27.10.2007   

DA

Den Europæiske Unions Tidende

C 255/1

1.

Den 7. marts 2007 tilsendte Kommissionen den tilsynsførende meddelelsen fra Kommissionen til Europa-Parlamentet og Rådet om opfølgning på arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet (3). I overensstemmelse med artikel 41 i forordning (EF) nr. 45/2001 forelægger den tilsynsførende hermed sin udtalelse.

2.

Meddelelsen gentager betydningen af direktiv 95/46/EF (4) som en milepæl i forbindelse med beskyttelsen af personoplysninger og behandler direktivet og dets gennemførelse i tre kapitler: før, nu og i fremtiden. Den centrale konklusion på meddelelsen er, at direktivet ikke bør ændres. Direktivets gennemførelse bør forbedres yderligere ved hjælp af andre politiske virkemidler, hvoraf de fleste ikke skal være bindende.

3.

Denne udtalelse fra den tilsynsførende følger meddelelsens opbygning. Og hvad vigtigere er, så er den tilsynsførende enig i Kommissionens centrale konklusion om, at direktivet ikke bør ændres.

4.

Den tilsynsførende indtager imidlertid også denne holdning af pragmatiske hensyn. Den tilsynsførende tager udgangspunkt i følgende:

5.

Disse udgangspunkter er af afgørende betydning, da man må huske på, at direktivet fungerer i en dynamisk sammenhæng. For det første er Den Europæiske Union under forandring: den frie informationsstrøm mellem medlemsstaterne — og mellem medlemsstaterne og tredjelande — er blevet vigtigere og vil blive en endnu mere betydningsfuld realitet. For det andet ændrer samfundet sig. Informationssamfundet er under udvikling og får i stigende grad karakter af overvågningssamfund (5). Dette medfører et stigende behov for effektiv beskyttelse af personoplysninger, så den nye virkelighed kan håndteres på en måde, der er fuldt ud tilfredsstillende.

6.

Den tilsynsførende vil i sin vurdering af meddelelsen især komme ind på følgende perspektiver, som er relevante i forbindelse med disse ændringer:

7.

Første beretning om gennemførelsen af databeskyttelsesdirektivet af 15. maj 2003 indeholdt et arbejdsprogram for bedre gennemførelse af databeskyttelsesdirektivet med en liste over ti initiativer, der skulle gennemføres i 2003 og 2004. Meddelelsen beskriver, hvordan de enkelte aktionspunkter er blevet gennemført.

8.

På grundlag af analysen af det arbejde, der er udført under arbejdsprogrammet, giver meddelelsen en positiv vurdering af de forbedringer, der er opnået med hensyn til direktivets gennemførelse. Kommissionens vurdering, der er sammenfattet i overskrifterne i meddelelsens kapitel 2 (»situationen i dag«), går i grove træk ud på, at: det går fremad med gennemførelsen, men i visse medlemsstater er direktivet endnu ikke korrekt gennemført; der er stadig en række forskelle, men de holder sig i de fleste tilfælde inden for direktivets råderum, og de udgør under alle omstændigheder ikke noget større problem for det indre marked. Direktivets juridiske løsninger har vist sig at være indholdsmæssigt dækkende for så vidt angår sikring af den grundlæggende ret til databeskyttelse, samtidig med at der er taget højde for den teknologiske udvikling og hensynet til samfundsinteresser.

9.

Den tilsynsførende kan tilslutte sig hovedlinjerne i denne positive vurdering. Navnlig anerkender den tilsynsførende den betydelige indsats, der er gjort inden for datastrømme på tværs af grænserne: konstatering af, om tredjelande sikrer et tilstrækkeligt beskyttelsesniveau, nye standardkontraktbestemmelser, vedtagelse af bindende virksomhedsregler, overvejelserne om en mere ensartet fortolkning af direktivets artikel 26, stk. 1, og bedre anmeldelse i henhold til direktivets artikel 26, stk. 2, går alt sammen i retning af at gøre det lettere at videregive personoplysninger internationalt. Imidlertid har Domstolens retspraksis (6) vist, at der fortsat skal gøres en indsats på dette vigtige område for at følge med udviklingen både på det teknologiske område og på retshåndhævelsesområdet.

10.

Det fremgår også af meddelelsen, at håndhævelse og oplysning er centrale spørgsmål, når en bedre gennemførelse skal fremmes, og at det er værd at gå videre med dem. Desuden er udveksling af bedste praksis og harmonisering inden for anmeldelse og bestemmelser om information vellykkede eksempler på, hvordan bureaukratiet og virksomhedernes udgifter kan reduceres.

11.

Endvidere bekræfter analysen af de hidtidige resultater, at der ikke kan opnås forbedringer uden at inddrage en bred vifte af berørte parter. Kommissionen, databeskyttelsesmyndighederne og medlemsstaterne er centrale aktører i forbindelse med de fleste af de iværksatte aktionspunkter. Den rolle, som private spiller, får imidlertid stadig større betydning, navnlig når der er tale om fremme af selvregulering og europæiske adfærdskodekser eller udvikling af privatlivsfremmende teknologier.

12.

