1 Rådets rammebeslutning 2008/977/JIS av 27. november 2008 om vern av personopplysninger i forbindelse med politisamarbeid og rettslig samarbeid i straffesaker
RÅDET FOR DEN EUROPEISKE UNION HAR —
under henvisning til traktaten om Den europeiske union, særlig artikkel 30, 31 og 34 nr. 2 bokstav b),
under henvisning til forslag fra Kommisjonen,
under henvisning til uttalelse fra Europaparlamentet [1], og
ut fra følgende betraktninger:
Den europeiske union har som mål å bevare og utvikle et område med frihet, sikkerhet og rettferdighet der medlemsstatene gjennom felles handling innen politisamarbeid og rettslig samarbeid i straffesaker skal sørge for et høyt sikkerhetsnivå.
Felles handling innen politisamarbeid i henhold til artikkel 30 nr. 1 bokstav b) i traktaten om Den europeiske union og felles handling innen rettslig samarbeid i straffesaker i henhold til artikkel 31 nr. 1 bokstav a) i traktaten om Den europeiske union innebærer at det er nødvendig å behandle relevante opplysninger, noe som bør være gjenstand for egnede bestemmelser om vern av personopplysninger.
Lovbestemmelser som omfattes av avdeling VI i traktaten om Den europeiske union bør fremme politisamarbeid og rettslig samarbeid i straffesaker med hensyn til effektivitet og legitimitet samt respekt for grunnleggende rettigheter, særlig retten til privatlivets fred og vern av personopplysninger. Felles standarder for behandling og vern av personopplysninger for å forebygge og bekjempe kriminalitet kan bidra til å nå begge disse målene.
Haagprogrammet for økt frihet, sikkerhet og rettferdighet i Den europeiske union, som Det europeiske råd vedtok 4. november 2004, understreket behovet for en ny framgangsmåte for å utveksle informasjon på tvers av grensene om bekjempelse av kriminalitet, der en rekke grunnleggende krav om datavern strengt må overholdes, og oppfordret Kommisjonen til å fremsette forslag på dette området senest innen utgangen av 2005. Dette avspeiles i Rådets og Kommisjonens handlingsplan for gjennomføring av Haagprogrammet om økt frihet, sikkerhet og rettferdighet i Den europeiske union [2].
Utveksling av personopplysninger i forbindelse med politisamarbeid og rettslig samarbeid i straffesaker, og særlig i henhold til prinsippet om opplysningenes tilgjengelighet fastsatt i Haagprogrammet, bør bygge på klare regler som styrker den gjensidige tilliten mellom de kompetente myndigheter og sikrer at relevante opplysninger beskyttes på en måte som utelukker all diskriminering ved slikt samarbeid mellom medlemsstatene, samtidig som enkeltpersoners grunnleggende rettigheter respekteres fullt ut. De eksisterende instrumenter på europeisk plan er ikke tilstrekkelige. Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger [3] får ikke anvendelse på behandling av personopplysninger i forbindelse med virksomhet som faller utenfor fellesskapsrettens anvendelsesområde, som f.eks. virksomhet som omfattes av avdeling VI i traktaten om Den europeiske union, og under ingen omstendigheter på behandling som berører offentlig sikkerhet, forsvaret, statens sikkerhet og statens virksomhet på det strafferettslige område.
Denne rammebeslutning får kun anvendelse på opplysninger som er innsamlet eller behandlet av kompetente myndigheter med det formål å forebygge, etterforske, avdekke eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner. Rammebeslutningen bør overlate til medlemsstatene å fastsette mer detaljerte bestemmelser på nasjonalt plan om hvilke andre formål som skal anses uforenlige med det formålet opplysningene opprinnelig er innsamlet for. Generelt bør videre behandling for historiske, statistiske eller vitenskapelige formål ikke betraktes som uforenelig med det opprinnelige formålet med behandlingen.
Denne rammebeslutningens anvendelsesområde er begrenset til behandling av personopplysninger som overføres eller stilles til rådighet mellom medlemsstatene. Det bør ikke trekkes noen konklusjon ut fra denne begrensningen om EUs myndighet til å vedta rettsakter om innsamling og behandling av personopplysninger på nasjonalt plan eller om hvorvidt det er hensiktsmessig at EU gjør dette i fremtiden.
For å fremme utveksling av opplysninger i EU, vil medlemsstatene sikre at den standarden for datavern som anvendes ved behandling av opplysninger nasjonalt, tilsvarer standarden fastsatt i denne rammebeslutning. Når det gjelder databehandling nasjonalt, er denne rammebeslutning ikke til hinder for at medlemsstatene fastsetter høyere garantier for vern av personopplysninger enn det som er fastsatt i denne rammebeslutning.
Denne rammebeslutning bør ikke få anvendelse på personopplysninger som en medlemsstat har innhentet innenfor rammen av denne rammebeslutning, og som stammer fra denne medlemsstaten.
En tilnærming av medlemsstatenes lovgivninger bør ikke føre til en forringelse av det datavernet disse gir, men bør tvert imot ha til formål å sikre et høyt beskyttelsesnivå i EU.
Det er nødvendig å presisere målsetningene for datavern i forbindelse med politiets og rettsvesenets virksomhet og å fastsette regler for lovlig behandling av personopplysninger for å sikre at alle opplysninger som utveksles, behandles på lovlig vis og i samsvar med grunnleggende prinsipper om datakvalitet. Samtidig bør politiets, tollvesenets, rettsvesenets eller andre kompetente myndigheters legitime virksomhet på ingen måte rammes.
Prinsippet om opplysningenes riktighet skal anvendes på en slik måte at det tas hensyn til den aktuelle behandlingens art og formål. For eksempel er opplysninger særlig i rettssaker basert på enkeltpersoners subjektive oppfatning og er i visse tilfelle helt umulige å etterprøve. Kravet om riktighet kan følgelig ikke gjelde en uttalelses riktighet, men kun det faktum at en bestemt uttalelse er gjort.
Arkivering av opplysninger i en særskilt samling av data bør tillates bare dersom opplysningene ikke lenger er nødvendige eller anvendes til forebygging, etterforskning, avdekking eller rettsforfølgning av straffbare handlinger eller fullbyrdelse av strafferettslige sanksjoner. Det bør dessuten være tillatt å arkivere opplysninger i en særskilt samling hvis de arkiverte opplysningene lagres i en database med andre opplysninger på en slik måte at de ikke lenger kan anvendes til forebygging, etterforskning, avdekking eller rettsforfølgning av straffbare handlinger eller fullbyrdelse av strafferettslige sanksjoner. Hvor lenge det er hensiktsmessig å arkivere opplysningene bør avhenge av formålene med arkiveringen og de registrerte personenes legitime interesser. Ved arkivering for historiske formål kan en meget lang arkiveringsperiode vurderes.
Opplysninger kan også slettes ved at datamediet tilintetgjøres.
