This document is an excerpt from the EUR-Lex website
Document 52010XX1016(02)
Opinion of the European Data Protection Supervisor on the Proposal for a Directive of the European Parliament and of the Council on waste electrical and electronic equipment (WEEE)
Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslag til Europa-Parlamentets og Rådets direktiv om affald af elektrisk og elektronisk udstyr (WEEE)
Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslag til Europa-Parlamentets og Rådets direktiv om affald af elektrisk og elektronisk udstyr (WEEE)
EUT C 280 af 16.10.2010, p. 16–21
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
16.10.2010 |
DA |
Den Europæiske Unions Tidende |
C 280/16 |
Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslag til Europa-Parlamentets og Rådets direktiv om affald af elektrisk og elektronisk udstyr (WEEE)
2010/C 280/02
DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE,
som henviser til Traktaten om Den Europæiske Unions Funktionsmåde, særlig artikel 16,
som henviser til Den Europæiske Unions charter om grundlæggende rettigheder, særlig artikel 8,
som henviser til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, særlig artikel 17,
som henviser til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger, særlig artikel 41,
HAR VEDTAGET FØLGENDE UDTALELSE:
I. INDLEDNING
|
1. |
Den 3. december 2008 vedtog Kommissionen et forslag til Europa-Parlamentets og Rådets direktiv om affald af elektrisk og elektronisk udstyr (WEEE) (i det følgende benævnt »forslaget«) (1). Forslaget har til formål at omarbejde direktiv 2002/96/EF om affald af elektrisk og elektronisk udstyr (WEEE), som blev vedtaget den 27. januar 2003 (i det følgende benævnt »direktivet«) (2), uden at ændre hverken incitamentet eller begrundelsen for at indsamle og genvinde WEEE. |
|
2. |
Den tilsynsførende er ikke blevet hørt, hvilket er i strid med artikel 28 i Rådets forordning (EF) nr. 45/2001 (3). Den tilsynsførende har derfor på eget initiativ vedtaget denne udtalelse på grundlag af artikel 41, stk. 2, i samme forordning. Den tilsynsførende henstiller til, at der henvises til denne udtalelse i præamblen til forslaget. |
|
3. |
Den tilsynsførende er klar over, at denne anbefaling kommer sent i lovgivningsprocessen, men finder det ikke desto mindre hensigtsmæssigt og nyttigt at fremsætte denne udtalelse, da forslaget rejser en række vigtige spørgsmål vedrørende databeskyttelse, som ikke besvares. Denne udtalelse har ikke til formål at ændre ved forslagets primære og fremherskende formål og indhold, hvis »tyngdepunkt« (4) forbliver miljøbeskyttelse, men sigter udelukkende på at tilføje en ekstra dimension, som får stadig større betydning i vores informationssamfund (5). |
|
4. |
Den tilsynsførende er opmærksom på omarbejdningsprocedurens begrænsede anvendelsesområde, men opfordrer alligevel lovgiveren til at tage disse henstillinger i betragtning i overensstemmelse med artikel 8 i den interinstitutionelle aftale om omarbejdningsproceduren (som giver mulighed for at ændre uændrede bestemmelser) (6). |
II. FORSLAGETS KONTEKST OG BAGGRUND SAMT DETS RELEVANS FOR DATABESKYTTELSE
|
5. |
Forslaget har til formål at opdatere det nuværende direktiv om bortskaffelse, genbrug og genanvendelse af WEEE. Forslaget er blevet til på baggrund af de tekniske, juridiske og administrative problemer, der opstod i de første år efter gennemførelsen af direktivet, hvilket der var taget højde for i direktivets artikel 17, stk. 5. |
|
6. |
Elektrisk og elektronisk udstyr (EEE) er en bred produktgruppe, der omfatter en række forskellige medier til lagring af personlige oplysninger, såsom it- og teleudstyr (f.eks. pc’er, bærbare computere, terminaler til elektronisk kommunikation), der inden for de nuværende teknisk-økonomiske rammer er kendetegnet ved stadig hurtigere innovationscyklusser og, takket være teknologisk konvergens, ved adgang til udstyr, der kan anvendes til mange forskellige formål. Udviklingen inden for elektroniske lagringsmedier går meget hurtigt, navnlig med hensyn til lagringskapacitet og størrelse, og markedskræfterne forårsager derfor en tilsvarende hurtig udskiftning af EEE (der indeholder store mængder af ofte følsomme personlige oplysninger). Dette resulterer ikke blot i, at WEEE betragtes som den hurtigst voksende affaldsstrøm i EU (7), men også i, at der i tilfælde af uforsvarlig bortskaffelse er en åbenlyst øget risiko for tab eller spredning af personoplysninger, der er lagret i denne type EEE. |
