AFTALE MELLEM DEN EUROPÆISKE UNION PÅ DEN ENE SIDE OG NEW ZEALAND PÅ DEN ANDEN SIDE OM UDVEKSLING AF PERSONOPLYSNINGER MELLEM DEN EUROPÆISKE UNIONS AGENTUR FOR RETSHÅNDHÆVELSESSAMARBEJDE (EUROPOL) OG NEW ZEALANDS KOMPETENTE MYNDIGHEDER FOR BEKÆMPELSE...
AFTALE MELLEM DEN EUROPÆISKE UNION PÅ DEN ENE SIDE OG NEW ZEALAND PÅ DEN ANDEN SIDE OM UDVEKSLING AF PERSONOPLYSNINGER MELLEM DEN EUROPÆISKE UNIONS AGENTUR FOR RETSHÅNDHÆVELSESSAMARBEJDE (EUROPOL) OG NEW ZEALANDS KOMPETENTE MYNDIGHEDER FOR BEKÆMPELSE AF GROV KRIMINALITET OG TERRORISME
DEN EUROPÆISKE UNION, i det følgende også benævnt »Unionen« eller »EU«, og
NEW ZEALAND,
i det følgende under ét benævnt »parterne«,
SOM TAGER I BETRAGTNING, at ved at muliggøre udveksling af personoplysninger mellem Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og New Zealands kompetente myndigheder vil denne aftale skabe rammerne for et styrket operationelt samarbejde mellem Unionen og New Zealand inden for retshåndhævelse, samtidig med at alle berørte fysiske personers menneskerettigheder og grundlæggende frihedsrettigheder, herunder retten til privatlivets fred og databeskyttelse, sikres.
SOM TAGER I BETRAGTNING, at denne aftale ikke berører ordninger om gensidig retlig bistand mellem New Zealand og EU-medlemsstaterne, som giver mulighed for udveksling af personoplysninger.
SOM TAGER I BETRAGTNING, at denne aftale ikke pålægger de kompetente myndigheder at videregive personoplysninger og at videregivelsen af de personoplysninger, der anmodes om i henhold til denne aftale, fortsat sker på frivillig basis.
SOM ANERKENDER, at de kontraherende parter anvender et proportionalitetsprincip og et rimelighedsprincip, der er sammenlignelige; fælles for disse principper er kravet om at sikre en rimelig balance mellem alle involverede interesser, både offentlige og private, i lyset af alle omstændigheder i den foreliggende sag. En sådan balance omfatter på den ene side fysiske personers ret til privatlivets fred sammen med andre menneskerettigheder og interesser og på den anden side de opvejende legitime mål, der kan forfølges, såsom formålene med behandling af personoplysninger som omhandlet i denne aftale,
ER BLEVET ENIGE OM FØLGENDE:
KAPITEL I
ALMINDELIGE BESTEMMELSER
ARTIKEL 1
Formål
Formålet med denne aftale er at tillade videregivelse af personoplysninger mellem Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol) og New Zealands kompetente myndigheder for at støtte og styrke den indsats, der gøres af myndighederne i EU-medlemsstaterne og i New Zealand, samt deres gensidige samarbejde om forebyggelse og bekæmpelse af strafbare handlinger, herunder grov kriminalitet og terrorisme, samtidig med at der sikres passende garantier med hensyn til fysiske personers menneskerettigheder og grundlæggende frihedsrettigheder, herunder retten til privatlivets fred og databeskyttelse.
ARTIKEL 2
Definitioner
I denne aftale forstås ved:
1) »kontraherende parter«: Den Europæiske Union og New Zealand
2) »Europol«: Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde, der er oprettet ved forordning (EU) 2016/794 (1) og enhver ændring heraf (»Europolforordningen«)
3) »kompetent myndighed«: for New Zealands vedkommende de nationale retshåndhævende myndigheder, der i henhold til New Zealands nationale ret er ansvarlige for forebyggelse og bekæmpelse af de strafbare handlinger, der er opført i bilag II (»New Zealands kompetente myndigheder«), og for Unionens vedkommende Europol
4) »EU-organer«: de institutioner, organer, missioner, kontorer og agenturer, der er oprettet ved traktaten om Den Europæiske Union (»TEU«) og traktaten om Den Europæiske Unions funktionsmåde (»TEUF«), og som er opført i bilag III
5) »strafbare handlinger«: de former for kriminalitet, der er opført i bilag I, samt relaterede strafbare handlinger; strafbare handlinger anses for at være relaterede til de former for kriminalitet, der er opført i bilag I, hvis de begås for at skaffe midler til at begå sådanne handlinger, for at lette eller begå sådanne handlinger eller for at sikre straffrihed for dem, der begår sådanne former for kriminalitet
6) »personoplysninger«: enhver form for information om en registreret
7) »en registreret«: en identificeret eller identificerbar fysisk person; en identificerbar person er en person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, et online-ID eller ved et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
8) »genetiske data«: alle personoplysninger vedrørende en fysisk persons genetiske karakteristika, der er arvet eller blevet erhvervet, som giver entydig information om personens fysiologi eller helbred, og som navnlig foreligger efter en analyse af en biologisk prøve fra den pågældende fysiske person
9) »behandling«: enhver operation eller række af operationer, med eller uden brug af automatisk databehandling, som personoplysninger eller sæt af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, systematisering, strukturering, opbevaring, tilpasning eller ændring, fremfinding, søgning, brug, videregivelse ved transmission, formidling eller anden tilrådighedsstillelse, sammenstilling eller samkøring samt begrænsning, sletning eller tilintetgørelse
10) »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, ubeføjet videregivelse af eller adgang til personoplysninger, der er videresendt, opbevaret eller på anden måde behandlet
11) »tilsynsmyndighed«: en eller flere uafhængige nationale myndigheder, der alene eller sammen er ansvarlige for databeskyttelse i henhold til artikel 16, og som er blevet meddelt i henhold til nævnte artikel; disse kan omfatte myndigheder, hvis ansvar også omfatter andre menneskerettigheder
12) »international organisation«: en folkeretlig organisation og organer, der er underordnet den, eller ethvert andet organ, der er oprettet ved eller med hjemmel i en aftale mellem to eller flere lande.
