31.7.2012

DA

Den Europæiske Unions Tidende

C 229/90

---

Det Europæiske Økonomiske og Sociale Udvalgs udtalelse om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)

COM(2012) 11 final — 2012/0011 (COD)

2012/C 229/17

Hovedordfører: Jorge PEGADO LIZ

Europa-Parlamentet og Rådet besluttede henholdsvis den 16. februar 2012 og den 1. marts 2012 under henvisning til artikel 304 i traktaten om Den Europæiske Unions funktionsmåde at anmode om Det Europæiske Økonomiske og Sociale Udvalgs udtalelse om:

»Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)«

COM(2012) 11 final — 2012/0011 (COD).

Den 21. februar 2012 henviste Det Europæiske Økonomiske og Sociale Udvalgs præsidium det forberedende arbejde til Den Faglige Sektion for Beskæftigelse, Sociale Spørgsmål og Unionsborgerskab.

På grund af sagens hastende karakter udpegede Det Europæiske Økonomiske og Sociale Udvalg på sin 481. plenarforsamling den 23.-24. maj 2012, mødet den 23. maj, Jorge PEGADO LIZ til hovedordfører og vedtog følgende udtalelse med 165 stemmer for, 34 imod og 12 hverken for eller imod:

1.   Konklusion og henstillinger

1.1

EØSU støtter Kommissionens generelle indfaldsvinkel, er helt enigt i den foreslåede bemyndigelsesbestemmelse og bifalder principielt målene med forslaget, som lægger sig tæt op ad en af udvalgets udtalelser. Vedrørende databeskyttelsens retlige status mener EØSU, at behandlingen og overførslen af data inden for det indre marked skal begrænses af retten til beskyttelse af personoplysninger i henhold til artikel 8 i charteret om grundlæggende rettigheder og EUF-traktatens artikel 16, stk. 2.

1.2

Når det gælder spørgsmålet om valget af en forordning som det mest hensigtsmæssige retsinstrument, er der delte meninger i EØSU, og udvalget beder derfor Kommissionen om bedre at påvise og forklare, hvorfor dette instrument er at foretrække frem for et direktiv eller i givet fald, hvorfor den anser en forordning for påkrævet.

1.3	Udvalget beklager dog, at der er alt for mange undtagelser og begrænsninger, som modificerer de fastslåede principper for retten til beskyttelse af personoplysninger.

1.4

På baggrund af den nye digitale økonomi er udvalget enigt med Kommissionen i, at »fysiske personer [har] ret til effektiv kontrol over deres egne personoplysninger«, og det ønsker også, at denne ret kommer til at gælde for de forskellige formål, hvortil der oprettes personlige profiler på grundlag af data indsamlet på mange forskellige måder (lovlige og undertiden ulovlige) og behandlingen af de indsamlede data.

1.5	Da der er tale om grundlæggende rettigheder bør harmoniseringen via en forordning for specifikke områder ikke desto mindre give medlemsstaterne mulighed for i deres nationale lovgivning at vedtage bestemmelser, som ikke findes i den pågældende forordning eller er mere favorable.

1.6	Udvalget kan endvidere ikke acceptere alle de næsten automatiske henvisninger til delegerede retsakter, som ikke udtrykkeligt følger af artikel 290 i TEUF.

1.7

Udvalget glæder sig dog over den vægt, der lægges på at skabe en effektiv institutionaliseret ramme for at sikre, at retsreglerne kommer til at fungere effektivt, såvel på virksomhedsplan (databeskyttelsesansvarlige eller DPO'er) som i den offentlige administration i medlemsstaterne (uafhængige tilsynsmyndigheder). Det havde dog gerne set, at Kommissionen havde valgt en tilgang, som var mere i samklang med borgernes reelle behov og ønsker og bedre afpasset efter karakteren af de forskellige økonomiske og sociale aktivitetsområder.

1.8

EØSU mener, at der er en række muligheder for forbedringer og præciseringer i den foreslåede tekst, og giver med udgangspunkt i flere artikler præcise eksempler, som tager sigte på at finde frem til en bedre definition af, hvad der forstås ved rettigheder, stærkere beskyttelse af borgerne generelt og af arbejdstagerne i særdeleshed, samtykke, lovlig behandling af personoplysninger og ikke mindst de databeskyttelsesansvarlige opgaver og behandling af personoplysninger i forbindelse med beskæftigelse.