|
7. |
Den Europæiske Unions politikker om miljø og bæredygtig udvikling har igennem længere tid været rettet mod at reducere affald af naturlige ressourcer og indføre forureningsbekæmpende foranstaltninger. |
|
8. |
Bortskaffelse, genbrug og genvinding af WEEE er omfattet af disse rammer. Disse foranstaltninger sigter mod at forhindre bortskaffelse af elektrisk og elektronisk udstyr og blandet affald og forpligter producenterne til at bortskaffe affald i overensstemmelse med direktivets bestemmelser. |
|
9. |
Blandt de forskellige foranstaltninger, der fastsættes i direktivet, er det især værd at fremhæve de foranstaltninger, der har til formål at fremme genbrug (dvs. enhver proces, hvorved WEEE eller komponenter herfra fortsat anvendes til samme formål, som de blev fremstillet til, og som returneres til indsamlingssteder, distributører, genvindingsvirksomheder eller fabrikanter), genvinding (dvs. oparbejdning i en produktionsproces af affaldsmaterialer til deres oprindelige formål eller andre formål) og finde andre måder til at nyttiggøre WEEE for at nedbringe den affaldsmængde, der skal bortskaffes (se artikel 1 og 3, litra d) og e) i direktivet). |
|
10. |
Disse processer, herunder navnlig genbrug og genvinding af WEEE, især it- og teleudstyr, udgør i højere grad end tidligere en risiko for, at de personer, der indsamler WEEE eller sælger og køber de genbrugte eller genvundne apparater, kan få adgang til personoplysninger, der er lagret i apparaterne. Disse oplysninger er ofte følsomme eller omhandler et stort antal personer. |
|
11. |
På baggrund heraf mener den tilsynsførende, at det er vigtigt, at alle aktører (brugere og producenter af EEE) bliver gjort opmærksomme på risiciene i forbindelse med personoplysninger, navnlig i den sidste fase af livscyklussen for elektrisk og elektronisk udstyr. Selv om dette udstyr i denne fase har mindre økonomisk værdi, indeholder det med stor sandsynlighed en stor mængde personoplysninger og har dermed en stor »iboende« værdi for den registrerede og/eller andre. |
III. ANALYSE AF FORSLAGET
III.1. Anvendelsesområdet for direktiv 95/46/EF
|
12. |
Den tilsynsførende har ingen bemærkninger til forslagets generelle mål og støtter fuldt ud det initiativ, der er taget, og som har til hensigt at forbedre de miljøvenlige politikker i forbindelse med WEEE. |
|
13. |
Forslaget samt direktivet fokuserer imidlertid udelukkende på de miljørisici, der er forbundet med bortskaffelse af WEEE. Der tages ikke højde for, at processer til bortskaffelse, genbrug eller genvinding af WEEE kan medføre andre risici for enkeltpersoner og/eller organisationer, navnlig de risici, der er forbundet med sandsynligheden for uretmæssig erhvervelse, videregivelse eller formidling af personoplysninger, der er lagret i WEEE. |
|
14. |
Det er vigtigt at bemærke, at direktiv 95/46/EF (8) finder anvendelse på »enhver operation eller række af operationer […] som personoplysninger gøres til genstand for«, herunder »slettelse eller tilintetgørelse« (artikel 2, litra b)). Bortskaffelse af WEEE kan omfatte operationer for behandling af oplysninger. Der er derfor en overlapning mellem forslaget og det nævnte direktiv, og reglerne om databeskyttelse kan derfor i princippet også finde anvendelse på aktiviteter, der er dækket af forslaget. |
III.2. Bortskaffelse af WEEE og sikkerhedsforanstaltninger
|
15. |