ARTIKEL 3
Formål med behandling af personoplysninger
1. Personoplysninger, der anmodes om og modtages i henhold til denne aftale, må kun behandles med henblik på at forebygge, efterforske, opdage eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner inden for rammerne af artikel 4, stk. 5, og de kompetente myndigheders respektive mandater.
(1) Europa-Parlamentets og Rådets forordning (EU) 2016/794 af 11. maj 2016 om Den Europæiske Unions Agentur for Retshåndhævel sessamarbejde (Europol) og om erstatning og ophævelse af Rådets afgørelse 2009/371/RIA, 2009/934/RIA, 2009/935/RIA, 2009/936/RIA og 2009/968/RIA (EUT L 135 af 24.5.2016, s. 53).
2. De kompetente myndigheder angiver senest ved videregivelsen af personoplysninger klart det eller de formål, hvortil personoplysningerne videregives. Ved videregivelser til Europol angives formålet eller formålene med en sådan videregivelse i overensstemmelse med det eller de specifikke formål med behandlingen som fastlagt i Europols mandat.
KAPITEL II
UDVEKSLING AF OPLYSNINGER OG DATABESKYTTELSE
ARTIKEL 4
Almindelige databeskyttelsesprincipper
1. Hver kontraherende part sikrer, at de personoplysninger, der udveksles i henhold til denne aftale:
a) behandles loyalt og lovligt og kun til det eller de formål, hvortil de er blevet videregivet, jf. artikel 3
b) er tilstrækkelige og relevante og begrænses til det, der er nødvendigt i forhold til det eller de formål, hvortil de behandles
c) er korrekte og ajourførte; hver kontraherende part sikrer, at dens kompetente myndigheder træffer alle rimelige foranstaltninger for at sikre, at personoplysninger, der er urigtige, under hensyntagen til de formål, hvortil de behandles, berigtiges eller slettes uden unødig forsinkelse
d) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i længere tid end nødvendigt af hensyn til de formål, hvortil personoplysningerne behandles
e) behandles på en måde, der sikrer tilstrækkelig sikkerhed for personoplysningerne.
2. Den kompetente myndighed, der videregiver personoplysninger, kan på tidspunktet for videregivelsen angive eventuelle begrænsninger i adgangen til eller anvendelsen af dem generelt eller specifikt, herunder for så vidt angår yderligere videregivelse, sletning eller tilintetgørelse efter et vist tidsrum, eller yderligere behandling af dem. Hvis der opstår behov for sådanne begrænsninger, efter at oplysningerne er blevet meddelt, informerer den kompetente myndighed, der har videregivet oplysninger, den modtagende myndighed herom.
3. Hver kontraherende part sikrer, at den modtagende kompetente myndighed overholder enhver begrænsning i adgangen til eller den videre anvendelse af de personoplysninger, som den kompetente myndighed, der har videregivet oplysningerne, har angivet, jf. stk. 2.
4. Hver kontraherende part sikrer, at dens kompetente myndigheder gennemfører passende tekniske og organisatoriske foranstaltninger på en sådan måde, at de kan påvise, at behandlingen vil være i overensstemmelse med denne aftale, og at de berørte registreredes rettigheder er beskyttet.
5. Hver kontraherende part sikrer, at dens kompetente myndigheder ikke videregiver personoplysninger, der er indhentet gennem en åbenbar krænkelse af menneskerettighederne, som er anerkendt i folkerettens principper og standarder, der er bindende for de kontraherende parter. Hver kontraherende part sikrer, at de modtagne personoplysninger ikke anvendes til at kræve, idømme eller fuldbyrde dødsstraf eller nogen former for grusom eller umenneskelig behandling.
6. Hver kontraherende part sikrer, at der føres et register over al videregivelse af personoplysninger i henhold til denne aftale og over formålet eller formålene med disse videregivelser.
ARTIKEL 5
Særlige kategorier af personoplysninger og forskellige kategorier af registrerede
1. Videregivelse af personoplysninger om ofre for strafbare handlinger, vidner eller andre personer, som kan give oplysninger vedrørende strafbare handlinger, samt om personer under 18 år er forbudt, medmindre en sådan videregivelse er strengt nødvendig og rimelig og står i rimeligt forhold til formålet i konkrete sager med henblik på at forebygge eller bekæmpestrafbare handlinger.
2. Videregivelse af personoplysninger om race eller etnisk oprindelse, politiske anskuelser, religiøs eller filosofisk overbevisning eller medlemskab af en fagforening, genetiske data, biometriske data med henblik på entydig identifikation af en fysisk person eller oplysninger om en persons helbredsforhold eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er kun tilladt, hvis det er strengt nødvendigt og rimeligt og står i et rimeligt forhold til formålet i konkrete sager med henblik på at forebygge eller bekæmpe strafbare handlinger, og disse oplysninger, bortset fra biometriske oplysninger, supplerer andre personoplysninger.
3. I henhold til denne artikels stk. 1 og 2 sikrer de kontraherende parter, at behandlingen af personoplysninger er omfattet af passende garantier mod de særlige risici, der er forbundet hermed, herunder begrænsninger i adgangen, datasikkerhedsforanstaltninger som omhandlet i artikel 15 og begrænsninger for yderligere videregivelse, jf. artikel 7.
ARTIKEL 6
Automatisk behandling af personoplysninger
Afgørelser, der udelukkende bygger på automatisk behandling af de udvekslede personoplysninger, herunder profilering, uden menneskelig indgriben, som kan have en negativ retsvirkning for den registrerede eller påvirke vedkommende i væsentlig grad, er forbudt, medmindre det er tilladt i henhold til retsregler med henblik på at forebygge eller bekæmpe strafbare handlinger og med passende garantier for den registreredes rettigheder og friheder, herunder som minimum retten til menneskelig indgriben.