Der er adskillige grunde til at støtte Kommissionen i dens konklusion om, at der under de nuværende omstændigheder og på kort sigt ikke bør tages initiativ til et forslag om at ændre direktivet.

13.

Kommissionen angiver grundlæggende to forhold til støtte for denne konklusion. For det første er direktivets potentiale ikke udnyttet fuldt ud. Det er stadig muligt at forbedre direktivets gennemførelse på medlemsstaternes område betydeligt. For det andet siger den, at der, selv om direktivet giver medlemsstaterne et vist råderum, ikke foreligger noget bevis for, at forskellene inden for dette råderum udgør et større problem for det indre marked.

14.

På grundlag af disse to forhold når Kommissionen frem til følgende konklusion. Den redegør for, hvad direktivet bør gøre, idet den lægger vægt på at skabe tillid, og erklærer derpå, at direktivet er referencepunkt, teknologineutralt og stadig giver velfunderede og hensigtsmæssige løsninger (7).

15.

Den tilsynsførende ser med tilfredshed på formuleringen af denne konklusion, men mener, at konklusionen kan gøres stærkere, hvis den baseres på yderligere to forhold:

16.

Fysiske personers grundlæggende ret til at få deres personoplysninger beskyttet anerkendes i artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder og er bl.a. omhandlet i Europarådets konvention nr. 108 af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger. Direktivet er kort sagt en ramme med hovedelementerne til beskyttelse af denne grundlæggende rettighed, idet det præciserer og udvider de rettigheder og frihedsrettigheder, der er omhandlet i konventionen (8).

17.

En grundlæggende rettighed tager sigte på at beskytte borgerne under alle omstændigheder i et demokratisk samfund. Hovedelementerne i en sådan grundlæggende rettighed bør ikke uden videre ændres på grund af samfundsudviklingen eller en siddende regerings politiske præferencer. F.eks. kan trusler mod samfundet fra terrororganisationer føre til et andet resultat i bestemte tilfælde, fordi der kan være behov for større indgreb i en persons grundlæggende rettighed, men de må aldrig anfægte de væsentlige elementer i selve rettigheden eller fratage eller i urimeligt omfang begrænse en privatpersons mulighed for at udøve rettigheden.

18.

Det andet karakteristiske træk ved direktivet er, at det lægger op til at fremme den frie informationsstrøm i det indre marked. Denne anden målsætning kan også anses for at være grundlæggende på et indre marked, der bliver stadig mere udviklet uden indre grænser. Harmonisering af de væsentlige nationale retsforskrifter er et af vigtigste redskaber til at sikre det indre markeds oprettelse og funktion. Den er en udmøntning af medlemsstaternes gensidige tillid til hinandens nationale retssystemer. Også af disse grunde bør ændringer overvejes grundigt. Ændringer kunne påvirke den gensidige tillid.

19.

Et tredje karakteristisk forhold ved direktivet er, at det skal ses som en generel ramme, som specifikke retsakter baseres på. Disse specifikke retsakter omfatter både gennemførelsesforanstaltninger til den generelle ramme og specifikke rammer for specifikke områder. Direktiv 2002/58/EF (9) om databeskyttelse inden for elektronisk kommunikation er en sådan specifik ramme. Ændringer i samfundsudviklingen bør så vidt muligt føre til ændring af gennemførelsesforanstaltningerne eller de specifikke retlige rammer, men ikke af den generelle ramme, som de bygger på.

20.

Efter den tilsynsførendes opfattelse er konklusionen om ikke at ændre direktivet nu også en logisk følge af de overordnede principper om god forvaltning og lovgivningspolitik. Forslag til lovgivning — uanset om de indebærer nye indsatsområder for Fællesskabet eller ændrer de eksisterende lovgivningsmæssige ordninger — bør kun forelægges, hvis der er ført tilstrækkeligt bevis for deres nødvendighed og proportionalitet. Der bør ikke forelægges forslag til lovgivning, hvis det samme resultat vil kunne opnås med andre, mindre vidtgående midler.

21.

Under de nuværende omstændigheder er der ikke ført bevis for nødvendigheden og proportionaliteten af at ændre direktivet. Den tilsynsførende erindrer om, at direktivet opstiller en generel ramme for databeskyttelse i henhold til fællesskabsretten. Den skal på den ene side sikre beskyttelse det enkelte menneskes rettigheder og frihedsrettigheder, navnlig retten til privatlivets fred, i forbindelse med behandling af personoplysninger og på den anden side sikre fri udveksling af personoplysninger i det indre marked.

22.

En sådan generel ramme bør ikke ændres, før den er gennemført fuldt ud i medlemsstaterne, medmindre det klart fremgår, at direktivets målsætning ikke kan nås inden for de nuværende rammer. Efter den tilsynsførendes opfattelse har Kommissionen — under de nuværende omstændigheder — ført tilstrækkeligt bevis for, at direktivets potentiale ikke er udnyttet fuldt ud (jf. kapitel III i denne udtalelse). Desuden er der ikke noget bevis for, at målsætningen ikke vil kunne nås inden for de nuværende rammer.

23.

