas vid bedömningen av konsekvenserna av de behandlingar som utförs av dessa personuppgiftsbiträden, framför allt när det gäller att ta fram en konsekvensbedömning avseende dataskydd.

9.   Den personuppgiftsansvarige ska, när det är lämpligt, inhämta synpunkter från de registrerade eller deras företrädare om den avsedda behandlingen, utan att det påverkar skyddet av allmänna intressen eller behandlingens säkerhet.

10.   Om behandlingen enligt artikel 5.1 a eller b har en rättslig grund i en rättsakt som antagits på grundval av fördragen och som reglerar den särskilda behandlingen eller serien av behandlingar i fråga, och om en konsekvensbedömning avseende dataskydd redan har genomförts som en del av en allmän konsekvensbedömning som föregick antagandet av den rättsakten, ska punkterna 1–6 i den här artikeln inte vara tillämpliga, såvida inte den rättsakten föreskriver något annat.

11.   Den personuppgiftsansvarige ska vid behov genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen avseende dataskydd åtminstone när den risk som behandlingen medför förändras.

Artikel 40

Förhandssamråd

1.   Den personuppgiftsansvarige ska samråda med Europeiska datatillsynsmannen före behandling om en konsekvensbedömning avseende dataskydd enligt artikel 39 visar att behandlingen utan skyddsåtgärder, säkerhetsåtgärder och mekanismer för att minska risken kommer att innebära en hög risk för fysiska personers rättigheter och friheter, och den personuppgiftsansvarige anser att risken inte kan minskas genom åtgärder som är rimliga med avseende på tillgänglig teknik och genomförandekostnader. Den personuppgiftsansvarige ska rådfråga dataskyddsombudet om behovet av föregående samråd.

2.   Om Europeiska datatillsynsmannen anser att den planerade behandling som avses i punkt 1 skulle strida mot denna förordning, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska Europeiska datatillsynsmannen inom en period på högst åtta veckor från det att begäran om samråd mottagits, ge den personuppgiftsansvarige och i tillämpliga fall personuppgiftsbiträdet skriftliga råd och får utnyttja alla de befogenheter som denne har enligt artikel 58. Denna period får förlängas med sex veckor med beaktande av hur komplicerad den planerade behandlingen är. Europeiska datatillsynsmannen ska informera den personuppgiftsansvarige och, i tillämpliga fall, personuppgiftsbiträdet om en sådan förlängning inom en månad från det att begäran om samråd mottagits, tillsammans med orsakerna till förseningen. Dessa perioder får tillfälligt upphöra att löpa i avvaktan på att Europeiska datatillsynsmannen erhåller den information som den har begärt med tanke på samrådet.

3.   Vid samråd med Europeiska datatillsynsmannen enligt punkt 1 ska den personuppgiftsansvarige till Europeiska datatillsynsmannen lämna

a)

i tillämpliga fall, uppgift om de respektive ansvarsområdena för den personuppgiftsansvarige, de gemensamt personuppgiftsansvariga och de personuppgiftsbiträden som medverkar vid behandlingen,

b)

ändamålen med och medlen för den avsedda behandlingen,

c)

de åtgärder som vidtas och de garantier som lämnas för att skydda de registrerades rättigheter och friheter enligt denna förordning,

d)

kontaktuppgifter till dataskyddsombudet,

e)

konsekvensbedömningen avseende dataskydd enligt artikel 39, och

f)

all annan information som begärs av Europeiska datatillsynsmannen.

4.   Kommissionen får genom en genomförandeakt fastställa en förteckning över de fall där de personuppgiftsansvarige ska samråda med, och erhålla förhandstillstånd av, Europeiska datatillsynsmannen i samband med behandling av personuppgifter för att utföra en arbetsuppgift som den personuppgiftsansvarige utför i allmänhetens intresse, inbegripet behandling av sådana uppgifter i samband med social trygghet och folkhälsa.

AVSNITT 5

Information och samråd i lagstiftningsprocessen

Artikel 41

Information och samråd

1.   Unionsinstitutioner och unionsorgan ska underrätta Europeiska datatillsynsmannen när de utarbetar administrativa åtgärder och interna regler som rör behandling av personuppgifter av en unionsinstitution eller ett unionsorgan, ensamt eller tillsammans med andra.

2.   Unionsinstitutioner och unionsorgan ska samråda med Europeiska datatillsynsmannen när de utarbetar de interna regler som avses i artikel 25.

Artikel 42

Samråd i lagstiftningsprocessen

1.   Kommissionen ska, efter antagandet av förslag till en lagstiftningsakt, av rekommendationer eller av förslag till rådet i enlighet med artikel 218 i EUF-fördraget eller i samband med utarbetandet av delegerade akter eller genomförandeakter, vilka har en inverkan på skyddet av enskilda personers rättigheter och friheter med avseende på behandling av personuppgifter, samråda med Europeiska datatillsynsmannen.

2.   När en akt som avses i punkt 1 är av särskild betydelse för skyddet av enskilda personers rättigheter och friheter med avseende på behandling av personuppgifter, får kommissionen även samråda med Europeiska dataskyddsstyrelsen. I sådana fall ska Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen samordna sitt arbete i syfte att utfärda ett gemensamt yttrande.

3.   Den rådgivning som avses i punkterna 1 och 2 ska tillhandahållas skriftligen inom en period på högst åtta veckor från mottagandet av begäran om samråd som avses i punkterna 1 och 2. I brådskande fall, eller där det i övrigt är lämpligt, får kommissionen förkorta tidsfristen.

4.   Denna artikel ska inte tillämpas i de fall då kommissionen i enlighet med förordning (EU) 2016/679 är skyldig att samråda med Europeiska dataskyddsstyrelsen.

AVSNITT 6

Dataskyddsombud

Artikel 43

Utnämning av dataskyddsombudet

1.   Varje unionsinstitution eller unionsorgan ska utnämna ett dataskyddsombud.

2.   Unionsinstitutioner och unionsorgan får utnämna ett enda dataskyddsombud för flera av dem, med hänsyn till deras organisationsstruktur och storlek.

3.   Dataskyddsombudet ska utses på grundval av yrkesmässiga kvalifikationer och, i synnerhet, sakkunskap om lagstiftning och praxis avseende dataskydd samt förmågan att fullgöra de uppgifter som avses i artikel 45.

4.   Dataskyddsombudet ska ingå i unionsinstitutionens eller unionsorganets personal. Med hänsyn tagen till deras storlek och om det alternativ som anges i punkt 2 inte har utnyttjats, får unionsinstitutioner och unionsorgan utse ett dataskyddsombud som utför sina uppgifter på grundval av ett tjänsteavtal.

5.   Unionsinstitutioner och unionsorgan ska offentliggöra dataskyddsombudets kontaktuppgifter och meddela dessa till Europeiska datatillsynsmannen.

Artikel 44

Dataskyddsombudets ställning

1.   Unionsinstitutioner och unionsorgan ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2.   Unionsinstitutioner och unionsorgan ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 45 genom att tillhandahålla de resurser som krävs för att fullgöra dessa uppgifter samt tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av hans eller hennes sakkunskap.

3.   Unionsinstitutioner och unionsorgan ska säkerställa att dataskyddsombudet inte tar emot instruktioner som gäller utförandet av dessa uppgifter. Dataskyddsombudet får inte avsättas eller bli föremål för sanktioner av den personuppgiftsansvarige eller personuppgiftsbiträdet för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till den personuppgiftsansvariges eller personuppgiftsbiträdets högsta ledningsnivå.

4.   Den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt denna förordning.

5.   Dataskyddsombudet och dennes personal ska, när det gäller genomförandet av sina uppgifter, vara bundna av sekretess eller konfidentialitet i enlighet med unionsrätten.

6.   Dataskyddsombudet får fullgöra andra uppgifter och uppdrag. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska se till att sådana uppgifter och uppdrag inte leder till en intressekonflikt.

7.   Dataskyddsombudet får rådfrågas av den personuppgiftsansvarige och personuppgiftsbiträdet, av den berörda personalkommittén och av enskilda personer, i alla frågor som rör tolkningen eller tillämpningen av denna förordning, utan att dessa personer behöver gå den officiella vägen. Ingen ska lida förfång för att ha gjort det behöriga dataskyddsombudet uppmärksamt på att en händelse som påstås utgöra en överträdelse av bestämmelserna i denna förordning har ägt rum.

8.   Dataskyddsombudet ska utses för en period på tre till fem år och ska kunna ges förnyat mandat. Dataskyddsombudet får avsättas från sitt uppdrag av den unionsinstitution eller det unionsorgan som utsett honom eller henne om han eller hon inte längre uppfyller de krav som ställs för att han eller hon ska kunna utföra sina uppgifter endast efter medgivande av Europeiska datatillsynsmannen.

9.   Efter det att dataskyddsombudet har utsetts ska han eller hon registreras hos Europeiska datatillsynsmannen av den unionsinstitution eller det unionsorgan som utsåg vederbörande.

Artikel 45

Dataskyddsombudets uppgifter

1.   Dataskyddsombudet ska ha följande uppgifter:

a)

Informera och ge råd till den personuppgiftsansvarige eller personuppgiftsbiträdet och de anställda som behandlar om deras skyldigheter enligt denna förordning och andra av unionens dataskyddsbestämmelser.

b)

På ett oberoende sätt säkerställa den interna tillämpningen av denna förordning och övervaka efterlevnaden av denna förordning, av annan tillämplig unionsrätt som innehåller dataskyddsbestämmelser och av den personuppgiftsansvariges eller personuppgiftsbiträdets strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling, samt tillhörande granskning.

c)

Säkerställa att registrerade informeras om sina rättigheter och skyldigheter enligt denna förordning.

d)

På begäran ge råd vad gäller behovet av en anmälan av eller ett meddelande om en personuppgiftsincident enligt artiklarna 34 och 35.

e)

På begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och övervaka genomförandet enligt artikel 39 och samråda med Europeiska datatillsynsmannen vid eventuellt tvivel om behovet av en konsekvensbedömning avseende dataskydd.

f)

På begäran ge råd vad gäller behovet av föregående samråd med Europeiska datatillsynsmannen enligt artikel 40 och samråda med Europeiska datatillsynsmannen vid eventuellt tvivel om behovet av ett föregående samråd.

g)

Besvara begäranden från Europeiska datatillsynsmannen och, inom ramen för sin behörighet, samarbeta och samråda med denne på Europeiska datatillsynsmannens begäran eller på eget initiativ.

h)

Säkerställa att de registrerades rättigheter och friheter inte påverkas negativt av behandlingen.

2.   Dataskyddsombudet får ge rekommendationer till den personuppgiftsansvarige och personuppgiftsbiträdet för den praktiska förbättringen av uppgiftsskyddet och ge dem råd i frågor som rör tillämpningen av bestämmelserna om uppgiftsskydd. Dessutom får han eller hon, på eget initiativ eller på begäran av den personuppgiftsansvarige eller personuppgiftsbiträdet, den berörda personalkommittén eller varje enskild person, utreda frågor och händelser som har direkt samband med hans eller hennes uppgifter och som kommer till hans eller hennes kännedom och rapportera tillbaka till den person som beställde utredningen eller till den personuppgiftsansvarige eller personuppgiftsbiträdet.

3.   Ytterligare genomföranderegler rörande dataskyddsombudet ska antas av varje unionsinstitution eller unionsorgan. Genomförandereglerna ska i synnerhet avse dataskyddsombudets arbetsuppgifter, åligganden och befogenheter.

KAPITEL V

ÖVERFÖRING AV PERSONUPPGIFTER TILL TREDJELÄNDER ELLER INTERNATIONELLA ORGANISATIONER

Artikel 46

Allmän princip för överföring av uppgifter

Överföring av personuppgifter som är under behandling eller är avsedda att behandlas efter det att de överförts till ett tredjeland eller en internationell organisation får bara ske under förutsättning att den personuppgiftsansvarige och personuppgiftsbiträdet, med förbehåll för övriga bestämmelser i denna förordning, uppfyller villkoren i detta kapitel, inklusive för vidare överföring av personuppgifter från tredjelandet eller den internationella organisationen till ett annat tredjeland eller en annan internationell organisation. Alla bestämmelser i detta kapitel ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.

Artikel 47

Överföring på grundval av ett beslut om adekvat skyddsnivå

1.   Personuppgifter får överföras till ett tredjeland eller en internationell organisation om kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680 har beslutat att ett tredjeland, ett territorium eller en eller flera specificerade sektorer i det tredjelandet, eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå, och personuppgifter överförs uteslutande för att göra det möjligt att utföra uppgifter som omfattas av den personuppgiftsansvariges behörighet.

2.   Unionsinstitutioner och unionsorgan ska informera kommissionen och Europeiska datatillsynsmannen då de anser att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredje land, eller en internationell organisation i fråga inte säkerställer en adekvat skyddsnivå enligt punkt 1.

3.   Unionsinstitutioner och unionsorgan ska vidta de åtgärder som är nödvändiga för att följa de beslut kommissionen fattat enligt artikel 45.3 eller 45.5 i förordning (EU) 2016/679 eller med artikel 36.3 eller 36.5 i direktiv (EU) 2016/680, i vilka den konstaterat att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom ett tredje land, eller en internationell organisation säkerställer eller inte längre säkerställer en adekvat skyddsnivå.

Artikel 48

Överföring som omfattas av lämpliga skyddsåtgärder

1.   I avsaknad av ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680 får en personuppgiftsansvarig eller ett personuppgiftsbiträde överföra personuppgifter till ett tredjeland eller en internationell organisation endast efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

2.   Lämpliga skyddsåtgärder enligt punkt 1 får, utan att det krävs särskilt tillstånd från Europeiska datatillsynsmannen, införas genom

a)

ett rättsligt bindande och verkställbart instrument mellan offentliga myndigheter eller organ,

b)

standardiserade dataskyddsbestämmelser som antagits av kommissionen i enlighet med det granskningsförfarande som avses i artikel 96.2,

c)

standardiserade dataskyddsbestämmelser som antas av Europeiska datatillsynsmannen och godkänts av kommissionen enligt det granskningsförfarande som avses i artikel 96.2,

d)

i de fall där personuppgiftsbiträdet inte är en unionsinstitution eller ett unionsorgan, bindande företagsbestämmelser, uppförandekoder eller certifieringsmekanismer enligt artikel 46.2 b, e och f i förordning (EU) 2016/679.

3.   Med förbehåll för tillstånd från Europeiska datatillsynsmannen, får lämpliga skyddsåtgärder enligt punkt 1 också i synnerhet ta formen av

a)

avtalsklausuler mellan den personuppgiftsansvarige eller personuppgiftsbiträdet och den personuppgiftsansvarige, personuppgiftsbiträdet eller mottagaren av personuppgifterna i tredjelandet eller den internationella organisationen, eller

b)

bestämmelser som ska införas i administrativa överenskommelser mellan offentliga myndigheter eller organ vilka inbegriper verkställbara och faktiska rättigheter för registrerade.

4.   Tillstånd från Europeiska datatillsynsmannen på grundval av artikel 9.7 i förordning (EG) nr 45/2001 ska förbli giltiga till dess att de, vid behov, har ändrats, ersatts eller upphävts av Europeiska datatillsynsmannen.

5.   Unionsinstitutioner och unionsorgan ska informera Europeiska datatillsynsmannen om kategorier av fall där denna artikel har tillämpats.

Artikel 49

Överföringar och utlämnanden som inte är tillåtna enligt unionsrätten

Domstolsbeslut eller beslut från myndigheter i tredjeland där det krävs att en personuppgiftsansvarig eller ett personuppgiftsbiträde överför eller lämnar ut personuppgifter får erkännas eller verkställas på något som helst sätt endast om det grundar sig på en internationell överenskommelse, såsom ett avtal om ömsesidig rättslig hjälp, som gäller mellan det begärande tredjelandet och unionen, utan att detta påverkar andra grunder för överföring enligt detta kapitel.

Artikel 50

Undantag i särskilda situationer

1.   Om det inte föreligger något beslut om adekvat skyddsnivå enligt artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680 eller lämpliga skyddsåtgärder enligt artikel 48 i den här förordningen ska en överföring eller en uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation ske endast om något av följande villkor är uppfyllt:

a)

Den registrerade har uttryckligen samtyckt till att uppgifterna får överföras, efter att först ha blivit informerad om de eventuella riskerna med sådana överföringar för den registrerade med hänsyn till att det inte föreligger något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder.

b)

Överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den personuppgiftsansvarige eller för att genomföra åtgärder som föregår ett sådant avtal på den registrerades begäran.

c)

Överföringen är nödvändig för att ingå eller fullgöra ett avtal mellan den personuppgiftsansvarige och en annan fysisk eller juridisk person som ingåtts i den registrerades intresse.

d)

Överföringen är nödvändig av viktiga skäl som rör allmänintresset.

e)

Överföringen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

f)

Överföringen är nödvändig för att skydda den registrerades eller andra personers grundläggande intressen, när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke.

g)

Överföringen görs från ett register som enligt unionsrätten är avsett att ge information till allmänheten och som är tillgängligt antingen för allmänheten eller för varje person som kan påvisa ett berättigat intresse, men endast i den utsträckning som de i unionsrätten angivna villkoren för tillgänglighet uppfylls i det särskilda fallet.

2.   Punkt 1 a, b och c ska inte tillämpas på åtgärder som vidtas av unionsinstitutioner och unionsorgan som ett led i utövandet av deras offentliga befogenheter.

3.   Det allmänintresse som avses i punkt 1 d ska vara erkänt i unionsrätten.

4.   En överföring enligt punkt 1 g får inte omfatta alla personuppgifter eller hela kategorier av personuppgifter som finns i registret, såvida inte unionsrätten tillåter det. Om registret är avsett att vara tillgängligt för personer med ett berättigat intresse ska överföringen göras endast på begäran av dessa personer eller om de själva är mottagarna.

5.   Saknas beslut om adekvat skyddsnivå får unionsrätten med hänsyn till viktiga allmänintressen uttryckligen fastställa gränser för överföringen av specifika kategorier av personuppgifter till ett tredjeland eller en internationell organisation.

6.   Unionsinstitutioner och unionsorgan ska informera Europeiska datatillsynsmannen om kategorierna av fall där denna artikel har tillämpats.

Artikel 51

Internationellt samarbete för skydd av personuppgifter

När det gäller tredjeländer och internationella organisationer ska Europeiska datatillsynsmannen, i samarbete med kommissionen och Europeiska dataskyddsstyrelsen, vidta lämpliga åtgärder för att

a)

utveckla rutiner för det internationella samarbetet för att underlätta en effektiv tillämpning av lagstiftningen om skydd av personuppgifter,

b)

på internationell nivå erbjuda ömsesidigt bistånd för en effektiv tillämpning av lagstiftningen om skydd av personuppgifter, bland annat genom underrättelse, hänskjutande av klagomål, bistånd vid utredningar samt informationsutbyte, med iakttagande av lämpliga skyddsåtgärder för personuppgifter samt andra grundläggande rättigheter och friheter,

c)

involvera berörda aktörer i diskussioner och åtgärder som syftar till att öka det internationella samarbetet när det gäller tillämpningen av lagstiftningen om skydd av personuppgifter,

d)

främja utbyte och dokumentation om lagstiftning och praxis för skydd av personuppgifter, inklusive avseende behörighetskonflikter med tredjeländer.

KAPITEL VI

EUROPEISKA DATATILLSYNSMANNEN

Artikel 52

Europeiska datatillsynsmannen

1.   Härmed inrättas Europeiska datatillsynsmannen.

2.   Vad gäller behandling av personuppgifter ska Europeiska datatillsynsmannen ha i uppdrag att säkerställa att fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till dataskydd, respekteras av unionsinstitutioner och unionsorgan.

3.   Europeiska datatillsynsmannen ska ha i uppdrag att övervaka och säkerställa tillämpningen av bestämmelserna i denna förordning och andra unionsrättsakter om skyddet för fysiska personers grundläggande fri- och rättigheter då en unionsinstitution eller ett unionsorgan behandlar personuppgifter och för att ge råd till unionsinstitutioner och unionsorgan och de registrerade i alla frågor som rör behandling av personuppgifter. För dessa ändamål ska Europeiska datatillsynsmannen fullgöra de uppgifter som fastställs i artikel 57 och utöva de befogenheter som anges i artikel 58.

4.   Förordning (EG) nr 1049/2001 ska vara tillämplig på handlingar som innehas av Europeiska datatillsynsmannen. Europeiska datatillsynsmannen ska anta föreskrifter för tillämpningen av förordning (EG) nr 1049/2001 när det gäller dessa handlingar.

Artikel 53

Utnämning av Europeiska datatillsynsmannen

1.   Europaparlamentet och rådet ska i samförstånd utnämna Europeiska datatillsynsmannen för en period av fem år, på grundval av en förteckning som kommissionen upprättat efter en offentlig infordran av intresseanmälningar. Infordran av intresseanmälningar ska göra det möjligt för alla intresserade parter i hela unionen att lämna in sina ansökningar. Den förteckning över kandidater som upprättats av kommissionen ska vara offentlig och bestå av minst tre kandidater. På grundval av den förteckning som upprättats av kommissionen får Europaparlamentets behöriga utskott besluta att hålla en utfrågning för att kunna yttra sig om vilken kandidat det föredrar.

2.   Den förteckning av kandidater som avses i punkt 1 ska bestå av personer vars oberoende är ställt utom alla tvivel och som har expertkunskap inom dataskydd och den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeisk datatillsynsman.

3.   Europeiska datatillsynsmannens mandattid ska kunna förnyas en gång.

4.   Europeiska datatillsynsmannens skyldigheter ska upphöra i följande fall:

a)

Om Europeiska datatillsynsmannen byts ut.

b)

Om Europeiska datatillsynsmannen avgår.

c)

Om Europeiska datatillsynsmannen entledigas eller avsätts.

5.   Europeiska datatillsynsmannen kan på begäran av Europaparlamentet, rådet eller kommissionen entledigas eller fråntas sina pensionsrättigheter eller andra förmåner av domstolen, om han eller hon inte längre uppfyller de krav som ställs för att han eller hon ska kunna utföra sina uppgifter eller om han eller hon gjort sig skyldig till allvarlig försummelse.

6.   Vid normal nytillsättning eller frivillig avgång ska Europeiska datatillsynsmannen emellertid kvarstå i tjänst till dess att han eller hon har fått en ersättare.

7.   Artiklarna 11–14 och 17 i protokollet om Europeiska unionens immunitet och privilegier ska vara tillämpliga på Europeiska datatillsynsmannen.

Artikel 54

Föreskrifter och allmänna villkor för hur Europeiska datatillsynsmannen ska utöva sitt ämbete samt om personal och finansiella medel

1.   Europeiska datatillsynsmannen ska anses likställd med en domare vid domstolen när det gäller fastställande av löner, ersättningar, ålderspension och all annan ersättning utöver lön.

2.   Budgetmyndigheten ska säkerställa att Europeiska datatillsynsmannen erhåller den personal och de finansiella medel som behövs för att han eller hon ska kunna fullgöra sina uppgifter.

3.   Budgeten för Europeiska datatillsynsmannen ska finnas under en särskild budgetpost i avsnittet om administrativa utgifter i unionens allmänna budget.

4.   Europeiska datatillsynsmannen ska biträdas av ett sekretariat. Tjänstemän och övriga anställda vid sekretariatet ska utses av Europeiska datatillsynsmannen, som ska vara deras överordnade. De ska endast stå under hans eller hennes ledning. Deras antal ska fastställas varje år inom ramen för budgetförfarandet. Artikel 75.2 i förordning (EU) 2016/679 ska tillämpas på dem bland Europeiska datatillsynsmannens personal som deltar i att utföra de uppgifter som tilldelats Europeiska dataskyddsstyrelsen i unionsrätten.

5.   Tjänstemän och övriga anställda vid Europeiska datatillsynsmannens sekretariat ska omfattas av de förordningar och regler som tillämpas på tjänstemän och övriga anställda i unionen.

6.   Europeiska datatillsynsmannen ska ha sitt säte i Bryssel.

Artikel 55

Oberoende

1.   Europeiska datatillsynsmannen ska vara fullständigt oberoende i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning.

2.   Europeiska datatillsynsmannen ska i utförandet av sina uppgifter och utövandet av sina befogenheter i enlighet med denna förordning stå fria från utomstående påverkan, direkt såväl som indirekt, och får varken begära eller ta emot instruktioner av någon.

3.   Europeiska datatillsynsmannen ska avhålla sig från alla handlingar som är oförenliga med hans eller hennes skyldigheter och under sin mandattid avstå från all annan avlönad eller oavlönad yrkesverksamhet.

4.   Efter sin mandattid ska Europeiska datatillsynsmannen visa integritet och omdöme i fråga om att acceptera utnämningar och ta emot förmåner.

Artikel 56

Tystnadsplikt

Både under och efter sin mandattid ska Europeiska datatillsynsmannen och hans eller hennes personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen.

Artikel 57

Uppgifter

1.   Utan att det påverkar de andra uppgifter som föreskrivs i denna förordning ska Europeiska datatillsynsmannen ansvara för följande:

a)

Övervaka och upprätthålla unionsinstitutioner och unionsorgans tillämpning av denna förordning, med undantag av behandling av personuppgifter som utförs av domstolen i dess rättskipande funktion.

b)

Öka allmänhetens medvetenhet om och förståelse för risker, regler, skyddsåtgärder och rättigheter i fråga om behandling. Särskild uppmärksamhet ska ägnas åt insatser som riktar sig till barn.

c)

Öka personuppgiftsansvarigas och personuppgiftsbiträdens medvetenhet om sina skyldigheter enligt denna förordning.

d)

På begäran tillhandahålla information till registrerade om hur de ska utöva sina rättigheter enligt denna förordning, och om så krävs samarbeta med de nationella tillsynsmyndigheterna för detta ändamål.

e)

Behandla klagomål som lämnats in av en registrerad eller av ett organ, en organisation eller en sammanslutning i enlighet med artikel 67, och där så är lämpligt undersöka den sakfråga som klagomålet gäller och inom rimlig tid underrätta klaganden om hur undersökningen fortskrider och om resultatet, särskilt om det krävs ytterligare undersökningar eller samordning med en annan tillsynsmyndighet.

f)

Utföra undersökningar om tillämpningen av denna förordning, inbegripet på grundval av information som erhålls från en annan tillsynsmyndighet eller annan myndighet.

g)

På eget initiativ eller på begäran ge rådgivning åt alla unionsinstitutioner och unionsorgan om lagstiftningsåtgärder och administrativa åtgärder rörande skyddet av fysiska personers rättigheter och friheter med avseende på behandling av personuppgifter.

h)

Övervaka relevant utveckling i den mån den påverkar skyddet av personuppgifter, särskilt inom informations- och kommunikationsteknik.

i)

Anta sådana standardavtalsklausuler som avses i artiklarna 29.8 och 48.2 c.

j)

Upprätta och föra en förteckning när det gäller kravet på en konsekvensbedömning avseende dataskydd enligt artikel 39.4.

k)

Delta i den verksamhet som bedrivs av Europeiska dataskyddsstyrelsen.

l)

Tillhandahålla Europeiska dataskyddsstyrelsens sekretariat, i enlighet med artikel 75 i förordning (EU) 2016/679.

m)

Ge råd om behandling som avses i artikel 40.2.

n)

Godkänna sådana avtalsklausuler och bestämmelser som avses i artikel 48.3.

o)

Föra interna register över överträdelser av denna förordning och åtgärder som vidtagits i enlighet med artikel 58.2.

p)

Utföra eventuella andra uppgifter som rör skyddet av personuppgifter.

q)

Anta sin arbetsordning.

2.   Europeiska datatillsynsmannen ska underlätta inlämnandet av klagomål enligt punkt 1 e genom ett särskilt formulär för det ändamålet, vilket också kan fyllas i elektroniskt, utan att andra kommunikationsformer utesluts.

3.   Utförandet av Europeiska datatillsynsmannens uppgifter ska vara kostnadsfritt för den registrerade.

4.   Om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva karaktär, får Europeiska datatillsynsmannen vägra att tillmötesgå begäran. Det åligger Europeiska datatillsynsmannen att visa att begäran är uppenbart ogrundad eller orimlig.

Artikel 58

Befogenheter

1.   Europeiska datatillsynsmannen ska ha samtliga följande utredningsbefogenheter:

a)

Att beordra den personuppgiftsansvarige eller personuppgiftsbiträdet att tillhandahålla all information som Europeiska datatillsynsmannen behöver för att kunna fullgöra sina uppgifter.

b)

Att genomföra undersökningar i form av dataskyddstillsyn.

c)

Att underrätta den personuppgiftsansvarige eller personuppgiftsbiträdet om en påstådd överträdelse av denna förordning.

d)

Att från den personuppgiftsansvarige och personuppgiftsbiträdet få tillgång till alla personuppgifter och all information som tillsynsmyndigheten behöver för att kunna fullgöra sina uppgifter.

e)

Att få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionsrätten.

2.   Europeiska datatillsynsmannen ska ha samtliga följande korrigerande befogenheter:

a)

Att utfärda varningar till en personuppgiftsansvarig eller ett personuppgiftsbiträde om att planerade behandlingar sannolikt kommer att bryta mot bestämmelserna i denna förordning.

b)

Att utfärda reprimander till en personuppgiftsansvarig eller ett personuppgiftsbiträde om behandling bryter mot bestämmelserna i denna förordning.

c)

Att rapportera ärenden till den personuppgiftsansvarige eller det personuppgiftsbiträde som berörs och vid behov till Europaparlamentet, rådet och kommissionen.

d)

Att förelägga den personuppgiftsansvarige eller personuppgiftsbiträdet att tillmötesgå den registrerades begäran att få utöva sina rättigheter enligt denna förordning.

e)

Att förelägga en personuppgiftsansvarig eller ett personuppgiftsbiträde att se till att behandlingen sker i enlighet med bestämmelserna i denna förordning och om så krävs på ett specifikt sätt och inom en specifik period.

f)

Att förelägga den personuppgiftsansvarige att meddela den registrerade att en personuppgiftsincident har inträffat.

g)

Att införa en tillfällig eller definitiv begränsning av, inklusive ett förbud mot, behandling.

h)

Att förelägga om rättelse eller radering av personuppgifter eller begränsning av behandling enligt artiklarna 18, 19 och 20 och underrätta mottagare till vilka personuppgifterna har lämnats ut om dessa åtgärder enligt artiklarna 19.2 och 21.

i)

Att påföra administrativa sanktionsavgifter i enlighet med artikel 66, om en unionsinstitution eller ett unionsorgan inte har efterlevt en av de åtgärder som avses i leden d–h och j i denna punkt, med hänsyn till omständigheterna i det enskilda fallet.

j)

Att förelägga om att flödet av uppgifter till en mottagare i en medlemsstat, ett tredjeland eller en internationell organisation ska avbrytas.

3.   Europeiska datatillsynsmannen ska ha följande befogenheter att utfärda tillstånd och att ge råd:

a)

Ge råd till registrerade när de utövar sina rättigheter.

b)

Ge råd till den personuppgiftsansvarige i enlighet med det förfarande för föregående samråd som avses i artikel 40 och i enlighet med artikel 41.2.

c)

På eget initiativ eller på begäran avge yttranden till unionsinstitutioner och unionsorgan samt till allmänheten, i frågor som rör skydd av personuppgifter.

d)

Anta standardiserade dataskyddsbestämmelser enligt artiklarna 29.8 och 48.2 c.

e)

Godkänna avtalsklausuler enligt artikel 48.3 a.

f)

Godkänna administrativa överenskommelser enligt artikel 48.3 b.

g)

Godkänna behandling enligt genomförandeakter som antagits enligt artikel 40.4.

4.   Europeiska datatillsynsmannen ska ha befogenhet att hänskjuta ärendet till domstolen på de villkor som anges i fördragen och att intervenera i ärenden som anhängiggjorts vid domstolen.

5.   Utövandet av de befogenheter som Europeiska datatillsynsmannen tilldelas enligt denna artikel ska omfattas av lämpliga skyddsåtgärder, inbegripet effektiva rättsmedel och rättssäkerhet, som fastställs i unionsrätten.

Artikel 59

Skyldighet för personuppgiftsansvariga och personuppgiftsbiträden att reagera på anmärkningar

När Europeiska datatillsynsmannen utövar de befogenheter som föreskrivs i artikel 58.2 a, b och c, ska den berörda personuppgiftsansvarige eller det berörda personuppgiftsbiträdet informera Europeiska datatillsynsmannen om sina synpunkter inom en rimlig period, som ska fastställas av Europeiska datatillsynsmannen med beaktande av omständigheterna i varje enskilt fall. Dessa synpunkter ska också innehålla en beskrivning av de eventuella åtgärder som har vidtagits med anledning av anmärkningar från Europeiska datatillsynsmannen.

Artikel 60

Verksamhetsrapport

1.   Europeiska datatillsynsmannen ska lämna en årlig rapport om sin verksamhet till Europaparlamentet, rådet och kommissionen och samtidigt offentliggöra rapporten.

2.   Europeiska datatillsynsmannen ska vidarebefordra den rapport som avses i punkt 1 till övriga unionsinstitutioner och unionsorgan, som får lämna kommentarer inför en eventuell granskning av rapporten av Europaparlamentet.

KAPITEL VII

SAMARBETE OCH ENHETLIGHET

Artikel 61

Samarbete mellan Europeiska datatillsynsmannen och nationella tillsynsmyndigheter

Europeiska datatillsynsmannen ska samarbeta med nationella tillsynsmyndigheter samt med den gemensamma tillsynsmyndighet som inrättats enligt artikel 25 i rådets beslut 2009/917/RIF (19) i den utsträckning som krävs för att de ska kunna fullgöra sina respektive uppgifter, särskilt genom att ge varandra relevant information, efterfråga av varandra att utöva respektive befogenheter och svara på varandras begäranden.

Artikel 62

En samordnad tillsyn av Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna

1.   Om en unionsakt hänvisar till denna artikel ska Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna, inom ramen för sina respektive behörigheter, samarbeta aktivt inom sina ansvarsområden för att säkerställa en effektiv tillsyn över stora it-system och unionsorgan eller unionsbyråer.

2.   De ska, om så behövs, inom ramen för sina respektive behörigheter och inom sina ansvarsområden utbyta relevant information, bistå varandra i samband med revision och kontroller, utreda problem med tolkningen eller tillämpningen av denna förordning och andra tillämpliga unionsakter, studera problem med att utöva oberoende tillsyn eller problem med de registrerades möjligheter att utöva sina rättigheter, upprätta harmoniserade förslag till lösningar på eventuella problem och främja medvetenheten om dataskyddsrättigheterna.

3.   För de ändamål som anges i punkt 2 ska Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna sammanträda minst två gånger om året inom ramen för Europeiska dataskyddsstyrelsen. För dessa ändamål får Europeiska dataskyddsstyrelsen utarbeta ytterligare arbetsmetoder efter behov.

4.   Vartannat år ska Europeiska dataskyddsstyrelsen översända en gemensam verksamhetsrapport vad gäller samordnad tillsyn till Europaparlamentet, rådet och kommissionen.

KAPITEL VIII

RÄTTSMEDEL, ANSVAR OCH SANKTIONER

Artikel 63

Rätt att lämna in klagomål till Europeiska datatillsynsmannen

1.   Utan att det påverkar något rättsmedel, administrativt prövningsförfarande eller prövningsförfarande utanför domstol, ska varje registrerad som anser att behandlingen av personuppgifter som avser henne eller honom strider mot denna förordning ha rätt att lämna in ett klagomål till Europeiska datatillsynsmannen.

2.   Europeiska datatillsynsmannen ska underrätta den enskilde om hur arbetet med klagomålet fortskrider och vad resultatet blir, inbegripet möjligheten till rättslig prövning enligt artikel 64.

3.   Om Europeiska datatillsynsmannen inte behandlar klagomålet eller inte informerar den registrerade inom tre månader om hur arbetet fortskrider eller om resultatet av klagomålet, ska Europeiska datatillsynsmannen anses ha fattat beslut om avslag.

Artikel 64

Rätten till ett effektivt rättsmedel

1.   Domstolen ska vara behörig att pröva tvister som hänför sig till denna förordnings bestämmelser, inklusive skadeståndsanspråk.

2.   Talan mot Europeiska datatillsynsmannens beslut, inbegripet beslut enligt artikel 63.3, ska väckas vid domstolen.

3.   Domstolen ska ha obegränsad behörighet att pröva de administrativa sanktionsavgifter som avses i artikel 66. Den får upphäva, sänka eller höja avgifterna inom ramen för artikel 66.

Artikel 65

Rätt till ersättning

Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av denna förordning ska ha rätt till ersättning från unionsinstitutionen eller unionsorganet för den uppkomna skadan, med förbehåll för de villkor som anges i fördragen.

Artikel 66

Administrativa sanktionsavgifter

1.   Europeiska datatillsynsmannen får påföra unionsinstitutioner och unionsorgan administrativa sanktionsavgifter, beroende på omständigheterna i det enskilda fallet, om en unionsinstitution eller ett unionsorgan inte rättar sig efter ett beslut av Europeiska datatillsynsmannen enligt artikel 58.2 d–h och j. Vid beslut om huruvida administrativa sanktionsavgifter ska påföras och om beloppet för de administrativa sanktionsavgifterna i varje enskilt fall ska vederbörlig hänsyn tas till följande:

a)

Överträdelsens karaktär, svårhetsgrad och varaktighet, med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och den skada som de har lidit.

b)

De åtgärder som unionsinstitutionen eller unionsorganet har vidtagit för att lindra den skada som de registrerade har lidit.

c)

Graden av ansvar hos unionsinstitutionen eller unionsorganet med beaktande av de tekniska och organisatoriska åtgärder som de genomfört enligt artiklarna 27 och 33.

d)

Eventuella liknande tidigare överträdelser som begåtts av unionsinstitutionen eller unionsorganet.

e)

Graden av samarbete med Europeiska datatillsynsmannen för att komma till rätta med överträdelsen och minska dess potentiella negativa effekter.

f)

De kategorier av personuppgifter som påverkas av överträdelsen.

g)

Det sätt på vilket överträdelsen kom till Europeiska datatillsynsmannens kännedom, särskilt huruvida och i vilken omfattning unionsinstitutionen eller unionsorganet anmälde överträdelsen.

h)

Efterlevnad av någon av de åtgärder som avses i artikel 58 som tidigare förordnats mot den berörda unionsinstitutionen eller det berörda unionsorganet vad gäller samma sakfråga. De förfaranden som leder fram till åläggandet av dessa avgifter ska genomföras inom en tidsram som är rimlig med hänsyn till omständigheterna i fallet och med hänsyn tagen till de åtgärder och förfaranden som avses i artikel 69.

2.   Överträdelser av de skyldigheter som åligger unionsinstitutionen eller unionsorganet enligt artiklarna 8, 12, 27–35, 39, 40, 43, 44 och 45 ska, i enlighet med punkt 1 i den här artikeln, medföra administrativa sanktionsavgifter på upp till 25 000 EUR per överträdelse och upp till ett totalt belopp på 250 000 EUR per år.

3.   Vid överträdelser av följande bestämmelser från unionsinstitutionens eller unionsorganets sida ska det i enlighet med punkt 1 påföras administrativa sanktionsavgifter på upp till 50 000 EUR per överträdelse och upp till ett totalt belopp på 500 000 EUR per år:

a)

De grundläggande principerna för behandling, inklusive villkoren för samtycke, enligt artiklarna 4, 5, 7 och 10.

b)

Registrerades rättigheter enligt artiklarna 4–24.

c)

Överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation enligt artiklarna 46–50.

4.   Om en unionsinstitution eller ett unionsorgan, med avseende på en och samma sammankopplade eller fortlöpande uppgiftsbehandlingar, överträder flera av bestämmelserna i denna förordning eller samma bestämmelse i denna förordning flera gånger får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen.

5.   Innan ett beslut fattas enligt denna artikel ska Europeiska datatillsynsmannen ge den unionsinstitution eller det unionsorgan som är föremål för förfarandet som genomförs av Europeiska datatillsynsmannen möjlighet att höras om de frågor med avseende på vilka Europeiska datatillsynsmannen har gjort invändningar. Europeiska datatillsynsmannen ska grunda sina beslut endast på invändningar som de berörda parterna har getts möjlighet att yttra sig om. De klagande ska vara nära knutna till förfarandet.

6.   Berörda parters rätt till försvar ska iakttas fullt ut under förfarandet. De ska ha rätt att få tillgång till Europeiska datatillsynsmannens akt, med förbehåll för enskildas eller företags berättigade intresse av skydd av deras personuppgifter eller affärshemligheter.

7.   De medel som samlats in genom åläggande av avgifter i denna artikel ska utgöra intäkter i unionens allmänna budget.

Artikel 67

Företrädande av registrerade

Den registrerade ska ha rätt att ge ett organ, en organisation eller en sammanslutning utan vinstsyfte, som har inrättats på lämpligt sätt i enlighet med unionsrätten eller rätten i en medlemsstat, vars stadgeenliga mål är av allmänt intresse och som är verksam inom området skydd av registrerades rättigheter och friheter när det gäller skyddet av deras personuppgifter, i uppdrag att lämna in ett klagomål till Europeiska datatillsynsmannen för hans eller hennes räkning, att utöva de rättigheter som avses i artiklarna 63 och 64 för hans eller hennes räkning samt att för hans eller hennes räkning utöva den rätt till ersättning som avses i artikel 65.

Artikel 68

Klagomål från anställda vid Europeiska unionen

Varje person som är anställd vid en unionsinstitution eller ett unionsorgan får framföra klagomål om en påstådd överträdelse av bestämmelserna i denna förordning om behandling av personuppgifter till Europeiska datatillsynsmannen, även utan att gå den officiella vägen. Ingen ska lida förfång på grund av att ett klagomål lämnats in till Europeiska datatillsynsmannen angående en sådan överträdelse.

Artikel 69

Sanktioner

Om en tjänsteman eller annan anställd vid unionen inte uppfyller de förpliktelser som föreskrivs i denna förordning, avsiktligt eller på grund av försumlighet, ska denne bli föremål för disciplinära eller andra åtgärder enligt de regler och förfaranden som föreskrivs i tjänsteföreskrifterna.

KAPITEL IX

BEHANDLING AV OPERATIVA PERSONUPPGIFTER SOM UTFÖRS AV UNIONENS ORGAN OCH BYRÅER NÄR DESSA UTÖVAR VERKSAMHET SOM OMFATTAS AV TREDJE DELEN AVDELNING V KAPITEL 4 ELLER KAPITEL 5 I EUF-FÖRDRAGET

Artikel 70

Kapitlets tillämpningsområde

Detta kapitel ska endast tillämpas på behandlingen av operativa personuppgifter som utförs av unionens organ och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, utan att det påverkar särskilda dataskyddsbestämmelser som är tillämpliga på dessa unionsorgan och unionsbyråer.

Artikel 71

Principer för behandling av operativa personuppgifter

1.   Vid behandling av operativa personuppgifter ska följande gälla:

a)

Uppgifterna ska behandlas på ett lagligt och korrekt sätt (laglighet och korrekthet).

b)

De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).

c)

De ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

d)

De ska vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder ska vidtas för att säkerställa att operativa personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (riktighet).

e)

De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de operativa personuppgifterna behandlas (lagringsminimering).

f)

De ska behandlas på ett sätt som säkerställer lämplig säkerhet för de operativa personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.   Behandling som utförs av samma eller en annan personuppgiftsansvarig för något annat ändamål, som anges i rättsakten om inrättande av unionsorganet eller unionsbyrån, än det för vilket de operativa personuppgifterna samlas in ska tillåtas om

a)

den personuppgiftsansvarige är bemyndigad att behandla sådana operativa personuppgifter för ett sådant ändamål i enlighet med unionsrätten,

b)

behandlingen är nödvändig och står i proportion till detta andra ändamål i enlighet med unionsrätten.

3.   Behandling som utförs av samma eller en annan personuppgiftsansvarig kan inbegripa arkivering av allmänt intresse och vetenskaplig, statistisk eller historisk användning för de ändamål som anges i rättsakten om inrättande av unionsorganet eller unionsbyrån, under förutsättning att det finns lämpliga skyddsåtgärder för de registrerades rättigheter och friheter.

4.   Den personuppgiftsansvarige ska ansvara för, och kunna visa efterlevnad av, punkterna 1, 2 och 3.

Artikel 72

Laglig behandling av operativa personuppgifter

1.   Behandling av operativa personuppgifter ska vara laglig endast om och i den mån som behandling är nödvändig för att utföra en uppgift som utförs av unionens organ, och byråer när dessa utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, och som grundas på unionsrätten.

2.   Särskilda unionsrättsakter som reglerar behandling inom tillämpningsområdet för detta kapitel ska åtminstone ange målen för behandlingen, vilka operativa personuppgifter som ska behandlas, syftet med behandlingen och tidsgränserna för lagring av de operativa personuppgifterna eller för periodisk översyn av behovet av ytterligare lagring av de operativa personuppgifterna.

Artikel 73

Åtskillnad mellan olika kategorier av registrerade

Den personuppgiftsansvarige ska i tillämpliga fall och i möjligaste mån göra en tydlig åtskillnad mellan operativa personuppgifter som rör olika kategorier av registrerade, såsom de kategorier som förtecknas i rättsakten om inrättande av unionens organ eller byråer.

Artikel 74

Åtskillnad mellan operativa personuppgifter och kontroll av kvaliteten på de operativa personuppgifterna

1.   Den personuppgiftsansvarige ska i möjligaste mån skilja mellan operativa personuppgifter som grundar sig på fakta och operativa personuppgifter som grundar sig på personliga bedömningar.

2.   Den personuppgiftsansvarige ska vidta alla rimliga åtgärder för att säkerställa att operativa personuppgifter som är felaktiga, ofullständiga eller inaktuella inte överförs eller görs tillgängliga. Den personuppgiftsansvarige ska därför i den mån det är praktiskt möjligt och i tillämpliga fall kontrollera kvaliteten på de operativa personuppgifterna innan dessa överförs eller görs tillgängliga, exempelvis genom att samråda med den behöriga myndighet som uppgifterna kommer ifrån. Vid all överföring av operativa personuppgifter ska den personuppgiftsansvarige i möjligaste mån lägga till sådan nödvändig information som gör det möjligt för mottagaren att bedöma i vilken grad de operativa personuppgifterna är riktiga, fullständiga och tillförlitliga samt i vilken utsträckning de är aktuella.

3.   Om det visar sig att felaktiga operativa personuppgifter har överförts eller att operativa personuppgifter olagligen har överförts, ska mottagaren omedelbart underrättas om detta. I sådana fall ska de operativa personuppgifterna i fråga rättas eller raderas eller behandlingen begränsas i enlighet med artikel 82.

Artikel 75

Särskilda villkor för uppgiftsbehandling

1.   När den unionsrätt som är tillämplig på den personuppgiftsansvarige som överför uppgifter fastställer särskilda villkor för behandling, ska den personuppgiftsansvarige informera mottagaren av de operativa personuppgifterna om dessa särskilda villkor och om kravet att uppfylla dem.

2.   Den personuppgiftsansvarige ska rätta sig efter de särskilda behandlingsvillkor för behandlingen som anges av en överförande behörig myndighet i enlighet med artikel 9.3 och 9.4 i direktiv (EU) 2016/680.

Artikel 76

Behandling av särskilda kategorier av operativa personuppgifter

1.   Behandling av operativa personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person, operativa personuppgifter om hälsa eller om en fysisk persons sexualliv eller sexuella läggning ska vara tillåten endast om det är absolut nödvändigt för operativa ändamål inom ramen för de berörda unionsorganens eller unionsbyråernas uppdrag samt under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Det ska vara förbjudet att diskriminera fysiska personer på grundval av sådana personuppgifter.