ARTIKEL 7
Yderligere videregivelse af de modtagne personoplysninger
1. New Zealand sikrer, at dets kompetente myndigheder kun videregiver personoplysninger, der er modtaget i henhold til denne aftale, til andre myndigheder i New Zealand, hvis:
a) Europol har givet sin forudgående udtrykkelige tilladelse
b) formålet eller formålene med den yderligere videregivelse er det samme som det eller de oprindelige formål med Europols videregivelse eller inden for begrænsningerne i artikel 3, stk. 1, er direkte knyttet til dette eller disse oprindelige formål og
c) den yderligere videregivelse er underlagt de samme betingelser og garantier som dem, der gælder for den oprindelige videregivelse.
Der kræves ingen forudgående tilladelse, når den modtagende myndighed selv er en kompetent myndighed i New Zealand, jf. dog artikel 4, stk. 2. Det samme gælder Europols mulighed for at dele personoplysninger med de myndigheder i EU-medlemsstaterne, der er ansvarlige for forebyggelse og bekæmpelse af strafbare handlinger, samt med EU-organer.
2. New Zealand sikrer, at yderligere videregivelse af personoplysninger, som landets kompetente myndigheder modtager i henhold til denne aftale, til myndighederne i et tredjeland eller til en international organisation forbydes, medmindre følgende betingelser er opfyldt:
a) Videregivelsen vedrører andre personoplysninger end dem, der er omfattet af artikel 5
b) Europol har givet sin forudgående udtrykkelige tilladelse
c) Formålet eller formålene med den yderligere videregivelse er det samme som det eller de oprindelige formål med Europols videregivelse
d) Den yderligere videregivelse er underlagt de samme betingelser og garantier som dem, der gælder for den oprindelige videregivelse.
3. Europol kan kun give sin tilladelse i henhold til denne artikels stk. 2, litra b), til yderligere videregivelse til myndigheden i et tredjeland eller til en international organisation, hvis og i det omfang der foreligger en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, en international aftale, der giver passende garantier med hensyn til beskyttelse af retten til privatlivets fred og fysiske personers grundlæggende rettigheder og friheder, en samarbejdsaftale eller et andet juridisk grundlag for videregivelse af personoplysninger, jf. Europolforordningen, som omfatter yderligere videregivelse.
4. Unionen sikrer, at yderligere videregivelse af personoplysninger, som Europol modtager i henhold til denne aftale, til de EU-organer, der ikke er opført på listen i bilag III, myndigheder i tredjelande eller en international organisation forbydes, medmindre:
a) videregivelsen vedrører andre personoplysninger end dem, der er omfattet af artikel 5
b) New Zealand har givet sin forudgående udtrykkelige tilladelse
c) formålet eller formålene med den yderligere videregivelse er det samme som det oprindelige formål med New Zealands videregivelse
d) der er indgået en afgørelse om tilstrækkeligheden af beskyttelsesniveauet, en international aftale, der indeholder passende garantier med hensyn til beskyttelse af retten til privatlivets fred og fysiske personers grundlæggende rettigheder og friheder, eller en samarbejdsaftale som omhandlet i Europolforordningen med det pågældende tredjeland eller den pågældende internationale organisation, eller medmindre Europol kan påberåbe sig et andet juridisk grundlag for videregivelse af personoplysninger, jf. Europolforordningen.
ARTIKEL 8
Vurdering af en kildes pålidelighed og oplysningers nøjagtighed
1. De kompetente myndigheder angiver så vidt muligt og senest ved videregivelsen af personoplysninger, hvor pålidelig kilden til oplysningerne er, på grundlag af et eller flere af følgende kriterier:
a) der hersker ingen tvivl om kildens ægthed, pålidelighed og kompetence, eller oplysningerne er meddelt af en kilde, der tidligere i alle tilfælde har vist sig at være pålidelig
b) oplysningerne er meddelt af en kilde, hvorfra oplysningerne i de fleste tilfælde har vist sig at være pålidelige
c) oplysningerne er meddelt af en kilde, hvorfra oplysningerne i de fleste tilfælde har vist sig at være upålidelige
d) kildens pålidelighed kan ikke vurderes.
2. De kompetente myndigheder angiver så vidt muligt og senest ved videregivelsen af personoplysninger, hvor nøjagtige oplysningerne er, på grundlag af et eller flere af følgende kriterier:
a) oplysninger, hvis rigtighed der ikke er tvivl om på tidspunktet for videregivelsen
b) oplysninger, som kilden har personligt kendskab til, men som den embedsmand, der videregiver oplysningerne, ikke har personligt kendskab til
c) oplysninger, som kilden ikke har personligt kendskab til, men som underbygges af andre allerede registrerede oplysninger
d) oplysninger, som kilden ikke har personligt kendskab til, og som ikke kan underbygges.
3. Hvis den modtagende kompetente myndighed på grundlag af de oplysninger, den allerede er i besiddelse af, kommer til den konklusion, at det er nødvendigt at korrigere den vurdering af oplysningerne eller af deres kilde, som den kompetente myndighed, der har videregivet oplysningerne, har foretaget i overensstemmelse med stk. 1 og 2, underretter den den pågældende kompetente myndighed og forsøger at nå til enighed om en ændring af vurderingen. Den modtagende kompetente myndighed ændrer ikke ved vurderingen af de modtagne oplysninger eller deres kilde uden en sådan aftale.
4. Hvis en kompetent myndighed modtager oplysninger uden en vurdering, søger den så vidt muligt og om muligt efter aftale med den kompetente myndighed, der har videregivet oplysningerne, at vurdere kildens pålidelighed eller oplysningernes nøjagtighed på grundlag af de oplysninger, den allerede er i besiddelse af.
5. Hvis der ikke kan foretages en pålidelig vurdering, vurderes oplysningerne i overensstemmelse med stk. 1, litra d), og stk. 2, litra d), alt efter hvad der er relevant.
