Den här webbplatsen är en del av
Ingång till EU-rätten
Meddelande från kommissionen till Europaparlamentet och rådet om främjande av dataskydd genom integritetsfrämjande teknik
/* KOM/2007/0228 slutlig */
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | |||
| doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc | doc |
| Visa två språkversioner samtidigt: CS DA DE EL EN ES ET FI FR HU IT LT LV MT NL PL PT SK SL SV |
[pic] | EUROPEISKA GEMENSKAPERNAS KOMMISSION |
Bryssel den 2.5.2007
KOM(2007) 228 slutlig
MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET
om främjande av dataskydd genom integritetsfrämjande teknik
MEDDELANDE FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET
om främjande av dataskydd genom integritetsfrämjande teknik (Text av betydelse för EES)
Inledning
Den intensiva och ständigt pågående utvecklingen av informations- och kommunikationsteknik (nedan kallad ”IKT”) erbjuder oss hela tiden nya tjänster som förbättrar våra liv. Till stor del är råmaterialet för interaktion i cyberrymden personuppgifter om de enskilda personer som rör sig i cyberrymden när de köper varor och tjänster, inleder eller upprätthåller kontakter med andra eller ger uttryck för sina åsikter på webben. Vid sidan av de fördelar som den här utvecklingen för med sig skapas det också nya risker för den enskilde, exempelvis identitetsstöld, upprättande av diskriminerande profiler, ständig övervakning eller bedrägeri.
Rätten till skydd av personuppgifter fastslås i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Denna grundläggande rätt kommer till uttryck i EU:s rättsliga ram för skyddet av personuppgifter som framför allt består av dataskyddsdirektivet 95/46/EG[1], direktivet om integritet och elektronisk kommunikation 2002/58/EG[2] och dataskyddsförordningen (EG) nr 45/2001[3] rörande gemenskapsinstitutionernas och gemenskapsorganens databehandling. Denna lagstiftning omfattar flera väsentliga bestämmelser om skyldigheter för registeransvariga och rättigheter för registrerade. Den föreskriver också påföljder och lämpliga åtgärder vid överträdelser och fastställer mekanismer för att genomdriva bestämmelserna i syfte att göra dem effektiva.
Detta system kan emellertid visa sig otillräckligt när personuppgifter sprids i hela världen genom IKT-nät och behandlingen av personuppgifter inbegriper flera jurisdiktioner, ofta utanför EU. I dessa situationer kan de nuvarande bestämmelserna i och för sig anses tillämpliga och ett tydligt rättsligt svar härledas ur dem. Det kan dessutom fastställas vilken behörig myndighet som skall se till att bestämmelserna efterlevs. Det kan emellertid finnas avsevärda praktiska hinder på grund av de svårigheter som är förbundna med den teknik som används, vilket bland annat innebär att uppgifter behandlas av olika aktörer på olika platser, och det kan uppstå svårigheter som är förbundna med verkställigheten av nationella administrativa utlåtanden och rättsliga avgöranden i andra jurisdiktioner, särskilt i länder utanför EU.
Även om det i egentlig bemärkelse är de registeransvariga som bär det rättsliga ansvaret för att bestämmelserna om dataskydd efterlevs, finns det också andra som till viss del är ansvariga för dataskyddet ur samhällelig och etisk synvinkel. Bland dessa återfinns de som utvecklar tekniska specifikationer och de som konstruerar eller implementerar program eller operativsystem.
Enligt artikel 17 i dataskyddsdirektivet är den registeransvarige skyldig att vidta lämpliga tekniska och organisatoriska åtgärder, och åstadkomma en lämplig säkerhetsnivå i förhållande till arten av de personuppgifter som skall skyddas och de risker som är förknippade med behandlingen av dessa. Att stödja efterlevnaden av lagstiftningen, särskilt när det gäller bestämmelserna om dataskydd, genom användningen av teknik förutses redan till viss del i direktivet om integritet och elektronisk kommunikation[4].
En ytterligare etapp på vägen mot att förverkliga målet med lagstiftningen, dvs. att minimera behandlingen av personuppgifter och där så är möjligt använda avidentifierade eller pseudonymförsedda uppgifter, skulle kunna få stöd av så kallad integritetsfrämjande teknik ( Privacy Enhancing Technologies ) som skulle göra det lättare att se till att överträdelser av bestämmelserna för dataskydd och kränkningar av den enskildes rättigheter inte bara är förbjudna och leder till påföljder utan också blir svårare rent tekniskt.