Når det gjelder uriktige, ufullstendige eller ikke-oppdaterte opplysninger som er overført eller stilt til rådighet for en annen medlemsstat og viderebehandlet av kvasirettslige myndigheter, dvs. myndigheter som har fullmakt til å treffe rettslig bindende avgjørelser, bør disse korrigeres, slettes eller sperres i samsvar med nasjonal rett.
For å sikre et høyt beskyttelsesnivå for enkeltpersoners personopplysninger kreves det felles bestemmelser for å kunne fastslå om opplysninger som behandles av de kompetente myndigheter i andre medlemsstater, oppfyller kravet om lovlighet og kvalitet.
Det er hensiktsmessig å fastsette på europeisk plan de vilkårene som kompetente myndigheter i medlemsstatene må oppfylle for at personopplysninger som de har mottatt fra andre medlemsstater, skal kunne videreformidles og stilles til rådighet for myndigheter og private i medlemsstatene. I mange tilfeller er videreformidling av personopplysninger fra rettsvesenet, politiet eller tollvesenet til private nødvendig for å kunne rettsforfølge straffbare handlinger eller avverge en overhengende og alvorlig trussel mot offentlig sikkerhet og forebygge alvorlige krenkelser av enkeltpersoners rettigheter, f.eks. ved å varsle banker og kredittinstitusjoner om forfalskninger av verdipapirer eller, når det gjelder kriminalitet knyttet til kjøretøyer, ved å videreformidle personopplysninger til forsikringsselskaper for å forebygge ulovlig handel med stjålne motorkjøretøyer eller for å gjøre det lettere å finne stjålne motorkjøretøyer i utlandet. Dette innebærer ikke at politiets og rettsvesenets oppgaver overføres til private.
Reglene i denne rammebeslutning om formidling av personopplysninger fra rettsvesenet, politiet eller tollvesenet til private gjelder ikke formidling av opplysninger til private (som f.eks. forsvarsadvokater og ofre) i forbindelse med straffesaker.
Viderebehandling av personopplysninger som er mottatt fra eller stilt til rådighet av den kompetente myndighet i en annen medlemsstat, særlig det å videreformidle slike opplysninger eller stille dem til rådighet på nytt, bør være gjenstand for felles regler på europeisk plan.
Dersom personopplysninger kan viderebehandles etter at medlemsstaten som opplysningene er mottatt fra, har gitt sitt samtykke, bør hver medlemsstat ha mulighet til å fastsette de nærmere betingelser for et slikt samtykke, herunder f.eks. ved å gi et allment samtykke for kategorier av opplysninger og kategorier av viderebehandling.
Dersom personopplysninger kan viderebehandles for administrative formål, omfatter dette også aktivitet som utføres av regulerings- eller tilsynsmyndigheter.
Politiets, tollvesenets, rettsvesenets og andre kompetente myndigheters legitime virksomhet kan gjøre det nødvendig å formidle opplysninger til myndigheter i tredjestater eller internasjonale organer som har forpliktelser når det gjelder forebygging, etterforsking, avdekking eller rettsforfølgning av straffbare handlinger eller fullbyrdelse av strafferettslige sanksjoner.
Dersom personopplysninger overføres fra en medlemsstat til tredjestater eller internasjonale organer, bør disse opplysningene av prinsipp beskyttes i tilstrekkelig grad.
Dersom personopplysninger overføres fra en medlemsstat til tredjestater eller internasjonale organer, bør en slik overføring i prinsippet først skje etter at den medlemsstat der opplysningene er innhentet, har gitt sitt samtykke til slik overføring. Hver medlemsstat bør ha mulighet til å fastsette nærmere betingelser for slikt samtykke, herunder f.eks. ved å gi et allment samtykke for kategorier av opplysninger eller bestemte tredjestater.
Et effektivt samarbeid for å bekjempe straffbare handlinger krever at dersom en trussel mot en medlemsstats eller en tredjestats offentlige sikkerhet er så overhengende at det er umulig å innhente forutgående samtykke i tide, bør den kompetente myndighet kunne videreformidle de relevante personopplysninger til den aktuelle tredjestat uten et slikt samtykke på forhånd. Det samme kan være tilfellet dersom andre vesentlige interesser, av samme betydning, i en medlemsstat står på spill, f.eks. dersom kritisk infrastruktur i en medlemsstat skulle bli gjenstand for en overhengende og alvorlig trussel, eller dersom en medlemsstats finanssystem skulle bli rammet av alvorlige forstyrrelser.
Det kan være nødvendig å underrette den registrerte personen om behandling av opplysninger om vedkommende, spesielt ved særdeles alvorlig krenkelse av vedkommendes rettigheter som følge av hemmelig innsamling av opplysninger, for å sikre registrerte personer effektiv rettssikkerhet.
Medlemsstatene bør påse at den registrerte person underrettes om at personopplysninger kan bli eller blir innsamlet, behandlet eller overført til en annen medlemsstat med henblikk på å forebygge, etterforske, avdekke eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner. Nærmere bestemmelser om den registrertes personens rett til å bli underrettet og unntak fra denne retten bør fastsettes i den nasjonale lovgivningen. Dette kan skje i en generell form, f.eks. ved lov eller ved offentliggjøring av en liste over behandlingsmåter.
For å sikre vern av personopplysninger uten å sette målet med strafferettslig etterforskning i fare, er det nødvendig å definere den registrertes personens rettigheter.
Noen medlemsstater har fastsatt bestemmelser som gir en registrert person i straffesaker rett til tilgang gjennom en ordning der den nasjonale tilsynsmyndigheten, i den registrertes personens sted, har ubegrenset tilgang til alle personopplysninger om vedkommende og likeledes kan korrigere, slette eller oppdatere uriktige opplysninger. I slike tilfeller med indirekte tilgang kan det i disse medlemsstatenes nasjonale lovgivning fastsettes at den nasjonale tilsynsmyndigheten bare skal informere den registrerte personen om at alle nødvendige kontroller er foretatt. Disse medlemsstatene skal imidlertid også gi den registrerte personen muligheten til å få direkte tilgang i særlige tilfeller, f.eks. tilgang til strafferegistret for å få kopi av egne strafferegisteropplysninger eller dokumenter som gjelder egne politiavhør.
Det bør fastsettes felles regler om fortrolig og sikker behandling, om erstatningsansvar og sanksjoner ved ulovlig bruk av opplysningene fra de kompetente myndigheters side samt om de rettsmidler den registrerte personen har til rådighet. Det er imidlertid opp til den enkelte medlemsstat å utforme sine regler om skadeerstatningsansvar og fastsette hvilke straffereaksjoner som skal anvendes ved overtredelser av de nasjonale datavernbestemmelsene.
Denne rammebeslutning tillater at det tas hensyn til prinsippet om allmennhetens innsyn i offentlige dokumenter ved gjennomføringen av prinsippene i denne rammebeslutning.