DE REGISTREREDES RETTIGHEDER
ARTIKEL 9
Ret til indsigt
1. De kontraherende parter sikrer, at den registrerede har ret til med rimelige mellemrum at få oplysninger om, hvorvidt personoplysninger om vedkommende behandles i henhold til denne aftale, og i givet fald som minimum få adgang til følgende:
a) en bekræftelse af, om personoplysninger om den pågældende er blevet behandlet
b) oplysninger, der mindst skal omfatte formålet eller formålene med behandlingen, kategorierne af de oplysninger, der er tale om, og, hvis det er relevant, modtagerne eller kategorierne af modtagere, som de videregives til
c) retten til at anmode den kompetente myndighed om at få berigtiget, slettet personoplysninger om den registrerede eller begrænset behandlingen heraf
d) en angivelse af det juridiske grundlag for behandlingen
e) om muligt det påtænkte tidsrum, hvori personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum
f) meddelelse i forståelig form af de personoplysninger, der er genstand for behandling, og af alle foreliggende oplysninger om, hvor de stammer fra.
2. Når den registrerede udøver sin ret til indsigt, vil den kontraherende part, der videregiver oplysninger, blive hørt på et ikkebindende grundlag, inden der træffes endelig afgørelse om indsigtsanmodningen.
3. De kontraherende parter kan fastsætte, at meddelelsen af oplysninger som svar på en anmodning i henhold til stk. 1 udsættes, afslås eller begrænses, hvis og så længe en sådan udsættelse, et sådant afslag eller en sådan begrænsning udgør en foranstaltning, der er nødvendig og rimelig og står i et rimeligt forhold til formålet under hensyntagen til den registreredes grundlæggende rettigheder og interesser, med henblik på at:
a) sikre, at en eventuel strafferetlig efterforskning og retsforfølgning ikke bringes i fare
b) beskytte tredjemands rettigheder og friheder, eller
c) beskytte den nationale sikkerhed og den offentlige orden eller forebygge kriminalitet.
4. De kontraherende parter sikrer, at den kompetente myndighed underretter den registrerede skriftligt om eventuelle udsættelser af, afslag på eller begrænsninger af retten til indsigt og om årsagerne til sådanne udsættelser af, afslag på eller begrænsninger af retten til indsigt. Disse årsager kan udelades, hvis og så længe dette ville skade formålet med udsættelsen, afslaget eller begrænsningen i henhold til stk. 3. Den kompetente myndighed underretter den registrerede om muligheden for at indgive en klage til de respektive tilsynsmyndigheder og om andre tilgængelige klagemuligheder i henhold til de respektive retlige rammer.
ARTIKEL 10
Ret til berigtigelse, sletning og begrænsning
1. De kontraherende parter sikrer, at den registrerede har ret til at anmode de kompetente myndigheder om at berigtige urigtige personoplysninger om den pågældende registrerede, som blev videregivet i henhold til denne aftale. Under hensyntagen til formålet eller formålene med behandlingen omfatter dette retten til at få ufuldstændige personoplysninger, der er videregivet i henhold til denne aftale, kompletteret.
2. Berigtigelse skal omfatte sletning af personoplysninger, der ikke længere er nødvendige til det eller de formål, hvortil de behandles.
3. De kontraherende parter kan fastsætte bestemmelser om begrænsning af behandling i stedet for sletning af personoplysninger, hvis der er rimelig grund til at antage, at sådan sletning kunne skade den registreredes legitime interesser.
4. De kompetente myndigheder underretter hinanden om de foranstaltninger, der træffes i henhold til stk. 1, 2 og 3. Den modtagende kompetente myndighed berigtiger, sletter eller begrænser behandlingen i overensstemmelse med de foranstaltninger, der træffes af den kompetente myndighed, der videregiver oplysninger.
5. De kontraherende parter fastsætter bestemmelser om, at den kompetente myndighed, der har modtaget anmodningen, uden unødig forsinkelse og under alle omstændigheder inden for tre måneder efter modtagelsen af en anmodning i henhold til stk. 1 eller 2 underretter den registrerede skriftligt om, at oplysningerne vedrørende den pågældende er blevet berigtiget, slettet eller behandlingen er blevet begrænset.
6. De kontraherende parter fastsætter bestemmelser om, at den kompetente myndighed, der har modtaget anmodningen, uden unødig forsinkelse og under alle omstændigheder senest tre måneder efter modtagelsen af en anmodning underretter den registrerede skriftligt om afslag på berigtigelse, sletning eller begrænsning af behandlingen, om årsagerne til et sådant afslag og om muligheden for at indgive en klage til de respektive tilsynsmyndigheder samt andre tilgængelige klagemuligheder i henhold til deres respektive retlige rammer.
ARTIKEL 11
Underretning om brud på persondatasikkerheden til de berørte myndigheder
1. I tilfælde af et brud på persondatasikkerheden, som berører de personoplysninger, der videregives i henhold til denne aftale, sikrer de kontraherende parter, at de respektive kompetente myndigheder omgående underretter hinanden og deres respektive tilsynsmyndighed om bruddet på persondatasikkerheden, og at der træffes foranstaltninger til at afbøde de mulige negative virkninger heraf.
2. Underretningen skal som minimum indeholde en beskrivelse af:
a) karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og antallet af berørte registrerede samt kategorierne og antallet af berørte registreringer af personoplysninger
b) de sandsynlige konsekvenser af bruddet på persondatasikkerheden
c) de foranstaltninger, som den kompetente myndighed har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder de foranstaltninger, der er truffet for at begrænse dets mulige skadevirkninger.
3. I det omfang det ikke er muligt at give alle de påkrævede oplysninger samtidig, kan de indgives gradvist. De manglende oplysninger skal indgives uden yderligere unødig forsinkelse.
4. De kontraherende parter sikrer, at deres respektive kompetente myndigheder dokumenterer alle brud på persondata sikkerheden, som påvirker personoplysninger, der videregives i henhold til denne aftale, herunder kendsgerningerne i forbindelse med bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger, således at deres respektive tilsynsmyndigheder kan kontrollere overholdelsen af gældende lovkrav.