Det skal sikres, at principperne om databeskyttelse også i fremtiden yder fysiske personer effektiv beskyttelse under hensyntagen til den dynamiske sammenhæng, som direktivet fungerer i (jf. punkt 5 i denne udtalelse), og perspektiverne i udtalelsens punkt 6: bedre gennemførelse, samspillet med teknologien, global beskyttelse af privatlivets fred og kompetence, databeskyttelse og retshåndhævelse samt en reformtraktat. Denne nødvendighed af at anvende principperne for databeskyttelse fuldt ud er bestemmende for fremtidige ændringer af direktivet. Den tilsynsførende erindrer endnu en gang om, at det på længere sigt forekommer uundgåeligt at ændre direktivet.

24.

Med hensyn til substansen i eventuelle fremtidige foranstaltninger skal den tilsynsførende allerede nu fremhæve nogle forhold, som han finder nødvendige i enhver fremtidig databeskyttelsesordning i Den Europæiske Union. Der er bl.a. tale om følgende forhold:

25.

Meddelelsen kommer — i forbindelse med udfordringerne ved ny teknologi — ind på den igangværende revision af direktiv 2002/58/EF og det mulige behov for mere specifikke regler for at løse nogle af de databeskyttelsesproblemer, som nye teknologier som f.eks. internettet og RFID giver anledning til (10). Den tilsynsførende ser med tilfredshed på denne revision og de videre foranstaltninger, selv om de efter den tilsynsførendes opfattelse ikke kun bør vedrøre den teknologiske udvikling, men tage hensyn til hele den dynamiske sammenhæng og på lang sigt også inddrage direktiv 95/46/EF. Der er desuden behov for større fokus i denne forbindelse. Desværre har meddelelsen en løs ende:

Den tilsynsførende foreslår, at Kommissionen redegør nærmere for disse forhold.

26.

Inden der foretages nogen som helst ændringer i fremtiden, skal direktivets nuværende bestemmelser være gennemført fuldt ud. En fuldstændig gennemførelse begynder med, at direktivets juridiske krav efterkommes. Meddelelsen nævner (11), at visse medlemsstater ikke har inkorporeret en række af direktivets betydningsfulde bestemmelser, og peger i den forbindelse særlig på bestemmelserne om tilsynsmyndighedernes uvildighed. Det er Kommissionens opgave at føre tilsyn med overholdelsen og, når den finder det relevant, at anvende sine beføjelser i henhold til EF-traktatens artikel 226.

27.

Kommissionen påtænker at udarbejde en fortolkningsmeddelelse om nogle af bestemmelserne, særlig de bestemmelser, som kan føre til iværksættelse af formelle overtrædelsesprocedurer i medfør af EF-traktatens artikel 226.

28.

Direktivet indeholder desuden andre mekanismer til at forbedre gennemførelsen. Navnlig er artikel 29-Gruppens opgaver, der er beskrevet i direktivets artikel 30, udformet med henblik herpå. Meningen er, at de skal stimulere gennemførelsen i medlemsstaterne på et højt og harmoniseret databeskyttelsesniveau, der går videre end det, der strengt taget er nødvendigt for at opfylde forpligtelserne i henhold til direktivet. I forbindelse med udførelsen af denne opgave har gruppen i årenes løb frembragt et stort antal udtalelser og andre dokumenter.

29.

Efter den tilsynsførendes opfattelse omfatter fuldstændig gennemførelse af direktivet disse to elementer:

Den tilsynsførende fremhæver, at de to elementer bør holdes klart adskilt på grund af forskellene med hensyn til juridiske konsekvenser og de dermed forbundne ansvarsforhold. Som tommelfingerregel bør Kommissionen påtage sig det fulde ansvar for det første element, hvorimod gruppen bør være den primære aktør i forbindelse med det andet element.

30.

En anden og mere præcis sondring bør gøres med hensyn til de redskaber, der kan anvendes for at opnå en bedre gennemførelse af direktivet. De omfatter bl.a.:

31.

Den tilsynsførende foreslår Kommissionen, at den, når den udarbejder sine politikker på grundlag af den foreliggende meddelelse, klart viser, hvordan den vil anvende disse forskellige redskaber. Kommissionen bør i den forbindelse også sondre klart mellem sine egne ansvarsområder og gruppens ansvarsområder. Desuden er det en selvfølge, at et godt samarbejde mellem Kommissionen og gruppen under alle omstændigheder er en betingelse for et vellykket resultat.

32.

Udgangspunktet er, at direktivets bestemmelser er teknologineutralt formuleret. Meddelelsen kæder den vægt, der lægges på teknologineutralitet, sammen med en række teknologiske udviklinger, herunder internettet, adgang til tjenesteydelser, der udbydes i tredjelande, RFID og kombinationen af lyd- og billeddata med automatisk genkendelse. Den sondrer mellem to former for indsats. For det første specifik vejledning om anvendelsen af databeskyttelsesprincipper i et teknologisk miljø under forandring, hvor arbejdsgruppen og dens internetgruppe (13) spiller en vigtig rolle. For det andet kan Kommissionen selv foreslå sektorspecifik lovgivning.

33.

