Lagar & Förordningar

Lagar & Förordningar är en kostnadsfri rättsdatabas från Norstedts Juridik där alla Sveriges författningar och EU-rättsliga dokument finns samlade. Nu kan organisationer och företag prova den mer omfattande juridiska informationstjänsten JUNO - gratis i 14 dagar - läs mer om erbjudandet och vad du kan få tillgång till här.

Dokumentet som PDF i original:

32021R1232.pdf

30.7.2021   

SV

Europeiska unionens officiella tidning

L 274/41


EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2021/1232

av den 14 juli 2021

om ett tillfälligt undantag från vissa bestämmelser i direktiv 2002/58/EG vad gäller användning av teknik hos tillhandahållare av nummeroberoende interpersonella kommunikationstjänster för behandling av personuppgifter och andra uppgifter i syfte att bekämpa sexuella övergrepp mot barn på nätet

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16.2 jämförd med artikel 114.1,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (1),

i enlighet med det ordinarie lagstiftningsförfarandet (2), och

av följande skäl:

(1)

I Europaparlamentets och rådets direktiv 2002/58/EG (3) fastställs regler som säkerställer rätten till integritet och konfidentialitet när det gäller behandling av personuppgifter vid utbyte av uppgifter inom sektorn för elektronisk kommunikation. Det direktivet preciserar och kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 (4).

(2)

Direktiv 2002/58/EG är tillämpligt på behandling av personuppgifter i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster. Fram till den 21 december 2020 tillämpades den definition av elektronisk kommunikationstjänst som angavs i artikel 2 c i Europaparlamentets och rådets direktiv 2002/21/EG (5). Den dagen upphävdes direktiv 2002/21/EG genom Europaparlamentets och rådets direktiv (EU) 2018/1972 (6). Definitionen av elektronisk kommunikationstjänst i artikel 2.4 i direktiv (EU) 2018/1972 inbegriper nummeroberoende interpersonella kommunikationstjänster enligt definitionen i artikel 2.7 i det direktivet. Nummeroberoende interpersonella kommunikationstjänster, som exempelvis omfattar IP-telefoni, meddelandetjänster och webbaserade e-posttjänster, kom därmed att omfattas av direktiv 2002/58/EG från den 21 december 2020.

(3)

I enlighet med artikel 6.1 i fördraget om Europeiska unionen (EU-fördraget) erkänner unionen de rättigheter, friheter och principer som fastställs i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan). Artikel 7 i stadgan skyddar vars och ens grundläggande rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer, vilket inbegriper konfidentialitet vid kommunikation. I artikel 8 i stadgan anges rätten till skydd av personuppgifter.

(4)

Artikel 3.1 i Förenta nationernas konvention om barnets rättigheter (barnkonventionen) från 1989 och artikel 24.2 i stadgan föreskriver att barnets bästa ska komma i främsta rummet vid alla åtgärder som rör barn, oavsett om de vidtas av offentliga myndigheter eller privata institutioner. Artikel 3.2 i barnkonventionen och artikel 24.1 i stadgan erinrar vidare om att barn har rätt till det skydd och den omvårdnad som behövs för deras välfärd.

(5)

Skyddet av barn, både utanför och på nätet, är en av unionens prioriteringar. Sexuella övergrepp mot barn och sexuell exploatering av barn utgör allvarliga kränkningar av de mänskliga och grundläggande rättigheterna, i synnerhet barns rätt att skyddas från alla former av våld, övergrepp, vanvård, misshandel och utnyttjande, inbegripet sexuella övergrepp, i enlighet med barnkonventionen och stadgan. Digitaliseringen har medfört många fördelar för samhället och ekonomin, men den har även medfört problem såsom en ökning av sexuella övergrepp mot barn på nätet. Den 24 juli 2020 antog kommissionen meddelandet med titeln EU-strategi för en effektivare bekämpning av sexuella övergrepp mot barn (nedan kallad strategin). Strategin syftar till att tillhandahålla effektiva åtgärder på unionsnivå för att bekämpa brottet sexuella övergrepp mot barn.

(6)

I linje med Europaparlamentets och rådets direktiv 2011/93/EU (7) reglerar denna förordning inte medlemsstaternas policy när det gäller frivilliga sexuella handlingar mellan barn som kan betraktas som ett normalt utforskande av sexualiteten inom ramen för en människas utveckling, med beaktande av olika kulturella traditioner och rättstraditioner och nya sätt att etablera och upprätthålla kontakter bland barn och ungdomar, även genom informations- och kommunikationsteknik.