ARTIKEL 12
Meddelelse af brud på persondatasikkerheden til den registrerede
1. Hvis et brud på persondatasikkerheden som omhandlet i artikel 11 sandsynligvis vil have en alvorlig negativ virkning for den registreredes rettigheder og friheder, fastsætter de kontraherende parter bestemmelser om, at deres respektive kompetente myndigheder skal underrette den registrerede om bruddet på persondatasikkerheden uden unødig forsinkelse.
2. Meddelelsen til den registrerede i henhold til stk. 1 skal, hvis dette er muligt, indeholde en beskrivelse af arten af bruddet på persondatasikkerheden og anbefalinger af foranstaltninger til at begrænse de mulige skadevirkninger af bruddet på persondatasikkerheden samt angive den databeskyttelsesansvarliges navn og kontaktoplysninger for det kontaktpunkt, hvor der kan indhentes yderligere oplysninger.
3. Meddelelsen til den registrerede i henhold til stk. 1 er ikke nødvendig, hvis:
a) de personoplysninger, som bruddet vedrører, var omfattet af passende teknologiske beskyttelsesforanstaltninger, der gør oplysningerne uforståelige for alle, der ikke har lovlig adgang til oplysningerne
b) der er truffet efterfølgende foranstaltninger, der sikrer, at den registreredes rettigheder og friheder sandsynligvis ikke længere i alvorlig grad vil blive krænket, eller
c) meddelelsen til den registrerede i henhold til stk. 1 ville kræve en uforholdsmæssig indsats, navnlig på grund af antallet af berørte registrerede; i et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller træffes en tilsvarende foranstaltning, hvorved den registrerede underrettes på en tilsvarende effektiv måde.
4. Meddelelsen til den registrerede i henhold til stk. 1 kan udsættes, begrænses eller udelades, hvis en sådan meddelelse sandsynligvis vil:
a) lægge hindringer i vejen for officielle eller retlige undersøgelser, efterforskninger eller procedurer
b) skade forebyggelsen, opdagelsen og efterforskningen af samt retsforfølgningen i forbindelse med strafbare handlinger eller fuldbyrdelsen af strafferetlige sanktioner, den offentlige orden eller den nationale sikkerhed
c) beskytte tredjemands rettigheder og friheder
hvor dette udgør en foranstaltning, der er nødvendig og rimelig og står i et rimeligt forhold til formålet under behørig hensyntagen til den registreredes legitime interesser.
ARTIKEL 13
Opbevaring, revision, berigtigelse og sletning af personoplysninger.
1. De kontraherende parter fastsætter passende frister for opbevaring af personoplysninger, der modtages i henhold til denne aftale, eller for regelmæssig vurdering af behovet for opbevaring af personoplysninger, således at personoply sningerne kun opbevares, så længe det er nødvendigt til det eller de formål, hvortil de videregives.
2. Under alle omstændigheder tages behovet for fortsat opbevaring af personoplysninger op til fornyet overvejelse senest tre år efter, at personoplysningerne er blevet videregivet, og hvis der ikke er truffet en begrundet og dokumenteret afgørelse om fortsat at opbevare personoplysningerne, skal personoplysningerne automatisk slettes efter tre år.
3. Hvis en kompetent myndighed har grund til at tro, at personoplysninger, som den tidligere har videregivet, er forkerte, unøjagtige, ikke længere ajourførte eller ikke burde have været videregivet, skal den underrette den modtagende kompetente myndighed, som skal berigtige eller slette disse oplysninger og underrette den kompetente myndighed, der videregav oplysningerne, herom.
4. Hvis en kompetent myndighed har grund til at tro, at personoplysninger, som den tidligere har modtaget, er forkerte, unøjagtige, ikke længere ajourførte eller ikke burde have været videregivet, skal den underrette den kompetente myndighed, der videregav oplysningerne, som redegør for sin holdning til sagen. Hvis den kompetente myndighed, der videregav oplysningerne, konkluderer, at personoplysningerne er forkerte, unøjagtige, ikke længere ajourførte eller ikke burde have været videregivet, skal den underrette den modtagende kompetente myndighed, som skal berigtige eller slette disse oplysninger og underrette den kompetente myndighed, der videregav oplysningerne, herom.
ARTIKEL 14
Logning og dokumentation
1. De kontraherende parter sørger for logning og dokumentation af indsamling, ændring, adgang, videregivelse, herunder yderligere videregivelse, samkøring og sletning af personoplysninger.
2. Logning eller dokumentation, jf. stk. 1, stilles efter anmodning til rådighed for de respektive tilsynsmyndigheder med henblik på kontrol af lovligheden af behandlingen, egenkontrol og sikring af dataenes integritet og sikkerhed.
ARTIKEL 15
Datasikkerhed
1. De kontraherende parter sikrer gennemførelsen af tekniske og organisatoriske foranstaltninger til beskyttelse af personoplysninger, der udveksles inden for rammerne af denne aftale.