Når det er nødvendig å beskytte personopplysninger i forbindelse med en behandling som, på grunn av dens omfang eller type, innebærer særlig fare for den registrertes personens grunnleggende rettigheter og friheter, f.eks. behandling ved hjelp av ny teknologi, nye mekanismer eller framgangsmåter, bør en sørge for at de kompetente nasjonale tilsynsmyndigheter konsulteres før det opprettes registre for behandling av disse opplysningene.
Opprettelse av uavhengige tilsynsmyndigheter i medlemsstatene er en meget viktig del av vernet av personopplysninger som behandles innenfor rammen av politisamarbeid og rettslig samarbeid mellom medlemsstatene.
De tilsynsmyndighetene som allerede er opprettet i medlemsstatene i henhold til direktiv 95/46/EF, bør også kunne påta seg ansvaret for oppgavene som skal utføres av de nasjonale tilsynsmyndighetene som skal opprettes i samsvar med denne rammebeslutning.
Disse tilsynsmyndighetene bør ha de nødvendige midler til å kunne utføre sine oppgaver, herunder myndighet til å foreta undersøkelser og gripe inn, særlig når det gjelder klager fra enkeltpersoner, eller myndighet til å innlede rettslige skritt. Disse tilsynsmyndighetene bør bidra til å sikre innsyn i behandlingen av opplysninger som utføres i medlemsstatene de hører under. Deres myndighet bør imidlertid ikke gripe inn i spesifikke regler fastsatt for straffeforfølgning eller i justismyndighetenes uavhengighet.
I henhold til artikkel 47 i traktaten om Den europeiske union skal intet i denne traktaten berøre traktatene om opprettelse av De europeiske fellesskap eller de senere traktater og akter som endrer og utfyller dem. Denne rammebeslutning berører følgelig ikke vern av personopplysninger i henhold til fellesskapsretten, særlig vern fastsatt i direktiv 95/46/EF, europaparlaments- og rådsforordning (EF) nr. 45/2001 av 18. desember 2000 om personvern i forbindelse med behandling av personopplysninger i Fellesskapets institusjoner og organer og om fri utveksling av slike opplysninger [4] og europaparlaments- og rådsdirektiv 2002/58/EF av 12. juli 2002 om behandling av personopplysninger og beskyttelse av privatlivets fred i sektoren for elektronisk kommunikasjon (direktiv om privatlivets fred og elektronisk kommunikasjon) [5].
Denne rammebeslutning berører ikke bestemmelsene om ulovlig tilgang til opplysninger i Rådets rammebeslutning 2005/222/JIS av 24. februar 2005 om angrep på informasjonssystemer [6].
Denne rammebeslutning berører ikke gjeldende forpliktelser som medlemsstatene eller EU har i henhold til bilaterale og/eller multilaterale avtaler som er inngått med tredjestater. Fremtidige avtaler bør være i overensstemmelse med reglene om utveksling med tredjestater.
Flere rettsakter vedtatt på grunnlag av avdeling VI i traktaten om Den europeiske union inneholder særlige bestemmelser om vern av personopplysninger som utveksles eller på annen måte behandles i henhold til disse rettsaktene. I noen tilfeller utgjør disse bestemmelsene et komplett og enhetlig sett med regler som omfatter alle relevante aspekter ved datavern (prinsipper om datakvalitet, regler om datasikkerhet, regulering av de registrerte personenes rettigheter og vern, samt organisering av tilsyn og ansvar), og de regulerer disse forhold mer detaljert enn denne rammebeslutning. De relevante datavernbestemmelser i disse rettsaktene, særlig bestemmelsene om Europols, Eurojusts, Schengeninformasjonssystemets (SIS) og tollinformasjonssystemets (CIS) virkemåte samt de bestemmelser som gir medlemsstatenes myndigheter direkte tilgang til visse datasystemer i andre medlemsstater, bør ikke berøres av denne rammebeslutning. Det samme gjelder de datavernbestemmelser som regulerer elektronisk overføring mellom medlemsstatene av DNA-profiler, fingeravtrykksopplysninger og nasjonale registreringsdata for motorkjøretøyer i henhold til rådsbeslutning 2008/615/JIS av 23. juni 2008 om intensivering av det grenseoverskridende samarbeidet, særlig med henblikk på bekjempelse av terrorisme og grenseoverskridende kriminalitet [7].
I andre tilfeller har datavernbestemmelsene i rettsakter vedtatt på grunnlag av avdeling VI i traktaten om Den europeiske union en mer begrenset rekkevidde. I disse rettsaktene stilles det ofte særskilte krav til den medlemsstat som mottar personopplysninger fra andre medlemsstater med hensyn til de formål de aktuelle opplysningene kan brukes til, mens det for andre aspekter ved datavernet henvises til Europarådets konvensjon av 28. januar 1981 om personvern i forbindelse med elektronisk behandling av personopplysninger eller til nasjonal lovgivning. I den grad bestemmelsene i de rettsaktene som stiller krav til mottaker-medlemsstater med hensyn til bruk eller videreformidling av personopplysninger, er mer restriktive enn tilsvarende bestemmelser i denne rammebeslutning, bør de førstnevnte bestemmelser forbli uberørt. For alle andre aspekter bør imidlertid reglene i denne rammebeslutning gjelde.
Denne rammebeslutning berører ikke Europarådets konvensjon om personvern i forbindelse med elektronisk behandling av personopplysninger, tilleggsprotokollen til denne konvensjon av 8. november 2001 eller Europarådets konvensjoner om rettslig samarbeid i straffesaker.
Ettersom målet med denne rammebeslutning, nemlig å fastsette felles regler for vern av personopplysninger i forbindelse med politisamarbeid og rettslig samarbeid i straffesaker, ikke i tilstrekkelig grad kan oppfylles av medlemsstatene og derfor på grunn av handlingens omfang og virkninger bedre kan oppfylles på unionsplan, kan EU treffe tiltak i samsvar med nærhetsprinsippet som er nedfelt i artikkel 5 i traktaten om opprettelse av Det europeiske fellesskap og som det vises til i artikkel 2 i traktaten om Den europeiske union. I samsvar med forholdsmessighetsprinsippet nedfelt i artikkel 5 i traktaten om opprettelse av Det europeiske fellesskap, går denne rammebeslutning ikke lenger enn det som er nødvendig for å nå dette mål.
Det forente kongerike deltar i denne rammebeslutning i samsvar med artikkel 5 i protokollen om integrering av Schengen-regelverket i Den europeiske union som følger som vedlegg til traktaten om Den europeiske union og traktaten om opprettelse av Det europeiske fellesskap, og artikkel 8 nr. 2 i rådsbeslutning 2000/365/EF av 29. mai 2000 om anmodningen fra Det forente kongerike Storbritannia og Nord-Irland om å delta i visse bestemmelser i Schengen-regelverket [8].
