[pic] | EUROPEISKA GEMENSKAPERNAS KOMMISSION |

Bryssel den 7.3.2007

KOM(2007) 87 slutlig

MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET

om uppföljningen av arbetsprogrammet för ett bättre genomförande av dataskyddsdirektivet

MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET

om uppföljningen av arbetsprogrammet för ett bättre genomförande av dataskyddsdirektivet

(Text av betydelse för EES)

Direktiv 95/46/EG[1] innebar en milstolpe i arbetet med den grundläggande rättigheten till skydd av personuppgifter, enligt riktlinjerna i Europarådets konvention 108[2]. I enlighet med artikel 33 i direktivet sades i kommissionens första rapport om genomförandet[3] att det inte behövdes några lagändringar, men att mycket arbete återstod och att genomförandet av direktivet fortfarande kunde förbättras på åtskilliga punkter.

Rapporten innehöll ett arbetsprogram för ett bättre genomförande av dataskyddsdirektivet . Syftet med det här meddelandet är att utreda arbetet enligt arbetsprogrammet, bedöma nuläget och skissera den möjliga framtida utveckling som krävs för att på en rad politikområden erkänna den självständiga rätten till skydd av personuppgifter, mot bakgrund av artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna.

Kommissionen anser att direktivet ger en allmän rättslig ram som i stort sett är lämplig, och tekniskt neutral. De harmoniserade bestämmelserna om skydd av personuppgifter inom hela EU har gynnat medborgarna, företagen och myndigheterna. Bestämmelserna skyddar enskilda mot generaliserad övervakning och omotiverad diskriminering med utgångspunkt i personuppgifter. Den elektroniska handeln bygger på att konsumenterna kan lita på att deras uppgifter inte kommer att missbrukas. Företag driver affärsverksamhet och myndigheter samarbetar inom hela gemenskapen utan att behöva oroa sig över om de personuppgifter som utbyts är tillräckligt skyddade hos avsändaren eller mottagaren.

Kommissionen kommer att fortsätta övervaka genomförandet av direktivet, tillsammans med de berörda fortsätta arbeta på att minska skillnaderna mellan länderna och utreda behovet av särskild sektorslagstiftning för att tillämpa principerna om skydd av personuppgifter på ny teknik och fylla behovet av allmän säkerhet.

1. IGÅR: ARBETSPROGRAMMETS RESULTAT

Efter den första rapporten har arbetet inriktats på följande de tio områden:[4]

Åtgärd 1: Diskussioner med medlemsstaterna och dataskyddsmyndigheterna

Kommissionen har fört en strukturerad dialog med medlemsstaterna om det nationella genomförandet. Dialogen omfattar en detaljerad analys av de nationella bestämmelserna och diskussioner med nationella myndigheter för att den nationella lagstiftningen skall uppfylla kraven i direktivet.

Åtgärd 2: Samarbete med kandidatländerna i syfte att uppnå ett bättre och enhetligare genomförande av direktivet

Företrädare för medlemsstaterna har bevistat sammanträden i den kommitté som är sammansatt av företrädare för medlemsstaterna vilken inrättades genom artikel 31 i direktivet före utvidgningen, på samma sätt som skett med arbetsgruppen[5] sedan 2002. Kommissionen har sedan dess arbetat nära tillsammans med myndigheterna för att anpassa nationell lagstiftning, lämna riktlinjer för harmonisering med gemenskapens regelverk för att inte behöva tillgripa formella överträdelseförfaranden annat än i undantagsfall.

Åtgärd 3: Ökad användning av anmälningsförfarandet för de rättsakter som införlivar direktivet och av anmälningar om godkännanden som utfärdats enligt artikel 26.2 i direktivet

Den strukturerade dialog som inletts enligt åtgärd 1 har givit kommissionen en bättre och mer sammanhängande bild av de nationella genomförandebestämmelserna, även sekundärrätt och sektorslagstiftning. I en skrivelse till medlemsstaterna föreslog kommissionen i augusti 2003 gemensamma kriterier för den praktiska hanteringen av anmälningar enligt artikel 26.3 i direktivet. Detta har ökat antalet anmälningar från vissa medlemsstater. Utbyte av goda lösningar och kunskap mellan de nationella myndigheterna har ökat genom att kommissionen på sin webbsida har publicerat ett urval viktiga nationella policydokument, beslut och rekommendationer.