Den tilsynsførende hilser denne tilgang velkommen som et første vigtigt skridt. På længere sigt kan det imidlertid blive nødvendigt med andre og mere grundlæggende skridt. Den foreliggende meddelelse kunne benyttes som en anledning til at indlede en sådan langsigtet tilgang. Den tilsynsførende foreslår, at der som opfølgning på meddelelsen påbegyndes en drøftelse om denne tilgang. Som mulige led i en sådan tilgang kan nævnes følgende punkter:

34.

For det første fungerer teknologisamspillet på to måder. På den ene side kan nyudviklet teknologi gøre det nødvendigt at ændre de retlige rammer for databeskyttelsen. På den anden side kan behovet for effektiv beskyttelse af det enkelte menneskes personoplysninger kræve nye begrænsninger eller passende sikkerhedsforanstaltninger ved anvendelsen af visse teknologier, hvilket er en endnu mere vidtrækkende konsekvens. Imidlertid vil ny teknologi også kunne anvendes effektivt og udnyttes på en måde, der beskytter privatlivet.

35.

For det andet kan det blive nødvendigt med visse specifikke begrænsninger, hvis statslige institutioner anvender ny teknologi i forbindelse med udførelsen af deres offentlige opgaver. Et godt eksempel herpå er de drøftelser om interoperabilitet og adgang, der finder sted på området med frihed, sikkerhed og retfærdighed i forbindelse med Haag-programmets gennemførelse (14).

36.

For det tredje er der en tendens til, at biometrisk materiale som f.eks. — men ikke udelukkende — dna-materiale anvendes i langt større omfang. De specifikke udfordringer i forbindelse med anvendelsen af personoplysninger, der stammer fra dette materiale, vil muligvis kunne få konsekvenser for lovgivningen om databeskyttelse.

37.

For det fjerde må det erkendes, at selve samfundet er under forandring og i stigende grad får karakter af overvågningssamfund (15). Det er nødvendigt med en grundlæggende debat om denne udvikling. I en sådan debat bliver de centrale spørgsmål, om denne udvikling er uundgåelig, om det er den europæiske lovgivers opgave at gribe ind i udviklingen og sætte begrænsninger for den, om og hvordan den europæiske lovgiver vil kunne træffe effektive foranstaltninger, osv.

38.

Perspektivet vedrørende global beskyttelse af privatlivets fred og vedrørende kompetence spiller kun en begrænset rolle i meddelelsen. Det eneste, der er påtænkt i denne forbindelse, er, at Kommissionen vil fortsætte med at følge og bidrage til internationale fora for at sikre, at der er overensstemmelse mellem medlemsstaternes tilsagn og deres forpligtelser i henhold til direktivet. Desuden opregner meddelelsen en række aktiviteter, der gennemføres med henblik på forenkling af kravene til internationale overførsler (jf. kapitel III i denne udtalelse).

39.

Den tilsynsførende beklager, at dette perspektiv ikke har fået en mere fremtrædende rolle i meddelelsen.

40.

For øjeblikket er der med direktivets kapitel IV (artikel 25 og 26) ud over de generelle regler om databeskyttelse indført en særlig ordning for videregivelse af oplysninger til tredjelande. Denne særlige ordning er blevet opbygget over en årrække for at nå frem til en rimelig balance mellem beskyttelse af de fysiske personer, hvis oplysninger skal videregives til tredjelande, og bl.a. de krav, den internationale handel stiller, samt virkeligheden i de globale telekommunikationsnet. Ikke alene Kommissionen og gruppen (16), men også f.eks. Det Internationale Handelskammer, har gjort en stor indsats for at få systemet til at virke ved hjælp af konstateringer vedrørende et tilstrækkeligt beskyttelsesniveau, standardkontraktbestemmelser, bindende virksomhedsregler m.m.

41.

Med hensyn til systemets anvendelse i forbindelse med internettet har Domstolens dom i Lindqvist-sagen (17) været særlig vigtig. Domstolen gør opmærksom på, at oplysninger på internettet kan indhentes overalt, og konkluderer, at en operation, der består i at lægge personoplysninger ud på en internetside, selv om disse således gøres tilgængelige for personer i tredjelande, der har de tekniske muligheder for at få adgang hertil, ikke i sig selv udgør videregivelse til et tredjeland.

42.

Dette system, der er en logisk og nødvendig konsekvens af Den Europæiske Unions territoriale begrænsninger, yder ikke en europæisk registreret fuld beskyttelse i et netværkssamfund, hvor de fysiske grænser får mindre betydning (jf. eksemplerne i nærværende udtalelses punkt 6): oplysninger på internettet kan indhentes overalt, men den europæiske lovgiver har ikke kompetence overalt.

43.

Udfordringen kommer til at bestå i at finde frem til praktiske løsninger, der forener behovet for beskyttelse af de europæiske registrerede med de territoriale begrænsninger, som Den Europæiske Union og dens medlemsstater har. Den tilsynsførende har allerede — i sine bemærkninger til Kommissionens meddelelse om en strategi for den eksterne dimension af området med frihed, sikkerhed og retfærdighed — opfordret Kommissionen til at spille en proaktiv rolle i indsatsen for at fremme beskyttelse af personoplysninger på internationalt plan ved at støtte bilaterale og multilaterale tiltag med tredjelande og et samarbejde med andre internationale organisationer (18).

44.

Sådanne praktiske løsninger omfatter bl.a.:

45.