2.   Dataskyddsombudet ska utan onödigt dröjsmål informeras ifall denna artikel tillämpas.

Artikel 77

Automatiserat individuellt beslutsfattande, inbegripet profilering

1.   Beslut som enbart grundas på automatiserad behandling, inbegripet profilering, som har negativa rättsliga följder för den registrerade eller i betydande grad påverkar honom eller henne, ska förbjudas om de inte är tillåtna enligt unionsrätten som den personuppgiftsansvarige lyder under och som föreskriver lämpliga skyddsåtgärder för den registrerades rättigheter och friheter, åtminstone rätten till mänskligt ingripande från den personuppgiftsansvariges sida.

2.   Beslut som avses i punkt 1 i den här artikeln får inte grundas på de särskilda kategorier av personuppgifter som avses i artikel 76, såvida inte lämpliga åtgärder för att skydda den registrerades rättigheter, friheter och berättigade intressen har vidtagits.

3.   Profilering som leder till diskriminering av fysiska personer på grundval av särskilda kategorier av personuppgifter enligt artikel 76 ska förbjudas i enlighet med unionsrätten.

Artikel 78

Information om och villkor för utövandet av den registrerades rättigheter

1.   Den personuppgiftsansvarige ska vidta rimliga åtgärder för att tillhandahålla den registrerade all information som avses i artikel 79 och alla meddelanden enligt artiklarna 80–84 och 92 som avser behandling i en koncis, begriplig och lättillgänglig form och på ett klart och tydligt språk. Informationen ska tillhandahållas på lämpligt sätt, t.ex. elektroniskt. Som en allmän regel ska den personuppgiftsansvarige tillhandahålla informationen i samma format som begäran.

2.   Den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter enligt artiklarna 79–84.

3.   Den personuppgiftsansvarige ska utan onödigt dröjsmål skriftligen informera den registrerade om uppföljningen av hans eller hennes begäran och under alla omständigheter senast tre månader efter mottagandet av den registrerades begäran.

4.   Den personuppgiftsansvarige ska tillhandahålla informationen enligt artikel 79 och alla meddelanden eller åtgärder som vidtas enligt artiklarna 80–84 och 92 kostnadsfritt. Om en registrerads begäranden är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva karaktär, får den personuppgiftsansvarige vägra att tillmötesgå begäran. Det ska åligga den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

5.   Om den personuppgiftsansvarige har rimliga skäl att betvivla identiteten hos den fysiska person som lämnar in en begäran enligt artikel 80 eller 82, får den personuppgiftsansvarige begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet ska tillhandahållas.

Artikel 79

Information som ska göras tillgänglig för eller lämnas till den registrerade

1.   Den personuppgiftsansvarige ska göra åtminstone följande information tillgänglig för den registrerade:

a)

Unionsorganets eller unionsbyråns identitet och kontaktuppgifter.

b)

Dataskyddsombudets kontaktuppgifter.

c)

Ändamålen med den behandling för vilken de operativa personuppgifterna är avsedda.

d)

Rätten att lämna in ett klagomål till Europeiska datatillsynsmannen samt dennes kontaktuppgifter.

e)

Rätten att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av operativa personuppgifter och begränsning av behandling av operativa personuppgifter som rör den registrerade.

2.   Utöver den information som avses i punkt 1, ska den personuppgiftsansvarige, i specifika fall som fastställs i unionsrätten, lämna följande information till den registrerade, för att göra det möjligt för honom eller henne att utöva sina rättigheter:

a)

Behandlingens rättsliga grund.

b)

Den period under vilken de operativa personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

c)

I tillämpliga fall, kategorierna av mottagare av de operativa personuppgifterna, inbegripet i tredjeländer eller internationella organisationer.

d)

Vid behov ytterligare information, i synnerhet om de operativa personuppgifterna samlas in utan den registrerades vetskap.

3.   Den personuppgiftsansvarige får senarelägga, begränsa eller utelämna tillhandahållandet av informationen till den registrerade enligt punkt 2, i den utsträckning och så länge en sådan åtgärd är nödvändig och proportionell i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

a)

undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden,

b)

undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)

skydda medlemsstaternas allmänna säkerhet,

d)

skydda medlemsstaternas nationella säkerhet,

e)

skydda andra personers rättigheter och friheter, till exempel brottsoffer och vittnen.

Artikel 80

Den registrerades rätt till tillgång

Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida operativa personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till de operativa personuppgifterna och följande information:

a)

Ändamålen med behandlingen och dess rättsliga grund.

b)

De kategorier av operativa personuppgifter som behandlingen avser.

c)

De mottagare eller kategorier av mottagare till vilka de operativa personuppgifterna har lämnats ut, särskilt mottagare i tredjeländer eller internationella organisationer.

d)

Om möjligt, den förutsedda period under vilken de operativa personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period.

e)

Förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av operativa personuppgifter eller begränsning av behandling av operativa personuppgifter som rör den registrerade.

f)

Rätten att lämna in ett klagomål till Europeiska datatillsynsmannen och dennes kontaktuppgifter.

g)

Meddelande om vilka operativa personuppgifter som håller på att behandlas och all tillgänglig information om varifrån dessa uppgifter härstammar.

Artikel 81

Begränsningar av rätten till tillgång

1.   Den personuppgiftsansvarige får helt eller delvis begränsa den registrerades rätt till tillgång i den utsträckning och så länge en sådan partiell eller fullständig begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

a)

undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden,

b)

undvika menlig inverkan på förebyggande, förhindrande, upptäckt, utredning eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)

skydda medlemsstaternas allmänna säkerhet,

d)

skydda medlemsstaternas nationella säkerhet,

e)

skydda andra personers rättigheter och friheter, till exempel brottsoffer och vittnen.

2.   I de fall som avses i punkt 1 ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade skriftligen om varje vägran eller begränsning av tillgång och om skälen för vägran eller begränsningen. Denna information kan utelämnas om tillhandahållandet skulle undergräva ett ändamål enligt punkt 1. Den personuppgiftsansvarige ska underrätta den registrerade om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid domstolen. Den personuppgiftsansvarige ska dokumentera de sakliga och rättsliga grunderna för beslutet. Denna information ska på begäran göras tillgänglig för Europeiska datatillsynsmannen.

Artikel 82

Rätt till rättelse eller radering av operativa personuppgifter och begränsning av behandling

1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga operativa personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålen med behandlingen ska den registrerade ha rätt att få ofullständiga operativa personuppgifter kompletterade, inbegripet genom att tillhandahålla en kompletterande inlaga.

2.   Den personuppgiftsansvarige ska radera operativa personuppgifter utan onödigt dröjsmål, och ge den registrerade rätt att få till stånd radering av operativa personuppgifter som rör honom eller henne om behandlingen står i strid med artiklarna 71, 72.1 eller 76 eller om de operativa personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige.

3.   I stället för radering ska den personuppgiftsansvarige begränsa behandling om

a)

den registrerade bestrider personuppgifternas riktighet och riktigheten eller felaktigheten inte kan fastställas, eller

b)

personuppgifterna måste sparas som bevisning.

Om behandlingen begränsas enligt första stycket led a ska den personuppgiftsansvarige underrätta den registrerade innan begränsningen av behandlingen upphävs.

Begränsade uppgifter får endast behandlas för det syfte som hindrade att de raderades.

4.   Den personuppgiftsansvarige ska underrätta den registrerade skriftligen om eventuell vägran att rätta eller radera operativa personuppgifter eller begränsa behandlingen och om skälen till vägran. Den personuppgiftsansvarige får helt eller delvis begränsa tillhandahållandet av sådan information i den utsträckning som en sådan begränsning utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle med hänsyn tagen till den berörda fysiska personens grundläggande rättigheter och berättigade intressen, i syfte att

a)

undvika att hindra officiella eller rättsliga utredningar, undersökningar eller förfaranden,

b)

undvika menlig inverkan på förebyggande, förhindrande, utredning, upptäckt eller lagföring av brott eller verkställighet av straffrättsliga påföljder,

c)

skydda medlemsstaternas allmänna säkerhet,

d)

skydda medlemsstaternas nationella säkerhet,

e)

skydda andra personers rättigheter och friheter, till exempel brottsoffer och vittnen.

Den personuppgiftsansvarige ska underrätta den registrerade om möjligheten att lämna in ett klagomål till Europeiska datatillsynsmannen eller begära rättslig prövning vid domstolen.

5.   Den personuppgiftsansvarige ska meddela varje rättelse av oriktiga operativa personuppgifter till den behöriga myndighet från vilken de oriktiga operativa personuppgifterna kommer.

6.   Den personuppgiftsansvarige ska, när operativa personuppgifter har rättats, raderats eller deras begränsats i enlighet med punkterna 1, 2 eller 3, underrätta mottagarna att mottagarna ska rätta eller radera de operativa personuppgifterna eller begränsa den behandling av de operativa personuppgifterna som utförs under deras ansvar.

Artikel 83

Rätt till tillgång inom brottsutredningar och straffrättsliga förfaranden

Om operativa personuppgifter kommer från en behörig myndighet ska unionens organ och byråer, innan beslut fattas om registrerades rätt till tillgång, kontrollera med behörig myndighet om dessa personuppgifter ingår i ett domstolsbeslut eller ett rättsligt protokoll eller ärende som behandlas i samband med brottsutredningar och straffrättsliga förfaranden i den behöriga myndighetens medlemsstat. Om så är fallet ska ett beslut om rätt till tillgång fattas i samråd och nära samarbete med den berörda behöriga myndigheten.

Artikel 84

Den registrerades utövande av rättigheter och kontroll genom Europeiska datatillsynsmannen

1.   I de fall som avses i artiklarna 79.3, 81 och 82.4 får den registrerades rättigheter också utövas genom Europeiska datatillsynsmannen.

2.   Den personuppgiftsansvarige ska underrätta den registrerade om hans eller hennes möjlighet att utöva sina rättigheter genom Europeiska datatillsynsmannen enligt punkt 1.

3.   Om den rättighet som avses i punkt 1 utövas ska Europeiska datatillsynsmannen åtminstone underrätta den registrerade om att alla nödvändiga kontroller eller en översyn genom Europeiska datatillsynsmannen har ägt rum. Europeiska datatillsynsmannen ska även underrätta den registrerade om hans eller hennes rätt att begära rättslig prövning vid domstolen.

Artikel 85

Inbyggt dataskydd och dataskydd som standard

1.   Den personuppgiftsansvarige ska, med beaktande av den senaste utvecklingen, och genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt de risker, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter som behandlingen utgör, både vid tidpunkten för beslut om vilka medel behandlingen ska utföras med och vid tidpunkten för själva behandlingen, ska genomföra lämpliga tekniska och organisatoriska åtgärder, såsom pseudonymisering, vilka är utformade för genomförande av dataskyddsprinciper, såsom uppgiftsminimering, på ett effektivt sätt och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, för att uppfylla kraven i denna förordning och rättsakten om dess inrättande och skydda de registrerades rättigheter.

2.   Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast operativa personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade operativa personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att operativa personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

Artikel 86

Gemensamt personuppgiftsansvariga

1.   Om två eller flera personuppgiftsansvariga eller en eller flera personuppgiftsansvariga tillsammans med en eller flera personuppgiftsansvariga som inte är unionsinstitutioner och unionsorgan, tillsammans fastställer ändamålen med och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. De ska under öppna former fastställa sitt respektive ansvar för att fullgöra sina skyldigheter i fråga om dataskydd, särskilt vad gäller utövandet av den registrerades rättigheter och sina respektive skyldigheter att tillhandahålla den information som avses i artikel 79, genom ett inbördes arrangemang, såvida inte och i den mån som de personuppgiftsansvarigas respektive skyldigheter fastställs i unionsrätten eller en medlemsstats nationella rätt som de gemensamt personuppgiftsansvariga omfattas av. Inom ramen för arrangemanget får en gemensam kontaktpunkt för de personuppgiftsansvariga utses.

2.   Det arrangemang som avses i punkt 1 ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot den registrerade. Det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade.

3.   Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på var och en av de personuppgiftsansvariga.

Artikel 87

Personuppgiftsbiträden

1.   Om behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och rättsakten om inrättande av den personuppgiftsansvarige och säkerställer att den registrerades rättigheter skyddas.

2.   Personuppgiftsbiträdet får inte anlita ett annat personuppgiftsbiträde utan särskilt eller allmänt skriftligt förhandstillstånd från den personuppgiftsansvarige. Om ett allmänt skriftligt tillstånd har erhållits ska personuppgiftsbiträdet informera den personuppgiftsansvarige om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden, så att den personuppgiftsansvarige har möjlighet att göra invändningar mot sådana förändringar.

3.   När uppgifter behandlas av ett personuppgiftsbiträde, ska hanteringen regleras genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt en medlemsstats rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige och i vilken föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av operativa personuppgifter och kategorier av registrerade samt den personuppgiftsansvariges skyldigheter och rättigheter anges. Avtalet eller den andra rättsakten ska det särskilt föreskrivas att personuppgiftsbiträdet

a)

endast ska handla enligt instruktioner från den personuppgiftsansvarige,

b)

säkerställer att personer med behörighet att behandla de operativa personuppgifterna har förbundit sig att iaktta konfidentialitet eller omfattas av en lämplig lagstadgad tystnadsplikt,

c)

på lämpligt sätt ska bistå den personuppgiftsansvarige att säkerställa efterlevnad av bestämmelserna om den registrerades rättigheter,

d)

beroende på vad den personuppgiftsansvarige väljer, ska radera eller återlämna alla operativa personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av behandlingstjänsterna har avslutats, och radera befintliga kopior, såvida inte lagring av de operativa personuppgifterna krävs enligt unionsrätten eller en medlemsstats rätt,

e)

ska ge den personuppgiftsansvarige tillgång till all information som krävs för att påvisa fullgörandet av de skyldigheter som fastställs i denna artikel,

f)

ska respektera de villkor som avses i punkt 2 och i denna punkt för anlitande av ett annat personuppgiftsbiträde.

4.   Det avtal eller den andra rättsakt som avses i punkt 3 ska vara skriftligt, även i elektronisk form.

5.   Om ett personuppgiftsbiträde i strid med denna förordning eller rättsakten om inrättande av den personuppgiftsansvarige fastställer ändamålen och medlen för behandlingen ska personuppgiftsbiträdet anses vara personuppgiftsansvarig med avseende på den behandlingen.

Artikel 88

Loggning

1.   Den personuppgiftsansvarige ska föra loggar över följande typer av behandling i automatiserade behandlingssystem: insamling, ändring, åtkomst, läsning, utlämning inbegripet överföringar, sammanförande och radering av operativa personuppgifter. Loggarna över läsning och utlämning ska göra det möjligt att fastställa motivering, datum och tidpunkt för sådana åtgärder, vem som har läst eller lämnat ut operativa personuppgifter samt, i möjligaste mån, vilka som har fått tillgång till de operativa personuppgifterna.

2.   Loggarna ska endast användas för att kontrollera om behandlingen är tillåten, för egenkontroll, för att säkerställa de operativa personuppgifternas integritet och säkerhet, samt inom ramen för straffrättsliga förfaranden. Sådana loggar ska raderas efter tre år, om de inte krävs för en pågående kontroll.

3.   Den personuppgiftsansvarige ska på begäran göra loggarna tillgängliga för sitt dataskyddsombud och för Europeiska datatillsynsmannen.

Artikel 89

Konsekvensbedömning avseende dataskydd

1.   Om en typ av behandling, särskilt med användning av ny teknik och med beaktande av dess art, omfattning, sammanhang och ändamål, leder till en hög risk för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige före behandlingen utföra en bedömning av den planerade behandlingens konsekvenser för skyddet av operativa personuppgifter.

2.   Den bedömning som avses i punkt 1 ska åtminstone innehålla en allmän beskrivning av den planerade behandlingen, en bedömning av riskerna för de registrerades rättigheter och friheter, de åtgärder som planeras för att hantera dessa risker, skyddsåtgärder, säkerhetsåtgärder och rutiner för att säkerställa skyddet av operativa personuppgifter och för att visa att denna förordning efterlevs, med hänsyn till de registrerades och andra berörda personers rättigheter och berättigade intressen.

Artikel 90

Förhandssamråd med Europeiska datatillsynsmannen

1.   Den personuppgiftsansvarige ska samråda med Europeiska datatillsynsmannen före behandling av uppgifter som kommer att ingå i ett nytt register som ska inrättas, om

a)

en konsekvensbedömning avseende dataskydd enligt artikel 89 visar att behandlingen skulle leda till en hög risk om inte den personuppgiftsansvarige vidtar åtgärder för att minska risken, eller

b)

typen av behandling, särskilt vid användning av ny teknik eller nya rutiner eller förfaranden, medför en hög risk för de registrerades rättigheter och friheter.

2.   Europeiska datatillsynsmannen får upprätta en förteckning över de olika typer av uppgiftsbehandling som omfattas av förhandssamråd enligt punkt 1.

3.   Den personuppgiftsansvarige ska förse Europeiska datatillsynsmannen med den konsekvensbedömning avseende dataskydd som avses i artikel 89 och, på begäran, eventuell övrig information som gör att Europeiska datatillsynsmannen kan göra en bedömning av behandlingens överensstämmelse och särskilt av riskerna för skyddet av den registrerades operativa personuppgifter och av därmed sammanhängande skyddsåtgärder.

4.   Om Europeiska datatillsynsmannen anser att den planerade behandling som avses i punkt 1 skulle stå i strid med denna förordning eller rättsakten om inrättande av unionsorganet eller unionsbyrån, särskilt om den personuppgiftsansvarige inte i tillräcklig mån har fastställt eller reducerat risken, ska Europeiska datatillsynsmannen ge den personuppgiftsansvarige skriftliga råd inom en period på upp till sex veckor från det att begäran om samråd har mottagits. Denna period får förlängas med en månad beroende på hur komplicerad den planerade behandlingen är. Europeiska datatillsynsmannen ska informera den personuppgiftsansvarige om en sådan förlängning inom en månad från det att begäran om samråd har mottagits, tillsammans med orsakerna till förseningen.

Artikel 91

Säkerhet i samband med behandling av operativa personuppgifter

1.   Den personuppgiftsansvarige och personuppgiftsbiträdet ska, med beaktande av den senaste utvecklingen, kostnaden för genomförande, behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter, vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, i synnerhet när det gäller behandling av särskilda kategorier av operativa personuppgifter.

2.   När det gäller automatiserad behandling ska den personuppgiftsansvarige och personuppgiftsbiträdet efter en utvärdering av riskerna genomföra åtgärder som är avsedda att

a)

vägra varje obehörig person åtkomst till utrustning för databehandling som används för behandling (åtkomstskydd för utrustning),

b)

förhindra att databärare läses, kopieras, ändras eller avlägsnas av obehöriga (kontroll av datamedier),

c)

förhindra obehörig registrering av operativa personuppgifter och obehörig åtkomst till, ändring av eller radering av lagrade operativa personuppgifter (lagringskontroll),

d)

förhindra att obehöriga kan använda automatiserade behandlingssystem med hjälp av utrustning för dataöverföring (användarkontroll),

e)

säkerställa att personer som är behöriga att använda ett automatiserat behandlingssystem endast har tillgång till operativa personuppgifter som omfattas av deras behörighet (åtkomstkontroll),

f)

säkerställa att det kan kontrolleras och fastställas till vilka organ operativa personuppgifter har överförts eller kan överföras respektive kan göras tillgängliga med hjälp av dataöverföring (kommunikationskontroll),

g)

säkerställa att det är möjligt att i efterhand kontrollera och fastställa vilka operativa personuppgifter som har förts in i ett automatiserat databehandlingssystem samt när och av vem de operativa personuppgifterna infördes (indatakontroll),

h)

förhindra obehörig läsning, kopiering, ändring eller radering av operativa personuppgifter vid överföring i samband med överföring av sådana uppgifter eller under transport av databärare (transportkontroll),

i)

säkerställa att de system som används kan återställas vid störningar (återställande),

j)

säkerställa att system fungerar, att funktionsfel rapporteras (driftssäkerhet) och att de lagrade operativa personuppgifterna inte kan förvanskas genom funktionsfel i systemet (dataintegritet).

Artikel 92

Anmälan av en personuppgiftsincident till Europeiska datatillsynsmannen

1.   Den personuppgiftsansvarige ska vid en personuppgiftsincident utan onödigt dröjsmål och, om så är möjligt, inte senare än 72 timmar efter att ha fått vetskap om incidenten, anmäla personuppgiftsincidenten till Europeiska datatillsynsmannen, såvida det inte är osannolikt att personuppgiftsincidenten medför en risk för fysiska personers rättigheter och friheter. Om anmälan till Europeiska datatillsynsmannen inte görs inom 72 timmar, ska den åtföljas av en motivering till förseningen.

2.   Den anmälan som avses i punkt 1 ska åtminstone

a)

beskriva personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antal registrerade som berörs samt de kategorier av och det ungefärliga antal operativa personuppgiftsposter som berörs,

b)

förmedla namnet på och kontaktuppgifterna för dataskyddsombudet,

c)

beskriva de sannolika konsekvenserna av personuppgiftsincidenten,

d)

beskriva de åtgärder som den personuppgiftsansvarige har vidtagit eller föreslagit för att åtgärda personuppgiftsincidenten, inbegripet, när så är lämpligt, åtgärder för att mildra dess potentiella negativa effekter.

3.   Om och i den utsträckning som det inte är möjligt att tillhandahålla den information som avses i punkt 2 samtidigt, får informationen tillhandahållas i omgångar utan onödigt ytterligare dröjsmål.

4.   Den personuppgiftsansvarige ska dokumentera alla personuppgiftsincidenter som avses i punkt 1, inbegripet omständigheterna kring personuppgiftsincidenten, dess effekter och de korrigerande åtgärder som vidtagits. Dokumentationen ska göra det möjligt för Europeiska datatillsynsmannen att kontrollera efterlevnaden av denna artikel.

5.   Om personuppgiftsincidenten rör operativa personuppgifter som har överförts av eller till de behöriga myndigheterna ska den personuppgiftsansvarige förmedla den information som avses i punkt 2 till de berörda behöriga myndigheterna utan onödigt dröjsmål.

Artikel 93

Information till den registrerade om en personuppgiftsincident

1.   Om personuppgiftsincidenten sannolikt kommer att leda till en hög risk för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten.

2.   Den information till den registrerade som avses i punkt 1 i denna artikel ska innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art och åtminstone de upplysningar och de rekommendationer som anges i artikel 92.2 b, c och d.

3.   Information till den registrerade i enlighet med punkt 1 ska inte krävas om något av följande villkor är uppfyllda:

a)

Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder, och dessa åtgärder har tillämpats på de operativa personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som gör de operativa personuppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till dem, såsom kryptering.

b)

Den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risk för registrerades rättigheter och friheter som avses i punkt 1 sannolikt inte längre kommer att uppstå.

c)

Det skulle inbegripa en oproportionell ansträngning. I så fall ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.

4.   Om den personuppgiftsansvarige inte redan har informerat den registrerade om personuppgiftsincidenten får Europeiska datatillsynsmannen, efter att ha bedömt sannolikheten för att personuppgiftsincidenten medför en hög risk, kräva att den personuppgiftsansvarige gör det eller besluta att något av de villkor som avses i punkt 3 är uppfyllt.

5.   Den information till den registrerade som avses i punkt 1 i denna artikel får senareläggas, begränsas eller utelämnas på de villkor och av de skäl som avses i artikel 79.3.

Artikel 94

Överföring av operativa personuppgifter till tredjeländer och internationella organisationer

1.   Med förbehåll för begränsningar och villkor som fastställs i rättsakterna om inrättande av unionsorganet eller unionsbyrån får den personuppgiftsansvarige överföra operativa personuppgifter till myndigheter i tredjeland eller till internationella organisationer i den mån överföringen är nödvändig för utförandet av uppdragen för den personuppgiftsansvarige och endast då villkoren i denna artikel är uppfyllda:

a)

Ett kommissionsbeslut har antagit ett beslut om adekvat skyddsnivå enligt med artikel 36.3 i direktiv (EU) 2016/680, i vilket det konstateras att tredjelandet eller ett territorium eller en behandlande enhet i det tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå.

b)

Om det inte finns något kommissionsbeslut enligt led a: En internationell överenskommelse har ingåtts mellan unionen och tredjelandet eller den internationella organisationen i enlighet med artikel 218 i EUF-fördraget, med hänsyn till lämpliga skyddsåtgärder avseende skyddet av den personliga integriteten och enskildas grundläggande fri- och rättigheter.

c)

Om det inte finns något kommissionsbeslut om adekvat skyddsnivå enligt led a eller något internationellt avtal enligt led b: Ett samarbetsavtal som medger utbyte av operativa personuppgifter har ingåtts före datumet för tillämpning av rättsakten om inrättande av unionsorganet eller unionsbyrån i fråga, mellan det unionsorganet eller den unionsbyrån och det berörda tredjelandet.

2.   Rättsakterna om inrättande av unionens organ och byråer får behålla eller införa mer specifika bestämmelser om villkoren för internationella överföringar av operativa personuppgifter, särskilt överföringar genom lämpliga skyddsåtgärder och undantag för specifika situationer.

3.   Den personuppgiftsansvarige ska på sin webbplats offentliggöra och uppdatera en förteckning över beslut om adekvat skyddsnivå som avses i punkt 1 a, avtal, administrativa överenskommelser och andra instrument som rör överföring av operativa personuppgifter i enlighet med punkt 1.

4.   Den personuppgiftsansvarige ska utförligt registrera alla överföringar som gjorts i enlighet med denna artikel.

Artikel 95

Sekretesskraven i samband med rättsliga utredningar och straffrättsliga förfaranden

Rättsakterna om inrättande av unionens organ eller byråer, när dessa utför verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, får ålägga Europiska datatillsynsmannen att vid utövandet av sin tillsyn ta maximal hänsyn till sekretesskraven i samband med rättsliga utredningar och straffrättsliga förfaranden, i enlighet med unionsrätten eller medlemsstaternas rätt.

KAPITEL X

GENOMFÖRANDEAKTER

Artikel 96

Kommittéförfarande

1.   Kommissionen ska biträdas av den kommitté som inrättats genom artikel 93 i förordning (EU) 2016/679. Denna kommitté ska vara en kommitté i den mening som avses i förordning (EU) nr 182/2011.

2.   När det hänvisas till denna punkt ska artikel 5 i förordning (EU) nr 182/2011 tillämpas.

KAPITEL XI

ÖVERSYN

Artikel 97

Översynsklausul

Senast den 30 april 2022 och vart femte år därefter ska kommissionen lägga fram en rapport för Europaparlamentet och rådet om tillämpningen av denna förordning, vid behov åtföljd av lämpliga lagstiftningsförslag.

Artikel 98

Översyn av unionsrättsakter

1.   Senast den 30 april 2022 ska kommissionen se över rättsakter som antagits på grundval av de fördrag som reglerar den behandling av operativa personuppgifter som utförs av unionens organ eller byråer när de utövar verksamhet som omfattas av tredje delen avdelning V kapitel 4 eller kapitel 5 i EUF-fördraget, i syfte att:

a)

bedöma deras överensstämmelse med direktiv (EU) 2016/680 och kapitel IX i denna förordning,

b)

identifiera eventuella skillnader som kan hindra utbyte av operativa personuppgifter mellan å ena sidan unionens organ eller byråer när dessa utövar verksamhet på dessa områden och å andra sidan behöriga myndigheter, och

c)

identifiera alla skillnader som kan skapa rättslig fragmentering av dataskyddslagstiftningen i unionen.

2.   För att säkerställa enhetligt och konsekvent skydd för fysiska personer vad gäller behandling av personuppgifter, kan kommissionen på grundval av översynen lägga fram lämpliga lagstiftningsförslag särskilt, i syfte att tillämpa kapitel IX i denna förordning på Europol och Europeiska åklagarmyndigheten, inbegripet anpassningar av kapitel IX i denna förordning, vid behov.

KAPITEL XII

SLUTBESTÄMMELSER

Artikel 99

Upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG

Förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG upphör att gälla med verkan från och med den 11 december 2018. Hänvisningar till den upphävda förordningen och det upphävda beslutet ska anses som hänvisningar till den här förordningen.

Artikel 100

Övergångsbestämmelser

1.   Europaparlamentets och rådets beslut 2014/886/EU (20) och de nuvarande mandaten för Europeiska datatillsynsmannen och den biträdande datatillsynsmannen ska inte påverkas av denna förordning.

2.   Den biträdande datatillsynsmannen ska betraktas som likställd med en justitiesekreterare vid domstolen när det gäller fastställande av löner, ersättningar, ålderspension och all annan ersättning utöver lön.

3.   Artikel 53.4, 53.5 och 53.7 samt artiklarna 55 och 56 i denna förordning ska tillämpas på den nuvarande biträdande datatillsynsmannen fram till utgången av dennes mandatperiod.

4.   Den biträdande datatillsynsmannen ska biträda datatillsynsmannen i fullgörandet av dennes uppgifter och fungera som ersättare när Europeiska datatillsynsmannen är frånvarande eller förhindrad att fullgöra dessa uppgifter fram till utgången av den biträdande tillsynsmannens mandatperiod.

Artikel 101

Ikraftträdande och tillämpning

1.   Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.   Denna förordning ska dock tillämpas på Eurojusts behandling av personuppgifter från och med den 12 december 2019.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Strasbourg den 23 oktober 2018.

På Europaparlamentets vägnar

Ordförande

A. TAJANI

På rådets vägnar

Ordförande

K. EDTSTADLER


(1)  EUT C 288, 31.8.2017, s. 107.

(2)  Europaparlamentets ståndpunkt av den 13 september 2018 (ännu ej offentliggjord i EUT) och rådets beslut av den 11 oktober 2018.

(3)  Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

(4)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(5)  Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

(6)  Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

(7)  Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

(8)  Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

(9)  Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

(10)  EGT L 56, 4.3.1968, s. 1.

(11)  Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter (EUT L 55, 28.2.2011, s. 13).

(12)  Europaparlamentets och rådets förordning (EG) nr 223/2009 av den 11 mars 2009 om europeisk statistik och om upphävande av Europaparlamentets och rådets förordning (EG, Euratom) nr 1101/2008 om utlämnande av insynsskyddade statistiska uppgifter till Europeiska gemenskapernas statistikkontor, rådets förordning (EG) nr 322/97 om gemenskapsstatistik och rådets beslut 89/382/EEG, Euratom om inrättande av en kommitté för Europeiska gemenskapernas statistiska program (EUT L 87, 31.3.2009, s. 164).

(13)  Europaparlamentets, rådets och kommissionens beslut nr 1247/2002/EG av den 1 juli 2002 om tjänsteföreskrifter och allmänna villkor för utövande av funktionen som europeisk datatillsynsman (EGT L 183, 12.7.2002, s. 1).

(14)  EUT C 164, 24.5.2017, s. 2.

(15)  Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (EUT L 135, 24.5.2016, s. 53).

(16)  Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1).

(17)  Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (EUT L 241, 17.9.2015, s. 1).

(18)  Kommissionens direktiv 2008/63/EG av den 20 juni 2008 om konkurrens på marknaderna för teleterminalutrustning (EUT L 162, 21.6.2008, s. 20).

(19)  Rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål (EUT L 323, 10.12.2009, s. 20).

(20)  Europaparlamentets och rådets beslut 2014/886/EU av den 4 december 2014 om utnämning av Europeiska datatillsynsmannen och den biträdande datatillsynsmannen (EUT L 351, 9.12.2014, s. 9).


21.11.2018   

SV

Europeiska unionens officiella tidning

L 295/99


EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2018/1726

av den 14 november 2018

om Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA), om ändring av förordning (EG) nr 1987/2006 och rådets beslut 2007/533/RIF och om upphävande av förordning (EU) nr 1077/2011

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 74, 77.2 a och b, 78.2 e, 79.2 c, 82.1 d, 85.1, 87.2 a och 88.2,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

i enlighet med det ordinarie lagstiftningsförfarandet (1), och

av följande skäl:

(1)

Schengens informationssystem (SIS II) inrättades genom Europaparlamentets och rådets förordning (EG) nr 1987/2006 (2) och rådets beslut 2007/533/RIF (3). I förordning (EG) nr 1987/2006 och beslut 2007/533/RIF föreskrivs att kommissionen under en övergångsperiod ska ha ansvar för den operativa förvaltningen av det centrala systemet för SIS II (nedan kallat centrala SIS II). Efter den övergångsperioden ska en förvaltningsmyndighet ha ansvar för den operativa förvaltningen av centrala SIS II och vissa delar av kommunikationsinfrastrukturen.

(2)

Informationssystemet för viseringar (VIS) inrättades genom rådets beslut 2004/512/EG (4). I Europaparlamentets och rådets förordning (EG) nr 767/2008 (5) föreskrivs att kommissionen under en övergångsperiod ska ha ansvar för den operativa förvaltningen av VIS. Efter denna övergångsperiod ska en förvaltningsmyndighet ha ansvar för den operativa förvaltningen av centrala VIS och de nationella gränssnitten samt för vissa delar av kommunikationsinfrastrukturen.

(3)

Eurodac inrättades genom rådets förordning (EG) nr 2725/2000 (6). I rådets förordning (EG) nr 407/2002 (7) fastställdes nödvändiga genomföranderegler. Dessa rättsakter upphävdes och ersattes av Europaparlamentets och rådets förordning (EU) nr 603/2013 (8) med verkan från och med den 20 juli 2015.

(4)

Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, vanligen kallad eu-LISA, inrättades genom Europaparlamentets och rådets förordning (EU) nr 1077/2011 (9) för att säkerställa den operativa förvaltningen av SIS, VIS och Eurodac och vissa delar av deras kommunikationsinfrastruktur samt potentiellt även av andra stora it-system inom området frihet, säkerhet och rättvisa, förutsatt att separata unionsrättsakter antas. Förordning (EU) nr 1077/2011 ändrades genom förordning (EU) nr 603/2013 för att återspegla de ändringar som gjorts i Eurodac.

(5)

Eftersom förvaltningsmyndigheten måste vara oavhängig i rättsligt, administrativt och ekonomiskt hänseende inrättades den i form av en tillsynsbyrå (nedan kallad byrån) med ställning som juridisk person. Sätet för byrån förlades enligt överenskommelse till Tallinn, Estland. Eftersom de uppgifter som rör den tekniska utvecklingen och förberedelsen av den operativa förvaltningen av SIS II och VIS emellertid redan utfördes i Strasbourg, Frankrike, och ett reservdriftställe för dessa system hade inrättats i Sankt Johann im Pongau, Österrike, i enlighet även med platserna för SIS II och VIS såsom de inrättats enligt de relevanta unionsrättsakterna, bör detta även fortsättningsvis vara fallet. Dessa två driftställen bör också fortsätta att vara de platser där de uppgifter som rör den operativa förvaltningen av Eurodac utförs respektive där ett reservdriftställe för Eurodac inrättas. Dessa två driftställen bör också vara platsen för den tekniska utvecklingen och operativa förvaltningen av andra stora it-system inom området frihet, säkerhet och rättvisa sker respektive platsen för ett reservdriftställe som kan säkerställa driften av ett stort it-system vid fel i detsamma. För att maximera den möjliga användningen av reservdriftstället skulle det även kunna användas för att driva system samtidigt, förutsatt att det fortfarande kan säkerställa driften av systemen i händelse av fel i ett eller flera av dem. Om de befintliga tekniska driftställenas inhysningskapacitet visar sig vara otillräcklig bör det, på grund av att systemen kräver så hög säkerhet och stor tillgänglighet och är av så avgörande betydelse, vara möjligt för byråns styrelse (nedan kallad styrelsen), om detta kan motiveras på grundval av en oberoende konsekvensbedömning och kostnads-nyttoanalys, att föreslå att ett andra separat tekniskt driftställe inrättas, antingen i Strasbourg eller i Sankt Johann im Pongau eller på båda platserna, beroende på vad som krävs, för att hysa systemen. Styrelsen bör samråda med kommissionen och ta hänsyn till dess synpunkter innan den underrättar Europaparlamentet och rådet (nedan kallad budgetmyndigheten) om sin avsikt att genomföra eventuella projekt som rör egendom.

(6)

Sedan byrån tog sig an sina ansvarsområden den 1 december 2012 har den tagit över de uppgifter som ålades förvaltningsmyndigheten avseende VIS genom förordning (EG) nr 767/2008 och rådets beslut 2008/633/RIF (10). I april 2013 tog byrån också över de uppgifter som ålagts förvaltningsmyndigheten avseende SIS II genom förordning (EG) nr 1987/2006 och beslut 2007/533/RIF efter det att SIS II togs i bruk, och i juni 2013 tog den över de uppgifter som ålagts kommissionen avseende Eurodac i enlighet med förordningarna (EG) nr 2725/2000 och (EG) nr 407/2002.

(7)

Vid den första utvärderingen av byråns verksamhet på grundval av en oberoende extern utvärdering som gjordes perioden 2015–2016 konstaterades att byrån effektivt säkerställer den operativa förvaltningen av de stora it-systemen och andra uppgifter byrån har anförtrotts, men även att det behövs ett antal ändringar av förordning (EU) nr 1077/2011, t.ex. överföring av kommissionens uppgifter avseende kommunikationsinfrastrukturen till byrån. På grundval av den externa utvärderingen beaktade kommissionen den politiska, rättsliga och praktiska utvecklingen och föreslog, särskilt i sin rapport av den 29 juni 2017 om Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (eu-LISA) (nedan kallad utvärderingsrapporten), att byråns mandat skulle utvidgas i syfte att den skulle utföra de uppgifter som följer av medlagstiftarnas antagande av lagstiftningsförslag där nya system anförtros byrån, de uppgifter som avses i kommissionens meddelande av den 6 april 2016 med titeln Starkare och smartare informationssystem för gränser och säkerhet, i expertgruppens för informationssystem och interoperabilitet slutrapport av den 11 maj 2017 och i kommissionens meddelande av den 16 maj 2017 med titeln Sjunde rapporten om framsteg i riktning mot en effektiv och verklig säkerhetsunion, under förutsättning att relevanta unionsrättsakter antas, när så krävs. Byrån bör i synnerhet ges i uppgift att utveckla lösningar avseende interoperabilitet, vilket i meddelandet av den 6 april 2016 definieras som informationssystems kapacitet att utbyta uppgifter och dela information.

I tillämpliga fall bör åtgärder som vidtas avseende interoperabilitet följa kommissionens meddelande av den 23 mars 2017 med titeln Europeiska interoperabilitetsramen – genomförandestrategi. Bilaga 2 till det meddelandet innehåller allmänna riktlinjer, rekommendationer och bästa praxis för att uppnå interoperabilitet eller åtminstone skapa förutsättningar för att uppnå bättre interoperabilitet vid utformning, genomförande och förvaltning av EU:s offentliga tjänster.

(8)

Utvärderingsrapporten konstaterade även att byråns mandat bör utvidgas för att den ska kunna ge medlemsstaterna råd om anslutningen av nationella system till de centrala systemen för de stora it-system som den förvaltar (nedan kallade systemen) och när så begärs ad hoc-hjälp och -stöd, samt ge kommissionens avdelningar hjälp och stöd i tekniska frågor som rör nya system.

(9)

Byrån bör anförtros förberedelsen, utvecklingen och den operativa förvaltningen av det in- och utresesystem som inrättas genom Europaparlamentets och rådets förordning (EU) 2017/2226 (11).

(10)

Byrån bör också anförtros den operativa förvaltningen av DubliNet, en separat säker elektronisk överföringskanal inrättad enligt artikel 18 i kommissionens förordning (EG) nr 1560/2003 (12), som medlemsstaternas behöriga asylmyndigheter bör använda för att utbyta information om personer som sökt internationellt skydd.

(11)

Byrån bör dessutom anförtros förberedelsen, utvecklingen och den operativa förvaltningen av EU-systemet för reseuppgifter och resetillstånd (Etias) som inrättas genom Europaparlamentets och rådets förordning (EU) 2018/1240 (13).

(12)

Byråns kärnverksamhet bör även fortsättningsvis vara att sköta den operativa förvaltningen av SIS II, VIS, Eurodac, in- och utresesystemet, DubliNet, Etias och, om så beslutas, andra stora it-system inom området frihet, säkerhet och rättvisa. Byrån bör också ansvara för de tekniska åtgärder som krävs som en följd av de icke-normativa uppgifter som den anförtrotts. De ansvarsområdena bör inte påverka de normativa uppgifter som är förbehållna kommissionen enbart, eller kommissionen med bistånd av en kommitté enligt respektive unionsrättsakt som reglerar systemen.

(13)

Byrån bör ha möjlighet att genomföra tekniska lösningar för att uppfylla tillgänglighetskraven i de unionsrättsakter som reglerar systemen, med full hänsyn till de särskilda bestämmelserna i dessa akter med avseende på respektive systems tekniska arkitektur. Om dessa tekniska lösningar kräver att ett system eller komponenter i ett system mångfaldigas bör en oberoende konsekvensbedömning och kostnads-nyttoanalys genomföras och ett beslut fattas av styrelsen efter samråd med kommissionen. Den konsekvensbedömningen bör även inbegripa en undersökning av behoven vad gäller inhysningskapaciteten hos de befintliga tekniska driftställena avseende utvecklingen av sådana tekniska lösningar och eventuella risker knutna till den befintliga operativa strukturen.

(14)

Det är inte längre motiverat för kommissionen att behålla vissa uppgifter som rör systemens kommunikationsinfrastruktur, och dessa uppgifter bör därför överföras till byrån för att göra förvaltningen av kommunikationsinfrastrukturen enhetligare. Kommissionen bör dock fortfarande ansvara för uppgifter i samband med budgetgenomförandet, förvärv och förnyande samt avtalsfrågor för de system som använder EuroDomain, en säker kommunikationsinfrastruktur som tillhandahålls av TESTA-ng (transeuropeiska telematiktjänster för myndigheter – ny generation), och som inrättats som en del av ISA-programmet som inrättades genom Europaparlamentets och rådets beslut nr 922/2009/EG (14) och fortsatte som en del av ISA2-programmet, som inrättades genom Europaparlamentets och rådets beslut (EU) 2015/2240 (15).

(15)

Byrån bör kunna anlita externa privaträttsliga enheter eller organ för att utföra uppgifter som rör leverans, montering, underhåll och övervakning av kommunikationsinfrastrukturen i enlighet med Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 (16). Byrån bör ha tillräckliga budgetmedel och tillräckligt med personal till sitt förfogande för att så långt som möjligt begränsa behovet att lägga ut sina uppdrag och uppgifter på externa privaträttsliga enheter eller organ.

(16)

Byrån bör även fortsättningsvis utföra uppgifter avseende utbildning i den tekniska användningen av SIS II, VIS, Eurodac och andra system som den anförtros i framtiden.

(17)

För att bidra till ett faktabaserat beslutsfattande avseende unionens migrations- och säkerhetspolitik och till övervakningen av att systemen fungerar bör byrån sammanställa och offentliggöra statistik och ta fram statistiska rapporter och göra dem tillgängliga för relevanta aktörer i enlighet med de unionsrättsakter som reglerar systemen, exempelvis för att övervaka genomförandet av rådets förordning (EU) nr 1053/2013 (17) och för att genomföra risk- och sårbarhetsanalyser i enlighet med Europaparlamentets och rådets förordning (EU) 2016/1624 (18).

(18)

Det bör vara möjligt att ge byrån ansvar för förberedelsen, utvecklingen och den operativa förvaltningen av ytterligare stora it-system enligt artiklarna 67–89 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Möjliga exempel på sådana system kan vara centraliserade system för identifiering av medlemsstater som innehar uppgifter om fällande domar mot tredjelandsmedborgare och statslösa personer för att stödja det europeiska informationssystemet för utbyte av uppgifter ur kriminalregister (Ecris-TCN-systemet) eller det datoriserade systemet för gränsöverskridande kommunikation i civilrättsliga och straffrättsliga förfaranden (e-Codex). Byrån bör dock endast anförtros sådana system genom särskilda unionsrättsakter efter en konsekvensbedömning.

(19)

Byråns mandat bör utvidgas när det gäller forskning för att öka dess förmåga att vara mer proaktiv med att föreslå relevanta och nödvändiga tekniska ändringar i systemen. Byrån bör förutom att kunna övervaka forskningsverksamhet som är relevant för den operativa förvaltningen av systemen även kunna bidra till genomförandet av relevanta delar av den Europeiska unionens ramprogram för forskning och innovation, om kommissionen delegerar relevanta befogenheter till byrån. Åtminstone en gång om året bör byrån tillhandahålla information om sådan övervakning till Europaparlamentet, rådet och – när det gäller behandling av personuppgifter – Europeiska datatillsynsmannen.

(20)

Det bör vara möjligt för kommissionen att anförtro byrån med ansvar för genomförandet av pilotprojekt av experimentell karaktär som syftar till att kontrollera om en åtgärd är genomförbar och ändamålsenlig, vilka kan genomföras utan någon grundläggande akt i enlighet med förordning (EU, Euratom) 2018/1046. Det bör dessutom vara möjligt för kommissionen att anförtro byrån budgetgenomförandeuppgifter för koncepttest som finansieras inom ramen för instrumentet för ekonomiskt stöd för yttre gränser och visering inrättat genom Europaparlamentets och rådets förordning (EU) nr 515/2014 (19) i enlighet med förordning (EU, Euratom) 2018/1046, efter att ha informerat Europaparlamentet. Det bör också vara möjligt för byrån att planera och genomföra tester på områden som direkt omfattas av den här förordningen och de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen, exempelvis tester av virtualiseringskoncept. När byrån får i uppdrag att genomföra ett pilotprojekt bör den ägna särskild uppmärksamhet åt Europeiska unionens informationshanteringsstrategi.

(21)

Byrån bör, vad gäller anslutning av nationella system till de centrala system som anges i de unionsrättsakter som reglerar dessa system, ge medlemsstaterna råd på begäran.

(22)

Byrån bör också ge medlemsstaterna ad hoc-stöd på begäran, enligt det förfarande som anges i denna förordning, när det krävs på grund av särskilda utmaningar eller behov rörande säkerhet eller migration. I synnerhet bör en medlemsstat kunna begära och förlita sig på operativ och teknisk förstärkning om den medlemsstaten vid särskilda områden av dess yttre gränser står inför specifika och oproportionerliga migrationsutmaningar som kännetecknas av stora inkommande migrationsflöden. Sådan förstärkning bör tillhandahållas i områdena kring mottagningscentrumen av stödgrupper för migrationshantering som består av experter från relevanta unionsbyråer. Om byråns stöd krävs i detta sammanhang i frågor som rör systemen bör den berörda medlemsstaten sända en begäran om stöd till kommissionen som, efter sin bedömning att sådant stöd verkligen är berättigat, utan dröjsmål bör översända begäran om stöd till byrån. Byrån bör underrätta styrelsen om sådana begäranden. Kommissionen bör också övervaka huruvida byrån i god tid lämnar ett svar på begäran om ad hoc-stöd. Byråns årliga verksamhetsrapport bör ingående redogöra för de åtgärder som byrån har genomfört för att ge ad hoc-stöd till medlemsstaterna och för kostnaderna i detta avseende.

(23)

Byrån bör även, om så begärs, stödja kommissionens avdelningar i tekniska frågor som rör befintliga eller nya system, i synnerhet vid utarbetandet av nya förslag om stora it-system som ska anförtros byrån.

(24)

Det bör vara möjligt för en grupp medlemsstater att anförtro byrån att utveckla, förvalta eller hysa en gemensam it-komponent för att hjälpa dem med genomförandet av tekniska aspekter av skyldigheter som följer av unionsrättsakter om decentraliserade it-system inom området frihet, säkerhet och rättvisa. Detta bör ske utan att det påverkar de medlemsstaternas skyldigheter enligt tillämpliga unionsrättsakter, särskilt när det gäller dessa systems arkitektur. Detta bör kräva kommissionens förhandsgodkännande, omfattas av ett positivt styrelsebeslut, återspeglas i ett delegeringsavtal mellan de berörda medlemsstaterna och byrån samt helt och hållet finansieras av de berörda medlemsstaterna. Byrån bör informera Europaparlamentet och rådet om det godkända delegeringsavtalet och eventuella ändringar av detta. Andra medlemsstater bör ha möjlighet att delta i sådana gemensamma it-lösningar förutsatt att denna möjlighet föreskrivs i delegeringsavtalet och att nödvändiga ändringar av detta görs. Denna uppgift bör inte negativt påverka byråns operativa förvaltning av systemen.