Irland deltar i denne rammebeslutning i samsvar med artikkel 5 i protokollen om integrering av Schengen-regelverket i Den europeiske union som følger som vedlegg til traktaten om Den europeiske union og traktaten om opprettelse av Det europeiske fellesskap, og artikkel 6 nr. 2 i rådsbeslutning 2002/192/EF av 28. februar 2002 om anmodningen fra Irland om å delta i visse bestemmelser i Schengen-regelverket [9].
Med hensyn til Island og Norge utgjør denne rammebeslutning en videreutvikling av bestemmelsene i Schengen-regelverket i henhold til avtalen som Rådet for Den europeiske union har inngått med Republikken Island og Kongeriket Norge om de sistnevnte statenes tilknytning til gjennomføringen, anvendelsen og videreutviklingen av Schengen-regelverket [10] som faller inn under området omhandlet i artikkel 1 bokstav H og I, i rådsbeslutning 1999/437/EF om visse gjennomføringsbestemmelser til nevnte avtale [11].
Med hensyn til Sveits utgjør denne rammebeslutning en videreutvikling av bestemmelsene i Schengen-regelverket i henhold til avtalen inngått mellom Den europeiske union, Det europeiske fellesskap og Det sveitsiske edsforbund om denne statens tilknytning til gjennomføringen, anvendelsen og videreutviklingen av Schengen-regelverket [12] som faller inn under området omhandlet i artikkel 1 bokstav H og I i beslutning 1999/437/EF sammenholdt med artikkel 3 i rådsbeslutning 2008/149/JIS [13] om inngåelse av nevnte avtale på Den europeiske unions og Det europeiske fellesskaps vegne.
Med hensyn til Liechtenstein utgjør denne rammebeslutning en videreutvikling av bestemmelsene i Schengen-regelverket i henhold til protokollen inngått mellom Den europeiske union, Det europeiske fellesskap, Det sveitsiske edsforbund og Fyrstedømmet Liechtenstein om Fyrstedømmet Liechtensteins tiltredelse av avtalen mellom Den europeiske union, Det europeiske fellesskap og Det sveitsiske edsforbund om Det sveitsiske edsforbunds tilknytning til gjennomføringen, anvendelsen og videreutviklingen av Schengen-regelverket som faller inn under området omhandlet i artikkel 1 bokstav H og I i beslutning 1999/437/EF sammenholdt med artikkel 3 i rådsbeslutning 2008/262/EF [14] om undertegning av nevnte protokoll på Den europeiske unions vegne.
Denne rammebeslutning er i overensstemmelse med de grunnleggende rettigheter og prinsipper som særlig anerkjennes i Den europeiske unions charter om grunnleggende rettigheter [15]. Denne rammebeslutning har som mål å sikre full respekt for retten til privatlivets fred og vern av personopplysninger nedfelt i artikkel 7 og 8 i charteret —
VEDTATT FØLGENDE RAMMEBESLUTNING:
Artikkel 1
Formål og anvendelsesområde
Denne rammebeslutning har til formål å sikre et høyt beskyttelsesnivå av fysiske personers grunnleggende rettigheter og friheter, og særlig deres rett til privatlivets fred, ved behandling av personopplysninger innenfor rammen av politisamarbeid og rettslig samarbeid i straffesaker nedfelt i avdeling VI i traktaten om Den europeiske union, og samtidig sikre offentlig sikkerhet på høyt nivå.
Medlemsstatene skal i samsvar med denne rammebeslutning beskytte fysiske personers grunnleggende rettigheter og friheter og særlig deres rett til privatlivets fred, når personopplysninger, med henblikk på å forebygge, etterforske, avdekke eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner:
overføres, er overført, stilles til rådighet eller er stilt til rådighet mellom medlemsstater,
overføres, er overført, stilles til rådighet eller er stilt til rådighet av medlemsstater for myndigheter eller informasjonssystemer opprettet i henhold til avdeling VI i traktaten om Den europeiske union, eller
overføres, er overført, stilles til rådighet eller er stilt til rådighet for de kompetente myndigheter i medlemsstatene av myndigheter eller informasjonssystemer opprettet i henhold til traktaten om Den europeiske union eller traktaten om opprettelse av Det europeiske fellesskap.
Denne rammebeslutningens bestemmelser får anvendelse på behandling av personopplysninger som helt eller delvis utføres med elektroniske hjelpemidler, og på ikke-elektronisk behandling av personopplysninger som inngår eller vil inngå i et register.
Denne rammebeslutning berører ikke vesentlige nasjonale sikkerhetsinteresser og særskilt etterretningsvirksomhet som gjelder nasjonal sikkerhet.
Denne rammebeslutning er ikke til hinder for at medlemsstatene kan fastsette strengere garantier enn dem som er fastsatt i denne rammebeslutning når det gjelder vern av personopplysninger som innsamles eller behandles nasjonalt.
Artikkel 2
Definisjoner
I denne rammebeslutning betyr:
«personopplysning»: enhver opplysning om en identifisert eller identifiserbar person («den registrerte»); en identifiserbar person er en som direkte eller indirekte kan identifiseres, særlig ved hjelp av et identifikasjonsnummer eller ett eller flere elementer som er særegne for personens fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet,
«behandling av personopplysninger» («behandling»): «:enhver operasjon eller rekke av operasjoner som med eller uten elektroniske hjelpemidler utføres i forbindelse med personopplysninger, for eksempel innsamling, registrering, systematisering, oppbevaring, tilpasning eller endring, gjenfinning, søking, bruk, videreformidling og overføring, spredning eller andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, sperring, sletting eller tilintetgjøring,
«sperring»: merking av lagrede personopplysninger med henblikk på å begrense fremtidig behandling av disse opplysningene,
«personregister» og «register»: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, enten samlingen er plassert sentralt, er desentralisert eller spredt på grunnlag av funksjonelle eller geografiske forhold,
«databehandler»: ethvert organ som behandler personopplysninger på den behandlingsansvarliges vegne,
«mottaker»: ethvert organ som opplysningene formidles til,
«den registrertes samtykke»: enhver frivillig, spesifikk og informert viljesytring der den registrerte gir sitt samtykke til at personopplysninger om vedkommende blir behandlet,
«kompetente myndigheter»: institusjoner eller organer opprettet ved rettsakter vedtatt av Rådet i henhold til avdeling VI i traktaten om Den europeiske union, samt politi, tollvesen, rettslige myndigheter og andre kompetente myndigheter i medlemsstatene som i henhold til nasjonal lov har myndighet til å behandle personopplysninger innenfor denne rammebeslutningens anvendelsesområde,
«behandlingsansvarlig»: den fysiske eller juridiske person, offentlige myndighet, institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes,
«merking»: merking av lagrede personopplysninger uten at det er hensikten å begrense fremtidig behandling av disse opplysninger,
«anonymisere»: å endre personopplysninger på en slik måte at detaljer om personlige eller konkrete forhold ikke lenger eller kun med en uforholdsmessig stor innsats av tid, kostnader og arbeid kan knyttes til en identifisert eller identifiserbar fysisk person.