(7)

Vissa tillhandahållare av specifika nummeroberoende interpersonella kommunikationstjänster (nedan kallad tillhandahållare), såsom webbaserade e-posttjänster och meddelandetjänster, använder redan på frivillig basis särskild teknik för att upptäcka sexuella övergrepp mot barn på nätet på sina tjänster och rapportera dessa till brottsbekämpande myndigheter och till organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn, genom avsökning av antingen innehållet, såsom bild och text, eller trafikuppgifter från kommunikation, i vissa fall med hjälp av historik. Den teknik som används för de verksamheterna skulle kunna vara envägskryptering för bilder och videor respektive klassificerare och artificiell intelligens för analys av textdata eller trafikuppgifter. När envägskryptering används rapporteras material med sexuella övergrepp mot barn på nätet vid en positiv träff, det vill säga en träff som är resultatet av en jämförelse mellan en bild eller en video och en unik icke-reversibel digital signatur (nedan kallat kondensat) från en databas som förvaltas av en organisation som agerar i allmänhetens intresse mot sexuella övergrepp mot barn som innehåller verifierat material med sexuella övergrepp mot barn på nätet. De tillhandahållarna hänvisar till nationella telefonjourer för rapportering av material med sexuella övergrepp mot barn på nätet och till organisationer, baserade både inom unionen och i tredjeländer, vars syfte är att identifiera barn, minska sexuell exploatering av och sexuella övergrepp mot barn, och förhindra att barn viktimiseras. Sådana organisationer omfattas eventuellt inte av förordning (EU) 2016/679. Sammantaget är sådan frivillig verksamhet värdefull för att det ska gå att identifiera och rädda offer vars grundläggande rätt till mänsklig värdighet och till fysisk och psykisk integritet allvarligt har kränkts. Sådana frivilliga verksamheter är även viktiga för att minska den fortsatta spridningen av material med sexuella övergrepp mot barn på nätet, och bidrar till identifiering och utredning av gärningsmän och till förebyggande, upptäckt, utredning och lagföring av sexuella övergrepp mot barn.

(8)

Trots sitt legitima syfte utgör tillhandahållarnas frivilliga verksamhet för att upptäcka sexuella övergrepp mot barn på nätet och rapportera dem ett ingrepp i grundläggande rättigheter till respekt för privat- och familjeliv och personuppgiftsskydd för alla användare av nummeroberoende interpersonella kommunikationstjänster (nedan kallad användare). En begränsning av utövandet av den grundläggande rätten till respekt för privat- och familjeliv, inklusive konfidentialitet vid kommunikation, kan inte motiveras enbart med att tillhandahållare använde viss teknik vid en tidpunkt då nummeroberoende interpersonella kommunikationstjänster inte omfattades av definitionen elektroniska kommunikationstjänster. Sådana begränsningar är möjliga endast på vissa villkor. Enligt artikel 52.1 i stadgan ska sådana begränsningar föreskrivas i lag och vara förenliga med det väsentliga innehållet i rätten till privat- och familjeliv och till personuppgiftsskydd och proportionalitetsprincipen samt vara nödvändiga och faktiskt svara mot mål av allmänt samhällsintresse som erkänns av unionen eller mot behovet av skydd för andra människors rättigheter och friheter. Om sådana begränsningar permanent inbegriper en allmän och urskillningslös övervakning och analys av alla användares kommunikation strider de mot rätten till konfidentialitet vid kommunikation.

(9)

Fram till den 20 december 2020 var det uteslutande förordning (EU) 2016/679 som reglerade behandling av personuppgifter som utförs av tillhandahållare genom frivilliga åtgärder i syfte att upptäcka sexuella övergrepp mot barn på nätet på deras tjänster och rapportera och avlägsna material med sexuella övergrepp mot barn på nätet från deras tjänster. Direktiv (EU) 2018/1972, som skulle ha införlivats senast den 20 december 2020, innebar att tillhandahållare kom att omfattas av direktiv 2002/58/EG. För att fortsätta att tillämpa sådana frivilliga åtgärder efter den 20 december 2020 bör tillhandahållare uppfylla villkoren i denna förordning. Förordning (EU) 2016/679 kommer att fortsätta att gälla för behandling av personuppgifter som utförs genom sådana frivilliga åtgärder.

(10)

Direktiv 2002/58/EG innehåller inga särskilda bestämmelser om behandling av personuppgifter av tillhandahållare i samband med tillhandahållande av elektroniska kommunikationstjänster i syfte att upptäcka sexuella övergrepp mot barn på nätet på deras tjänster och rapportera och avlägsna material med sexuella övergrepp mot barn från deras tjänster. Enligt artikel 15.1 i direktiv 2002/58/EG kan medlemsstaterna dock genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i bland annat artiklarna 5 och 6 i det direktivet, vilka rör konfidentialiteten vid kommunikation och trafikuppgifter, för att förebygga, avslöja, förhindra, utreda och lagföra brott med anknytning till sexuella övergrepp mot barn. I avsaknad av sådana nationella lagstiftningsåtgärder och i avvaktan på antagandet av en långsiktig rättslig ram för att på unionsnivå bekämpa sexuella övergrepp mot barn kan tillhandahållare inte längre stödja sig på förordning (EU) 2016/679 för fortsatt användning av frivilliga åtgärder för att upptäcka sexuella övergrepp mot barn på nätet på sina tjänster och avlägsna material med sexuella övergrepp mot barn på nätet från sina tjänster efter den 21 december 2020. Denna förordning erbjuder inte en rättslig grund för behandling av personuppgifter av tillhandahållare endast i syfte att upptäcka sexuella övergrepp mot barn på nätet på deras tjänster och rapportera och avlägsna material med sexuella övergrepp mot barn på nätet från deras tjänster, men den föreskriver ett undantag från vissa bestämmelser i direktiv 2002/58/EG. I denna förordning fastställs ytterligare skyddsåtgärder som ska iakttas av tillhandahållare om de vill stödja sig på detta.