1.9	EØSU mener også, at der er elementer, som ikke er taget i betragtning, og som bør medtages, navnlig udvidelse af anvendelsesområdet, behandling af følsomme oplysninger og gruppesøgsmål.

1.10

EØSU mener således, at søgemaskiner, hvis hovedindtægter stammer fra reklamer, som målrettes ud fra de indsamlede personoplysninger om deres besøgende eller disses profiler, udtrykkeligt bør indgå i forordningens anvendelsesområde. Det samme gælder servere, som tilbyder oplagringsplads og – for nogles vedkommende – software (internetbaserede tjenester eller Cloud-computing), som indsamler oplysninger om deres brugere i kommercielt øjemed.

1.11

Dette bør også gælde for personlige data, der offentliggøres i sociale netværk, som i kraft af retten til at blive glemt bør give mulighed for, at den registrerede kan ændre elle slette oplysninger om sig selv eller kræve fjernelse af sin personlige side og de links, der meget ofte henviser til andre sider, hvor disse oplysninger gentages eller kommenteres. Artikel 9 bør i denne forbindelse ændres.

1.12

Endelig beder EØSU Kommissionen om at genoverveje visse aspekter af forslaget, som det mener er uacceptable, fordi de vedrører følsomme emner, såsom beskyttelsen af børn, indsigelsesretten, profilering, visse indskrænkninger af rettigheder, grænsen på 250 ansatte for udnævnelsen af en DPO eller den måde, hvorpå det centrale kontaktpunkt er reguleret.

2.   Indledning

2.1	EØSU er blevet bedt om at afgive udtalelse om Forslag til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse)  (1).

2.2

Det skal dog bemærkes, at dette forslag indgår i en »pakke«, som omfatter en indledende meddelelse (2), et forslag til direktiv (3) og en »Rapport fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget jf. artikel 29, stk. 2, i Rådets rammeafgørelse af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager«  (4). EØSU høres ikke om alle lovgivningsforslagene, men kun om forordningen, skønt det også burde have været hørt om direktivforslaget.

2.3	Det forslag, som EØSU høres om, befinder sig ifølge Kommissionen i skæringsfladen mellem to af EU's vigtigste retspolitiske og politisk-økonomiske principper.

2.3.1

På den ene side har vi artikel 8, stk. 1, i Den Europæiske Unions charter om grundlæggende rettigheder og artikel 16, stk. 1, i traktaten om Den Europæiske Unions funktionsmåde (TEUF), hvori det fastsættes, at enhver har ret til beskyttelse af personoplysninger om vedkommende selv. Kommissionens meddelelser om Stockholmprogrammet og den tilhørende handlingsplan er baseret herpå (5).

2.3.2

På den anden side har vi den digitale dagsorden for Europa og mere generelt Europa 2020-strategien, som taler for at konsolidere »indre markeds«-dimensionen i databeskyttelsen og lette de administrative byrder, der tynger virksomhederne.

2.4

Det er Kommissionens hensigt at ajourføre og modernisere principperne i den kodificerede udgave af direktiv 95/46/EF om beskyttelse af personoplysninger for fremover at sikre den enkeltes rettigheder mht. privatlivets fred i det digitale samfund og dets netværk. Målet er at styrke borgernes rettigheder, konsolidere EU's indre marked, sikre et højt niveau for databeskyttelse på alle områder (herunder retligt samarbejde i straffesager), sikre ordentlig gennemførelse af de foranstaltninger, der træffes i denne forbindelse, lette databehandling på tværs af grænserne og fastlægge generelle normer på databeskyttelsesområdet.

3.   Generelle bemærkninger

3.1

På baggrund af den nye digitale økonomi er udvalget enigt med Kommissionen i, at »fysiske personer [har] ret til effektiv kontrol over deres egne personoplysninger«, og det ønsker også, at denne ret kommer til at gælde for de forskellige formål, hvortil der oprettes personlige profiler på grundlag af data indsamlet på mange forskellige måder (lovlige og undertiden ulovlige) og behandlingen af dem. Udvalget mener også, at behandlingen og overførslen af data inden for det indre marked bør begrænses af retten til beskyttelse af personoplysninger i henhold til artikel 8 i charteret om grundlæggende rettigheder. Der er tale om en grundlæggende ret, som er nedfældet i EU-retten og de fleste medlemsstaters nationale ret.