2. Med henblik på automatisk behandling sikrer de kontraherende parter gennemførelse af foranstaltninger til at:
a) forhindre, at uautoriserede personer får adgang til det behandlingsudstyr, der benyttes til behandling af personoplysninger (fysisk adgangskontrol)
b) forhindre uautoriseret læsning, kopiering, ændring eller fjernelse af datamedier (kontrol med datamedier)
c) forhindre uautoriseret indlæsning af personoplysninger samt uautoriseret adgang til og ændring og sletning af de opbevarede personoplysninger (kontrol med opbevaring)
d) forhindre, at uautoriserede personer benytter automatiske behandlingssystemer ved hjælp af datatransmissionsudstyr (brugerkontrol)
e) sikre, at autoriserede brugere af et automatisk behandlingssystem kun får adgang til de personoplysninger, som henhører under deres adgangsautorisation (adgangskontrol)
f) sikre, at det er muligt at undersøge og fastslå, til hvilke organer der kan videregives eller er blevet videregivet personoplysninger via datatransmissionsudstyr (kontrol med videregivelse)
g) sikre, at det kan efterprøves og fastslås, hvilke personoplysninger der er blevet indlæst i automatiske behandlings systemer, og hvornår og af hvem oplysningerne blev indlæst (kontrol med indlæsning)
h) sikre, at det er muligt at kontrollere og fastslå, hvilke medarbejdere der har haft adgang til hvilke personoplysninger og hvornår (adgangslogning)
i) forhindre uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger i forbindelse med videregivelse af personoplysninger eller transport af datamedier (kontrol med transport)
j) sikre, at de anvendte systemer i tilfælde af tekniske forstyrrelser straks kan genetableres (genopretning)
k) sikre, at systemet fungerer fejlfrit, at indtrufne fejl straks meldes (pålidelighed), og at lagrede personoplysninger ikke bliver forkerte som følge af fejlfunktioner i systemet (integritet).
ARTIKEL 16
Tilsynsmyndighed
1. Hver kontraherende part sikrer, at der er en uafhængig offentlig myndighed med ansvar for databeskyttelse (tilsynsmyndighed) til at føre tilsyn med spørgsmål, der berører fysiske personers ret til privatliv, herunder de nationale regler, der er relevante i henhold til denne aftale, for at beskytte fysiske personers grundlæggende rettigheder og friheder i forbindelse med behandling af personoplysninger. De kontraherende parter underretter hinanden om, hvilken myndighed de hver især betragter som tilsynsmyndighed.
2. De kontraherende parter sikrer, at hver tilsynsmyndighed:
a) udfører sine opgaver og udøver sine beføjelser fuldstændig uafhængigt; den skal handle uden udefrakommende påvirkning og må hverken søge eller modtage instrukser; dens medlemmer skal have en sikker embedsperiode, herunder beskyttelse mod vilkårlig fjernelse
b) råder over de menneskelige, tekniske og økonomiske ressourcer, lokaler og infrastrukturer, der er nødvendige for, at de effektivt kan udføre deres opgaver og udøve deres beføjelser.
c) har effektive undersøgelses- og interventionsbeføjelser til at føre tilsyn med de organer, den overvåger, og til at indbringe sager for domstolene.
d) har beføjelse til at behandle klager fra enkeltpersoner om de kompetente myndigheders anvendelse af deres personoplysninger under dennes tilsyn.
ARTIKEL 17
Administrativ klageadgang og adgang til domstolsprøvelse
Registrerede har ret til effektiv administrativ klageadgang og adgang til domstolsprøvelse i tilfælde af overtrædelser af de rettigheder og garantier, der anerkendes i denne aftale, som følge af behandlingen af deres personoplysninger. De kontraherende parter underretter hinanden om den nationale lovgivning, som de hver især anser for at garantere de rettigheder, der er sikret ved denne artikel.
KAPITEL III
TVISTER
ARTIKEL 18
Bilæggelse af tvister
Alle tvister, der måtte opstå i forbindelse med fortolkningen, anvendelsen eller gennemførelsen af denne aftale og alle spørgsmål i tilknytning hertil, skal føre til konsultationer og forhandlinger mellem repræsentanter for de kontraherende parter med henblik på at nå frem til en gensidigt acceptabel løsning.
ARTIKEL 19
Suspensionsklausul
1. I tilfælde af væsentlig tilsidesættelse eller manglende opfyldelse af de forpligtelser, der følger af denne aftale, kan hver af de kontraherende parter delvist eller helt suspendere denne aftale midlertidigt ved skriftlig meddelelse til den anden kontraherende part via diplomatiske kanaler. En sådan skriftlig meddelelse fremsendes først, når de kontraherende parter har gennemført en rimelig konsultationsperiode uden at nå frem til en løsning, og suspensionen får virkning 20 dage efter datoen for modtagelsen af den pågældende meddelelse. Den suspenderende kontraherende part kan ophæve suspensionen efter skriftlig meddelelse til den anden kontraherende part. Suspensionen ophæves straks efter modtagelsen af en sådan meddelelse.
2. Uanset suspensionen af denne aftale behandles alle personoplysninger, der henhører under denne aftales anvendelsesområde, og som er videregivet inden denne aftales suspension, fortsat i overensstemmelse med denne aftale.
ARTIKEL 20
Ophør
1. Denne aftale kan til enhver tid bringes til ophør af en af de kontraherende parter ved skriftlig meddelelse via diplomatiske kanaler med tre måneders varsel.
2. Personoplysninger, der er omfattet af denne aftale, og som videregives forud for denne aftales ophør, behandles fortsat i overensstemmelse med denne aftale på tidspunktet for ophøret.
3. I tilfælde af denne aftales ophør skal de kontraherende parter nå til enighed om fortsat anvendelse og opbevaring af de oplysninger, som de allerede har udvekslet med hinanden.
KAPITEL IV
AFSLUTTENDE BESTEMMELSER
ARTIKEL 21
Forholdet til andre internationale instrumenter
1. Denne aftale må ikke berøre eller på anden vis påvirke de retlige bestemmelser om udveksling af oplysninger, der er fastsat i en traktat om gensidig retlig bistand, andre samarbejdsaftaler eller -ordninger eller samarbejdsforhold på retshåndhævelsesområdet med henblik på udveksling af oplysninger mellem New Zealand og en af EU-medlemsstaterne.
2. Denne aftale supplerer bestemmelserne i samarbejdsordningen om fastlæggelse af samarbejdsforbindelser mellem det newzealandske politi og Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Working Arrangement establishing cooperative relations between New Zealand Police and the European Union Agency for Law Enforcement Cooperation).
ARTIKEL 22
Administrativ gennemførelsesordning
De nærmere bestemmelser for samarbejdet mellem de kontraherende parter i det omfang, det er relevant for gennemførelsen af denne aftale, fastlægges i en administrativ gennemførelsesordning, der indgås mellem Europol og New Zealands kompetente myndigheder i overensstemmelse med Europolforordningen.