Artikkel 3
Prinsippet om lovlighet, forholdsmessighet og formål
Personopplysninger kan samles inn av de kompetente myndigheter kun for bestemte, uttrykkelig angitte og legitime formål innenfor rammen av deres oppgaver, og kan kun behandles for det formålet de er innsamlet for. Behandlingen av opplysningene skal være lovlig og adekvat, relevant og stå i rimelig forhold til de formålene opplysningene er innsamlet for.
Videre behandling for et annet formål er tillatt dersom:
denne behandlingen ikke er uforenelig med de formål opplysningene er innsamlet for,
de kompetente myndigheter i henhold til gjeldende lovbestemmelser har rett til å behandle disse opplysningene for et slikt annet formål, og
denne behandling er nødvendig og står i rimelig forhold til dette andre formålet.
De kompetente myndigheter kan dessuten viderebehandle overførte personopplysninger for historiske, statistiske eller vitenskapelige formål, forutsatt at medlemsstatene gir de nødvendige garantier, som f.eks. ved at opplysningene gjøres anonyme.
Artikkel 4
Korrigering, sletting og sperring
Personopplysninger skal korrigeres dersom de er uriktige og, dersom det er mulig og nødvendig, suppleres eller oppdateres.
Personopplysninger skal slettes eller gjøres anonyme når de ikke lenger er nødvendige for de formål de er innsamlet for, eller viderebehandles på lovlig vis. Denne bestemmelsen berører ikke arkivering av opplysninger i en særskilt samling av data i et hensiktsmessig tidsrom i henhold til nasjonal lovgivning.
Personopplysninger skal ikke slettes, men sperres dersom det er rimelig grunn til å tro at sletting vil kunne skade den registrertes legitime interesser. Sperrede opplysninger kan bare behandles for det formål som forhindret at de ble slettet.
Når en rettsavgjørelse eller et register knyttet til utferdigelsen av en rettsavgjørelse inneholder personopplysninger, skal korrigering, sletting eller sperring skje i samsvar med nasjonale rettslige prosedyrer.
Artikkel 5
Fastsettelse av tidsfrister for sletting og kontroll
Det skal fastsettes egnede frister for sletting av personopplysninger eller for regelmessig kontroll av behovet for lagringen av opplysningene. Forskriftsmessige prosedyrer skal sikre at disse tidsfristene overholdes.
Artikkel 6
Behandling av særlige kategorier opplysninger
Behandling av personopplysninger om rasemessig eller etnisk opprinnelse, politiske oppfatninger, religiøs eller filosofisk overbevisning og fagforeningsmedlemskap samt behandling av opplysninger om helse eller seksualliv er kun tillatt dersom det er strengt nødvendig og når den nasjonale lovgivningen gir tilstrekkelige beskyttelsesgarantier.
Artikkel 7
Edb-baserte individuelle beslutninger
En beslutning som har negative rettslige virkninger for den registrerte eller påvirker vedkommende i vesentlig grad, og som utelukkende er truffet på grunnlag av elektronisk behandling av opplysninger med sikte på å vurdere visse personlige forhold, er kun tillatt dersom dette er fastsatt ved lov som også inneholder bestemmelser som sikrer vern av den registrertes legitime interesser.
Artikkel 8
Kontroll av kvaliteten på opplysningene som overføres eller stilles til rådighet
De kompetente myndigheter skal treffe alle rimelige tiltak for å sikre at personopplysninger som er uriktige, ufullstendige eller ikke oppdaterte, ikke overføres eller stilles til rådighet. For dette formålet skal de kompetente myndigheter så vidt mulig kontrollere kvaliteten på personopplysningene før de overføres eller stilles til rådighet. I forbindelse med all overføring av opplysninger skal tilgjengelig informasjon så vidt mulig vedlegges opplysningene slik at mottaker-medlemsstaten kan bedømme graden av riktighet, fullstendighet, aktualitet og pålitelighet. Dersom personopplysningene er blitt overført uoppfordret, skal den mottakende myndighet straks kontrollere om opplysningene er nødvendige for formålet de ble overført for.
Dersom det konstateres at uriktige opplysninger er blitt overført, eller at opplysningene er overført ulovlig, skal mottakeren straks underrettes om dette. Opplysningene må korrigeres, slettes eller sperres omgående i samsvar med artikkel 4.
Artikkel 9
Tidsfrister
Myndigheten som overfører opplysninger, kan på det tidspunkt opplysningene overføres eller stilles til rådighet, i henhold til nasjonal lovgivning og i samsvar med artikkel 4 og 5, oppgi fristene for oppbevaring av opplysningene; etter disse fristenes utløp har mottakeren plikt til å slette eller sperre opplysningene eller kontrollere om det fortsatt er behov for dem. Denne plikten skal ikke anvendes dersom opplysningene ved fristenes utløp er nødvendige for en pågående etterforskning, rettslig forfølgning av straffbare handlinger eller fullbyrdelse av strafferettslige sanksjoner.
Dersom myndigheten som overfører opplysningene ikke har angitt en tidsfrist i samsvar med nr. 1, skal tidsfristene omhandlet i artikkel 4 og 5 for oppbevaring av opplysninger i samsvar med den mottakende medlemsstatens nasjonale lovgivning anvendes.
Artikkel 10
Registrering og dokumentasjon
Hver overføring av personopplysninger skal registreres eller dokumenteres for å kunne kontrollere om databehandlingen er lovlig, utføre egenkontroll og sikre opplysningenes integritet og sikkerhet.
Registreringer eller dokumentasjon i henhold til nr. 1 skal etter anmodning overføres til den kompetente tilsynsmyndighet for datavernkontroll. Den kompetente tilsynsmyndighet skal kun anvende disse opplysningene for kontroll med hensyn til datavern, korrekt behandling og opplysningenes integritet og sikkerhet.
Artikkel 11
Behandling av personopplysninger som mottas fra eller stilles til rådighet av en annen medlemsstat
Personopplysninger som mottas fra eller stilles til rådighet av en annen medlemsstats kompetente myndighet, kan i henhold til kravene i artikkel 3 nr. 2, kun viderebehandles for følgende formål, utover dem de ble overført eller stilt til rådighet for:
for å forebygge, etterforske, avdekke eller rettsforfølge andre straffbare handlinger eller fullbyrde andre strafferettslige sanksjoner enn de som opplysningene ble overført eller stilt til rådighet for,
for andre rettslige og administrative prosedyrer som er direkte knyttet til forebygging, etterforskning, avdekking eller rettsforfølgning av straffbare handlinger eller fullbyrdelse av strafferettslige sanksjoner,
for å avverge en overhengende og alvorlig trussel mot offentlig sikkerhet, eller
for ethvert annet formål utelukkende med forutgående samtykke fra medlemsstaten som overfører opplysningene eller med den registrertes samtykke gitt i samsvar med nasjonal rett.
De kompetente myndigheter kan dessuten viderebehandle overførte personopplysninger for historiske, statistiske eller vitenskapelige formål, forutsatt at medlemsstatene gir de nødvendige garantier, som f.eks. ved at opplysningene gjøres anonyme.
Artikkel 12
Overholdelse av nasjonale restriksjoner for behandling av opplysninger
Dersom lovgivningen i medlemsstaten som overfører opplysninger, under bestemte omstendigheter, setter særlige begrensninger for utveksling av opplysninger mellom kompetente myndigheter innenfor denne medlemsstat, skal myndigheten som overfører opplysninger gjøre mottakeren oppmerksom på disse begrensningene. Mottakeren skal påse at disse begrensningene overholdes.
Ved anvendelse av nr. 1 skal medlemsstatene ikke anvende andre restriksjoner for overføring av opplysninger til andre medlemsstater eller institusjoner eller organer opprettet i henhold til avdeling VI i traktaten om Den europeiske union, enn de som gjelder for tilsvarende nasjonale overføringer av opplysninger.
Artikkel 13
Overføring til kompetente myndigheter i tredjestater eller til internasjonale organer
Medlemsstatene skal fastsette bestemmelser om at personopplysninger som mottas fra eller stilles til rådighet av den kompetente myndighet i en annen medlemsstat, kun kan overføres til tredjestater eller internasjonale organer dersom:
det er nødvendig for å forebygge, etterforske, avdekke eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner,
den myndighet i tredjestaten eller det internasjonale organ som mottar opplysningene, har ansvaret for å forebygge, etterforske, avdekke eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner,
den medlemsstat der opplysningene er innhentet har gitt sitt samtykke til overføringen i samsvar med sin nasjonale lovgivning, og
den berørte tredjestat eller internasjonale organ sørger for en tilstrekkelig grad av beskyttelse for den aktuelle behandling av opplysningene.
Overføring uten forutgående samtykke i samsvar med nr. 1 bokstav c) skal kun tillates dersom overføringen av opplysningene er avgjørende for å kunne avverge en overhengende og alvorlig trussel mot en medlemsstats eller en tredjestats offentlige sikkerhet eller mot en medlemsstats vesentlige interesser og et forutgående samtykke ikke kan innhentes i tide. Den myndighet som har ansvaret for å gi slikt samtykke, skal underrettes omgående.
Som unntak fra nr. 1 bokstav d) kan personopplysninger overføres dersom:
den nasjonale lovgivning i den medlemsstat som overfører opplysningene, foreskriver dette av hensyn til:
den registrertes spesifikke legitime interesser eller
tungtveiende legitime interesser, særlig viktige offentlige interesser, eller
tredjestaten eller det internasjonale organ som mottar opplysningene, gir sikkerhetsgarantier som den aktuelle medlemsstat anser som tilstrekkelige i henhold til sin nasjonale lovgivning.
Vurderingen av hvorvidt graden av beskyttelse i nr. 1 bokstav d) er tilstrekkelig, skal skje på grunnlag av alle forhold knyttet til én eller flere overføringer av opplysninger. Det skal spesielt tas hensyn til opplysningenes art, den eller de påtenkte behandlingenes formål og varighet, opprinnelsesstaten og den stat eller det internasjonale organ som er sluttmottaker for opplysningene, gjeldende rettsregler, både generelle regler og sektorregler, i vedkommende tredjestat eller internasjonale organ og de yrkesregler og sikkerhetstiltak som får anvendelse.
Artikkel 14
Overføring av opplysninger til private i medlemsstatene
Medlemsstatene skal fastsette bestemmelser om at personopplysninger som mottas fra eller stilles til rådighet av en annen medlemsstats kompetente myndighet, kun kan overføres til private dersom:
den kompetente myndighet i den medlemsstat der opplysningene er innhentet, har gitt sitt samtykke til overføring i samsvar med sin nasjonale lovgivning,
den registrertes spesifikke legitime interesser ikke er til hinder for overføring, og
overføring av opplysninger i særlige tilfeller er avgjørende for at den kompetente myndighet som overfører opplysningene til en privatperson, skal kunne:
utføre en oppgave den er pålagt ved lov,
forebygge, etterforske, avdekke eller rettsforfølge straffbare handlinger eller fullbyrde strafferettslige sanksjoner,
avverge en overhengende og alvorlig trussel mot offentlig sikkerhet eller
forhindre alvorlig krenkelse av enkeltpersoners rettigheter.
Den kompetente myndighet som overfører opplysninger til en privatperson, skal informere vedkommende om hvilke formål opplysningene utelukkende kan anvendes for.
Artikkel 15
Informasjon etter anmodning fra den kompetente myndighet
Mottakeren skal på anmodning informere den kompetente myndighet som har overført eller stilt personopplysningene til rådighet, om sin behandling av disse.
Artikkel 16
Opplysningsplikt overfor den registrerte
Medlemsstatene skal påse at den registrerte blir underrettet om deres kompetente myndighetenes innsamling og behandling av personopplysninger, i samsvar med nasjonal lovgivning.
Når personopplysninger er blitt overført eller stilt til rådighet mellom medlemsstater, kan hver medlemsstat i samsvar med bestemmelsene i sin nasjonale lovgivning omhandlet i nr. 1, anmode den andre medlemsstaten om ikke å underrette den registrerte. I slike tilfeller skal den sistnevnte medlemsstaten ikke underrette den registrerte uten at den andre medlemsstaten på forhånd har gitt sitt samtykke.
Artikkel 17
Innsynsrett
Hver registrerte person har, på anmodning fremsatt med rimelige mellomrom, rett til å motta, uten hinder og uten større ventetid eller utgifter, minst følgende informasjon:
en bekreftelse fra den behandlingsansvarlige eller den nasjonale tilsynsmyndighet på om opplysninger om ham/henne er blitt overført eller stilt til rådighet, samt informasjon om hvilke mottakere eller kategorier mottakere opplysningene er formidlet til og informasjon om hvilke opplysninger som er gjenstand for behandling, eller
en bekreftelse fra den nasjonale tilsynsmyndighet på at alle nødvendige kontroller er blitt utført.
Medlemsstatene kan vedta lovbestemmelser som begrenser retten til innsyn i henhold til nr. 1 bokstav a), dersom en slik begrensning, under tilbørlig hensyn til vedkommendes legitime interesser, er et nødvendig og rimelig tiltak for å:
unngå at det legges hindringer i veien for offisielle eller rettslige undersøkelser, etterforskning eller prosedyrer,
unngå at forebygging, avdekking, etterforskning og rettsforfølgning av straffbare handlinger skades, eller av hensyn til fullbyrdelsen av strafferettslige sanksjoner,
beskytte offentlig sikkerhet,
beskytte nasjonal sikkerhet,
beskytte den registrerte eller andres rettigheter og friheter.