Åtgärd 4: Tillsyn

I sitt uttalande om tillsyn godtog arbetsgruppen principiellt tanken på EU-täckande, synkroniserade nationella tillsynsåtgärder, och fastställde kriterier för vilka frågor som kräver utredning. I mars 2006 inledde de nationella dataskyddsmyndigheterna en gemensam utredning av behandlingen av personuppgifter i den privata vårdsektorn.

Åtgärd 5: Anmälning och offentliggörande av behandlingar

Arbetsgruppen har givit ut en rapport i den ovannämnda frågan. Rapporten redogör för dagsläget i de olika länderna och lämnar rekommendationer som bygger vidare på kommissionens. Rapporten har följts upp av en handbok om anmälningsplikten, som utarbetats för att ge en uttömmande genomgång av de olika nationella bestämmelserna och rutinerna. Den ger innehåller även vägledning för registeransvariga.

Åtgärd 6: Mer harmoniserade bestämmelser om informationsplikt

Utöver kommissionens analys av nationell lagstiftning under den strukturerade dialogen har arbetsgruppen även upptäckt behov av harmonisering och har sökt en gemensam grund för en pragmatisk lösning. Arbetsgruppen har utarbetat riktlinjer för registeransvariga om aktuella konkreta fall, innehåll och utformning av uppgifterna, och förlagor för informationsmeddelanden i flera nivåer eller upplysningar om överföring av passageraruppgifter.

Åtgärd 7: Enklare krav när det gäller internationella överföringar

a) En mer omfattande användning av resultaten då en adekvat skyddsnivå konstaterats för tredjeland enligt artikel 25.6

Kommissionen har gjort en rad bedömningar av adekvat skyddsnivå sedan arbetsprogrammet offentliggjordes. Argentina, Guernsey och Isle of Man har ansetts garantera adekvat skyddsnivå.

Kommissionen har även sett över hur tidigare bedömningar av adekvat skyddsnivå fungerar. Kommissionens tjänstegrenar lade 2004 fram en rapport om principerna om integritetsskydd (safe harbour), som åtföljdes av ett informationsmeddelande och en blankett för att göra anmälningar till den särskilda arbetsgruppen för dataskyddsmyndigheter. Arbetet har följts upp med en bred konferens om internationell överföring av personuppgifter som arbetsgruppen anordnade i oktober 2006 tillsammans med amerikanska näringsdepartementet. Också bedömningen av adekvat skyddsnivå i Schweiz och Kanada har setts över.

b) Ytterligare beslut baserade på artikel 26.4 så att ekonomiska operatörer får ett bredare utbud av standardavtalsklausuler

Kommissionen antog i ett beslut ytterligare standardavtalsklausuler för adekvat skydd vid överföring till registeransvariga i tredjeland. Förslag till klausuler utarbetades av en grupp representativa näringslivssammanslutningar och Internationella handelskammaren. Kommissionens tjänstegrenar lade även fram en första rapport om genomförandet av kommissionens tidigare beslut om avtalsklausuler 2006.

c) Den roll som bindande (interna) bolagsregler spelar när det gäller att skydda överföring av personuppgifter inom en koncern

Efter förberedande arbete 2003 och 2004 antog arbetsgruppen två viktiga dokument. Det första fastställer ett samarbetsförfarande för nationella tillsynsmyndigheter för att utfärda gemensamma yttranden om adekvat skyddsnivå grundad på bindande bolagsregler. Det andra dokumentet innehåller en checklista för registeransvariga som vill få godkännande av att dessa regler ger adekvat skydd.

d) Enhetligare tolkning av direktivets artikel 26.1

Arbetsgruppen antog ett yttrande som fastställde viktiga riktlinjer när man beviljar undantag från principen om adekvat skydd i tredjeland.