Syftet med det här meddelandet, som knyter an till Första rapporten om genomförandet av dataskyddsdirektivet[5], är att reflektera kring fördelarna med integritetsfrämjande teknik, fastställa kommissionens mål på området för att främja denna teknik, och ange konkreta åtgärder för att uppnå detta mål genom stöd till utvecklingen av integritetsfrämjande teknik och registeransvarigas och övriga konsumenters användning av denna.
VAD ÄR INTEGRITETSFRÄMJANDE TEKNIK?
Det finns en rad definitioner av integritetsfrämjande teknik som används i den akademiska världen och inom ramen för pilotprojekt på området. Exempelvis innebär integritetsfrämjande teknik enligt Pisa-projektet, som finansieras av gemenskapen, ett sammanhängande system av IKT-åtgärder som skyddar integriteten genom att ta bort eller reducera personuppgifter eller genom att förhindra onödig eller oönskad behandling av personuppgifter utan att funktionaliteten i informationssystemet går förlorad. Användningen av integritetsfrämjande teknik kan bidra till att informations- och kommunikationssystem och informations- och kommunikationstjänster utformas på ett sådant sätt så att insamlingen och användningen av personuppgifter minimeras och efterlevnaden av bestämmelserna om dataskydd underlättas. Kommissionen säger i sin första rapport om genomförandet av dataskyddsdirektivet att ”… användningen av lämpliga tekniska åtgärder är ett nödvändigt komplement till rättsliga åtgärder och att de bör vara en integrerad del i varje ansträngning för att uppnå ett tillräckligt skydd av privatlivet …”. Användningen av integritetsfrämjande teknik borde leda till att brott mot vissa dataskyddsbestämmelser blir svårare att genomföra och lättare att upptäcka.
Hur pass effektivt olika former av integritetsfrämjande teknik garanterar att integriteten skyddas, bland annat när det gäller efterlevnaden av lagstiftningen på området, varierar och ändras hela tiden i den dynamiska IKT-världen. De olika formerna har också olika typologi. De kan vara fristående verktyg som kräver en aktiv handling från konsumentens sida (som måste köpa och installera dem i sina datorer) eller ingå i informationssystemens arkitektur. Man kan nämna flera exempel på integritetsfrämjande teknik, bl.a. följande:
- Automatisk anonymisering av uppgifter efter en viss tid stödjer principen om att behandlade uppgifter inte bör sparas i en form som möjliggör identifiering av registrerade längre än vad som är nödvändigt för de ändamål som uppgifterna ursprungligen insamlades för.
- Krypteringsverktyg som förhindrar dataintrång när information skickas över Internet är en hjälp för den registeransvarige när det gäller skyldigheten att vidta lämpliga åtgärder för att skydda personuppgifter mot olaglig behandling.
- Med hjälp av program som blockerar kakor (cookies) som placeras på en användares dator för att få datorn att utföra vissa instruktioner utan användarens vetskap, förbättras efterlevnaden av principen om att uppgifter måste behandlas korrekt och lagenligt, och att den registrerade måste informeras om den behandling som pågår.
- P3P ( Platform for Privacy Preferences ), som gör det möjligt för Internetanvändare att analysera webbplatsers policy för integritetsskydd och jämföra dem med sina egna val när det gäller vilka uppgifter som får lämnas, bidrar till att den registrerades samtycke till att hans eller hennes uppgifter behandlas är ett väl underbyggt beslut.
KOMMISSIONEN STÖDER INTEGRITETSFRÄMJANDE TEKNIK
Kommissionen anser att integritetsfrämjande teknik bör utvecklas och få en bredare användning, särskilt när personuppgifter behandlas genom IKT-nät. Kommissionen anser att en bredare användning av integritetsfrämjande teknik skulle förbättra integritetsskyddet och bidra till att bestämmelserna om dataskydd följs. Användningen av sådan teknik skulle komplettera den befintliga rättsliga ramen och befintliga genomförandemekanismer.
Kommissionen uppmanade framför allt den privata sektorn att ” uppmuntra till användning av säkerhetshöjande produkter, förfaranden och tjänster som kan motverka och bekämpa id-stöld och andra angrepp på privatlivets skydd ” i sitt meddelande om en strategi för ett säkert informationssamhälle, KOM(2006) 251 av den 31 maj 2006. Enligt kommissionens plan för en alleuropeisk ram för elektronisk id-hantering 2010[6] är dessutom en av huvudprinciperna för elektronisk id-hantering att systemet måste vara säkert, omfatta nödvändiga skyddsmekanismer för att skydda användarens integritet och att dess användning skall kunna anpassas till lokala intressen och känsliga frågor.
Det faktum att flera aktörer medverkar i databehandling och att flera olika nationella jurisdiktioner berörs kan försvåra efterlevnaden av den rättsliga ramen. Å andra sidan skulle integritetsfrämjande teknik kunna medföra att vissa brott mot bestämmelserna om dataskydd som resulterar i kränkningar av grundläggande rättigheter, däribland integriteten, undviks eftersom de tekniskt sett skulle bli svårare att genomföra. Kommissionen är medveten om att teknik, även om den har en avgörande roll när det gäller integritetsskyddet, inte i sig räcker för att skydda integriteten. Integritetsfrämjande teknik måste tillämpas i enlighet med ett regelverk med verkställbara bestämmelser om dataskydd som tillhandahåller flera förhandlingsbara nivåer av integritetsskydd för alla enskilda personer. Användningen av integritetsfrämjande teknik innebär inte att operatörer kan befrias från vissa av sina rättsliga förpliktelser (t.ex. att ge enskilda användare rätt att få tillgång till sina uppgifter).
Viktiga allmänna intressen skulle också kunna tillgodoses bättre. Enligt den rättsliga ramen för dataskydd kan de allmänna principerna begränsas och ingripanden ske i den enskildes rättigheter om viktiga allmänna intressen står på spel som till exempel den allmänna säkerheten, brottsbekämpning eller folkhälsan. Villkoren för sådana begränsningar fastställs i artikel 13 i dataskyddsdirektivet och i artikel 15 i direktivet om integritet och elektronisk kommunikation. De liknar i väsentlig grad villkoren i artikel 8 i europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, nämligen att sådana ingrepp skall göras i enlighet med lagstiftningen, stå i proportion till sitt syfte och vara nödvändiga i ett demokratiskt samhälle med hänsyn till viktiga allmänna intressen[7]. Användningen av integritetsfrämjande teknik bör inte hindra brottsbekämpande organ eller andra behöriga myndigheter från att ingripa inom ramen för ett lagligt utövande av deras uppgifter för ett allmänt intresse, t.ex. för att bekämpa IT-brottslighet eller terrorism eller förhindra spridningen av smittsamma sjukdomar. De ansvariga myndigheterna bör kunna få tillgång till personuppgifter när detta är nödvändigt för dessa syften och i enlighet med de förfaranden, villkor och garantier som anges i lagstiftningen.
Bättre efterlevnad av bestämmelserna om dataskydd skulle också ha en positiv inverkan på konsumenternas förtroende, särskilt för cyberrymden. Ett antal lovande mervärdestjänster som är beroende av överföring av personuppgifter över IT-nät, t.ex. e-lärande, e-förvaltning, e-hälsovård, e-banktjänster, e-handel eller system för den s.k. intelligenta bilen, skulle med all säkerhet gynnas. Människor skulle kunna vara säkra på att de uppgifter som de lämnar för att identifiera sig, ta emot tjänster eller göra betalningar bara används för berättigade ändamål och att deras deltagande i det digitala samhället inte sker på bekostnad av deras rättigheter.
Tidigare och kommande åtgärder
I sin strävan att stärka integritetsskyddet och skyddet av personuppgifter i gemenskapen, bland annat genom att främja utvecklingen och användningen av integritetsfrämjande teknik, planerar kommissionen att vidta följande åtgärder med deltagande av en rad olika aktörer, bland annat kommissionens egna avdelningar, nationella myndigheter, näringslivet och konsumenter.
Under diskussionerna kommer de små och medelstora företagens speciella situation att uppmärksammas liksom deras möjligheter och motivation för att använda integritetsfrämjande teknik. Kommissionen bör också ta upp frågor som t.ex. förtroende och medvetenhet, som är av särskild vikt för små och medelstora företag.
Mål 1: stödja utvecklingen av integritetsfrämjande teknik
Om integritetsfrämjande teknik skall kunna användas mer allmänt måste den först och främst utformas, utvecklas och tillverkas. Även om detta redan pågår i viss utsträckning både inom den offentliga och den privata sektorn anser kommissionen att denna verksamhet bör intensifieras. Mot denna bakgrund bör behovet av integritetsfrämjande teknik och de tekniska kraven för denna fastställas, och nya verktyg bör utvecklas genom forskning och teknisk utveckling.
Åtgärd 1.1: Fastställa behoven av integritetsfrämjande teknik och de tekniska kraven för denna
Integritetsfrämjande teknik är i stor utsträckning beroende av utvecklingen av informations- och kommunikationsteknik. När väl riskerna med den tekniska utvecklingen konstaterats måste de lämpliga kraven på en teknisk lösning fastställas.
Kommissionen kommer att uppmuntra olika grupper av aktörer att samlas och diskutera integritetsfrämjande teknik. Dessa grupper kommer framför allt att omfatta representanter från IKT-sektorn, utvecklare av integritetsfrämjande teknik, dataskyddsmyndigheter, brottsbekämpande organ, parter på det tekniska området däribland experter från relevanta områden som t.ex. e-hälsovård eller informationssäkerhet, konsumentorganisationer och organisationer för medborgerliga rättigheter. Dessa aktörer bör regelbundet se närmare på teknikens utveckling, upptäcka de risker den medför för grundläggande rättigheter och dataskydd samt ange de viktigaste tekniska krav som bör ställas på en lösning som bygger på integritetsfrämjande teknik. Dessa kan omfatta att finslipa de tekniska åtgärderna med hänsyn till de olika risker och de olika typer av uppgifter som det gäller och med hänsyn till behovet av att skydda allmänna intressen, t.ex. den allmänna säkerheten.
Åtgärd 1.2: Utveckla integritetsfrämjande teknik
När behovet av denna teknik och dess tekniska krav fastställts måste det till konkreta åtgärder för att åstadkomma en slutprodukt som är klar för användning.
Kommissionen har redan tagit upp behovet av integritetsfrämjande teknik. Inom ramen för det sjätte ramprogrammet sponsrar den Primeprojektet[8] som behandlar frågor om digital id-hantering och integritet i informationssamhället. Projektet OPEN-TC[9] möjliggör skydd av personuppgifter baserat på öppen och säker databehandling och projektet Discreet[10] utvecklar mellanprogram för att stärka integritetsskyddet i avancerade nätverkstjänster. Kommissionen avser att i framtiden, inom ramen för det sjunde ramprogrammet, stödja andra projekt inom forskning och teknisk utveckling och omfattande pilotdemonstrationer i syfte att utveckla och öka intresset för integritetsfrämjande teknik. Syftet är att skapa en grund för integritetsfrämjande tjänster som ger användarna större inflytande och som utjämnar de rättsliga och tekniska olikheterna i Europa genom offentlig-privata partnerskap.
Kommissionen uppmanar även nationella myndigheter och den privata sektorn att investera i utvecklingen av integritetsfrämjande teknik. Sådana investeringar är av avgörande betydelse för att placera den europeiska industrin främst inom en sektor som kommer att växa allteftersom sådan teknik i allt större utsträckning kommer att krävas i tekniska standarder och efterfrågas av konsumenter som är mer medvetna om behovet av att skydda sina rättigheter i cyberrymden.
Mål 2: Stödja registeransvarigas användning av integritetsfrämjande teknik
Integritetsfrämjande teknik kommer bara att komma till verklig nytta om den effektivt byggs in i och används i teknisk utrustning och programverktyg som behandlar personuppgifter. Deltagande av den industri som tillverkar sådan utrustning och av registeransvariga som använder sig av denna vid databehandling är därför av avgörande betydelse.