Dersom innsyn avslås eller begrenses, skal den registrerte underrettes skriftlig om dette. De faktiske eller rettslige grunnene som beslutningen bygger på, skal samtidig meddeles vedkommende. Sistnevnte meddelelse kan unnlates dersom dette kan begrunnes i henhold til nr. 2 bokstav a) til e). I alle disse tilfellene skal den registrerte gjøres oppmerksom på at han/hun kan inngi klage til den kompetente nasjonale tilsynsmyndighet, en rettslig myndighet eller en domstol.
Artikkel 18
Rett til korrigering, sletting eller sperring
Den registrerte har rett til å forvente at den behandlingsansvarlige oppfyller sin plikt i henhold til artikkel 4, 8 og 9 til å korrigere, slette eller sperre personopplysninger som er registrert innenfor rammen av denne rammebeslutning. Medlemsstatene skal fastsette bestemmelse om hvorvidt den registrerte kan gjøre denne rettighet gjeldende direkte overfor den behandlingsansvarlige eller gjennom den kompetente nasjonale tilsynsmyndighet. Dersom den behandlingsansvarlige avslår å korrigere, slette eller sperre, må avslaget meddeles skriftlig, og den registrerte må informeres om mulighetene som finnes etter den nasjonale lovgivning for å inngi en klage eller bringe saken inn for en rettsinstans. Etter at klagen eller saken er behandlet, skal den registrerte informeres om hvorvidt den behandlingsansvarlige har handlet korrekt eller ikke. Medlemsstatene kan også fastsette at den registrerte skal underrettes av den kompetente nasjonale tilsynsmyndighet om at det er foretatt en kontroll.
Dersom den registrerte bestrider riktigheten ved en personopplysning og det ikke kan fastslås om opplysningen er riktig eller ikke, kan opplysningen merkes med en anførsel.
Artikkel 19
Rett til erstatning
Enhver som har lidt skade som følge av en ulovlig behandling av personopplysninger eller annen handling som er uforenlig med de nasjonale bestemmelser vedtatt i henhold til denne rammebeslutning, skal ha rett til erstatning for den skade han/hun har lidt fra den behandlingsansvarlige eller annen kompetent myndighet i henhold til nasjonal lovgivning.
Dersom en kompetent myndighet i en medlemsstat har overført personopplysninger, kan mottakeren ikke påberope seg at de overførte opplysningene var uriktige for å unngå det ansvaret denne har overfor den skadelidte i henhold til nasjonal lovgivning. Dersom mottakeren utbetaler erstatning for skade påført som følge av bruk av feilaktig overførte opplysninger, skal den kompetente myndighet som har overført opplysningene refundere erstatningsbeløpet til mottakeren, idet eventuelle feil begått av mottakeren tas med i beregning.
Artikkel 20
Rettsmidler
Uten at det berører en eventuell administrativ klageadgang som kan benyttes før en sak bringes inn for en rettsinstans, skal den registrerte ha rett til å innbringe for en domstol enhver krenkelse av de rettigheter som han/hun er garantert gjennom den nasjonale lovgivning som får anvendelse.
Artikkel 21
Fortrolighet i forbindelse med behandlingen
Personer som har tilgang til personopplysninger som faller inn under denne rammebeslutningens anvendelsesområde, kan bare behandle disse opplysningene dersom vedkommende er ansatt ved eller handler etter instruks fra den kompetente myndighet, med mindre vedkommende er pålagt dette ved lov.
Personer som arbeider for en kompetent myndighet i en medlemsstat, skal være bundet av alle datavernbestemmelser som gjelder for den aktuelle kompetente myndighet.
Artikkel 22
Sikkerhet i forbindelse med behandlingen
Medlemsstatene skal sørge for at de kompetente myndigheter iverksetter hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger mot utilsiktet eller ulovlig tilintetgjørelse, mot utilsiktet tap, mot endringer, mot ikke-autorisert formidling eller tilgang, særlig hvis behandlingen innebærer overføring av opplysninger over nett eller at opplysningene stilles til rådighet ved å gi direkte elektronisk tilgang, samt mot enhver annen form for ulovlig behandling; det bør i denne sammenheng tas særlig hensyn til risiko som behandlingen innebærer, og typen opplysninger som skal beskyttes. Disse tiltakene skal sørge for et tilstrekkelig sikkerhetsnivå i forhold til den risiko behandlingen innebærer og typen opplysninger som skal beskyttes, idet det tas hensyn til ny teknologi og kostnadene forbundet med iverksettelsen av tiltakene.
Når det gjelder elektronisk databehandling, skal hver medlemsstat treffe egnede tiltak for å:
hindre at ikke-autoriserte personer får tilgang til anleggene som benyttes ved behandling av personopplysninger (kontroll med fysisk tilgang til anleggene),
hindre at datamedier kan leses, kopieres, endres eller fjernes av ikke-autoriserte personer (kontroll med datamedier),
hindre ikke-autorisert registrering av opplysninger og ikke-autorisert lesing, endring eller sletting av registrerte personopplysninger (kontroll med lagring),
hindre at edb-systemene kan benyttes av ikke-autoriserte personer ved hjelp av datakommunikasjonsutstyr (brukerkontroll),
sikre at personer som er autorisert til å bruke et edb-system kun har tilgang til de opplysningene som omfattes av vedkommendes tilgangstillatelse (kontroll med datatilgang),
sikre at det er mulig å kontrollere og fastslå hvilke organer personopplysninger er blitt eller kan ha blitt overført til eller stilt til rådighet for ved hjelp av datakommunikasjonsutstyr (kontroll med kommunikasjonsutstyr),
sikre at det er mulig i etterkant å kontrollere og fastslå hvilke personopplysninger som er blitt lagt inn i edb-systemene, når og av hvem (kontroll med innlegging),
hindre ikke-autorisert lesing, kopiering, endring eller sletting av personopplysninger under overføring av slike data eller under transport av datamedier (kontroll med transport),
sikre at de installerte systemene kan gjenopprettes i tilfelle tekniske forstyrrelser inntreffer (gjenoppretting),
sikre at systemet fungerer, at det meldes fra om driftsfeil (pålitelighet), og at lagrede opplysninger ikke kan bli forfalsket som følge av feilfunksjon i systemet (dataintegritet).
Medlemsstatene skal fastsette bestemmelser om at databehandler kan utpekes bare dersom de kan gi de nødvendige garantier med hensyn til de tekniske og organisatoriske tiltak i henhold til nr. 1 og overholder instruksene i artikkel 21. Den kompetente myndighet skal kontrollere at databehandleren lever opp til disse kravene.
Databehandleren kan bare behandle personopplysninger på grunnlag av en rettsakt eller en skriftlig kontrakt.
Artikkel 23
Forutgående samråd
Medlemsstatene skal sikre at de kompetente nasjonale tilsynsmyndigheter blir konsultert før behandling av personopplysninger som vil inngå i et nytt register som skal opprettes, dersom:
spesielle kategorier opplysninger omhandlet i artikkel 6 skal behandles, eller
typen behandling, spesielt anvendelse av nye teknologier, mekanismer eller framgangsmåter, innebærer spesiell risiko for den registrertes grunnleggende rettigheter og friheter og særlig dennes rett til privatlivets fred.
Artikkel 24
Sanksjoner
Medlemsstatene skal treffe de nødvendige tiltak for å sikre at denne rammebeslutningens bestemmelser gjennomføres fullt ut, og de skal særlig fastsette sanksjoner som får anvendelse ved overtredelse av bestemmelser som vedtas i henhold til denne rammebeslutning; sanksjonene skal være effektive, stå i rimelig forhold til overtredelsen og ha avskrekkende virkning.
Artikkel 25
Nasjonale tilsynsmyndigheter
Hver medlemsstat skal sørge for at én eller flere offentlige myndigheter har til oppgave å veilede og overvåke anvendelsen, innenfor dens territorium, av de bestemmelser medlemsstaten vedtar for å gjennomføre denne rammebeslutning. Disse myndighetene skal utøve de funksjoner de er tillagt i full uavhengighet.
Hver tilsynsmyndighet skal særlig ha:
myndighet til å foreta undersøkelser, f.eks. få tilgang til opplysninger som er gjenstand for behandling og innhente alle opplysninger som er nødvendige for å ivareta sine tilsynsoppgaver,
faktisk myndighet til å gripe inn ved f.eks. å kunne avgi uttalelser før behandling finner sted og sikre en hensiktsmessig offentliggjøring av slike uttalelser, beordre sperring, sletting eller tilintetgjøring av opplysninger, forby en behandling midlertidig eller definitivt, gi den behandlingsansvarlige en advarsel eller irettesettelse, eller forelegge saken for nasjonale parlamenter eller andre politiske institusjoner,
myndighet til å innlede rettslige skritt ved overtredelse av nasjonale bestemmelser vedtatt i henhold til denne rammebeslutning eller gjøre rettslige myndigheter oppmerksom på slike overtredelser. Beslutninger truffet av tilsynsmyndigheten som er gjenstand for klage, kan bringes inn for en domstol.
Enhver person kan fremsette en begjæring til en tilsynsmyndighet om beskyttelse av sine rettigheter og friheter i forbindelse med behandling av personopplysninger. Den registrerte skal underrettes om utfallet av begjæringen.
Medlemsstatene skal fastsette bestemmelser om at tilsynsmyndighetenes medlemmer og ansatte er bundet av datavernsbestemmelsene som gjelder for den berørte kompetente myndighet, og at de er underlagt taushetsplikt, også etter sin fratredelse, med hensyn til fortrolige opplysninger de har tilgang til.
Artikkel 26
Forholdet til avtaler med tredjestater
Denne rammebeslutning berører ikke forpliktelser som medlemsstatene eller EU har i henhold til bilaterale og/eller multilaterale avtaler inngått med tredjestater som er gjeldende på det tidspunkt denne rammebeslutningen vedtas.
Ved anvendelse av disse avtalene skal overføring til en tredjestat av personopplysninger innhentet fra en annen medlemsstat skje i overensstemmelse med artikkel 13 nr. 1 bokstav c) eller eventuelt artikkel 13 nr. 2.
Artikkel 27
Evaluering
Medlemsstatene skal senest 27. november 2013 avlegge rapport til Kommisjonen om de nasjonale tiltak de har truffet for å sikre at denne rammebeslutning etterleves fullt ut, og særlig med hensyn til de bestemmelser som må være oppfylt allerede når opplysningene samles inn. Kommisjonen skal særlig vurdere hvilke konsekvenser disse bestemmelsene har for denne rammebeslutningens anvendelsesområde i henhold til artikkel 1 nr. 2.
Kommisjonen skal innen ett år avlegge rapport til Europaparlamentet og Rådet om resultatet av evalueringen omhandlet i nr. 1 og skal sammen med rapporten fremsette egnede forslag til endringer i denne rammebeslutning.
Artikkel 28
Forholdet til tidligere vedtatte EU-rettsakter
Dersom rettsakter som er vedtatt i henhold til avdeling VI i traktaten om Den europeiske union før den dag denne rammebeslutningen trer i kraft, og som regulerer utveksling av personopplysninger mellom medlemsstatene eller medlemsstatenes utpekte myndigheters tilgang til informasjonssystemer etablert i henhold til traktaten om opprettelse av Det europeiske fellesskap, inneholder særlige vilkår for mottaker-medlemsstatens anvendelse av slike opplysninger, skal disse vilkårene ha forrang i forhold til bestemmelsene i denne rammebeslutning når det gjelder anvendelse av opplysninger mottatt fra eller stilt til rådighet av en annen medlemsstat.
Artikkel 29
Gjennomføring
Medlemsstatene skal treffe de nødvendige tiltak for å etterkomme denne rammebeslutningens bestemmelser innen 27. november 2010.
Senest innen denne dato skal medlemsstatene meddele Rådssekretariatet og Kommisjonen teksten til de bestemmelser som innarbeider i deres nasjonale lovgivning de forpliktelser de har i henhold til denne rammebeslutning, samt informasjon om tilsynsmyndighetene omhandlet i artikkel 25. På bakgrunn av disse opplysningene og en skriftlig rapport utarbeidet av Kommisjonen, skal Rådet innen 27. november 2011 vurdere i hvilken utstrekning medlemsstatene har etterkommet bestemmelsene i denne rammebeslutning.
Artikkel 30
Ikrafttredelse
Denne rammebeslutning trer i kraft på den tjuende dagen etter at den er kunngjort i Den europeiske unions tidende.
Utferdiget i Brussel, 27. november 2008.
For Rådet
M. Alliot-Marie
Formann
[1] EUT C 125 E av 22.5.2008, s. 154.
[2] EUT C 198 av 12.8.2005, s. 1.
[3] EFT L 281 av 23.11.1995, s. 31.
[4] EFT L 8 av 12.1.2001, s. 1.
[5] EFT L 201 av 31.7.2002, s. 37.
[6] EUT L 69 av 16.3.2005, s. 67.
[7] EUT L 210 av 6.8.2008, s. 1.
[8] EFT L 131 av 1.6.2000, s. 43.
[9] EFT L 64 av 7.3.2002, s. 20.
[10] EFT L 176 av 10.7.1999, s. 36.
[11] EFT L 176 av 10.7.1999, s. 31.
[12] EUT L 53 av 27.2.2008, s. 52.
[13] EUT L 53 av 27.2.2008, s. 50.
[14] EUT L 83 av 26.3.2008, s. 5.
[15] EUT C 303 av 14.12.2007, s. 1.