Åtgärd 8: Teknik för att förbättra skyddet av privatlivet

Det arbete som kommissionen och arbetsgruppen utförde 2003 och 2004 inriktades på kommissionens kommande meddelande om teknik för att förbättra skyddet av privatlivet, som stakar ut riktlinjerna för den framtida politiken.

Åtgärd 9: Främjande av självreglering och europeiska uppförandekoder

Arbetsgruppen har godkänt FEDMA:s europeiska uppförandekodex för direkt marknadsföring. Detta var ett viktigt framsteg. Tyvärr har det övriga arbetet ännu inte lett till några liknande riktlinjer med jämförbar kvalitet. Trots tidigare framsteg kunde inte heller arbetsmarknadens parter i EU enas om något europeiskt avtal om skydd av personuppgifter i arbetslivet.

Åtgärd 10: Medvetandehöjande åtgärder

En Eurobarometerundersökning har gjorts av hur medborgarna och företagen i EU ser på den personliga integriteten. Undersökningen visar i stort sett att allmänheten engageras av dessa frågor, men inte är tillräckligt medveten om gällande bestämmelser och system för att skydda sina rättigheter.

2. IDAG: HUR DIREKTIVET GENOMFÖRS

Genomförandet är bättre

Alla medlemsstater har nu genomfört direktivet. I stort sett har alla bestämmelser genomförts i nationell rätt enligt direktivet.

Åtgärderna i arbetsprogrammet har givit goda resultat och väsentligt förbättrat genomförandet av direktivet inom hela gemenskapen. Ett tungt vägande skäl var att de nationella tillsynsmyndigheterna genom att delta i arbetsgruppen var djupt involverade i arbetet.

Men alla länder har ännu inte genomfört direktivet på lämpligt sätt

Efter det förberedande arbetet med kommissionens första rapport 2003 har den strukturerade dialogen och därmed sammanhängande detaljanalys av nationell lagstiftning om uppgiftsskydd gett god inblick i hur direktivet har genomförts inom gemenskapen. De har förtydligat flera rättsliga frågor och frågor kring om huruvida vissa nationella bestämmelser och rutiner var förenliga med direktivet.

Den strukturerade dialogen har också visat att vissa medlemsstater inte införlivat flera viktiga bestämmelser i direktivet med nationell rätt. I andra fall har genomförandet eller praxis inte tagit hänsyn till direktivet, eller har gått utöver medlemsstatens behörighet.

En bestämmelse som givit problem är kravet på att tillsynsmyndigheterna skall vara helt oberoende och skall ha tillräckliga befogenheter och resurser för att utföra sitt uppdrag. Tillsynsmyndigheterna är grundbulten i direktivets skyddssystem och om de inte är oberoende eller har tillräcklig behörighet får det vittgående negativa konsekvenser för tillämpningen av lagstiftningen om uppgiftsskydd.

Kommissionen gör en jämförande analys av misstänkta fall av felaktigt eller ofullständigt genomförande för att se till att alla håller samma linje. Vissa medlemsstater har medgivit problem med lagstiftningen och har åtagit sig att göra nödvändiga korrigeringar, något som kommissionen uppmuntrar starkt. Andra problem har tagits upp i klagomål från medborgarna. I de fall gemenskapsrätten har överträtts kommer kommissionen, i egenskap av fördragens väktare, att inleda formella överträdelseförfaranden mot de berörda medlemsstaterna, enligt artikel 226 i EG-fördraget. Ett antal överträdelseförfaranden har redan inletts.

I vissa fall ger direktivets handlingsmarginal upphov till skillnader

Direktivet innehåller en rad bestämmelser som är allmänt formulerade och som uttryckligen eller implicit ger medlemsstaterna viss handlingsmarginal när de skall anta nationella genomförandebestämmelser. Inom ramen för denna handlingsmarginal kan skillnader i nationell lagstiftning uppkomma[6]. Sådana avvikelser är inte större på det här området än på andra ekonomiska områden och är naturliga följder av den handlingsmarginal som tillåtits.