(25)

Att byrån anförtros den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa bör inte påverka de särskilda regler som dessa system omfattas av. I synnerhet är de särskilda reglerna om syfte, åtkomsträtt, säkerhetsåtgärder och andra dataskyddskrav för varje sådant system tillämpliga fullt ut.

(26)

För att effektivt kunna övervaka hur byrån fungerar bör medlemsstaterna och kommissionen vara företrädda i styrelsen. Styrelsen bör ges nödvändiga befogenheter, särskilt för att anta det årliga arbetsprogrammet, utföra sina arbetsuppgifter rörande byråns budget, anta de finansiella regler som ska gälla för byrån och fastställa förfarandena för den verkställande direktörens beslut om byråns operativa uppgifter. Styrelsen bör utföra dessa uppgifter på ett effektivt och öppet sätt. Efter att ett lämpligt urvalsförfarande anordnats av kommissionen, och efter en utfrågning av de föreslagna kandidaterna i det eller de ansvariga utskotten i Europaparlamentet, bör styrelsen även utnämna en verkställande direktör.

(27)

Eftersom antalet stora it-system som byrån anförtrotts kommer att öka betydligt fram till 2020 och byråns uppgifter håller på att bli avsevärt mer omfattande, följer också en motsvarande ökning av byråns personal fram till 2020. En befattning som vice verkställande direktör för byrån bör därför inrättas, också med hänsyn till det faktum att de uppgifter som rör utveckling och operativ förvaltning av systemen kommer att kräva ökad och särskild tillsyn och att byråns säte och tekniska driftställen är utspridda över tre medlemsstater. Styrelsen bör utnämna den vice verkställande direktören.

(28)

Byrån bör styras och arbeta med beaktande av principerna i den gemensamma ansats för unionens decentraliserade byråer som godkändes av Europaparlamentet, rådet och kommissionen den 19 juli 2012.

(29)

När det gäller SIS II bör Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och Europeiska unionens byrå för rättsligt samarbete (Eurojust), som båda har rätt att få åtkomst till och direkt söka uppgifter som lagts in i SIS II enligt beslut 2007/533/RIF, ha observatörsstatus vid de styrelsemöten där en fråga om tillämpningen av det beslutet står på dagordningen. Europeiska gräns- och kustbevakningsbyrån, som har rätt att få åtkomst till och söka i SIS II enligt Europaparlamentets och rådets förordning (EU) 2016/1624, bör ha observatörsstatus vid de styrelsemöten där en fråga om tillämpningen av den förordningen står på dagordningen. Europol, Eurojust och Europeiska gräns- och kustbevakningsbyrån bör var för sig ha rätt att utnämna en företrädare i den rådgivande gruppen för SIS II, som inrättas enligt denna förordning.

(30)

När det gäller VIS bör Europol ha observatörsstatus vid de styrelsemöten där en fråga om tillämpningen av beslut 2008/633/RIF står på dagordningen. Europol bör ha rätt att utnämna en företrädare i den rådgivande gruppen för VIS, som inrättas enligt denna förordning.

(31)

När det gäller Eurodac bör Europol ha observatörsstatus vid de styrelsemöten där en fråga om tillämpningen av förordning (EU) nr 603/2013 står på dagordningen. Europol bör ha rätt att utnämna en företrädare i den rådgivande gruppen för Eurodac, som inrättas enligt denna förordning.

(32)

När det gäller in- och utresesystemet bör Europol ha observatörsstatus vid de styrelsemöten där en fråga som rör förordning (EU) 2017/2226 står på dagordningen.

(33)

När det gäller Etias bör Europol ha observatörsstatus vid de styrelsemöten där en fråga som rör förordning (EU) 2018/1240 står på dagordningen. Europeiska gräns- och kustbevakningsbyrån bör också ha observatörsstatus vid de styrelsemöten där en fråga som rör Etias i samband med tillämpningen av den förordningen står på dagordningen. Europol och Europeiska gräns- och kustbevakningsbyrån bör ha möjlighet att utnämna en företrädare i den rådgivande gruppen för in- och utresesystemet och Etias, som inrättas enligt denna förordning.

(34)

Medlemsstater bör ha rösträtt i styrelsen rörande ett stort it-system om de enligt unionsrätten omfattas av någon unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av systemet i fråga. Även Danmark bör ha rösträtt när det gäller ett stort it-system, om landet inom ramen för artikel 4 i protokoll nr 22 om Danmarks ställning, fogat till fördraget om Europeiska unionen (EU-fördraget) och till EUF-fördraget, beslutar att i sin nationella lagstiftning genomföra den unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av systemet i fråga.

(35)

Medlemsstaterna bör utnämna en ledamot av den rådgivande gruppen för ett stort it-system om de enligt unionsrätten omfattas av en rättsakt som reglerar utvecklingen, inrättandet, driften och användningen av systemet i fråga. Även Danmark bör utnämna en ledamot av den rådgivande gruppen för ett stort it-system om landet, inom ramen för artikel 4 i protokoll nr 22, beslutar att i sin nationella lagstiftning genomföra den unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av systemet i fråga. De rådgivande grupperna bör samarbeta med varandra vid behov.

(36)

För att garantera byråns fullständiga oavhängighet och oberoende och göra det möjligt för byrån att på ett korrekt sätt uppfylla målen och utföra de uppgifter den tilldelas genom denna förordning, bör den ges en adekvat egen budget, som finansieras via unionens allmänna budget. Finansiering av byrån bör medges under förutsättning att Europaparlamentet och rådet har nått en överenskommelse enligt punkt 31 i det interinstitutionella avtalet av den 2 december 2013 mellan Europaparlamentet, rådet och kommissionen om budgetdisciplin, samarbete i budgetfrågor och sund ekonomisk förvaltning (20). Unionens budget- och ansvarsfrihetsförfaranden bör gälla. Revisionen av räkenskaperna och de underliggande transaktionernas laglighet och korrekthet bör utföras av revisionsrätten.

(37)

För att byrån ska kunna utföra sitt uppdrag, och i den utsträckning som krävs för att den ska kunna fullgöra sina uppgifter, bör den ha rätt att samarbeta med unionens institutioner, organ och byråer – i synnerhet de som har inrättats inom området frihet, säkerhet och rättvisa – i frågor som omfattas av denna förordning och de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen inom ramen för samarbetsavtal som ingåtts i enlighet med unionsrätten och unionens politik och inom ramen för deras respektive befogenheter. När så föreskrivs i en unionsrättsakt bör byrån även ha rätt att samarbeta med internationella organisationer och andra relevanta enheter och bör kunna ingå samarbetsavtal i detta syfte. Dessa samarbetsavtal bör ha förhandsgodkänts av kommissionen och godkännas av styrelsen. Byrån bör också samråda med och följa upp rekommendationerna från Europeiska byrån för nät- och informationssäkerhet om nätsäkerhet (Enisa), inrättad genom Europaparlamentets och rådets förordning (EU) nr 526/2013 (21), avseende nät-och informationssäkerhet när så är lämpligt.

(38)

Byrån bör, när den säkerställer utvecklingen och den operativa förvaltningen av systemen, följa europeiska och internationella standarder och mycket högt ställda yrkeskrav, särskilt Europeiska unionens informationshanteringsstrategi.

(39)

Europaparlamentets och rådets förordning (EU) 2018/1725 (22) bör tillämpas på byråns behandling av personuppgifter, utan att det påverkar tillämpningen av de dataskyddsbestämmelser som föreskrivs i de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen som bör vara förenliga med förordning (EU) 2018/1725. För att upprätthålla säkerheten och förhindra behandling som innebär en överträdelse av förordning (EU) 2018/1725 och de unionsrättsakter som reglerar systemen bör byrån utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. Vid bedömningen av datasäkerhetsrisken bör de risker som personuppgiftsbehandling medför beaktas, såsom oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt utlämnande av eller obehörig åtkomst till personuppgifter som överförts, lagrats eller på annat sätt behandlats, framför allt när denna kan medföra fysisk, materiell eller immateriell skada. Europeiska datatillsynsmannen bör av byrån kunna få åtkomst till alla uppgifter som denna behöver för sina undersökningar. I enlighet med Europaparlamentets och rådets förordning (EG) nr 45/2001 (23) samrådde kommissionen med Europeiska datatillsynsmannen, som avgav ett yttrande den 10 oktober 2017.

(40)

För att säkerställa öppenhet i byråns operativa verksamhet bör den omfattas av Europaparlamentets och rådets förordning (EG) nr 1049/2001 (24). Byrån bör vara så öppen som möjligt med sin verksamhet utan att äventyra målen med sina insatser. Byrån bör offentliggöra information om all sin verksamhet. Den bör även säkerställa att allmänheten och alla berörda parter snabbt får information om dess arbete.

(41)

Europeiska ombudsmannen bör granska byråns verksamhet i enlighet med artikel 228 i EUF-fördraget.

(42)

Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 (25) bör tillämpas på byrån, som bör ansluta sig till det interinstitutionella avtalet av den 25 maj 1999 mellan Europaparlamentet, Europeiska unionens råd och Europeiska gemenskapernas kommission om interna utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) (26).

(43)

Rådets förordning (EU) 2017/1939 (27) om inrättande av Europeiska åklagarmyndigheten bör tillämpas på byrån.

(44)

För att säkerställa öppna och transparenta anställningsvillkor och likabehandling av personal bör byråns personal (även byråns verkställande direktör och vice verkställande direktör) omfattas av tjänsteföreskrifterna för tjänstemän i Europeiska unionen (nedan kallade tjänsteföreskrifterna för tjänstemän) och anställningsvillkoren för övriga anställda i Europeiska unionen (nedan kallade anställningsvillkoren för övriga anställda), vilka fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (28) (tillsammans kallade tjänsteföreskrifterna), inklusive bestämmelserna om tystnadsplikt eller andra likvärdiga skyldigheter beträffande konfidentialitet.

(45)

Eftersom byrån är ett organ som inrättats av unionen i den mening som avses i förordning (EU, Euratom) 2018/1046 bör byrån anta finansiella regler i enlighet med detta.

(46)

Kommissionens delegerade förordning (EU) nr 1271/2013 (29) bör tillämpas på byrån.

(47)

Den byrå som inrättas genom denna förordning ersätter och efterträder Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, såsom den inrättades genom förordning (EU) nr 1077/2011. Den bör därför vara rättslig efterträdare vad gäller alla avtal, alla skulder och all egendom som förvärvades av Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, såsom den inrättades genom förordning (EU) nr 1077/2011. Den här förordningen bör inte påverka den rättsliga verkan av avtal, samarbetsavtal och samförståndsavtal som ingåtts av byrån såsom den inrättades genom förordning (EU) nr 1077/2011, utan att detta påverkar tillämpningen av eventuella ändringar av dessa som krävs enligt den här förordningen.

(48)

För att göra det möjligt för byrån att fortsätta att efter bästa förmåga fullgöra de uppgifter som utförs av Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, såsom den inrättades genom förordning (EU) nr 1077/2011, bör övergångsåtgärder fastställas, särskilt med avseende på styrelsen, de rådgivande grupperna, den verkställande direktören och de interna regler som styrelsen antar.

(49)

Syftet med denna förordning är att ändra och utöka bestämmelserna i förordning (EU) nr 1077/2011. Eftersom ett stort antal väsentliga ändringar genomförs genom denna förordning bör förordning (EU) nr 1077/2011 av tydlighetsskäl ersättas i sin helhet med avseende på de medlemsstater som är bundna av den här förordningen. Den byrå som inrättas genom denna förordning bör ersätta den byrå som inrättades genom förordning (EU) nr 1077/2011 och överta dess uppgifter, och följaktligen bör den förordningen upphävas.

(50)

Eftersom målen för denna förordning, nämligen att inrätta en byrå på unionsnivå med ansvar för den operativa förvaltningen och, när så är lämpligt, utvecklingen av stora it-system inom området frihet, säkerhet och rättvisa, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, utan snarare, på grund av åtgärdens omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå dessa mål.

(51)

I enlighet med artiklarna 1 och 2 i protokoll nr 22 deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark. Eftersom denna förordning i den utsträckning som den rör SIS II, VIS, in- och utresesystemet och Etias är en utveckling av Schengenregelverket ska Danmark, i enlighet med artikel 4 i det protokollet, inom sex månader efter det att rådet har beslutat om denna förordning besluta huruvida landet ska genomföra den i sin nationella lagstiftning. I enlighet med artikel 3 i avtalet mellan Europeiska gemenskapen och Konungariket Danmark om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredjeland har lämnat in i Danmark eller någon annan medlemsstat i Europeiska unionen, och om Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen (30), ska Danmark meddela kommissionen huruvida landet kommer att genomföra innehållet i denna förordning i den utsträckning som den rör Eurodac och DubliNet.

(52)

I den utsträckning som bestämmelserna i denna förordning rör SIS II, såsom systemet regleras i beslut 2007/533/RIF, deltar Förenade kungariket i denna förordning i enlighet med artikel 5.1 i protokoll nr 19 om Schengenregelverket införlivat inom Europeiska unionens ramar, fogat till EU-fördraget och EUF-fördraget, och artikel 8.2 i rådets beslut 2000/365/EG (31). I den utsträckning som bestämmelserna i denna förordning rör SIS II, såsom systemet regleras i förordning (EG) nr 1987/2006, samt VIS, in- och utresesystemet och Etias, utgör denna förordning en utveckling av de bestämmelser i Schengenregelverket i vilka Förenade kungariket inte deltar i enlighet med beslut 2000/365/EG. Förenade kungariket begärde genom skrivelse av den 19 juli 2018 till rådets ordförande, i enlighet med artikel 4 i protokollet nr 19 om införlivande av Schengenregelverket, att få delta i denna förordning. I enlighet med artikel 1 i rådets beslut (EU) 2018/1600 (32) har Förenade kungariket bemyndigats att delta i denna förordning. I den utsträckning som bestämmelserna i denna förordning rör Eurodac och DubliNet har Förenade kungariket meddelat att det önskar delta i antagandet och tillämpningen av denna förordning genom en skrivelse av den 23 oktober 2017 till rådets ordförande i enlighet med artikel 3 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget. Förenade kungariket deltar därför i antagandet av denna förordning, som är bindande för och tillämplig på Förenade kungariket.

(53)

I den utsträckning som bestämmelserna i denna förordning rör SIS II såsom det systemet regleras i beslut 2007/533/RIF, skulle Irland, i princip, kunna delta i denna förordning i enlighet med artikel 5.1 i protokoll nr 19 och artikel 6.2 i rådets beslut 2002/192/EG (33). I den utsträckning som bestämmelserna i denna förordning rör SIS II såsom det systemet regleras i förordning (EG) nr 1987/2006, samt VIS, in- och utresesystemet och Etias, utgör denna förordning en utveckling av de bestämmelser i Schengenregelverket i vilka Irland inte deltar i enlighet med beslut 2002/192/EG. Irland har inte begärt att få delta i antagandet av denna förordning i enlighet med artikel 4 i protokoll nr 19. Irland deltar därför inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Irland i den utsträckning som bestämmelserna i den utvecklar bestämmelser i Schengenregelverket som rör SIS II, såsom det systemet regleras i förordning (EG) nr 1987/2006, samt VIS, in- och utresesystemet och Etias. I den utsträckning som bestämmelserna i denna förordning rör Eurodac och DubliNet deltar Irland inte, i enlighet med artiklarna 1, 2 och 4a.1 i protokoll nr 21, i antagandet av denna förordning, som inte är bindande för eller tillämplig på Irland. Eftersom det under dessa omständigheter inte är möjligt att säkerställa att denna förordning i alla delar är tillämplig på Irland, såsom krävs enligt artikel 288 i EUF-fördraget, deltar Irland inte i antagandet av denna förordning, utan att det påverkar Irlands rättigheter enligt protokollen nr 19 och nr 21.

(54)

När det gäller Island och Norge utgör denna förordning, i den utsträckning den är tillämplig på SIS II, VIS, in- och utresesystemet och Etias, en utveckling av bestämmelserna i Schengenregelverket i den mening som avses i avtalet mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (34), närmare bestämt av bestämmelserna på det område som avses i artikel 1.A, 1.B och 1.G i rådets beslut 1999/437/EG (35). När det gäller Eurodac och DubliNet innebär denna förordning en ny åtgärd i den mening som avses i avtalet mellan Europeiska gemenskapen och Republiken Island och Konungariket Norge om kriterier och mekanismer för att fastställa vilken stat som ska ansvara för handläggningen av en asylansökan som görs i en medlemsstat eller i Island eller Norge (36). Följaktligen bör Republiken Islands och Konungariket Norges delegationer delta i byråns styrelse, förutsatt att dessa länder beslutar att genomföra förordningen i sina interna rättsordningar. Ett avtal bör ingås mellan unionen och Republiken Island och Konungariket Norge i syfte att fastställa närmare detaljerade bestämmelser för dessa staters deltagande i byråns verksamhet.

(55)

När det gäller Schweiz utgör denna förordning, i den utsträckning som den rör SIS II och VIS, in- och utresesystemet och Etias, en utveckling av bestämmelserna i Schengenregelverket i den mening som avses i avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (37), närmare bestämt av bestämmelserna på det område som avses i artikel 1.A, 1.B och 1.G i beslut 1999/437/EG, jämförd med artikel 3 i rådets beslut 2008/146/EG (38). När det gäller Eurodac och DubliNet innebär denna förordning en ny Eurodac-relaterad åtgärd i den mening som avses i avtalet mellan Europeiska gemenskapen och Schweiziska edsförbundet om kriterier och mekanismer för att fastställa vilken stat som ska ansvara för handläggningen av en asylansökan som görs i en medlemsstat eller i Schweiz (39). Följaktligen bör Schweiziska edsförbundets delegation delta i byråns styrelse, förutsatt att landet beslutar att genomföra förordningen i sin interna rättsordning. Ett avtal bör ingås mellan unionen och Schweiziska edsförbundet i syfte att fastställa närmare detaljerade bestämmelser för Schweiziska edsförbundets deltagande i byråns verksamhet.

(56)

När det gäller Liechtenstein utgör denna förordning, i den utsträckning som den rör SIS II och VIS, in- och utresesystemet och Etias, en utveckling av bestämmelserna i Schengenregelverket i den mening som avses i protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (40), närmare bestämt av bestämmelserna på det område som avses i artikel 1.A, 1.B och 1.G i beslut 1999/437/EG, jämförd med artikel 3 i rådets beslut 2011/350/EU (41).

När det gäller Eurodac och DubliNet utgör denna förordning en ny åtgärd i den mening som avses i protokollet mellan Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska gemenskapen och Schweiziska edsförbundet om kriterier och mekanismer för att fastställa vilken stat som ska ansvara för handläggningen av en asylansökan som görs i en medlemsstat eller i Schweiz (42). Följaktligen bör Furstendömet Liechtensteins delegation, förutsatt att landet beslutar att genomföra förordningen i sin interna rättsordning, delta i byråns styrelse. Ett avtal bör ingås mellan unionen och Furstendömet Liechtenstein i syfte att fastställa närmare detaljerade bestämmelser för Furstendömet Liechtensteins deltagande i byråns verksamhet.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

SYFTE OCH MÅL

Artikel 1

Syfte

1.   Härmed inrättas Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (nedan kallad byrån).

2.   Byrån, såsom den inrättas genom denna förordning, ska ersätta och efterträda Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, inrättad genom förordning (EU) nr 1077/2011.

3.   Byrån ska ansvara för den operativa förvaltningen av Schengens informationssystem (SIS II), informationssystemet för viseringar (VIS) och Eurodac.

4.   Byrån ska ansvara för förberedelsen, utvecklingen eller den operativa förvaltningen av in- och utresesystemet, DubliNet och EU-systemet för reseuppgifter och resetillstånd (Etias).

5.   Byrån får ges ansvaret för att förbereda, utveckla eller operativt förvalta andra stora it-system inom området frihet, säkerhet och rättvisa än dem som anges i punkterna 3 och 4 i denna artikel, inbegripet befintliga system, endast om detta föreskrivs i relevanta unionsrättsakter som reglerar de systemen och som grundar sig på artiklarna 67–89 i EUF-fördraget, varvid utvecklingen inom den forskning som avses i artikel 14 i den här förordningen och resultaten från de pilotprojekt och koncepttest som avses i artikel 15 i den här förordningen ska beaktas där så är lämpligt.

6.   Den operativa förvaltningen ska omfatta alla uppgifter som krävs för att de stora it-systemen ska fungera i överensstämmelse med de särskilda bestämmelser som är tillämpliga för vart och ett av dem, inbegripet ansvaret för den kommunikationsinfrastruktur som används för dem. Dessa stora it-system får inte utbyta uppgifter eller möjliggöra delning av information eller kunskap såvida inte detta föreskrivs i en specifik unionsrättsakt.

7.   Byrån ska också ansvara för följande uppgifter:

a)

Säkerställa uppgifters kvalitet i enlighet med artikel 12.

b)

Utarbeta nödvändiga åtgärder för att möjliggöra interoperabilitet i enlighet med artikel 13.

c)

Utföra forskningsverksamhet i enlighet med artikel 14.

d)

Utföra pilotprojekt, koncepttest och tester i enlighet med artikel 15.

e)

Stödja medlemsstaterna och kommissionen i enlighet med artikel 16.

Artikel 2

Mål

Utan att det påverkar kommissionens respektive medlemsstaternas skyldigheter enligt de unionsrättsakter som reglerar stora it-system, ska byrån säkerställa

a)

utvecklingen av stora it-system med hjälp av en adekvat projektledningsstruktur för att sådana system ska kunna utvecklas på ett effektivt sätt,

b)

en ändamålsenlig, säker och kontinuerlig drift av stora it-system,

c)

en effektiv och ekonomiskt ansvarig förvaltning av stora it-system,

d)

en tillräcklig tjänstekvalitetsnivå för användarna av stora it-system,

e)

kontinuitet och oavbruten service,

f)

en hög dataskyddsnivå i enlighet med unionens dataskyddsrätt, inbegripet särskilda bestämmelser för vart och ett av de stora it-systemen,

g)

en lämplig nivå på datasäkerheten och den fysiska säkerheten i enlighet med de tillämpliga reglerna, inklusive specifika bestämmelser för vart och ett av de stora it-systemen.

KAPITEL II

BYRÅNS UPPGIFTER

Artikel 3

Uppgifter avseende SIS II

Avseende SIS II ska byrån utföra

a)

de uppgifter som ålagts förvaltningsmyndigheten genom förordning (EG) nr 1987/2006 och beslut 2007/533/RIF, och

b)

uppgifter avseende utbildning i den tekniska användningen av SIS II, särskilt för Sirenepersonal (Sirene – Supplementary Information Request at the National Entries), och utbildning av experter avseende de tekniska aspekterna av SIS II inom ramen för utvärderingen av Schengen.

Artikel 4

Uppgifter avseende VIS

Avseende VIS ska byrån utföra

a)

de uppgifter som ålagts förvaltningsmyndigheten genom förordning (EG) nr 767/2008 och beslut 2008/633/RIF, och

b)

uppgifter avseende utbildning i den tekniska användningen av VIS och utbildning av experter avseende de tekniska aspekterna av VIS inom ramen för utvärderingen av Schengen.

Artikel 5

Uppgifter avseende Eurodac

Avseende Eurodac ska byrån utföra

a)

de uppgifter som den ålagts genom förordning (EU) nr 603/2013, och

b)

uppgifter avseende utbildning i den tekniska användningen av Eurodac.

Artikel 6

Uppgifter avseende in- och utresesystemet

Avseende in- och utresesystemet ska byrån utföra

a)

de uppgifter som den ålagts genom förordning (EU) 2017/2226, och

b)

uppgifter avseende utbildning i den tekniska användningen av in- och utresesystemet och utbildning av experter avseende de tekniska aspekterna av in- och utresesystemet inom ramen för utvärderingen av Schengen.

Artikel 7

Uppgifter avseende Etias

Avseende Etias ska byrån utföra

a)

de uppgifter den ålagts genom förordning (EU) 2018/1240, och

b)

uppgifter avseende utbildning i den tekniska användningen av Etias och utbildning av experter avseende de tekniska aspekterna av Etias inom ramen för utvärderingen av Schengen.

Artikel 8

Uppgifter avseende DubliNet

Avseende DubliNet ska byrån utföra

a)

den operativa förvaltningen av DubliNet, en separat säker kanal för elektronisk överföring mellan medlemsstaternas myndigheter, vilken inrättats enligt artikel 18 i förordning (EG) nr 1560/2003 för tillämpningen av artiklarna 31, 32 och 34 i Europaparlamentets och rådets förordning (EU) nr 604/2013 (43), och

b)

uppgifter avseende utbildning i den tekniska användningen av DubliNet.

Artikel 9

Uppgifter avseende förberedelsen, utvecklingen och den operativa förvaltningen av andra stora it-system

Byrån ska, när den anförtros förberedelsen, utvecklingen eller den operativa förvaltningen av sådana andra stora it-system som avses i artikel 1.5, utföra de uppgifter den ålagts enligt den unionsrättsakt som reglerar det berörda systemet samt uppgifter avseende utbildning i den tekniska användningen av dessa system, beroende på vad som är lämpligt.

Artikel 10

Tekniska lösningar som kräver särskilda villkor före genomförandet

Om det i de unionsrättsakter som reglerar systemen krävs att byrån har de systemen i drift dygnet runt alla dagar i veckan ska byrån, utan att det påverkar tillämpningen av de unionsrättsakterna, genomföra tekniska lösningar för att uppfylla de kraven. Om de tekniska lösningarna kräver mångfaldigande av ett system eller av komponenter i ett system ska de genomföras endast under förutsättning att en oberoende konsekvensbedömning och kostnads-nyttoanalys på beställning av byrån har utförts och efter samråd med kommissionen och ett positivt styrelsebeslut. Konsekvensbedömningen ska även inbegripa en undersökning av befintliga och framtida behov vad gäller de befintliga driftställenas inhysningskapacitet med avseende på utvecklingen av sådana tekniska lösningar samt eventuella risker som rör den befintliga operativa strukturen.

Artikel 11

Uppgifter avseende kommunikationsinfrastrukturen

1.   Avseende systemens kommunikationsinfrastrukturer ska byrån utföra alla uppgifter som den ålagts genom de unionsrättsakter som reglerar systemen, med undantag för de system som använder EuroDomain som kommunikationsinfrastruktur. Vad gäller de system som använder EuroDomain ska kommissionen ansvara för uppgifter som rör genomförandet av budgeten, förvärv och förnyande samt avtalsfrågor. I enlighet med de unionsrättsakter som reglerar de system som använder EuroDomain ska uppgifterna avseende kommunikationsinfrastrukturen, inbegripet den operativa förvaltningen och säkerheten, delas upp mellan byrån och kommissionen. För att säkerställa att de fullgör sina respektive åligganden på ett konsekvent sätt ska byrån och kommissionen komma överens om operativa arbetsförfaranden som återges i ett samförståndsavtal.

2.   Kommunikationsinfrastrukturen ska förvaltas och kontrolleras på lämpligt sätt för att den ska skyddas mot hot och för att säkerställa dess säkerhet och säkerheten för systemen, inbegripet säkerheten för de uppgifter som utbyts genom kommunikationsinfrastrukturen.

3.   Byrån ska anta lämpliga åtgärder, inklusive säkerhetsplaner, bland annat för att förhindra obehörig läsning, kopiering, ändring eller radering av personuppgifter i samband med överföring av personuppgifter eller transport av datamedier, i synnerhet med hjälp av lämplig krypteringsteknik. All systemrelaterad operativ information som cirkulerar i kommunikationsinfrastrukturen ska vara krypterad.

4.   Uppgifter som rör leverans, montering, underhåll och övervakning av kommunikationsinfrastrukturen får anförtros externa privaträttsliga enheter eller organ, i enlighet med förordning (EU, Euratom) 2018/1046. Sådana uppgifter ska utföras under byråns ansvar och under dess noggranna övervakning.

Alla externa privaträttsliga enheter eller organ, inbegripet nätleverantörer, ska när de utför de uppgifter som avses i första stycket vara bundna av de säkerhetsåtgärder som avses i punkt 3 och får inte på något sätt ha åtkomst till några operativa data som lagras i systemen eller överförs genom kommunikationsinfrastrukturen eller till det SIS II-relaterade Sireneutbytet.

5.   Hanteringen av krypteringsnycklarna ska förbli inom byråns behörighetsområde och får inte läggas ut på entreprenad till någon extern privaträttslig enhet. Detta påverkar inte befintliga avtal om kommunikationsinfrastrukturerna för SIS II, VIS och Eurodac.

Artikel 12

Uppgifters kvalitet

Utan att det påverkar medlemsstaternas ansvar när det gäller de uppgifter som förs in i systemen ska byrån, i nära samarbete med sina rådgivande grupper, tillsammans med kommissionen arbeta för att, med avseende på alla system, inrätta automatiska mekanismer för kontroll av uppgifters kvalitet och gemensamma uppgiftskvalitetsindikatorer och för att utveckla en central databas som innehåller endast anonymiserade uppgifter för rapportering och statistik, med förbehåll för särskilda bestämmelser i de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen.

Artikel 13

Interoperabilitet

Om interoperabilitet mellan stora it-system har föreskrivits i en relevant unionsrättsakt ska byrån utveckla nödvändiga åtgärder för att möjliggöra sådan interoperabilitet.

Artikel 14

Uppföljning av forskning

1.   Byrån ska följa utvecklingen av forskning som är av relevans för den operativa förvaltningen av SIS II, VIS, Eurodac, in- och utresesystemet, Etias, DubliNet och andra stora it-system som avses i artikel 1.5.

2.   Byrån får bidra till att genomföra de delar av Europeiska unionens ramprogram för forskning och innovation som avser stora it-system inom området frihet, säkerhet och rättvisa. Byrån ska i detta syfte, om kommissionen har delegerat relevanta befogenheter till den, ha följande uppgifter:

a)

Förvalta vissa delar av programgenomförandet och vissa faser under löptiden för särskilda projekt på grundval av de relevanta arbetsprogram som antagits av kommissionen.

b)

Anta instrumenten för genomförande av budgeten och för inkomster och utgifter och utföra alla åtgärder som krävs för att förvalta programmet.

c)

Ge stöd vid programgenomförandet.

3.   Byrån ska regelbundet och minst en gång om året underrätta Europaparlamentet, rådet och kommissionen samt, i fråga om behandling av personuppgifter, Europeiska datatillsynsmannen om den utveckling som avses i denna artikel, utan att det påverkar rapporteringsskyldigheterna i fråga om genomförandet av delar av Europeiska unionens ramprogram för forskning och innovation som avses i punkt 2.

Artikel 15

Pilotprojekt, koncepttest och tester

1.   På särskild och uttrycklig begäran av kommissionen, som minst tre månader före en sådan begäran ska ha underrättat Europaparlamentet och rådet, och efter ett positivt styrelsebeslut, får byrån i enlighet med artikel 19.1 u i den här förordningen och genom ett delegeringsavtal anförtros att genomföra sådana pilotprojekt som avses i artikel 58.2 a i förordning (EU, Euratom) 2018/1046 för utveckling eller operativ förvaltning av stora it-system enligt artiklarna 67–89 i EUF-fördraget i enlighet med artikel 62.1 c i förordning (EU, Euratom) 2018/1046.

Byrån ska regelbundet underrätta Europaparlamentet, rådet och, i fråga om behandling av personuppgifter, Europeiska datatillsynsmannen om utvecklingen av de pilotprojekt som genomförs av byrån enligt första stycket.

2.   Budgetanslag till pilotprojekt som avses i artikel 58.2 a i förordning (EU, Euratom) 2018/1046 och som begärts av kommissionen enligt punkt 1 får tas upp i budgeten för högst två på varandra följande budgetår.

3.   Byrån får på kommissionens eller rådets begäran, efter att ha underrättat Europaparlamentet och efter ett positivt styrelsebeslut, genom ett delegeringsavtal anförtros budgetgenomförandeuppgifter för koncepttest som finansieras inom ramen för det instrument för ekonomiskt stöd för yttre gränser och visering som inrättats genom förordning (EU) nr 515/2014 i enlighet med artikel 62.1 c i förordning (EU, Euratom) 2018/1046.

4.   Byrån får, efter ett positivt styrelsebeslut, planera och genomföra tester på områden som omfattas av denna förordning och av någon av de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen.

Artikel 16

Stöd till medlemsstaterna och kommissionen

1.   Varje medlemsstat får begära att byrån ger råd om de egna nationella systemens anslutning till de centrala systemen i de stora it-system som byrån förvaltar.

2.   Varje medlemsstat får inkomma med en begäran om ad hoc-stöd till kommissionen som, förutsatt att denna har gjort en positiv bedömning, enligt vilken sådant stöd krävs på grund av särskilda behov rörande säkerhet eller migration, utan dröjsmål ska översända den till byrån. Byrån ska underrätta styrelsen om sådana begäranden. Medlemsstaten ska underrättas när kommissionens bedömning är negativ.

Kommissionen ska övervaka huruvida byrån i tid har lämnat ett svar på medlemsstatens begäran. Byråns årliga verksamhetsrapport ska ingående redogöra för de åtgärder som byrån har genomfört för att ge ad hoc-stöd till medlemsstaterna och för kostnaderna i detta avseende.

3.   Det är också tillåtet att begära att byrån ska ge kommissionen råd eller stöd i tekniska frågor som rör befintliga eller nya system, inbegripet genom studier och tester. Byrån ska informera styrelsen om sådana begäranden.

4.   En grupp på minst fem medlemsstater får anförtro byrån uppgiften att utveckla, förvalta eller hysa en gemensam it-komponent för att hjälpa dem att genomföra tekniska aspekter av skyldigheter som följer av unionsrätt om decentraliserade system inom området frihet, säkerhet och rättvisa. Dessa gemensamma it-lösningar ska inte påverka de begärande medlemsstaternas skyldigheter enligt tillämplig unionsrätt, särskilt när det gäller dessa systems arkitektur.

I synnerhet får de begärande medlemsstaterna anförtro byrån uppgiften att skapa en gemensam komponent eller router för förhandsinformation om passagerare och passageraruppgifter som ett tekniskt hjälpmedel för att underlätta förbindelserna med lufttrafikföretag i syfte att hjälpa medlemsstaterna att genomföra rådets direktiv 2004/82/EG (44) och Europaparlamentets och rådets direktiv (EU) 2016/681 (45). I ett sådant fall ska byrån centralt samla in uppgifterna från lufttrafikföretag och överföra uppgifterna till medlemsstaterna via den gemensamma komponenten eller routern. De begärande medlemsstaterna ska anta nödvändiga åtgärder för att säkerställa att lufttrafikföretagen överför uppgifterna via byrån.

Byrån ska anförtros uppgiften att utveckla, förvalta eller hysa en gemensam it-komponent först efter ett förhandsgodkännande från kommissionen och ett positivt styrelsebeslut.

De begärande medlemsstaterna ska anförtro byrån de uppgifter som avses i första och andra styckena genom ett delegeringsavtal som innehåller villkoren för delegeringen av uppgifterna och en beräkning av alla relevanta kostnader och faktureringsmetoden. Alla relevanta kostnader ska täckas av de deltagande medlemsstaterna. Delegeringsavtalet ska vara förenligt med de unionsrättsakter som reglerar systemen i fråga. Byrån ska informera Europaparlamentet och rådet om det godkända delegeringsavtalet och eventuella ändringar av detta.

Andra medlemsstater får begära att få delta i en gemensam it-lösning när denna möjlighet föreskrivs i delegeringsavtalet, i vilket i synnerhet de ekonomiska konsekvenserna av ett sådant deltagande ska anges. Delegeringsavtalet ska ändras i enlighet med detta efter ett förhandsgodkännande från kommissionen och efter ett positivt styrelsebeslut.

KAPITEL III

STRUKTUR OCH ORGANISATION

Artikel 17

Rättslig ställning och plats

1.   Byrån ska vara ett unionsorgan och vara en juridisk person.

2.   Byrån ska ha den mest vittgående rättskapacitet som tillerkänns juridiska personer enligt nationell rätt i varje medlemsstat. Den får särskilt förvärva eller avyttra fast och lös egendom samt föra talan inför domstolar och andra myndigheter.

3.   Sätet för byrån ska vara Tallinn, Estland.

De uppgifter rörande utveckling och operativ förvaltning som avses i artiklarna 1.4, 1.5, 3, 4, 5, 6, 7, 8, 9 och 11 ska genomföras vid det tekniska driftstället i Strasbourg, Frankrike.

Ett reservdriftställe som kan säkerställa driften av ett stort it-system vid fel i ett sådant system ska inrättas i Sankt Johann im Pongau, Österrike.

4.   Båda de tekniska driftställena får användas för samtidig drift av systemen, förutsatt att reservdriftstället fortfarande kan säkerställa driften av systemen i händelse av fel i ett eller flera av dem.

5.   Om det på grund av systemens särskilda karaktär blir nödvändigt för byrån att inrätta ett andra separat tekniskt driftställe, antingen i Strasbourg eller i Sankt Johann im Pongau, eller på båda platserna, beroende på vad som krävs, för att hysa systemen, ska detta behov motiveras på grundval av en oberoende konsekvensbedömning och kostnads-nyttoanalys. Styrelsen ska samråda med kommissionen och ta hänsyn till dess synpunkter innan den underrättar budgetmyndigheten om sin avsikt att genomföra eventuella projekt som rör egendom i enlighet med artikel 45.9.

Artikel 18

Struktur

1.   Byråns förvaltnings- och ledningsstruktur ska bestå av

a)

en styrelse,

b)

en verkställande direktör,

c)

rådgivande grupper.

2.   Byråns struktur ska inbegripa

a)

ett dataskyddsombud,

b)

en säkerhetsansvarig,

c)

en räkenskapsförare.

Artikel 19

Styrelsens uppgifter

1.   Styrelsen ska göra följande:

a)

Tillhandahålla allmänna riktlinjer för byråns verksamhet.

b)

Anta byråns årsbudget med två tredjedelars majoritet av de röstberättigade ledamöterna och utföra andra uppgifter avseende byråns budget enligt kapitel V.

c)

Utnämna den verkställande direktören och den vice verkställande direktören och, när så är nödvändigt, förlänga deras respektive mandatperioder eller avsätta dem i enlighet med artikel 25 respektive 26.

d)

Ansvara för disciplinåtgärder beträffande den verkställande direktören och utöva tillsyn över hur denna utför sina arbetsuppgifter, inbegripet genomförandet av styrelsens beslut, samt ansvara för disciplinåtgärder beträffande den vice verkställande direktören, efter överenskommelse med den verkställande direktören.

e)

Fatta alla beslut om inrättandet av byråns organisationsstruktur och, vid behov, ändringar av denna, med beaktande av byråns verksamhetsbehov och en sund budgetförvaltning.

f)

Anta byråns personalpolitik.

g)

Fastställa byråns arbetsordning.

h)

Anta en strategi för bedrägeribekämpning, som står i proportion till risken för bedrägerier, och därvid ta hänsyn till kostnaderna och fördelarna med de åtgärder som ska genomföras.

i)

Anta regler för att förebygga och hantera intressekonflikter bland ledamöterna och offentliggöra reglerna på byråns webbplats.

j)

Anta detaljerade interna regler och förfaranden för skydd av visselblåsare, inbegripet lämpliga kommunikationskanaler för rapportering av missförhållanden.

k)

Godkänna ingåendet av samarbetsavtal i enlighet med artiklarna 41 och 43.

l)

På förslag av den verkställande direktören godkänna det avtal om byråns säte och de avtal om tekniska driftställen respektive reservdriftställen som upprättats i enlighet med artikel 17.3 och som den verkställande direktören och värdmedlemsstaterna ska underteckna.

m)

Med avseende på byråns personal utöva, i enlighet med punkt 2, de befogenheter som i tjänsteföreskrifterna för tjänstemän tilldelas tillsättningsmyndigheten och i anställningsvillkoren för övriga anställda tilldelas den myndighet som är behörig att sluta anställningsavtal (nedan kallade tillsättningsbefogenheter).

n)

Anta, i överenskommelse med kommissionen, nödvändiga genomförandebestämmelser för att ge verkan åt tjänsteföreskrifterna i enlighet med artikel 110 i tjänsteföreskrifterna för tjänstemän.

o)

Anta nödvändiga regler om utstationering av nationella experter vid byrån.

p)

Anta ett utkast till beräkning av byråns inkomster och utgifter, inklusive utkastet till tjänsteförteckning, och senast den 31 januari varje år lämna det till kommissionen.

q)

Anta utkastet till ett samlat programdokument som innehåller byråns fleråriga program och dess arbetsprogram för det följande året och ett preliminärt utkast till beräkning av byråns inkomster och utgifter, inklusive utkastet till tjänsteförteckning, och senast den 31 januari varje år lämna detta, samt varje uppdaterad version av dokumentet, till Europaparlamentet, rådet och kommissionen.

r)

Före den 30 november varje år anta, med två tredjedelars majoritet av styrelsens röstberättigade ledamöter och i enlighet med det årliga budgetförfarandet, det samlade programdokumentet med beaktande av kommissionens yttrande, samt säkerställa att den slutgiltiga versionen av detta samlade programdokument översänds till Europaparlamentet, rådet och kommissionen och att den offentliggörs.

s)

Anta en interimsrapport senast i slutet av augusti varje år om framstegen med att genomföra den verksamhet som planerats för det året och lämna den till Europaparlamentet, rådet och kommissionen.

t)

Bedöma och anta byråns konsoliderade årliga verksamhetsrapport för föregående år, där i synnerhet de uppnådda resultaten ska jämföras med målen i det årliga arbetsprogrammet, och senast den 1 juli varje år sända både rapporten och bedömningen av den till Europaparlamentet, rådet, kommissionen och revisionsrätten, och säkerställa att den årliga verksamhetsrapporten offentliggörs.

u)

Utföra sina uppgifter avseende byråns budget, bland annat genomföra de pilotprojekt och koncepttest som avses i artikel 15.

v)

Anta byråns finansiella regler i enlighet med artikel 49.

w)

Utnämna en räkenskapsförare, som får vara kommissionens räkenskapsförare, förutsatt att det inte strider mot tjänsteföreskrifterna, och som ska vara helt oberoende vid utförandet av sina arbetsuppgifter.

x)

Säkerställa lämplig uppföljning av de resultat och rekommendationer som härrör från olika interna eller externa revisionsrapporter och utvärderingar, samt från utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och Europeiska åklagarmyndigheten.

y)

Anta de planer för kommunikation och informationsspridning som avses i artikel 34.4 och regelbundet uppdatera dem.

z)

Anta nödvändiga säkerhetsåtgärder, inklusive en säkerhetsplan, en driftskontinuitetsplan och en katastrofplan, med beaktande av eventuella rekommendationer som ges av de säkerhetsexperter som ingår i de rådgivande grupperna.

aa)

Anta säkerhetsregler om skydd av säkerhetsskyddsklassificerade uppgifter och känsliga icke-säkerhetsskyddsklassificerade uppgifter efter godkännande av kommissionen.

bb)

Utnämna en säkerhetsansvarig.

cc)

Utnämna ett dataskyddsombud i enlighet med förordning (EU) 2018/1725.

dd)

Anta närmare bestämmelser för genomförandet av förordning (EG) nr 1049/2001.

ee)

Anta rapporterna om in- och utresesystemets utveckling enligt artikel 72.2 i förordning (EU) 2017/2226 och rapporterna om utvecklingen av Etias enligt artikel 92.2 i förordning (EU) 2018/1240.

ff)

Anta rapporterna om den tekniska funktionen hos SIS II enligt artikel 50.4 i förordning (EG) nr 1987/2006 respektive artikel 66.4 i beslut 2007/533/RIF, hos VIS enligt artikel 50.3 i förordning (EG) nr 767/2008 respektive artikel 17.3 i beslut 2008/633/RIF, hos in- och utresesystemet enligt artikel 72.4 i förordning (EU) 2017/2226 samt hos Etias enligt artikel 92.4 i förordning (EU) 2018/1240.

gg)

Anta årsrapporten om Eurodacs centrala systems verksamhet i enlighet med artikel 40.1 i förordning (EU) nr 603/2013.

hh)

Anta formella kommentarer om Europeiska datatillsynsmannens granskningsrapporter enligt artikel 45.2 i förordning (EG) nr 1987/2006, artikel 42.2 i förordning (EG) nr 767/2008, artikel 31.2 i förordning (EU) nr 603/2013, artikel 56.2 i förordning (EU) 2017/2226 och artikel 67 i förordning (EU) 2018/1240 och säkerställa lämplig uppföljning av granskningarna.

ii)

Offentliggöra statistik om SIS II enligt artikel 50.3 i förordning (EG) nr 1987/2006 respektive artikel 66.3 i beslut 2007/533/RIF.

jj)

Sammanställa och offentliggöra statistik om Eurodacs centrala system enligt artikel 8.2 i förordning (EG) nr 603/2013.

kk)

Offentliggöra statistik om in- och utresesystemet enligt artikel 63 i förordning (EU) 2017/2226.

ll)

Offentliggöra statistik om Etias enligt artikel 84 i förordning (EU) 2018/1240.

mm)

Säkerställa årligt offentliggörande av förteckningen över myndigheter som är behöriga att direkt hämta uppgifter ur SIS II enligt artikel 31.8 i förordning (EG) nr 1987/2006 och artikel 46.8 i beslut 2007/533/RIF, tillsammans med förteckningen över nationella SIS II-byråer (N.SIS II-byråer) och Sirenekontor enligt artikel 7.3 i förordning (EG) nr 1987/2006 respektive artikel 7.3 i beslut 2007/533/RIF, samt förteckningen över behöriga myndigheter enligt artikel 65.2 i förordning (EU) 2017/2226 och förteckningen över behöriga myndigheter enligt artikel 87.2 i förordning (EU) 2018/1240.

nn)

Säkerställa årligt offentliggörande av förteckningen över enheter enligt artikel 27.2 i förordning (EU) nr 603/2013.

oo)

Säkerställa att byråns alla beslut och åtgärder som påverkar stora it-system inom området frihet, säkerhet och rättvisa respekterar principen om rättsväsendets oberoende.

pp)

Fullgöra alla andra uppgifter som anförtrotts den i enlighet med denna förordning.

Utan att det påverkar bestämmelserna om offentliggörande av förteckningar över relevanta myndigheter som anges i de unionsrättsakter som avses i första stycket mm och när en skyldighet att offentliggöra och löpande uppdatera dessa förteckningar på byråns webbplats inte anges i de rättsakterna, ska styrelsen säkerställa sådant offentliggörande och sådan löpande uppdatering.

2.   Styrelsen ska, i enlighet med artikel 110 i tjänsteföreskrifterna för tjänstemän, anta ett beslut grundat på artikel 2.1 i tjänsteföreskrifterna för tjänstemän och artikel 6 i anställningsvillkoren för övriga anställda om att delegera relevanta tillsättningsbefogenheter till den verkställande direktören och fastställa på vilka villkor denna delegering av befogenheter kan dras in. Den verkställande direktören ska ha rätt att vidaredelegera dessa befogenheter.

Om exceptionella omständigheter kräver det får styrelsen genom ett beslut tillfälligt dra in delegeringen till den verkställande direktören av tillsättningsbefogenheter samt de befogenheter som denna vidaredelegerat, och själv utöva dem eller delegera dem till en av sina ledamöter eller till någon annan i personalen än den verkställande direktören.

3.   Styrelsen får ge den verkställande direktören råd i alla frågor som strikt hänför sig till utvecklingen eller den operativa förvaltningen av stora it-system och om verksamhet som rör forskning, pilotprojekt, koncepttest och tester.

Artikel 20

Styrelsens sammansättning

1.   Styrelsen ska bestå av en företrädare för varje medlemsstat och två företrädare för kommissionen. Varje företrädare ska ha rösträtt, i enlighet med artikel 23.

2.   Varje styrelseledamot ska ha en suppleant. Suppleanten ska företräda ledamoten i vederbörandes frånvaro eller om ledamoten väljs till ordförande eller vice ordförande i styrelsen och är ordförande för styrelsemötet. Styrelsens ledamöter och deras suppleanter ska utnämnas på grundval av deras stora erfarenhet och sakkunskap på relevanta områden när det gäller stora it-system inom området frihet, säkerhet och rättvisa samt deras kunskaper om dataskydd, med beaktande av deras relevanta färdigheter i förvaltning, administration och budget. Alla parter som är företrädda i styrelsen ska bemöda sig om att begränsa omsättningen av sina företrädare, i syfte att säkerställa kontinuitet i styrelsens arbete. Alla parter ska sträva efter att uppnå en jämn könsfördelning i styrelsen.

3.   Ledamöternas och suppleanternas mandatperiod ska vara fyra år och ska kunna förnyas. Vid mandatperiodens utgång eller om ledamöterna avgår ska de sitta kvar tills deras mandat har förnyats eller tills de har ersatts.

4.   Länder som är associerade till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder ska delta i byråns arbete. De ska vardera utnämna en företrädare och en suppleant i styrelsen.

Artikel 21

Styrelsens ordförande

1.   Styrelsen ska välja en ordförande och en vice ordförande bland de styrelseledamöter som utnämnts av medlemsstater som enligt unionsrätten fullt ut omfattas av de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av samtliga de stora it-system som förvaltas av byrån. Ordföranden och vice ordföranden ska väljas med två tredjedelars majoritet av de röstberättigade styrelseledamöterna.

Vice ordföranden ska automatiskt inträda i ordförandens ställe om den senare är förhindrad att fullgöra sina plikter.

2.   Ordförandens och vice ordförandens mandatperiod ska vara fyra år. Deras mandatperiod får förnyas en gång. Om deras uppdrag som styrelseledamot upphör någon gång under deras mandatperiod upphör deras mandatperiod automatiskt vid denna tidpunkt.

Artikel 22

Styrelsens möten

1.   Ordföranden ska sammankalla styrelsens möten.

2.   Den verkställande direktören ska delta i överläggningarna utan rösträtt.

3.   Styrelsen ska hålla minst två ordinarie möten per år. Dessutom ska styrelsen sammanträda på ordförandens initiativ, på kommissionens begäran, på den verkställande direktörens begäran eller på begäran av minst en tredjedel av de röstberättigade styrelseledamöterna.

4.   Europol och Eurojust får delta i styrelsens möten som observatörer när en fråga rörande SIS II angående tillämpningen av beslut 2007/533/RIF står på dagordningen. Europeiska gräns- och kustbevakningsbyrån får delta i styrelsens möten som observatör när en fråga rörande SIS II angående tillämpningen av förordning (EU) 2016/1624 står på dagordningen.

Europol får delta i styrelsens möten som observatör när en fråga rörande VIS angående tillämpningen av beslut 2008/633/RIF, eller en fråga rörande Eurodac angående tillämpningen av förordning (EU) nr 603/2013, står på dagordningen.

Europol får delta i styrelsens möten som observatör när en fråga rörande in- och utresesystemet angående tillämpningen av förordning (EU) 2017/2226 står på dagordningen eller när en fråga rörande Etias angående förordning (EU) 2018/1240 står på dagordningen. Europeiska gräns- och kustbevakningsbyrån får också delta i styrelsens möten som observatör när en fråga rörande Etias angående tillämpningen av förordning (EU) 2018/1240 står på dagordningen.

Styrelsen får bjuda in alla personer vars åsikter kan vara av intresse att delta som observatör vid mötena.

5.   Styrelsens ledamöter och deras suppleanter får, förutsatt att det inte strider mot styrelsens arbetsordning, bistås av rådgivare eller sakkunniga, i synnerhet de som är ledamöter i de rådgivande grupperna.

6.   Byrån ska bistå styrelsen med ett sekretariat.

Artikel 23

Omröstningsbestämmelser för styrelsen

1.   Utan att det påverkar tillämpningen av punkt 5 i den här artikeln och av artiklarna 19.1 b och r, 21.1 och 25.8 ska styrelsens beslut fattas av en majoritet av alla dess röstberättigade ledamöter.

2.   Utan att det påverkar tillämpningen av punkterna 3 och 4 ska varje ledamot i styrelsen ha en röst. Om en röstberättigad ledamot är frånvarande ska dennes suppleant ha rätt att rösta i ledamotens ställe.

3.   Varje ledamot som utnämnts av en medlemsstat som enligt unionsrätten omfattas av en unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av ett stort it-system som förvaltas av byrån får rösta om en fråga som rör det stora it-systemet i fråga.

Danmark får rösta om frågor som rör ett stort it-system om landet enligt artikel 4 i protokoll nr 22 beslutar att i sin nationella lagstiftning genomföra den unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av det stora it-systemet i fråga.

4.   Artikel 42 ska tillämpas avseende rösträtt för företrädare för länder som har ingått avtal med unionen om deras associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder.

5.   Om ledamöterna är oeniga om huruvida en omröstning rör ett visst stort it-system, ska ett beslut om att denna omröstning inte rör just det stora it-systemet fattas med två tredjedelars majoritet av de röstberättigade styrelseledamöterna.

6.   Ordföranden, eller vice ordföranden när han eller hon ersätter ordföranden, får inte delta i omröstningen. Ordförandens rösträtt, eller vice ordförandens rösträtt när han eller hon ersätter ordföranden, ska utövas av dennes suppleant.

7.   Den verkställande direktören får inte rösta.

8.   I styrelsens arbetsordning ska det fastställas mer detaljerade omröstningsbestämmelser, särskilt under vilka förutsättningar en ledamot får agera på en annan ledamots vägnar och eventuella krav på beslutsförhet när så är lämpligt.

Artikel 24

Den verkställande direktörens ansvarsområden

1.   Den verkställande direktören ska förvalta byrån. Den verkställande direktören ska bistå och vara ansvarig inför styrelsen. Den verkställande direktören ska på begäran rapportera till Europaparlamentet om resultatet av sitt arbete. Rådet får uppmana den verkställande direktören att rapportera om resultatet av sitt arbete.

2.   Den verkställande direktören ska vara byråns rättsliga företrädare.

3.   Den verkställande direktören ska ansvara för genomförandet av de uppgifter som byrån tilldelas genom denna förordning. Den verkställande direktören ska i synnerhet vara ansvarig för följande:

a)

Sköta byråns löpande förvaltning.

b)

Se till att byrån fungerar i enlighet med denna förordning.

c)

Utarbeta och genomföra förfaranden, beslut, strategier, program och verksamhet som antas av styrelsen, inom ramen för vad denna förordning, dess genomförandebestämmelser och tillämplig unionsrätt föreskriver.

d)

Utarbeta det samlade programdokumentet och lämna det till styrelsen efter samråd med kommissionen och de rådgivande grupperna.

e)

Genomföra det samlade programdokumentet och rapportera till styrelsen om dess genomförande.

f)

Utarbeta interimsrapporten om framstegen med att genomföra den verksamhet som planerats för innevarande år och, efter samråd med de rådgivande grupperna, lämna den till styrelsen så att den kan antas senast i slutet av augusti varje år.

g)

Utarbeta den konsoliderade årliga rapporten om byråns verksamhet och, efter samråd med de rådgivande grupperna, lämna in den till styrelsen för bedömning och antagande.

h)

Utarbeta en åtgärdsplan på grundval av slutsatserna från interna eller externa revisionsrapporter och utvärderingar, liksom av utredningar utförda av Olaf och Europeiska åklagarmyndigheten samt rapportera om läget två gånger om året till kommissionen och regelbundet till styrelsen.

i)

Skydda unionens finansiella intressen genom förebyggande åtgärder mot bedrägeri, korruption och annan olaglig verksamhet, utan att detta påverkar Europeiska åklagarmyndighetens och Olafs behörighet att göra undersökningar genom effektiva kontroller och, om oriktigheter upptäcks, genom återkrav av felaktigt utbetalda belopp och, vid behov, genom effektiva, proportionella och avskräckande administrativa, inbegripet ekonomiska, sanktioner.

j)

Utarbeta en strategi för bedrägeribekämpning för byrån och lämna den till styrelsen för godkännande samt övervaka att denna strategi genomförs korrekt och i tid.

k)

Utarbeta utkastet till de finansiella regler som ska tillämpas på byrån och lämna det till styrelsen för antagande efter samråd med kommissionen.

l)

Utarbeta budgetförslaget för det följande året, med utgångspunkt i verksamhetsbaserad budgetering.

m)

Utarbeta byråns utkast till beräkning av inkomster och utgifter.

n)

Genomföra byråns budget.

o)

Fastställa och genomföra ett effektivt system som möjliggör regelbunden övervakning och utvärdering av

i)

stora it-system, inbegripet statistik, och

ii)

byrån, inbegripet huruvida byråns mål faktiskt och effektivt uppnås.

p)

Utan att det påverkar tillämpningen av artikel 17 i tjänsteföreskrifterna för tjänstemän fastställa krav avseende konfidentiell behandling som överensstämmer med artikel 17 i förordning (EG) nr 1987/2006, artikel 17 i beslut 2007/533/RIF, artikel 26.9 i förordning (EG) nr 767/2008, artikel 4.4 i förordning (EU) nr 603/2013, artikel 37.4 i förordning (EU) 2017/2226 och artikel 74.2 i förordning (EU) 2018/1240.

q)

Förhandla om och, efter styrelsens godkännande, underteckna ett avtal om byråns säte samt avtal om de tekniska driftställena och reservdriftställena med värdmedlemsstaterna.

r)

Utarbeta de praktiska arrangemangen för genomförandet av förordning (EG) nr 1049/2001 och lämna dem till styrelsen för antagande.

s)

Utarbeta de säkerhetsåtgärder som krävs, däribland en säkerhetsplan, en driftskontinuitetsplan och en katastrofplan samt, efter samråd med relevant rådgivande grupp, lämna dem till styrelsen för antagande.

t)

Utarbeta rapporterna om hur vart och ett av de stora it-systemens tekniska funktion i enlighet med artikel 19.1 ff, och den årliga rapporten om Eurodacs centrala systems verksamhet enligt artikel 19.1 gg, på grundval av resultaten av övervakningen och utvärderingen samt, efter samråd med relevant rådgivande grupp, lämna dem till styrelsen för antagande.

u)

Utarbeta rapporterna om utvecklingen av in- och utresesystemet i enlighet med artikel 72.2 i förordning (EU) 2017/2226 och om utvecklingen av Etias i enlighet med artikel 92.2 i förordning (EU) 2018/1240 och lämna dem till styrelsen för antagande.

v)

Utarbeta den årliga förteckningen för offentliggörande över de myndigheter som är behöriga att söka uppgifter direkt i SIS II, inbegripet förteckningen över N.SIS II-byråer och Sirenekontor, och förteckningen över behöriga myndigheter som har rätt att söka uppgifter direkt i in- och utresesystemet och Etias enligt artikel 19.1 mm samt den förteckning över enheter som avses i artikel 19.1 nn, och lämna dem till styrelsen för antagande.

4.   Den verkställande direktören ska fullgöra varje annan uppgift i enlighet med denna förordning.

5.   Den verkställande direktören ska besluta huruvida det är nödvändigt att utplacera en eller flera medlemmar ur personalen i en eller flera medlemsstater för att byrån ska kunna utföra sina uppgifter på ett effektivt och ändamålsenligt sätt och inrätta ett lokalt kontor i det syftet. Innan den verkställande direktören fattar ett sådant beslut ska denna inhämta förhandsgodkännande från kommissionen, styrelsen samt den eller de berörda medlemsstaterna. I den verkställande direktörens beslut ska anges omfattningen av den verksamhet som ska bedrivas vid det lokala kontoret på ett sätt som undviker onödiga kostnader och överlappning av byråns administrativa uppgifter. Verksamhet som bedrivs i de tekniska enheterna får inte utföras vid ett lokalt kontor.

Artikel 25

Utnämning av den verkställande direktören

1.   Styrelsen ska utnämna den verkställande direktören utgående från en förteckning över minst tre kandidater som föreslagits av kommissionen efter ett öppet och transparent urvalsförfarande. För detta urvalsförfarande ska en inbjudan att inkomma med en intresseanmälan offentliggöras i Europeiska unionens officiella tidning och via andra lämpliga informationskanaler. Styrelsen ska utnämna den verkställande direktören på grundval av meriter, styrkt erfarenhet av stora it-system, administrativa kunskaper, finansiell kompetens, ledningskompetens och kunskaper om dataskydd.

2.   De sökande som kommissionen föreslagit ska före utnämningen uppmanas att göra ett uttalande inför det eller de ansvariga utskotten i Europaparlamentet och att besvara frågor från utskottsledamöterna. Efter att ha hört uttalandet och svaren ska Europaparlamentet anta ett yttrande med sin åsikt, och får ange vilken kandidat det föredrar.

3.   Styrelsen ska utnämna den verkställande direktören med beaktande av de åsikterna.

4.   Om styrelsen beslutar att utnämna en annan kandidat än den som Europaparlamentet angett som sin föredragna kandidat, ska den skriftligen meddela Europaparlamentet och rådet på vilket sätt Europaparlamentets yttrande har beaktats.

5.   Den verkställande direktörens mandatperiod ska vara fem år. Vid periodens utgång ska kommissionen göra en utvärdering där hänsyn tas till dess bedömning av den verkställande direktörens arbetsinsats och byråns framtida uppgifter och utmaningar.

6.   Styrelsen får på förslag av kommissionen, med beaktande av den utvärdering som avses i punkt 5, förlänga den verkställande direktörens mandatperiod en gång med högst fem år.

7.   Styrelsen ska underrätta Europaparlamentet om den har för avsikt att förlänga den verkställande direktörens mandatperiod. Inom den period på en månad som föregår en sådan eventuell förlängning ska den verkställande direktören uppmanas att göra ett uttalande inför det eller de ansvariga utskotten i Europaparlamentet och att besvara frågor från utskottsledamöterna.

8.   En verkställande direktör vars mandatperiod har förlängts får inte delta i ett annat urvalsförfarande för samma befattning vid slutet av den sammantagna mandatperioden.

9.   Den verkställande direktören kan avsättas från sin post endast efter ett styrelsebeslut på förslag av en majoritet av styrelsens röstberättigade ledamöter eller kommissionen.

10.   Styrelsen ska fatta beslut om utnämning, förlängning av mandatperioden och avsättning av den verkställande direktören med två tredjedelars majoritet av styrelsens röstberättigade ledamöter.

11.   I det anställningsavtal som sluts med den verkställande direktören ska byrån företrädas av styrelsens ordförande. Den verkställande direktören ska vara tillfälligt anställd vid byrån i enlighet med artikel 2 a i anställningsvillkoren för övriga anställda.

Artikel 26

Vice verkställande direktör

1.   En vice verkställande direktör ska bistå den verkställande direktören. Den vice verkställande direktören ska även ersätta den verkställande direktören i dennes frånvaro. Den verkställande direktören ska fastställa den vice verkställande direktörens uppgifter.

2.   På förslag av den verkställande direktören ska styrelsen utnämna den vice verkställande direktören. Den vice verkställande direktören ska utnämnas på grundval av meriter och lämplig förvaltnings- och ledningskompetens, inklusive relevant yrkeserfarenhet. Den verkställande direktören ska föreslå minst tre kandidater till tjänsten som vice verkställande direktör. Styrelsen ska fatta sitt beslut med två tredjedels majoritet av styrelsens röstberättigade ledamöter. Styrelsen ska ha befogenhet att avskeda den vice verkställande direktören genom ett beslut som antas med två tredjedelars majoritet av styrelsens röstberättigade ledamöter.

3.   Den vice verkställande direktörens mandatperiod ska vara fem år. Styrelsen får förlänga mandatperioden en gång med högst fem år. Styrelsen ska anta ett sådant beslut med två tredjedels majoritet av styrelsens röstberättigade ledamöter.

Artikel 27

Rådgivande grupper

1.   Följande rådgivande grupper ska bistå styrelsen med nödvändig sakkunskap om stora it-system, särskilt i samband med utarbetandet av det årliga arbetsprogrammet och den årliga verksamhetsrapporten:

a)

Den rådgivande gruppen för SIS II.

b)

Den rådgivande gruppen för VIS.

c)

Den rådgivande gruppen för Eurodac.

d)

Den rådgivande gruppen för in- och utresesystemet och Etias.

e)

Andra rådgivande grupper för ett stort it-system i de fall där detta föreskrivs i den unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av det stora it-systemet.

2.   Varje medlemsstat som enligt unionsrätten omfattas av en unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av ett visst stort it-system, samt kommissionen, ska utnämna en ledamot av den rådgivande gruppen för det stora it-systemet för en fyraårsperiod, som kan förnyas.

Även Danmark ska utnämna en ledamot av en rådgivande grupp för ett stort it-system, om landet enligt artikel 4 i protokoll nr 22 beslutar att i sin nationella lagstiftning genomföra den unionsrättsakt som reglerar utvecklingen, inrättandet, driften och användningen av det stora it-systemet i fråga.

Varje land som är associerat till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder och som deltar i ett visst stort it-system, ska utnämna en ledamot av den rådgivande gruppen för det stora it-systemet i fråga.

3.   Europol och Eurojust och den europeiska gräns- och kustbevakningsbyrån får utnämna varsin företrädare i den rådgivande gruppen för SIS II. Europol får också utnämna en företrädare i de rådgivande grupperna för VIS, Eurodac samt in- och utresesystemet och Etias. Europeiska gräns- och kustbevakningsbyrån får också utnämna en företrädare i den rådgivande gruppen för in- och utresesystemet och Etias.

4.   Styrelseledamöterna och deras suppleanter får inte vara ledamöter i någon av de rådgivande grupperna. Den verkställande direktören eller en företrädare för denne ska ha rätt att närvara som observatör vid alla möten som hålls av de rådgivande grupperna.

5.   De rådgivande grupperna ska samarbeta med varandra vid behov. Förfarandena för de rådgivande gruppernas arbete och samarbete ska fastställas i byråns arbetsordning.

6.   Vid utarbetandet av ett yttrande ska ledamöterna i varje rådgivande grupp göra sitt bästa för att uppnå konsensus. Om konsensus inte uppnås ska majoritetens motiverade ståndpunkt anses vara den rådgivande gruppens yttrande. Även minoritetens motiverade ståndpunkt(er) ska tas till protokollet. Artikel 23.3 och 23.5 ska tillämpas i enlighet med detta. Ledamöter som företräder länder som är associerade till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder ska ha rätt att avge yttranden om frågor i vilka de inte har rösträtt.

7.   Varje medlemsstat och varje land som är associerat till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder ska underlätta de rådgivande gruppernas arbete.

8.   När det gäller ordföranden i de rådgivande grupperna ska artikel 21 gälla i tillämpliga delar.

KAPITEL IV

ALLMÄNNA BESTÄMMELSER

Artikel 28

Personal

1.   Tjänsteföreskrifterna och de regler som antagits gemensamt av unionens institutioner för att ge verkan åt tjänsteföreskrifterna ska tillämpas på byråns personal, inbegripet den verkställande direktören.

2.   Vid tillämpningen av tjänsteföreskrifterna ska byrån anses vara en byrå i den mening som avses i artikel 1a.2 i tjänsteföreskrifterna för tjänstemän.

3.   Byråns personal ska bestå av tjänstemän, tillfälligt anställda och kontraktsanställda. Styrelsen ska årligen ge sitt medgivande när det gäller avtal som den verkställande direktören planerar att förlänga i fall då avtalen, efter förlängning, skulle komma att löpa tills vidare enligt anställningsvillkoren för övriga anställda.

4.   Byrån får inte rekrytera extraanställda för att utföra det som betraktas som känsliga ekonomiska arbetsuppgifter.

5.   Kommissionen och medlemsstaterna får temporärt utstationera tjänstemän eller nationella experter vid byrån. Styrelsen ska anta ett beslut om bestämmelser för utstationering av nationella experter till byrån.

6.   Utan att det påverkar tillämpningen av artikel 17 i tjänsteföreskrifterna för tjänstemän ska byrån tillämpa lämpliga regler avseende tystnadsplikt eller andra likvärdiga skyldigheter beträffande konfidentialitet.

7.   Styrelsen ska, enligt överenskommelse med kommissionen, anta de nödvändiga genomförandeåtgärder som avses i artikel 110 i tjänsteföreskrifterna för tjänstemän.

Artikel 29

Allmänhetens intresse

Styrelsens ledamöter, den verkställande direktören, den vice verkställande direktören och de rådgivande gruppernas ledamöter ska förbinda sig att handla i allmänhetens intresse. Därför ska de årligen utfärda en skriftlig, offentlig åtagandeförklaring, som ska offentliggöras på byråns webbplats.

Förteckningen över styrelsens ledamöter och de rådgivande gruppernas ledamöter ska offentliggöras på byråns webbplats.

Artikel 30

Avtal om säte och avtal om de tekniska driftställena

1.   Nödvändiga arrangemang för byråns lokaler i värdmedlemsstaterna, de resurser som ska tillhandahållas av dessa medlemsstater och de särskilda regler som i värdmedlemsstaterna är tillämpliga på styrelsens ledamöter, den verkställande direktören, annan personal vid byrån och deras familjemedlemmar ska fastställas i ett avtal om byråns säte och i avtal om de tekniska driftställena. Sådana avtal ska efter styrelsens godkännande ingås mellan byrån och värdmedlemsstaterna.

2.   Byråns värdmedlemsstater ska tillhandahålla nödvändiga förutsättningar för att säkerställa att byrån fungerar väl, vilket bland annat inkluderar Europaorienterad skolundervisning på flera språk och lämpliga transportförbindelser.

Artikel 31

Immunitet och privilegier

Byrån ska omfattas av protokollet om Europeiska unionens immunitet och privilegier.

Artikel 32

Skadeståndsansvar

1.   Unionens avtalsrättsliga ansvar ska regleras av den lagstiftning som är tillämplig på avtalet i fråga.

2.   Europeiska unionens domstol ska vara behörig att träffa avgöranden med stöd av en skiljedomsklausul i ett avtal som byrån ingått.

3.   Vad beträffar utomobligatoriskt ansvar ska byrån, i enlighet med de allmänna principer som är gemensamma för medlemsstaternas rättsordningar, ersätta skada som orsakats av dess avdelningar eller av dess personal under tjänsteutövning.

4.   Europeiska unionens domstol ska vara behörig att avgöra tvister om ersättning för sådana skador som avses i punkt 3.

5.   Byråns personals personliga ansvar gentemot byrån ska regleras av de bestämmelser i tjänsteföreskrifterna för tjänstemän eller i anställningsvillkoren för övriga anställda som är tillämpliga på dem.

Artikel 33

Språkordning

1.   Rådets förordning nr 1 (46) ska tillämpas på byrån.

2.   Utan att det påverkar beslut som fattats i enlighet med artikel 342 i EUF-fördraget ska det samlade programdokument som avses i 19.1 r och den årliga verksamhetsrapport som avses i artikel 19.1 t vara utformade på samtliga officiella språk vid unionens institutioner.

3.   Styrelsen får anta ett beslut om arbetsspråk utan att det påverkar de skyldigheter som anges i punkterna 1 och 2.

4.   De översättningstjänster som krävs för byråns verksamhet ska tillhandahållas av översättningscentrumet för Europeiska unionens organ.

Artikel 34

Transparens och kommunikation

1.   Förordning (EG) nr 1049/2001 ska tillämpas på de handlingar som finns hos byrån.

2.   På grundval av ett förslag från den verkställande direktören ska styrelsen utan dröjsmål anta tillämpningsföreskrifterna för förordning (EG) nr 1049/2001.

3.   De beslut som fattas av byrån enligt artikel 8 i förordning (EG) nr 1049/2001 får ligga till grund för ett klagomål till Europeiska ombudsmannen eller en talan inför Europeiska unionens domstol på de villkor som föreskrivs i artikel 228 respektive artikel 263 i EUF-fördraget.

4.   Byrån ska sköta kommunikation i enlighet med de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av stora it-system och får på eget initiativ och på de områden som ingår i dess uppdrag idka kommunikationsverksamhet. Byrån ska i synnerhet säkerställa att allmänheten och alla berörda parter, förutom genom offentliggörande enligt artikel 19.1 r, t, ii, jj, kk och ll och artikel 47.9, snabbt får objektiv, korrekt, tillförlitlig, uttömmande och lättbegriplig information om dess arbete. Tilldelningen av resurser för kommunikationsverksamhet får inte undergräva det effektiva utförandet av byråns uppgifter enligt artiklarna 3–16. Kommunikationsverksamheten ska följa de relevanta planer för kommunikation och informationsspridning som antagits av styrelsen.

5.   Varje fysisk eller juridisk person har rätt att skriftligen vända sig till byrån på något av unionens officiella språk. Den berörda personen har rätt att få svar på samma språk.

Artikel 35

Dataskydd

1.   Byrån ska behandla personuppgifter i enlighet med förordning (EU) 2018/1725.

2.   Styrelsen ska anta bestämmelser för byråns tillämpning av förordning (EU) 2018/1725, även sådana bestämmelser som rör dataskyddsombudet. Bestämmelserna ska antas efter samråd med Europeiska datatillsynsmannen.

Artikel 36

Ändamål med behandlingen av personuppgifter

1.   Byrån får endast behandla personuppgifter för följande ändamål:

a)

När det är nödvändigt för att utföra de uppgifter som rör den operativa förvaltningen av stora it-system som den anförtrotts enligt unionsrätten.

b)

När det är nödvändigt för dess administrativa uppgifter.

2.   När byrån behandlar personuppgifter för de ändamål som anges i punkt 1 a i den här artikeln ska förordning (EU) 2018/1725 tillämpas utan att det påverkar tillämpningen av de särskilda bestämmelserna om dataskydd och datasäkerhet i de respektive unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av systemen.

Artikel 37

Säkerhetsregler om skydd av säkerhetsskyddsklassificerade uppgifter och känsliga icke-säkerhetsskyddsklassificerade uppgifter

1.   Byrån ska anta sina egna säkerhetsbestämmelser på grundval av principerna och reglerna i kommissionens säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter och känsliga icke-säkerhetsskyddsklassificerade uppgifter, bland annat bestämmelser om utbyte med tredjeländer, behandling och lagring av sådana uppgifter, i enlighet med kommissionens beslut (EU, Euratom) 2015/443 (47) och 2015/444 (48). Varje administrativt arrangemang om utbyte av säkerhetsskyddsklassificerade uppgifter med de berörda myndigheterna i ett tredjeland eller, om ett sådant arrangemang saknas, varje ad hoc-utlämning till dessa myndigheter av säkerhetsskyddsklassificerade EU-uppgifter i undantagsfall, ska ske med kommissionens förhandsgodkännande.

2.   Styrelsen ska anta de säkerhetsbestämmelser som avses i punkt 1 i denna artikel efter kommissionens godkännande. Byrån får vidta de åtgärder som krävs för att göra det lättare att utbyta uppgifter som är relevanta för dess arbetsuppgifter med kommissionen och medlemsstaterna, och vid behov med relevanta unionsbyråer. Byrån ska utveckla och driva ett informationssystem som möjliggör utbyte av säkerhetsskyddsklassificerade uppgifter med kommissionen, medlemsstaterna och relevanta unionsbyråer i enlighet med beslut (EU, Euratom) 2015/444. Styrelsen ska enligt artikel 2 och artikel 19.1 z i den här förordningen besluta om den interna struktur som byrån måste ha för att kunna se till att relevanta säkerhetsprinciper efterlevs.

Artikel 38

Byråns säkerhet

1.   Byrån ska ansvara för säkerheten och upprätthållandet av ordningen i de byggnader och lokaler samt på de områden som byrån använder. Byrån ska tillämpa säkerhetsprinciperna och de relevanta bestämmelserna i de unionsrättsakter som reglerar utvecklingen, inrättandet, driften och användningen av stora it-system.

2.   Värdmedlemsstaterna ska vidta verkningsfulla och lämpliga åtgärder för att upprätthålla ordningen och säkerheten i omedelbar närhet av de byggnader, lokaler och områden som byrån använder, och de ska ge byrån lämpligt skydd i enlighet med avtalet om byråns säte och avtalen om de tekniska driftställena respektive reservdriftställena, samtidigt som de personer som byrån bemyndigat garanteras fritt tillträde till dessa byggnader, lokaler och områden.

Artikel 39

Utvärdering

1.   Senast den 12 december 2023 och vart femte år därefter ska kommissionen, efter samråd med styrelsen, utvärdera, i enlighet med kommissionens riktlinjer, byråns resultat i förhållande till dess mål, mandat, platser och uppgifter. Denna utvärdering ska även innehålla en granskning av genomförandet av denna förordning samt på vilket sätt och i vilken utsträckning byrån på ett ändamålsenligt sätt bidrar till den operativa förvaltningen av stora it-system och till inrättandet av en samordnad, kostnadseffektiv och sammanhängande it-miljö på unionsnivå inom området frihet, säkerhet och rättvisa. Den utvärderingen ska särskilt bedöma eventuella behov av att ändra byråns mandat samt de ekonomiska konsekvenserna av sådana ändringar. Styrelsen får utfärda rekommendationer om ändringar av denna förordning till kommissionen.

2.   Om kommissionen anser att byråns fortsatta existens inte längre är motiverad med avseende på de mål, mandat och uppgifter som den tilldelats, kan kommissionen föreslå att denna förordning ändras eller upphävs.

3.   Kommissionen ska rapportera till Europaparlamentet, rådet och styrelsen om resultatet av den utvärdering som avses i punkt 1. Resultatet av utvärderingen ska offentliggöras.

Artikel 40

Administrativa undersökningar

Byråns verksamhet ska omfattas av Europeiska ombudsmannens undersökningar i enlighet med artikel 228 i EUF-fördraget.

Artikel 41

Samarbete med unionens institutioner, organ och byråer

1.   Byrån ska samarbeta med kommissionen, med andra unionsinstitutioner och med andra unionsorgan och -byråer, särskilt de som har inrättats inom området frihet, säkerhet och rättvisa och särskilt Europeiska unionens byrå för grundläggande rättigheter, i frågor som omfattas av denna förordning, för att med avseende på deras respektive verksamhet bland annat åstadkomma samordning och besparingar, undvika dubbelarbete och främja synergier och komplementaritet.

2.   Byrån ska samarbeta med kommissionen inom ramen för ett samarbetsavtal om operativa arbetsmetoder.

3.   Byrån ska, när så är lämpligt, konsultera och följa rekommendationerna från Europeiska byrån för nät- och informationssäkerhet om nät- och informationssäkerhet.

4.   Samarbete med unionens organ och byråer ska äga rum inom ramen för samarbetsavtal. Styrelsen ska godkänna sådana samarbetsavtal med beaktande av kommissionens yttrande. När byrån inte följer kommissionens yttrande ska den motivera detta. Dessa samarbetsavtal får föreskriva delade tjänster mellan byråer när så är lämpligt, antingen på grund av att de ligger nära varandra eller utifrån politikområde inom ramen för deras respektive mandat och utan att det påverkar deras kärnuppgifter. Sådana samarbetsavtal får inrätta en mekanism för kostnadstäckning.

5.   Unionsinstitutioner, -organ och -byråer ska använda information som erhållits från byrån endast inom ramen för sin behörighet och i den utsträckning de respekterar grundläggande rättigheter, däribland krav på dataskydd. För vidareöverföring eller annan förmedling till unionsinstitutioner, -organ och -byråer av personuppgifter som behandlas av byrån krävs särskilda samarbetsavtal om utbyte av personuppgifter och ett förhandsgodkännande av Europeiska datatillsynsmannen. All överföring av personuppgifter som görs av byrån ska ske i enlighet med artiklarna 35 och 36. Beträffande behandlingen av säkerhetsskyddsklassificerade uppgifter ska sådana samarbetsavtal innehålla bestämmelser om att berörda unionsinstitutioner, -organ och -byråer ska följa säkerhetsbestämmelser och standarder som är likvärdiga med dem som tillämpas av byrån.

Artikel 42

Deltagande av länder som är associerade till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder

1.   Byrån ska vara öppen för deltagande av länder som har ingått avtal med unionen om deras associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder.

2.   Inom ramen för tillämpliga bestämmelser i de avtal som avses i punkt 1 ska det utarbetas arrangemang för att i synnerhet ange karaktär, utsträckning samt detaljerade regler för deltagande i byråns arbete av länder som avses i punkt 1, inklusive bestämmelser om finansiella bidrag, personal och rösträtt.

Artikel 43

Samarbete med internationella organisationer och andra relevanta enheter

1.   När så föreskrivs i en unionsrättsakt får byrån, i den utsträckning det är nödvändigt för att byrån ska kunna utföra sina uppgifter, genom att ingå samarbetsavtal upprätta och upprätthålla förbindelser med internationella organisationer och deras underordnade organ, som lyder under folkrätten, eller med andra relevanta enheter eller organ som inrättas genom eller på grundval av ett avtal mellan två eller flera länder.

2.   I enlighet med punkt 1 får det ingås samarbetsavtal som anger särskilt samarbetets tillämpningsområde, karaktär, syfte och utsträckning. Sådana samarbetsavtal får endast ingås med styrelsens tillstånd efter ett förhandsgodkännande från kommissionen.

KAPITEL V

UPPRÄTTANDE AV BUDGETEN OCH BUDGETENS STRUKTUR

AVSNITT 1

Samlat programdokument

Artikel 44

Samlat programdokument

1.   Den verkställande direktören ska varje år utarbeta ett utkast till samlat programdokument för det följande året, i enlighet med artikel 32 i delegerad förordning (EU) nr 1271/2013, och den relevanta bestämmelsen i byråns finansiella regler som antagits enligt artikel 49 i den här förordningen, med hänsyn till kommissionens riktlinjer.

Det samlade programdokumentet ska innehålla ett flerårigt program, ett årligt arbetsprogram samt byråns budget och information om dess resurser, såsom anges i detalj i byråns finansiella regler som antagits enligt artikel 49.

2.   Styrelsen ska anta utkastet till samlat programdokument efter samråd med de rådgivande grupperna och ska sända det till Europaparlamentet, rådet och kommissionen senast den 31 januari varje år, liksom varje uppdaterad version av dokumentet.

3.   Före den 30 november varje år ska styrelsen, med två tredjedelars majoritet av styrelsens röstberättigade ledamöter, och i enlighet med det årliga budgetförfarandet, anta det samlade programdokumentet, med beaktande av kommissionens yttrande. Styrelsen ska säkerställa att den slutgiltiga versionen av detta samlade programdokument översänds till Europaparlamentet, rådet och kommissionen och offentliggörs.

4.   Det samlade programdokumentet ska anses vara slutgiltigt efter det att unionens allmänna budget slutligen har antagits och ska vid behov anpassas i enlighet därmed. Det antagna samlade programdokumentet ska därefter sändas till Europaparlamentet, rådet och kommissionen samt offentliggöras.

5.   Det årliga arbetsprogrammet för det följande året ska inbegripa detaljerade mål och förväntade resultat, inbegripet resultatindikatorer. Det ska också innehålla en beskrivning av de åtgärder som ska finansieras och en indikation på de ekonomiska och mänskliga resurser som anslagits för varje åtgärd, i enlighet med principerna om verksamhetsbaserad budgetering och förvaltning. Det årliga arbetsprogrammet ska överensstämma med det fleråriga arbetsprogram som avses i punkt 6. Det ska tydligt framgå vilka uppgifter som lagts till, ändrats eller strukits jämfört med föregående budgetår. Styrelsen ska ändra det antagna årliga arbetsprogrammet om byrån får en ny uppgift. Varje betydande ändring av det årliga arbetsprogrammet ska antas enligt samma förfarande som det ursprungliga årliga arbetsprogrammet. Styrelsen får delegera befogenheten att göra icke-väsentliga ändringar i det årliga arbetsprogrammet till den verkställande direktören.

6.   Det fleråriga programmet ska omfatta övergripande strategisk programplanering inklusive mål, förväntade resultat och resultatindikatorer. Även resursplanering, inklusive flerårig budget och personal, ska fastställas. Resursplaneringen ska uppdateras årligen. Den strategiska programplaneringen ska uppdateras vid behov, och särskilt för att beakta resultatet av den utvärdering som avses i artikel 39.

Artikel 45

Upprättande av budgeten

1.   Varje år ska den verkställande direktören, med beaktande av byråns verksamhet, utarbeta ett utkast till beräkning av byråns intäkter och utgifter för följande budgetår, inklusive ett utkast till tjänsteförteckning, och lägga fram det för styrelsen.

2.   Styrelsen ska, på grundval av det utkast till beräkning som utarbetats av den verkställande direktören, anta ett utkast till beräkning av byråns intäkter och utgifter för det följande budgetåret, inklusive utkastet till tjänsteförteckning. Styrelsen ska senast den 31 januari varje år sända det till kommissionen och de länder som är associerade till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder, som en del av det samlade programdokumentet.

3.   Kommissionen ska sända utkastet till beräkning till budgetmyndigheten tillsammans med det preliminära förslaget till unionens allmänna budget.

4.   På grundval av utkastet till beräkning ska kommissionen i förslaget till unionens allmänna budget föra in de beräkningar som den betraktar som nödvändiga med tanke på tjänsteförteckningen samt storleken på det anslag som ska belasta den allmänna budgeten, som den ska förelägga budgetmyndigheten i enlighet med artiklarna 313 och 314 i EUF-fördraget.

5.   Budgetmyndigheten ska bevilja anslagen för bidraget till byrån.

6.   Budgetmyndigheten ska anta byråns tjänsteförteckning.

7.   Styrelsen ska anta byråns budget. Den blir definitiv när unionens allmänna budget slutligen antas. Vid behov ska byråns budget justeras enligt denna.

8.   Alla eventuella ändringar av byråns budget, inklusive tjänsteförteckningen, ska göras enligt samma förfarande som det som är tillämpligt för upprättandet av den ursprungliga budgeten.

9.   Utan att det påverkar tillämpningen av artikel 17.5 ska styrelsen så snart som möjligt meddela budgetmyndigheten sin avsikt att genomföra eventuella projekt som kan få betydande konsekvenser för finansieringen av dess budget, särskilt projekt som rör egendom, exempelvis hyra eller köp av byggnader. Styrelsen ska informera kommissionen om detta. Om en av budgetmyndighetens båda parter avser att avge ett yttrande, ska den inom två veckor efter mottagandet av informationen om ett projekt meddela styrelsen sin avsikt att avge ett sådant yttrande. Om inget svar inkommer får byrån fullfölja den planerade åtgärden. Delegerad förordning (EU) nr 1271/2013 ska tillämpas på alla byggnadsprojekt som kan komma att få betydande konsekvenser för byråns budget.

AVSNITT 2

Redovisning, genomförande och kontroll av budgeten

Artikel 46

Budgetens struktur

1.   Alla byråns intäkter och utgifter ska beräknas för varje budgetår, som ska vara kalenderår, och redovisas i byråns budget.

2.   Intäkter och utgifter i byråns budget ska balansera varandra.

3.   Utan att det påverkar andra typer av inkomster ska byråns intäkter bestå av följande:

a)

Ett bidrag från unionen som tas upp i unionens allmänna budget (kommissionens avsnitt).

b)

Ett bidrag från de länder som är associerade till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder och som deltar i byråns arbete i enlighet med respektive associeringsavtal och de arrangemang som avses i artikel 42 och som anger deras finansiella bidrag.

c)

Unionsfinansiering via delegeringsavtal, i enlighet med de finansiella regler för byrån som antagits enligt artikel 49 och med bestämmelserna i relevanta instrument till stöd för unionens politik.

d)

Bidrag som medlemsstaterna betalar för de tjänster de erhållit i enlighet med det delegeringsavtal som avses i artikel 16.

e)

Kostnadstäckning som betalas av unionens organ och byråer för tjänster som de erhållit i enlighet med de samarbetsavtal som avses i artikel 41.

f)

Eventuella frivilliga finansiella bidrag från medlemsstaterna.

4.   Byråns utgifter ska omfatta löner till personalen, kostnader för administration och infrastruktur samt driftskostnader.

Artikel 47

Genomförande och kontroll av budgeten

1.   Den verkställande direktören ska genomföra byråns budget.

2.   Den verkställande direktören ska varje år vidarebefordra alla uppgifter som rör resultatet av utvärderingsförfarandena till budgetmyndigheten.

3.   Senast den 1 mars budgetår N + 1 ska byråns räkenskapsförare meddela de preliminära räkenskaperna för budgetår N till kommissionens räkenskapsförare och till revisionsrätten. Kommissionens räkenskapsförare ska konsolidera de preliminära redovisningarna för institutionerna och decentraliserade organ i enlighet med artikel 245 i förordning (EU, Euratom) 2018/1046.

4.   Den verkställande direktören ska sända en rapport om budgetförvaltningen och den ekonomiska förvaltningen för år N till Europaparlamentet, rådet, kommissionen och revisionsrätten senast den 31 mars år N + 1.

5.   Kommissionens räkenskapsförare ska sända byråns preliminära räkenskaper för år N, som konsoliderats med kommissionens räkenskaper, till revisionsrätten senast den 31 mars år N + 1.

6.   Efter det att revisionsrättens synpunkter på byråns preliminära redovisningar enligt bestämmelserna i artikel 246 i förordning (EU, Euratom) 2018/1046 inkommit, ska den verkställande direktören på eget ansvar upprätta byråns slutliga redovisningar och överlämna dem till styrelsen för yttrande.

7.   Styrelsen ska avge ett yttrande om byråns slutliga räkenskaper för år N.

8.   Senast den 1 juli år N + 1 ska den verkställande direktören sända de slutliga redovisningarna tillsammans med styrelsens yttrande till Europaparlamentet, rådet, kommissionen och revisionsrätten samt de länder som är associerade till genomförandet, tillämpningen och utvecklingen av Schengenregelverket samt till Dublin- och Eurodac-relaterade åtgärder.

9.   De slutliga räkenskaperna för år N ska offentliggöras i Europeiska unionens officiella tidning senast den 15 november år N + 1.

10.   Senast den 30 september år N + 1 ska den verkställande direktören sända revisionsrätten ett svar på dess synpunkter. Den verkställande direktören ska också sända det svaret till styrelsen.

11.   Den verkställande direktören ska på Europaparlamentets begäran förse Europaparlamentet med all den information som är nödvändig för en smidig tillämpning av förfarandet för beviljande av ansvarsfrihet för budgetår N, i enlighet med artikel 261.3 i förordning (EU, Euratom) 2018/1046.

12.   Europaparlamentet ska före den 15 maj år N + 2, på rekommendation av rådet som ska fatta sitt beslut med kvalificerad majoritet, bevilja den verkställande direktören ansvarsfrihet för genomförandet av budgeten för år N.

Artikel 48

Förebyggande av intressekonflikter

Byrån ska anta interna regler som ålägger ledamöterna i dess styrelse och dess rådgivande grupper samt dess personal att under sin anställning eller sin mandatperiod undvika alla situationer som kan ge upphov till en intressekonflikt samt att rapportera sådana situationer. Dessa interna regler ska offentliggöras på byråns webbplats.

Artikel 49

Finansiella regler

De finansiella regler som ska tillämpas på byrån ska antas av styrelsen efter samråd med kommissionen. De får inte avvika från delegerad förordning (EU) nr 1271/2013, såvida inte en sådan avvikelse är specifikt nödvändig för byråns verksamhet och kommissionen har lämnat sitt förhandsgodkännande.

Artikel 50

Bedrägeribekämpning

1.   I syfte att bekämpa bedrägeri, korruption och andra rättsstridiga handlingar ska förordning (EU, Euratom) nr 883/2013 och förordning (EU) 2017/1939 tillämpas.

2.   Byrån ska ansluta sig till det interinstitutionella avtalet av den 25 maj 1999 om interna utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och utan dröjsmål anta lämpliga bestämmelser som ska gälla byråns samtliga anställda, med användning av den mall som finns i bilagan till det avtalet.

3.   Revisionsrätten ska ha befogenhet att utföra revisioner, av dokument och på plats, hos alla stödmottagare, uppdragstagare och underleverantörer som erhållit unionsfinansiering från byrån.

4.   Olaf får, i enlighet med bestämmelserna och förfarandena i förordning (EU, Euratom) nr 883/2013 och rådets förordning (Euratom, EG) nr 2185/96 (49) göra utredningar, inklusive kontroller på plats och inspektioner, i syfte att fastställa om det har förekommit bedrägeri, korruption eller annan olaglig verksamhet som påverkar unionens ekonomiska intressen i samband med ett bidrag eller ett avtal som finansieras av byrån.

5.   Utan att det påverkar tillämpningen av punkterna 1, 2, 3 och 4 ska byråns kontrakt, bidragsavtal och bidragsbeslut innehålla bestämmelser som uttryckligen tillerkänner revisionsrätten, Olaf och Europeiska åklagarmyndigheten rätt att utföra sådana revisioner och genomföra sådana utredningar, inom ramen för sina respektive behörigheter.

KAPITEL VI

ÄNDRINGAR AV ANDRA UNIONSRÄTTSAKTER

Artikel 51

Ändring av förordning (EG) nr 1987/2006

I förordning (EG) nr 1987/2006 ska artikel 15.2 och 15.3 ersättas med följande:

”2.   Förvaltningsmyndigheten ska ha ansvar för alla uppgifter i samband med kommunikationsinfrastrukturen, i synnerhet följande:

a)

Övervakning.

b)

Säkerhet.

c)

Samordningen av förbindelserna mellan medlemsstaterna och leverantören.

d)

Uppgifter som gäller genomförande av budgeten.

e)

Förvärv och förnyande.

f)

Avtalsfrågor.”

Artikel 52

Ändring av beslut 2007/533/RIF

I beslut 2007/533/RIF ska artikel 15.2 och 15.3 ersättas med följande:

”2.   Förvaltningsmyndigheten ska även ha ansvar för alla uppgifter i samband med kommunikationsinfrastrukturen, i synnerhet följande:

a)

Övervakning.

b)

Säkerhet.

c)

Samordningen av förbindelserna mellan medlemsstaterna och leverantören.

d)

Uppgifter som gäller genomförande av budgeten.

e)

Förvärv och förnyande.

f)

Avtalsfrågor.”

KAPITEL VII

ÖVERGÅNGSBESTÄMMELSER

Artikel 53

Rättslig efterträdare

1.   Den byrå som inrättas genom denna förordning ska vara rättslig efterträdare vad gäller alla avtal som ingåtts, alla åtaganden som gjorts och all egendom som förvärvats av den Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa såsom den inrättades genom förordning (EU) nr 1077/2011.

2.   Denna förordning ska inte påverka den rättsliga verkan av avtal, samarbetsavtal och samförståndsavtal som ingåtts av byrån såsom den inrättades genom förordning (EU) nr 1077/2011, utan att det påverkar tillämpningen av eventuella ändringar av dessa som krävs enligt denna förordning.

Artikel 54

Övergångsarrangemang avseende styrelsen och de rådgivande grupperna

1.   Styrelsens ledamöter, ordförande och vice ordförande, som utnämnts på grundval av artikel 13 respektive artikel 14 i förordning (EU) nr 1077/2011, ska fortsätta att utföra sina uppgifter under den återstående perioden av sina uppdrag.

2.   De rådgivande gruppernas ledamöter, ordförande och vice ordförande, som utnämnts på grundval av artikel 19 i förordning (EU) nr 1077/2011, ska fortsätta att utföra sina uppgifter under den återstående perioden av sina uppdrag.