Åtgärd 2.1: Främja näringslivets användning av integritetsfrämjande teknik
Kommissionen anser att en ökad användning av integritetsfrämjande teknik skulle gagna alla som sysslar med behandling av personuppgifter. IKT-industrin, i sin egenskap av den främste utvecklaren och leverantören av integritetsfrämjande teknik, spelar en särskilt viktig roll när det gäller att främja sådan teknik. Kommissionen uppmanar alla registeransvariga att mer allmänt och i högre grad integrera och tillämpa integritetsfrämjande teknik i sitt arbete. Kommissionen kommer i detta syfte att anordna seminarier med huvudaktörer inom IKT-industrin, särskilt utvecklare av integritetsfrämjande teknik, för att undersöka hur de skulle kunna bidra till att främja användningen av tekniken bland registeransvariga.
Kommissionen kommer också att göra en undersökning av de ekonomiska vinsterna med integritetsfrämjande teknik och sprida resultaten i syfte att uppmuntra företag, i synnerhet små och medelstora företag, att använda tekniken.
Åtgärd 2.2: Se till att lämpliga standarder för skydd av personuppgifter tillgodoses genom integritetsfrämjande teknik
På samma sätt som en omfattande kampanj för att främja användningen av integritetsfrämjande teknik kräver aktivt deltagande från IKT-industrin i dess egenskap av tillverkare, krävs det för att lämpliga standarder skall följas insatser utöver självreglering eller de berörda aktörernas goda vilja. Kommissionen kommer att genom lämpliga konsekvensanalyser bedöma behovet av att ta fram standarder för laglig behandling av personuppgifter med integritetsfrämjande teknik. På grundval av resultaten av konsekvensanalyserna kommer följande två typer av verktyg att övervägas:
- Åtgärd 2.2.a) Standardisering
Kommissionen kommer undersöka behovet av att efterlevnad av bestämmelserna för dataskydd beaktas vid standardiseringsarbete. Kommissionen kommer också att sträva efter att ta hänsyn till de åsikter som framförs vid aktörernas diskussioner om integritetsfrämjande teknik när den förbereder sina egna åtgärder på området och till det arbete som utförs vid de europeiska standardiseringsorganen. Detta kommer att vara avgörande, särskilt om det vid diskussionerna fastställs lämpliga standarder för dataskydd som kräver integrering och användning av viss integritetsfrämjande teknik.
Kommissionen kan uppmana de europeiska standardiseringsorganen (CEN, Cenelec, Etsi) att bedöma särskilda europeiska behov och därefter lyfta upp dessa till internationell nivå genom att tillämpa befintliga avtal mellan europeiska och internationella standardiseringsorgan. När så är lämpligt bör de europeiska standardiseringsorganen upprätta ett särskilt arbetsprogram för standardisering som täcker de europeiska behoven och på så sätt komplettera det pågående arbetet på internationell nivå.
- Åtgärd 2.2.b Samordning av nationella tekniska bestämmelser när det gäller säkerhetsåtgärder för databehandling
Nationell lagstiftning som antagits i enlighet med dataskyddsdirektivet[11] ger nationella dataskyddsmyndigheter visst inflytande när det gäller att fastställa precisa tekniska krav, t.ex. när det gäller att utarbeta vägledning för registeransvariga, granska de system som inrättas eller utfärda tekniska anvisningar. De nationella dataskyddsmyndigheterna skulle också kunna kräva att viss integritetsfrämjande teknik införlivas och används när behandlingen av personuppgifter kräver detta. Kommissionen anser detta som ett område där samordning av nationell praxis skulle kunna bidra positivt till att främja användningen av integritetsfrämjande teknik. Särskilt artikel 29-gruppen[12], vars roll är att arbeta för en enhetlig tillämpning av nationella bestämmelser som antas inom ramen för direktivet, skulle kunna bidra till detta. Kommissionen uppmanar därför artikel 29-gruppen att fortsätta sitt arbete på området och att i sitt program inkludera ett permanent inslag, nämligen analys av om integritetsfrämjande teknik behöver integreras vid behandling av personuppgifter som ett effektivt sätt att säkerställa att bestämmelserna för dataskydd efterlevs. Detta arbete bör sedan leda till riktlinjer för dataskyddsmyndigheter som skall genomföras på nationell nivå genom ett samordnat antagande av lämpliga instrument.