ARTIKEL 23
Administrativ ordning om fortrolighed
Hvor det er nødvendigt i henhold til denne aftale, reguleres udvekslingen af EU-klassificerede oplysninger af en administrativ ordning om fortrolighed, der indgås mellem Europol og New Zealands kompetente myndigheder.
ARTIKEL 24
Nationalt kontaktpunkt og forbindelsesofficerer
1. New Zealand udpeger et nationalt kontaktpunkt, der skal fungere som det fælles kontaktpunkt mellem Europol og de kompetente myndigheder i New Zealand. Det nationale kontaktpunkts særlige opgaver anføres i den administrative gennemførelsesordning, jf. artikel 22. Det nationale kontaktpunkt, der er udpeget for New Zealand, er anført i bilag IV.
2. Europol og New Zealand styrker deres samarbejde som fastsat i denne aftale gennem New Zealands udsendelse af en eller flere forbindelsesofficerer. Europol kan udsende en eller flere forbindelsesofficerer til indsættelse i New Zealand.
ARTIKEL 25
Udgifter
De kontraherende parter sørger for, at de kompetente myndigheder afholder deres egne udgifter i forbindelse med gennemførelsen af denne aftale, medmindre andet er fastsat i denne aftale eller i den administrative gennemførelsesordning, jf. artikel 22.
ARTIKEL 26
Meddelelse om gennemførelse
1. Hver kontraherende part henstiller til sine kompetente myndigheder, at de offentliggør et dokument, hvori der på forståelig vis redegøres for bestemmelserne om behandling af personoplysninger, der videregives i overensstemmelse med denne aftale, herunder hvilke midler der står til rådighed for de registreredes udøvelse af deres rettigheder. Hver kontraherende part sørger for, at den anden kontraherende part får tilsendt en kopi af dette dokument.
2. De kompetente myndigheder vedtager, hvis der ikke allerede findes sådanne, regler om, hvordan overholdelsen af bestemmelserne om behandling af personoplysninger, der videregives i henhold til denne aftale, vil blive håndhævet i praksis. En kopi af disse regler meddeles den anden kontraherende part og de respektive tilsynsmyndigheder.
ARTIKEL 27
Ikrafttrædelse og anvendelse
1. Denne aftale skal godkendes af de kontraherende parter i overensstemmelse med deres egne procedurer.
2. Denne aftale træder i kraft på datoen for modtagelsen af den sidste skriftlige meddelelse, hvorved de kontraherende parter via diplomatiske kanaler har meddelt hinanden, at de i stk. 1 omhandlede procedurer er afsluttet.
3. Denne aftale finder anvendelse fra den første dag efter den dato, hvor alle de følgende betingelser er opfyldt:
a) Den administrative gennemførelsesordning, jf. artikel 22, finder anvendelse og
b) de kontraherende parter har meddelt hinanden, at de forpligtelser, der er fastsat i denne aftale, er blevet gennemført, herunder dem, som er fastsat i artikel 26, og at sådan meddelelse er accepteret.
4. De kontraherende parter udveksler via diplomatiske kanaler skriftlige meddelelser, der bekræfter, at betingelserne i stk. 3 er opfyldt.
ARTIKEL 28
Ændringer og tillæg
1. Denne aftale kan til enhver tid ændres skriftligt efter gensidigt samtykke mellem de kontraherende parter ved skriftlig meddelelse, der udveksles via diplomatiske kanaler. Ændringerne til denne aftale træder i kraft efter den retlige procedure som fastsat i artikel 27, stk. 1 og 2.
2. Bilagene til denne aftale kan om nødvendigt ajourføres ved udveksling af diplomatiske noter. Sådanne ajourføringer træder i kraft efter den retlige procedure som fastsat i artikel 27, stk. 1 og 2.
3. De kontraherende parter indleder konsultationer om ændring af denne aftale eller bilagene hertil på anmodning af en af de kontraherende parter.
ARTIKEL 29
Gennemgang og evaluering
1. De kontraherende parter evaluerer i fællesskab gennemførelsen af denne aftale et år efter dens ikrafttræden og derefter med regelmæssige mellemrum, og derudover, hvis en af de kontraherende parter anmoder herom, og parterne i fællesskab træffer afgørelse herom.
2. De kontraherende parter evaluerer i fællesskab denne aftale fire år efter datoen for dens anvendelse.
3. De kontraherende parter træffer på forhånd afgørelse om de nærmere bestemmelser for evaluering af denne aftales gennemførelse og meddeler hinanden sammensætningen af deres respektive hold. Holdene skal omfatte relevante eksperter inden for databeskyttelse og retshåndhævelse. Med forbehold af gældende lovgivning kræves det, at enhver, der deltager i en evaluering, respekterer tavshedspligten vedrørende drøftelserne og har den fornødne sikkerhedsgodkendelse. Med henblik på enhver evaluering sikrer Unionen og New Zealand adgang til relevant dokumentation, relevante systemer og relevant personale.
ARTIKEL 30
Territorial anvendelse
1. Denne aftale finder anvendelse på det område, hvor og i det omfang TEU og TEUF finder anvendelse, samt på New Zealands område.
2. Denne aftale finder kun anvendelse på Danmarks område, hvis Unionen skriftligt meddeler New Zealand, at Danmark har valgt at være bundet af aftalen.
3. Hvis Unionen inden datoen for ikrafttrædelsen af denne aftale meddeler New Zealand, at denne aftalen vil finde anvendelse på Danmarks område, finder den anvendelse på Danmarks område samme dag, som den finder anvendelse på de øvrige EU-medlemsstater.
4. Hvis Unionen efter ikrafttrædelsen af denne aftale meddeler New Zealand, at denne aftale finder anvendelse på Danmarks område, finder aftalen anvendelse på Danmarks område 30 dage efter datoen for en sådan meddelelse.