Artikel 55

Interna regler antagna av styrelsen fortsatt i kraft

Interna regler och åtgärder som antagits av styrelsen på grundval av förordning (EU) nr 1077/2011 ska även fortsättningsvis vara i kraft efter den 11 december 2018, utan att det påverkar tillämpningen av eventuella ändringar av dessa som krävs enligt den här förordningen.

Artikel 56

Övergångsarrangemang avseende den verkställande direktören

Den verkställande direktören för Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa, som utnämnts på grundval av artikel 18 i förordning (EU) nr 1077/2011, ska för den återstående perioden av sitt uppdrag vara byråns verkställande direktör enligt artikel 24 i den här förordningen. De övriga villkoren för hans eller hennes anställningsavtal ska förbli oförändrade. Om det antas ett beslut om förlängning av den verkställande direktörens mandat i enlighet med artikel 18.4 i förordning (EU) nr 1077/2011 före den 11 december 2018, ska mandatperioden automatiskt förlängas fram till och med den 31 oktober 2022.

KAPITEL VIII

SLUTBESTÄMMELSER

Artikel 57

Ersättande och upphävande

Förordning (EU) nr 1077/2011 ersätts härmed med avseende på de medlemsstater som är bundna av den här förordningen.

Därför upphävs förordning (EU) nr 1077/2011.

För de medlemsstater som är bundna av den här förordningen ska hänvisningar till den upphävda förordningen anses som hänvisningar till den här förordningen och läsas i enlighet med jämförelsetabellen i bilagan till den här förordningen.

Artikel 58

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning ska tillämpas från och med den 11 december 2018. Dock ska artiklarna 19.1 x, 24.3 h och i samt 50.5 i den här förordningen, såvitt de avser den Europeiska åklagarmyndigheten, samt artikel 50.1 i den här förordningen, såvitt den avser förordning (EU) 2017/1739, tillämpas från och med den dag som fastställts i det kommissionsbeslut som föreskrivs i artikel 120.2 andra stycket i förordning (EU) 2017/1939.

Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.

Utfärdad i Strasbourg den 14 november 2018.

På Europaparlamentets vägnar

A. TAJANI

Ordförande

På rådets vägnar

K. EDTSTADLER

Ordförande


(1)  Europaparlamentets ståndpunkt av den 5 juli 2018 (ännu ej offentliggjord i EUT) och rådets beslut av den 9 november 2018.

(2)  Europaparlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 381, 28.12.2006, s. 4).

(3)  Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 205, 7.8.2007, s. 63).

(4)  Rådets beslut 2004/512/EG av den 8 juni 2004 om inrättande av Informationssystemet för viseringar (VIS) (EUT L 213, 15.6.2004, s. 5).

(5)  Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) (EUT L 218, 13.8.2008, s. 60).

(6)  Rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen (EGT L 316, 15.12.2000, s. 1).

(7)  Rådets förordning (EG) nr 407/2002 av den 28 februari 2002 om vissa tillämpningsföreskrifter för förordning (EG) nr 2725/2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen (EGT L 62, 5.3.2002, s. 1).

(8)  Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (EUT L 180, 29.6.2013, s. 1).

(9)  Europaparlamentets och rådets förordning (EU) nr 1077/2011 av den 25 oktober 2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (EUT L 286, 1.11.2011, s. 1).

(10)  Rådets beslut 2008/633/RIF av den 23 juni 2008 om åtkomst till informationssystemet för viseringar (VIS) för sökningar för medlemsstaternas utsedda myndigheter och för Europol i syfte att förhindra, upptäcka och utreda terroristbrott och andra grova brott (EUT L 218, 13.8.2008, s. 129).

(11)  Europaparlamentets och rådets förordning (EU) 2017/2226 av den 30 november 2017 om inrättande av ett in- och utresesystem för registrering av in- och utreseuppgifter och av uppgifter om nekad inresa för tredjelandsmedborgare som passerar medlemsstaternas yttre gränser, om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av konventionen om tillämpning av Schengenavtalet och förordningarna (EG) nr 767/2008 och (EU) nr 1077/2011 (EUT L 327, 9.12.2017, s. 20).

(12)  Kommissionens förordning (EG) nr 1560/2003 av den 2 september 2003 om tillämpningsföreskrifter till rådets förordning (EG) nr 343/2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett in i någon medlemsstat (EUT L 222, 5.9.2003, s. 3).

(13)  Europaparlamentets och rådets förordning (EU) 2018/1240 av den 12 september 2018 om inrättande av ett EU-system för reseuppgifter och resetillstånd (Etias) och om ändring av förordningarna (EU) nr 1077/2011, (EU) nr 515/2014, (EU) 2016/399, (EU) 2016/1624 och (EU) 2017/2226 (EUT L 236, 19.9.2018, s. 1).

(14)  Europaparlamentets och rådets beslut nr 922/2009/EG av den 16 september 2009 om lösningar för att uppnå interoperabilitet mellan europeiska offentliga förvaltningar (ISA) (EUT L 280, 3.10.2009, s. 20).

(15)  Europaparlamentets och rådets beslut (EU) 2015/2240 av den 25 november 2015 om inrättandet av ett program för lösningar för interoperabilitet och gemensamma ramar för europeiska offentliga förvaltningar, företag och medborgare (ISA2-programmet) för modernisering av den offentliga sektorn (EUT L 318, 4.12.2015, s. 1).

(16)  Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012 (EUT L 193, 30.7.2018, s. 1).

(17)  Rådets förordning (EU) nr 1053/2013 av den 7 oktober 2013 om inrättande av en utvärderings- och övervakningsmekanism för kontroll av tillämpningen av Schengenregelverket och om upphävande av verkställande kommitténs beslut av den 16 september 1998 om inrättande av Ständiga kommittén för genomförande av Schengenkonventionen (EUT L 295, 6.11.2013, s. 27).

(18)  Europaparlamentets och rådets förordning (EU) 2016/1624 av den 14 september 2016 om en europeisk gräns- och kustbevakning och om ändring av Europaparlamentets och rådets förordning (EU) 2016/399 och upphävande av Europaparlamentets och rådets förordning (EG) nr 863/2007, rådets förordning (EG) nr 2007/2004 och rådets beslut 2005/267/EG (EUT L 251, 16.9.2016, s. 1).

(19)  Europaparlamentets och rådets förordning (EU) nr 515/2014 av den 16 april 2014 om inrättande, som en del av fonden för inre säkerhet, av ett instrument för ekonomiskt stöd för yttre gränser och visering och om upphävande av beslut nr 574/2007/EG (EUT L 150, 20.5.2014, s. 143).

(20)  EUT C 373, 20.12.2013, s. 1.

(21)  Europaparlamentets och rådets förordning (EU) nr 526/2013 av den 21 maj 2013 om Europeiska unionens byrå för nät- och informationssäkerhet (Enisa) och om upphävande av förordning (EG) nr 460/2004 (EUT L 165, 18.6.2013, s. 41).

(22)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ, kontor och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut 1247/2002/EG (se sidan 39 i detta nummer av EUT).

(23)  Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

(24)  Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

(25)  Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 av den 11 september 2013 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1073/1999 och rådets förordning (Euratom) nr 1074/1999 (EUT L 248, 18.9.2013, s. 1).

(26)  EGT L 136, 31.5.1999, s. 15.

(27)  Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1).

(28)  Rådets förordning (EEG, Euratom, EKSG) nr 259/68 av den 29 februari 1968 om fastställande av tjänsteföreskrifter för tjänstemännen i Europeiska gemenskaperna och anställningsvillkor för övriga anställda i dessa gemenskaper samt om införande av särskilda tillfälliga åtgärder beträffande kommissionens tjänstemän (EGT L 56, 4.3.1968, s. 1).

(29)  Kommissionens delegerade förordning (EU) nr 1271/2013 av den 30 september 2013 med rambudgetförordning för de organ som avses i artikel 208 i Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 (EUT L 328, 7.12.2013, s. 42.)

(30)  EUT L 66, 8.3.2006, s. 38.

(31)  Rådets beslut 2000/365/EG av den 29 maj 2000 om en begäran från Förenade konungariket Storbritannien och Nordirland om att få delta i vissa bestämmelser i Schengenregelverket (EGT L 131, 1.6.2000, s. 43).

(32)  Rådets beslut (EU) 2018/1600 av den 28 september 2018 om begäran från Förenade konungariket Storbritannien och Nordirland om att få delta i vissa bestämmelser i Schengenregelverket om Europeiska unionens byrå för den operativa förvaltningen av stora it-system inom området med frihet, säkerhet och rättvisa (eu-LISA) (EUT L 267, 25.10.2018, s. 3).

(33)  Rådets beslut 2002/192/EG av den 28 februari 2002 om Irlands begäran om att få delta i vissa bestämmelser i Schengenregelverket (EGT L 64, 7.3.2002, s. 20).

(34)  EGT L 176, 10.7.1999, s. 36.

(35)  Rådets beslut 1999/437/EG av den 17 maj 1999 om vissa tillämpningsföreskrifter för det avtal som har ingåtts mellan Europeiska unionens råd och Republiken Island och Konungariket Norge om dessa båda staters associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (EGT L 176, 10.7.1999, s. 31).

(36)  EGT L 93, 3.4.2001, s. 40.

(37)  EUT L 53, 27.2.2008, s. 52.

(38)  Rådets beslut 2008/146/EG av den 28 januari 2008 om ingående på Europeiska gemenskapens vägnar av avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket (EUT L 53, 27.2.2008, s. 1).

(39)  EUT L 53, 27.2.2008, s. 5.

(40)  EUT L 160, 18.6.2011, s. 21.

(41)  Rådets beslut 2011/350/EU av den 7 mars 2011 om ingående på Europeiska unionens vägnar av protokollet mellan Europeiska unionen, Europeiska gemenskapen, Schweiziska edsförbundet och Furstendömet Liechtenstein om Furstendömet Liechtensteins anslutning till avtalet mellan Europeiska unionen, Europeiska gemenskapen och Schweiziska edsförbundet om Schweiziska edsförbundets associering till genomförandet, tillämpningen och utvecklingen av Schengenregelverket, om avskaffande av kontroller vid de inre gränserna och om personers rörlighet (EUT L 160, 18.6.2011, s. 19).

(42)  EUT L 160, 18.6.2011, s. 39.

(43)  Europaparlamentets och rådets förordning (EU) nr 604/2013 av den 26 juni 2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat (EUT L 180, 29.6.2013, s. 31).

(44)  Rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (EUT L 261, 6.8.2004, s. 24).

(45)  Europaparlamentets och rådets direktiv (EU) 2016/681 av den 27 april 2016 om användning av passageraruppgiftssamlingar (PNR-uppgifter) för att förebygga, förhindra, upptäcka, utreda och lagföra terroristbrott och grov brottslighet (EUT L 119, 4.5.2016, s. 132).

(46)  Rådets förordning nr 1 av den 15 april 1958 om vilka språk som skall användas i Europeiska ekonomiska gemenskapen (EGT 17, 6.10.1958, s. 385).

(47)  Kommissionens beslut (EU, Euratom) 2015/443 av den 13 mars 2015 om säkerhet inom kommissionen (EUT L 72, 17.3.2015, s. 41).

(48)  Kommissionens beslut (EU, Euratom) 2015/444 av den 13 mars 2015 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 72, 17.3.2015, s. 53).

(49)  Rådets förordning (Euratom, EG) nr 2185/96 av den 11 november 1996 om de kontroller och inspektioner på platsen som kommissionen utför för att skydda Europeiska gemenskapernas finansiella intressen mot bedrägerier och andra oegentligheter (EGT L 292, 15.11.1996, s. 2).


BILAGA

JÄMFÖRELSETABELL

Förordning (EU) nr 1077/2011

Denna förordning

 

 

Artikel 1.1

Artikel 1.1

Artikel 1.2

Artikel 1.2

Artikel 1.3 och 1.4

Artikel 1.3

Artikel 1.5

Artikel 1.4

Artikel 1.6

Artikel 2

Artikel 2

Artikel 3

Artikel 3

Artikel 4

Artikel 4

Artikel 5

Artikel 5

Artikel 5a

Artikel 6

Artikel 7

Artikel 8

Artikel 6

Artikel 9

Artikel 10

Artikel 7.1 och 7.2

Artikel 11.1

Artikel 7.3

Artikel 11.2

Artikel 7.4

Artikel 11.3

Artikel 7.5

Artikel 11.4

Artikel 7.6

Artikel 11.5

Artikel 12

Artikel 13

Artikel 8.1

Artikel 14.1

Artikel 14.2

Artikel 8.2

Artikel 14.3

Artikel 9.1 och 9.2

Artikel 15.1 och 15.2

Artikel 15.3

Artikel 15.4

Artikel 16

Artikel 10.1 och 10.2

Artikel 17.1 och 17.2

Artikel 10.3

Artikel 24.2

Artikel 10.4

Artikel 17.3

Artikel 17.4

Artikel 17.5

Artikel 11

Artikel 18

Artikel 12.1

Artikel 19.1

Artikel 19.1 a

Artikel 19.1 b

Artikel 12.1 a

Artikel 19.1 c

Artikel 12.1 b

Artikel 19.1 d

Artikel 12.1 c

Artikel 19.1 e

Artikel 19.1 f

Artikel 12.1 d

Artikel 19.1 g

Artikel 19.1 h

Artikel 19.1 i

Artikel 19.1 j

Artikel 19.1 k

Artikel 12.1 e

Artikel 19.1 l

Artikel 19.1 m

Artikel 12.1 f

Artikel 19.1 n

Artikel 12.1 g

Artikel 19.1 o

Artikel 19.1 p

Artikel 12.1 h

Artikel 19.1 q

Artikel 12.1 i

Artikel 19.1 q

Artikel 12.1 j

Artikel 19.1 r

Artikel 19.1 s

Artikel 12.1 k

Artikel 19.1 t

Artikel 12.1 l

Artikel 19.1 u

Artikel 12.1 m

Artikel 19.1 v

Artikel 12.1 n

Artikel 19.1 w

Artikel 12.1 o

Artikel 19.1 x

Artikel 19.1 y

Artikel 12.1 p

Artikel 19.1 z

Artikel 12.1 q

Artikel 19.1 bb

Artikel 12.1 r

Artikel 19.1 cc

Artikel 12.1 s

Artikel 19.1 dd

Artikel 12.1 t

Artikel 19.1 ff

Artikel 12.1 u

Artikel 19.1 gg

Artikel 12.1 v

Artikel 19.1 hh

Artikel 12.1 w

Artikel 19.1 ii

Artikel 12.1 x

Artikel 19.1 jj

Artikel 19.1 ll

Artikel 12.1 y

Artikel 19.1 mm

Artikel 12.1 z

Artikel 19.1 nn

Artikel 19.1 oo

Artikel 12.1 aa

Artikel 19.1 pp

Artikel 12.1 sa

Artikel 19.1 ee

Artikel 12.1 xa

Artikel 19.1 kk

Artikel 12.1 za

Artikel 19.1 mm

Artikel 19.1 andra stycket

Artikel 19.2

Artikel 12.2

Artikel 19.3

Artikel 13.1

Artikel 20.1

Artikel 13.2 och 13.3

Artikel 20.2

Artikel 13.4

Artikel 20.3

Artikel 13.5

Artikel 20.4

Artikel 14.1 och 14.3

Artikel 21.1

Artikel 14.2

Artikel 21.2

Artikel 15.1

Artikel 22.1 och 22.3

Artikel 15.2

Artikel 22.2

Artikel 15.3

Artikel 22.5

Artikel 15.4 och 15.5

Artikel 22.4

Artikel 15.6

Artikel 22.6

Artikel 16.1–16.5

Artikel 23.1–23.5

Artikel 23.6

Artikel 16.6

Artikel 23.7

Artikel 16.7

Artikel 23.8

Artikel 17.1 och 17.4

Artikel 24.1

Artikel 17.2

Artikel 17.3

Artikel 17.5 och 17.6

Artikel 24.3

Artikel 17.5 a

Artikel 24.3 a

Artikel 17.5 b

Artikel 24.3 b

Artikel 17.5 c

Artikel 24.3 c

Artikel 17.5 d

Artikel 24.3 o

Artikel 17.5 e

Artikel 22.2

Artikel 17.5 f

Artikel 19.2

Artikel 17.5 g

Artikel 24.3 p

Artikel 17.5 h

Artikel 24.3 q

Artikel 17.6 a

Artikel 24.3 d och g

Artikel 17.6 b

Artikel 24.3 k

Artikel 17.6 c

Artikel 24.3 d

Artikel 17.6 d

Artikel 24.3 l

Artikel 17.6 e

Artikel 17.6 f

Artikel 17.6 g

Artikel 24.3 r

Artikel 17.6 h

Artikel 24.3 s

Artikel 17.6 i

Artikel 24.3 t

Artikel 17.6 j

Artikel 24.3 v

Artikel 17.6 k

Artikel 24.3 u

Artikel 17.7

Artikel 24.4

Artikel 24.5

Artikel 18

Artikel 25

Artikel 18.1

Artikel 25.1 och 25.10

Artikel 18.2

Artikel 25.2, 25.3 och 25.4

Artikel 18.3

Artikel 25.5

Artikel 18.4

Artikel 25.6

Artikel 18.5

Artikel 25.7

Artikel 18.6

Artikel 24.1

Artikel 25.8

Artikel 18.7

Artikel 25.9 och 25.10

Artikel 25.11

Artikel 26

Artikel 19

Artikel 27

Artikel 20

Artikel 28

Artikel 20.1 och 20.2

Artikel 28.1 och 28.2

Artikel 20.3

Artikel 20.4

Artikel 28.3

Artikel 20.5

Artikel 28.4

Artikel 20.6

Artikel 28.5

Artikel 20.7

Artikel 28.6

Artikel 20.8

Artikel 28.7

Artikel 21

Artikel 29

Artikel 22

Artikel 30

Artikel 23

Artikel 31

Artikel 24

Artikel 32

Artikel 25.1 och 25.2

Artikel 33.1 och 33.2

Artikel 33.3

Artikel 25.3

Artikel 33.4

Artiklarna 26 och 27

Artikel 34

Artikel 28.1

Artikel 35.1 och artikel 36.2

Artikel 28.2

Artikel 35.2

Artikel 36.1

Artikel 29.1 och 29.2

Artikel 37.1

Artikel 29.3

Artikel 37.2

Artikel 30

Artikel 38

Artikel 31.1

Artikel 39.1

Artikel 31.2

Artikel 39.1 och 39.3

Artikel 39.2

Artikel 40

Artikel 41

Artikel 43

Artikel 44

Artikel 32.1

Artikel 46.3

Artikel 32.2

Artikel 46.4

Artikel 32.3

Artikel 46.2

Artikel 32.4

Artikel 45.2

Artikel 32.5

Artikel 45.2

Artikel 32.6

Artikel 44.2

Artikel 32.7

Artikel 45.3

Artikel 32.8

Artikel 45.4

Artikel 32.9

Artikel 45.5 och 45.6

Artikel 32.10

Artikel 45.7

Artikel 32.11

Artikel 45.8

Artikel 32.12

Artikel 45.9

Artikel 33.1–33.4

Artikel 47.1–47.4

Artikel 47.5

Artikel 33.5

Artikel 47.6

Artikel 33.6

Artikel 47.7

Artikel 33.7

Artikel 47.8

Artikel 33.8

Artikel 47.9

Artikel 33.9

Artikel 47.10

Artikel 33.10

Artikel 47.11

Artikel 33.11

Artikel 47.12

Artikel 48

Artikel 34

Artikel 49

Artikel 35.1 och 35.2

Artikel 50.1 och 50.2

Artikel 50.3

Artikel 35.3

Artikel 50.4 och 50.5

Artikel 36

Artikel 37

Artikel 42

Artikel 51

Artikel 52

Artikel 53

Artikel 54

Artikel 55

Artikel 56

Artikel 57

Artikel 38

Artikel 58

Bilaga


21.11.2018   

SV

Europeiska unionens officiella tidning

L 295/138


EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2018/1727

av den 14 november 2018

om Europeiska unionens byrå för straffrättsligt samarbete (Eurojust), och om ersättning och upphävande av rådets beslut 2002/187/RIF

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 85,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

i enlighet med det ordinarie lagstiftningsförfarandet (1), och

av följande skäl:

(1)

Eurojust upprättades genom rådets beslut 2002/187/RIF (2) såsom ett unionsorgan med rättskapacitet för att främja och förbättra samordningen och samarbetet mellan de behöriga rättsliga myndigheterna i medlemsstaterna, i synnerhet vad gäller grov organiserad brottslighet. Eurojusts rättsliga ram har ändrats genom rådets beslut 2003/659/RIF (3) och 2009/426/RIF (4).

(2)

I artikel 85 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) fastställs att Eurojust ska regleras av en förordning som antas i enlighet med det ordinarie lagstiftningsförfarandet. Enligt den artikeln ska också villkoren för deltagande av Europaparlamentet och de nationella parlamenten i utvärderingen av Eurojusts verksamhet fastställas.

(3)

Artikel 85 i EUF-fördraget föreskriver även att Eurojusts uppdrag är att stödja och stärka samordningen och samarbetet mellan nationella utredande organ och åklagarmyndigheter i samband med allvarlig brottslighet som berör två eller flera medlemsstater eller för vilken det krävs lagföring på gemensamma grunder, på grundval av insatser som genomförs och information som lämnas av myndigheterna i medlemsstaterna och av Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol).

(4)

Denna förordning syftar till att ändra och utvidga bestämmelserna i beslut 2002/187/RIF. Eftersom de ändringar som ska göras är omfattande till sitt antal och sin art, bör beslut 2002/187/RIF av tydlighetsskäl ersättas i dess helhet i förhållande till de medlemsstater som är bundna av denna förordning.

(5)

Eftersom Europeiska åklagarmyndigheten inrättades genom ett fördjupat samarbete är rådets förordning (EU) 2017/1939 (5) till alla delar bindande och direkt tillämplig endast på medlemsstater som deltar i det fördjupade samarbetet. För de medlemsstater som inte deltar i Europeiska åklagarmyndigheten behåller därmed Eurojust sin fullständiga behörighet när det gäller de former av grova brott som förtecknas i bilaga I till den här förordningen.

(6)

I artikel 4.3 i fördraget om Europeiska unionen (EU-fördraget) erinras om att unionen och medlemsstaterna, enligt principen om lojalt samarbete, ska respektera och bistå varandra när de fullgör de uppgifter som följer av EU-fördraget och EUF-fördraget.

(7)

För att underlätta samarbete mellan Eurojust och Europeiska åklagarmyndigheten bör Eurojust närhelst det är nödvändigt ta upp frågor som är av betydelse för Europeiska åklagarmyndigheten.

(8)

Mot bakgrund av Europeiska åklagarmyndighetens inrättande genom fördjupat samarbete behöver behörighetsfördelningen mellan Europeiska åklagarmyndigheten och Eurojust när det gäller brott som skadar unionens ekonomiska intressen tydligt fastställas. Från den dag då Europeiska åklagarmyndigheten börjar utföra sina uppgifter bör Eurojust kunna utöva sin behörighet i ärenden som rör brott beträffande vilka Europeiska åklagarmyndigheten är behörig men som involverar både medlemsstater som deltar i det fördjupade samarbetet om inrättande av Europeiska åklagarmyndigheten och medlemsstater som inte deltar i sådant fördjupat samarbete I sådana fall bör Eurojust agera på begäran av dessa icke deltagande medlemsstater eller på begäran av Europeiska åklagarmyndigheten. Eurojust bör under alla omständigheter förbli behörigt när det gäller brott som skadar unionens ekonomiska intressen när Europeiska åklagarmyndigheten inte är behörig eller när den är behörig men inte utövar sin behörighet. De medlemsstater som inte deltar i det fördjupade samarbetet om inrättande av Europeiska åklagarmyndigheten kan fortsätta att begära Eurojusts stöd i alla ärenden som rör brott som skadar unionens ekonomiska intressen. Europeiska åklagarmyndigheten och Eurojust bör utveckla ett nära operativt samarbete i enlighet med sina respektive mandat.

(9)

För att Eurojust ska kunna fullgöra sitt uppdrag och utveckla hela sin potential i kampen mot grov gränsöverskridande brottslighet bör dess operativa uppgifter förstärkas genom en minskning av de nationella medlemmarnas administrativa arbetsbörda, och dess europeiska dimension bör förstärkas genom kommissionens deltagande i styrelsen och ett ökat deltagande av Europaparlamentet och de nationella parlamenten vid utvärderingen av dess verksamhet.

(10)

Därför bör denna förordning fastställa reglerna för parlamentariskt deltagande, en modernisering av Eurojusts struktur och en förenkling av dess gällande rättsliga ram, samtidigt som man bevarar de delar som har visat sig vara effektiva i dess verksamhet.

(11)

De former av grov brottslighet som berör två eller flera medlemsstater och som Eurojust har behörighet för bör tydligt fastställas. Dessutom bör ärenden som inte inbegriper två eller flera medlemsstater men för vilka det krävs lagföring på gemensamma grunder definieras. Sådana ärenden kan inbegripa utredningar och lagföring som endast berör en medlemsstat och ett tredjeland och där ett avtal ingåtts med det tredjelandet eller där det kan finnas ett särskilt behov av Eurojusts medverkan. Även lagföring som påverkar en medlemsstat och har återverkningar på unionsnivå kan avses.

(12)

Vid utförandet av sina operativa uppgifter vad gäller konkreta brott bör Eurojust på begäran av behöriga myndigheter i medlemsstaterna eller på eget initiativ ingripa antingen genom en eller flera av de nationella medlemmarna eller som ett kollegium. Genom att ingripa på eget initiativ kan Eurojust inta en mer proaktiv roll vid samordning av ärenden genom att till exempel stödja de nationella myndigheterna i deras utredningar och lagföring. Detta kan omfatta att involvera medlemsstater som kanske inte ursprungligen berördes av ärendet och att finna kopplingar mellan ärenden på grundval av uppgifter som Eurojust erhåller från Europol, Europeiska byrån för bedrägeribekämpning (Olaf), Europeiska åklagarmyndigheten och nationella myndigheter. Detta ger även Eurojust möjlighet att ta fram riktlinjer, policydokument och ärendehanteringsrelaterad analys som ett led i sitt strategiska arbete.

(13)

På begäran av en medlemsstats behöriga myndighet eller kommissionen bör det också vara möjligt för Eurojust att bistå med utredningar som rör endast den medlemsstaten men som har återverkningar på unionsnivå. Exempel på sådana utredningar är ärenden där en ledamot av en unionsinstitution eller ett unionsorgan är inblandad. Sådana utredningar omfattar också ärenden som inbegriper ett betydande antal medlemsstater och som potentiellt kan kräva ett samordnat europeiskt svar.

(14)

De skriftliga yttrandena från Eurojust är inte bindande för medlemsstaterna men bör besvaras i enlighet med denna förordning.

(15)

För att se till att Eurojust på lämpligt sätt kan stödja och samordna gränsöverskridande utredningar krävs det att alla nationella medlemmar har nödvändiga operativa befogenheter i förhållande till sin medlemsstat och i enlighet med rätten i den medlemsstaten för att samarbeta sinsemellan och med nationella myndigheter på ett mera konsekvent och effektivare sätt. De nationella medlemmarna bör ges de befogenheter som gör det möjligt för Eurojust att på lämpligt sätt fullgöra sitt uppdrag. Dessa befogenheter bör inbegripa tillgång till relevant information i nationella offentliga register och direktkontakt och informationsutbyte med behöriga myndigheter samt deltagande i gemensamma utredningsgrupper. Nationella medlemmar kan, i enlighet med sin nationella rätt, behålla de befogenheter som härrör från deras ställning som nationella myndigheter. I överenskommelse med den behöriga nationella myndigheten eller i brådskande ärenden kan nationella medlemmar även förordna om utredningsåtgärder och kontrollerade leveranser och utfärda och verkställa ansökningar om ömsesidig rättslig hjälp och ömsesidigt erkännande. Eftersom dessa befogenheter ska utövas i enlighet med nationell rätt bör medlemsstaternas domstolar vara behöriga att se över dessa åtgärder i enlighet med de krav och förfaranden som fastställs i nationell rätt.

(16)

Det är nödvändigt att förse Eurojust med en administrativ struktur och förvaltningsstruktur som gör det möjligt för byrån att utföra sina uppgifter på ett mer effektivt sätt, som är förenlig med de principer som gäller för unionens byråer och som fullt ut respekterar de grundläggande fri- och rättigheterna, samtidigt som man bevarar Eurojusts särskilda egenskaper och skyddar dess oberoende vid utförandet av dess operativa uppgifter. I detta syfte bör de nationella medlemmarnas, kollegiets och den administrativa direktörens uppgifter tydliggöras och en styrelse inrättas.

(17)

Det bör fastställas bestämmelser för att på ett tydligt sätt göra en distinktion mellan kollegiets operativa uppgifter och dess förvaltningsuppgifter, vilket kommer att minska de nationella medlemmarnas administrativa börda till ett minimum så att fokus kan läggas på Eurojusts operativa arbete. Kollegiets förvaltningsuppgifter bör i synnerhet inbegripa antagandet av Eurojusts arbetsprogram, budget, årliga verksamhetsrapport och samarbetsavtal med partner. Kollegiet bör verka som tillsättningsmyndighet med avseende på den administrativa direktören. Kollegiet bör också anta Eurojusts arbetsordning. Eftersom arbetsordningen kan påverka medlemsstaternas rättsliga verksamhet bör rådet tilldelas genomförandebefogenheter att godkänna den.

(18)

För att förbättra Eurojusts styrning och effektivisera förfarandena bör en styrelse inrättas för att bistå kollegiet i dess förvaltningsuppgifter och möjliggöra ett förenklat beslutsfattande gällande icke-operativa och strategiska frågor.

(19)

Kommissionen bör finnas representerad i kollegiet när kollegiet utför sina förvaltningsuppgifter. Kommissionens företrädare i kollegiet bör även vara dess företrädare i styrelsen för att säkerställa icke-operativ tillsyn av Eurojust och bistå den med strategisk vägledning.

(20)

För att säkerställa en effektiv löpande förvaltning av Eurojust bör den administrativa direktören vara dess rättsliga företrädare och direktör, och också vara ansvarig inför kollegiet. Den administrativa direktören bör utarbeta och verkställa kollegiets och styrelsens beslut. Den administrativa direktören bör utses på grundval av meriter och dokumenterad förvaltnings- och ledningsförmåga, samt relevant kompetens och erfarenhet.

(21)

Kollegiet bör välja en ordförande och två vice ordförande för Eurojust bland de nationella medlemmarna för en mandatperiod på fyra år. När en nationell medlem väljs till ordförande, bör den berörda medlemsstaten kunna utstationera en annan lämpligt kvalificerad person till den nationella enheten och ansöka om ersättning från Eurojusts budget.

(22)

Lämpligt kvalificerade personer är personer som har nödvändiga kvalifikationer och erfarenheter för att utföra de uppgifter som krävs för att säkerställa att den nationella enheten fungerar effektivt. De kan ha ställning som biträdande nationell medlem eller assistent till den nationella medlem som valts till ordförande, eller de kan ha en mer administrativ eller teknisk funktion. Varje medlemsstat bör själv kunna fastställa sina krav i detta avseende.

(23)

Beslutsförhet och omröstningsförfaranden bör regleras i Eurojusts arbetsordning. I undantagsfall, i frånvaro av den nationella medlemmen och dess biträdande nationella medlem, bör assistenten till den berörda medlemmen ha rösträtt i kollegiet om han eller hon har ställning som åklagare, domare eller företrädare för en rättslig myndighet.

(24)

Eftersom ersättningsmekanismen har budgetkonsekvenser bör denna förordning tilldela rådet genomförandebefogenheter att fastställa den mekanismen.

(25)

Upprättandet av en joursamordningsmekanism inom Eurojust är nödvändigt för att göra Eurojust effektivare och göra det möjligt för byrån att vara tillgänglig dygnet runt för att ingripa i brådskande ärenden. Varje medlemsstat bör säkerställa att deras företrädare i joursamordningsmekanismen kan ingripa 24 timmar om dygnet, sju dagar i veckan.

(26)

Eurojusts nationella samordningssystem bör inrättas i medlemsstaterna för att samordna det arbete som utförs av Eurojusts nationella kontaktpersoner, den nationella kontaktpersonen i frågor som rör terrorism, varje nationell kontaktperson i frågor som rör Europeiska åklagarmyndighetens behörighet, den nationella kontaktpersonen för det europeiska rättsliga nätverket och upp till tre andra kontaktpersoner, samt företrädare i nätverket för gemensamma utredningsgrupper och företrädare i de nätverk som inrättats genom rådets beslut 2002/494/RIF (6), rådets beslut 2007/845/RIF (7) och rådets beslut 2008/852/RIF (8). Medlemsstaterna kan besluta att en eller flera av dessa uppgifter ska utföras av en och samma nationella kontaktperson.

(27)

I syfte att främja och stärka samordningen och samarbetet mellan nationella utredande myndigheter och åklagarmyndigheter är det av största vikt att Eurojust erhåller information från nationella myndigheter som är nödvändig för att Eurojust ska kunna utföra sina uppgifter. För detta ändamål bör behöriga nationella myndigheter utan otillbörligt dröjsmål informera sina nationella medlemmar om inrättandet och resultaten av de gemensamma utredningsgrupperna. Behöriga nationella myndigheter bör även utan dröjsmål informera nationella medlemmar om ärenden som omfattas av Eurojusts behörighet och som direkt rör minst tre medlemsstater och för vilka ansökningar eller beslut om rättslig hjälp har skickats till minst två medlemsstater. Under vissa omständigheter bör de även informera nationella medlemmar om behörighetskonflikter, kontrollerade leveranser och återkommande svårigheter i fråga om rättsligt samarbete.

(28)

I Europaparlamentets och rådets direktiv (EU) 2016/680 (9) fastställs harmoniserade regler om skydd och fri rörlighet för personuppgifter som behandlas i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. I syfte att säkerställa en enhetlig skyddsnivå för skyddet av fysiska personer genom rättsligt verkställbara rättigheter i hela unionen och undvika avvikelser som hämmar utbytet av personuppgifter mellan Eurojust och medlemsstaternas behöriga myndigheter, bör reglerna om skyddet av och den fria rörligheten för operativa personuppgifter som behandlas av Eurojust vara förenliga med direktiv (EU) 2016/680.

(29)

De allmänna reglerna i det särskilda kapitlet om behandling av operativa personuppgifter i Europaparlamentets och rådets förordning (EU) 2018/1725 (10) bör inte påverka tillämpningen av de särskilda dataskyddsreglerna i den här förordningen. Sådana särskilda regler bör betraktas som lex specialis i förhållande till bestämmelserna i det kapitlet i förordning (EU) 2018/1725 (lex specialis derogat legi generali, dvs. en speciallag äger företräde framför en allmän lag). För att minska den rättsliga fragmenteringen bör de särskilda dataskyddsreglerna i den här förordningen vara förenliga med de principer som ligger till grund för det kapitlet i förordning (EU) 2018/1725 och med de bestämmelser i den förordningen som rör oberoende tillsyn, rättsmedel, ansvar och sanktioner.

(30)

Skyddet av de registrerades rättigheter och friheter kräver en tydlig ansvarsfördelning när det gäller dataskydd inom ramen för denna förordning. Medlemsstaterna bör ansvara för att de uppgifter som de har överfört till Eurojust och som har behandlats i oförändrad form av Eurojust är korrekta, för att uppgifterna hålls uppdaterade och för att överföringarna av dessa uppgifter till Eurojust är lagliga. Eurojust bör ansvara för att uppgifter från andra uppgiftslämnare eller från Eurojusts egna analyser eller uppgiftsinsamlingar är korrekta och hålls uppdaterade. Eurojust bör säkerställa att uppgifterna behandlas på ett korrekt och lagligt sätt, och att de samlas in och behandlas för ett givet syfte. Eurojust bör även säkerställa att uppgifterna är korrekta, relevanta och inte överdrivet omfattande i förhållande till det syfte för vilket de behandlas, att de inte lagras längre än syftet kräver och att de behandlas på ett sätt som säkerställer fullgod säkerhet för personuppgifter och konfidentialitet vid uppgiftsbehandlingen.

(31)

Lämpliga skyddsåtgärder för lagring av operativa personuppgifter för arkivändamål av allmänt intresse eller för statistiska ändamål bör inkluderas i Eurojusts arbetsordning.

(32)

Den registrerade bör ha möjlighet att utöva den rätt till tillgång som avses i förordning (EU) 2018/1725 till operativa personuppgifter som rör honom eller henne och som behandlas av Eurojust. Den registrerade kan utan kostnad och med rimliga intervall lämna in en sådan begäran till Eurojust eller till den nationella tillsynsmyndigheten i den medlemsstat den registrerade själv väljer.

(33)

Dataskyddsbestämmelserna i denna förordning påverkar inte de tillämpliga bestämmelserna om personuppgifters tillåtlighet som bevisning i straffrättsliga förfaranden före rättegång och inför domstol.

(34)

All behandling av personuppgifter som Eurojust utför inom ramen för sin behörighet i direkt syfte att fullgöra sina uppgifter bör betraktas som behandling av operativa personuppgifter.

(35)

Eftersom Eurojust även behandlar administrativa personuppgifter utan anknytning till brottsutredningar bör behandling av sådana uppgifter omfattas av de allmänna reglerna i förordning (EU) 2018/1725.

(36)

När operativa personuppgifter överförs eller lämnas till Eurojust av en medlemsstat bör den behöriga myndigheten, den nationella medlemmen eller den nationella kontaktpersonen för Eurojust ha rätt att begära rättelse eller radering av dessa operativa personuppgifter.

(37)

För att visa överensstämmelse med denna förordning bör Eurojust eller det behöriga personuppgiftsbiträdet föra register över alla kategorier av behandling som sker under deras respektive ansvar. Eurojust och alla behöriga personuppgiftsbiträden bör vara skyldiga att samarbeta med Europeiska datatillsynsmannen och på dennes begäran göra detta register tillgängligt för datatillsynsmannen så att det kan tjäna som grund för övervakningen av behandlingen. Eurojust eller dess behöriga personuppgiftsbiträde, när de behandlar personuppgifter i icke-automatiserade behandlingssystem, bör ha infört effektiva metoder, t.ex. loggar eller andra typer av register, för att visa att behandlingen är laglig, möjliggöra egenkontroll och säkerställa dataintegritet och datasäkerhet.

(38)

Eurojusts styrelse bör utse ett dataskyddsombud, som bör vara en medlem av den befintliga personalen. Den person som utses till Eurojusts dataskyddsombud bör ha genomgått särskild utbildning i lagstiftning och praxis i fråga om dataskydd för att skaffa sig sakkunskap på området. Den nödvändiga nivån på sakkunskapen bör fastställas i enlighet med den uppgiftsbehandling som utförs och det skydd som krävs för de personuppgifter som behandlas av Eurojust.

(39)

Europeiska datatillsynsmannen bör ansvara för övervakning och säkerställande av en fullständig tillämpning av dataskyddsbestämmelserna i denna förordning med avseende på Eurojusts behandling av operativa personuppgifter. Europeiska datatillsynsmannen bör ges befogenheter som gör det möjligt för honom eller henne att fullgöra sina uppgifter på ändamålsenligt sätt. Europeiska datatillsynsmannen bör ha rätt att samråda med Eurojust rörande begäranden som lämnats in, att hänskjuta ärenden till Eurojust i syfte att hantera problem som uppstått med avseende på dess behandling av operativa personuppgifter, att lämna förslag om förbättringar av skyddet för registrerade samt att förelägga Eurojust att utföra särskilda operationer med avseende på behandling av operativa personuppgifter. Europeiska datatillsynsmannen behöver därför medel för att se till att sådana förelägganden respekteras och verkställs. Han eller hon bör därför även ha befogenhet att varna Eurojust. Att varna innebär att utfärda en muntlig eller skriftlig påminnelse om Eurojusts skyldighet att verkställa Europeiska datatillsynsmannens förelägganden eller att följa förslagen från Europeiska datatillsynsmannen och en erinran om de åtgärder som kommer att tillämpas i händelse av bristfällig efterlevnad eller vägran från Eurojusts sida.

(40)

Europeiska datatillsynsmannens uppgifter och befogenheter, inklusive befogenheten att förelägga Eurojust att rätta, begränsa behandlingen av eller radera operativa personuppgifter som har behandlats på ett sätt som står i strid med dataskyddsbestämmelserna i denna förordning, bör inte omfatta de personuppgifter som ingår i nationella ärendehandlingar.

(41)

För att underlätta samarbetet mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna, men utan att det påverkar Europeiska datatillsynsmannens oberoende eller dennes ansvar för tillsynen av Eurojust med avseende på dataskydd, bör Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna träffas regelbundet i Europeiska dataskyddsstyrelsen, i linje med de regler om samordnad tillsyn som fastställs i förordning (EU) 2018/1725.

(42)

Eurojust bör som första mottagare på unionens territorium av uppgifter som tillhandahållits av eller hämtats från tredjeländer eller internationella organisationer ansvara för att dessa uppgifter är korrekta. Eurojust bör vidta åtgärder för att i möjligaste mån kontrollera att uppgifterna är korrekta så snart uppgifterna mottagits eller i samband med att uppgifterna görs tillgängliga för andra myndigheter.

(43)

Eurojust bör omfattas av de allmänna regler om inom- och utomobligatoriskt ansvar som är tillämpliga på unionens institutioner, organ och byråer.

(44)

Eurojust bör kunna utbyta relevanta personuppgifter och upprätthålla samarbetsförbindelser med andra av unionens institutioner, organ och byråer i den utsträckning som krävs för fullgörandet av dess eller deras uppgifter.

(45)

För att garantera ändamålsbegränsning är det viktigt att säkerställa att personuppgifter kan överföras av Eurojust till tredjeländer och internationella organisationer endast om det är nödvändigt för att förebygga, förhindra och bekämpa brottslighet som omfattas av Eurojusts uppdrag. Därför är det, vid överföring av personuppgifter, nödvändigt att säkerställa att mottagaren lämnar en försäkran om att uppgifterna kommer att användas av mottagaren, eller överföras vidare till en behörig myndighet i ett tredjeland, enbart för det syfte för vilket de ursprungligen överfördes. Ytterligare vidareöverföring av uppgifterna bör ske i enlighet med denna förordning.

(46)

Samtliga medlemsstater är anslutna till Internationella kriminalpolisorganisationen (Interpol). För att kunna fullgöra sitt uppdrag mottar, lagrar och delar Interpol med sig av personuppgifter i syfte att hjälpa behöriga myndigheter att förebygga, förhindra och bekämpa internationell brottslighet. Därför är det lämpligt att stärka samarbetet mellan unionen och Interpol genom att främja ett effektivt utbyte av personuppgifter med respekt för de grundläggande fri- och rättigheterna vid automatiserad behandling av personuppgifter. När operativa personuppgifter överförs från Eurojust till Interpol samt till länder som har delegerade medlemmar i Interpol, bör denna förordning gälla, framför allt bestämmelserna om internationella överföringar. Denna förordning bör inte påverka de särskilda bestämmelserna i rådets gemensamma ståndpunkt 2005/69/RIF (11) och rådets beslut 2007/533/RIF (12).

(47)

När Eurojust överför operativa personuppgifter till en myndighet i ett tredjeland eller till en internationell organisation med stöd av ett internationellt avtal som ingåtts i enlighet med artikel 218 i EUF-fördraget bör tillräckliga skyddsåtgärder föreskrivas med hänsyn till integritetsskydd och grundläggande fri- och rättigheter för enskilda för att säkerställa att tillämpliga dataskyddsregler följs.

(48)

Eurojust bör säkerställa att överföringar till ett tredjeland eller en internationell organisation äger rum endast om detta är nödvändigt för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller för att verkställa straffrättsliga påföljder, inklusive för att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, samt att den personuppgiftsansvarige i tredjelandet eller den internationella organisationen är en myndighet som är behörig i den mening som avses i denna förordning. Överföringar bör endast utföras av Eurojust i egenskap av personuppgiftsansvarig. Sådana överföringar kan äga rum i ärenden där kommissionen genom beslut har fastställt att tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå, där lämpliga skyddsåtgärder föreligger eller där undantag för särskilda situationer gäller.

(49)

Eurojust bör kunna överföra personuppgifter till en myndighet i ett tredjeland eller en internationell organisation på grundval av ett kommissionsbeslut där det fastställs att landet eller den internationella organisationen i fråga säkerställer en adekvat dataskyddsnivå (nedan kallat beslut om adekvat skyddsnivå) eller, om något sådant beslut inte föreligger, på grundval av ett internationellt avtal som unionen har ingått i enlighet med artikel 218 i EUF-fördraget eller ett samarbetsavtal som medger utbyte av personuppgifter och har ingåtts mellan Eurojust och tredjelandet före denna förordnings tillämpningsdag.

(50)

Om kollegiet identifierar ett operativt behov av samarbete med ett tredjeland eller en internationell organisation bör det kunna föreslå att rådet uppmärksammar kommissionen på behovet av ett beslut om adekvat skyddsnivå eller en rekommendation om att inleda förhandlingar om ett internationellt avtal i enlighet med artikel 218 i EUF-fördraget.

(51)

Överföringar som inte grundar sig på ett beslut om adekvat skyddsnivå bör tillåtas endast om lämpliga skyddsåtgärder garanteras i ett rättsligt bindande instrument som säkerställer skydd av personuppgifter, eller om Eurojust har gjort en bedömning av alla omständigheter kring en uppgiftsöverföring och på grundval av denna bedömning anser att lämpliga skyddsåtgärder föreligger vad avser skydd av personuppgifter. Sådana rättsligt bindande instrument kan vara t.ex. rättsligt bindande bilaterala avtal som har ingåtts av medlemsstaterna och genomförts inom deras rättsordning och som kan åberopas av registrerade som omfattas av denna så att det säkerställs att kraven i fråga om dataskydd uppfylls och att registrerades rättigheter respekteras, inbegripet rätten till en effektiv administrativ eller rättslig prövning. Eurojust bör vid bedömningen av alla omständigheter kring uppgiftsöverföringen kunna beakta samarbetsavtal som ingåtts mellan Eurojust och tredjeländer och som medger utbyte av personuppgifter. Eurojust bör också kunna beakta att överföringen av personuppgifter kommer att omfattas av tystnadsplikt och principen om specificitet, vilket säkerställer att uppgifterna inte kommer att behandlas i andra syften än syftena med överföringen. Dessutom bör Eurojust beakta att personuppgifterna inte kommer att användas för att begära, meddela eller verkställa dödsstraff eller någon form av grym och omänsklig behandling. Även om dessa villkor skulle kunna betraktas som lämpliga skyddsåtgärder som medger en överföring av uppgifter bör Eurojust kunna begära ytterligare skyddsåtgärder.

(52)

När det inte föreligger vare sig något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder, kan en överföring eller en kategori av överföringar äga rum endast i särskilda situationer, om nödvändigt för att skydda väsentliga intressen för den registrerade eller någon annan person, eller för att skydda den registrerades berättigade intressen om lagstiftningen i den medlemsstat som överför personuppgifterna så kräver, för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland, i ett enskilt ärende för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten, eller i ett enskilt fall för att kunna fastslå, göra gällande eller försvara rättsliga anspråk. Dessa undantag bör tolkas restriktivt och bör inte möjliggöra upprepade, omfattande eller strukturella överföringar av personuppgifter eller storskaliga överföringar av uppgifter, utan bör begränsas till uppgifter som är absolut nödvändiga. Sådana överföringar bör dokumenteras och på begäran göras tillgängliga för Europeiska datatillsynsmannen så att man kan övervaka om överföringen är laglig.

(53)

I undantagsfall bör Eurojust för att uppnå sina mål kunna förlänga tidsgränserna för lagring av operativa personuppgifter, under förutsättning att principen om ändamålsbegränsning, som gäller för behandlingen av personuppgifter inom ramen för all dess verksamhet, uppfylls. Sådana beslut bör fattas efter noggrant övervägande av alla berörda intressen, inbegripet de registrerades intressen. En sådan förlängning av tidsfristerna för behandling av personuppgifter där preskription inträtt i alla berörda medlemsstater bör beslutas endast om det finns ett specifikt behov att tillhandahålla stöd enligt denna förordning.

(54)

Eurojust bör upprätthålla privilegierade förbindelser med det europeiska rättsliga nätverket på grundval av samråd och komplementaritet. Denna förordning bör hjälpa till att tydliggöra Eurojusts och det europeiska rättsliga nätverkets respektive roller och deras ömsesidiga förbindelser och samtidigt bevara det europeiska rättsliga nätverkets särdrag.

(55)

Eurojust bör upprätthålla samarbetsförbindelser med andra unionsinstitutioner, unionsorgan och unionsbyråer, med Europeiska åklagarmyndigheten, med behöriga myndigheter i tredjeländer samt med internationella organisationer i den utsträckning som krävs för fullgörandet av dess uppgifter.

(56)

För att förbättra det operativa samarbetet mellan Eurojust och Europol, och i synnerhet för att upprätta förbindelser mellan uppgifter som redan finns hos någon av byråerna, bör Eurojust på grundval av ett system med träff/icke träff ge Europol tillgång till uppgifter som Eurojust förfogar över. Eurojust och Europol bör säkerställa att nödvändiga arrangemang inrättas för att optimera deras operativa samarbete, med tillbörlig hänsyn till deras respektive mandat och eventuella begränsningar som föreskrivs av medlemsstaterna. Dessa samarbetsbestämmelser bör säkerställa åtkomst till och möjlighet att göra sökningar bland samtliga uppgifter som inlämnats till Europol för samkörning, i enlighet med de särskilda skyddsåtgärder och dataskyddsgarantier som föreskrivs i denna förordning. Europols åtkomst till uppgifter som Eurojust förfogar över bör genom tekniska medel begränsas till information som omfattas av de båda unionsbyråernas respektive mandat.

(57)

Eurojust och Europol bör informera varandra om all verksamhet som rör finansieringen av gemensamma utredningsgrupper.

(58)

Eurojust bör kunna utbyta personuppgifter med andra unionsinstitutioner, unionsorgan och unionsbyråer i den utsträckning som krävs för fullgörandet av dess uppgifter med fullständig respekt för integritetsskyddet och andra grundläggande fri- och rättigheter.

(59)

Eurojust bör stärka sitt samarbete med behöriga myndigheter i tredjeländer och internationella organisationer på grundval av en strategi som utarbetas i samråd med kommissionen. Eurojust bör därför ges möjlighet att sända ut sambandspersoner till tredjeländer i syfte att nå mål som liknar dem för sambandspersoner som sänds ut av medlemsstaterna på grundval av rådets gemensamma åtgärd 96/277/RIF (13).

(60)

Eurojust bör ges möjlighet att samordna verkställigheten av ansökningar om rättslig hjälp från tredjeländer när dessa ansökningar måste verkställas i minst två medlemsstater som delar av samma utredning. Eurojust bör endast genomföra sådan samordning med de berörda medlemsstaternas samtycke.

(61)

För att garantera Eurojusts fullständiga autonomi och oberoende bör byrån beviljas en autonom budget som är tillräckligt stor för att byrån ska kunna utföra sitt arbete på rätt sätt och vars inkomster i huvudsak kommer från ett bidrag från unionens budget, med undantag för löner och arvoden för de nationella medlemmarna, biträdande medlemmarna och assistenterna, vilka betalas av deras medlemsstater. Unionens budgetförfarande bör gälla i den utsträckning som unionens bidrag och andra subventioner som ska belasta unionens allmänna budget berörs. Revisionen av räkenskaperna bör utföras av revisionsrätten och godkännas av Europaparlamentets budgetkontrollutskott.

(62)

För att öka Eurojusts öppenhet och den demokratiska övervakningen av byrån är det nödvändigt att inrätta en mekanism i enlighet med artikel 85.1 i EUF-fördraget för gemensam utvärdering av Eurojusts verksamhet från Europaparlamentets och de nationella parlamentens sida. Utvärderingen bör göras inom ramen för ett interparlamentariskt utskottssammanträde i Europaparlamentets lokaler i Bryssel med deltagande av ledamöter av Europaparlamentets och de nationella parlamentens ansvariga utskott. Det interparlamentariska utskottssammanträdet bör emellertid äga rum med fullständig respekt för principerna om Eurojusts oberoende vad gäller åtgärder som vidtas i specifika operativa ärenden och med avseende på diskretions- och konfidentialitetsplikten.

(63)

Det är lämpligt att regelbundet utvärdera tillämpningen av denna förordning.

(64)

Eurojusts funktionssätt bör vara öppet för insyn i enlighet med artikel 15.3 i EUF-fördraget. Särskilda bestämmelser om hur allmänhetens rätt till tillgång till handlingar säkerställs bör antas av kollegiet. Inget i denna förordning är avsett att begränsa allmänhetens rätt till tillgång till handlingar i den mån som den garanteras i unionen och i medlemsstaterna, särskilt enligt artikel 42 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). De allmänna insynsbestämmelser som gäller för unionsorgan bör vara tillämpliga även på Eurojust, dock utan att tystnadsplikten inom ramen för byråns operativa arbete äventyras på något sätt. Administrativa undersökningar som genomförs av Europeiska ombudsmannen bör respektera den tystnadsplikt som gäller för Eurojust.

(65)

För att öka Eurojusts öppenhet gentemot unionsmedborgarna och dess ansvarsskyldighet bör byrån på sin webbplats offentliggöra en förteckning över sina styrelseledamöter och, i förekommande fall, sammandrag av resultatet av styrelsens sammanträden, med respekt för dataskyddskraven.

(66)

Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 (14) bör tillämpas på Eurojust.

(67)

Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 (15) bör tillämpas på Eurojust.

(68)

De nödvändiga bestämmelserna om Eurojusts inkvartering i den medlemsstat där den har sitt säte, alltså i Nederländerna, och de specifika regler som gäller för Eurojusts alla anställda och deras familjemedlemmar bör fastställas i ett avtal om säte. Värdmedlemsstaten bör tillhandahålla bästa möjliga villkor för att säkerställa att Eurojust fungerar väl, vilket inbegriper flerspråkig skolundervisning med europeisk inriktning och lämpliga transportförbindelser, för att locka till sig högkvalificerad personal från ett så stort geografiskt område som möjligt.

(69)

Eurojust såsom den inrättas genom denna förordning ersätter och efterträder Eurojust såsom den inrättades genom beslut 2002/187/RIF med avseende på alla dess avtalsenliga skyldigheter, inbegripet anställningsavtal, förpliktelser och fastigheter som förvärvats. Internationella avtal som ingåtts av Eurojust som inrättats genom det beslutet bör fortsätta att gälla.

(70)

Eftersom målet för denna förordning, nämligen upprättandet av enhet med ansvar för att stödja och stärka samordningen och samarbetet mellan rättsliga myndigheter i medlemsstaterna i samband med allvarlig brottslighet som berör två eller flera medlemsstater eller som det krävs lagföring för på gemensamma grunder, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna och därför, på grund av åtgärdens omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(71)

I enlighet med artiklarna 1, 2 och 4a.1 i protokoll nr 21 om Förenade kungarikets och Irlands ställning med avseende på området med frihet, säkerhet och rättvisa, fogat till EU-fördraget och EUF-fördraget, och utan att det påverkar tillämpningen av artikel 4 i det protokollet, deltar dessa medlemsstater inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på dem.

(72)

I enlighet med artiklarna 1 och 2 i protokoll nr 22 om Danmarks ställning, fogat till EU-fördraget och EUF-fördraget, deltar Danmark inte i antagandet av denna förordning, som inte är bindande för eller tillämplig på Danmark.

(73)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 (16) och avgav ett yttrande den 5 mars 2014.

(74)

Denna förordning respekterar fullt ut de grundläggande rättigheter, och skyddar och iakttar de principer, som särskilt erkänns i stadgan.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

EUROJUSTS INRÄTTANDE, MÅL OCH UPPGIFTER

Artikel 1

Inrättande av Europeiska unionens byrå för straffrättsligt samarbete

1.   Europeiska unionens byrå för straffrättsligt samarbete (Eurojust) inrättas härmed.

2.   Det Eurojust som inrättas genom denna förordning ska ersätta och efterträda Eurojust som inrättades genom beslut 2002/187/RIF.

3.   Eurojust ska ha ställning som juridisk person.

Artikel 2

Uppgifter

1.   Eurojust ska stödja och stärka samordningen och samarbetet mellan nationella utredande myndigheter och åklagarmyndigheter i samband med grov brottslighet som Eurojust enligt artikel 3.1 och 3.3 har behörighet att hantera, när denna brottslighet berör två eller fler medlemsstater eller kräver lagföring på gemensamma grunder, på grundval av insatser som genomförs och information som tillhandahålls av medlemsstaternas myndigheter, Europol, Europeiska åklagarmyndigheten och Olaf.

2.   Vid fullgörandet av sina uppgifter ska Eurojust

a)

beakta varje begäran från en medlemsstats behöriga myndighet, all information som har tillhandahållits av unionsmyndigheter, unionsinstitutioner, unionsorgan och unionsbyråer som är behöriga i kraft av bestämmelser som antagits inom ramen för fördragen samt all information som Eurojust själv har hämtat in,

b)

underlätta verkställandet av ansökningar och beslut om rättslig hjälp, inklusive ansökningar och beslut som bygger på instrument som ger verkan åt principen om ömsesidigt erkännande.

3.   Eurojust ska fullgöra sina uppgifter på begäran av de behöriga myndigheterna i medlemsstaterna, på eget initiativ eller på Europeiska åklagarmyndighetens begäran inom ramen för Europeiska åklagarmyndighetens behörighet.

Artikel 3

Eurojusts behörighet

1.   Eurojusts behörighet ska omfatta de typer av grov brottslighet som förtecknas i bilaga I. Från och med den dag då Europeiska åklagarmyndigheten börjar utföra sina utrednings- och lagföringsuppgifter i enlighet med artikel 120.2 i förordning (EU) 2017/1939 får dock Eurojust inte utöva sin behörighet med avseende på brott för vilka Europeiska åklagarmyndigheten utövar sin behörighet, förutom i ärenden som inbegriper även medlemsstater som inte deltar i det fördjupade samarbetet om inrättande av Europeiska åklagarmyndigheten, på begäran av de medlemsstaterna eller av Europeiska åklagarmyndigheten.

2.   Eurojust ska utöva sin behörighet för brott som skadar unionens ekonomiska intressen i ärenden som inbegriper medlemsstater som deltar i det fördjupade samarbetet om inrättande av Europeiska åklagarmyndigheten men för vilka Europeiska åklagarmyndigheten inte har behörighet eller beslutar att inte utöva sin behörighet.

Eurojust, Europeiska åklagarmyndigheten och de berörda medlemsstaterna ska samråda och samarbeta med varandra i syfte att främja Eurojusts utövande av sin behörighet enligt denna punkt. De närmare föreskrifterna för dess utövande av sin behörighet enligt denna punkt ska regleras genom ett samarbetsavtal som avses i artikel 47.3.

3.   När det gäller andra typer av brott än de som förtecknas i bilaga I får Eurojust dessutom, i överensstämmelse med sina uppgifter, bistå vid utredningar och lagföring på begäran av en behörig myndighet i en medlemsstat.

4.   Eurojusts behörighet ska omfatta brott som hör samman med de brott som förtecknas i bilaga I. Följande brott ska anses höra samman med sådana brott:

a)

Brott som begås för att anskaffa medel till att begå de allvarliga brott som förtecknas i bilaga I.

b)

Brott som begås för att underlätta eller begå de allvarliga brott som förtecknas i bilaga I.

c)

Brott som begås för att personer som begår de allvarliga brott som förtecknas i bilaga I ska undgå lagföring och straff.

5.   På begäran av en medlemsstats behöriga myndighet får Eurojust också bistå vid utredningar och lagföring som berör endast den medlemsstaten och ett tredjeland, under förutsättning att ett samarbetsavtal eller en överenskommelse om samarbete enligt artikel 52 har ingåtts med det tredjelandet eller där det i ett specifikt ärende föreligger ett väsentligt intresse av att sådant bistånd tillhandahålls.

6.   På begäran av antingen en medlemsstats behöriga myndighet eller kommissionen får Eurojust bistå vid utredningar och lagföring som berör endast den medlemsstaten men som har återverkningar på unionsnivå. Eurojust ska samråda med den behöriga myndigheten i den berörda medlemsstaten om detta innan byrån ingriper på kommissionens begäran. Denna behöriga myndighet får, inom en tidsfrist som fastställs av Eurojust, motsätta sig att Eurojust verkställer begäran, med en motivering av sin ståndpunkt i varje enskilt fall.

Artikel 4

Eurojusts operativa uppgifter

1.   Eurojust ska

a)

informera de behöriga myndigheterna i medlemsstaterna om utredningar och lagföring om vilka byrån har informerats och som har återverkningar på unionsnivå eller som kan påverka andra medlemsstater än de direkt berörda,

b)

bistå de behöriga myndigheterna i medlemsstaterna genom att säkerställa bästa möjliga samordning av utredningar och lagföring,

c)

ge stöd i syfte att förbättra samarbetet mellan de behöriga myndigheterna i medlemsstaterna, i synnerhet på grundval av Europols analyser,

d)

samarbeta och samråda med det europeiska straffrättsliga nätverket, bland annat genom att använda och bidra till förbättringen av det europeiska rättsliga nätverkets dokumentationsdatabas,

e)

samarbeta nära med Europeiska åklagarmyndigheten i frågor med anknytning till dess behörighet,

f)

tillhandahålla operativt, tekniskt och finansiellt stöd till medlemsstaternas gränsöverskridande insatser och utredningar, inbegripet till de gemensamma utredningsgrupperna,

g)

stödja och vid behov delta i de unionscentrum med specialkunskap som utvecklas av Europol och andra unionsinstitutioner, unionsorgan och unionsbyråer,

h)

samarbeta med de unionsinstitutioner, unionsorgan och unionsbyråer samt de unionsnätverk som inrättats inom området med frihet, säkerhet och rättvisa, som regleras av avdelning V i EUF-fördraget,

i)

stödja medlemsstaternas insatser för att bekämpa de typer av grov brottslighet som förtecknas i bilaga I.

2.   Vid utförandet av sina uppgifter får Eurojust anmoda de behöriga myndigheterna i de berörda medlemsstaterna, med angivande av sina skäl, att

a)

genomföra en utredning eller lagför specifika gärningar,

b)

godta att en av dem kan vara bättre lämpad att genomföra en utredning eller att lagföra specifika gärningar,

c)

samordna mellan de behöriga myndigheterna i berörda medlemsstater,

d)

inrätta en gemensam utredningsgrupp i enlighet med relevanta samarbetsinstrument,

e)

tillhandahålla Eurojust all information som byrån behöver för att fullgöra sina uppgifter,

f)

vidta särskilda utredningsåtgärder,

g)

vidta alla andra åtgärder som är motiverade med anledning av utredningen eller lagföringen.

3.   Eurojust får också

a)

tillhandahålla Europol yttranden på grundval av analyser som utförts av Europol,

b)

ge logistiskt stöd, bland annat översättning, tolkning och anordnande av samordningsmöten.

4.   Om två eller fler medlemsstater inte kan komma överens om vilken av dem som ska genomföra en utredning eller lagföra specifika gärningar efter en begäran som gjorts i enlighet med punkt 2 a eller b ska Eurojust utfärda ett skriftligt yttrande i ärendet. Eurojust ska omedelbart sända yttrandet till de berörda medlemsstaterna.

5.   På begäran av en behörig myndighet eller på eget initiativ ska Eurojust utfärda ett skriftligt yttrande om upprepade avslag eller svårigheter beträffande verkställandet av ansökningar och beslut om rättslig hjälp, inklusive ansökningar och beslut som baseras på instrument som ger verkan åt principen om ömsesidigt erkännande, under förutsättning att det inte är möjligt att avgöra sådana ärenden i samförstånd mellan de berörda nationella myndigheterna eller genom ingripande av de berörda nationella medlemmarna. Eurojust ska omedelbart sända yttrandet till de berörda medlemsstaterna.

6.   De berörda medlemsstaternas behöriga myndigheter ska utan otillbörligt dröjsmål besvara Eurojusts begäranden som avses i punkt 2 och de skriftliga yttranden som avses i punkt 4 eller 5. Medlemsstaternas behöriga myndigheter får vägra att tillmötesgå sådana begäranden eller att följa det skriftliga yttrandet om detta skulle skada väsentliga nationella säkerhetsintressen eller äventyra en pågående utredning eller en enskild persons säkerhet.

Artikel 5

Utövande av operativa och andra uppgifter

1.   Eurojust ska ingripa genom en eller fler av de berörda nationella medlemmarna när byrån vidtar någon av de åtgärder som avses i artikel 4.1 eller 4.2. Utan att det påverkar punkt 2 i den här artikeln ska kollegiet inrikta sig på operativa uppgifter och andra uppgifter som är direkt knutna till operativa uppgifter. Kollegiet ska delta i administrativa uppgifter endast i den mån som krävs för att säkerställa att dess operativa uppgifter fullgörs.

2.   Eurojust ska ingripa som ett kollegium

a)

när byrån vidtar någon av de åtgärder som avses i artikel 4.1 eller 4.2,

i)

på begäran av en eller fler av de nationella medlemmar som berörs av ett ärende som hanteras av Eurojust,

ii)

när ärendet inbegriper utredningar eller lagföring som har återverkningar på unionsnivå eller som kan påverka andra medlemsstater än de direkt berörda,

b)

när byrån vidtar någon av de åtgärder som avses i artikel 4.3, 4.4 eller 4.5,

c)

när det handlar om en allmän fråga som rör uppfyllandet av dess operativa mål,

d)

när byrån antar Eurojusts årliga budget, varvid beslutet ska fattas med två tredjedelars majoritet av kollegiets medlemmar,

e)

när byrån antar det programplaneringsdokument som avses i artikel 15 eller årsrapporten om Eurojusts verksamhet, varvid beslutet ska fattas med två tredjedelars majoritet av kollegiets medlemmar,

f)

när byrån utser eller avsätter ordföranden och vice ordförandena enligt artikel 11,

g)

när byrån utser den administrativa direktören eller, i förekommande fall, förlänger dennes tjänstetid eller säger upp honom eller henne från tjänsten enligt artikel 17,

h)

när byrån antar samarbetsavtal enligt artiklarna 47.3 och 52,

i)

när byrån antar regler för att förebygga och hantera intressekonflikter med avseende på sina medlemmar, även i fråga om deras intresseförklaringar,

j)

när byrån antar rapporter, policydokument, riktlinjer för nationella myndigheter och yttranden som rör Eurojusts operativa arbete, och dessa handlingar är av strategisk natur,

k)

när sambandspersoner utnämns i enlighet med artikel 53,

l)

när byrån fattar ett beslut som inte uttryckligen tilldelas styrelsen genom denna förordning eller som inte omfattas av den administrativa direktörens ansvar i enlighet med artikel 18,

m)

när det i övrigt föreskrivs i denna förordning.

3.   Vid fullgörandet av sina uppgifter ska Eurojust ange om byrån ingriper genom en eller fler av de nationella medlemmarna eller som ett kollegium.

4.   I enlighet med de operativa kraven får kollegiet tilldela den administrativa direktören och styrelsen ytterligare administrativa uppgifter utöver dem som föreskrivs i artiklarna 16 och 18.

Om exceptionella omständigheter så kräver får kollegiet besluta att tillfälligt upphäva delegeringen av tillsättningsbefogenheter till den administrativa direktören och de befogenheter som denne vidaredelegerat, för att själv utöva dem eller delegera dem till en av sina medlemmar eller till någon annan anställd än den administrativa direktören.

5.   Kollegiet ska med två tredjedelars majoritet av sina medlemmar anta Eurojusts arbetsordning. Om ingen överenskommelse kan nås med två tredjedelars majoritet ska beslutet fattas med enkel majoritet. Eurojusts arbetsordning ska godkännas av rådet genom genomförandeakter.

KAPITEL II

EUROJUSTS STRUKTUR OCH ORGANISATION

AVSNITT I

Struktur

Artikel 6

Eurojusts struktur

Eurojust ska bestå av

a)

de nationella medlemmarna,

b)

kollegiet,

c)

styrelsen,

d)

den administrativa direktören.

AVSNITT II

Nationella medlemmar

Artikel 7

De nationella medlemmarnas ställning

1.   Eurojust ska ha en nationell medlem utstationerad från varje medlemsstat i enlighet med dess rättsliga system. Den nationella medlemmen ska ha sin ordinarie arbetsplats vid Eurojusts säte.

2.   Varje nationell medlem ska biträdas av en biträdande nationell medlem och av en assistent. Den biträdande nationella medlemmen och assistenten ska i princip ha sin ordinarie arbetsplats vid Eurojusts säte. Varje medlemsstat får besluta att den biträdande nationella medlemmen eller assistenten, eller båda, ska ha sin ordinarie arbetsplats i sin medlemsstat. Om en medlemsstat fattar ett sådant beslut ska den underrätta kollegiet om detta. Om så krävs för Eurojusts operativa behov får kollegiet begära att medlemsstaten baserar den biträdande nationella medlemmen eller assistenten eller båda vid Eurojusts säte under en viss angiven period. Medlemsstaten ska tillmötesgå en sådan begäran från kollegiet utan otillbörligt dröjsmål.

3.   Ytterligare biträdande nationella medlemmar eller assistenter får biträda den nationella medlemmen och får, om så är nödvändigt och med kollegiets samtycke, ha sin ordinarie arbetsplats vid Eurojust. Medlemsstaterna ska underrätta Eurojust och kommissionen om utseendet av nationella medlemmar, biträdande nationella medlemmar och assistenter.

4.   De nationella medlemmarna och de biträdande nationella medlemmarna ska ha ställning som åklagare, domare eller företrädare för en rättslig myndighet med behörigheter som motsvarar de som en åklagare eller domare har enligt nationell rätt. Medlemsstaterna ska bevilja dem åtminstone de befogenheter som avses i denna förordning för att de ska kunna fullgöra sina uppgifter.

5.   Mandatperioderna för de nationella medlemmarna och de biträdande nationella medlemmarna ska vara fem år och ska kunna förlängas en gång. I ärenden där en biträdande nationell medlem inte kan agera på en nationell medlems vägnar eller ersätta en nationell medlem, ska den nationella medlemmen kvarstå i ämbetet efter utgången av mandatperioden fram tills det att hans eller hennes mandatperiod förlängs eller tills han eller hon ersätts, med förbehåll för medlemsstatens samtycke.

6.   Medlemsstaterna ska utse de nationella medlemmarna och de biträdande nationella medlemmarna på grundval av en bevisat hög nivå av relevant praktisk erfarenhet på det straffrättsliga området.

7.   Den biträdande nationella medlemmen ska kunna agera på den nationella medlemmens vägnar eller ersätta denne. En assistent får också agera på den nationella medlemmens vägnar eller ersätta denne, om han eller hon har en sådan ställning som avses i punkt 4.

8.   Utbyte av operativ information mellan Eurojust och medlemsstaterna ska ske via de nationella medlemmarna.

9.   De nationella medlemmarnas, de biträdande nationella medlemmarnas och assistenternas löner och arvoden ska betalas av deras medlemsstat utan att det påverkar tillämpningen av artikel 12.

10.   När de nationella medlemmarna, de biträdande nationella medlemmarna och assistenterna agerar inom ramen för Eurojusts uppgifter ska de utgifter som hör ihop med dessa insatser anses vara operativa utgifter.

Artikel 8

De nationella medlemmarnas befogenheter

1.   De nationella medlemmarna ska ha befogenhet att

a)

underlätta eller på annat sätt stödja utfärdandet eller verkställandet av ansökningar om ömsesidig rättslig hjälp eller ömsesidigt erkännande,

b)

direkt kontakta och utbyta information med en behörig nationell myndighet i medlemsstaten eller ett behörigt unionsorgan eller en behörig unionsbyrå, inklusive Europeiska åklagarmyndigheten,

c)

direkt kontakta och utbyta information med en behörig internationell myndighet, i enlighet med deras medlemsstats internationella åtaganden,

d)

delta i gemensamma utredningsgrupper, inbegripet upprättandet av dem.

2.   Utan att det påverkar tillämpningen av punkt 1 får medlemsstaterna bevilja de nationella medlemmarna ytterligare befogenheter i enlighet med nationell rätt. Dessa medlemsstater ska underrätta kommissionen och kollegiet om dessa befogenheter.

3.   I samförstånd med den behöriga nationella myndigheten får de nationella medlemmarna i enlighet med sin nationella rätt

a)

utfärda eller verkställa ansökningar om ömsesidig rättslig hjälp eller ömsesidigt erkännande,

b)

beordra, begära eller verkställa utredningsåtgärder enligt vad som föreskrivs i Europaparlamentets och rådets direktiv 2014/41/EU (17).

4.   I brådskande ärenden när det inte är möjligt att identifiera eller kontakta den behöriga nationella myndigheten i tid ska de nationella medlemmarna vara behöriga att vidta de åtgärder som avses i punkt 3 i enlighet med nationell rätt, under förutsättning att de informerar den behöriga nationella myndigheten så snart som möjligt.

5.   Den nationella medlemmen får lägga fram ett förslag för den nationella myndighet att vidta de åtgärder avses i punkterna 3 och 4, om den nationella medlemmens utövande av de befogenheter som avses i punkterna 3 och 4 skulle strida mot

a)

en medlemsstats konstitutionella bestämmelser, eller

b)

grundläggande aspekter av den medlemsstatens nationella straffrättsliga system avseende

i)

fördelningen av befogenheter mellan polis, åklagare och domare,

ii)

den funktionella arbetsfördelningen mellan åklagarmyndigheterna, eller

iii)

den berörda medlemsstatens federala struktur.

6.   I de ärenden som avses i punkt 5 ska medlemsstaterna se till att den behöriga nationella myndigheten behandlar det förslag som lagts fram av deras nationella medlem utan otillbörligt dröjsmål.

Artikel 9

Tillgång till nationella register

De nationella medlemmarna ska ha tillgång till, eller åtminstone kunna inhämta, den information som finns i följande typer av register i deras medlemsstat, i enlighet med nationell rätt:

a)

Kriminalregister.

b)

Register över gripna eller anhållna personer.

c)

Utredningsregister.

d)

DNA-register.

e)

Andra register hos offentliga myndigheter i deras medlemsstat där denna information är nödvändig för fullgörandet av deras uppgifter.

AVSNITT III

Kollegiet

Artikel 10

Kollegiets sammansättning

1.   Kollegiet ska bestå av

a)

alla nationella medlemmar, och

b)

en företrädare för kommissionen när kollegiet utför sina förvaltningsuppgifter.

Den företrädare för kommissionen som utsetts enligt led b i första stycket bör vara densamma som kommissionens företrädare i styrelsen enligt artikel 16.4.

2.   Den administrativa direktören ska delta i kollegiets förvaltningsmöten utan någon rösträtt.

3.   Kollegiet får bjuda in personer vars synpunkter kan vara av intresse som observatörer till sina möten.

4.   Kollegiets medlemmar får, om annat inte följer av bestämmelserna i Eurojusts arbetsordning, biträdas av rådgivare eller experter.

Artikel 11

Eurojusts ordförande och vice ordförande

1.   Kollegiet ska välja en ordförande och två vice ordförande bland de nationella medlemmarna genom omröstning med två tredjedelars majoritet av sina medlemmar. Om två tredjedelars majoritet inte kan uppnås efter den andra valomgången ska vice ordförande väljas med enkel majoritet av medlemmarna i kollegiet, medan två tredjedelars majoritet ska fortsätta att krävas för valet av ordförande.

2.   Ordföranden ska utöva sina uppgifter på kollegiets vägnar. Ordföranden ska

a)

företräda Eurojust,

b)

sammankalla och leda mötena i kollegiet och styrelsen och hålla kollegiet informerat om alla frågor som är av intresse för det,

c)

leda kollegiets arbete och övervaka den administrativa direktörens löpande förvaltning av Eurojust,

d)

utföra övriga uppgifter som anges i Eurojusts arbetsordning.

3.   De vice ordförandena ska utföra de uppgifter som anges i punkt 2 och som ordföranden anförtror dem. De ska ersätta ordföranden om denne får förhinder. Ordföranden och de vice ordförandena ska vid utförandet av sina specifika uppgifter bistås av Eurojusts administrativa personal.

4.   Mandatperioden för ordföranden och de vice ordförandena ska vara fyra år. De får återväljas en gång.

5.   När en nationell medlem väljs till ordförande eller vice ordförande i Eurojust ska hans eller hennes mandatperiod förlängas så att han eller hon kan fullgöra sin uppgift som ordförande eller vice ordförande.

6.   En ordförande eller vice ordförande som inte längre uppfyller villkoren för att utföra sina uppgifter får avsättas av kollegiet på förslag från en tredjedel av dess medlemmar. Beslutet ska antas på grundval av två tredjedelars majoritet av dess medlemmar, exklusive den berörda ordföranden eller vice ordföranden.

7.   När en nationell medlem väljs till ordförande i Eurojust får den berörda medlemsstaten utstationera en annan lämpligt kvalificerad person som ska förstärka den nationella enheten under den förra personens uppdrag som ordförande.

En medlemsstat som beslutar att utstationera en sådan person ska ha rätt att ansöka om ersättning i enlighet med artikel 12.

Artikel 12

Mekanism för ersättning vid val till befattningen som ordförande

1.   Senast den 12 december 2019 ska rådet, på förslag från kommissionen och genom genomförandeakter, fastställa en mekanism för ersättning för tillämpning av artikel 11.7, vilken ska göras tillgänglig för medlemsstater vars nationella medlem valts till ordförande.

2.   Ersättningen ska vara tillgänglig för en medlemsstat om

a)

dess nationella medlem valts till ordförande, och

b)

den begär ersättning från kollegiet och styrker behovet att förstärka sin nationella enhet på grund av ökad arbetsbelastning.

3.   Ersättningen ska uppgå till 50 % av den utsända personens nationella lön. Levnadsomkostnader och andra därtill hörande utgifter ska ersättas på ett sätt som är jämförbart med hur dessa ersätts för unionstjänstemän och andra tjänstemän som är utstationerade i utlandet.

4.   Kostnaden för ersättningsmekanismen ska belasta Eurojusts budget.

Artikel 13

Kollegiets möten

1.   Ordföranden ska sammankalla kollegiets möten.

2.   Kollegiet ska hålla minst ett möte per månad. Dessutom ska det sammanträda på initiativ av ordföranden, på begäran av kommissionen för diskussioner om kollegiets administrativa uppgifter, eller på begäran av minst en tredjedel av sina medlemmar.

3.   Eurojust ska tillsända Europeiska åklagarmyndigheten dagordningarna för kollegiets möten närhelst frågor diskuteras som är av vikt för Europeiska åklagarmyndighetens utförande av sina uppgifter. Eurojust ska bjuda in Europeiska åklagarmyndigheten att delta i sådana möten, dock utan rösträtt.

När Europeiska åklagarmyndigheten bjuds in till ett möte i kollegiet ska Eurojust tillhandahålla den de relevanta möteshandlingarna.

Artikel 14

Kollegiets omröstningsregler

1.   Om inget annat anges, och om samförstånd inte kan uppnås, ska kollegiet fatta beslut med en majoritet av sina medlemmar.

2.   Varje medlem ska ha en röst. Vid frånvaro av en röstberättigad medlem ska den biträdande nationella medlemmen ha rätt att rösta på de villkor som anges i artikel 7.7. Vid frånvaro av den biträdande nationella medlemmen ska assistenten också ha rätt att rösta på de villkor som anges i artikel 7.7.

Artikel 15

Årlig och flerårig programplanering

1.   Senast den 30 november varje år ska kollegiet anta ett programplaneringsdokument som innehåller en årlig och en flerårig programplanering på grundval av ett förslag som tagits fram av den administrativa direktören, med beaktande av kommissionens yttrande. Kollegiet ska vidarebefordra programplaneringsdokumentet till Europaparlamentet, rådet, kommissionen och Europeiska åklagarmyndigheten. Programplaneringsdokumentet ska bli slutgiltigt när unionens allmänna budget slutgiltigt antas och ska vid behov justeras i enlighet därmed.

2.   Det årliga arbetsprogrammet ska innehålla detaljerade mål och förväntade resultat, inklusive resultatindikatorer. Det ska också innehålla en beskrivning av de åtgärder som ska finansieras och en uppgift om de finansiella och mänskliga resurser som tilldelats varje åtgärd, i enlighet med principerna om aktivitetsbaserad budget och förvaltning. Det årliga arbetsprogrammet ska vara förenligt med det fleråriga arbetsprogram som avses i punkt 4. Det ska på ett tydligt sätt ange vilka uppgifter som har lagts till, ändrats eller tagits bort i jämförelse med det föregående räkenskapsåret.

3.   Kollegiet ska ändra det antagna årliga arbetsprogrammet om Eurojust får en ny uppgift. Varje väsentlig ändring av det årliga arbetsprogrammet ska antas enligt samma förfarande som det ursprungliga årliga arbetsprogrammet. Kollegiet får till den administrativa direktören delegera befogenheten att göra icke väsentliga ändringar i det årliga arbetsprogrammet.

4.   Det fleråriga arbetsprogrammet ska ange den övergripande strategiska programplaneringen, inklusive mål, den strategi för samarbete med tredjeländers myndigheter och internationella organisationer som avses i artikel 52, förväntade resultat och resultatindikatorer. Det ska också ange resursplaneringen, vilket inkluderar flerårig budget och personal. Resursplaneringen ska uppdateras årligen. Den strategiska programplaneringen ska uppdateras vid behov och i synnerhet för att beakta resultatet från den utvärdering som avses i artikel 69.

AVSNITT IV

Styrelsen

Artikel 16

Styrelsens funktion

1.   Kollegiet ska biträdas av en styrelse. Styrelsen ska ansvara för att fatta administrativa beslut för att säkerställa att Eurojust fungerar väl. Den ska ha överinseende över den administrativa direktörens nödvändiga förberedande arbete i andra administrativa frågor för kollegiets antagande. Den ska inte delta i Eurojusts operativa uppgifter enligt artiklarna 4 och 5.

2.   Styrelsen får rådfråga kollegiet vid fullgörandet av sina uppgifter.

3.   Styrelsen ska också

a)

se över Eurojusts programplaneringsdokument som avses i artikel 15 på grundval av det förslag som utarbetats av den administrativa direktören och vidarebefordra det till kollegiet för antagande,

b)

anta en bedrägeribekämpningsstrategi för Eurojust som står i proportion till risken för bedrägerier och tar hänsyn till kostnaderna för och fördelarna med de åtgärder som ska genomföras, på grundval av ett förslag som utarbetas av den administrativa direktören,

c)

anta lämpliga genomförandebestämmelser för att ge verkan åt tjänsteföreskrifterna för tjänstemännen vid Europeiska unionen (tjänsteföreskrifterna för tjänstemän) och anställningsvillkoren för övriga anställda i Europeiska unionen (anställningsvillkoren för övriga anställda), som fastställs i rådets förordning (EEG, Euratom, EKSG) nr 259/68 (18) i enlighet med artikel 110 i tjänsteföreskrifterna för tjänstemän,

d)

säkerställa lämplig uppföljning av resultaten och rekommendationerna från de interna eller externa revisionsrapporterna, utvärderingarna och utredningarna, inbegripet de från Europeiska datatillsynsmannen och Olaf,

e)

fatta alla beslut om inrättande och, vid behov, ändring av Eurojusts interna administrativa strukturer,

f)

utan att det påverkar den administrativa direktörens ansvarsområden enligt artikel 18, biträda och ge råd till honom eller henne vid genomförandet av kollegiets beslut i syfte att förstärka tillsynen av den administrativa förvaltningen och budgetförvaltningen,

g)

utföra eventuella ytterligare administrativa uppgifter som den tilldelats av kollegiet i enlighet med artikel 5.4,

h)

anta de finansiella regler som ska tillämpas på Eurojust i enlighet med artikel 64,

i)

i enlighet med artikel 110 i tjänsteföreskrifterna för tjänstemän anta ett beslut på grundval av artikel 2.1 i tjänsteföreskrifterna för tjänstemän och artikel 6 i anställningsvillkoren för övriga anställda om att delegera de relevanta tillsättningsbefogenheterna till den administrativa direktören och fastställa på vilka villkor denna delegering av befogenheter kan upphävas; den administrativa direktören ska ha behörighet att vidaredelegera dessa befogenheter,

j)

se över Eurojusts förslag till årsbudget för antagande av kollegiet,

k)

se över förslaget till årsrapport om Eurojusts verksamhet och vidarebefordra det till kollegiet för antagande,

l)

utse en räkenskapsförare och ett dataskyddsombud som är funktionellt oberoende vid fullgörandet av sina uppgifter.

4.   Styrelsen ska vara sammansatt av ordföranden och de vice ordförandena för Eurojust, en företrädare för kommissionen samt två andra medlemmar av kollegiet vilka utses enligt ett tvåårigt rotationssystem i enlighet med Eurojusts arbetsordning. Den administrativa direktören ska delta i styrelsens möten utan rösträtt.

5.   Eurojusts ordförande ska vara ordförande för styrelsen. Styrelsen ska fatta beslut med en majoritet av sina medlemmar. Varje medlem ska ha en röst. Vid lika röstetal ska Eurojusts ordförande ha utslagsröst.

6.   Mandatperioden för styrelsens medlemmar ska upphöra när deras mandat som nationell medlem, ordförande eller vice ordförande upphör.

7.   Styrelsen ska sammanträda minst en gång i månaden. Dessutom ska den sammanträda på initiativ av dess ordförande eller på begäran av kommissionen eller minst två av dess medlemmar.

8.   Eurojust ska tillsända Europeiska åklagarmyndigheten dagordningen från styrelsens möten och samråda med Europeiska åklagarmyndigheten om behovet att delta i sådana möten. Eurojust ska bjuda in Europeiska åklagarmyndigheten att delta, dock utan rösträtt, närhelst frågor diskuteras som är av vikt för Europeiska åklagarmyndighetens funktion.

När Europeiska åklagarmyndigheten bjuds in till ett möte i styrelsen, ska Eurojust tillhandahålla den de relevanta möteshandlingarna.

AVSNITT V

Den administrativa direktören

Artikel 17

Den administrativa direktörens ställning

1.   Den administrativa direktören ska vara tillfälligt anställd vid Eurojust enligt artikel 2 a i anställningsvillkoren för övriga anställda.

2.   Den administrativa direktören ska utses av kollegiet från en förteckning över kandidater som föreslås av styrelsen efter ett öppet urvalsförfarande i enlighet med Eurojusts arbetsordning. I det anställningsavtal som ingås med den administrativa direktören ska Eurojust företrädas av Eurojusts ordförande.

3.   Mandatperioden för den administrativa direktören ska vara fyra år. I slutet av denna period ska styrelsen utföra en bedömning som beaktar en utvärdering av den administrativa direktörens arbetsinsats.

4.   Kollegiet får, på ett förslag från styrelsen som beaktar den bedömning som avses i punkt 3, förlänga den administrativa direktörens mandatperiod en gång med högst fyra år.

5.   En administrativ direktör vars mandatperiod har förlängts får inte delta i ett annat urvalsförfarande för samma befattning efter den sammanlagda perioden.

6.   Den administrativa direktören ska vara ansvarig inför kollegiet.

7.   Den administrativa direktören får avsättas från sin post endast efter ett beslut från kollegiet på grundval av ett förslag från styrelsen.

Artikel 18

Den administrativa direktörens ansvarsområden

1.   För administrativa ändamål ska Eurojust ledas av sin administrativa direktör.

2.   Utan att det påverkar kollegiets eller styrelsens befogenheter ska den administrativa direktören vara oberoende i sin tjänsteutövning och får varken begära eller ta emot instruktioner från någon regering eller något annat organ.

3.   Den administrativa direktören ska vara Eurojusts rättsliga företrädare.

4.   Den administrativa direktören ska vara ansvarig för genomförandet av de administrativa uppgifter som tilldelats Eurojust, i synnerhet

a)

Eurojusts löpande administration och personalförvaltningen,

b)

att genomföra de beslut som antas av kollegiet och styrelsen,

c)

att utarbeta det programplaneringsdokument som avses i artikel 15 och lägga fram det för styrelsen för översyn,

d)

att genomföra det programplaneringsdokument som avses i artikel 15 och rapportera till styrelsen och kollegiet om dess genomförande,

e)

att utarbeta årsrapporten om Eurojusts verksamhet och lägga fram den för styrelsen för översyn och för kollegiet för antagande,

f)

att utarbeta en handlingsplan för uppföljning av slutsatser i interna eller externa revisionsrapporter, utvärderingar och utredningar, inbegripet de från Europeiska datatillsynsmannen och Olaf, och att två gånger om året rapportera om framstegen till kollegiet, styrelsen, kommissionen och Europeiska datatillsynsmannen,

g)

att utarbeta en bedrägeribekämpningsstrategi för Eurojust och lägga fram den för styrelsen för antagande,

h)

att utarbeta förslag till de finansiella regler som ska tillämpas på Eurojust,

i)

att utarbeta Eurojusts förslag till inkomst- och utgiftsberäkning och genomföra dess budget,

j)

att med avseende på Eurojusts personal utöva de befogenheter som i tjänsteföreskrifterna för tjänstemän tilldelas tillsättningsmyndigheten och i anställningsvillkoren för övriga anställda tilldelas den myndighet som har befogenhet att sluta anställningsavtal för övriga anställda (nedan kallade tillsättningsbefogenheter),

k)

att säkerställa att det administrativa stöd som krävs för att underlätta Eurojusts operativa arbete tillhandahålls,

l)

att säkerställa att ordföranden och de vice ordförandena får stöd i utförandet av sina uppgifter,

m)

att utarbeta ett förslag till årlig budget för Eurojust, vilket ska granskas av styrelsen innan det antas av kollegiet.

KAPITEL III

OPERATIVA ÄRENDEN

Artikel 19

Joursamordningsmekanism

1.   För att fullgöra sina uppgifter i brådskande ärenden ska Eurojust ha en joursamordningsmekanism (nedan kallad joursamordning) som alltid kan ta emot och behandla de begäranden som hänskjuts till byrån. Joursamordningen ska kunna kontaktas 24 timmar om dygnet, sju dagar i veckan.

2.   Joursamordningen ska förlita sig på en joursamordningsrepresentant per medlemsstat som antingen är den nationella medlemmen, den biträdande nationella medlemmen, en assistent som har rätt att ersätta den nationella medlemmen eller en utstationerad nationell expert. Joursamordningsrepresentanten ska kunna ingripa 24 timmar om dygnet, sju dagar i veckan.

3.   Joursamordningsrepresentanterna ska ingripa effektivt och utan dröjsmål när det gäller verkställandet av en begäran i deras medlemsstat.

Artikel 20

Det nationella samordningssystemet för Eurojust

1.   Varje medlemsstat ska utse en eller fler nationella kontaktpersoner för Eurojust.

2.   Alla nationella kontaktpersoner som utses av medlemsstaterna enligt punkt 1 ska ha de kunskaper och den erfarenhet de behöver för att utföra sina uppgifter.

3.   Varje medlemsstat ska inrätta ett nationellt samordningssystem för Eurojust för att säkerställa samordning av det arbete som utförs av

a)

de nationella kontaktpersonerna för Eurojust,

b)

nationella kontaktpersoner för frågor rörande Europeiska åklagarmyndighetens behörighet,

c)

den nationella kontaktpersonen för Eurojust avseende terrorism,

d

den nationella kontaktpersonen för det europeiska straffrättsliga nätverket och upp till tre andra kontaktpunkter för det europeiska rättsliga nätverket,

e)

nationella medlemmar av eller kontaktpunkter för nätverket för gemensamma utredningsgrupper, och nationella medlemmar av eller kontaktpunkter för de nätverk som inrättats genom beslut 2002/494/RIF, 2007/845/RIF och 2008/852/RIF,

f)

varje annan relevant rättslig myndighet, i förekommande fall.

4.   De personer som avses i punkterna 1 och 3 ska behålla sin ställning och status enligt nationell rätt, utan att detta har en betydande påverkan på utförandet av deras uppgifter enligt denna förordning.

5.   De nationella kontaktpersonerna för Eurojust ska vara ansvariga för att det nationella samordningssystemet för Eurojust fungerar. Om flera kontaktpersoner för Eurojust utses ska en av dem vara ansvarig för att det nationella samordningssystemet för Eurojust fungerar.

6.   De nationella medlemmarna ska informeras om alla möten i det nationella samordningssystemet för Eurojust där frågor som rör det operativa arbetet diskuteras. De nationella medlemmarna får vid behov närvara vid sådana möten.

7.   Varje nationellt samordningssystem för Eurojust ska underlätta fullgörandet av Eurojusts uppgifter i den berörda medlemsstaten, särskilt genom att

a)

säkerställa att det ärendehanteringssystem som avses i artikel 23 får information som avser den berörda medlemsstaten på ett effektivt och tillförlitligt sätt,

b)

hjälpa till att fastställa om en begäran bör behandlas med bistånd av Eurojust eller av det europeiska rättsliga nätverket,

c)

hjälpa den nationella medlemmen att identifiera relevanta myndigheter för verkställandet av ansökningar och beslut om rättslig hjälp, inklusive ansökningar och beslut som bygger på instrument som ger verkan åt principen om ömsesidigt erkännande,

d)

upprätthålla nära förbindelser med den nationella Europolenheten, andra kontaktpunkter för det europeiska rättsliga nätverket och andra relevanta behöriga nationella myndigheter.

8.   För att målen i punkt 7 ska uppnås ska de personer som avses i punkterna 1 och 3 a, b och c – och får de personer eller myndigheter som avses i punkt 3 d och e – anslutas till ärendehanteringssystemet i enlighet med denna artikel och med artiklarna 23, 24, 25 och 34. Kostnaden för anslutningen till ärendehanteringssystemet ska belasta unionens allmänna budget.

9.   Upprättandet av det nationella samordningssystemet för Eurojust och utseendet av nationella kontaktpunkter ska inte förhindra direktkontakt mellan den nationella medlemmen och de behöriga myndigheterna i dennes medlemsstat.

Artikel 21

Utbyte av information med medlemsstater och mellan nationella medlemmar

1.   De behöriga myndigheterna i medlemsstaterna ska med Eurojust utbyta all information som är nödvändig för att Eurojust ska kunna fullgöra sina uppgifter enligt artiklarna 2 och 4 i enlighet med de tillämpliga dataskyddsreglerna. Detta ska minst omfatta den information som avses i punkterna 4, 5 och 6 i den här artikeln.

2.   Överföring av information till Eurojust ska tolkas som en begäran om hjälp av Eurojust i det aktuella fallet endast om detta specifikt anges av en behörig myndighet.

3.   De nationella medlemmarna ska utbyta all information som är nödvändig för att Eurojust ska kunna fullgöra sina uppgifter, utan föregående tillstånd, sinsemellan eller med de behöriga myndigheterna i deras medlemsstat. I synnerhet ska de behöriga nationella myndigheterna omedelbart informera sina nationella medlemmar om ett ärende som berör dem.

4.   De behöriga nationella myndigheterna ska informera sina nationella medlemmar om inrättandet av gemensamma utredningsgrupper och om resultaten av sådana gruppers arbete.