Avvikelserna innebär inget problem för den inre marknaden

Kommissionen beställde en undersökning med titeln Ekonomisk bedömning av dataskyddsdirektivet (95/46/EG) (”Economic evaluation of the Data Protection Directive (95/46/EC)”[7] för att bedöma hur direktivet ekonomiskt påverkade registerförarna. Undersökningen inriktades på ett visst antal utvalda ärenden och tyder på att genomförandet av direktivet trots vissa avvikelser lett till blygsamma merkostnader för företagen.

Bättre konsekvens skulle förstås främja positiva förslag till förenkling, självreglering eller användning av bindande bolagsregler. Men det de klagomål kommissionen tagit emot ger inga belägg för att nationella avvikelser inom direktivets ramar faktiskt skulle kunna hindra att den inre marknaden fungerar väl eller begränsa det fria flödet av uppgifter därför att skyddet i ursprungs- eller destinationslandet inte är adekvat. Konkurrensen snedvrids inte heller av de krav som ställs i de länder där näringslivets aktörer är etablerade. Nationella avvikelser hindrar inte företagen från att bedriva verksamhet eller etablera sig i olika medlemsstater. De ifrågasätter inte heller EU:s och medlemsstaternas åtagande att skydda de grundläggande mänskliga rättigheterna.

Direktivet får därför anses uppfylla sitt syfte, nämligen att säkra det fria flödet av personuppgifter mellan medlemsstaterna och samtidigt garantera ett gott skydd av personuppgifter inom gemenskapen.

Bestämmelserna är lämpliga i sak

En annan fråga är huruvida den rättstekniska lösningen i direktivet är lämpliga i dessa frågor, annat än för att få viss harmonisering.

Vissa bestämmelser har kritiserats. Det har anförts att anmälan är betungande, men anmälningar är mycket värdefulla för att ge de registrerade insyn, höja registeransvarigas medvetenhet och ge tillsynsmyndigheterna ett kontrollverktyg. Internet och nya möjligheter för registrerade att kontakta varandra eller få tillgång till tjänster som tillhandahålls i tredjeland väcker frågor om hur tillämplig nationell lag skall fastställas eller frågor kring överföring av uppgifter till tredjeland. I dessa frågor ger praxis endast en del svar[8]. Apparater för radiofrekvensidentifiering väcker grundläggande frågor kring omfattningen av reglerna för skydd av uppgifter och definitionen av personuppgifter. Kombinationen av ljud och bild med automatisk igenkänning kräver särskild försiktighet när direktivets principer tillämpas.

En liknande diskussion har förts i Europarådet om huruvida principerna i konvention 108 fortsätter vara relevanta idag. Det finns en allmänt samsyn om att principerna även i fortsättningen har grund för sig och erbjuder en tillfredsställande lösning.

Anpassning till ny teknik

Kommissionen anser att direktivet är tekniskt neutralt och att principerna och bestämmelserna i direktivet är tillräckligt allmänna för att kunna fortsätta tillämpas på lämpligt sätt på ny teknik och nya situationer. Det kan dock bli nödvändigt att anta särskilda riktlinjer eller bestämmelser till de allmänna bestämmelserna för att ta hänsyn till särskilda omständigheter kring ny teknik.

Därför ges i direktiv 2002/58/EG närmare bestämmelser och preciseringar till direktiv 95/46/EG när det gäller behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation. Bestämmelserna skall säkerställa fri rörlighet för sådana uppgifter samt för utrustning och tjänster avseende elektronisk kommunikation inom gemenskapen. Det direktivet håller för närvarande på att omarbetas i samband med den allmänna genomgången av den rättsliga ramen för elektronisk kommunikation.

Arbetsgruppen har gjort väsentliga ansträngningar i tekniska frågor, t.ex. icke begärd kommunikation (”spam”), filter för e-post, och behandling av trafikuppgifter för fakturering eller av lokaliseringsuppgifter för tilläggstjänster. Frågor kring uppgiftsskydd och säkerhet i samband med radiofrekvensidentifiering har behandlats vid flera seminarier och offentligt samråd anordnat av kommissionens tjänstegrenar.