Åtgärd 2.3: Främja de offentliga myndigheternas användning av integritetsfrämjande teknik
Offentliga myndigheter, både på nationell nivå och på EU-nivå, genomför i utövandet av sina befogenheter flera uppgiftsbehandlingar som omfattar personuppgifter. Offentliga organ måste själva respektera de grundläggande rättigheterna, bland annat rätten till skydd av personuppgifter, och se till att andra respekterar dem. De bör därför föregå med gott exempel.
När det gäller de nationella myndigheterna konstaterar kommissionen att program för e-förvaltning används i allt större utsträckning som ett sätt att effektivisera de offentliga tjänsterna. Enligt kommissionens meddelande om e-förvaltningens roll i Europas framtid [13], är det nödvändigt att använda integritetsfrämjande teknik inom e-förvaltningen för att skapa den tilltro och det förtroende som krävs för att e-förvaltningen skall bli en framgång. Kommissionen uppmanar regeringarna att sörja för att mekanismer för dataskydd ingår i de program som används inom e-förvaltningen, bland annat genom att integritetsfrämjande teknik används i så stor utsträckning som möjligt både vid utformningen och implementeringen av programmen.
När det gäller gemenskapsinstitutioner och gemenskapsorgan kommer kommissionen att se till att den själv uppfyller kraven i förordning (EG) nr 45/2001, framför allt genom en ökad användning av integritetsfrämjande teknik vid implementeringen av IKT-program som innebär behandling av personuppgifter. Kommissionen uppmanar också övriga EU-institutioner att göra på samma sätt. Europeiska datatillsynsmannen skulle kunna bidra med rådgivning till gemenskapsinstitutionerna och gemenskapsorganen genom att utarbeta interna regler för behandling av personuppgifter. När kommissionen väljer nya IKT-program för eget bruk eller vidareutvecklar befintliga program kommer den att överväga möjligheten att införa integritetsfrämjande teknik. Betydelsen av integritetsfrämjande teknik kommer att återspeglas i kommissionens övergripande strategi för IT-förvaltning. Kommissionen kommer också att fortsätta att medvetandegöra sin personal. Implementeringen av integritetsfrämjande teknik i kommissionens IKT-program beror emellertid på tillgången på motsvarande produkter och måste bedömas i varje enskilt fall, mot bakgrund av i vilken utvecklingsfas programmet befinner sig.
Mål III: Uppmuntra konsumenterna att använda integritetsfrämjande teknik
Konsumenterna förblir den grupp som har störst intresse av att deras personuppgifter används korrekt, att dataskyddsbestämmelser antas på ett korrekt sätt och att integritetsfrämjande teknik ger effektiva garantier för detta.
Konsumenter bör därför bli fullt medvetna om de fördelar som användningen av integritetsfrämjande teknik kan innebära för att minska riskerna vid transaktioner som innebär behandling av personuppgifter. När de köper IT-utrustning och program eller använder e-tjänster, bör de också kunna göra ett väl underbyggt val. Deras val bör visa att de är medvetna om riskerna, särskilt om huruvida integritetsfrämjande teknik erbjuder lämpligt skydd. Det måste därför finnas enkel och lättfattlig information för konsumenterna om vilka tekniska verktyg som kan skydda integriteten. En ökad användning av integritetsfrämjande teknik och av e-tjänster med inbyggd integritetsfrämjande teknik betyder i sin tur ekonomisk vinst för de företag som använder dem och kan skapa en snöbollseffekt, som uppmuntrar andra företag att lägga större vikt vid att följa bestämmelserna för dataskydd. För att uppnå detta måste en rad åtgärder vidtas.
Åtgärd 3.1: Medvetandegöra konsumenterna
Det bör antas en samlad strategi som syftar till att medvetandegöra konsumenter om riskerna i samband med behandling av deras personuppgifter och om de lösningar som den integritetsfrämjande tekniken kan erbjuda som ett komplement till de befintliga systemen för korrigerande åtgärder i dataskyddslagstiftningen. Kommissionen planerar att inleda en rad EU-omfattande medvetandehöjande åtgärder när det gäller integritetsfrämjande teknik.
Huvudansvaret för detta ligger på nationella dataskyddsmyndigheter som redan har relevanta erfarenheter på området. De uppmanas av kommissionen att öka sina medvetandehöjande åtgärder för att på alla tänkbara sätt informera om integritetsfrämjande teknik. Kommissionen uppmanar också artikel 29-gruppen att samordna nationell praxis i en sammanhängande arbetsplan för att öka medvetenheten om integritetsfrämjande teknik och att fungera som mötesplats för utbyte av god praxis som redan tillämpas nationellt. Framför allt skulle konsumentorganisationer och andra aktörer, t.ex. nätverket av europeiska konsumentcentrum i sin egenskap av ett EU-omfattande nätverk för att rådgivning till medborgarna om deras rättigheter som konsumenter, kunna vara partner i arbetet med utbilda konsumenterna.
Åtgärd 3.2: Underlätta för konsumenterna att göra ett väl underbyggt val: integritetsmärkning
Spridningen och användningen av integritetsfrämjande teknik skulle främjas om det var lätt att känna igen förekomsten av sådan i en viss produkt och teknikens grundläggande drag. Kommissionen planerar därför att undersöka möjligheterna för ett EU-omfattande system för integritetsmärkning, vilket också skulle omfatta en konsekvensanalys ur ekonomisk och samhällelig synvinkel. Integritetsmärkning skulle syfta till att konsumenterna lätt kan konstatera om en viss produkt ger garantier för eller bidrar till att dataskyddsbestämmelserna efterlevs vid behandling av personuppgifter, särskilt genom att produkten omfattar lämplig integritetsfrämjande teknik.
Kommissionen anser att följande principer bör följas för att integritetsmärkningen skall uppnå sitt mål:
- Antalet system för integritetsmärkning bör begränsas till ett minimum. Alltför många integritetsmärkningar skulle i själva verket skapa mer förvirring för konsumenterna och undergräva deras förtroende för märkningen. Det bör därför bedömas om och i hur hög grad det vore lämpligt att integrera en europeisk integritetsmärkning i ett mer allmänt system för säkerhetscertifiering[14].
- Integritetsmärkning bör bara beviljas en viss produkt om denna uppfyller en rad standarder som motsvarar dataskyddsbestämmelser. Dessa standarder bör vara så enhetliga som möjligt i hela EU.
- Offentliga myndigheter, särskilt nationella dataskyddsmyndigheter, bör spela en viktig roll i systemet genom att delta vid framtagningen av relevanta standarder och förfaranden och i övervakningen av att märkningssystemet fungerar.
Kommissionen kommer med detta i åtanke och med hänsyn till tidigare erfarenheter när det gäller märkning på andra områden (t.ex. miljö, jordbruk, säkerhetscertifiering för produkter och tjänster) att hålla dialog med samtliga berörda parter, däribland nationella dataskyddsmyndigheter, näringslivets organisationer och konsumentorganisationer samt standardiseringsorgan.
[1] Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, 23.11.1995, s. 31.
[2] Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation), EGT L 201, 31.7.2002, s. 37.
[3] Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter, EGT L 8, 12.1.2001, s. 1.
[4] Skäl 46 och artikel 14.3 i direktiv 2002/58/EG.
[5] KOM(2003) 265(01), 15.5.2003, se http://eurlex.europa.eu/LexUriServ/site/en/com/2003/com2003_0265en01.pdf
[6] http://ec.europa.eu/information_society/activities/egovernment_research/doc/eidm_roadmap_paper.pdf
[7] EG-domstolens dom av den 20 maj 2003, förenade målen C-465/00, C-138/01 och C-139/01, ”Österreichischer Rundfunk m.fl”. (”Rechnungshof”), REG 2003, s. I-4989, punkterna 71 och 72.
[8] https://www.prime-project.eu/
[9] http://www.opentc.net/
[10] http://www.ist-discreet.org/
[11] T.ex. artikel 17.
[12] Den arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättas genom artikel 29 i direktiv 95/46/EG.
[13] KOM(2003) 567 slutlig, 26.9.2003.
[14] Redan i sitt meddelande av den 31 maj 2006 om en strategi för ett säkert informationssamhälle – ”Dialog, partnerskap och användarinflytande” (KOM(2006) 251 slutlig) uppmanade kommissionen den privata sektorn att ”sträva efter betalbara system för säkerhetscertifiering för produkter, processer och tjänster som kan uppfylla EU:s särskilda behov (inte minst i fråga om skydd av privatlivet)”.
| Upp |