13.3.2012   

DA

Den Europæiske Unions Tidende

C 74/1

1.

Den 14. november 2011 vedtog Kommissionen et forslag til Rådets forordning om administrativt samarbejde på punktafgiftsområdet (3) (i det følgende benævnt »forslaget«).

2.

Samme dag sendte Kommissionen forslaget til EDPS. EDPS opfatter denne henvisning som en anmodning om at informere Unionens institutioner og organer, jf. artikel 28, stk. 2, i forordning (EF) nr. 45/2001.

3.

Inden forslaget blev vedtaget, gav Kommissionen EDPS mulighed for at fremsætte uformelle bemærkninger. EDPS glæder sig over processen, som har bidraget til at forbedre teksten, hvad angår databeskyttelse, i en tidlig fase. Nogle af disse bemærkninger er blevet indarbejdet i forslaget. EDPS bifalder den udtrykkelige henvisning til den igangværende høring i præamblen til forslaget.

4.

EDPS ønsker ikke desto mindre at fremhæve en række aspekter af teksten, som stadig kan forbedres i et databeskyttelsesperspektiv.

5.

Formålet med forslaget er at ajourføre bestemmelserne i forordning (EF) nr. 2073/2004, der danner en juridisk ramme for administrativt samarbejde mellem nationale skattemyndigheder om punktafgifter (på alkohol, tobak og energiprodukter) med henblik på at bekæmpe svig med punktafgifter. Med forordningen blev der indført bindende regler for samarbejde mellem medlemsstaterne samt automatisk og spontan informationsudveksling (ud over informationsudveksling efter anmodning), og de nationale kompetente myndigheder fik mulighed for at udveksle information med hinanden ad især elektronisk vej. I forordningen fastlægges også betingelserne for samarbejdet med Kommissionen.

6.

Disse bestemmelser skal revideres for at tage hensyn til ændringerne af det computerbaserede System til Verifikation af Punktafgiftspligtige Varers Omsætning (i det følgende betegnet »EMCS«), hvis formål er at overføre omsætning af og kontrol med punktafgiftspligtige varer til edb. Forslaget skal også i) ajourføre sprogbrugen i forordningen, ii) ophæve bestemmelser, der ikke længere er relevante, og gøre tekstens struktur mere logisk og iii) forenkle den lovgivningsmæssige ramme for at gøre den mere effektiv.

7.

I denne forbindelse sker behandlingen af personoplysninger på forskellig måde. Medlemsstaterne udveksler information indbyrdes, med Kommissionen og med tredjelande (4) om erhvervsdrivende, der handler med punktafgiftspligtige varer, som kan være fysiske eller juridiske personer, samt andre kommercielle oplysninger og oplysninger om formodede eller konstaterede overtrædelser i form af krænkelser af lovgivningen om punktafgifter.

8.

I udtalelsen fokuseres der på de aspekter af forslaget, som påvirker databeskyttelsen.

9.

EDPS glæder sig over, at det i forslagets betragtning 18 udtrykkeligt nævnes, at Kommissionens behandling af personoplysninger skal ske i henhold til forordning (EF) nr. 45/2001, og at medlemsstaternes kompetente myndigheders behandling af personoplysninger skal ske i overensstemmelse med direktiv 95/46/EF.

10.

EDPS bifalder ligeledes henvisningen til anvendelsen af de nationale databeskyttelseslove i forslagets artikel 28, stk. 4. Men i bestemmelsen bør der henvises mere præcist til »behandling af personoplysninger« i stedet for til »enhver form for lagring og udveksling af oplysninger«. En sådan henvisning er at foretrække, fordi der med udtrykket »behandling« henvises til enhver operation vedrørende oplysningerne, således at der også medtages alle trin i anvendelsen af oplysningerne, lige fra indsamling til enhver videre brug, jf. stk. 2 og 3. Dette er vigtigt, fordi brugen af personoplysninger til andre formål, end de oprindeligt blev indsamlet til, er underlagt stramme betingelser, jf. artikel 6 og 7 i direktiv 95/46/EF.

11.

I forslaget skelnes der mellem to typer af udveksling af oplysninger: »Samarbejde efter anmodning« (kapitel II) og »Udveksling af oplysninger uden forudgående anmodning« (kapitel III). EDPS bemærker imidlertid, at man i forordningens tekst ikke specificerer de kategorier af oplysninger, der skal udveksles. I begge tilfælde (efter anmodning og uden forudgående anmodning) hedder det, at Kommissionen skal fastlægge indholdet af dokumenterne om gensidig administrativ bistand i form af gennemførelsesretsakter (artikel 9, stk. 2, og artikel 16, stk. 3).

12.

EDPS anbefaler, at der i selve forslaget indsættes en generel beskrivelse af de kategorier af oplysninger, som de kompetente myndigheder kan udveksle, eftersom dette afgør anvendelsesområdet for væsentlige dele af forordningen. Dette kan ikke gøres med en gennemførelsesretsakt.

13.

Desuden bør EDPS høres forud for vedtagelsen af gennemførelsesforanstaltninger, der kan have betydning for beskyttelsen af personoplysninger. Denne forpligtelse bør specificeres i forslagets tekst.

14.

Under hensyntagen til formålet med forslaget er det sandsynligt, at oplysninger vedrørende mistanke om svig vil blive behandlet. EDPS understreger, at oplysninger om formodede overtrædelser kun kan behandles under en officiel myndigheds kontrol (5) eller i henhold til specifikke sikkerhedsforanstaltninger i lovgivningen (6), eftersom de betragtes som følsomme oplysninger, der kræver særlig beskyttelse. Der bør indsættes sikkerhedsklausuler vedrørende den tilladte anvendelse af disse oplysninger (såsom mere stringente adgangsrettigheder, strengere sikkerhedsforanstaltninger, herunder en vurdering af indvirkningen på privatlivets fred, en sikkerhedsplan og regelmæssige revisioner) i forordningens tekst.

15.

Desuden ønsker EDPS at henlede opmærksomheden på, at behandlingen af disse følsomme oplysninger kan kræve forudgående kontrol udført af EDPS eller nationale databeskyttelsesmyndigheder.

16.

Med forslaget forpligtes medlemsstaterne til at føre et register i en elektronisk database over alle de erhvervsdrivende, der er godkendte oplagshavere, registrerede modtagere eller registrerede afsendere. Oplysningerne i registrene vil blive udvekslet automatisk mellem medlemsstaterne gennem det centrale register, der forvaltes af Kommissionen (se artikel 19, stk.4).

17.

I artikel 19, stk. 3, kræves det, at det centrale punktafgiftsforbindelseskontor eller et forbindelseskontor for hver medlemsstat skal sikre, at oplysningerne i de nationale registre er fuldstændige, nøjagtige og ajourført. EDPS glæder sig over denne bestemmelse, som er i overensstemmelse med princippet om datakvalitet, der er indskrevet i såvel direktiv 95/46/EF (7) som forordning (EF) nr. 45/2001 (8).

18.

I artikel 20 i forslaget forklares det, at de erhvervsdrivende har ret til at kontrollere de offentligt tilgængelige oplysninger i den centrale database om deres tilladelse, der forvaltes af Kommissionen (SEED-on-Europa), og her angive deres tilladelsesnummer vedrørende punktafgifter. De får også udtrykkeligt ret til at få eventuelle fejl i de offentligt tilgængelige oplysninger rettet af den medlemsstat, der har udstedt tilladelsen. Kommissionen påtager sig at fremsende sådanne anmodninger om rettelser til den relevante kompetente myndighed. For så vidt angår adgang til og rettelse af ikke-offentlige oplysninger om de erhvervsdrivende, som Kommissionen ikke har adgang til, henvises den erhvervsdrivende fortsat til den relevante kompetente myndighed. EDPS glæder sig over, at man i forslaget udtrykkeligt tildeler og regulerer de registreredes ret til at få adgang til og rette personoplysninger om dem selv.

19.

Men i artikel 28, stk. 4, andet afsnit, hedder det, at medlemsstaterne kan begrænse anvendelsesområdet for adgangsrettigheder og offentliggørelsen af behandlingsoperationer (9) i det omfang, der er nødvendigt for at beskytte »væsentlige økonomiske eller finansielle interesser« hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender (10). Dette er udtryk for en begrænsning af nogle af de vigtige aspekter af retten til databeskyttelse som specificeret i artikel 8 i EU's charter om grundlæggende rettigheder. Lovgiveren skal klart påvise nødvendigheden og proportionaliteten af disse begrænsninger. Desuden skal specifikke tilfælde, hvor sådanne begrænsninger er nødvendige, angives i forslagets tekst — eller i en betragtning.

20.

I artikel 21, stk. 1, i forslaget indføres der en forpligtelse til at opbevare oplysninger om bevægelser af punktafgiftspligtige varer i Unionen i mindst tre år afhængig af den kompetente myndigheds opbevaringspolitik, således at disse oplysninger kan anvendes til de procedurer, der foreskrives i forordningen.

21.

EDPS bifalder forpligtelsen til at slette eller anonymisere alle personoplysninger efter denne periode (jf. artikel 21, stk. 2). I forslaget bør man imidlertid ikke kun angive den minimale opbevaringsperiode for disse data, men også det maksimale tidsrum, som de kan opbevares. Desuden bør man begrunde og påvise nødvendigheden af at opbevare personoplysninger i denne periode, i det mindste i betragtningerne til forslaget.

22.

I forslagets artikel 32, stk. 1, hedder det, at når der er tale om transaktioner, som tilsyneladende omgår punktafgiftslovgivningen, kan oplysninger indsamlet i henhold til forslaget videresendes til et tredjeland, hvis alle følgende betingelser er opfyldt:

23.

EDPS glæder sig over henvisningen til, at databeskyttelseslovgivningen finder anvendelse, og begrænsningen af anvendelsesområdet for videregivelser til oplysninger om specifikke transaktioner, hvor der er mistanke om overtrædelse af punktafgiftslovgivningen. Men eftersom dette vil indebære behandling af følsomme oplysninger, vil videregivelsen også skulle være i overensstemmelse med den nationale gennemførelseslovgivning for artikel 8 i 95/46/EF (jf. punkt 2.3).

24.

EDPS glæder sig ligeledes over, at oplysningerne kun kan videregives til de samme anvendelser, som de blev indsamlet til. Men de specifikke formål, til hvilke oplysninger kan videregives til tredjelande, og de kategorier af data, der kan videregives, skal anføres specifikt i forslaget og i princippet begrænses til bekæmpelse af overtrædelser af punktafgiftslovgivningen. Det skal ligeledes specificeres, at det kun er nationale skattemyndigheder, der kan videregive personoplysninger til tredjelande.

25.

EDPS erindrer ligeledes om, at videregivelser til tredjelande i henhold til direktiv 95/46/EF i princippet kun er tilladt, hvis et tilstrækkeligt beskyttelsesniveau kan garanteres i modtagerlandet. Videregivelse til lande, der ikke sørger for tilstrækkelig beskyttelse, kan kun begrundes, hvis en af undtagelserne i artikel 26 i direktiv 95/46/EF finder anvendelse, f.eks. hvis videregivelsen er nødvendig eller har hjemmel i lovgivning for at beskytte en vigtig samfundsinteresse (11). Denne undtagelse kan dog kun anvendes, hvis overførslen sker i en EU-medlemsstats myndigheders interesse, og ikke kun i modtagerlandets myndigheders interesse (12). Under alle omstændigheder bør undtagelser kun benyttes i enkelttilfælde, hvilket betyder, at ingen omfattende eller systematiske videregivelser af oplysninger kan baseres på undtagelsen om almeninteresse.

26.

Desuden skal den relevante juridiske forpligtelse fra tredjelandets side omfatte specifikke sikkerhedsforanstaltninger vedrørende beskyttelse af privatlivets fred og personoplysninger samt de registreredes udøvelse af disse rettigheder.

27.

EDPS glæder sig over, at der i forslaget specifikt henvises til, at direktiv 95/46/EF og forordning (EF) nr. 45/2001 finder anvendelse på aktiviteter vedrørende behandling af personoplysninger, som er omfattet af forordningen. Han foreslår, at denne henvisning præciseres.

28.

EDPS anbefaler følgende punkter for at forbedre teksten i et databeskyttelsesperspektiv: