52007DC0087

[pic] | KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER |

Bruxelles, den 7.3.2007

KOM(2007) 87 endelig

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

om opfølgning på arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

om opfølgning på arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet

(EØS-relevant tekst)

Direktiv 95/46/EF[1] blev en milepæl i den udvikling, som Europarådet ved konvention 108[2] lagde vejen til, og som gjorde beskyttelsen af personoplysninger til en grundlæggende rettighed. I overensstemmelse med artikel 33 i direktivet konkluderede Kommissionen i sin første beretning om direktivets gennemførelse[3], at det ikke var nødvendigt at foretage lovændringer, men at der stadig kunne gøres en del for at forbedre gennemførelsen af direktivet.

Beretningen indeholdt et arbejdsprogram for en bedre gennemførelse af databeskyttelsesdirektivet . I denne meddelelse ses nærmere på det arbejde, der er udført som led i programmet, og der gives en vurdering af situationen i dag samt en beskrivelse af, hvad der skal til for at opnå gode resultater inden for en række politikområder i lyset af artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder, som anerkender beskyttelsen af personoplysninger som en selvstændig ret til.

Det er Kommissionens opfattelse, at direktivet udstikker en generel lovramme, som er indholdsmæssigt dækkende og teknologineutral. Det harmoniserede regelsæt, som sikrer en høj grad af beskyttelse af personoplysninger i hele EU, har været til stor gavn for både borgere, erhvervsliv og myndigheder. Det beskytter individet mod generel overvågning eller uberettiget forskelsbehandling på grundlag af oplysninger om vedkommende, som andre ligger inde med. Hvis e-handlen skal stige, skal forbrugerne kunne have fuld tillid til, at de personoplysninger, som de giver i forbindelse med overførsler, ikke misbruges. Virksomheder opererer og myndigheder samarbejder i Fællesskabet uden at frygte, at de personoplysninger, de har brug for at udveksle, står i vejen for deres internationale aktiviteter, fordi de ikke er beskyttet i oprindelseslandet eller i bestemmelseslandet.

Kommissionen vil fortsat følge direktivets gennemførelse, samarbejde med alle involverede parter om at mindske nationale forskelle og undersøge, om der er behov for sektorspecifik lovgivning for at kunne anvende databeskyttelsesprincipperne på nye teknologier og opfylde behovet for offentlig sikkerhed.

1. ARBEJDSPROGRAMMETS HIDTIDIGE RESULTATER

Siden den første beretning blev offentliggjort, er der gjort fremskridt inden for følgende 10 aktionspunkter[4]:

Aktionspunkt 1: Drøftelser med medlemsstater og databeskyttelsesmyndigheder

Kommissionen har ført en "struktureret dialog" med medlemsstaterne om gennemførelsen i national lovgivning. Det indebærer en omhyggelig analyse af national lovgivning og drøftelser med nationale myndigheder for at bringe den nationale lovgivning i fuld overensstemmelse med kravene i direktivet.

Aktionspunkt 2: Samarbejde med ansøgerlandene med henblik på at opnå en bedre og mere ensartet gennemførelse af direktivet

Repræsentanter for disse medlemsstater har forud for tiltrædelsen deltaget i møderne i artikel 31-udvalget, som består af repræsentanter for medlemsstaterne, og de har siden 2002 deltaget i den arbejdsgruppe[5], der er nedsat i henhold til artikel 29. Kommissionen har imidlertid arbejdet tæt sammen med disse landes myndigheder om tilpasningen af den nationale lovgivning og givet vejledning i, hvordan den kan bringes i overensstemmelse med fællesskabsretten for at minimere antallet af formelle overtrædelsesprocedurer.

Aktionspunkt 3: Højere grad af anmeldelse af alle retsakter til gennemførelse af direktivet og af tilladelser, der gives i medfør af direktivets artikel 26, stk. 2

Den strukturerede dialog, der føres under aktionspunkt 1, har givet Kommissionen et godt billede af de nationale foranstaltninger til gennemførelse af direktivet, herunder af afledt ret og sektorspecifik lovgivning. I august 2003 foreslog Kommissionen i et brev til medlemsstaterne fælles kriterier for, hvordan man på en fornuftig måde kunne håndtere anmeldelserne i henhold til direktivets artikel 26, stk. 3. Det har betydet, at der kommer flere anmeldelser fra visse medlemsstater. Siden Kommissionen har gjort en række af de vigtigste nationale programerklæringer, afgørelser og anbefalinger offentligt tilgængelige på sin webside, udveksler de nationale myndigheder i højere grad bedste praksis og viden.