Ingen af disse løsninger er nye. Der er imidlertid behov for en vision om, hvordan disse metoder reelt kan anvendes på den mest effektive måde, og hvordan det kan sikres, at databeskyttelsesstandarderne — der i Den Europæiske Union betegnes som grundlæggende rettigheder — også vil være effektive i et globalt netværkssamfund. Den tilsynsførende opfordrer Kommissionen til at begynde at udvikle en sådan vision i samarbejde med de mest relevante interessenter.

46.

I meddelelsen lægges der stor vægt på hensynet til samfundets interesser, især for så vidt angår sikkerhed. Der redegøres for direktivets artikel 3, stk. 2, og Domstolens fortolkning af denne bestemmelse i PNR-dommen (19) samt direktivets artikel 13, blandt andet i relation til Den Europæiske Menneskerettighedsdomstols retspraksis. Endvidere understreges det i meddelelsen, at når Kommissionen tager hensyn både til behovet for foranstaltninger, der garanterer sikkerhed, og til indiskutable grundlæggende rettigheder, sikrer den, at personoplysninger beskyttes i overensstemmelse med artikel 8 i den europæiske menneskerettighedskonvention (EMRK). Dette udgangspunkt finder også anvendelse på den transatlantiske dialog med USA.

47.

Efter den tilsynsførendes opfattelse er det vigtigt, at Kommissionen så klart gentager EU's forpligtelser i henhold til artikel 6 i EU-traktaten med hensyn til at respektere de grundlæggende rettigheder, således som de er sikret i EMRK. Denne udtalelse er endnu vigtigere nu, hvor Det Europæiske Råd har besluttet, at Den Europæiske Unions charter om grundlæggende rettigheder i henhold til reformtraktaten bør have juridisk bindende karakter. Artikel 8 i charteret præciserer, at enhver har ret til beskyttelse af personoplysninger, der vedrører ham/hende.

48.

Det er almindeligt kendt, at retshåndhævelseskrav om i stigende grad at anvende personoplysninger i forbindelse med bekæmpelse af kriminalitet — for ikke at tale om bekæmpelse af terrorisme — indebærer en risiko for at sænke niveauet for beskyttelse af borgerne, endda under det niveau, der er garanteret i artikel 8 i EMRK og/eller Europarådets konvention nr. 108 (20). Disse betænkeligheder var et vigtigt element i den tilsynsførendes tredje udtalelse om forslaget til Rådets rammeafgørelse om beskyttelse af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde, der blev afgivet den 27. april 2007.

49.

Det er i denne forbindelse afgørende, at beskyttelsesstandarden i direktivet danner grundlag for beskyttelsen af borgerne, også set i relation til retshåndhævelseskrav. EMRK og konvention nr. 108 fastlægger et minimumsbeskyttelsesniveau, men giver ikke de nødvendige præcisioner. Ud over dette var der behov for yderligere foranstaltninger for at yde borgerne passende beskyttelse. Disse behov var en af hovedgrundene til direktivets vedtagelse i 1995 (21).

50.

Lige så afgørende er det, at denne beskyttelsesstandard sikres effektivt i alle situationer, hvor personoplysninger behandles i retshåndhævelsesøjemed. Selv om meddelelsen ikke omhandler databeskyttelse under tredje søjle, behandler den med rette den situation, hvor oplysninger, der er indsamlet (og behandlet) til kommercielle formål, anvendes i retshåndhævelsesøjemed. Dette er en situation, der er ved at blive mere almindelig, da politiets arbejde er stadig mere afhængigt af tilgængeligheden af oplysninger, som tredjeparter er i besiddelse af. Direktiv 2006/24/EF (22) kan ses som det bedste eksempel på denne tendens: dette direktiv forpligter udbydere af elektronisk kommunikation til at lagre oplysninger, som de har indsamlet (og lagret) til kommercielle formål, (i længere tid) med henblik på retshåndhævelse. Efter den tilsynsførendes opfattelse bør det fuldt ud sikres, at personoplysninger, der er indsamlet og behandlet inden for rammerne af direktivets anvendelsesområde, beskyttes på behørig vis, når de anvendes til formål i samfundets interesse, og navnlig til sikkerhedsformål eller bekæmpelse af terrorisme. I nogle tilfælde kan de sidstnævnte formål dog falde uden for direktivets anvendelsesområde.

51.

På baggrund af disse bemærkninger henstilles følgende til Kommissionen:

52.

I meddelelsen berører Kommissionen forfatningstraktatens — enorme — indvirkning på databeskyttelsesområdet. Traktaten — nu reformtraktaten — vil få afgørende betydning på dette område. Traktaten kommer til at markere afslutningen på søjlestrukturen, bestemmelsen om databeskyttelse (nuværende artikel 286 i EF-traktaten) vil blive præciseret, og EU's charter om grundlæggende rettigheder, som omfatter en bestemmelse om databeskyttelse i artikel 8, vil blive et bindende instrument.

53.

Mandatet til regeringskonferencen (RK) lægger særlig vægt på databeskyttelse. Punkt 19, litra f), omhandler grundlæggende tre elementer: For det første vil de generelle regler om databeskyttelse ikke berøre specifikke regler, der vedtages i afsnittet om FUSP (nuværende anden søjle) for det andet vil der blive vedtaget en erklæring om beskyttelse af personoplysninger inden for politisamarbejde og retligt samarbejde i straffesager (nuværende tredje søjle) og for det tredje vil der blive vedtaget specifikke formuleringer i de relevante protokoller om individuelle medlemsstaters stilling (dette element vedrører hovedsagelig Det Forenede Kongeriges særlige stilling med hensyn til politisamarbejde og retligt samarbejde i straffesager).

54.

Det er det andet element (erklæringen), der bør præciseres på RK. Følgerne af afskaffelsen af søjlestrukturen og den eventuelle anvendelse af direktivet på politisamarbejde og retligt samarbejde i straffesager skal tages op til behørig overvejelse for at sikre den bredest mulige anvendelse af databeskyttelsesprincipperne i direktivet. Dette er ikke det rette sted at gå nærmere ind på dette spørgsmål. Den tilsynsførende har fremlagt forslag til erklæringen i en skrivelse til formanden for RK (25).

55.

I meddelelsen henvises der til en række redskaber og foranstaltninger, der kan anvendes til en bedre gennemførelse af direktivet i fremtiden. Den tilsynsførende ønsker at knytte nogle bemærkninger til dem, samtidig med at der også undersøges muligheder for andre supplerende instrumenter, der ikke er omtalt i meddelelsen.

56.

I visse tilfælde kan det være nødvendigt med specifikke lovgivningsmæssige tiltag på EU-plan. Sektorspecifikke bestemmelser kan navnlig være nødvendige for at tilpasse direktivets principper til spørgsmål, som visse teknologier giver anledning til, som det var tilfældet i forbindelse med direktiverne om beskyttelse af privatlivets fred inden for telesektoren. Anvendelse af specifik lovgivning bør overvejes omhyggeligt på områder som f.eks. anvendelse af RFID-teknologi.

57.

Det mest effektive redskab, der er omhandlet i meddelelsen er overtrædelsesproceduren. Meddelelsen peger på et specifikt område, der giver anledning til bekymring, nemlig databeskyttelsesmyndighedernes uvildighed og deres beføjelser, og den omhandler kun i generelle vendinger andre områder. Den tilsynsførende deler det synspunkt, at overtrædelsesprocedurerne er et væsentligt og uomgængeligt instrument, hvis medlemsstaterne ikke sørger for en fuldstændig gennemførelse af direktivet, navnlig idet det tages i betragtning, at der er gået næsten ni år siden fristen for direktivets gennemførelse, og at den strukturerede dialog, der var fastlagt i arbejdsprogrammet, allerede har fundet sted. Der er imidlertid på nuværende tidspunkt endnu ikke indbragt nogen sag for Domstolen vedrørende overtrædelse af direktiv 95/46/EF.

58.

En sammenlignende undersøgelse af alle tilfælde, hvor der er mistanke om forkert eller ufuldstændig gennemførelse (26), samt en fortolkningsmeddelelse kan sikkert forbedre sammenhængen i Kommissionens rolle som traktaternes vogter. Udarbejdelsen af disse instrumenter, der vil kunne kræve en vis tid og energi, bør imidlertid ikke forsinke iværksættelsen af overtrædelsesprocedurer på de områder, hvor Kommissionen allerede klart har identificeret en forkert gennemførelse eller praksis.

59.

Derfor opfordrer den tilsynsførende Kommissionen til fortsat at arbejde for en bedre gennemførelse af direktivet gennem iværksættelse af overtrædelsesprocedurer, hvor dette er nødvendigt. I den forbindelse vil den tilsynsførende gøre brug af sine interventionsbeføjelser ved Domstolen for om nødvendigt at intervenere i overtrædelsesprocedurer vedrørende gennemførelsen af direktiv 95/46/EF eller vedrørende andre juridiske instrumenter på området beskyttelse af personoplysninger.

60.

Meddelelsen omtaler ligeledes en fortolkningsmeddelelse, i hvilken Kommissionen vil gøre rede for sin opfattelse af de af direktivets bestemmelser, hvis gennemførelse har vist sig at være problematisk, og som derfor kan føre til overtrædelsesprocedurer. Den tilsynsførende hilser det velkommen, at Kommissionen i denne forbindelse vil tage hensyn til arbejdsgruppens fortolkningsarbejde. Det er således af afgørende betydning, at der tages behørigt hensyn til gruppens holdning ved udarbejdelsen af den kommende fortolkningsmeddelelse, og at gruppen høres på passende vis, således at man kan inddrage dens erfaringer i anvendelsen af direktivet på nationalt plan.

61.

Endvidere bekræfter den tilsynsførende, at han står til rådighed for Kommissionen med rådgivning om alle spørgsmål vedrørende beskyttelse af personoplysninger. Dette gælder også for de instrumenter, som f.eks. Kommissionens meddelelser, der ikke er bindende, men som tager sigte på at fastlægge Kommissionens politik på området beskyttelse af personoplysninger. For at den tilsynsførende reelt kan udøve sin rådgivende rolle i forbindelse med meddelelser, bør høringen finde sted inden fortolkningsmeddelelsen vedtages (27). Den rådgivende rolle, som både Artikel 29-Gruppen og den tilsynsførende har, vil give meddelelsen en merværdi samtidig med, at Kommissionen bevarer sin uvildighed med hensyn til at træffe uafhængige beslutninger om formelt at indlede overtrædelsesprocedurer vedrørende direktivets gennemførelse.

62.

Den tilsynsførende hilser det velkommen, at meddelelsen kun vil omhandle et begrænset antal artikler, og derved gøre det muligt at fokusere på mere følsomme spørgsmål. I denne forbindelse henleder den tilsynsførende Kommissionens opmærksomhed på følgende spørgsmål, der fortjener særlig opmærksomhed i fortolkningsmeddelelsen.

63.

Andre, ikke-bindende instrumenter bør proaktivt fremme overholdelsen af databeskyttelsesprincipperne, navnlig i det nye teknologiske miljø. Disse foranstaltninger bør bygge på begrebet »privacy by design« (»indbygget databeskyttelse«), der sikrer, at de nye teknologiers arkitektur udvikles og opbygges under behørigt hensyn til databeskyttelsesprincipperne. Fremme af teknologiske produkter, der sikrer privatlivets fred, bør være et afgørende element i en kontekst, hvor allestedsnærværende informationsbehandling er under hastig udvikling.

64.

Tæt knyttet hertil er behovet for at udvide viften af interessenter i forbindelse med håndhævelsen af databeskyttelseslovgivningen. På den ene side støtter den tilsynsførende den grundlæggende rolle, som databeskyttelsesmyndighederne spiller i forbindelse med håndhævelsen af direktivets principper under fuld udnyttelse af deres beføjelser samt af koordinationsmulighederne i Artikel 29-Gruppen. En mere effektiv håndhævelse af direktivet er også et af målene i »London-initiativet«.

65.

På den anden side understreger den tilsynsførende, at det er hensigtsmæssigt at fremme privat håndhævelse af databeskyttelsesprincipper via selvregulering og konkurrence. Virksomhederne bør tilskyndes til at gennemføre databeskyttelsesprincipperne og konkurrere om at udvikle produkter og tjenester, der sikrer privatlivets fred, som et middel til at udvide deres markedsposition ved bedre at imødekomme forventningerne hos de forbrugere, der lægger vægt på beskyttelse af privatlivets fred. Et godt eksempel i denne forbindelse er datasikkerhedsmærkninger, der kan knyttes til produkter og tjenester, der har gennemgået en certificeringsprocedure (29).

66.

Den tilsynsførende vil også gerne henlede Kommissionens opmærksomhed på andre redskaber, der — selv om de ikke er omhandlet i meddelelsen — kunne vise sig at være nyttige med henblik på en bedre gennemførelse af direktivet. Eksempler på sådanne redskaber, der vil hjælpe databeskyttelsesmyndighederne med bedre at håndhæve databeskyttelseslovgivningen, er følgende:

67.

Endelig henviser den tilsynsførende til andre instrumenter, der ikke er omhandlet i meddelelsen, men som enten kunne ses som en fremtidig ændring af direktivet eller medtages i anden horisontal lovgivning, navnlig:

68.

Forskellige institutionelle aktører har ansvarsområder, der vedrører direktivets gennemførelse. Tilsynsmyndighederne i medlemsstaterne har i henhold til artikel 28 i direktivet til opgave at påse overholdelsen af de nationale bestemmelser til gennemførelse af direktivet i medlemsstaterne. Ved artikel 29 nedsættes der en gruppe bestående af tilsynsmyndigheder, mens artikel 30 opregner dens opgaver. I henhold til artikel 31 bistår et udvalg, der består af repræsentanter for medlemsstaternes regeringer, Kommissionen i forbindelse med gennemførelsesforanstaltninger på EF-plan (komitologiudvalg).

69.

Behovet for en bedre afgrænsning af de forskellige aktørers ansvarsområder eksisterer navnlig i forbindelse med (aktiviteterne i) gruppen. Artikel 30, stk. 1, opregner gruppens fire opgaver, der kan sammenfattes som en gennemgang af direktivets anvendelse på nationalt plan med henblik på at sikre ensartethed og afgivelse af udtalelser om udviklinger på EF-plan: beskyttelsesniveauet, lovgivningsmæssige forslag og adfærdskodekser. Denne liste viser gruppens omfattende ansvarsområde på databeskyttelsesområdet, der kommer yderligere til udtryk ved de dokumenter, som gruppen har udarbejdet i løbet af årene.

70.

I henhold til meddelelsen har gruppen »en nøglefunktion i arbejdet med at sikre en bedre og mere ensartet gennemførelse«. Den tilsynsførende tilslutter sig fuldt ud denne udtalelse, men skønner også, at det er nødvendigt at præcisere nogle specifikke elementer i disse ansvarsområder.

71.

For det første efterlyser meddelelsen et større bidrag fra gruppens side, da de nationale myndigheder bør bestræbe sig på at bringe den nationale praksis i overensstemmelse med den fælles linje (30). Den tilsynsførende hilser hensigten med denne udtalelse velkommen, men advarer mod sammenblanding af ansvarsområder. Det er i henhold til artikel 211 i EF-traktaten Kommissionens opgave at overvåge overholdelsen i medlemsstaterne, herunder tilsynsmyndighedernes overholdelse. Gruppen kan som uafhængigt rådgivende organ ikke holdes ansvarlig for de nationale myndigheders anvendelse af dens udtalelser.

72.

For det andet skal Kommissionen være klar over sine forskellige roller i gruppen, da den ikke kun er medlem af gruppen, men også varetager sekretariatsfunktionen. Ved udøvelsen af rollen som sekretariat skal den støtte gruppen på en måde, så denne kan udføre sit arbejde i fuld uafhængighed. Dette betyder ret beset to ting: Kommissionen skal stille de nødvendige ressourcer til rådighed og sekretariatet skal fungere under gruppens og dens formands instrukser for så vidt angår indholdet og omfanget af gruppens aktiviteter samt arten af det, den producerer. Mere generelt sagt bør Kommissionens aktiviteter i forbindelse med opfyldelsen af dens andre opgaver i henhold til EF-retten ikke indvirke på dens varetagelse af sine sekretariatsopgaver.

73.

For det tredje kunne Kommissionen, selv om gruppens valg af prioriteter er op til gruppen selv, oplyse, hvad den forventer af gruppen, og hvordan den synes, at de ressourcer, der er til rådighed, bedst kan anvendes.

74.

For det fjerde beklager den tilsynsførende, at meddelelsen ikke klart angiver rollefordelingen mellem Kommissionen og gruppen. Han opfordrer Kommissionen til at forelægge et papir for gruppen, hvori dette angives. Den tilsynsførende har følgende forslag til spørgsmål, der skal medtages i dette papir:

75.

Den tilsynsførende er enig i Kommissionens centrale konklusion om, at direktivet ikke bør ændres på kort sigt. Denne konklusion kunne styrkes ved, at den også baseres på direktivets art og på EU's lovgivningspolitik.

76.

Den tilsynsførende tager udgangspunkt i følgende:

77.

Hovedelementerne i forbindelse med fremtidige ændringer er følgende:

78.

Den tilsynsførende foreslår, at Kommissionen redegør nærmere for følgende: en tidsplan for aktiviteterne i meddelelsens kapitel 3, en tidsfrist for en efterfølgende beretning om direktivets anvendelse, et mandat for måling af gennemførelsen af de planlagte aktiviteter, samt en angivelse af, hvordan man skal komme videre på længere sigt.

79.

Den tilsynsførende hilser tilgangen til teknologi velkommen som et vigtigt første skridt og foreslår, at der indledes drøftelser om en langsigtet tilgang, herunder en grundlæggende debat om udviklingen af et overvågningssamfund. Han hilser også den igangværende revision af direktiv 2002/58/EF velkommen og det mulige behov for mere specifikke regler for at løse nogle af de databeskyttelsesproblemer, som nye teknologier som f.eks. internettet og RFID giver anledning til. Disse foranstaltninger bør tage hensyn til hele den dynamiske sammenhæng og på lang sigt også inddrage direktiv 95/46/EF.

80.

Den tilsynsførende beklager, at perspektivet vedrørende global beskyttelse af privatlivets fred og vedrørende kompetence kun spiller en begrænset rolle i meddelelsen, og efterlyser praktiske løsninger, der forener behovet for beskyttelse af de europæiske registrerede med de territoriale begrænsninger, som Den Europæiske Union og dens medlemsstater har, såsom: videreudvikling af en global ramme for databeskyttelse, videreudvikling af den særlige ordning for videregivelse af oplysninger til tredjelande, internationale aftaler om kompetence eller tilsvarende aftaler med tredjelande, investeringer i mekanismer til global overholdelse af normer og bestemmelser, herunder anvendelse af bindende virksomhedsregler i multinationale selskaber.

Den tilsynsførende opfordrer Kommissionen til at påbegynde udviklingen af en vision om dette perspektiv i samarbejde med de mest relevante interessenter.

81.

Med hensyn til retshåndhævelse henstiller den tilsynsførende til Kommissionen:

82.

Fuldstændig gennemførelse af direktivet betyder, 1) at det skal sikres, at medlemsstaterne fuldt ud opfylder deres forpligtelser i henhold til europæisk ret, og 2) at andre, ikke-bindende redskaber, som vil kunne bidrage til et højt og harmoniseret databeskyttelsesniveau, bør anvendes i fuldt omfang. Den tilsynsførende anmoder Kommissionen om tydeligt at angive, hvordan den vil anvende de forskellige instrumenter, og hvordan den skelner mellem sine egne ansvarsområder og gruppens ansvarsområder.

83.

Med hensyn til disse instrumenter henstiller den tilsynsførende følgende:

84.

Den tilsynsførende opfordrer Kommissionen til at forelægge gruppen et papir, der klart angiver rollefordelingen mellem Kommissionen og gruppen, og som omfatter følgende spørgsmål:

85.

Følgerne af reformtraktaten skal nøje overvejes for at sikre den bredest mulige anvendelse af databeskyttelsesprincipperne i direktivet. Den tilsynsførende har fremlagt forslag i en skrivelse til formandskabet for RK.