5.   De behöriga nationella myndigheterna ska informera sina nationella medlemmar utan onödigt dröjsmål om ärenden som berör minst tre medlemsstater och för vilka ansökningar eller beslut om rättslig hjälp, inklusive ansökningar och beslut på grundval av instrument som ger verkan åt principen om ömsesidigt erkännande, har översänts till minst två medlemsstater, och när ett eller flera av följande är tillämpligt:

a)

Den aktuella överträdelsen i den begärande eller utfärdande staten kan bestraffas med fängelse eller annan frihetsberövande åtgärd, där maximistraffet är minst fem eller sex år, vilket ska beslutas av den berörda medlemsstaten, och överträdelsen finns upptagen i följande förteckning:

i)

Människohandel.

ii)

Sexuella övergrepp eller sexuell exploatering, inbegripet barnpornografi och kontaktsökning med barn i sexuellt syfte.

iii)

Olaglig narkotikahandel.

iv)

Otillåten handel med skjutvapen, delar av och komponenter till dessa samt ammunition och sprängämnen.

v)

Korruption.

vi)

Brott mot unionens finansiella intressen.

vii)

Förfalskning av pengar eller betalningsmedel.

viii)

Penningtvätt.

ix)

It-brott.

b)

Det finns faktiska indikationer på att en kriminell organisation är inblandad.

c)

Det finns indikationer på att fallet kan ha en allvarlig gränsöverskridande dimension eller återverkningar på unionsnivå eller att det kan påverka andra medlemsstater än de direkt berörda.

6.   De behöriga nationella myndigheterna ska informera sina nationella medlemmar om

a)

ärenden där behörighetskonflikter har uppstått eller sannolikt kommer att uppstå,

b)

kontrollerade leveranser som berör minst tre länder, varav minst två är medlemsstater,

c)

upprepade svårigheter eller avslag beträffande verkställandet av ansökningar eller beslut om rättslig hjälp, inklusive ansökningar och beslut som bygger på instrument som ger verkan åt principen om ömsesidigt erkännande.

7.   De behöriga nationella myndigheterna ska inte vara skyldiga att tillhandahålla information i ett särskilt ärende om detta skulle skada väsentliga nationella säkerhetsintressen, eller äventyra enskilda personers säkerhet.

8.   Denna artikel påverkar inte villkor som fastställs i bilaterala eller multilaterala avtal eller överenskommelser mellan medlemsstater och tredjeländer, inbegripet eventuella villkor som ställs av tredjeländer rörande användningen av information när den har tillhandahållits.

9.   Denna artikel påverkar inte andra skyldigheter angående överföring av information till Eurojust, inbegripet rådets beslut 2005/671/RIF (19).

10.   Den information som avses i denna artikel ska tillhandahållas på ett strukturerat sätt som fastställs av Eurojust. Den behöriga nationella myndigheten ska inte vara skyldig att tillhandahålla sådan information om den redan har överförts till Eurojust i enlighet med andra bestämmelser i denna förordning.

Artikel 22

Information som Eurojust tillhandahåller behöriga nationella myndigheter

1.   Eurojust ska utan otillbörligt dröjsmål tillhandahålla behöriga nationella myndigheter information om resultaten av informationsbehandlingen, inbegripet förekomsten av kopplingar till ärenden som redan finns lagrade i ärendehanteringssystemet. Denna information får innehålla personuppgifter.

2.   När en behörig nationell myndighet begär att Eurojust ska tillhandahålla den information inom en viss tidsram, ska Eurojust översända informationen inom den tidsramen.

Artikel 23

Ärendehanteringssystem, index och tillfälliga arbetsregister

1.   Eurojust ska inrätta ett ärendehanteringssystem som består av tillfälliga arbetsregister och ett index som innehåller sådana personuppgifter som avses i bilaga II och uppgifter utan koppling till person.

2.   Syftet med ärendehanteringssystemet ska vara att

a)

stödja handläggningen och samordningen av utredningar och lagföring i vilka Eurojust ger bistånd, särskilt genom korsvis hänvisning av information,

b)

underlätta tillgången till information om pågående utredningar och lagföring,

c)

underlätta kontrollen av lagenligheten i Eurojusts behandling av personuppgifter och dess efterlevnad av de tillämpliga dataskyddsreglerna.

3.   Ärendehanteringssystemet får kopplas till den säkra telekommunikationsförbindelse som avses i artikel 9 i rådets beslut 2008/976/RIF (20).

4.   Indexet ska innehålla hänvisningar till tillfälliga arbetsregister som behandlas inom Eurojust och får inte innehålla några andra personuppgifter än de som avses i punkterna 1 a–i, k och m samt 2 i bilaga II.

5.   Vid fullgörandet av sina uppgifter får de nationella medlemmarna i ett tillfälligt arbetsregister behandla uppgifter som rör de enskilda ärenden som de arbetar med. De ska ge dataskyddsombudet tillgång till det tillfälliga arbetsregistret. Dataskyddsombudet ska av den berörda nationella medlemmen informeras om öppnandet av varje nytt tillfälligt arbetsregister som innehåller personuppgifter.

6.   När det gäller behandlingen av operativa personuppgifter får Eurojust inte upprätta något annat automatiskt dataregister än ärendehanteringssystemet. Den nationella medlemmen får dock tillfälligt lagra och analysera personuppgifter i syfte att fastställa huruvida dessa uppgifter är relevanta för Eurojusts arbetsuppgifter och kan föras in i ärendehanteringssystemet. Sådana uppgifter får bevaras i upp till tre månader.

Artikel 24

Tillfälliga arbetsregisters och indexets funktion

1.   Ett tillfälligt arbetsregister ska öppnas av den berörda nationella medlemmen för varje ärende i vilket information överförs till honom eller henne i den mån detta sker i enlighet med denna förordning eller med andra tillämpliga rättsliga instrument. Den nationella medlemmen ska vara ansvarig för hanteringen av de tillfälliga arbetsregister som denne har öppnat.

2.   Den nationella medlem som har öppnat ett tillfälligt arbetsregister ska besluta, i varje enskilt ärende, huruvida tillgången till det tillfälliga arbetsregistret ska vara begränsad eller tillgång till hela eller delar av registret ska ges till andra nationella medlemmar, till behörig Eurojustpersonal eller till en annan person som arbetar på uppdrag av Eurojust och som erhållit det nödvändiga tillståndet från den administrativa direktören.

3.   Den nationella medlem som har öppnat ett tillfälligt arbetsregister ska också besluta om vilken information avseende det tillfälliga arbetsregistret som i enlighet med artikel 23.4 ska föras in i indexet.

Artikel 25

Tillgång till ärendehanteringssystemet på nationell nivå

1.   De personer som avses i artikel 20.3 får i den mån de är anslutna till ärendehanteringssystemet endast ha tillgång till

a)

indexet, såvida inte den nationella medlem som beslutade att föra in uppgifterna i indexet uttryckligen vägrat sådan tillgång,

b)

tillfälliga arbetsregister som öppnas av den nationella medlemmen från deras medlemsstat,

c)

tillfälliga arbetsregister som öppnas av nationella medlemmar från andra medlemsstater och till vilka den nationella medlemmen från deras medlemsstater har getts tillgång, såvida inte den nationella medlem som öppnat det tillfälliga arbetsregistret uttryckligen vägrat sådan tillgång.

2.   Den nationella medlemmen ska, inom de begränsningar som fastställs i punkt 1 i denna artikel, besluta om i vilken utsträckning tillgång till de tillfälliga arbetsregistren i hans eller hennes medlemsstat ska beviljas de personer som avses i artikel 20.3, i den mån de är anslutna till ärendehanteringssystemet.

3.   Varje medlemsstat ska besluta, efter samråd med sin nationella medlem, om i vilken utsträckning tillgång till indexet i den medlemsstaten ska beviljas de personer som avses i artikel 20.3, i den mån de är anslutna till ärendehanteringssystemet. Medlemsstaterna ska underrätta Eurojust och kommissionen om sitt beslut avseende genomförandet av denna punkt. Kommissionen ska informera de övriga medlemsstaterna om detta.

4.   Personer som har getts tillgång i enlighet med punkt 2 ska åtminstone ha tillgång till indexet i den utsträckning det är nödvändigt för att få tillgång till de tillfälliga arbetsregister till vilka de har beviljats tillgång.

KAPITEL IV

INFORMATIONSBEHANDLING

Artikel 26

Eurojusts behandling av personuppgifter

1.   Denna förordning och artikel 3 och kapitel IX i förordning (EU) 2018/1725 ska tillämpas på Eurojusts behandling av operativa personuppgifter. Förordning (EU) 2018/1725 ska tillämpas på Eurojusts behandling av administrativa personuppgifter, med undantag av kapitel IX i den förordningen.

2.   Med hänvisningar till ”tillämpliga dataskyddsregler” i denna förordning avses de dataskyddsbestämmelser som anges i denna förordning och i förordning (EU) 2018/1725.

3.   De dataskyddsregler om behandling av operativa personuppgifter som denna förordning innehåller ska betraktas som särskilda dataskyddsregler i förhållande till de allmänna regler som fastställs i artikel 3 och kapitel IX i förordning (EU) 2018/1725.

4.   Eurojust ska fastställa tidsgränserna för lagring av administrativa personuppgifter i de dataskyddsbestämmelser som ingår i dess arbetsordning.

Artikel 27

Behandling av operativa personuppgifter

1.   I den utsträckning det är nödvändigt för att utföra sina uppgifter får Eurojust, inom ramen för sin behörighet och i syfte att utföra sina operativa uppgifter, automatiserat eller i strukturerade manuella register i enlighet med denna förordning behandla enbart de operativa personuppgifter som förtecknas i punkt 1 i bilaga II, om personer som enligt de berörda medlemsstaternas nationella rätt är personer avseende vilka det finns tungt vägande skäl att anta att de har begått eller är på väg att begå ett brott för vilket Eurojust är behörigt eller som har dömts för ett sådant brott.

2.   Eurojust får endast behandla de operativa personuppgifter som anges i punkt 2 i bilaga II för personer som enligt de berörda medlemsstaternas nationella rätt betraktas som brottsoffer eller andra som berörs av ett brott, såsom personer som kan komma att kallas att vittna i en brottsutredning eller vid lagföring avseende en eller fler av de brottstyper och de brott som avses i artikel 3, personer som kan lämna information om brott eller med kontakter med eller band till en person som avses i punkt 1. Behandling av sådana operativa personuppgifter får ske endast om det är nödvändigt för fullgörandet av Eurojusts uppgifter, inom ramen för dess behörighet och i syfte att utföra dess operativa uppgifter.

3.   I undantagsfall får Eurojust också, under en begränsad tid som inte överstiger den tid som krävs för att slutföra det ärende för vilket uppgifterna behandlas, behandla andra operativa personuppgifter än de som avses i bilaga II om omständigheter kring ett brott där sådana uppgifter är av omedelbar betydelse för och ingår i pågående utredningar som Eurojust samordnar eller hjälper till att samordna, och när behandlingen av dem är nödvändig för de ändamål som anges i punkt 1. Det dataskyddsombud som avses i artikel 36 ska omgående underrättas när sådana operativa personuppgifter behandlas och ska underrättas om de specifika omständigheter som motiverar behovet att behandla dessa operativa personuppgifter. Om sådana andra uppgifter avser vittnen eller brottsoffer i den mening som avses i punkt 2 i den här artikeln ska beslutet att behandla dem fattas gemensamt av de berörda nationella medlemmarna.

4.   Eurojust får behandla särskilda kategorier av operativa personuppgifter i enlighet med artikel 76 i förordning (EU) 2018/1725. Sådana uppgifter får inte behandlas i det index som avses i artikel 23.4 i den här förordningen. Om sådana andra uppgifter avser vittnen eller brottsoffer i den mening som avses i punkt 2 i den här artikeln ska beslutet att behandla dem fattas av de berörda nationella medlemmarna.

Artikel 28

Behandling under Eurojusts eller personuppgiftsbiträdes överinseende

Personuppgiftsbiträdet och alla personer som agerar under Eurojusts eller personuppgiftsbiträdets överinseende och har tillgång till operativa personuppgifter får behandla dessa endast på instruktion från Eurojust, såvida vederbörande inte är skyldig att göra det enligt unionsrätten eller lagstiftningen i en medlemsstat.

Artikel 29

Tidsgränser för lagring av operativa personuppgifter

1.   Operativa personuppgifter som Eurojust behandlar får endast lagras så länge som det är nödvändigt för att den ska kunna utföra sina uppgifter. I synnerhet får de operativa personuppgifter som avses i artikel 27, utan att det påverkar punkt 3 i den här artikeln, inte lagras efter det först tillämpliga datumet bland följande datum:

a)

Det datum då preskription inträdde i alla de medlemsstater som berörs av utredningen och lagföringen.

b)

Det datum då Eurojust underrättas om att personen frikänts och det rättsliga avgörandet har vunnit laga kraft, i vilket fall den berörda medlemsstaten utan dröjsmål ska underrätta Eurojust.

c)

Tre år efter det datum då det rättsliga avgörandet från den sista medlemsstat som berörs av utredningen eller lagföringen vann laga kraft.

d)

Det datum då Eurojust och de berörda medlemsstaterna gemensamt konstaterade eller beslutade att det inte längre var nödvändigt för Eurojust att samordna utredningen och lagföringen, såvida det inte finns en skyldighet att förse Eurojust med denna information i enlighet med artikel 21.5 eller 21.6.

e)

Tre år efter det datum då operativa personuppgifter överfördes i enlighet med artikel 21.5 eller 21.6.

2.   Efterlevnaden av de tidsgränser för lagring av personuppgifter som avses i punkt 1 i denna artikel ska kontrolleras fortlöpande med lämplig automatiserad behandling från Eurojusts sida, i synnerhet från den tidpunkt då ärendet avslutas av Eurojust. Eurojust ska även vart tredje år efter personuppgifternas registrering kontrollera om det är nödvändigt att lagra dem; resultaten av sådana kontroller ska tillämpas på ärendet i dess helhet. Om operativa personuppgifter som avses i artikel 27.4 lagras under mer än fem år ska Europeiska datatillsynsmannen underrättas.

3.   Innan en av de tidsgränser för lagring av personuppgifter som avses i punkt 1 nås ska Eurojust kontrollera om det är nödvändigt att fortsätta att lagra de operativa personuppgifterna, dvs. om och hur länge detta är nödvändigt, för att byrån ska kunna utföra sina uppgifter. Byrån får besluta att undantagsvis lagra dessa personuppgifter till nästa kontroll. Skälen till fortsatt lagring ska vara berättigade och registreras. Om inget beslut fattas om fortsatt lagring av operativa personuppgifter vid tidpunkten för kontrollen ska uppgifterna i fråga raderas automatiskt.

4.   Om operativa personuppgifter i enlighet med punkt 3 har lagrats efter de tidsgränser för lagring som avses i punkt 1 ska Europeiska datatillsynsmannen även vart tredje år göra en kontroll av om det är nödvändigt att lagra dem.

5.   När tidsgränsen för att lagra den sista automatiserade uppgiften i akten har nåtts, ska samtliga handlingar i akten förstöras, med undantag av eventuella originalhandlingar som Eurojust har erhållit från nationella myndigheter och som ska återsändas till den som tillhandahållit dem.

6.   Om Eurojust har samordnat en utredning eller lagföring ska de berörda nationella medlemmarna underrätta varandra närhelst de får information om att ärendet har avskrivits eller att alla rättsliga avgöranden i ärendet har blivit slutligt fastställda.

7.   Punkt 5 ska inte tillämpas om

a)

det skulle skada en skyddsbehövande registrerads intressen. I sådana fall får de operativa personuppgifterna användas endast med den registrerades uttryckliga, skriftliga samtycke,

b)

den registrerade bestrider de operativa personuppgifternas korrekthet; i sådana fall ska punkt 5 inte tillämpas under en period som ger medlemsstaterna eller Eurojust möjlighet att vid behov kontrollera uppgifternas korrekthet,

c)

de operativa personuppgifterna ska sparas som bevisning eller för att fastslå, göra gällande eller försvara rättsliga anspråk,

d)

den registrerade motsätter sig radering av de operativa personuppgifterna och i stället begär att användningen ska begränsas, eller

e)

de operativa personuppgifterna fortsatt behövs för arkivändamål av allmänintresse, eller för statistiska ändamål.

Artikel 30

Säkerhet i samband med operativa personuppgifter

Eurojust och medlemsstaterna ska fastställa mekanismer för att säkerställa att de säkerhetsåtgärder som avses i artikel 91 i förordning (EU) 2018/1725 beaktas mellan olika informationssystem.

Artikel 31

Den registrerades rätt till tillgång

1.   Varje registrerad som vill utöva den rätt till tillgång som avses i artikel 80 i förordning (EU) 2018/1725 till operativa personuppgifter som rör den registrerade och som har behandlats av Eurojust får lämna in en begäran till Eurojust eller till den nationella tillsynsmyndigheten i den medlemsstat som den registrerade väljer. Myndigheten i fråga ska hänskjuta begäran till Eurojust utan dröjsmål och under alla omständigheter inom en månad från dess mottagande.

2.   Eurojust ska svara på begäran utan onödigt dröjsmål och under alla omständigheter inom tre månader från det att Eurojust mottog begäran.

3.   Eurojust ska samråda med de behöriga myndigheterna i de berörda medlemsstaterna om beslut som ska fattas med anledning av en begäran. Beslutet om tillgång till uppgifter får endast fattas av Eurojust i nära samarbete med de medlemsstater som direkt berörs av överföringen av sådana uppgifter. Om en medlemsstat invänder mot Eurojusts föreslagna beslut ska den meddela Eurojust om skälen till invändningen. Eurojust ska rätta sig efter sådana invändningar. De berörda nationella medlemmarna ska därefter underrätta de behöriga myndigheterna om innehållet i Eurojusts beslut.

4.   De berörda nationella medlemmarna ska på Eurojusts vägnar behandla och besluta om begäran. Om de berörda nationella medlemmarna inte är eniga ska de hänskjuta ärendet till kollegiet, som ska fatta sitt beslut om begäran med två tredjedelars majoritet.

Artikel 32

Begränsningar av rätten till tillgång

I de fall som avses i artikel 81 i förordning (EU) 2018/1725 ska Eurojust informera den registrerade efter att i enlighet med artikel 31.3 i den här förordningen ha samrått med de behöriga myndigheterna i de berörda medlemsstaterna.

Artikel 33

Rätt till begränsning av behandling

Om behandlingen av operativa personuppgifter har begränsats enligt artikel 82.3 i förordning (EU) 2018/1725 får sådana operativa personuppgifter, med förbehåll för tillämpningen av de undantag som anges i artikel 29.7 i den här förordningen, behandlas endast för att skydda rättigheterna för den registrerade eller för någon annan fysisk eller juridisk person som är part i de förfaranden vari Eurojust är part, eller för de ändamål som anges i artikel 82.3 i förordning (EU) 2018/1725.

Artikel 34

Tillåten tillgång till operativa personuppgifter inom Eurojust

Endast nationella medlemmar, deras biträdande nationella medlemmar eller assistenter, behöriga utstationerade nationella experter, de personer som avses i artikel 20.3 i den mån de är anslutna till ärendehanteringssystemet samt behörig personal vid Eurojust får, för att utföra Eurojusts uppgifter, ha tillgång till operativa personuppgifter som behandlas av Eurojust inom de begränsningar som föreskrivs i artiklarna 23, 24 och 25.

Artikel 35

Register över kategorier av behandling

1.   Eurojust ska föra ett register över alla kategorier av behandling som byrån ansvarar för. Detta register ska innehålla samtliga följande uppgifter:

a)

Eurojusts kontaktuppgifter samt dataskyddsombudets namn och kontaktuppgifter.

b)

Ändamålen med behandlingen.

c)

En beskrivning av kategorierna av registrerade och av kategorierna av operativa personuppgifter.

d)

De kategorier av mottagare som de operativa personuppgifterna har lämnats eller ska lämnas ut till, inbegripet mottagare i tredjeländer eller internationella organisationer.

e)

I tillämpliga fall, överföringar av operativa personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen.

f)

Om möjligt, de förutsedda tidsgränserna för radering av de olika kategorierna av uppgifter.

g)

Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 91 i förordning (EU) 2018/1725.

2.   Det register som avses i punkt 1 ska upprättas skriftligen, inbegripet i elektronisk form.

3.   Eurojust ska på begäran göra registret tillgängligt för Europeiska datatillsynsmannen.

Artikel 36

Utseende av dataskyddsombudet

1.   Styrelsen ska utse ett dataskyddsombud. Dataskyddsombudet ska vara en medlem av personalen som särskilt utnämnts till detta. Vid utförandet av sina uppgifter ska dataskyddsombudet agera oberoende och får inte ta mot några instruktioner.

2.   Dataskyddsombudet ska väljas på grundval av sina yrkesmässiga kvalifikationer och i synnerhet sin sakkunskap om lagstiftning och praxis i fråga om dataskydd samt förmågan att fullgöra sina uppgifter enligt denna förordning, särskilt de som avses i artikel 38.

3.   Valet av dataskyddsombudet ska inte kunna leda till en intressekonflikt mellan hans eller hennes uppdrag som dataskyddsombud och andra officiella uppdrag som han eller hon har, särskilt vad avser tillämpningen av denna förordning.

4.   Dataskyddsombudet ska utses för en period på fyra år och får återutses för totalt högst åtta år. Dataskyddsombudet får av styrelsen avsättas från sitt uppdrag endast med Europeiska datatillsynsmannens samtycke, om dataskyddsombudet inte längre uppfyller de krav som ställs för att han eller hon ska kunna utföra sina uppgifter.

5.   Eurojust ska offentliggöra dataskyddsombudets kontaktuppgifter och förmedla dem till Europeiska datatillsynsmannen.

Artikel 37

Dataskyddsombudets ställning

1.   Eurojust ska säkerställa att dataskyddsombudet på ett korrekt sätt och i god tid deltar i alla frågor som rör skyddet av personuppgifter.

2.   Eurojust ska stödja dataskyddsombudet i utförandet av de uppgifter som avses i artikel 38, genom att tillhandahålla de resurser och den personal som krävs för att fullgöra dessa uppgifter och genom att ge tillgång till personuppgifter och behandlingsförfaranden, samt i upprätthållandet av dennes sakkunskap.

3.   Eurojust ska säkerställa att dataskyddsombudet inte tar emot instruktioner gällande utförandet av sina uppgifter. Dataskyddsombudet får inte avsättas av styrelsen eller bli föremål för sanktioner från dess sida för att ha utfört sina uppgifter. Dataskyddsombudet ska rapportera direkt till kollegiet i fråga om operativa personuppgifter och till styrelsen i fråga om administrativa personuppgifter.

4.   Registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av deras personuppgifter och utövandet av deras rättigheter enligt denna förordning och enligt förordning (EU) 2018/1725.

5.   Styrelsen ska anta genomföranderegler avseende dataskyddsombudet. Dessa genomföranderegler ska särskilt avse urvalsförfarandet för posten som dataskyddsombud, hans eller hennes avsättning, uppgifter och befogenheter samt garantier för dataskyddsombudets oberoende.

6.   Dataskyddsombudet och hans eller hennes personal ska vara bundna av tystnadsplikt i enlighet med artikel 72.

7.   Dataskyddsombudet får rådfrågas av den personuppgiftsansvariga och personuppgiftsbiträdet, av den berörda personalkommittén och av enskilda personer, i alla frågor som rör tolkningen eller tillämpningen av denna förordning och förordning (EU) 2018/1725 utan att dessa behöver gå den officiella vägen. Ingen ska lida förfång för att ha gjort dataskyddsombudet uppmärksamt på att en händelse som påstås utgöra en överträdelse av den här förordningen eller förordning (EU) 2018/1725 har ägt rum.

8.   Efter det att dataskyddsombudet utsetts ska Eurojust registrera det hos Europeiska datatillsynsmannen.

Artikel 38

Dataskyddsombudets uppgifter

1.   Dataskyddsombudet ska särskilt ha följande uppgifter när det gäller behandling av personuppgifter:

a)

Att på ett oberoende sätt säkerställa Eurojusts efterlevnad av dataskyddsbestämmelserna i denna förordning och förordning (EU) 2018/1725 samt relevanta dataskyddsbestämmelser i Eurojusts arbetsordning; detta inbegriper kontroll av efterlevnaden av denna förordning, förordning (EU) 2018/1725 och andra dataskyddsbestämmelser på unionsnivå eller nationell nivå och av Eurojusts strategi för skydd av personuppgifter, inbegripet ansvarstilldelning, information till och utbildning av personal som deltar i behandling samt tillhörande granskning.

b)

Att informera och ge råd till Eurojust och de anställda som behandlar personuppgifter om deras skyldigheter enligt denna förordning, förordning (EU) 2018/1725 och andra dataskyddsbestämmelser på unionsnivå eller nationell nivå.

c)

Att på begäran ge råd vad gäller konsekvensbedömningen avseende dataskydd och kontrollera genomförandet av den enligt artikel 89 i förordning (EU) 2018/1725.

d)

Att säkerställa att ett register över överföring och mottagande av personuppgifter förs i enlighet med de bestämmelser som ska fastställas i Eurojusts arbetsordning.

e)

Att samarbeta med de anställda vid Eurojust som ansvarar för förfaranden, utbildning och rådgivning avseende uppgiftsbehandling.

f)

Att samarbeta med Europeiska datatillsynsmannen.

g)

Att säkerställa att de registrerade informeras om sina rättigheter enligt den här förordningen och förordning (EU) 2018/1725.

h)

Att fungera som kontaktpunkt för Europeiska datatillsynsmannen i frågor som rör behandling, inbegripet det förhandssamråd som avses i artikel 90 i förordning (EU) 2018/1725, och om lämpligt samråda i andra frågor.

i)

Att på begäran ge råd vad gäller behovet av en anmälan av eller ett meddelande om personuppgiftsincidenter i enlighet med artiklarna 92 och 93 i förordning (EU) 2018/1725.

j)

Att utarbeta en årlig rapport och överlämna den till styrelsen, kollegiet och Europeiska datatillsynsmannen.

2.   Dataskyddsombudet ska utföra de uppgifter som föreskrivs i förordning (EU) 2018/1725 när det gäller administrativa personuppgifter.

3.   Dataskyddsombudet och den personal vid Eurojust som bistår dataskyddsombudet i arbetet ska ha tillgång till de personuppgifter som Eurojust behandlar och till dess lokaler i den utsträckning som krävs för att de ska kunna utföra sina uppgifter.

4.   Om dataskyddsombudet anser att de bestämmelser i förordning (EU) 2018/1725 som rör behandlingen av administrativa personuppgifter eller de bestämmelser i den här förordningen eller artikel 3 och kapitel IX i förordning (EU) 2018/1725 som rör behandling av operativa personuppgifter inte har följts, ska dataskyddsombudet informera styrelsen och uppmana denna att inom en angiven tidsfrist åtgärda den bristande efterlevnaden. Om styrelsen inte åtgärdar den bristande efterlevnaden inom den angivna tidsfristen ska dataskyddsombudet hänskjuta frågan till Europeiska datatillsynsmannen.

Artikel 39

Anmälan av en personuppgiftsincident till berörda myndigheter

1.   I händelse av en personuppgiftsincident ska Eurojust utan otillbörligt dröjsmål anmäla denna till de behöriga myndigheterna i de berörda medlemsstaterna.

2.   Den anmälan som avses i punkt 1 ska minst innehålla

a)

en beskrivning av personuppgiftsincidentens art, inbegripet, om så är möjligt och lämpligt, kategorierna av och antalet registrerade personer som berörs samt kategorierna av och antalet uppgiftsposter som berörs,

b)

en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten,

c)

en beskrivning av de åtgärder som Eurojust föreslagit eller vidtagit för att åtgärda personuppgiftsincidenten,

d)

vid behov rekommenderade åtgärder för att begränsa de möjliga negativa följderna av personuppgiftsincidenten.

Artikel 40

Europeiska datatillsynsmannens tillsyn

1.   Europeiska datatillsynsmannen ska ha till uppgift att övervaka och säkerställa tillämpningen av de bestämmelser i denna förordning och förordning (EU) 2018/1725 som rör skyddet av fysiska personers grundläggande fri- och rättigheter när Eurojust behandlar operativa personuppgifter, och att ge råd till Eurojust och de registrerade i alla frågor som rör behandling av operativa personuppgifter. För detta ändamål ska Europeiska datatillsynsmannen fullgöra de uppgifter som anges i punkt 2 i denna artikel, utöva de befogenheter han eller hon tilldelas enligt punkt 3 i denna artikel och samarbeta med nationella tillsynsmyndigheter i enlighet med artikel 42.

2.   Europeiska datatillsynsmannen ska ha följande uppgifter enligt denna förordning och förordning (EU) 2018/1725:

a)

Höra och utreda klagomål och informera den registrerade om resultatet inom rimlig tid.

b)

Genomföra utredningar, antingen på eget initiativ eller på grundval av ett klagomål, och informera de registrerade om resultatet inom rimlig tid.

c)

Övervaka och säkerställa att de bestämmelser i denna förordning och förordning (EU) 2018/1725 som rör skyddet av fysiska personer när Eurojust behandlar operativa personuppgifter, tillämpas.

d)

Bistå Eurojust med råd, antingen på eget initiativ eller efter ett samråd, i alla frågor som rör behandling av operativa personuppgifter, särskilt innan Eurojust utarbetar interna regler om skydd av grundläggande fri- och rättigheter i samband med behandlingen av operativa personuppgifter.

3.   Europeiska datatillsynsmannen får enligt denna förordning och förordning (EU) 2018/1725 samt med beaktande av konsekvenserna för utredningar och lagföring i medlemsstaterna

a)

ge registrerade råd när de utövar sina rättigheter,

b)

hänskjuta ett ärende till Eurojust vid en påstådd överträdelse av bestämmelserna om behandling av operativa personuppgifter och vid behov lämna förslag om hur överträdelsen kan åtgärdas och hur skyddet för de registrerade kan förbättras,

c)

samråda med Eurojust när begäranden om att utöva vissa rättigheter med avseende på operativa personuppgifter har vägrats i strid med artikel 31, 32 eller 33 i denna förordning eller artiklarna 77–82 eller 84 i förordning (EU) 2018/1725,

d)

varna Eurojust,

e)

beordra Eurojust att rätta, begränsa eller radera operativa personuppgifter som har behandlats av Eurojust på ett sätt som står i strid med bestämmelserna om behandling av operativa personuppgifter, och att underrätta den tredje man till vilken uppgifterna har lämnats ut om sådana åtgärder, förutsatt att detta inte stör de uppgifter för Eurojust som anges i artikel 2,

f)

väcka talan vid Europeiska unionens domstol (nedan kallad domstolen) på de villkor som fastställs i EUF-fördraget,

g)

intervenera i ärenden som har anhängiggjorts vid domstolen.

4.   Europeiska datatillsynsmannen ska ha tillgång till de operativa personuppgifter som Eurojust behandlar och till dess lokaler i den utsträckning som krävs för att han eller hon ska kunna utföra sina uppgifter.

5.   Europeiska datatillsynsmannen ska upprätta en årlig rapport om sin tillsyn med avseende på Eurojust. Denna rapport ska utgöra en del av Europeiska datatillsynsmannens årliga rapport enligt artikel 60 i förordning (EU) 2018/1725. De nationella tillsynsmyndigheterna ska anmodas att lämna synpunkter om denna rapport innan den tas upp som en del av Europeiska datatillsynsmannens årliga rapport enligt artikel 60 i förordning (EU) 2018/1725. Europeiska datatillsynsmannen ska ta största möjliga hänsyn till de nationella tillsynsmyndigheternas synpunkter och ska under alla omständigheter hänvisa till dem i den årliga rapporten.

6.   Eurojust ska på Europeiska datatillsynsmannens begäran samarbeta med denne vid fullgörandet av hans eller hennes uppgifter.

Artikel 41

Europeiska datatillsynsmannens tystnadsplikt

1.   Både under och efter sin ämbetstid ska Europeiska datatillsynsmannen och dennes personal omfattas av tystnadsplikt vad avser konfidentiell information som har kommit till deras kännedom under tjänsteutövningen.

2.   Europiska datatillsynsmannen ska vid utövandet av sin tillsyn ta största möjliga hänsyn till sekretesskraven i samband med rättsliga utredningar och straffrättsliga förfaranden, i enlighet med unionsrätten eller medlemsstaternas lagstiftning.

Artikel 42

Samarbete mellan Europeiska datatillsynsmannen och nationella tillsynsmyndigheter

1.   Europeiska datatillsynsmannen ska agera i nära samarbete med nationella tillsynsmyndigheter med avseende på specifika frågor som kräver nationellt deltagande, i synnerhet om Europeiska datatillsynsmannen eller en nationell tillsynsmyndighet upptäcker omfattande avvikelser mellan medlemsstatens praxis eller potentiellt olagliga överföringar genom Eurojusts kommunikationskanaler, eller mot bakgrund av frågor som lyfts fram av en eller flera nationella tillsynsmyndigheter gällande genomförandet och tolkningen av denna förordning.

2.   I de fall som avses i punkt 1 ska en samordnad tillsyn säkerställas i enlighet med artikel 62 i förordning (EU) 2018/1725.

3.   Europeiska datatillsynsmannen ska hålla de nationella tillsynsmyndigheterna fullt informerade om alla frågor som direkt påverkar dem eller på annat sätt är relevanta för dem. Europeiska datatillsynsmannen ska på begäran av en eller flera nationella tillsynsmyndigheter informera dessa om särskilda frågor.

4.   I fall som rör uppgifter från en eller flera medlemsstater, inbegripet i fall som avses i artikel 43.3, ska Europeiska datatillsynsmannen samråda med de berörda nationella tillsynsmyndigheterna. Europeiska datatillsynsmannen får inte besluta om ytterligare åtgärder förrän dessa nationella tillsynsmyndigheter har informerat Europeiska datatillsynsmannen om sin ståndpunkt, inom en tidsfrist som ska fastställas av Europeiska datatillsynsmannen. Den tidsfristen får inte vara kortare än en månad eller längre än tre månader. Europeiska datatillsynsmannen ska ta största möjliga hänsyn till de berörda nationella tillsynsmyndigheternas ståndpunkt. I fall där Europeiska datatillsynsmannen har för avsikt att inte följa deras ståndpunkt, ska han eller hon informera dem, motivera sitt beslut och överlämna frågan till Europeiska dataskyddsstyrelsen.

I fall som Europeiska datatillsynsmannen anser vara synnerligen brådskande får han eller hon besluta att vidta omedelbara åtgärder. I sådana fall ska Europeiska datatillsynsmannen omedelbart informera de berörda nationella tillsynsmyndigheterna och motivera varför situationen är brådskande och den åtgärd han eller hon har vidtagit.

5.   De nationella tillsynsmyndigheterna ska hålla Europeiska datatillsynsmannen informerad om alla åtgärder de vidtar avseende medlemsstaternas överföring, sökning eller varje annan utlämning av operativa personuppgifter enligt denna förordning.

Artikel 43

Rätt att lämna in ett klagomål till Europeiska datatillsynsmannen avseende operativa personuppgifter

1.   Varje registrerad ska ha rätt att lämna in ett klagomål till Europeiska datatillsynsmannen om han eller hon anser att Eurojust behandlat operativa personuppgifter som rör honom eller henne i strid med denna förordning eller förordning (EU) 2018/1725.

2.   Om ett klagomål avser ett beslut enligt artikel 31, 32 eller 33 i denna förordning eller artikel 80, 81 eller 82 i förordning (EU) 2018/1725, ska Europeiska datatillsynsmannen rådfråga de nationella tillsynsmyndigheterna eller den behöriga rättsliga myndigheten i den medlemsstat som tillhandahöll uppgifterna eller den direkt berörda medlemsstaten. Vid antagandet av sitt beslut, som kan innebära en vägran att lämna ut någon information, ska Europeiska datatillsynsmannen ta hänsyn till yttrandet från den nationella tillsynsmyndigheten eller från den behöriga rättsliga myndigheten.

3.   Om ett klagomål avser behandling av uppgifter som en medlemsstat lämnat till Eurojust ska Europeiska datatillsynsmannen och den nationella tillsynsmyndigheten i den medlemsstat som tillhandahöll uppgifterna, var och en inom ramen för sitt behörighetsområde, säkerställa att nödvändiga kontroller av lagenligheten i behandlingen av uppgifterna har utförts på ett korrekt sätt.

4.   Om ett klagomål avser behandling av uppgifter som lämnats till Eurojust av unionsorgan, unionsbyråer, tredjeländer eller internationella organisationer eller behandling av uppgifter som hämtats av Eurojust från allmänt tillgängliga källor, ska Europeiska datatillsynsmannen säkerställa att Eurojust på ett korrekt sätt har utfört nödvändiga kontroller av lagenligheten i behandlingen av uppgifterna.

5.   Europeiska datatillsynsmannen ska informera den registrerade om hur arbetet med klagomålet fortskrider och vad resultatet blir, samt om möjligheten till rättslig prövning enligt artikel 44.

Artikel 44

Rätt till rättslig prövning mot Europeiska datatillsynsmannen

Talan mot Europeiska datatillsynsmannens beslut avseende operativa personuppgifter ska väckas vid domstolen.

Artikel 45

Ansvar i frågor om uppgiftsskydd

1.   Eurojust ska behandla operativa personuppgifter på ett sådant sätt att det kan fastställas vilken myndighet som tillhandahöll uppgifterna eller varifrån uppgifterna hämtades.

2.   Ansvaret för de operativa personuppgifternas korrekthet ska ligga på

a)

Eurojust, vad gäller operativa personuppgifter som lämnats in av en medlemsstat eller en unionsinstitution, ett unionsorgan eller en unionsbyrå, om uppgifterna har ändrats i samband med Eurojusts behandling av dem,

b)

den medlemsstat eller den unionsinstitution, det unionsorgan eller den unionsbyrå som tillhandahöll Eurojust uppgifterna, om dessa inte har ändrats i samband med Eurojusts behandling av dem,

c)

Eurojust, vad gäller operativa personuppgifter som tillhandahållits av tredjeländer eller av internationella organisationer, liksom för operativa personuppgifter som hämtats av Eurojust från allmänt tillgängliga källor.

3.   Ansvaret för efterlevnaden av förordning (EU) 2018/1725 när det gäller administrativa personuppgifter och för efterlevnaden av den här förordningen och artikel 3 och kapitel IX i förordning (EU) 2018/1725 när det gäller operativa personuppgifter ska ligga hos Eurojust.

Ansvaret för lagligheten i fråga om överföring av operativa personuppgifterna ska ligga på

a)

när en medlemsstat har tillhandahållit Eurojust de berörda operativa personuppgifterna, den medlemsstaten,

b)

Eurojust, när Eurojust har tillhandahållit medlemsstater, unionsinstitutioner, unionsorgan och unionsbyråer samt tredjeländer eller organisationer de berörda operativa personuppgifterna.

4.   Med förbehåll för andra bestämmelser i denna förordning ska Eurojust ansvara för alla uppgifter som byrån behandlar.

Artikel 46

Ansvar för otillåten eller felaktig behandling av uppgifter

1.   Eurojust ska, i enlighet med artikel 340 i EUF-fördraget, vara ansvarig för all skada som åsamkas en person till följd av otillåten eller felaktig behandling av uppgifter som utförts av Eurojust.

2.   Klagomål mot Eurojust på grundval av dess ansvar enligt punkt 1 i denna artikel ska lämnas in till domstolen i enlighet med artikel 268 i EUF-fördraget.

3.   Varje medlemsstat ska, i enlighet med sin nationella rätt, vara ansvarig för all skada som har åsamkats en person till följd av en av medlemsstaten utförd otillåten eller felaktig behandling av uppgifter som överförts till Eurojust.

KAPITEL V

FÖRBINDELSER MED PARTNER

AVSNITT I

Gemensamma bestämmelser

Artikel 47

Gemensamma bestämmelser

1.   I den utsträckning som krävs för att genomföra sina uppgifter får Eurojust upprätta och upprätthålla samarbetsförbindelser med unionens institutioner, organ och byråer i enlighet med deras respektive mål, samt med tredjeländers behöriga myndigheter och internationella organisationer, i enlighet med den samarbetsstrategi som avses i artikel 52.

2.   I den utsträckning som är relevant för utförandet av dess uppgifter och med förbehåll för eventuella begränsningar enligt artiklarna 21.8 och 76 får Eurojust utbyta information direkt med de enheter som avses i punkt 1 i den här artikeln, med undantag av personuppgifter.

3.   För de syften som anges i punkterna 1 och 2 får Eurojust ingå samarbetsavtal med de enheter som avses i punkt 1. Sådana samarbetsavtal får inte utgöra en grund för att tillåta utbyte av personuppgifter och ska inte vara bindande för unionen eller dess medlemsstater.

4.   Eurojust får ta emot och behandla personuppgifter som mottagits från de enheter som avses i punkt 1 i den mån det är nödvändigt för utförandet av dess uppgifter och med förbehåll för de tillämpliga dataskyddsreglerna.

5.   Personuppgifter får överföras från Eurojust till unionsinstitutioner, unionsorgan och unionsbyråer, tredjeländer eller internationella organisationer endast om detta är nödvändigt för utförandet av dess uppgifter och sker i enlighet med artiklarna 55 och 56. Om de uppgifter som ska överföras har tillhandahållits av en medlemsstat, ska Eurojust inhämta ett godkännande från den berörda behöriga myndigheten i den medlemsstaten, såvida inte medlemsstaten på förhand har godkänt sådan vidareöverföring, antingen generellt eller förenat med särskilda villkor. Ett sådant godkännande får när som helst dras tillbaka.

6.   Det är förbjudet för medlemsstater, unionsinstitutioner, unionsorgan eller unionsbyråer, tredjeländer eller internationella organisationer att till tredje parter vidareöverföra personuppgifter som erhållits från Eurojust, såvida inte samtliga följande villkor är uppfyllda:

a)

Eurojust har erhållit ett förhandsgodkännande från den medlemsstat som tillhandahöll uppgifterna.

b)

Eurojust har gett sitt uttryckliga godkännande efter beaktande av omständigheterna i fallet.

c)

Vidareöverföringen sker endast för ett särskilt syfte som inte är oförenligt med det syfte för vilket uppgifterna överfördes.

AVSNITT II

Förbindelser med partner inom unionen

Artikel 48

Samarbete med det europeiska rättsliga nätverket och andra unionsnätverk som deltar i straffrättsligt samarbete

1.   Eurojust och det europeiska straffrättsliga nätverket ska upprätthålla privilegierade förbindelser med varandra på grundval av samråd och komplementaritet, särskilt mellan nationella medlemmar, det europeiska rättsliga nätverkets kontaktpunkter i samma medlemsstat som den nationella medlemmen, och de nationella kontaktpersonerna för Eurojust och det europeiska rättsliga nätverket. För att säkerställa ett effektivt samarbete ska följande åtgärder vidtas:

a)

Från fall till fall ska nationella medlemmar underrätta det europeiska rättsliga nätverkets kontaktpunkter om de ärenden som de anser att nätverket är bättre skickat att hantera.

b)

Det europeiska rättsliga nätverkets sekretariat ska ingå i Eurojusts personal. Det ska fungera som en självständig enhet. Det får utnyttja de administrativa resurser hos Eurojust som krävs för genomförandet av det europeiska rättsliga nätverkets uppgifter, inbegripet för att täcka kostnaderna för nätverkets plenarsammanträden.

c)

Det europeiska rättsliga nätverkets kontaktpunkter får från fall till fall bjudas in för att närvara vid Eurojusts möten.

d)

Eurojust och det europeiska rättsliga nätverket får utnyttja det nationella samordningssystemet för Eurojust när de i enlighet med artikel 20.7 b avgör huruvida en begäran ska behandlas med hjälp av Eurojust eller det europeiska rättsliga nätverket.

2.   Sekretariatet för nätverket för gemensamma utredningsgrupper och sekretariatet för det nätverk som inrättats genom beslut 2002/494/RIF ska ingå i Eurojusts personal. Dessa sekretariat ska fungera som självständiga enheter. De får utnyttja de administrativa resurser hos Eurojust som krävs för att de ska kunna genomföra sina uppgifter. Eurojust ska säkerställa samordning mellan sekretariaten. Denna punkt tillämpas på sekretariatet för varje relevant nätverk som deltar i straffrättsligt samarbete för vilket Eurojust ska tillhandahålla stöd i form av ett sekretariat. Eurojust får stödja relevanta europeiska nätverk och organ som deltar i straffrättsligt samarbete, bland annat om så är lämpligt genom ett sekretariat hos Eurojust.

3.   Det nätverk som inrättas genom beslut 2008/852/RIF får begära att Eurojust ska tillhandahålla nätverket ett sekretariat. Vid en sådan begäran ska punkt 2 tillämpas.

Artikel 49

Förbindelser med Europol

1.   Eurojust ska vidta alla lämpliga åtgärder för att Europol inom ramen för Europols mandat ska kunna ha indirekt tillgång på grundval av ett system med träff/icke-träff till information som tillhandahålls Eurojust, utan att det påverkar eventuella begränsningar som anges av medlemsstaten, unionsorganet, unionsbyrån, tredjelandet eller den internationella organisation som tillhandahöll informationen. I händelse av en träff ska Eurojust inleda ett förfarande där den information som gav upphov till träffen får delas, i enlighet med beslutet av den medlemsstat, det unionsorgan, den unionsbyrå, det tredjeland eller den internationella organisation som tillhandahöll Eurojust informationen.

2.   Informationssökningar i enlighet med punkt 1 får genomföras enbart i syfte att fastställa huruvida den information som finns tillgänglig hos Europol överensstämmer med den information som behandlas av Eurojust.

3.   Eurojust får endast tillåta sökningar i enlighet med punkt 1 efter att ha erhållit information från Europol om vilka medlemmar av personalen som har utsetts som behöriga att genomföra sådana sökningar.

4.   Om Eurojust eller en medlemsstat i samband med Eurojusts behandling av information avseende en enskild utredning fastställer ett behov av samordning, samarbete eller stöd i enlighet med Europols mandat, ska Eurojust underrätta Europol om detta och inleda förfarandet för informationsdelning i enlighet med beslutet från den medlemsstat som tillhandahöll informationen. I sådana fall ska Eurojust samråda med Europol.

5.   Eurojust ska upprätta och upprätthålla ett nära samarbete med Europol in den mån det är relevant för fullgörandet av de båda byråernas uppgifter och för att uppnå deras mål, med hänsyn tagen till behovet att undvika dubbelarbete.

I detta syfte ska Europols verkställande direktör och Eurojusts ordförande träffas regelbundet för att diskutera frågor av gemensamt intresse.

6.   Europol ska respektera eventuella begränsningar vad gäller tillgång eller användning som i allmänna eller specifika ordalag har angetts av en medlemsstat, ett unionsorgan eller en unionsbyrå, ett tredjeland eller en internationell organisation när det gäller information som dessa har tillhandahållit.

Artikel 50

Förbindelser med Europeiska åklagarmyndigheten

1.   Eurojust ska upprätta och upprätthålla en nära förbindelse med Europeiska åklagarmyndigheten på grundval av ett ömsesidigt samarbete inom deras respektive mandat och behörighet och på grundval av en utveckling av operativa, administrativa och förvaltningsrelaterade förbindelser dem emellan i enlighet med vad som anges i denna artikel. I detta syfte ska Eurojusts ordförande och den europeiska chefsåklagaren träffas regelbundet för att diskutera frågor av gemensamt intresse. De ska träffas på begäran av Eurojusts ordförande eller den europeiska chefsåklagaren.

2.   Eurojust ska behandla framställningar om stöd från Europeiska åklagarmyndigheten utan onödigt dröjsmål och vid behov hantera sådana framställningar som om de mottagits från en nationell myndighet som är behörig i fråga om rättslig hjälp.

3.   Närhelst det är nödvändigt för att stödja det samarbete som upprättats i enlighet med punkt 1 i denna artikel ska Eurojust dra nytta av Eurojusts nationella samordningssystem som inrättats i enlighet med artikel 20 samt av de förbindelser som man har upprättat med tredjeländer, inbegripet med sina sambandspersoner.

4.   I operativa frågor som är relevanta för Europeiska åklagarmyndighetens behörighetsområden ska Eurojust informera Europeiska åklagarmyndigheten och vid behov knyta den till sin verksamhet som rör gränsöverskridande ärenden, bland annat genom att

a)

dela information om sina ärenden, inklusive personuppgifter, i enlighet med de relevanta bestämmelserna i denna förordning, och

b)

begära stöd från Europeiska åklagarmyndigheten.

5.   Eurojust ska ha tillgång till information i Europeiska åklagarmyndighetens ärendehanteringssystem på grundval av ett system med träff/icke-träff. När överensstämmelse visar sig föreligga mellan uppgifter som förts in i ärendehanteringssystemet av Europeiska åklagarmyndigheten och de uppgifter som innehas av Eurojust ska det faktum att det föreligger en överensstämmelse meddelas både Eurojust och Europeiska åklagarmyndigheten samt den medlemsstat som lämnade uppgifterna till Eurojust. Eurojust ska vidta lämpliga åtgärder för att göra det möjligt för Europeiska åklagarmyndigheten att få indirekt tillgång till information i dess ärendehanteringssystem på grundval av ett system med träff/icke-träff.

6.   Europeiska åklagarmyndigheten får förlita sig på stöd och resurser från Eurojusts förvaltning. Eurojust får för detta ändamål tillhandahålla Europeiska åklagarmyndigheten tjänster av gemensamt intresse. Detaljerna ska regleras genom en överenskommelse.

Artikel 51

Förbindelser med unionsorgan och unionsbyråer

1.   Eurojust ska upprätta och upprätthålla samarbetsförbindelser med det europeiska nätverket för rättslig utbildning.

2.   Olaf ska bidra till Eurojusts samordningsarbete beträffande skyddet av unionens ekonomiska intressen i enlighet med sitt mandat enligt förordning (EU, Euratom) nr 883/2013.

3.   Europeiska gräns- och kustbevakningsbyrån ska bidra till Eurojusts arbete genom att bland annat överföra information som behandlats i enlighet med dess mandat och uppgifter enligt artikel 8.1 m i Europaparlamentets och rådets förordning (EU) 2016/1624 (21). Europeiska gräns- och kustbevakningsbyråns behandling av personuppgifter i samband med överföringen ska regleras genom förordning (EU) 2018/1725.

4.   Med avseende på mottagande och överföring av information mellan Eurojust och Olaf, och utan att det påverkar tillämpningen av artikel 8 i denna förordning, ska medlemsstaterna säkerställa att Eurojusts nationella medlemmar betraktas som medlemsstaternas behöriga myndigheter uteslutande vid tillämpningen av förordning (EU, Euratom) nr 883/2013. Informationsutbytet mellan Olaf och de nationella medlemmarna påverkar inte skyldigheter att tillhandahålla andra behöriga myndigheter information enligt dessa förordningar.

AVSNITT III

Internationellt samarbete

Artikel 52

Förbindelser med tredjeländers myndigheter och med internationella organisationer

1.   Eurojust får upprätta och upprätthålla samarbete med tredjeländers myndigheter och med internationella organisationer.

För detta ändamål ska Eurojust utarbeta en samarbetsstrategi vart fjärde år i samråd med kommissionen, i vilken det fastställs med vilka tredjeländer och internationella organisationer det finns ett operativt behov av samarbete.

2.   Eurojust får ingå samarbetsavtal med de enheter som anges i artikel 47.1.

3.   Eurojust får utse kontaktpunkter i tredjeländer enligt överenskommelse med berörda behöriga myndigheter för att underlätta samarbetet i enlighet med Eurojusts operativa behov.

Artikel 53

Sambandspersoner utstationerade i tredjeländer

1.   I syfte att underlätta det rättsliga samarbetet med tredjeländer i fall där Eurojust tillhandahåller stöd i enlighet med denna förordning får kollegiet utstationera sambandspersoner i ett tredjeland under förutsättning att det föreligger ett samarbetsavtal som avses i artikel 47.3 med de behöriga myndigheterna i tredjelandet.

2.   Sambandspersonernas uppgifter ska omfatta all verksamhet som syftar till att främja och påskynda alla former av straffrättsligt samarbete, särskilt genom upprättandet av direkta kontakter med de behöriga myndigheterna i det berörda tredjelandet. Sambandspersonerna får vid utförandet av sina uppgifter utbyta operativa personuppgifter med de behöriga myndigheterna i det berörda tredjelandet i enlighet med artikel 56.

3.   Den sambandsperson som avses i punkt 1 ska ha erfarenhet av arbete med Eurojust och ha lämpliga kunskaper om rättsligt samarbete och om hur Eurojust arbetar. Utstationeringen av en sambandsperson på uppdrag av Eurojust ska förhandsgodkännas av denna person och av hans eller hennes medlemsstat.

4.   Om den sambandsperson som utstationeras av Eurojust väljs ut bland nationella medlemmar, biträdande nationella medlemmar eller assistenter ska

a)

den berörda medlemsstaten ersätta personen i hans eller hennes egenskap av nationell medlem, biträdande nationell medlem eller assistent,

b)

hans eller hennes rätt att utöva sina befogenheter enligt artikel 8 upphöra.

5.   Utan att det påverkar artikel 110 i tjänsteföreskrifterna för tjänstemän ska kollegiet upprätta villkoren för utstationeringen av sambandspersoner, däribland deras lönevillkor. Kollegiet ska vidta nödvändiga genomförandeåtgärder i frågan i samråd med kommissionen.

6.   Den verksamhet som utförs av Eurojusts utstationerade sambandspersoner ska omfattas av Europeiska datatillsynsmannens tillsyn. Sambandspersonerna ska rapportera till kollegiet, som på ett lämpligt sätt ska underrätta Europaparlamentet och rådet om deras verksamhet i årsrapporten. Sambandspersonerna ska underrätta de nationella medlemmarna och de behöriga nationella myndigheterna om alla ärenden som berör deras medlemsstat.

7.   Behöriga myndigheter i medlemsstaterna och de sambandspersoner som avses i punkt 1 får ta direkt kontakt med varandra. I sådana fall ska sambandspersonen underrätta den berörda nationella medlemmen om dessa kontakter.

8.   De sambandspersoner som avses i punkt 1 ska vara anslutna till ärendehanteringssystemet.

Artikel 54

Ansökningar om rättslig hjälp till och från tredjeländer

1.   Eurojust får med de berörda medlemsstaternas samtycke samordna verkställandet av ansökningar om rättslig hjälp från ett tredjeland om sådana ansökningar måste verkställas i minst två medlemsstater som del av samma utredning. Sådana ansökningar får även översändas till Eurojust av en behörig nationell myndighet.

2.   I brådskande fall och i enlighet med artikel 19 får joursamordningen ta emot och översända ansökningarna enligt punkt 1 i den här artikeln om de lämnats av ett tredjeland som har ingått ett samarbetsavtal eller en överenskommelse om samarbete med Eurojust.

3.   Utan att det påverkar tillämpningen av artikel 3.5 ska Eurojust, om den berörda medlemsstaten gör ansökningar om rättslig hjälp som avser samma utredning och som måste verkställas i ett tredjeland, främja det rättsliga samarbetet med det tredjelandet.

AVSNITT IV

Överföringar av personuppgifter

Artikel 55

Överföring av operativa personuppgifter till unionsinstitutioner, unionsorgan och unionsbyråer

1.   Med förbehåll för alla ytterligare begränsningar enligt denna förordning, särskilt enligt artiklarna 21.8, 47.5 och 76, får Eurojust överföra operativa personuppgifter till andra unionsinstitutioner, unionsorgan eller unionsbyråer endast om uppgifterna är nödvändiga för det lagenliga utförandet av uppgifter som omfattas av befogenheterna för dessa andra unionsinstitutioner, unionsorgan eller unionsbyråer.

2.   Om de operativa personuppgifterna har överförts på begäran av andra unionsinstitutioner, unionsorgan eller unionsbyråer, ska både den personuppgiftsansvarige och mottagaren vara ansvariga för överföringens lagenlighet.

Eurojust ska vara skyldig att kontrollera de andra unionsinstitutionernas, unionsorganens eller unionsbyråernas behörighet och preliminärt bedöma om överföringen av de operativa personuppgifterna är nödvändig. Om det uppstår tveksamhet om nödvändigheten ska Eurojust begära ytterligare förklaringar från mottagaren.

Den andra unionsinstitutionen eller unionsbyrån eller det andra unionsorganet ska se till att det senare går att kontrollera att överföringen av de operativa personuppgifterna var nödvändig.

3.   De andra unionsinstitutionerna, unionsorganen eller unionsbyråerna ska behandla de operativa personuppgifterna endast för de ändamål för vilka de överfördes.

Artikel 56

Allmänna principer för överföringar av operativa personuppgifter till tredjeländer och internationella organisationer

1.   Eurojust får, under förutsättning att de tillämpliga dataskyddsreglerna och övriga bestämmelser i denna förordning efterlevs, överföra operativa personuppgifter till ett tredjeland eller en internationell organisation endast om följande villkor är uppfyllda:

a)

Överföringen är nödvändig för utförandet av Eurojusts arbetsuppgifter.

b)

Myndigheten i tredjelandet eller den internationella organisationen de operativa personuppgifterna överförs till har behörighet inom brottsbekämpning och straffrätt.

c)

Om de operativa personuppgifter som ska överföras i enlighet med denna artikel har överförts eller gjorts tillgängliga för Eurojust av en medlemsstat, ska Eurojust inhämta förhandstillstånd för överföringen av den relevanta behöriga myndigheten i den medlemsstaten i överensstämmelse med dess nationella rätt, såvida inte den medlemsstaten har gett sitt tillstånd sådana överföringar generellt eller förenat med särskilda villkor.

d)

Vid vidareöverföring från ett tredjeland eller en internationell organisation, till ett annat tredjeland eller en internationell organisation ska Eurojust kräva att det tredjeland eller den internationella organisation som överför uppgifterna anhåller om förhandstillstånd från Eurojust för vidareöverföringen.

Eurojust får endast bevilja tillstånd enligt led d med förhandstillstånd från den medlemsstat som uppgifterna kommer från efter vederbörligt beaktande av alla relevanta faktorer, inbegripet hur allvarligt brottet är, det ändamål för vilket de operativa personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter i det tredjeland eller den internationella organisation som de operativa personuppgifterna ska vidareöverföras till.

2.   Med förbehåll för de villkor som anges i punkt 1 i denna artikel får Eurojust överföra operativa personuppgifter till ett tredjeland eller en internationell organisation endast om ett av följande gäller:

a)

kommissionen har i enlighet med artikel 57 beslutat att skyddsnivån i ett tredjeland eller en internationell organisation är adekvat eller, om inget sådant beslut om adekvat skyddsnivå föreligger, lämpliga skyddsåtgärder har vidtagits eller föreligger i enlighet med artikel 58.1 eller, om inget beslut om adekvat skyddsnivå föreligger och inga sådana lämpliga skyddsåtgärder har vidtagits eller föreligger, undantag för särskilda situationer i enlighet med artikel 59.1 gäller, eller

b)

ett samarbetsavtal för utbyte av operativa personuppgifter har ingåtts före den 12 december 2019 mellan Eurojust och tredjelandet eller den internationella organisationen i enlighet med artikel 26a i beslut 2002/187/RIF, eller

c)

en internationell överenskommelse har ingåtts mellan unionen och tredjelandet eller den internationella organisationen i enlighet med artikel 218 i EUF-fördraget som erbjuder tillräckliga skyddsåtgärder för den personliga integriteten och enskildas grundläggande fri- och rättigheter.

3.   De samarbetsavtal som avses i artikel 47.3 får användas för att ange närmare tillämpningsföreskrifter för sådana avtal eller beslut om adekvat skyddsnivå som avses i punkt 2 i den här artikeln.

4.   Eurojust får i brådskande fall överföra operativa personuppgifter utan förhandstillstånd från en medlemsstat i enlighet med punkt 1 c. Eurojust får endast göra så om överföringen av de operativa personuppgifterna är nödvändig för att avvärja ett omedelbart och allvarligt hot mot den allmänna säkerheten i en medlemsstat eller ett tredjeland eller mot en medlemsstats väsentliga intressen och ett förhandstillstånd inte kan erhållas i tid. Den myndighet som är ansvarig för att ge förhandstillstånd ska underrättas utan dröjsmål.

5.   Medlemsstaterna och unionens institutioner, organ och byråer får inte vidareöverföra operativa personuppgifter som de erhållit från Eurojust till ett tredjeland eller en internationell organisation. Undantagsvis får en sådan vidareöverföring ske om Eurojust har godkänt detta, efter vederbörligt beaktande av alla relevanta faktorer, inbegripet hur allvarligt brottet är, det ändamål för vilket de operativa personuppgifterna ursprungligen överfördes och nivån på skyddet av personuppgifter i det tredjeland eller den internationella organisation som de operativa personuppgifterna överförs till.

6.   Artiklarna 57, 58 och 59 ska tillämpas för att säkerställa att den nivå på skyddet av fysiska personer som säkerställs genom denna förordning inte undergrävs.

Artikel 57

Överföring på grundval av ett beslut om adekvat skyddsnivå

Eurojust får överföra operativa personuppgifter till ett tredjeland eller en internationell organisation, om kommissionen i enlighet med artikel 36 i direktiv (EU) 2016/680 har beslutat att det tredjelandet, ett territorium eller en eller flera specificerade sektorer i tredjelandet eller den internationella organisationen i fråga säkerställer en adekvat skyddsnivå.

Artikel 58

Överföring som omfattas av lämpliga skyddsåtgärder

1.   Om det inte föreligger något beslut om adekvat skyddsnivå får Eurojust överföra operativa personuppgifter till ett tredjeland eller en internationell organisation, om

a)

lämpliga skyddsåtgärder för operativa personuppgifter har fastställts i ett rättsligt bindande instrument, eller

b)

Eurojust har bedömt alla omständigheter kring en överföring av operativa personuppgifter och dragit slutsatsen att lämpliga skyddsåtgärder för de operativa personuppgifterna föreligger.

2.   Eurojust ska informera Europeiska datatillsynsmannen om kategorier av överföringar enligt punkt 1 b.

3.   Om en överföring grundas på punkt 1 b, ska denna överföring dokumenteras och dokumentationen på begäran göras tillgänglig för Europeiska datatillsynsmannen. Dokumentationen ska inbegripa uppgift om datum och tidpunkt för överföringen och information om den mottagande behöriga myndigheten, om skälet till överföringen och om de operativa personuppgifter som har överförts.

Artikel 59

Undantag för särskilda situationer

1.   Om det inte finns något beslut om adekvat skyddsnivå eller lämpliga skyddsåtgärder i enlighet med artikel 58, får Eurojust överföra operativa personuppgifter till ett tredjeland eller en internationell organisation endast om överföringen är nödvändig

a)

för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan person,

b)

för att skydda den registrerades berättigade intressen,

c)

för att avvärja en omedelbar och allvarlig fara för den allmänna säkerheten i en medlemsstat eller ett tredjeland, eller

d)

i enskilda fall för utförandet av Eurojusts uppgifter, såvida inte Eurojust fastställer att den berörda registrerades grundläggande rättigheter och friheter väger tyngre än det allmänna intresset av en sådan överföring.

2.   Om en överföring grundas på punkt 1, ska denna överföring dokumenteras och dokumentationen på begäran göras tillgänglig för Europeiska datatillsynsmannen. Dokumentationen ska inbegripa uppgift om datum och tidpunkt för överföringen och information om den mottagande behöriga myndigheten, om skälet till överföringen och om de operativa personuppgifter som har överförts.

KAPITEL VI

FINANSIELLA BESTÄMMELSER

Artikel 60

Budget

1.   Beräkningar av Eurojusts samtliga inkomster och utgifter ska utarbetas för varje räkenskapsår, motsvarande kalenderåret, och ska redovisas i Eurojusts budget.

2.   Eurojusts budget ska vara balanserad i fråga om inkomster och utgifter.

3.   Utan att det påverkar andra medel ska Eurojusts inkomster omfatta

a)

ett bidrag från unionen, vilket ingår i unionens allmänna budget,

b)

eventuella frivilliga finansiella bidrag från medlemsstaterna,

c)

avgifter för publikationer och eventuella tjänster som Eurojust tillhandahållit,

d)

tillfälliga bidrag.

4.   Eurojusts utgifter ska omfatta personallöner, utgifter för administration och infrastruktur samt driftskostnader, inbegripet finansiering av gemensamma utredningsgrupper.

Artikel 61

Upprättande av budgeten

1.   Varje år ska den administrativa direktören upprätta ett utkast till inkomst- och utgiftsberäkning för Eurojust för påföljande räkenskapsår, inklusive tjänsteförteckningen, och ska översända det till styrelsen. Det europeiska rättsliga nätverket och andra unionsnätverk som deltar i straffrättsligt samarbete enligt vad som avses i artikel 48 ska informeras om de delar som rör deras verksamhet i god tid innan beräkningen vidarebefordras till kommissionen.

2.   Styrelsen ska på grundval av utkastet till inkomst- och utgiftsberäkning se över det preliminära utkastet till beräkning av Eurojusts inkomster och utgifter för påföljande räkenskapsår, vilket den ska vidarebefordra till kollegiet för antagande.

3.   Det preliminära utkastet till inkomst- och utgiftsberäkning för Eurojust ska översändas till kommissionen senast den 31 januari varje år. Eurojust ska översända det slutliga utkastet till beräkning, som ska inbegripa ett utkast till tjänsteförteckning, till kommissionen senast den 31 mars samma år.

4.   Kommissionen ska översända beräkningen till Europaparlamentet och rådet (nedan kallad budgetmyndigheten) tillsammans med förslaget till unionens allmänna budget.

5.   På grundval av beräkningen ska kommissionen i förslaget till unionens allmänna budget föra in de beräkningar som den anser nödvändiga för tjänsteförteckningen och det bidragsbelopp som ska tas från den allmänna budgeten, vilket den ska lägga fram för budgetmyndigheten i enlighet med artiklarna 313 och 314 i EUF-fördraget.

6.   De anslag som utgör unionens bidrag till Eurojust ska godkännas av budgetmyndigheten.

7.   Eurojusts tjänsteförteckning ska godkännas av budgetmyndigheten. Kollegiet ska anta Eurojusts budget. Budgeten blir slutgiltig när unionens allmänna budget slutligen antas. Vid behov ska kollegiet anpassa Eurojusts budget i enlighet därmed.

8.   Artikel 88 i kommissionens delegerade förordning (EU) nr 1271/2013 (22) ska tillämpas för varje byggprojekt som sannolikt kommer att ha betydande inverkan på Eurojusts budget.

Artikel 62

Genomförande av budgeten

Den administrativa direktören ska verka som Eurojusts utanordnare och genomföra Eurojusts budget under sitt ansvar inom de ramar som budgeten tillåter.

Artikel 63

Redovisning av räkenskaper och ansvarsfrihet

1.   Eurojusts räkenskapsförare ska översända de preliminära räkenskaperna för budgetåret (år N) till kommissionens räkenskapsförare och till revisionsrätten senast den 1 mars efter varje räkenskapsår (år N + 1).

2.   Eurojust ska översända rapporten om budgetförvaltning och ekonomisk förvaltning för år N till Europaparlamentet, rådet och revisionsrätten senast den 31 mars år N + 1.

3.   Kommissionens räkenskapsförare ska översända Eurojusts preliminära räkenskaper för år N, som konsoliderats med kommissionens räkenskaper, till revisionsrätten senast den 31 mars år N + 1.

4.   I enlighet med artikel 246.1 i förordning (EU, Euratom) 2018/1046 ska revisionsrätten lägga fram sina synpunkter om Eurojusts preliminära räkenskaper senast den 1 juni år N + 1.

5.   Vid mottagande av revisionsrättens synpunkter avseende Eurojusts preliminära räkenskaper enligt artikel 246 i förordning (EU, Euratom) 2018/1046 ska den administrativa direktören upprätta Eurojusts slutliga räkenskaper under sitt ansvar och överlämna dessa till styrelsen för yttrande.

6.   Styrelsen ska yttra sig över Eurojusts slutliga räkenskaper.

7.   Den administrativa direktören ska senast den 1 juli år N + 1 översända de slutliga räkenskaperna för år N till Europaparlamentet, rådet, kommissionen och revisionsrätten tillsammans med styrelsens yttrande.

8.   Eurojusts slutliga räkenskaper för år N ska offentliggöras i Europeiska unionens officiella tidning senast den 15 november år N + 1.

9.   Den administrativa direktören ska till revisionsrätten översända sitt svar avseende dess synpunkter senast den 30 september år N + 1. Den administrativa direktören ska även översända detta svar till styrelsen och kommissionen.

10.   På Europaparlamentets begäran ska den administrativa direktören till Europaparlamentet översända all information som krävs för en problemfri tillämpning av förfarandet för ansvarsfrihet beträffande ifrågavarande räkenskapsår i enlighet med artikel 261.3 i förordning (EU, Euratom) 2018/1046.

11.   Europaparlamentet ska före den 15 maj år N + 2 på rekommendation av rådet, som ska fatta beslut med kvalificerad majoritet, bevilja den administrativa direktören ansvarsfrihet beträffande genomförandet av budgeten för år N.

12.   Ansvarsfrihet för genomförandet av Eurojusts budget ska beviljas av Europaparlamentet på rådets rekommendation enligt ett förfarande som är jämförbart med det som föreskrivs i artikel 319 i EUF-fördraget och artiklarna 260, 261 och 262 i förordning (EU, Euratom) 2018/1046 och på grundval av revisionsrättens revisionsberättelse.

Om Europaparlamentet vägrar att bevilja ansvarsfrihet senast den 15 maj år N + 2, ska den administrativa direktören anmodas att förklara sin ståndpunkt inför kollegiet, som ska fatta sitt slutgiltiga beslut om den administrativa direktörens ståndpunkt med hänsyn till omständigheterna.

Artikel 64

Finansiella regler

1.   De finansiella regler som gäller för Eurojust ska antas av styrelsen i enlighet med delegerad förordning (EU) nr 1271/2013 efter samråd med kommissionen. De finansiella reglerna får inte avvika från delegerad förordning (EU) nr 1271/2013 såvida inte en sådan avvikelse är specifikt nödvändig för Eurojusts verksamhet och kommissionen har gett sitt förhandsgodkännande.

När det gäller det ekonomiska stödet till de gemensamma utredningsgruppernas verksamhet ska Eurojust och Europol gemensamt fastställa reglerna och villkoren för ansökningarnas behandling.

2.   Eurojust får bevilja bidrag med anknytning till fullgörandet av sina uppgifter enligt artikel 4.1. Bidrag som lämnas enligt artikel 4.1 f får beviljas medlemsstaterna utan att de bjuds in att lämna förslag.

KAPITEL VII

PERSONALBESTÄMMELSER

Artikel 65

Allmänna bestämmelser

1.   Tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för andra anställda vid unionen, samt de regler som antagits genom överenskommelse mellan unionens institutioner för verkställande av tjänsteföreskrifterna för tjänstemän och anställningsvillkoren för andra anställda, ska gälla för Eurojusts anställda.

2.   Eurojusts personal ska bestå av personal som rekryteras i enlighet med de regler och bestämmelser som ska tillämpas på tjänstemän och övriga anställda i unionen, med beaktande av alla de kriterier som avses i artikel 27 i de tjänsteföreskrifter för tjänstemän, inbegripet dess geografiska fördelning.

Artikel 66

Utstationerade nationella experter och annan personal

1.   Utöver sin egen personal får Eurojust även anlita utstationerade nationella experter och annan personal som inte är anställd av Eurojust.

2.   Kollegiet ska anta ett beslut om att fastställa regler för utstationering av nationella experter hos Eurojust och om användning av annan personal, särskilt för att undvika potentiella intressekonflikter.

3.   Eurojust ska vidta lämpliga administrativa åtgärder, bland annat genom utbildning och förebyggande strategier, för att undvika intressekonflikter, inbegripet intressekonflikter som rör frågor som kan uppstå efter det att en anställning upphört.

KAPITEL VIII

UTVÄRDERING OCH RAPPORTERING

Artikel 67

Unionsinstitutionernas och de nationella parlamentens deltagande

1.   Eurojust ska översända sin årsrapport till Europaparlamentet, rådet och de nationella parlamenten, som får lägga fram synpunkter och slutsatser.

2.   Efter att ha blivit vald ska Eurojusts nyvalda ordförande göra ett uttalande inför det eller de ansvariga utskotten i Europaparlamentet och besvara frågor från utskottsledamöterna. Diskussionerna får inte, vare sig direkt eller indirekt, handla om konkreta åtgärder som vidtagits i samband med specifika operativa ärenden.

3.   Eurojusts ordförande ska inställa sig en gång om året för Europaparlamentets och de nationella parlamentens gemensamma utvärdering av Eurojusts verksamhet inom ramen för ett interparlamentariskt sammanträde, i syfte att diskutera Eurojusts löpande verksamhet och presentera dess årsrapport eller andra viktiga dokument från Eurojust.

Diskussionerna får inte, vare sig direkt eller indirekt, handla om konkreta åtgärder som vidtagits i samband med specifika operativa ärenden.

4.   Utöver de andra informations- och samrådsskyldigheter som anges i denna förordning ska Eurojust översända följande till Europaparlamentet och de nationella parlamenten på respektive officiella språk för deras kännedom:

a)

Resultaten av studier och strategiska projekt som utarbetats av eller genomförts på uppdrag av Eurojust.

b)

Det programplaneringsdokument som avses i artikel 15.

c)

Samarbetsavtal som slutits med tredje parter.

Artikel 68

Yttranden över föreslagna lagstiftningsakter

Kommissionen och de berörda medlemsstaterna får under utövandet av sina rättigheter enligt artikel 76 b i EUF-fördraget begära ett yttrande av Eurojust över alla förslag till lagstiftningsakter som avses i artikel 76 i EUF-fördraget.

Artikel 69

Utvärdering och granskning

1.   Senast den 13 december 2024 och vart femte år därefter ska kommissionen beställa en utvärdering av genomförandet och konsekvenserna av denna förordning samt av ändamålsenligheten och effektiviteten hos Eurojust och dess arbetsmetoder. Kollegiet ska höras i samband med utvärderingen. Utvärderingen får i synnerhet behandla det möjliga behovet att ändra Eurojusts mandat och de finansiella följderna av varje sådan ändring.

2.   Kommissionen ska vidarebefordra utvärderingsrapporten tillsammans med sina slutsatser till Europaparlamentet och de nationella parlamenten samt till rådet och kollegiet. Utvärderingens resultat ska offentliggöras.

KAPITEL IX

ALLMÄNNA BESTÄMMELSER OCH SLUTBESTÄMMELSER

Artikel 70

Privilegier och immunitet

Protokoll nr 7 om Europeiska unionens privilegier och immunitet som är fogat till EU-fördraget och EUF-fördraget ska gälla för Eurojust och dess personal.

Artikel 71

Språkanvändning

1.   Rådets förordning nr 1 (23) ska gälla för Eurojust.

2.   Kollegiet ska med två tredjedelars majoritet av sina medlemmar besluta om Eurojusts interna språkordning.

3.   De översättningstjänster som krävs för Eurojusts funktion ska tillhandahållas av Översättningscentrum för Europeiska unionens organ, inrättat genom rådets förordning (EG) nr 2965/94 (24), såvida inte någon annan lösning krävs på grund av att Översättningscentrum inte står till förfogande.

Artikel 72

Tystnadsplikt

1.   De nationella medlemmarna, och deras biträdande nationella medlemmar och assistenter enligt artikel 7, Eurojusts personal, de nationella kontaktpersonerna, de utstationerade nationella experterna, sambandspersonerna, dataskyddsombudet och Europeiska datatillsynsmannens ledamöter och personal ska omfattas av tystnadsplikt beträffande all information som kommer till deras kännedom under deras ämbetsutövning.

2.   Tystnadsplikten ska gälla för alla personer och alla organ som ska arbeta med Eurojust.

3.   Tystnadsplikten ska även gälla utanför arbetsplatsen och efter avslutad anställning samt efter avslutandet av den verksamhet som de personer som avses i punkterna 1 och 2 ägnar sig åt.

4.   Tystnadsplikten ska gälla all information som Eurojust tar emot eller utbyter, såvida inte informationen redan lagligen har offentliggjorts eller är tillgänglig för allmänheten.

Artikel 73

Villkor för tystnadsplikt vid nationella förfaranden

1.   Utan att det påverkar artikel 21.3 får myndigheten i den medlemsstat som tillhandahöll informationen, om information tas emot eller utbyts via Eurojust, enligt sin nationella rätt föreskriva villkor för den mottagande myndighetens användning av denna information i nationella förfaranden.

2.   Myndigheten i den medlemsstat som tar emot den information som avses i punkt 1 ska vara bunden av dessa villkor.

Artikel 74

Öppenhet

1.   Europaparlamentets och rådets förordning (EG) nr 1049/2001 (25) ska tillämpas på handlingar i Eurojusts besittning.

2.   Styrelsen ska inom sex månader från den dag då det första mötet äger rum utarbeta närmare bestämmelser om tillämpningen av förordning (EG) nr 1049/2001, vilka ska antas av kollegiet.

3.   Beslut som fattas av Eurojust i enlighet med artikel 8 i förordning (EG) nr 1049/2001 får bli föremål för ett klagomål till Europeiska ombudsmannen eller en talan inför domstolen enligt de villkor som anges i artiklarna 228 respektive 263 i EUF-fördraget.

4.   Eurojust ska på sin webbplats offentliggöra en förteckning över sina styrelseledamöter och sammandrag av resultatet av styrelsens möten. Offentliggörandet av dessa sammandrag ska tillfälligt eller permanent underlåtas eller begränsas om ett sådant offentliggörande riskerar att äventyra utförandet av Eurojusts uppgifter, samtidigt som hänsyn tas till byråns skyldigheter avseende diskretion och konfidentialitet samt dess operativa natur.

Artikel 75

Olaf och revisionsrätten

1.   För att underlätta bekämpning av bedrägerier, korruption och annan olaglig verksamhet enligt förordning (EU, Euratom) nr 883/2013 ska Eurojust inom sex månader från denna förordnings ikraftträdande ansluta sig till det interinstitutionella avtalet av den 25 maj 1999 mellan Europaparlamentet, Europeiska unionens råd och europeiska gemenskapernas kommission om interna utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) (26). Eurojust ska anta lämpliga bestämmelser som ska gälla samtliga nationella medlemmar, biträdande nationella medlemmar och assistenter, alla utstationerade nationella experter samt Eurojusts hela personal genom användning av mallen i bilagan till avtalet.

2.   Revisionsrätten ska ha befogenhet att utföra revision, på grundval av handlingar och kontroller på plats, hos alla stödmottagare, uppdragstagare och underleverantörer som erhållit medel från Eurojust.

3.   Olaf får genomföra utredningar, inbegripet kontroller och inspektioner på plats, i enlighet med de bestämmelser och förfaranden som fastställs i förordning (EU, Euratom) nr 883/2013 och rådets förordning (Euratom, EG) nr 2185/96 (27) i syfte att fastställa om det har förekommit några oriktigheter som skadar unionens ekonomiska intressen i samband med utgifter som finansieras av Eurojust.

4.   Utan att det påverkar punkterna 1, 2 och 3 ska Eurojusts samarbetsavtal med tredjeländer eller internationella organisationer samt dess avtal, bidragsöverenskommelser och bidragsbeslut inbegripa bestämmelser genom vilka revisionsrätten och Olaf uttryckligen ges befogenhet att genomföra revisioner och utredningar i enlighet med sina respektive behörigheter.

5.   Eurojusts personal, den administrativa direktören och medlemmarna i kollegiet och styrelsen ska utan dröjsmål, och utan att deras ansvarighet kan ifrågasättas på grund av detta, underrätta Olaf och Europeiska åklagarmyndigheten om alla misstankar om oegentlig eller olaglig verksamhet inom deras respektive mandat som de har fått kännedom om under sin tjänsteutövning eller sitt uppdrag.

Artikel 76

Bestämmelser om skydd av känsliga icke säkerhetsskyddsklassificerade uppgifter och säkerhetsskyddsklassificerade uppgifter

1.   Eurojust ska fastställa interna bestämmelser om hantering av och konfidentialitet för information och om skydd av känsliga icke säkerhetsskyddsklassificerade uppgifter, inbegripet för framställning och behandling av sådana uppgifter vid Eurojust.

2.   Eurojust ska fastställa interna bestämmelser om skydd av säkerhetsskyddsklassificerade EU-uppgifter vilka ska överensstämma med rådets beslut 2013/488/EU (28) för att sörja för en likvärdig skyddsnivå för sådana uppgifter.

Artikel 77

Administrativa utredningar

Eurojusts administrativa verksamhet ska omfattas av Europeiska ombudsmannens utredningar i enlighet med artikel 228 i EUF-fördraget.

Artikel 78

Ansvar utöver ansvaret för otillåten eller felaktig hantering av uppgifter

1.   Eurojusts avtalsrättsliga ansvar ska regleras av den lagstiftning som är tillämplig på avtalet i fråga.

2.   Revisionsrätten ska vara behörig att döma i enlighet med varje eventuell skiljedomsklausul som ingår i ett avtal som Eurojust har slutit.

3.   I händelse av utomobligatoriskt ansvar ska Eurojust, i enlighet med de allmänna principer som är gemensamma för medlemsstaternas lagstiftning och oberoende av allt eventuellt ansvar enligt artikel 46, gottgöra all eventuell skada som Eurojust eller dess personal har orsakat vid utförandet av sina uppgifter.

4.   Punkt 3 ska även gälla skada som orsakats genom fel begångna av en nationell medlem, en biträdande nationell medlem eller en assistent vid utförandet av deras uppgifter. Emellertid ska hans eller hennes medlemsstat ersätta Eurojust för de belopp som Eurojust har betalat ut för att gottgöra sådan skada när han eller hon verkar på grundval av de befogenheter som han eller hon beviljas i enlighet med artikel 8.

5.   Domstolen ska vara behörig att döma i tvister angående ersättning för skador som avses i punkt 3.

6.   De nationella domstolar i medlemsstaterna som är behöriga att hantera tvister som inbegriper Eurojusts ansvar, i enlighet med vad som avses i denna artikel, ska fastställas genom hänvisning till Europaparlamentets och rådets förordning (EU) nr 1215/2012 (29).

7.   Personalens personliga ansvar gentemot Eurojust ska regleras av de bestämmelser som fastställs i tjänsteföreskrifterna för tjänstemännen eller de anställningsvillkor som gäller för andra anställda.

Artikel 79

Avtal om säte och villkor för verksamheten

1.   Eurojust ska ha sitt säte i Haag i Nederländerna.

2.   De arrangemang som är nödvändiga beträffande inkvartering som ska tillhandahållas Eurojust i Nederländerna och de lokaler som ska tillgängliggöras i Nederländerna tillsammans med de specifika regler som gäller i Nederländerna avseende den administrativa direktören, kollegiets medlemmar, Eurojusts personal och dessas familjemedlemmar ska fastställas i ett avtal om säte mellan Eurojust och Nederländerna, vilket ska slutas när kollegiets godkännande väl har erhållits.

Artikel 80

Övergångsbestämmelser

1.   Eurojust, såsom byrån inrättas genom denna förordning, ska vara den allmänna rättsliga efterträdaren beträffande alla avtal som slutits av Eurojust samt beträffande allt ansvar som åligger Eurojust och beträffande all egendom som Eurojust förvärvat i enlighet med beslut 2002/187/RIF.

2.   De nationella medlemmar av Eurojust, såsom det inrättades genom beslut 2002/187/RIF, som varit utstationerade av var och en av medlemsstaterna enligt det beslutet ska övergå till att bli nationella medlemmar av Eurojust enligt kapitel II avsnitt II i denna förordning. Mandattiden för deras tjänstgöring får förlängas en gång enligt artikel 7.5 i denna förordning efter denna förordnings ikraftträdande, oberoende av en tidigare förlängning.

3.   Ordföranden och de vice ordförandena för Eurojust, såsom det inrättades genom beslut 2002/187/RIF, vid tidpunkten för denna förordnings ikraftträdande ska övergå till att bli Eurojusts ordförande och vice ordförande enligt artikel 11 i denna förordning fram till utgången av deras mandattid enligt det beslutet. De får väljas om en gång efter denna förordnings ikraftträdande enligt artikel 11.4 i denna förordning, oberoende av ett tidigare omval.

4.   Den administrativa direktör som senast utsetts enligt artikel 29 i beslut 2002/187/RIF ska övergå till att bli administrativ direktör enligt artikel 17 i denna förordning fram till utgången av hans eller hennes mandattid i enlighet med vad som beslutats enligt det beslutet. Mandattiden för den administrativa direktören får förlängas en gång efter denna förordnings ikraftträdande.

5.   Denna förordning ska inte påverka den giltigheten hos avtal som slutits av Eurojust i enlighet med beslut 2002/187/RIF. I synnerhet ska alla internationella avtal som slutits av Eurojust före den 12 december 2019 förbli giltiga.

6.   Förfarandet för beviljande av ansvarsfrihet för de budgetar som har fastställts på grundval av artikel 35 i beslut 2002/187/RIF ska genomföras i enlighet med de bestämmelser som fastställts genom artikel 36 i det beslutet.

7.   Denna förordning ska inte påverka anställningsavtal som ingåtts i enlighet med beslut 2002/187/RIF före denna förordnings ikraftträdande. Det dataskyddsombud som senast utsetts enligt artikel 17 i det beslutet ska övergå till att bli dataskyddsombud enligt artikel 36 i denna förordning.

Artikel 81

Ersättande och upphävande

1.   Beslut 2002/187/RIF ersätts härmed för de medlemsstater som är bundna av denna förordning med verkan från den 12 december 2019.

Därmed upphävs beslut 2002/187/RIF med verkan från den 12 december 2019.

2.   För de medlemsstater som är bundna av denna förordning ska hänvisningar till det beslut som avses i punkt 1 anses som hänvisningar till denna förordning.

Artikel 82

Ikraftträdande och tillämpning

1.   Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2.   Den ska tillämpas från och med den 12 december 2019.

Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.

Utfärdad i Strasbourg den 14 november 2018.

På Europaparlamentets vägnar

A. TAJANI

Ordförande

På rådets vägnar

K. EDTSTADLER

Ordförande


(1)  Europaparlamentets ståndpunkt av den 4 oktober 2018 (ännu ej offentliggjord i EUT) och rådets beslut av den 6 november 2018.

(2)  Rådets beslut 2002/187/RIF av den 28 februari 2002 om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EGT L 63, 6.3.2002, s. 1).

(3)  Rådets beslut 2003/659/RIF av den 18 juni 2003 om ändring av beslut 2002/187/RIF om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EUT L 245, 29.9.2003, s. 44).

(4)  Rådets beslut 2009/426/RIF av den 16 december 2008 om förstärkning av Eurojust och om ändring av beslut 2002/187/RIF om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EUT L 138, 4.6.2009, s. 14).

(5)  Rådets förordning (EU) 2017/1939 av den 12 oktober 2017 om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EUT L 283, 31.10.2017, s. 1).

(6)  Rådets beslut 2002/494/RIF av den 13 juni 2002 om inrättande av ett europeiskt nätverk av kontaktpunkter med avseende på personer som har gjort sig skyldiga till folkmord, brott mot mänskligheten och krigsförbrytelser (EGT L 167, 26.6.2002, s. 1).

(7)  Rådets beslut 2007/845/RIF av den 6 december 2007 om samarbete mellan medlemsstaternas kontor för återvinning av tillgångar när det gäller att spåra och identifiera vinning eller annan egendom som härrör från brott (EUT L 332, 18.12.2007, s. 103).

(8)  Rådets beslut 2008/852/RIF av den 24 oktober 2008 om ett antikorruptionsnätverk med kontaktpunkter (EUT L 301, 12.11.2008, s. 38).

(9)  Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EUT L 119, 4.5.2016, s. 89).

(10)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (se sidan X_Xi detta nummer av EUT).

(11)  Rådets gemensamma ståndpunkt 2005/69/RIF av den 24 januari 2005 om utbyte av vissa uppgifter med Interpol (EUT L 27, 29.1.2005, s. 61).

(12)  Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 205, 7.8.2007, s. 63).

(13)  Gemensam åtgärd 96/277/RIF av den 22 april 1996 om en ordning för utbyte av sambandspersoner för att förbättra det rättsliga samarbetet mellan Europeiska unionens medlemsstater (EGT L 105, 27.4.1996, s. 1).

(14)  Europaparlamentets och rådets förordning (EU, Euratom) 2018/1046 av den 18 juli 2018 om finansiella regler för unionens allmänna budget, om ändring av förordningarna (EU) nr 1296/2013, (EU) nr 1301/2013, (EU) nr 1303/2013, (EU) nr 1304/2013, (EU) nr 1309/2013, (EU) nr 1316/2013, (EU) nr 223/2014, (EU) nr 283/2014 och beslut nr 541/2014/EU samt om upphävande av förordning (EU, Euratom) nr 966/2012 (EUT L 193, 30.7.2018, s. 1).

(15)  Europaparlamentets och rådets förordning (EU, Euratom) nr 883/2013 av den 11 september 2013 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och om upphävande av Europaparlamentets och rådets förordning (EG) nr 1073/1999 och rådets förordning (Euratom) nr 1074/1999 (EUT L 248, 18.9.2013, s. 1).

(16)  Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

(17)  Europaparlamentets och rådets direktiv 2014/41/EU av den 3 april 2014 om en europeisk utredningsorder på det straffrättsliga området (EUT L 130, 1.5.2014, s. 1).

(18)  EGT L 56, 4.3.1968, s. 1.

(19)  Rådets beslut 2005/671/RIF av den 20 september 2005 om informationsutbyte och samarbete när det gäller terroristbrott (EUT L 253, 29.9.2005, s. 22).

(20)  Rådets beslut 2008/976/RIF av den 16 december 2008 om det europeiska rättsliga nätverket (EUT L 348, 24.12.2008, s. 130).

(21)  Europaparlamentets och rådets förordning (EU) 2016/1624 av den 14 september 2016 om en europeisk gräns- och kustbevakning och om ändring av Europaparlamentets och rådets förordning (EU) 2016/399 och upphävande av Europaparlamentets och rådets förordning (EG) nr 863/2007, rådets förordning (EG) nr 2007/2004 och rådets beslut 2005/267/EG (EUT L 251, 16.9.2016, s. 1).

(22)  Kommissionens delegerade förordning (EU) nr 1271/2013 av den 30 september 2013 med rambudgetförordning för de organ som avses i artikel 208 i Europaparlamentets och rådets förordning (EU, Euratom) nr 966/2012 (EUT L 328, 7.12.2013, s. 42).

(23)  Rådets förordning nr 1 om vilka språk som ska användas i Europeiska ekonomiska gemenskapen (EGT 17, 6.10.1958, s. 385).

(24)  Rådets förordning (EG) nr 2965/94 av den 28 november 1994 om upprättande av ett översättningscentrum för Europeiska unionens organ (EGT L 314, 7.12.1994, s. 1).

(25)  Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar (EGT L 145, 31.5.2001, s. 43).

(26)  EGT L 136, 31.5.1999, s. 15.

(27)  Rådets förordning (Euratom, EG) nr 2185/96 av den 11 november 1996 om de kontroller och inspektioner på platsen som kommissionen utför för att skydda Europeiska gemenskapernas finansiella intressen mot bedrägerier och andra oegentligheter (EGT L 292, 15.11.1996, s. 2).

(28)  Rådets beslut 2013/488/EU av den 23 september 2013 om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (EUT L 274, 15.10.2013, s. 1).

(29)  Europaparlamentets och rådets förordning (EU) nr 1215/2012 av den 12 december 2012 om domstols behörighet och om erkännande och verkställighet av domar på privaträttens område (EUT L 351, 20.12.2012, s. 1).


BILAGA I

Förteckning över typer av grov brottslighet som Eurojust har behörighet att hantera i enlighet med artikel 3.1:

Terrorism.

Organiserad brottslighet.

Olaglig narkotikahandel.

Penningtvätt.

Brottslighet som har samband med nukleära och radioaktiva ämnen.

Människosmuggling.

Människohandel.

Handel med stulna fordon.

Mord och grov misshandel.

Olaga handel med mänskliga organ och vävnader.

Människorov, olaga frihetsberövande och tagande av gisslan.

Rasism och främlingsfientlighet.

Rån och grov stöld.

Olaga handel med kulturföremål, inklusive antikviteter och konstverk.

Svindleri och bedrägeri.

Brott mot unionens finansiella intressen.

Insiderhandel och otillbörlig marknadspåverkan.

Beskyddarverksamhet och utpressning.

Förfalskning och piratkopiering.

Förfalskning av administrativa dokument och handel med sådana förfalskningar.

Förfalskning av pengar och betalningsmedel.

It-brottslighet.

Korruption.

Olaga handel med vapen, ammunition och sprängämnen.

Olaga handel med hotade djurarter.

Olaga handel med hotade växtarter och växtsorter.

Miljöbrott, däribland förorening från fartyg.

Olaga handel med hormonpreparat och andra tillväxtsubstanser.

Sexuella övergrepp och sexuellt utnyttjande, inbegripet material med övergrepp mot barn och kontaktsökning med barn i sexuellt syfte.

Folkmord, brott mot mänskligheten och krigsförbrytelser.


BILAGA II

KATEGORIER AV PERSONUPPGIFTER SOM AVSES I ARTIKEL 27

1.

a)

Efternamn, namn som ogift, förnamn och i förekommande fall alias eller antagna namn.

b)

Födelsedatum och födelseort.

c)

Nationalitet.

d)

Kön.

e)

Den berörda personens hemvist, yrke och vistelseort.

f)

Personnummer eller andra officiella nummer som används i medlemsstaten för att identifiera enskilda personer, körkort, identitetshandlingar och passuppgifter samt tull- och skatteregistreringsnummer.

g)

Uppgifter om juridiska personer om detta inbegriper uppgifter om identifierade eller identifierbara enskilda personer som är föremål för utredning eller lagföring.

h)

Uppgifter om konton hos banker eller andra finansinstitut.

i)

En beskrivning av de påstådda brotten, den tidpunkt då de begicks, brottsrubricering samt uppgift om hur långt utredningen har kommit.

j)

De omständigheter som tyder på att utredningen kan få en internationell omfattning.

k)

Upplysningar som rör en förmodad tillhörighet till en kriminell organisation.

l)

Telefonnummer, e-postadresser, trafikuppgifter och lokaliseringsuppgifter samt alla tillhörande uppgifter som krävs för identifiering av abonnenten eller användaren.

m)

Fordonsregistreringsuppgifter.

n)

DNA-profiler som upprättats från den icke-kodande delen av DNA, fotografier och fingeravtryck.

2.

a)

Efternamn, namn som ogift, förnamn och i förekommande fall alias eller antagna namn.

b)

Födelsedatum och födelseort.

c)

Nationalitet.

d)

Kön.

e)

Den berörda personens hemvist, yrke och vistelseort.

f)

En beskrivning av de brott som den berörda personen har anknytning till, den tidpunkt då brotten begicks, brottsrubricering samt uppgift om hur långt utredningen har kommit.

g)

Personnummer eller andra officiella nummer som används i medlemsstaterna för att identifiera enskilda personer, körkort, identitetshandlingar och passuppgifter samt tull- och skatteregistreringsnummer.

h)

Uppgifter om konton hos banker och andra finansinstitut.

i)

Telefonnummer, e-postadresser, trafikuppgifter och lokaliseringsuppgifter samt alla tillhörande uppgifter som krävs för identifiering av abonnenten eller användaren.

j)

Fordonsregistreringsuppgifter.


  翻译: