7.12.2013   

DA

Den Europæiske Unions Tidende

C 358/19

1.

Den 18. december 2012 vedtog Kommissionen et forslag til en forordning om indberetning af episoder inden for civil luftfart og ophævelse af direktiv 2003/42/EF, Kommissionens forordning (EF) nr. 1321/2007, Kommissionens forordning (EF) nr. 1330/2007 og artikel 19 i forordning (EU) nr. 996/2010 («forslaget») (1). Forslaget til forordning blev sendt til den tilsynsførende med henblik på høring den 8. januar 2013.

2.

Den tilsynsførende glæder sig over, at han blev hørt af Kommissionen, og at der henvises til denne udtalelse i forslagets præambel. Inden vedtagelsen af forslaget fik den tilsynsførende mulighed for at fremsætte uformelle bemærkninger til Kommissionen.

3.

De tre instrumenter, som ophæves med forslaget, organiserer indberetning af episoder på følgende måde: I henhold til direktiv 2003/42/EF (2) skal den enkelte medlemsstat indføre en obligatorisk ordning for indberetning af episoder (i det følgende »MORS«). I henhold til denne lovgivning skal luftfartspersonalet indberette episoder (3) i deres daglige arbejde gennem den ordning, der er indført af deres organisation (4). Derudover anmodes medlemsstaterne om at indsamle, opbevare, beskytte og udveksle oplysninger om episoder. To gennemførelsesforordninger færdiggør denne lovgivning: Kommissionens forordning (EF) nr. 1321/2007 (5), i henhold til hvilken der oprettes en europæisk central database (ECR), der samler alle oplysninger om episoder inden for civil luftfart indsamlet af medlemsstaterne, og Kommissionens forordning (EF) nr. 1330/2007 (6), som fastsætter regler for videregivelse af oplysningerne i ECR.

4.

Forslaget bygger på direktiv 2003/42/EF og sigter mod at forbedre de eksisterende indberetningsordninger inden for civil luftfart på både nationalt og europæisk niveau. Det indeholder bl.a. følgende forslag til ændringer:

5.

Det fremgår af forslaget, at episoder indberettes af medarbejdere til deres organisationer, som herefter opbevarer dem i en database og indberetter dem til nationale udpegede kompetente myndigheder eller til Det Europæiske Luftfartssikkerhedsagentur (EASA). Disse myndigheder overfører sammen med EASA og Kommissionen oplysninger om episoder inden for civil luftfart til ECR, som forvaltes af Kommissionen. Derudover behandler Kommissionen data om berørte parter, som anmoder om adgang til oplysningerne i ECR.

6.

Den tilsynsførende glæder sig over, at forslaget ikke har til formål at regulere behandlingen af personoplysninger. De oplysninger, der skal opbevares, indberettes og overføres, kan imidlertid vedrøre fysiske personer, som kan identificeres enten direkte eller indirekte, såsom indberettere, tredjeparter, der er involveret i den indberettede episode, og berørte parter, som anmoder om adgang (7). De indberettede oplysninger vedrører ikke blot tekniske problemer, men f.eks. også voldelige passagerer, uarbejdsdygtige besætninger eller sundhedsmæssige hændelser (8).

7.

Derfor analyseres i nærværende udtalelse de elementer af forslaget, som vedrører behandlingen af personoplysninger. Den bygger på en tidligere udtalelse fra den tilsynsførende (9) om én af de forordninger, som forslaget ophæver (10).

46.

Den tilsynsførende glæder sig over den opmærksomhed, der er omkring beskyttelse af personoplysninger, særlig indsatsen for at »anonymisere« en stor del af de oplysninger, der behandles i forbindelse med indberetningen af episoder. Han gør dog opmærksom på, at de oplysninger, der behandles, stadig er personoplysninger, og hilser derfor henvisningerne til anvendeligheden af EU's databeskyttelseslovgivning velkommen. Der er i bedste fald tale om delvis anonymisering.

47.

Den tilsynsførende anbefaler en præcisering af anvendelsesområdet for »anonymisering«. Han foreslår navnlig følgende forbedringer af teksten:

48.

Den tilsynsførende anbefaler, at det angives i forslaget, hvem der er registeransvarlig for hver enkelt database. Han anbefaler også, at alle de kategorier af oplysninger, som skal behandles, defineres i bilag I og II, artikel 5, stk. 6, og at artikel 7, stk. 1, og artikel 11, stk. 1, præciseres i overensstemmelse hermed. Hvis det ikke kan lade sig gøre at angive alle de episoder og datafelter, som skal behandles i overensstemmelse med artikel 7, stk. 1, artikel 5, stk. 3 og 6, og artikel 11, stk. 1, skal det som minimum anføres i disse artikler, at yderligere oplysninger som omhandlet i forslaget ikke skal indeholde særlige kategorier af oplysninger som fastlagt i artikel 8 i direktiv 95/46/EF og artikel 10 i forordning (EF) nr. 45/2001 (»følsomme oplysninger«).

49.

Den tilsynsførende anbefaler også en angivelse af de perioder, hvor oplysningerne skal opbevares i databaserne, de registreredes rettigheder og de sikkerhedsforanstaltninger, som skal gennemføres.

50.

I forbindelse med overførsler til organisationer i tredjelande eller internationale organisationer skal disse forpligte sig til at respektere passende sikkerhedsbestemmelser, som angives i et bindende instrument. Disse sikkerhedsbestemmelser kan være baseret på de principper om databeskyttelse, der er indeholdt i standardkontraktbestemmelserne for overførsler af personoplysninger til tredjelande, som Kommissionen har vedtaget, og kan tilføjes i bilaget til forslaget.

51.

Hvad angår oplysninger, som berørte parter, der anmoder om adgang til ECR, behandler, anbefaler den tilsynsførende en angivelse i forslaget af de databeskyttelsesforanstaltninger, der gælder for behandling af oplysninger vedrørende tredjeparter (f.eks. hvor længe oplysningerne opbevares, efter at der er givet eller nægtet adgang, og hvem der har adgang til disse oplysninger). Derudover bør formularen i bilag IV ud over meddelelsen om adgang til oplysninger (12) indeholde en meddelelse om databeskyttelse.

52.

Endelig bør behovet for at behandle følsomme oplysninger på baggrund af de årsager, der er angivet i artikel 8, stk. 2-4, i direktiv 95/46/EF og artikel 10, stk. 2-4, i forordning (EF) nr. 45/2001, begrundes i præamblen. Den tilsynsførende anbefaler desuden, at der vedtages sikkerhedsforanstaltninger med hensyn til behandlingen af særlige kategorier af oplysninger, såsom strengere sikkerhedsforanstaltninger, et forbud mod at videregive de relaterede kategorier af oplysninger til tredjeparter, som ikke er omfattet af EU's lovgivning om databeskyttelse, og en begrænsning af frigivelsen til andre berørte parter. Derudover kan behandlingen af disse kategorier af oplysninger være underlagt forudgående kontrol foretaget af EU's nationale databeskyttelsesmyndigheder og den tilsynsførende.