Den tilsynsførende ønsker at fremhæve de væsentlige risici, der kan påvirke enkeltpersoner og/eller organisationer, der fungerer som »registeransvarlige« (9), i tilfælde af, at WEEE, navnlig it- og teleudstyr, indeholder personlige oplysninger om brugerne af dette udstyr og/eller tredjeparter på tidspunktet for bortskaffelsen. Ulovlig adgang til eller videregivelse af personoplysninger, som kan bestå af særlige kategorier af oplysninger vedrørende race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og behandling af personoplysninger vedrørende helbredsforhold og seksuelle forhold (såkaldt »følsomme oplysninger«) (10), kan krænke privatlivet og værdigheden hos de personer, som oplysningerne vedrører, samt de legitime interesser hos enkeltpersoner/organisationer (f.eks. af økonomisk karakter). |
|
16. |
Den tilsynsførende mener overordnet set, at det er nødvendigt at understrege vigtigheden af, at der vedtages passende sikkerhedsforanstaltninger i alle faser (fra start til slut) i behandlingen af personoplysninger, hvilket også er anført i tidligere udtalelser (11). Dette gælder især i den følsomme fase, hvor den registeransvarlige ønsker at bortskaffe udstyr, der indeholder personoplysninger. |
|
17. |
Overholdelse af sikkerhedsforanstaltninger er ofte en forudsætning for en effektiv beskyttelse af personoplysninger. |
|
18. |
Det vil derfor være inkonsekvent at indføre en forpligtelse til at indføre (undertiden omkostningstunge) sikkerhedsforanstaltninger i forbindelse med en almindelig behandling af personoplysninger (som fastsat i artikel 17 i direktiv 95/46/EF, når det er relevant (12)), for så blot at undlade at indføre tilstrækkelige foranstaltninger vedrørende bortskaffelse af WEEE. |
|
19. |
Det vil ligeledes være inkonsekvent at prioritere datasikkerhed i henhold til artikel 2 i direktiv 2009/136/EF (13), hvori det fastsættes, at der skal underrettes om brud på datasikkerheden, uden tilsvarende at indføre garantier eller beskyttelse i forbindelse med bortskaffelse, genbrug eller genvinding af WEEE. |
|
20. |
Den tilsynsførende beklager, at forslaget ikke tager højde for, hvilke potentielt skadelige indvirkninger bortskaffelsen af WEEE kan have på beskyttelsen af personoplysninger, som er lagret i brugt udstyr. |
|
21. |
Der blev heller ikke taget højde for dette aspekt i Kommissionens konsekvensanalyse (14), selv om erfaringerne viser, at mangel på tilstrækkelige sikkerhedsforanstaltninger i forbindelse med bortskaffelse af WEEE kan være skadelig for beskyttelsen af personoplysninger (15). På baggrund af kompleksiteten af de temaer, der berøres (f.eks. de mange legitime metoder, teknologier og aktører, som optræder i cyklussen for bortskaffelse af WEEE), mener den tilsynsførende, at det ville have været hensigtsmæssigt, om der var blevet udført en »konsekvensanalyse, for så vidt angår beskyttelse af privatlivets fred og databeskyttelse« i forbindelse med processerne til bortskaffelse af WEEE. |
|
22. |
Ikke desto mindre anbefaler den tilsynsførende på det kraftigste, at der udvikles »bedste tilgængelige teknikker« til beskyttelse af privatlivets fred og databeskyttelse og -sikkerhed på dette område. |
|
23. |
Dette understøttes endvidere af, at de forskellige aktører under den offentlige høring forud for omarbejdningen af direktivet gjorde opmærksom på problemstillinger vedrørende især it-selskaber og selskaber inden for elektronisk kommunikation (16). |
|
24. |
Endelig skal det fremhæves, at visse nationale databeskyttelsesmyndigheder har offentliggjort retningslinjer, der har til formål at minimere de risici, der kan opstå, hvis ikke der træffes de nødvendige sikkerhedsforanstaltninger, herunder navnlig i forbindelse med bortskaffelse af materialer, som er omfattet af direktivets anvendelsesområde (17). |
|
25. |
Den tilsynsførende gentager, at direktiv 96/46/EF finder anvendelse i forbindelse med bortskaffelse af WEEE, der indeholder personoplysninger. Registeransvarlige — navnlig de, der anvender it- og teleudstyr — er derfor nødt til at overholde deres sikkerhedsforpligtelser for at forhindre uretmæssig videregivelse eller formidling af personoplysninger. For ikke at blive gjort ansvarlig for overtrædelse af sikkerhedsforanstaltninger bør den registeransvarlige i den offentlige eller private sektor, i samarbejde med de databeskyttelsesansvarlige (hvis sådanne findes), vedtage hensigtsmæssige politikker for bortskaffelse af WEEE, der indeholder personoplysninger. |