Allmänintressets krav

Balansen mellan skyddet av enskildas grundläggande fri- och rättigheter å ena sidan samt allmänintressets behov å den andra åstadkoms av två olika typer av bestämmelser i direktivet.

Den första typen av bestämmelse utesluter en rad frågor från direktivets räckvidd. I artikel 3 utesluts t.ex. ”allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område”. EG-domstolen har förtydligat att behandling som anses vara nödvändig för att säkerställa allmän säkerhet och för att tillgodose repressiva syften inte omfattas av direktivet[9]. Behovet av gemensamma EU-bestämmelser om uppgiftsskydd har gjort att kommissionen har antagit ett förslag om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete[10]. Det förslaget åtföljer kommissionens förslag om utbyte av uppgifter i enlighet med principen om tillgänglighet[11]. EU har ingått ett internationellt avtal med USA om utbyte av passageraruppgifter i brottsförebyggande syfte.[12]

Den andra typen av bestämmelser fastställer att medlemsstaterna får begränsa principerna för databehandling under vissa villkor. I artikel 13 tillåts detta t.ex. ”i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till [sedan följer en uppräkning av frågor som utgör viktiga allmänna intressen]”. Sådana begränsningar får till exempel ske med hänsyn till behovet av att bekämpa brott eller skydda folkhälsan i nödsituationer. Andra bestämmelser i direktivet ger liknande möjligheter till vissa undantag. EG-domstolen har klargjort att uppgifter som ursprungligen samlats in i kommersiella syften får bara användas i senare led i ett annat syfte av allmänt intresse enligt villkoren i artikel 13. De krav som ställs på den nationella lagstiftaren är desamma som fastställs i artikel 8 i Europakonventionen om skydd för de mänskliga rättigheterna och praxis från Europeiska domstolen för de mänskliga rättigheterna är mycket viktig[13]. Att låta medlemsstaterna avgöra vad som utgör en ”nödvändig åtgärd” och ”viktigt allmänt intresse” ger naturligtvis upphov till många avvikelser mellan de nationella lagstiftningarna.

Harmonisering sådana begränsningar har bara gjorts på ett begränsat antal områden, nu senast i fråga om direktiv 2006/24/EG[14] om lagring av uppgifter. På dessa områden har kommissionen tillkännagivit att den kommer att inrätta en expertgrupp som skall diskutera problem, t.ex. genomförandet av direktivet i nationell rätt.

Skydd av den grundläggande rättigheten

Kommissionen har åtagit sig att i alla sina förslag ta hänsyn till Europeiska unionens stadga om de grundläggande rättigheterna. När det gäller rätten till skydd för personliga uppgifter som fastsälls i artikel 8 i stadgan, upprättar direktivet höga krav och fungerar som referens för att få konsekvens i behandlingen av den personliga integriteten i all EG-lagstiftning på olika områden.

3. IMORGON: MÖJLIGA VÄGAR FRAMÅT

Mot bakgrund av detta kommer kommissionen att föra en politik som karaktäriseras av nedanstående inslag.

Ratificeringen av fördraget om en konstitution för E U kan ge nya möjligheter

Fördraget om en konstitution för EU skulle få stor genomslagskraft på området. I artikel II-68 fastställs rätten till skydd av personuppgifter enligt artikel 8 i stadgan om de grundläggande rättigheterna. Konstitutionen skulle även inrätta en särskilt och oberoende rättslig grund så att EU kan lagstifta i frågan enligt artikel I-51, vilken banar väg för andra rättsakter som kan tillämpas på alla områden. Dagens indelning i ”pelare” och begränsningarna i artikel 3 i direktivet skulle inte längre vara nödvändig. Till dess att situationen rörande ratificeringen av konstitutionen har klarnat har kommissionen dock betonat behovet av mer effektiva förfaranden när det gäller frihet, säkerhet och rättvisa inom ramen för gällande fördrag.[15]

Direktivet bör inte ändras

Av ovanstående skäl anser kommissionen att direktivet om uppgiftsskydd utgör en allmän rättslig ram som uppfyller sina ursprungliga syften och ger tillräckliga garantier för att den inre marknaden skall fungera väl, samtidigt som det erbjuder en god skyddsnivå. Direktivet utformar den grundläggande rätten till skydd av personuppgifter, och dess bestämmelser bör leda till att enskilda känner förtroende för hur deras personuppgifter används, vilket är en grundläggande förutsättning för att utveckla e-ekonomin. Direktivet fastställer en kvalitetsnivå för förslag på ett antal politikområden, det är tekniskt neutralt och erbjuder även framgent en god och lämplig lösning på dessa frågor.

Kommissionen planerar därför inte att lägga fram några förslag om ändring av direktivet.

Kommissionen kommer att övervaka att bestämmelserna genomförs nationellt och internationellt på ett lämpligt sätt

En del inkonsekvenser mellan nationell lagstiftning beror på att direktivet inte har genomförts korrekt eller fullständigt. Med utgångspunkt i de upplysningar som framkommit under den strukturerade dialogen med medlemsstaterna och i klagomål från medborgarna kommer kommissionen att fortsätta samarbeta med medlemsstaterna. Den kommer vid behov att inleda formella överträdelseförfaranden för att ge medlemsstaterna samma förutsättningar.

Kommissionen uppmanar medlemsstaterna att anta nationella genomförandebestämmelser till direktivet. Samtidigt kommer kommissionen att fortsätta bevaka och delta i utvecklingen i olika internationella sammanhang, t.ex. i Europarådet, OECD och FN, för att medlemsstaternas åtaganden skall överensstämma med skyldigheterna i direktivet.

Kommissionen kommer att lämna ett tolkningsbesked om vissa av bestämmelserna

Problem med genomförandet av vissa bestämmelser i direktivet kan leda till formella överträdelseförfaranden med anledning av kommissionens tolkning av bestämmelserna och korrekt tillämpning av dem, med hänsyn till EG-domstolens praxis och arbetsgruppens insatser i tolkningsfrågorna.

Tankarna kommer att förtydligas i ett tolkningsmeddelande.

Kommissionen uppmanar alla berörda parter att minska de nationella avvikelserna

Arbete av olika slag kommer att fortsätta för att nå målet.

– Arbetet enligt arbetsprogrammet kommer att gå vidare

De åtgärder som föreslogs 2003 var lämpliga då och fortsätter vara lämpliga för att förbättra genomförandet av direktivet.

Verksamheten kommer att fortsätta enligt arbetsprogrammet och grunden till ett bättre genomförande av principerna bakom direktivet är att alla intressenter deltar.

– Arbetsgruppen skall fortsätta bidra till harmoniserade rutiner

Arbetsgruppen samlar nationella tillsynsmyndigheter och är avgörande för att få en bättre och mer konsekvent tillämpning. Arbetsgruppens uppdrag är att ”utreda varje fråga som rör tillämpningen av de nationella bestämmelser som antagits för genomförandet av detta direktiv, för att bidra till en enhetlig tillämpning av bestämmelserna” . Den har redan bidragit mycket till en enhetlig nationell tillämpning av vissa nyckelbestämmelser, t.ex. de som rör gränsöverskridande flöden av personuppgifter eller begreppet personuppgifter.

För att fullt ut dra nytta av forumet bör tillsynsmyndigheterna även försöka anpassa sina inhemska rutiner till den gemensamma hållning som utmejslas i arbetsgruppen.

Nya tekniska lösningar

Principerna i direktivet fortsätter gälla och bör inte ändras. Den kraftiga utvecklingen av ny ITK-teknik kräver dock särskilda riktlinjer för hur principerna skall tillämpas i praktiken. Allt mer sofistikerad teknik gör det möjligt att snabbt utbyta information över hela världen. Men tekniken tillåter också ett bättre skydd av personuppgifter när det behövs. Det blir lättare att kontrollera och söka information. Det går snabbare och lättare att hitta relevanta upplysningar. Uppgifter som inte får lämnas ut kan med hjälp av den nya tekniken isoleras och få ett snabbare och bättre skydd.