ARTIKEL 31
Denne aftale er udfærdiget i to eksemplarer på bulgarsk, dansk, engelsk, estisk, finsk, fransk, græsk, irsk, italiensk, kroatisk, lettisk, litauisk, maltesisk, nederlandsk, polsk, portugisisk, rumænsk, slovakisk, slovensk, spansk, svensk, tjekkisk, tysk og ungarsk, idet hver af disse tekster har samme gyldighed.
TIL BEKRÆFTELSE HERAF har undertegnede befuldmægtigede, behørigt bemyndigede i så henseende, undertegnet denne aftale.
Съставено в Брюксел на тридесети юни две хиляди двадесет и втора година. Hecho en Bruselas, el treinta de junio de dos mil veintidós.
V Bruselu dne třicátého června dva tisíce dvacet dva. Udfærdiget i Bruxelles den tredivte juni to tusind og toogtyve.
Geschehen zu Brüssel am dreißigsten Juni zweitausendzweiundzwanzig.
Kahe tuhande kahekümne teise aasta juunikuu kolmekümnendal päeval Brüsselis. Έγινε στις Βρυξέλλες, στις τριάντα Ιουνίου δύο χιλιάδες είκοσι δύο.
Done at Brussels on the thirtieth day of June in the year two thousand and twenty two. Fait à Bruxelles, le trente juin deux mille vingt-deux.
Arna dhéanamh sa Bhruiséil, an tríochadú lá de Mheitheamh sa bhliain dhá mhíle fiche agus a dó. Sastavljeno u Bruxellesu tridesetog lipnja godine dvije tisuće dvadeset druge.
Fatto a Bruxelles, addì trenta giugno duemilaventidue. Briselē, divi tūkstoši divdesmit otrā gada trīsdesmitajā jūnijā.
Priimta du tūkstančiai dvidešimt antrų metų birželio trisdešimtą dieną Briuselyje. Xxxx Xxxxxxxxxxx, a kétezer-huszonkettedik év június havának harmincadik napján. Magħmul fi Brussell, fit-tletin jum ta’ Ġunju fis-sena elfejn u tnejn u għoxrin.
Gedaan te Brussel, dertig juni tweeduizend tweeëntwintig.
Sporządzono w Brukseli dnia trzydziestego czerwca roku dwa tysiące dwudziestego drugiego. Feito em Bruxelas, em trinta de junho de dois mil e vinte e dois.
Întocmit la Bruxelles la treizeci iunie două mii douăzeci și doi. V Bruseli tridsiateho júna dvetisícdvadsaťdva.
V Bruslju, tridesetega junija dva tisoč dvaindvajset.
Tehty Brysselissä kolmantenakymmenentenä päivänä kesäkuuta vuonna kaksituhattakaksikymmentäkaksi. Som skedde i Bryssel den trettionde juni år tjugohundratjugotvå.
— terrorisme
— organiseret kriminalitet
— narkotikahandel
— hvidvask af penge
BILAG I
KRIMINALITETSOMRÅDER
— kriminalitet i forbindelse med nukleare og radioaktive materialer
— menneskesmugling
— menneskehandel
— kriminalitet i forbindelse med motorkøretøjer
— manddrab, grov legemsbeskadigelse
— ulovlig handel med menneskeorganer og -væv
— bortførelse, frihedsberøvelse og gidseltagning
— racisme og fremmedhad
— røveri og tyveri af særlig grov beskaffenhed
— ulovlig handel med kulturgenstande, herunder antikviteter og kunstgenstande
— underslæb og bedrageri
— kriminalitet, der skader Unionens finansielle interesser
— insiderhandel og kursmanipulation på finansmarkederne
— afkrævning af beskyttelsespenge og pengeafpresning
— efterligninger og fremstilling af piratudgaver af produkter
— forfalskning af officielle dokumenter og ulovlig handel med disse
— falskmøntneri, forfalskning af betalingsmidler
— cyberkriminalitet
— korruption
— ulovlig handel med våben, ammunition og eksplosive stoffer
— ulovlig handel med truede dyrearter
— ulovlig handel med truede plantearter og -sorter
— miljøkriminalitet, herunder forurening fra skibe
— ulovlig handel med hormonpræparater og andre vækstfremmende stoffer
— seksuelt misbrug og seksuel udnyttelse, herunder materiale, der viser misbrug af børn, og hvervning af børn til seksuelle formål
— folkedrab, forbrydelser mod menneskeheden og krigsforbrydelser.
De former for kriminalitet, der er omhandlet i dette bilag, vurderes af de kompetente myndigheder i New Zealand i overensstemmelse med New Zealands lovgivning.
KOMPETENTE MYNDIGHEDER I NEW ZEALAND OG DERES KOMPETENCER
Kompetente myndigheder i New Zealand, som Europol kan videregive personoplysninger til: Det newzealandske politi (som New Zealands øverste kompetente myndighed)
New Zealand Customs Service (New Zealands toldmyndigheder)
New Zealand Immigration Service (New Zealands immigrationsmyndighed)
LISTE OVER EU-ORGANER
Missioner/operationer under den fælles sikkerheds- og forsvarspolitik, begrænset til retshåndhævelsesaktiviteter Det Europæiske Kontor for Bekæmpelse af Svig (OLAF)
Det Europæiske Agentur for Grænse- og Kystbevogtning (Frontex) Den Europæiske Centralbank (ECB)
Den Europæiske Anklagemyndighed (EPPO)
Den Europæiske Unions Agentur for Strafferetligt Samarbejde (Eurojust) Den Europæiske Unions Kontor for Intellektuel Ejendomsret (EUIPO)
NATIONALT KONTAKTPUNKT
Det nationale kontaktpunkt for New Zealand, der skal fungere som det fælles kontaktpunkt mellem Europol og de kompetente myndigheder i New Zealand, er
Det newzealandske politi
New Zealand har pligt til at underrette Europol, hvis det nationale kontaktpunkt for New Zealand ændres.