|
26. |
Såfremt de registeransvarlige, der varetager bortskaffelse af WEEE, ikke har de fornødne kvalifikationer og/eller den fornødne tekniske viden til at slette de pågældende personoplysninger, kan de overdrage denne opgave til kvalificerede databehandlere (f.eks. assistancecentre, producenter eller forhandlere af udstyr) på de betingelser, der fastsættes i artikel 17, stk. 2, 3 og 4, i direktiv 95/46/EF. Databehandlerne vil derefter certificere udførelsen af de pågældende behandlinger og/eller udføre dem. |
|
27. |
På baggrund af disse overvejelser konkluderer den tilsynsførende, at der i forbindelse med omarbejdningen af direktivet bør føjes databeskyttelsesprincipper til de bestemmelser, der omhandler miljøbeskyttelse. |
|
28. |
Den tilsynsførende anbefaler derfor Rådet og Europa-Parlamentet at tilføje en specifik bestemmelse til det nuværende forslag, hvori det fastsættes, at direktivet finder anvendelse på bortskaffelse af WEEE, jf. dog direktiv 95/46/EF. |
III.3. Genbrug eller genvinding af WEEE og sikkerhedsforanstaltninger
|
29. |
De personer, der er ansvarlige for bortskaffelse, kan træffe selvstændige beslutninger vedrørende de data, der er lagret i det elektriske eller elektroniske udstyr, og kan derfor anses for at være »registeransvarlige« (18). De er derfor nødt til at vedtage interne procedurer for at undgå unødvendig behandling af personoplysninger, der er lagret i WEEE, det vil sige behandlinger, der ikke er absolut nødvendige for at bekræfte, at de lagrede oplysninger er blevet slettet. |
|
30. |
Derudover må de ikke give uautoriserede personer mulighed for at få kendskab til eller behandle data, der er lagret i elektrisk og elektronisk udstyr. Når lagringsmedier genbruges eller genvindes og dermed sendes tilbage på markedet, er der en øget risiko for uretmæssig videregivelse eller formidling af personoplysninger, og det er nødvendigt at forhindre ikke-autoriseret adgang til personoplysninger. |
|
31. |
Den tilsynsførende anbefaler derfor, at Rådet og Europa-Parlamentet tilføjer en specifik bestemmelse til det nuværende forslag med det formål at forbyde markedsføring af brugt udstyr, som ikke har været underlagt de fornødne sikkerhedsforanstaltninger, i overensstemmelse med de nyeste og mest avancerede tekniske standarder (f.eks. multi-pass overwriting), for at slette enhver personoplysning, der måtte være lagret i udstyret. |
III.4. Beskyttelse af privatlivets fred og datasikkerhed »via design«
|
32. |
De kommende retlige rammer for e-affald bør ikke blot indeholde en specifik bestemmelse vedrørende det mere generelle princip om miljøvenligt design i forbindelse med udstyret (se artikel 4 i forslaget vedrørende Produktdesign), men også, som anført tidligere i andre udtalelser fra den tilsynsførende (19), en bestemmelse vedrørende princippet om »Privacy by design« (indbygget databeskyttelse) (20) eller mere præcist for dette område »security by design« (21). Beskyttelse af privatlivets fred og databeskyttelse bør så vidt muligt som standard være integreret i selve udformningen af elektrisk og elektronisk udstyr, således at brugerne ved hjælp af enkle og gratis midler kan slette de personoplysninger, der måtte være på udstyret, hvis det skal bortskaffes (22). |
|
33. |
Denne tilgang understøttes af artikel 3, stk. 3, litra c), i direktiv 1999/5/EC (23) om radio- og teleterminaludstyr samt gensidig anerkendelse af udstyrets overensstemmelse og af artikel 14, stk. 3 i direktiv 2002/58/EF (24). |
|
34. |
Producenterne bør derfor »indbygge« foranstaltninger til databeskyttelse og -sikkerhed via teknologiske løsninger (25). I denne forbindelse bør der også gøres en indsats for at fremme og støtte initiativer, der har til formål at rådgive de personer, der er berørt af behovet for at slette alle personoplysninger inden bortskaffelse af WEEE (herunder producenter, der stiller gratis software til rådighed til dette formål) (26). |
IV. KONKLUSIONER
|
35. |
I betragtning af ovenstående anbefaler den tilsynsførende, at databeskyttelsesmyndighederne, især via Artikel 29-arbejdsgruppen, og den tilsynsførende involveres tæt i initiativer vedrørende bortskaffelse af WEEE, i form af høring på et tilstrækkeligt tidligt stadium, før de relevante foranstaltninger udvikles. |
|
36. |
I betragtning af den kontekst, hvori personoplysninger behandles, henstiller den tilsynsførende til, at forslaget tilføjes specifikke bestemmelser:
|
|
37. |
Den tilsynsførende anbefaler derfor på det kraftigste, at forslaget, i overensstemmelse med direktiv 95/46/EF, ændres som følger: — betragtning 11: »Derudover finder dette direktiv anvendelse, uden at det berører lovgivningen om databeskyttelse, navnlig direktiv 95/46/EF. Eftersom elektrisk og elektronisk udstyr (EEE) er en bred produktgruppe, der omfatter en række forskellige medier til lagring af personlige oplysninger (som f.eks. it- og teleudstyr), kan deres bortskaffelse, navnlig genbrug og genvinding, medføre risiko for ikke-autoriseret adgang til personoplysninger, der er lagret på WEEE. Beskyttelse af privatlivets fred og databeskyttelse bør derfor så vidt muligt som standard være integreret i selve udformningen af elektrisk og elektronisk udstyr, der er egnet til lagring af personoplysninger, således at brugerne ved hjælp af enkle og gratis midler kan slette de personoplysninger, der måtte være på udstyret, på tidspunktet for dets bortskaffelse« — Artikel 2, stk. 3: »Dette direktiv finder anvendelse, uden at det berører lovgivningen om databeskyttelse, navnlig direktiv 95/46/EF.« |
|
38. |
Derudover mener den tilsynsførende, at det vil være hensigtsmæssigt at overveje følgende ændringer: — Artikel 4, stk. 2: »Medlemsstaterne fremmer foranstaltninger, der skal promovere udformning og produktion af elektrisk og elektronisk udstyr, der gør det nemt at slette personoplysninger, der er lagret i dette udstyr på tidspunktet for dets bortskaffelse«. — Artikel 8, stk. 7: »Medlemsstaterne sikrer, at indsamlet WEEE, der indeholder personoplysninger, og som behandles med henblik på genbrug eller genvinding, ikke sendes på markedet, før disse oplysninger er slettet under anvendelse af de bedste til rådighed værende teknikker«. — Artikel 14, stk. 6: »Medlemsstaterne kan kræve, at producenterne eller forhandlerne af elektrisk og elektronisk udstyr, der indeholder personoplysninger, informerer brugerne, f.eks. i deres brugsvejledninger eller på salgsstedet, om behovet for at slette personoplysninger, der måtte være lagret i udstyret, inden det bortskaffes«. |
Udfærdiget i Bruxelles, den 14. april 2010.
Peter HUSTINX
Den Europæiske Tilsynsførende for Databeskyttelse
(1) KOM(2008) 810 endelig udg.
(2) EUT L 37 af 13.2.2003, s. 24.
(3) Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger, EFT L 8 af 12.1.2001, s. 1.
(4) Se Domstolens dom af 23.2.1999, sag C-42/97 Europa-Parlamentet mod Rådet for Den Europæiske Union, Sml. I 1999, s. 869, præmis 43.
(5) Se også Domstolens dom af 30.1.2001, sag C-36/98 Kongeriget Spanen mod Rådet for Den Europæiske Union, Sml I 2001 s, 779, præmis 59: »Hvis en gennemgang af en fællesskabsretsakt viser, at den har et dobbelt formål eller at den består af to led, og det ene af disse kan bestemmes som principalt eller fremherskende, mens det andet kun er sekundært, skal retsakten have en enkelt hjemmel, nemlig den, der kræves af det principale eller fremherskende formål eller led«.
(6) Interinstitutionel aftale af 28. november 2001 om en mere systematisk omarbejdning af retsakter, EFT C 77 af 28.3.2002, s. 1.
(7) Se Kommissionens tjenestegrenes arbejdsdokument, der ledsager forslaget til Europa-Parlamentets og Rådets direktiv om affald af elektrisk og elektronisk udstyr (WEEE) (omarb.). Konsekvensanalyse, 3.12.2008 (KOM(2008) 810 endelig udg.) SEK(2008) 2933, s. 17.
(8) Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, EFT L 281 af 23.11.1995, s. 31.
(9) Se artikel 2, litra d), i direktiv 95/46/EF for en definition af »registeransvarlig«.
(10) Se artikel 8 i direktiv 95/46/EF.
(11) Se Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om agenturet for forvaltning af store it-systemer (EUT C 70 af 19.3.2010, s. 13), punkt 46 og 47, samt udtalelse om forslaget til et direktiv om patientrettigheder i forbindelse med grænseoverskridende sundhedsydelser (EUT C 128 af 6.6.2009, s. 20), punkt 27-31.
(12) Se artikel 3 i ovennævnte direktiv.
(13) Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009 om ændring af direktiv 2002/22/EF om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester, direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og forordning nr. 2006/2004 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse, EUT L 337 af 18.12.2009, s. 11.
(14) Kommissionens tjenestegrenes arbejdsdokument, der ledsager forslaget til Europa-Parlamentets og Rådets direktiv om affald af elektrisk og elektronisk udstyr (WEEE) (omarb.), SEK(2008) 2933 af 3.12.2008; se dog United Nations University, 2008 Review of Directive 2002/96/EF on Waste Electrical and Electronic Equipment (WEEE), Europa-Kommissionen, Belgien, 2007, s. 273 (http://ec.europa.eu/environment/waste/weee/pdf/final_rep_unu.pdf); »Data security is also an issue — removing personal data from a hard-drive«.
(15) Se f.eks. BBC's onlineartikel »Children's files on eBay computer« fra den 4. maj 2007, som fortæller historien om en computer, der var blevet solgt på eBay, og som indeholdt personlige oplysninger om opfostring og adoption af børn, (http://news.bbc.co.uk/2/hi/uk_news/england/6627265.stm); se også BBC's onlineartikel »Bank customer data sold on eBay« fra den 26. august 2008, hvor der fortælles om salget af en harddisk på eBay, som indeholdt personoplysninger om en million bankkunder (http://news.bbc.co.uk/2/hi/uk_news/7581540.stm).
(16) Se HP, høring af de berørte parter om revisionen af Europa-Parlamentets og Rådets direktiv 2002/96/EF om affald af elektrisk og elektronisk udstyr (WEEE), s. 7-8; DELL (bemærkninger til udkastet) WEEE, gennemgang af de politiske muligheder på høringen af de berørte parter om revisionen af Europa-Parlamentets og Rådets direktiv 2002/96/EF om affald af elektrisk og elektronisk udstyr (WEEE), s. 2, punkt 1.1 og 4, punkt 1.3. (3.6.2008); Royal Philips Electronics Position and Proposal, høring af de berørte parter om revisionen af WEEE-direktivet, s. 12 (5.6.2008) (http://circa.europa.eu/Public/irc/env/weee_2008_review/library). Se også svar på høringen vedrørende WEEE, sammendrag af svar og regeringens svar på den fjerde høring om gennemførelsen af direktiv 2002/96/EF og 2003/108/EF om affald af elektrisk og elektronisk udstyr, december 2006, s. 30: »Databeskyttelse og -sikkerhed. Visse affaldsvirksomheder ønsker, at der udstedes retningslinjer vedrørende databeskyttelse og -sikkerhed, hvilket ikke mindst skyldes, at de skal håndtere følsomme data« (http://www.berr.gov.uk/files/file35961.pdf).
(17) Landesbeauftragter für Datenschutz und Informationsfreiheit Bremen, Entwicklung eines Konzeptes zur Löschung und Datenträgervernichtung durch Behörden und Unternehmen, 16. Mai 2007 (http://www.datenschutz-bremen.de/rtf/datenloeschung.rtf); Garante per la protezione dei dati personali, Electrical and Electronic Waste and Data Protection, 13. oktober 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1583482), som også nævnes i den 12. årsberetning fra Artikel 29-gruppen vedrørende databeskyttelse, 16. juni 2009, s. 57. Se endvidere den internationale arbejdsgruppe om databeskyttelse inden for telekommunikation, henstilling om databeskyttelse og e-affald, Sofia, den 12.-13. marts 2009 (http://www.datenschutz-berlin.de/attachments/650/675.38.14.pdf?1264671551).
(18) »The concept of controller is […] functional, in the sense that it is intended to allocate responsibilities where the factual influence is, and thus based on a factual rather than a formal analysis« (Begrebet registeransvarlig er funktionelt i den forstand, at det sigter mod at uddelegere ansvar alt efter, hvor den reelle indflydelse ligger, og det er dermed baseret på en faktuel frem for en formel analyse), se Artikel 29-gruppen vedrørende databeskyttelse, WP 169, udtalelse 1/2010 om begreberne »registeransvarlige« og »databehandler«, der blev vedtaget den 16. februar 2010.
(19) Se f.eks. »The EDPS and EU Research and Technological Development«, policydokument, 28. april 2008, s. 2; Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om intelligente transportsystemer (EUT C 47 af 25.2.2010, s. 6; Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om lægemiddelovervågning (EUT C 229 af 23.9.2009, s. 19).
(20) For en bred anvendelse af princippet, se Artikel 29-gruppen vedrørende databeskyttelse, arbejdsgruppen om politimæssigt og retligt samarbejde, »The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data« (Fremtiden for privatlivets fred. Fælles bidrag til Europa-Kommissionens høring om retsgrundlaget for den grundlæggende ret til beskyttelse af personoplysninger), WP 168, vedtaget den 1. december 2009, s. 3 og 12. Se også Kommissionens henstilling om gennemførelse af principperne om beskyttelse af personoplysninger og privatlivets fred i forbindelse med anvendelse af radiofrekvensbaseret identifikation, K(2009) 3200, s. 8.
(21) Se meddelelse fra Kommissionen »En europæisk sikkerhedsforsknings- og innovationsdagsorden — Kommissionens første bemærkninger til ESRIF's vigtigste resultater og anbefalinger«, KOM(2009) 691, s. 6 og 14.
(22) Se også udtalelse fra Den Tilsynsførende for Databeskyttelse af 18. marts 2010 om Promoting trust in the Information Society by fostering data protection and privacy (Fremme af tillid i informationssamfundet ved at fremme databeskyttelse og privatlivets fred).
(23) Artikel 3, stk. 3, i Europa-Parlamentets og Rådets direktiv 1999/5/EF af 9. marts 1999 om radio- og teleterminaludstyr samt gensidig anerkendelse af udstyrets overensstemmelse (EFT L 91 af 7.4.1999, s. 10): »[…] Kommissionen [kan] træffe afgørelse om, at apparatur inden for visse udstyrsklasser eller af særlige typer konstrueres på en sådan måde, at […] det er i stand til at sikre, at personoplysninger om brugeren og abonnenten og disses privatliv beskyttes«.
(24) »Hvor der er behov herfor, kan der vedtages foranstaltninger for at sikre, at terminaludstyr fremstilles på en måde, der er forenelig med brugernes ret til at beskytte og kontrollere anvendelsen af deres personoplysninger i overensstemmelse med direktiv 1999/5/EF og Rådets beslutning 87/95/EØF af 22. december 1986 om standardisering inden for informationsteknologi og telekommunikation«. Se også betragtning 46 i det direktiv, der er nævnt i fodnote 13.
(25) For mere om dette politiske perspektiv henvises desuden til Viviane Redings hovedtale på Databeskyttelsesdagen den 28. januar 2010, Europa-Parlamentet, Bruxelles, SPEECH/10/16: »Businesses must use their power of innovation to improve the protection of privacy and personal data from the very beginning of the development cycle. Privacy by Design is a principle that is in the interest of both citizens and businesses. Privacy by Design will lead to better protection for individuals, as well as to trust and confidence in new services and products that will in turn have a positive impact on the economy. I have seen some encouraging examples, but much more needs to be done« (Virksomhederne skal udnytte deres innovationspotentiale til at forbedre beskyttelsen af privatlivets fred og personoplysninger helt fra udviklingscyklussens begyndelse. »Privacy by Design« er et princip, der tjener både borgernes og virksomhedernes interesser. Det vil føre til en bedre beskyttelse af enkeltpersoner samt øge tilliden til nye tjenester og produkter, som for deres del vil have en positiv indvirkning på økonomien. Jeg har set flere gode eksempler herpå, men der er stadig lang vej endnu).
(26) Se f.eks. Royal Canadian Mounted Police (Canadas beredne politi), B2-002 — IT Media Overwrite and Secure Erase Products (05/2009) på http://www.rcmp-grc.gc.ca/ts-st/pubs/it-ti-sec/index-eng.htm