3.2

Enhver unionsborger eller person, der opholder sig i Unionen, har alene i kraft heraf grundlæggende rettigheder, som er nedfældet i charteret og traktaterne; disse rettigheder anerkendes også i medlemsstaternes retsorden, i visse tilfælde i selve forfatningen. Andre rettigheder såsom retten til eget portræt eller retten til beskyttelse af privatlivets fred supplerer og styrker retten til beskyttelse af oplysninger om én selv. Det bør være muligt for enhver at håndhæve sine rettigheder ved at kræve af en internethjemmeside, at en personlig profil eller en fil i serveren bliver ændret eller fjernet, og at opnå retligt påbud herom, hvis kravet ikke bliver opfyldt.

3.3

Den offentlige administration (6), personaleforvaltningen i virksomheder, salgsafdelinger, foreninger og fagforeninger, politiske partier eller de sociale hjemmesider og søgemaskiner på internettet er nødt til at føre registre, som indeholder persondata, men for at beskytte de lovligt registrerede personers privatliv må disse registre med forskellige formål kun indeholde data, som er væsentlige for deres respektive formål, og ikke sammenkobles ved hjælp af ikt, uden at det er nødvendigt og ikke uden lovmæssig beskyttelse. Hvis der findes en myndighed, som har ubegrænset adgang til alle dataene, vil det udgøre en risiko for de borgerlige rettigheder og privatlivets fred.

3.4	Når der er tale om registre, som føres af privatretlige juridiske personer, bør de registrerede have ret til indsigt, til at korrigere og endog få slettet oplysninger om sig selv, hvad enten der er tale om registre over potentielle kunder eller sociale hjemmesider.

3.5

Hvad angår registre, som føres af offentlige eller private administrationer i henhold til lovmæssige forpligtelser, bør de registrerede personer have ret til indsigt, til korrektion af evt. fejl eller til sletning, hvis registreringen af den pågældende person ikke længere er relevant, for eksempel oplysning om amnesti i en sagsakt eller ved udløbet af en ansættelseskontrakt, når de lovfastsatte tidsgrænser for opbevaring er nået.

3.6

EØSU bifalder Kommissionens generelle tilgang, idet den anerkender, at målene med den kodificerede udgave af direktiv 95/46/EF stadig er aktuelle, skønt en grundig revision nu 17 år efter trænger sig på med alle de teknologiske og sociale ændringer, der er sket på det digitale område. For eksempel omhandlede direktiv 95/46/EF ikke visse aspekter af udvekslingen på tværs af grænser af informationer og data mellem myndigheder med ansvar for retsforfølgelse af lovovertrædelser og for fuldbyrdelse af domme inden for rammerne af det politimæssige og retlige samarbejde. Dette spørgsmål behandles i forslaget til direktiv, der indgår i pakken om databeskyttelse, og som udvalget ikke er blevet hørt om.

3.7

EØSU godkender principielt målene med forslaget, som er et led i beskyttelsen af de grundlæggende rettigheder, og som lægger sig tæt op ad udvalgets udtalelse (7), især hvad angår: — fastlæggelsen af ét sæt regler om databeskyttelse, der skal gælde i hele Unionen og give det højst mulige beskyttelsesniveau — den udtrykkelige bekræftelse af fri udveksling af personoplysninger i Unionen — ophævelsen af en række administrative forpligtelser, hvilket ifølge Kommissionen vil betyde årlige besparelser på omkring 2,3 milliarder EUR for virksomhederne — kravet til virksomheder og organisationer om, at alvorlige brud på persondatasikkerheden straks skal anmeldes til tilsynsmyndigheden (om muligt inden 24 timer) — den mulighed, som borgerne får for at henvende sig til tilsynsmyndigheden i deres hjemland også i de tilfælde, hvor deres data behandles af en virksomhed, der er etableret uden for EU — den lettere adgang for registrerede til at få indsigt i deres egne data samt lettere overførsel af personoplysninger fra én tjenesteyder til en anden (ret til dataportabilitet) — indførelsen af en »ret til at blive glemt« for at sikre borgerne den bedst mulige risikostyring i forbindelse med beskyttelsen af online data, hvilket indebærer ret til at få sine data slettet, hvis der ikke er nogen lovlig grund til at bevare dem — styrkelsen – i forhold til den nuværende situation – af de uafhængige nationale tilsynsmyndigheders rolle, så de får bedre muligheder for at sikre, at EU-reglerne bliver anvendt og håndhævet i de respektive medlemsstater, især ved at de får kompetence til at pålægge de virksomheder, der overtræder reglerne, bøder, som kan beløbe sig til op til 1 million EUR eller 2 % af virksomhedens samlede omsætning — den teknologiske neutralitet og anvendelsen af forordningen på alle former for databehandling, hvad enten de er automatiske eller manuelle — forpligtelsen til at gennemføre konsekvensanalyser vedrørende databeskyttelse.