(11)

Behandling av uppgifter enligt denna förordning skulle kunna innebära behandling av särskilda kategorier av personuppgifter enligt förordning (EU) 2016/679. Behandling av bilder och videor med särskild teknik som möjliggör en entydig identifiering eller autentisering av en fysisk person betraktas som behandling av särskilda kategorier av personuppgifter.

(12)

I denna förordning föreskrivs ett tillfälligt undantag från artiklarna 5.1 och 6.1 i direktiv 2002/58/EG, som skyddar konfidentialitet vid kommunikation och trafikuppgifter. Frivillig användning av teknik för behandling av personuppgifter och andra uppgifter av tillhandahållare i den utsträckning som krävs för att upptäcka sexuella övergrepp mot barn på nätet på deras tjänster och rapportera och avlägsna material med sexuella övergrepp mot barn på nätet från deras tjänster omfattas av det undantag som föreskrivs i denna förordning, under förutsättning att sådant användande uppfyller villkoren i denna förordning och därför omfattas av de skyddsåtgärder och villkor som fastställs i förordning (EU) 2016/679.

(13)

Direktiv 2002/58/EG antogs på grundval av artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget). Dessutom har inte alla medlemsstater antagit lagstiftningsåtgärder i enlighet med direktiv 2002/58/EG för att begränsa omfattningen av rättigheter och skyldigheter i relation till konfidentialiteten vid kommunikation och trafikdata enligt det direktivet, och antagandet av sådana åtgärder medför en betydande risk för fragmentering som sannolikt skulle påverka den inre marknaden negativt. Denna förordning bör därför baseras på artikel 114 i EUF-fördraget.

(14)

Med tanke på att uppgifter som har samband med elektronisk kommunikation som involverar fysiska personer vanligen räknas som personuppgifter bör denna förordning också grunda sig på artikel 16 i EUF-fördraget, som inför en särskild rättslig grund för antagandet av bestämmelser om skydd för enskilda personer när det gäller behandling av personuppgifter hos unionens institutioner, organ och byråer, och i medlemsstaterna, när dessa utövar verksamhet som omfattas av unionsrättens tillämpningsområde, samt om den fria rörligheten för sådana uppgifter.

(15)

Förordning (EU) 2016/679 är tillämplig på behandling av personuppgifter som utförs av tillhandahållare i samband med tillhandahållande av elektroniska kommunikationstjänster endast i syfte att upptäcka sexuella övergrepp mot barn på nätet på deras tjänster och rapportera och avlägsna material med sexuella övergrepp mot barn på nätet från deras tjänster i den mån den behandlingen omfattas av undantaget i denna förordning.

(16)

Den typ av teknik som används vid tillämpningen av denna förordning bör vara den minst integritetskränkande i enlighet med den senaste tekniken inom branschen. Tekniken bör inte användas för att systematiskt filtrera och avsöka text i kommunikation om det inte endast är för att upptäcka mönster som pekar på eventuella konkreta skäl till misstanke om sexuella övergrepp mot barn på nätet, och den bör inte kunna härleda innehållet i kommunikationen. När det gäller teknik som används för att identifiera kontaktsökning bör de konkreta skäl som ger upphov till misstankar bygga på objektivt identifierade riskfaktorer såsom åldersskillnader och sannolikheten att ett barn är delaktigt i den avsökta kommunikationen.

(17)

Det bör införas lämpliga förfaranden och prövningsmekanismer som säkerställer att enskilda personer kan lämna in klagomål till tillhandahållare. Sådana förfaranden och mekanismer är särskilt relevanta när innehåll som inte utgör sexuella övergrepp mot barn på nätet har avlägsnats eller rapporterats till brottsbekämpande myndigheter eller till en organisation som agerar i allmänhetens intresse mot sexuella övergrepp mot barn.

(18)

För att så långt som möjligt säkerställa exakthet och tillförlitlighet bör teknik som används enligt denna förordning, i enlighet med den senaste tekniken inom branschen, begränsa antalet och andelen fel (falska positiva resultat) så mycket som möjligt och bör när det är nödvändigt korrigera sådana fel som ändå kan inträffa utan dröjsmål.

(19)

Innehållsdata och trafikuppgifter som behandlas, och de personuppgifter som genereras vid utförandet av den verksamhet som omfattas av denna förordning, och den period under vilken uppgifterna därefter lagras i händelse av identifiering av misstänkta sexuella övergrepp mot barn på nätet, bör förbli begränsade till vad som är strikt nödvändigt för att utföra verksamheten i fråga. Alla uppgifter bör raderas omedelbart och permanent så snart uppgifterna inte längre är strikt nödvändiga för något av de syften som anges i denna förordning, inbegripet när inga misstänkta sexuella övergrepp mot barn på nätet har identifierats, och under alla omständigheter senast tolv månader från och med den dag då misstänkta sexuella övergrepp mot barn på nätet upptäcktes. Detta bör inte påverka möjligheten att lagra relevanta innehållsdata och trafikuppgifter i enlighet med direktiv 2002/58/EG. Denna förordning påverkar inte tillämpningen av en rättslig skyldighet enligt unionsrätten eller nationell rätt att bevara uppgifter som är tillämplig på tillhandahållare.

(20)

Denna förordning hindrar inte en tillhandahållare som har rapporterat sexuella övergrepp mot barn på nätet till brottsbekämpande myndigheter från att begära att de myndigheterna lämnar ett mottagningsbevis avseende anmälan.

(21)

För att säkerställa transparens och ansvarsskyldighet vad gäller verksamhet som utövas enligt det undantag som föreskrivs i denna förordning bör tillhandahållare senast den 3 februari 2022, och därefter senast den 31 januari varje år, offentliggöra och lämna in rapporter till den behöriga tillsynsmyndighet som utsetts enligt förordning (EU) 2016/679 (nedan kallad tillsynsmyndighet) och till kommissionen. Sådana rapporter bör omfatta behandling som omfattas av denna förordning, inklusive uppgifter om de behandlade uppgifternas typ och volym, de åberopade specifika grunderna för behandling av personuppgifter enligt förordning (EU) 2016/679, de åberopade grunderna för överföring av personuppgifter utanför unionen enligt kapitel V i förordning (EU) 2016/679, där så är tillämpligt, antalet fall av sexuella övergrepp mot barn på nätet som identifierats, uppdelat mellan material med sexuella övergrepp mot barn på nätet och kontaktsökning med barn, antalet fall där en användare har lämnat in ett klagomål med hjälp av den interna prövningsmekanismen eller begärt en rättslig prövning samt utfallet av sådana klagomål och rättsliga förfaranden, antal och andel fel (falska positiva resultat) för de olika tekniker som används, de åtgärder som vidtagits för att begränsa felfrekvensen och den felprocent som uppnåtts, policyn för lagring samt de dataskyddsåtgärder som tillämpas enligt förordning (EU) 2016/679 och namn på de organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn och med vilka uppgifter har delats enligt den här förordningen.

(22)

För att stödja tillsynsmyndigheterna i deras arbete bör kommissionen begära att Europeiska dataskyddsstyrelsen utfärdar riktlinjer för efterlevnaden av behandling som omfattas av det undantag som fastställs i denna förordning med förordning (EU) 2016/679. När tillsynsmyndigheterna bedömer huruvida en etablerad eller ny teknik som ska användas är i enlighet med den senaste tekniken inom branschen och den minst integritetskränkande tekniken samt att den används med stöd av en lämplig rättslig grund enligt förordning (EU) 2016/679, bör de riktlinjerna, särskilt, hjälpa tillsynsmyndigheterna i deras rådgivning inom ramen för det föregående samrådsförfarande som anges i den förordningen.

(23)

Denna förordning begränsar rätten till skydd av konfidentialitet vid kommunikation och avviker från det beslut som fattats i direktiv (EU) 2018/1972 om att låta nummeroberoende interpersonella kommunikationstjänster omfattas av samma regler som gäller alla andra elektroniska kommunikationstjänster när det gäller integritet, endast i syfte att upptäcka sexuella övergrepp mot barn på nätet på de tjänsterna, rapportera det till brottsbekämpande myndigheter och till organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn och avlägsna material med sexuella övergrepp mot barn på nätet från dessa tjänster. Tillämpningsperioden för denna förordning bör därför begränsas till tre år från den dag då den börjar tillämpas, för att ge den tid som krävs för antagandet av en ny långsiktig rättslig ram. Om den långsiktiga rättsliga ramen antas och träder i kraft före detta datum bör den långsiktiga rättsliga ramen upphäva denna förordning.

(24)

Vad gäller all annan verksamhet som omfattas av direktiv 2002/58/EG bör tillhandahållare omfattas av de särskilda skyldigheter som fastställs i det direktivet, och följaktligen även av övervakningsbefogenheterna och de undersökande befogenheterna hos de behöriga myndigheter som utsetts enligt det direktivet.

(25)

Totalsträckskryptering är ett viktigt verktyg för att garantera säkerhet och konfidentialitet för användares kommunikation, inklusive för barns kommunikation. Varje försvagning av krypteringen skulle potentiellt kunna missbrukas av illasinnade tredje parter. Ingenting i denna förordning bör därför tolkas som ett förbud mot eller en försvagning av totalsträckskryptering.

(26)

Rätten till respekt för privat- och familjelivet, inbegripet konfidentialitet vid kommunikation, är en grundläggande rättighet som garanteras i artikel 7 i stadgan. Den är därmed också en förutsättning för säker kommunikation mellan barn som fallit offer för sexuella övergrepp och vuxna som de litar på eller organisationer som är verksamma i kampen mot sexuella övergrepp mot barn och för kommunikation mellan offer och deras rättsliga ombud.

(27)

Denna förordning bör inte påverka tillämpningen av regler om tystnadsplikt enligt nationell rätt, såsom regler om skydd av yrkesmässig kommunikation, mellan läkare och patient, mellan journalist och källa eller mellan advokat och klient – i synnerhet eftersom konfidentialitet vid kommunikation mellan advokat och klient är avgörande för att säkerställa ett effektivt utövande av rätten till försvar som en väsentlig del av rätten till en rättvis rättegång. Denna förordning bör inte heller påverka nationella regler om register över offentliga myndigheter eller organisationer som erbjuder rådgivning till personer i nödsituationer.

(28)

Tillhandahållare bör meddela kommissionen namnen på de organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn och till vilka de rapporterar potentiella sexuella övergrepp mot barn på nätet enligt denna förordning. Även om tillhandahållarna, i egenskap av personuppgiftsansvariga, bär det fulla ansvaret för att bedöma vilken tredje part tillhandahållare kan dela personuppgifter med enligt förordning (EU) 2016/679, bör kommissionen säkerställa transparens avseende överföring av potentiella fall av sexuella övergrepp mot barn på nätet genom att på sin webbplats offentliggöra en förteckning över de organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn och som den meddelats. Den offentliga förteckningen bör vara lättillgänglig. Det bör också vara möjligt för tillhandahållare att använda förteckningen för att identifiera relevanta organisationer i den globala kampen mot sexuella övergrepp mot barn på nätet. Den förteckningen bör inte påverka skyldigheterna för de tillhandahållare som fungerar som personuppgiftsansvariga enligt förordning (EU) 2016/679, inbegripet deras skyldighet att utföra överföringar av personuppgifter utanför unionen enligt kapitel V i den förordningen och deras skyldighet att fullgöra samtliga skyldigheter enligt kapitel IV i den förordningen.

(29)

Statistik som ska tillhandahållas av medlemsstaterna enligt denna förordning utgör en viktig indikator vid utvärderingen av policy, inklusive lagstiftningsåtgärder. Dessutom är det viktigt att erkänna konsekvenserna av den sekundära viktimisering som uppstår vid delning av bilder och videor av barn som fallit offer för sexuella övergrepp, som kan ha cirkulerat många år och som inte till fullo återspeglas i sådan statistik.

(30)

I linje med kraven i förordning (EU) 2016/679, särskilt kravet att medlemsstaterna ska se till att tillsynsmyndigheterna förfogar över de personella, tekniska och finansiella resurser som behövs för att myndigheterna ska kunna utföra sina uppgifter och utöva sina befogenheter, bör medlemsstaterna se till att tillsynsmyndigheterna på motsvarande sätt har tillräckliga resurser för att effektivt kunna utföra sina uppgifter och utöva sina befogenheter enligt denna förordning.

(31)

Om en tillhandahållare har genomfört en konsekvensbedömning avseende dataskydd och samrått med tillsynsmyndigheterna med avseende på en teknik i enlighet med förordning (EU) 2016/679 innan den här förordningen träder i kraft, bör den tillhandahållaren inte vara skyldig enligt den här förordningen att genomföra ytterligare en konsekvensbedömning avseende dataskydd eller ytterligare samråd, förutsatt att tillsynsmyndigheterna har fastställt att behandling av uppgifter med tekniken i fråga inte skulle leda till en hög risk för fysiska personers rättigheter och friheter eller att åtgärder har vidtagits av den personuppgiftsansvarige för att begränsa den risken.

(32)

Användare bör ha rätt till ett effektivt rättsmedel om deras rättigheter har kränkts till följd av behandling av personuppgifter och andra uppgifter i syfte att upptäcka sexuella övergrepp mot barn på nätet på nummeroberoende interpersonella kommunikationstjänster och rapportera det och avlägsna material med sexuella övergrepp mot barn på nätet från de tjänsterna, i fall där en användares innehåll eller identitet har rapporterats till en organisation som agerar i allmänhetens intresse mot sexuella övergrepp mot barn eller till brottsbekämpande myndigheter eller där en användares innehåll har avlägsnats, en användares konto har blockerats eller en tjänst som erbjuds en användare har stängts av.

(33)

I linje med direktiv 2002/58/EG och principen om uppgiftsminimering bör behandlingen av personuppgifter och andra uppgifter begränsas till innehållsdata och tillhörande trafikuppgifter, i den utsträckning det är strikt nödvändigt för att uppnå syftet med denna förordning.

(34)

Det undantag som föreskrivs i denna förordning bör omfatta de kategorier av uppgifter som avses i artiklarna 5.1 och 6.1 i direktiv 2002/58/EG, som är tillämpliga på behandling av både personuppgifter och icke-personuppgifter som behandlas i samband med tillhandahållandet av en nummeroberoende interpersonell kommunikationstjänst.

(35)

Målet för denna förordning är att skapa ett tillfälligt undantag från vissa bestämmelser i direktiv 2002/58/EG utan att skapa fragmentering på den inre marknaden. Dessutom är det osannolikt att alla medlemsstater skulle kunna anta nationell lagstiftning i tid. Eftersom målet för denna förordning inte i tillräcklig utsträckning kan uppnås av medlemsstaterna utan snarare kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i EU-fördraget. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå det målet. Den inför ett tillfälligt och strikt begränsat undantag från tillämpningen av artiklarna 5.1 och 6.1 i direktiv 2002/58/EG, med en rad skyddsåtgärder för att säkerställa att det inte går utöver vad som är nödvändigt för att uppnå det fastställda målet.