Aktionspunkt 4: Håndhævelse

Arbejdsgruppen nåede i sin erklæring om retshåndhævelse til enighed om princippet om at udforme EU-synkroniserede nationale retshåndhævelsesforanstaltninger og fastsatte de kriterier, der skal ligge til grund for udvælgelsen af, hvilke emner der skal undersøges. I marts 2006 lancerede de nationale datatilsynsmyndigheder en fælles undersøgelse af behandlingen af personoplysninger i den private sygeforsikringssektor.

Aktionspunkt 5: Anmeldelse og offentliggørelse af behandlinger

Arbejdsgruppen har udarbejdet en rapport om dette emne, hvori den beskriver de nationale forhold og fremsætter anbefalinger, der svarer nogenlunde til Kommissionens. Dette er fulgt op med et vademecum om anmeldelseskrav, som er udarbejdet dels for at give et fyldestgørende billede af de forskellige nationale regler og praksis, dels som vejledning til de registeransvarlige.

Aktionspunkt 6: Mere harmoniserede bestemmelser om oplysningspligt

Udover Kommissionens undersøgelse af national lovgivning under den strukturerede dialog, har arbejdsgruppen erkendt, at der er behov for harmonisering, og forsøgt at finde en fælles tilgang til en pragmatisk løsning. Den har med henblik på de registeransvarlige uarbejdet retningslinjer for konkrete sager, for oplysningers indhold og form og for modeller dels for lagdelte meddelelser om beskyttelse af privatlivets fred, dels for informationsnoter om overførsel af PNR-oplysninger (Passenger Name Records).

Aktionspunkt 7: Forenkling af kravene til internationale overførsler

a) Der skal i højere grad gøres brug af ordningen i artikel 25, stk. 6, der giver mulighed for at konstatere, om et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau

Kommissionen har vedtaget en række beslutninger om konstatering af et tilstrækkeligt beskyttelsesniveau, siden arbejdsprogrammet blev vedtaget. Det er konstateret, at Argentina, Guernsey og Isle of Man kan garantere et tilstrækkeligt beskyttelsesniveau.

Kommissionen har også set på, hvordan tidligere beslutninger om konstatering af et tilstrækkeligt beskyttelsesniveau fungerer. Kommissionens tjenestegrene aflagde i 2004 beretning om, hvordan safe harbor-principperne fungerer, efterfulgt af en informationsnote og en standardformular for indgivelse af klager til databeskyttelsespanelet. Dette arbejde blev fulgt op af en vidtrækkende konference om international overførsel af personoplysninger, som arbejdsgruppen og det amerikanske handelsministerium sammen organiserede i oktober 2006. Anvendelsen af beslutningen om konstatering af et tilstrækkeligt beskyttelsesniveau i Schweiz og Canada er også blevet vurderet.

b) Der skal træffes yderligere beslutninger i medfør af artikel 26, stk. 4, således at de økonomiske aktører sikres et større udvalg af standardkontrakter

Kommissionen vedtog en beslutning om at anerkende en alternativ standardkontrakt om overførsel af personoplysninger til registeransvarlige i tredjelande. Standardkontraktbestemmelserne blev foreslået af en gruppe af repræsentative erhvervssammenslutninger, herunder Det Internationale Handelskammer. Kommissionens tjenestegrene forelagde ligeledes den første beretning om gennemførelsen af Kommissionens tidligere beslutninger om standardkontraktbestemmelser i 2006.

c) De bindende virksomhedsregler skal i højere grad anvendes til at sikre passende garantier for overførsel af personoplysninger inden for samme koncern

Efter et forberedende arbejde i 2003 og 2004 vedtog arbejdsgruppen to nøgledokumenter. Det ene beskriver en samarbejdsprocedure, som de nationale tilsynsmyndigheder skal anvende ved afgivelsen af fælles udtalelser om de garantier, der udarbejdes på grundlag af de "bindende virksomhedsregler". Det andet fastlægger en standardcheckliste, som de registeransvarlige skal benytte, når de anmoder om at få godkendt, at disse regler giver den fornødne garanti.

d) En mere ensartet fortolkning af artikel 26, stk. 1, af direktivet

Arbejdsgruppen vedtog en udtalelse, hvori den angav hovedretningslinjerne for, hvornår der kan gøres undtagelser fra princippet om tilstrækkeligt beskyttelsesniveau i tredjelande.

Aktionspunkt 8: Fremme af privatlivsfremmende teknologier

Kommissionen og arbejdsgruppen har i deres arbejde i 2003 og 2004 fokuseret på Kommissionens forestående meddelelse om privatlivsfremmende teknologier, hvori den kommende politik fastlægges.

Aktionspunkt 9: Fremme af selvregulering og europæiske adfærdskodekser

Arbejdsgruppen godkendte den europæiske adfærdskodeks fra Federation of European Direct Marketing (FEDMA), hvilket er et meget vigtigt skridt. Desværre er der ikke blevet udarbejdet andre kodekser af tilsvarende kvalitet. Det er desværre heller ikke lykkes arbejdsmarkedsparterne i Europa at indgå en europæisk aftale om beskyttelse af personoplysninger i ansættelsesforhold på trods af tidligere fremskridt.

Aktionspunkt 10: Oplysning

Der er gennemført en eurobarometer-undersøgelse af europæiske borgeres og virksomheders mening om retten til beskyttelse af privatlivets fred. Den viser, at folk generelt set er bekymret om privatlivets fred, men at de ikke er tilstrækkelig bevidste om de gældende regler og mekanismer, der beskytter deres rettigheder.

2. SITUATIONEN I DAG: ET OVERBLIK OVER DIREKTIVETS GENNEMFØRELSE

Det går fremad med gennemførelsen

Alle medlemsstater har nu gennemført direktivet. Gennemførelsen i national lovgivning dækker stort set alle de vigtigste bestemmelser i overensstemmelse med direktivet.

De foranstaltninger, der er sat i værk på grundlag af arbejdsprogrammet, har været positive og har i høj grad bidraget til at forbedre gennemførelsen af direktivet i hele Fællesskabet. De nationale datatilsynsmyndigheders aktive deltagelse i arbejdsgruppen har været af stor betydning.

Men i visse lande er direktivet ikke korrekt gennemført

I forlængelse af udarbejdelsen af Kommissionens første beretning i 2003 har den tilbundsgående undersøgelse af de nationale databeskyttelseslove under den strukturerede dialog vist, hvordan direktivet er blevet gennemført i Fællesskabet. Undersøgelsen har klarlagt en række juridiske spørgsmål og tvivlstilfælde om overensstemmelsen mellem visse nationale bestemmelser og sædvaner og reglerne i direktivet.

Den strukturerede dialog har også vist, at visse medlemsstater ikke har inkorporeret en række af direktivets betydningsfulde bestemmelser. I andre tilfælde er gennemførelsen eller praksis ikke i overensstemmelse med direktivet eller falder uden for medlemsstaternes råderum.

Det er meget vigtigt, at kravet om, at datatilsynsmyndighederne skal være uvildige og have tilstrækkelige beføjelser og midler til at udføre deres arbejde, overholdes. Tilsynsmyndighederne er hjørnestenen i den beskyttelse, direktivet skal yde, og hvis deres uvildighed og beføjelser ikke sikres, får det vidtrækkende negative konsekvenser for håndhævelsen af lovgivningen om databeskyttelse.

Kommissionen foretager en sammenlignende undersøgelse af alle de tilfælde, hvor der er mistanke om forkert eller ufuldstændig gennemførelse for at sikre fælles fodslag. Nogle medlemsstater har erkendt, at deres lovgivning er mangelfuld, og har lovet at foretage de fornødne ændringer, hvilket Kommissionen kun kan opfordre til. Andre problemer er blevet belyst i klager, borgerne har indgivet. Hvis der er tale om en overtrædelse af fællesskabsretten, vil Kommissionen som traktatens vogter indlede en formel overtrædelsesprocedure mod de pågældende medlemsstater i overensstemmelse med EF-traktatens artikel 226. Der er allerede indledt en række af disse procedurer.

I visse tilfælde er der forskelle inden for direktivets råderum

Direktivet indeholder en række bestemmelser, som er bredt formuleret, og som direkte eller indirekte giver medlemsstaterne et vist råderum med hensyn til vedtagelsen af national lovgivning. Inden for disse begrænsninger kan der opstå forskelle i national lovgivning[6]. Disse forskelle er ikke større i denne sektor end inden for enhver anden økonomisk sektor og er en naturlig følge af et vist råderum.

Disse forskelle udgør dog ikke noget større problem for det indre marked

Kommissionen har bestilt en undersøgelse af en "økonomisk vurdering af databeskyttelsesdirektivet (95/46/EF)[7]" for at vurdere direktivets økonomiske konsekvenser for de registeransvarlige. Undersøgelsen belyser en række udvalgte områder og viser, at direktivet på trods af mindre forskelle er blevet gennemført uden de helt store udgifter for virksomheder.

Større ensartethed ville uden tvivl være hensigtsmæssig, hvis man vil fremme positive initiativer som forenkling, selvregulering eller brug af bindende virksomhedsregler. I de klager, Kommissionen har modtaget, er der dog intet bevis for, at nationale forskelle inden for direktivets rammer står i vejen for det indre marked eller begrænser den frie udveksling af oplysninger på grund af manglende eller utilstrækkelig beskyttelse i oprindelseslandet eller modtagerlandet. Begrænsninger i det land, hvor de private operatører er etableret, forvrider heller ikke konkurrencen mellem dem. Nationale forskelle forhindrer ikke virksomhederne i at operere eller etablere sig i forskellige medlemsstater. Og de drager heller ikke EU's og medlemsstaternes vilje til at beskytte de grundlæggende rettigheder i tvivl.

Direktivet må derfor siges at opfylde sit mål om at sikre fri udveksling af personoplysninger inden for det indre marked og samtidig sikre et højt beskyttelsesniveau i Fællesskabet.

Reglerne er indholdsmæssigt dækkende

Udover at sikre en harmonisering skal direktivet sikre løsninger, der rent juridisk er hensigtsmæssige.

Visse bestemmelser er blevet kritiseret. Det påstås, at anmeldelsen er en byrde, men den er også værdifuld som middel til at skabe gennemsigtighed for de registrerede, til at øge bevidstheden blandt de registeransvarlige og som tilsynsmiddel for myndighederne. Internettet og de registreredes nye muligheder for samspil og for at få adgang til tjenesteydelser, der udbydes i tredjelande, rejser spørgsmål om reglerne for, hvordan man fastslår, hvilken national lov der er gældende, og om reglerne for videregivelse af oplysninger til tredjelande, som retspraksis kun delvis kan give svar[8] på. RFID-anordninger (radiofrekvensidentifikation) rejser fundamentale spørgsmål om databeskyttelsesreglernes anvendelsesområde og om selve begrebet personoplysninger. Kombinationen af lyd- og billeddata med automatisk genkendelse kræver, at direktivets principper anvendes med særlig omhu.

Også i Europarådet har der været en lignende debat om principperne i konvention 108 og deres relevans i dag. Den generelle opfattelse er, at principperne stadig er gyldige og opfylder deres formål.

Tilpasning til den teknologiske udvikling

Det er Kommissionens opfattelse, at direktivet er teknologineutralt, og at dets principper og bestemmelser er tilstrækkeligt generelle til, at det fortsat vil være hensigtsmæssigt at anvende dem på nye teknologier og situationer. Det kan vise sig nødvendigt at omsætte de generelle regler til mere specifikke retningslinjer eller bestemmelser for at tage hensyn til de nye teknologiers specificiteter.

Direktiv 2002/58/EF specificerer og supplerer direktiv 95/46/EF for så vidt angår behandling af personoplysninger i den elektroniske kommunikationssektor og sikrer fri omsætning af sådanne oplysninger og af elektronisk kommunikationsudstyr og –tjenester i Fællesskabet. Dette direktiv revideres i øjeblikket som led i en overordnet revision af lovrammen for elektronisk udstyr.

Arbejdsgruppen har gjort et stort stykke arbejde inden for spørgsmål af teknologisk karakter, såsom spørgsmålet om uanmodet kommunikation ("spam"), e-mailfiltre og behandling af trafikdata til afregningsformål eller lokaliseringsdata til tillægstjenester. RFID-teknologi har været genstand for en række workshop og for en offentlig høring, som Kommissionens tjenestegrene har afholdt for at drøfte de spørgsmål om privatlivets fred og sikkerhed, der blev rejst.

Hensynet til samfundets interesser

To former for bestemmelser i direktivet afstemmer henholdsvis ønsket om at beskytte individets grundlæggende rettigheder og friheder og behovet for at tage hensyn til samfundets interesser.

Den ene type bestemmelse udelukker en række områder fra direktivets anvendelsesområde, såsom artikel 3 med hensyn til "den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område". Domstolen har præciseret, at behandling med henblik på beskyttelse af den offentlige sikkerhed og håndhævelse af loven ikke er omfattet af direktivet[9]. I betragtning af behovet for fælles EU-regler for beskyttelse af oplysninger har Kommissionen vedtaget et forslag om beskyttelse af personoplysninger, der er behandlet som led i det politimæssige og strafferetlige samarbejde[10], og som skal ledsage dens forslag om udveksling af oplysninger i henhold til tilgængelighedsprincippet[11]. EU har indgået en international aftale med USA på dette område vedrørende anvendelsen af oplysninger fra passagerlister (PNR-oplysninger) til bekæmpelse af kriminalitet[12].

Den anden slags bestemmelse fastsætter, at medlemsstaterne kan begrænse rækkevidden af principperne om databeskyttelse i visse tilfælde, som anført i artikel 13, " hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til [efterfulgt af en liste over vigtige samfundsmæssige interesser]". Disse begrænsninger kan tage hensyn til f.eks. behovet for at bekæmpe kriminalitet eller beskytte den offentlige sundhed i nødsituationer. Andre bestemmelser i direktivet indeholder en lignende mulighed for begrænsede undtagelser. Domstolen har fastslået, at oplysninger, der oprindeligt blev indhentet til "kommerciel brug", efterfølgende kun kan anvendes til et andet formål i samfundets interesse i overensstemmelse med betingelserne i artiklen. De begrænsninger, der pålægges i henhold til national lovgivning, svarer til dem, der er fastsat i artikel 8 i Den Europæiske Menneskerettighedskonvention, og Den Europæiske Menneskerettighedsdomstols retssædvane er af altafgørende betydning [13]. Det forhold, at det er op til medlemsstaterne at afgøre, hvad der udgøre " en nødvendig foranstaltning " og en " den offentlige sikkerhed ", kan i sig selv skabe uoverensstemmelser mellem de nationale lovgivninger.

Harmoniseringen af sådanne begrænsninger er kun sket inden for nogle bestemte sektorer, hvoraf direktiv 2006/24/EF om lagring af data kan nævnes som seneste eksempel[14], og Kommissionen har til hensigt at nedsætte en ekspertgruppe for dette direktiv, som skal drøfte forskellige problemer, f.eks. med at gennemføre direktivet i national lovgivning.

Vægt bag den grundlæggende rettighed

Kommissionen er indstillet på at respektere chartret for grundlæggende rettigheder i alle sine forslag. Med hensyn til retten til beskyttelse af personoplysninger i direktivets artikel 8 fastsætter direktivet høje krav og tjener for så vidt angår privatlivets fred som referencegrundlag for den sammenhæng, der skal være i fællesskabslovgivningen på forskellige områder.

3. FREMTIDEN: VEJEN FREM

Med disse forhold in mente er det Kommissionens hensigt at føre en politik, der er karakteriseret ved nedenstående dele.

Ratifikationen af forfatningstraktaten kan give nye muligheder

Forfatningstraktaten ville have meget stor betydning for dette område. Den ville i artikel II-68 stadfæste retten til beskyttelse af personoplysninger i artikel 8 i chartret for grundlæggende rettigheder. Den ville også i artikel I-51 give unionen et specifikt og selvstændigt retsgrundlag for at lovgive på området og dermed bane vej for vedtagelsen af instrumenter, der gælder i alle sektorer. Den nuværende opdeling i "søjler" og begrænsningerne i direktivets artikel 3 ville ikke længere være aktuel. Men indtil der er større klarhed over ratifikationsprocessen af forfatningstraktaten, har Kommissionen understreget, at der er behov for mere effektive procedurer inden for området frihed, sikkerhed og retfærdighed, der er omfattet af de nuværende traktater[15].

Direktivet bør ikke ændres

På baggrund af ovenstående mener Kommissionen, at databeskyttelsesdirektivet udgør en generel lovramme, som opfylder de oprindelige mål, idet det yder tilstrækkelig garanti for, at det indre marked fungerer, samtidig med at det sikrer et højt beskyttelsesniveau. Det giver den grundlæggende ret til beskyttelse af personoplysninger indhold. Overholdelsen af reglerne burde gøre folk trygge ved den måde, hvorpå personoplysningerne anvendes, hvilket er en af de vigtigste forudsætninger for, at den elektroniske handel kan øges. Det er referencepunkt for initiativer inden for en række politikområder, teknologineutralt og giver stadig velfunderede og hensigtsmæssige løsninger.

Kommissionen påtænker derfor ikke at fremlægge lovforslag om at ændre direktivet.

Kommissionen vil fortsat arbejde for, at direktivets bestemmelser gennemføres korrekt på nationalt og internationalt plan

Nogle af uoverensstemmelserne i den nationale lovgivning skyldes forkert eller ufuldstændig gennemførelse af direktivets bestemmelser. På grundlag af de oplysninger, som Kommissionen har fået ved den strukturerede dialog med medlemsstaterne og via klager fra borgerne, vil den fortsat arbejde med medlemsstaterne og om nødvendigt indlede overtrædelsesprocedurer for at sikre ens vilkår for alle medlemsstater.

Kommissionen opfordrer også medlemsstaterne til at sikre korrekt gennemførelse af den nationale lovgivning, der vedtages i overensstemmelse med direktivet. Den vil samtidig fortsætte med at følge og bidrage til udviklingen i internationale fora, såsom i Europarådet, OECD og FN, for at sikre, at der er overensstemmelse mellem medlemsstaternes tilsagn og deres forpligtelserne i henhold til direktivet.

Kommissionen vil udarbejde en fortolkningsmeddelelse om nogle af bestemmelserne

De problemer, der er konstateret i forbindelse med gennemførelsen af bestemte bestemmelser i direktivet, og som kan føre til formelle overtrædelsesprocedurer, skal løses med udgangspunkt i Kommissionens opfattelse af, hvad meningen med direktivets bestemmelser er, og hvordan de skal gennemføres, og under hensyntagen til retssædvane og arbejdsgruppens fortolkningsarbejde.

Kommissionens opfattelse vil blive belyst i en fortolkningsmeddelelse.

Kommissionen opfordrer alle involverede parter til at mindske nationale forskelle

Der vil til dette formål blive iværksat forskellige aktiviteter.

– Arbejdsprogrammet fortsætter

De foranstaltninger, der blev fastlagt i 2003 for at forbedre gennemførelsen af direktivet, er stadig hensigtsmæssige i dag.

Aktiviteterne i arbejdsprogrammet fortsætter, og inddragelsen af alle berørte parter giver et godt grundlag for at opnå en bedre gennemførelse af direktivets principper.

– Arbejdsgruppen bør yde et større bidrag til at få harmoniseret praksis

Arbejdsgruppen, som samler de nationale datatilsynsmyndigheder, har en nøglefunktion i arbejdet med at sikre en bedre og mere ensartet gennemførelse. Denne gruppe har derfor til opgave at " undersøge ethvert spørgsmål vedrørende anvendelse af de nationale bestemmelser, der vedtages til gennemførelse af dette direktiv, med henblik på at bidrage til en ensartet anvendelse heraf ". Den har allerede gjort en stor indsats for at opnå en ensartet anvendelse på nationalt plan af de vigtigste bestemmelser, såsom bestemmelserne om datastrømme på tværs af grænser eller om begrebet personoplysninger.

Datatilsynsmyndighederne burde også bestræbe sig på at bringe den nationale praksis i overensstemmelse med den fælles linje, der lægges i arbejdsgruppen, for derved at udnytte gruppens beføjelser fuldt ud.

Udfordringerne ved ny teknologi

Principperne i direktivet er fortsat gyldige og bør ikke ændres. Den voldsomme udvikling af nye informations- og kommunikationsteknologier nødvendiggør en særlig vejledning i, hvordan disse principper skal anvendes i praksis. En stadig mere sofistikeret teknologi gør det muligt at sende oplysninger hurtigt rundt i hele verden. Teknologien giver dog også mulighed for om nødvendigt at beskytte oplysningerne bedre. Teknologien gør det lettere at forbedre kontrollen og søgningen af oplysninger. Det er blevet lettere hurtigt at identificere de relevante oplysninger. I de tilfælde, hvor det ikke er tilladt at overføre oplysninger, giver teknologien i dag mulighed for hurtigere og mere effektivt at beskytte og isolere de pågældende oplysninger.

Arbejdsgruppen spiller her i en meget vigtig rolle. Den bør videreføre det arbejde, internetgruppen har udført, og fortsat arbejde på at få en fælles tilgang blandt de nationale datatilsynsmyndigheder til harmoniseringen af gennemførelsen i national lovgivning, navnlig med hensyn gældende ret og datastrømme på tværs af grænser.

Hvis det konstateres, at en bestemt teknologi volder vanskeligheder med hensyn til anvendelsen af principperne om databeskyttelse, og dens omfattende anvendelse eller potentielle indgriben i privatlivets fred synes at berettige strengere foranstaltninger, kan Kommissionen foreslå sektorspecifik lovgivning på EU-niveau for at anvende disse principper på de specifikke krav, den pågældende teknologi stiller. Denne fremgangsmåde blev anvendt i direktiv 2002/58/EF om privatlivets fred i den elektroniske kommunikationssektor.

Den igangværende revision af dette direktiv samt af den føromtalte meddelelse om RFID kunne være en anledning til at tage stilling til, om der er behov for at ændre dette direktiv eller vedtage specifikke regler for at løse nogle af de databeskyttelsesproblemer, som teknologier som f.eks. internettet eller RFID giver.

Et sammenhængende svar på ønsket om at anvende oplysninger i situationer, der er i samfundets interesse, især af sikkerhedsmæssige årsager

Der er to fundamentale krav, der skal være opfyldt: dels kravet om effektivt at håndtere trusler mod almindelige borgere i EU, især i sikkerhedsanliggender, dels kravet om at beskytte de grundlæggende rettigheder, herunder beskyttelsen af personoplysninger. Der indhentes mange personoplysninger, og der er mange situationer, hvor der efterlades spor af personoplysninger, som lagres. Oplysninger må kun anvendes til andre formål end de oprindelig tiltænkte formål, hvis der er indhentet behørig tilladelse hertil. I et demokratisk samfund skal en sådan anvendelse være begrundet i og nødvendig af hensyn til samfundsinteresser, såsom bekæmpelse af terrorisme og alvorlig kriminalitet.

Ved at tage hensyn både til behovet for foranstaltninger, der garanterer sikkerhed, og foranstaltninger, der beskytter indiskutable grundlæggende rettigheder, sikrer Kommissionen, at personoplysninger beskyttes i overensstemmelse med artikel 8 i chartret for grundlæggende rettigheder. EU arbejder også sammen med eksterne partnere. Dette er afgørende i betragtning af globaliseringen. Især mellem EU og USA er der løbende en dialog om, hvordan man som led i lovens håndhævelse kan dele oplysninger og beskytte personoplysninger.

Kommissionen vil tage gennemførelsen af direktivet op til fornyet overvejelse, når foranstaltningerne i denne meddelelse er gennemført.

[1] Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT L 281 af 23.11.1995, s. 31), i det følgende benævnt "direktivet".

[2] ETS nr. 108, i det følgende benævnt "konvention 108".

[3] Første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF), KOM(2003) 265 endelig af 15.5.2003.

[4] Kommissionens første beretning og offentligt tilgængelige dokumenter, der er vedtaget i henhold til det her omtalte arbejdsprogram findes på: http://ec.europa.eu/justice_home/fsj/privacy/lawreport/index_en.htm

[5] Arbejdsgruppe vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger, der blev nedsat ved artikel 29 i direktivet, i det følgende benævnt "arbejdsgruppen".

[6] Betragtning (9) i direktivet.

[7] http://ec.europa.eu/justice_home/fsj/privacy/docs/studies/economic_evaluation_en.pdf

[8] Sag C-101/01 ("Lindqvist"), dom af 6. november 2003.

[9] Forenede sager C-317/04 og C-318/04 ("PNR"), dom af 30. maj 2006.

[10] KOM(2005) 475 endelig af 4.10.2005.

[11] KOM(2005) 490 endelig af 12.10.2005.

[12] EUT L 298 af 27.10.2006, s. 29.

[13] Forenede sager C-465/00, C-138/01 og C-139/01 ("Rechnungshof"), dom af 20. maj 2003.

[14] EUT L 105 af 13.4.2006, s. 54.

[15] KOM(2006) 331 endelig af 28.6.2006.