3.8

EØSU glæder sig over den vægt, der lægges på beskyttelsen af de grundlæggende rettigheder, og er helt enigt i det foreslåede valg af retsgrundlag, som anvendes for første gang i lovgivningen. Det understreger også dette forslags store betydning for gennemførelsen af det indre marked og dets positive effekt i forbindelse med Europa 2020-strategien. Angående valget af en forordning er en del af EØSU's medlemmer, uanset gruppetilhørsforhold, enige med Kommissionen i, at det er det bedst egnede retsinstrument til at sikre en mere ensartet gennemførelse og samme høje beskyttelsesniveau i alle medlemsstater. En anden del af EØSU's medlemmer er af den opfattelse, at et direktiv er det instrument, som bedst kan værne om nærhedsprincippet og give en bedre databeskyttelse, især i de medlemsstater, som allerede har et højere beskyttelsesniveau end det, der fastlægges i Kommissionens forslag. EØSU er også klar over, at medlemsstaterne har forskellige holdninger i dette spørgsmål. EØSU opfordrer derfor Kommissionen til at begrunde sit forslag bedre ved at præcisere, hvorledes valget af en forordning kan forliges med nærhedsprincippet, og hvorfor det er nødvendigt at vælge en forordning for at nå de opstillede mål.

3.8.1

Eftersom der er tale om en forordning, som finder omgående anvendelse i sin fulde udstrækning i alle medlemsstater, uden at den skal omsættes, henleder EØSU Kommissionens opmærksomhed på behovet for at sikre overensstemmelse mellem oversættelserne til alle sprog – hvilket ikke er tilfældet med dette forslag.

3.9

EØSU mener, at forslaget på den ene side godt kunne være gået længere i beskyttelsen af visse rettigheder, som bliver næsten helt udhulet af utallige undtagelser og begrænsninger, og at det på den anden side burde sikre en bedre balance mellem forskellige parters rettigheder. Der er således fare for, at målene vedrørende den grundlæggende ret til databeskyttelse bliver overskygget af målene for det indre marked. EØSU er i det store og hele enigt i den udtalelse, som Den Europæiske Tilsynsførende for Databeskyttelse har afgivet (8).

3.10

EØSU havde gerne set, at Kommissionen havde valgt en tilgang, som var mere i samklang med borgernes reelle behov og ønsker og bedre afpasset efter karakteren af visse økonomiske og sociale aktivitetsområder som for eksempel e-handel, direkte markedsføring, arbejdsrelationer, offentlige myndigheder, overvågning og sikkerhed, dna osv., ved at differentiere ordningen i forhold til disse meget forskellige aspekter af håndteringen af oplysninger.

3.11

Hvad angår forslagets forskellige bestemmelser (som alle er opregnet i artikel 86) er der meget vigtige aspekter af retsakten og systemets funktion, som er afhængige af fremtidige delegerede retsakter (26 delegationer af beføjelser for et ubestemt tidsrum). EØSU mener, at dette langt overskrider de grænser, der er fastlagt i artikel 290 i traktaten og defineret i Kommissionens meddelelse om anvendelse af artikel 290 i traktaten om Den Europæiske Unions funktionsmåde (9), hvilket har konsekvenser for den retlige sikkerhed og vished i ordningen. EØSU mener, at et vist antal delegationer af beføjelser ville kunne fastsættes direkte af den europæiske lovgiver. Andre kunne falde ind under de beføjelser, der er tillagt de nationale tilsynsmyndigheder eller deres sammenslutning på europæisk niveau (10). Det ville bidrage til gennemførelsen af nærhedsprincippet samt til større retssikkerhed.

3.12

EØSU forstår Kommissionens begrundelse for, at dette forslag kun skal dreje sig om fysiske personers rettigheder i betragtning af forslagets særlige juridiske karakter, men anmoder om, at Kommissionen også interesserer sig for oplysninger om juridiske enheder, især dem, som samtidigt er juridiske personer.

4.   Særlige bemærkninger

Positive elementer:

4.1   Forslaget er i overensstemmelse med sit formål og med målene i direktiv 95/46/EF, især når det gælder visse definitioner, de vigtigste principper om datakvalitet og retsgrundlaget for behandling, behandling af særlige kategorier af personoplysninger og visse rettigheder til information samt adgang til oplysninger.

4.2   Forslaget er positivt fornyende i grundlæggende aspekter vedrørende nye definitioner, en bedre præcisering af bestemmelserne om den registreredes samtykke, især når der er tale om børn, og kategoriseringen af nye rettigheder såsom retten til berigtigelse og til sletning, herunder især retten til at blive glemt, indholdet af retten til indsigelse samt profilering og de meget detaljerede forpligtelser for registeransvarlige og registerførere, datasikkerheden og de generelle rammer for sanktioner, som hovedsageligt er af administrativ art.

4.3   Udvalget glæder sig over den vægt, der lægges på at skabe effektive institutionaliserede rammer for at sikre, at retsreglerne kommer til at fungere effektivt såvel på virksomhedsplan (databeskyttelsesansvarlige) som i den offentlige administration i medlemsstaterne (uafhængige tilsynsmyndigheder). Det er også positivt, at samarbejdet mellem disse myndigheder og med Kommissionen styrkes (oprettelse af Det Europæiske Databeskyttelsesråd). Udvalget understreger imidlertid, at de beføjelser, der er tillagt de nationale og til dels de regionale databeskyttelsesansvarlige, skal opretholdes.

4.4   Endelig anser udvalget det for positivt, at der tilskyndes til udarbejdelse af adfærdskodekser, og at certificering og databeskyttelsesmærkning tillægges betydning.

Hvad der kan forbedres:

4.5   Artikel 3 – Territorialt anvendelsesområde

4.5.1   De betingelser for anvendelsen, der er fastsat i stk. 2, er for restriktive; man må ikke glemme, at der er farmaceutiske virksomheder med sæde uden for Europa, som med henblik på kliniske forsøg ønsker adgang til kliniske data for registrerede, der er bosiddende i EU.

4.6   Artikel 4 – Definitioner

4.6.1   Definitionen af »samtykke«, som er hovedhjørnestenen i hele ordningen for databeskyttelse, bør præciseres bedre mht. de forskellige elementer i et samtykke og frem for alt med hensyn til, hvad der menes med »klar bekræftelse fra den registrerede« (gælder især den franske version).

4.6.2   Begrebet »videregivelse af oplysninger«, som ikke er defineret nogen steder, bør defineres i artikel 4.

4.6.3   Udtrykket »loyalt«, som nævnes i artikel 5, litra a), bør defineres.

4.6.4   Udtrykket »som tydeligvis er offentliggjort« (artikel 9, stk. 2, litra e)) bør også defineres præcist.

4.6.5   Begrebet »profilering«, som bruges i hele forslaget, bør også defineres.

4.7   Artikel 6 – Lovlig behandling af personoplysninger

4.7.1   I litra f) forekommer bestemmelsen om, at »den registeransvarlige kan forfølge en legitim interesse«, som ikke nævnes i nogen af de foregående litraer, at være vag og subjektiv. Den bør præciseres bedre i selve teksten og ikke overlades til en delegeret retsakt (stk. 5), så meget mere som litra f) ikke nævnes i stk. 4 (det er vigtigt f.eks. for posttjenester og direkte marketing (11)).

4.8   Artikel 7 – Samtykke

4.8.1   I stk. 3 bør det anføres, at tilbagetrækning af et samtykke forhindrer enhver fremtidig behandling, og at det kun berører lovligheden af den behandling, der har fundet sted, fra det tidspunkt, hvor samtykket blev trukket tilbage.

4.9   Artikel 14 – Information

4.9.1   I stk. 4, litra b), bør der fastsættes en maksimal tidsfrist.

4.10   Artikel 31 – Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden

4.10.1   Anmeldelsen af brud på persondatasikkerheden, uanset at der er tale om brud, som kan true systemets funktion og i sidste ende være en hindring for, at de skyldige reelt stilles til ansvar.

4.11   Afdeling 35 – Databeskyttelsesansvarlige

4.11.1   Vilkårene for udøvelsen af de databeskyttelsesansvarliges (DBO'ernes) funktion bør præciseres bedre. Især bør beskyttelsen mod afskedigelse klart defineres, og den bør strække sig ud over den periode, hvor den pågældende har haft dette hverv. Der bør fastlægges grundlæggende krav til udførelsen af denne opgave. Det bør fastlægges, at DBO'en er fritaget for ethvert ansvar, når denne har anmeldt uregelmæssigheder til arbejdsgiveren eller de nationale datatilsynsmyndigheder. Personalerepræsentanterne bør have ret til at deltage direkte i udpegelsen af DBO'en, og disse repræsentanter (12) bør have ret til at blive regelmæssigt underrettet om opståede problemer og om, hvorledes de er blevet løst. Det bør også præciseres, hvor mange ressourcer der skal afsættes til denne opgave.

4.12   Artikel 39 – Certificering

4.12.1   Certificeringen bør være Kommissionens opgave.

4.13   Artikel 82 og 33 – Behandling af oplysninger i forbindelse med ansættelsesforhold

4.13.1   I artikel 82 savnes en udtrykkelig henvisning til en præstationsvurderingsanalyse (som heller ikke nævnes i artikel 20, der omhandler »profilering«). Det er i øvrigt heller ikke præciseret, om denne beføjelse også gælder udformningen af bestemmelser om DBO'er. Forbuddet mod profilering i forbindelse med ansættelsesforhold bør ligeledes gentages i forbindelse med konsekvensanalysen vedrørende databeskyttelse (artikel 33).

Hvad der mangler, og som bør indføjes:

4.14   Artikel 81, 82, 83 og 84

4.14.1   I stedet for »Under overholdelse af denne forordning …« burde der stå »I henhold til denne forordning …«.

4.15   Anvendelsesområdet

4.15.1   Eftersom der er tale om grundlæggende rettigheder, bør harmoniseringen på specifikke områder give medlemsstaterne mulighed for i deres nationale lovgivning at indføre bestemmelser, som ikke findes i forordningen eller som er mere favorable, hvilket allerede er tilfældet for de områder, som er omfattet af artikel 80 til 85.

4.15.2   Personers IP-adresser bør medtages blandt de personoplysninger, der skal beskyttes, og ikke blot nævnes i betragtningerne.

4.15.3   Søgemaskiner, hvis hovedindtægter stammer fra reklamer, og som indsamler personoplysninger om deres besøgende og bruger disse i kommercielt øjemed, bør indgå i forordningens anvendelsesområde, og ikke blot nævnes i betragtningerne.

4.15.4   Det bør præciseres, at de sociale netværk er omfattet af anvendelsesområdet som sådan, og ikke kun når de foretager profileringer i kommercielt øjemed.

4.15.5   Visse metoder til kontrol og filtrering på internettet, som foregiver at bekæmpe forfalskning, mens de i virkeligheden har til formål at profilere netbrugerne, at registrere dem og kontrollere alle deres bevægelser uden nogen specifik retlig tilladelse, bør også falde ind under forordningens anvendelsesområde.

4.15.6   Det ville også være ønskeligt, at Unionens institutioner og organer bliver underkastet forordningens krav.

4.16   Artikel 9 – Særlige kategorier af oplysninger

4.16.1   Den bedste fremgangsmåde vil være at udforme specifikke ordninger, som tager højde for forskellige omstændigheder, situationer og formål med behandlingen af oplysningerne. Der bør også indføres et forbud mod »profilering« på disse områder.

4.16.2   Princippet om forbud mod forskelsbehandling bør også gælde i forbindelse med behandling af følsomme data til statistiske formål.

4.17   Andre (uudnyttede) muligheder bør indføres på følgende områder:

—	personalerepræsentanters deltagelse på alle nationale niveauer og på europæisk plan i udarbejdelsen af »bindende virksomhedsregler«, som fremover bør være en forudsætning for videregivelse af personoplysninger til andre lande (artikel 43)

—	information og høring af Det Europæiske Samarbejdsudvalg i forbindelse med videregivelse af oplysninger om ansatte til andre lande, især tredjelande

—	ret for arbejdsmarkedets parter og forbruger- og menneskerettighedsorganisationer på europæisk plan til at blive informeret om og deltage i udpegelsen af medlemmer til »Det Europæiske Databeskyttelsesråd«, som skal erstatte »Artikel 29-gruppen«

—	ret for ovennævnte parter og organisationer på nationalt plan til at blive informeret om og deltage i udpegelsen af medlemmerne af de nationale datatilsynsmyndigheder, hvilket ikke indgår i forslaget.

4.18   Artikel 74 til 77 – Gruppesøgsmål vedrørende ulovlige registre og skadeserstatning

4.18.1   De fleste krænkelser af retten til databeskyttelse er af kollektiv art, dvs. at i tilfælde af sådanne krænkelser er det ikke kun én person, der rammes, men en gruppe eller samtlige registrerede personer. Den traditionelle adgang til domstolsprøvelse, der står til rådighed for enkeltpersoner, egner sig ikke til at reagere mod denne form for krænkelser. Ganske vist har alle organer, organisationer eller sammenslutninger, der har til formål at beskytte registreredes rettigheder, i henhold til artikel 76 ret til på vegne af en eller flere registrerede at iværksætte de procedurer, der er omhandlet i artikel 74 og 75. Men dette gælder ikke, når der er tale om at kræve erstatning, for i artikel 77 gives denne mulighed kun til enkeltpersoner, og der åbnes ikke op for en procedure for kollektiv repræsentation eller gruppesøgsmål.

4.18.2   I denne forbindelse minder udvalget om, at det i årevis i flere udtalelser har peget på, at der er et presserende behov for at udstyre EU med et harmoniseret retsmiddel for kollektive søgsmål på europæisk plan på mange områder af EU-retten. Denne mulighed findes allerede i flere medlemsstater.

Hvad der er uacceptabelt:

4.19   Artikel 8 – Behandling af et barns personoplysninger

4.19.1   Efter at have defineret »barn« som en person under atten år (artikel 4, stk. 18) i henhold til New York-konventionen er det ikke acceptabelt, at der i artikel 8, stk. 1, gives mulighed for, at børn på 13 år kan give »samtykke« til behandling af deres personoplysninger.

4.19.2   Skønt EØSU har forståelse for nødvendigheden af at fastlægge specifikke regler for SMV'er, er det ikke acceptabelt, at Kommissionen via delegerede retsakter uden videre kan fritage SMV'erne for forpligtelsen til at respektere børns rettigheder.

4.20   Artikel 9 – Særlige kategorier af personoplysninger

4.20.1   Ligeledes er der heller ingen grund til, at børn i henhold til artikel 9, stk. 2, litra a), skal kunne give deres »samtykke« til behandling af oplysninger om deres statsborgerskab, politiske holdninger, religion, helbred, seksualliv eller idømte straffe.

4.20.2   De oplysninger, som opgives frivilligt af de berørte personer selv, f.eks. på Facebook, bør ikke udelukkes fra beskyttelse, således som det kan udledes af litra e) i artikel 9, stk. 2, og de bør i det mindste være omfattet af retten til at blive glemt.

4.21   Artikel 13 – Rettigheder i forbindelse med modtagere

4.21.1   Undtagelsen i slutningen af artiklen – »medmindre dette viser sig umuligt eller er uforholdsmæssigt vanskeligt« er hverken berettiget eller acceptabel.

4.22   Artikel 14 – Information til den registrerede

4.22.1   Den samme undtagelse i stk. 5, litra b), er også uacceptabel.

4.23   Artikel 19, stk. 1 – Ret til indsigelse

4.23.1   Den vage formulering af undtagelsen – »vægtige legitime grunde«– er ikke acceptabel og udhuler retten til indsigelse.

4.24   Artikel 20 – Foranstaltninger baseret på profilering

4.24.1   Forbuddet mod profilering bør ikke begrænses til automatisk databehandling (13).

4.24.2   I stk. 2, litra a), bør udtrykket »… der findes passende foranstaltninger …« erstattes med »… der er truffet passende foranstaltninger …«.

4.25   Artikel 21 – Begrænsninger

4.25.1   Ordlyden af stk. 1, litra c), er helt uacceptabel, da den indeholder vage og uklare udtryk såsom »økonomiske eller finansielle interesser«, »valuta-, budget- og skatteanliggender« og endog »markedets stabilitet og integritet«, hvoraf den sidste er en tilføjelse til direktiv 95/46.

4.26   Artikel 25, 28 og 35 – Grænsen på 250 ansatte

4.26.1   Tærsklen på 250 ansatte, som er afgørende for, om visse beskyttelsesforanstaltninger finder anvendelse, f.eks. mht. udpegelse af en databeskyttelsesansvarlig, vil betyde, at kun knap 40 % af arbejdstagerne vil nyde godt af denne bestemmelse. Den samme grænse med hensyn til dokumentationskravet vil betyde, at hovedparten af de ansatte fremover ikke vil have nogen mulighed for at overvåge anvendelsen af deres personoplysninger, og der vil altså ikke længere være nogen som helst kontrol. Udvalget foreslår at overveje muligheden for at fastlægge en lavere tærskel, f.eks. det antal arbejdstagere i en virksomhed, som generelt i medlemsstaterne er bestemmende for, om der skal nedsættes et personaleudvalg. En anden tilgang baseret på objektive kriterier, der kunne overvejes, er at tage udgangspunkt i antallet af filer med beskyttede oplysninger, der er blevet behandlet inden for et bestemt tidsrum, som skal fastlægges nærmere, uafhængigt af den berørte virksomheds eller enheds størrelse.

4.27   Artikel 51 – »Centralt kontaktpunkt«

4.27.1   Princippet om et »centralt kontaktpunkt« indføres ganske vist for at gøre livet lettere for virksomhederne og databeskyttelsesmekanismerne mere effektive, men det kan ikke desto mindre forringe databeskyttelsen for borgerne generelt og især beskyttelsen af arbejdstagernes personoplysninger ved at ophæve det hidtidige krav om, at videregivelser af personoplysninger skal være omfattet af en virksomhedsaftale og godkendes af en national databeskyttelseskommission (14).

4.27.2   I øvrigt forekommer dette system at gå imod ønsket om nærforvaltning og risikerer at fratage borgerne muligheden for at få deres sag behandlet af den kontrolmyndighed, der er nærmest og lettest tilgængelig.

4.27.3   Der er således grunde, som taler for at opretholde bestemmelsen om, at en klage skal behandles af myndigheden i den medlemsstat, hvor klageren har sin bopæl.

---

(1)  COM(2012) 11 final.

(2)  COM(2012) 9 final.

(3)  COM(2012) 10 final.

(4)  COM(2012) 12 final.

(5)  De understreger at »EU bør have en komplet ordning for beskyttelse af personoplysninger på samtlige EU’s kompetenceområder« og at »EU skal sikre, at den grundlæggende ret til databeskyttelse overholdes konsekvent«, således at fysiske personer kan udøve deres ret til effektiv kontrol over deres egne personoplysninger.

(6)  Se EØSU's udtalelse om »Videreanvendelse af den offentlige sektors informationer« EUT C 191af 29.6.2012, s. 129.

(7)  Se EØSU's udtalelse, EUT C 248 af 25.8.2011, s. 123.

(8)  Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om pakken om databeskyttelse, 7. marts 2012.

(9)  COM(2009) 673 final af 9.12.2009.

(10)  Se det franske senats klage vedrørende subsidiaritet.

(11)  Spørgsmålet om kundesøgning via nominelt adresserede breve bør undersøges mere indgående, eftersom forordningen vil betyde, at denne fremgangsmåde bliver forbudt, skønt den er meget lidt pågående og målrettet mod potentielle nye kunder.

(12)  For eksempel via en periodisk aktivitetsrapport fra DBO'en til personalerepræsentanterne, til de valgte arbejdstagerrepræsentanter i bestyrelsen eller i tilsynsrådet på nationalt og/eller europæisk plan, hvor sådanne findes.

(13)  Jf. henstilling CM/Rec(2010)13 fra Europarådets Ministerkomité af 23. november 2010.

(14)  Nærmere bestemt de uafhængige myndigheder, som skal give tilladelse til og kontrollere oprettelsen af personregistre. Tværtimod burde deres beføjelser udvides i det digitale samfund og når det gælder sociale netværk ikke mindst på baggrund af den værdi, som udveksling af individuelle profiler har i forbindelse med markedsundersøgelser.

---

---