(36)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (8) och avgav ett yttrande den 10 november 2020.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Innehåll och tillämpningsområde

1.   I denna förordning fastställs tillfälliga och strikt begränsade regler om undantag från vissa skyldigheter i direktiv 2002/58/EG, med det enda syftet att göra det möjligt för tillhandahållare av vissa nummeroberoende interpersonella kommunikationstjänster (nedan kallad tillhandahållare) att, utan att det påverkar tillämpningen av förordning (EU) 2016/679, använda särskild teknik för att behandla personuppgifter och andra uppgifter i den utsträckning som är strikt nödvändig för att upptäcka sexuella övergrepp mot barn på nätet på sina tjänster och rapportera dem samt avlägsna material med sexuella övergrepp mot barn på nätet från sina tjänster.

2.   Denna förordning är inte tillämplig på avsökning av ljudkommunikation.

Artikel 2

Definitioner

I denna förordning gäller följande definitioner:

1.

nummeroberoende interpersonell kommunikationstjänst: nummeroberoende interpersonell kommunikationstjänst enligt definitionen i artikel 2.7 i direktiv (EU) 2018/1972.

2.

material med sexuella övergrepp mot barn på nätet:

a)

barnpornografi enligt definitionen i artikel 2 c i direktiv 2011/93/EU,

b)

pornografisk föreställning enligt definitionen i artikel 2 e i direktiv 2011/93/EU.

3.

kontaktsökning med barn: en uppsåtlig handling som utgör ett brott enligt artikel 6 i direktiv 2011/93/EU.

4.

sexuella övergrepp mot barn på nätet: material med sexuella övergrepp mot barn på nätet och kontaktsökning med barn.

Artikel 3

Undantagets tillämpningsområde

1.   Artiklarna 5.1 och 6.1 i direktiv 2002/58/EG är inte tillämpliga på den konfidentialitet vid kommunikation som inbegriper behandling av personuppgifter och andra uppgifter av tillhandahållare i samband med tillhandahållande av nummeroberoende interpersonella kommunikationstjänster under följande förutsättningar:

a)

Behandlingen är

i)

strikt nödvändig för användning av särskild teknik endast i syfte att upptäcka och avlägsna material med sexuella övergrepp mot barn på nätet och rapportera det till brottsbekämpande myndigheter och till organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn och för att upptäcka kontaktsökning med barn på nätet och rapportera den till brottsbekämpande myndigheter eller till organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn,

ii)

proportionell och begränsad till teknik som används av tillhandahållare för det syfte som anges i led i,

iii)

begränsad till innehållsdata och tillhörande trafikuppgifter som är strikt nödvändiga för att uppnå det syfte som anges i led i,

iv)

begränsad till vad som är strikt nödvändigt för att uppnå det syfte som anges i led i.

b)

Teknik som används för att uppnå det syfte som anges i led a i) i denna punkt är förenlig med den senaste tekniken inom branschen och är den minst integritetskränkande, bland annat med avseende på principen om inbyggt dataskydd och dataskydd som standard enligt artikel 25 i förordning (EU) 2016/679, och att den, i den mån den används för att söka av text i kommunikation, inte kan härleda innehållet i sig utan endast kan upptäcka mönster som pekar på eventuella sexuella övergrepp mot barn på nätet.

c)

För särskild teknik som används för det syfte som anges i led a i) i denna punkt, har en föregående konsekvensbedömning avseende dataskydd som avses i artikel 35 i förordning (EU) 2016/679 och ett föregående samrådsförfarande som avses i artikel 36 i den förordningen genomförts.

d)

Avseende ny teknik, det vill säga teknik som används för att upptäcka material med sexuella övergrepp mot barn på nätet som inte har använts av någon tillhandahållare i samband med tjänster som tillhandahållits användare av nummeroberoende interpersonella kommunikationstjänster (nedan kallad användare) i unionen före den 2 augusti 2021, och avseende teknik som används för att identifiera eventuell kontaktsökning med barn, rapporterar tillhandahållaren tillbaka till den behöriga myndigheten om de åtgärder som vidtagits för att visa överensstämmelse med skriftliga råd i enlighet med artikel 36.2 i förordning (EU) 2016/679 som utfärdats av den behöriga tillsynsmyndighet som utsetts enligt kapitel VI avsnitt 1 i den förordningen (nedan kallad tillsynsmyndighet) under det föregående samrådsförfarandet.

e)

Den teknik som används är tillräckligt tillförlitlig genom att den i största möjliga utsträckning begränsar felfrekvensen vad gäller upptäckten av innehåll som utgör sexuella övergrepp mot barn på nätet, och att konsekvenserna av sporadiska fel som ändå uppstår åtgärdas utan dröjsmål.

f)

Den teknik som används för att upptäcka mönster av möjlig kontaktsökning med barn är begränsad till användning av relevanta nyckelindikatorer och objektivt identifierade riskfaktorer såsom åldersskillnader och sannolikheten att ett barn är delaktigt i den avsökta kommunikationen, utan att det påverkar rätten till mänsklig granskning.

g)

Tillhandahållarna

i)

har inrättat interna förfaranden för att förhindra missbruk av, obehörig åtkomst till och obehöriga överföringar av, personuppgifter och andra uppgifter,

ii)

säkerställer mänsklig tillsyn och, vid behov, mänskligt ingripande i behandling av personuppgifter och andra uppgifter med teknik som omfattas av denna förordning,

iii)

säkerställer att material som inte tidigare identifierats som sexuella övergrepp mot barn på nätet eller kontaktsökning med barn inte rapporteras till brottsbekämpande myndigheter eller organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn utan föregående mänsklig bekräftelse,

iv)

har inrättat lämpliga förfaranden och prövningsmekanismer för att säkerställa att användare kan lämna in klagomål till dem inom rimlig tid för att de ska kunna framföra sina synpunkter,

v)

informerar användare på ett tydligt, framträdande och begripligt sätt om att de, i enlighet med denna förordning, har åberopat det undantag från artiklarna 5.1 och 6.1 i direktiv 2002/58/EG om konfidentialitet för användares kommunikation, endast i det syfte som anges i led a i) i denna punkt, om skälen för de åtgärder de har vidtagit inom ramen för undantaget och om inverkan på konfidentialiteten vid användarnas kommunikation, inbegripet möjligheten att personuppgifter delas med brottsbekämpande myndigheter och organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn,

vi)

ska, om innehållet har avlägsnats eller om användarens konto har blockerats eller en tjänst som erbjuds dem har stängts av, informera användaren om

1.

möjligheterna till prövning hos dem,

2.

möjligheten att lämna in ett klagomål till en behörig tillsynsmyndighet, och

3.

rätten till ett rättsmedel,

vii)

senast den 3 februari 2022, och därefter senast den 31 januari varje år, offentliggöra och lämna in en rapport till den behöriga tillsynsmyndigheten och till kommissionen om behandlingen av personuppgifter enligt denna förordning, inbegripet om

1.

de behandlade uppgifternas typ och volym,

2.

den åberopade specifika grunden för behandling enligt förordning (EU) 2016/679,

3.

den åberopade grunden för överföring av personuppgifter utanför unionen enligt kapitel V i förordning (EU) 2016/679, där så är tillämpligt,

4.

antal fall av sexuella övergrepp mot barn på nätet som identifierats, uppdelat mellan material med sexuella övergrepp mot barn på nätet och kontaktsökning med barn,

5.

antal fall där en användare har lämnat in ett klagomål med hjälp av den interna prövningsmekanismen eller till en rättslig myndighet samt utfallet av sådana klagomål,

6.

antal och andel fel (falska positiva resultat) för de olika tekniker som används,

7.

de åtgärder som vidtagits för att begränsa felfrekvensen och den felprocent som uppnåtts,

8.

policyn för lagring samt de dataskyddsåtgärder som tillämpas enligt förordning (EU) 2016/679,

9.

namn på de organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn och med vilka uppgifter har delats enligt denna förordning.

h)

När misstänkta sexuella övergrepp mot barn på nätet har identifierats: innehållsdata och tillhörande trafikuppgifter som behandlas för det syfte som anges i led a i och personuppgifter som genererats genom behandlingen i fråga lagras på ett säkert sätt, endast i syfte att

i)

utan dröjsmål rapportera misstänkta sexuella övergrepp mot barn på nätet till behöriga brottsbekämpande och rättsliga myndigheter eller organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn,

ii)

blockera kontot för, eller stänga av eller avsluta tillhandahållandet av tjänsten till den berörda användaren,

iii)

skapa en unik icke-reversibel digital signatur (kondensat) för uppgifter som på ett tillförlitligt sätt identifierats som material med sexuella övergrepp mot barn på nätet,

iv)

göra det möjligt för den berörda användaren att begära prövning hos tillhandahållaren eller begära administrativ prövning eller rättslig prövning i frågor som rör de misstänkta sexuella övergreppen mot barn på nätet, eller

v)

besvara begäranden från brottsbekämpande och rättsliga myndigheter i enlighet med tillämplig lagstiftning för att tillhandahålla dem de uppgifter som krävs för att förebygga, upptäcka, utreda och lagföra brott enligt direktiv 2011/93/EU.

i)

Uppgifterna lagras inte längre än vad som är strikt nödvändigt för det relevanta syfte som anges i led h och under inga omständigheter längre än tolv månader från och med den dag då de misstänkta sexuella övergreppen mot barn på nätet identifierades.

j)

Varje motiverad och bekräftad misstanke om sexuella övergrepp mot barn på nätet rapporteras utan dröjsmål till de behöriga nationella brottsbekämpande myndigheterna eller till organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn.

2.   Till och med den 3 april 2022, är villkoret i punkt 1 c inte tillämpligt på tillhandahållare som

a)

använde en särskild teknik före den 2 augusti 2021 i det syfte som avses i punkt 1 a i, utan att dessförinnan ha genomfört ett föregående samrådsförfarande med avseende på den tekniken,

b)

inleder ett föregående samrådsförfarande före den 3 september 2021, och

c)

i vederbörlig ordning samarbetar med den behöriga tillsynsmyndigheten i samband med det föregående samrådsförfarande som avses i led b.

3.   Villkoret i punkt 1 d är till och med den 3 april 2022 inte tillämpligt på tillhandahållare som

a)

använde en teknik som avses i punkt 1 d före den 2 augusti 2021 utan att ha genomfört ett föregående samrådsförfarande med avseende på den tekniken,

b)

inleder ett förfarande som avses i punkt 1 d före den 3 september 2021, och

c)

i vederbörlig ordning samarbetar med den behöriga tillsynsmyndigheten i samband med det förfarande som avses i punkt 1 d.

Artikel 4

Riktlinjer från Europeiska dataskyddsstyrelsen

Senast den 3 september 2021, och enligt artikel 70 i förordning (EU) 2016/679, ska kommissionen begära att Europeiska dataskyddsstyrelsen utfärdar riktlinjer för att hjälpa tillsynsmyndigheterna att bedöma huruvida den behandling som omfattas av den här förordningen, när det gäller befintlig och ny teknik som används i det syfte som anges i artikel 3.1 a i) i den här förordningen, är förenlig med förordning (EU) 2016/679.

Artikel 5

Effektiva rättsmedel

I enlighet med artikel 79 i förordning (EU) 2016/679 och artikel 15.2 i direktiv 2002/58/EG ska användare ha rätt till ett effektivt rättsmedel om de anser att deras rättigheter har kränkts till följd av behandling av personuppgifter och andra uppgifter för det syfte som anges i artikel 3.1 a i) i den här förordningen.

Artikel 6

Tillsynsmyndigheter

De tillsynsmyndigheter som utsetts enligt kapitel VI avsnitt 1 i förordning (EU) 2016/679 ska i enlighet med sina behörigheter och befogenheter enligt det kapitlet övervaka all behandling som omfattas av den här förordningen.

Artikel 7

Offentlig förteckning över organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn

1.   Senast den 3 september 2021 ska tillhandahållare till kommissionen översända en förteckning med namn på organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn till vilka de rapporterar sexuella övergrepp mot barn på nätet enligt denna förordning. Tillhandahållare ska regelbundet meddela ändringar av förteckningen till kommissionen.

2.   Senast den 3 oktober 2021 ska kommissionen offentliggöra en förteckning med namn på organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn som meddelats till den enligt punkt 1. Kommissionen ska hålla den offentliga förteckningen uppdaterad.

Artikel 8

Statistik

1.   Senast den 3 augusti 2022, och därefter årligen, ska medlemsstaterna offentliggöra och lämna in rapporter till kommissionen med statistik om följande:

a)

Det totala antalet rapporter om upptäckta sexuella övergrepp mot barn på nätet som har lämnats in av tillhandahållare och organisationer som agerar i allmänhetens intresse mot sexuella övergrepp mot barn till de behöriga nationella brottsbekämpande myndigheterna, uppdelat mellan det absoluta antalet fall och fall som rapporterats flera gånger om sådan information finns tillgänglig, samt typen av tillhandahållare på vars tjänst det sexuella övergreppet mot barn på nätet upptäcktes.

b)

Antalet barn som identifierats genom åtgärder enligt artikel 3, uppdelat efter kön.

c)

Antalet dömda förövare.

2.   Kommissionen ska sammanställa den statistik som avses i punkt 1 i denna artikel och beakta den vid utarbetandet av genomföranderapporten enligt artikel 9.

Artikel 9

Genomföranderapport

1.   På grundval av de rapporter som lämnats in enligt artikel 3.1 g vii och den statistik som lämnats in enligt artikel 8 ska kommissionen senast den 3 augusti 2023 utarbeta en rapport om genomförandet av denna förordning och lägga fram och presentera den för Europaparlamentet och rådet.

2.   I genomföranderapporten ska kommissionen särskilt beakta

a)

de villkor för behandling av personuppgifter och andra uppgifter som anges i artikel 3.1 a ii och 3.1 b, c och d,

b)

proportionaliteten i det undantag som föreskrivs i denna förordning, inbegripet en bedömning av den statistik som medlemsstaterna lämnar enligt artikel 8,

c)

utvecklingen av tekniska framsteg när det gäller verksamhet som omfattas av denna förordning, och i vilken utsträckning denna utveckling förbättrar exaktheten och minskar antalet och andelen fel (falska positiva resultat).

Artikel 10

Ikraftträdande och tillämpning

Denna förordning träder i kraft den tredje dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Den ska tillämpas till och med den 3 augusti 2024.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 14 juli 2021.

På Europaparlamentets vägnar

D.M. SASSOLI

Ordförande

På rådets vägnar

A. LOGAR

Ordförande


(1)  EUT C 10, 11.1.2021, s. 63.

(2)  Europaparlamentets ståndpunkt av den 6 juli 2021 (ännu inte offentliggjord i EUT) och rådets beslut av den 12 juli 2021.

(3)  Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, 31.7.2002, s. 37).

(4)  Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

(5)  Europaparlamentets och rådets direktiv 2002/21/EG av den 7 mars 2002 om ett gemensamt regelverk för elektroniska kommunikationsnät och kommunikationstjänster (ramdirektiv) (EGT L 108, 24.4.2002, s. 33).

(6)  Europaparlamentets och rådets direktiv (EU) 2018/1972 av den 11 december 2018 om inrättande av en europeisk kodex för elektronisk kommunikation (EUT L 321, 17.12.2018, s. 36).

(7)  Europaparlamentets och rådets direktiv 2011/93/EU av den 13 december 2011 om bekämpande av sexuella övergrepp mot barn, sexuell exploatering av barn och barnpornografi samt om ersättande av rådets rambeslut 2004/68/RIF (EUT L 335, 17.12.2011, s. 1).

(8)  Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).