Arbetsgruppen har en viktig roll att spela i denna fråga. Den bör fortsätta det arbete som bedrivits i den särskilda Internet-gruppen och utveckla en gemensam hållning mellan nationella tillsynsmyndigheter för att harmonisera genomförandet av nationell lagstiftning, i synnerhet tillämplig lag och gränsöverskridande flöden av personuppgifter.

Om en viss teknik genomgående ger upphov till frågor kring tillämpningen av principen om skydd av personuppgifter och används allmänt eller kan orsaka sådana intrång i den personliga integriteten att strängare åtgärder krävs, kan kommissionen föreslå sektorslagstiftning inom EU för att tillämpa principerna på teknikens särskilda krav. Denna hållning förespråkades i direktiv 2002/58/EG om integritet och elektronisk kommunikation.

Den pågående översynen av det direktivet samt det ovannämnda meddelandet om radiofrekvensidentifiering kan ge tillfälle att överväga behovet av att ändra det direktivet eller anpassa vissa bestämmelser om dataskydd som väcks av teknik som Internet eller radiofrekvensidentifiering.

Konsekventa säkerhetslösningar för allmänintresset

Två grundläggande krav måste uppfyllas. Dels behöver vi lösningar som fungerar i EU-medborgarnas vardag, i synnerhet i säkerhetsfrågor. Dels måste vi samtidigt skydda de grundläggande fri- och rättigheterna, däribland rätten till skydd av personuppgifter. Mängden personuppgifter som samlas in är stor, och de sparas på flera ställen i olika sammanhang. Uppgifterna får bara användas i andra syften än de som motiverat insamlingen och behandlingen om detta krävs för att vidta åtgärder som skall vara motiverade och nödvändiga i ett demokratiskt samhälle på grund av den allmänna säkerheten, t.ex. att förebygga eller bekämpa terrorism eller grov brottslighet.

I avvägningen mellan säkerhetskraven och skyddet av de grundläggande fri- och rättigheterna kommer kommissionen att se till att skydda personuppgifter enligt artikel 8 i Europeiska unionens stadgan för de grundläggande rättigheterna. EU arbetar även med externa samarbetsparter, något som är viktigt i det allmer internationaliserade samhället. I synnerhet för EU en ständig transatlantisk dialog med USA om informationsutbyte och skydd av personuppgifter i brottsförebyggande syfte.

När de åtgärder som beskrivs i det här meddelandet har slutförts kommer kommissionen ånyo att utvärdera genomförandet av direktivet.

[1] Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, 23.11.1995, s. 31.

[2] ETS nr 108, nedan “konvention 108”.

[3] Första rapporten om genomförandet av dataskyddsdirektivet (95/46/EG) av den 15 maj 2003, KOM(2003) 265 slutlig.

[4] Kommissionens första rapport och övriga offentliga handlingar som antagits enligt arbetsprogrammet finns på webbplatsen: http://ec.europa.eu/justice_home/fsj/privacy/lawreport/index_sv.htm

[5] Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter (även kallad Arbetsgruppen för uppgiftsskydd), vilken inrättats genom artikel 29 i direktivet.

[6] Skäl 9 i direktivet.

[7] http://ec.europa.eu/justice_home/fsj/privacy/docs/studies/economic_evaluation_en.pdf. (Finns ej på svenska.)

[8] Dom av den 6 november 2003 i mål C-101/01 (“Lindqvist”).

[9] Dom av den 30 maj 2006 i förenade målen C-317/04 och C-318/04 (“PNR”).

[10] KOM(2005) 475 slutlig, 4.10.2005.

[11] KOM (2005) 490 slutlig, 12.10.2005.

[12] EUT L 298, 27.10.2006, s. 29.

[13] Dom av den 20 maj 2003 i förenade mål C-317/00, C-318/01 och C-139/01 (”Rechnungshof”).

[14] EUT L 105, 13.4.2006, s. 54.

[15] KOM(2006) 331 slutlig, 28.6.2006.