13.10.2017   

DA

Den Europæiske Unions Tidende

C 345/138

Ordfører:

Laure BATUT

1.1.

EØSU beklager stærkt, at disse tekster om databeskyttelse er overlappende, omfattende og filtret ind i hinanden, og at det er nødvendigt at læse dem skiftevis for at forstå dem, hvilket gør det usandsynligt, at andre end de få indviede kommer til at læse dem og anvende dem. Deres merværdi er således ikke indlysende for den almindelige borger — et begreb, som er fraværende i hele forslaget til forordning. Udvalget anbefaler, at der offentliggøres en sammenfattende brochure online med en beskrivelse af forslagene, som gør dem tilgængelige for den brede offentlighed.

1.2.

EØSU peger på, at blandt de løsningsmodeller, der foreslås i konsekvensanalysen, har Kommissionen valgt den, som styrker privatlivets fred »moderat«. Er det for at sikre en balance med industriens interesser? Kommissionen forklarer ikke, hvilke elementer i en »vidtgående« styrkelse af privatlivets fred der ville kunne skade industriens interesser. Denne tilgang svækker teksten lige fra dens tilblivelse.

1.3.

EØSU anbefaler Kommissionen at:

2.1.

De elektroniske kommunikationsnet har udviklet sig meget, siden direktiverne 95/46/EF og 2002/58/EF  (2) om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor trådte i kraft.

2.2.

Den generelle forordning om databeskyttelse, som blev vedtaget i 2016 (forordning (EU) 2016/679), danner grundlaget for indsatsen og fastlægger de vigtigste principper, herunder for retlige og strafferetlige data. I henhold til denne forordning må personoplysninger kun indsamles til udtrykkeligt angivne og legitime formål og under iagttagelse af kravet om fortrolighed (artikel 5 den generelle forordning om databeskyttelse).

2.2.1.

I oktober 2016 fremlagde Kommissionen et forslag til direktiv om en europæisk kodeks for elektronisk kommunikation (3) (på 300 sider), som endnu ikke er blevet vedtaget, men som den henviser til, når en definition hverken er fastlagt i den generelle forordning eller i den foreliggende tekst.

2.2.2.

To forslag fra januar 2017 præciserer visse aspekter med udgangspunkt i den generelle forordning. Der er tale om et forslag til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner og organer (COM(2017) 8 final, ordfører: Jorge Pegado Liz), og den foreliggende tekst (COM(2017) 10 final) om respekt for privatliv og beskyttelse af personoplysninger.

2.3.

Alle tre tekster træder i kraft den 25. maj 2018 og tilsigter en harmonisering af rettigheder og kontrolprocedurer.

2.4.

For at fremme dette arbejde har man valgt at anvende en EU-forordning i stedet for et direktiv, når det gælder beskyttelsen af privatlivets fred.

3.1.

I en verden, der tegner sig til at blive helt igennem digital, vil civilsamfundet gerne vide, om EU tilfører en merværdi, som sikrer et frirum for udfoldelse af privatlivet uden frygt.

3.2.

Data genereres løbende og betyder, at alle brugere kan spores og identificeres overalt. Den databehandling, der foregår i fysiske centre, som for de flestes vedkommende ligger uden for Europa, giver anledning til bekymring.

3.3.

Big data er blevet gangbar mønt. Ved hjælp af intelligent databehandling giver de mulighed for at profilere fysiske og juridiske personer, reducere dem til »varer« og tjene penge på det, ofte uden brugernes vidende.

3.4.

Først og fremmest er det dog fremkomsten af nye aktører i behandlingssektoren ud over internetleverandører, der har gjort en revision af teksterne nødvendig.

4.1.

Med denne tekst vil Kommissionen skabe balance mellem forbrugerne og industrien:

4.2.

Forslaget skal gennemføre den generelle forordning om databeskyttelse, der ligesom fortroligheden af personoplysninger og retten til sletning finder generel anvendelse, og drejer sig om respekt for privatliv og beskyttelse personoplysninger i forbindelse med elektronisk kommunikation. Der foreslås at indføre skærpede regler om beskyttelse af privatlivets fred såvel som koordinerede kontrolprocedurer og sanktioner.

4.3.

Forslaget fastlægger ingen konkrete foranstaltninger vedrørende lækning af personoplysninger, som brugerne selv er ansvarlige for, men bekræfter allerede i de første artikler (artikel 5) princippet om fortroligheden af elektroniske kommunikationsdata.

4.4.

Leverandørerne må behandle elektronisk kommunikationsindhold med det formål at:

4.5.

De skal slette eller anonymisere indholdet, når modtagerne har modtaget det.

4.6.

I henhold til artikel 4, stk. 11, i den generelle forordning om databeskyttelse er »samtykke« fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

4.7.

Forslaget opretholder kravet om den utvetydige viljestilkendegivelse i henhold til den generelle forordning om databeskyttelse, og bevisbyrden påhviler operatørerne.

4.8.

Behandlingen hviler på dette samtykke. Den dataansvarlige skal »kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger« (artikel 7, stk. 1, i den generelle forordning om databeskyttelse).

4.9.

Gennem lovgivning kan EU eller medlemsstaterne indføre visse begrænsninger af fortroligheden for at sikre samfundsinteresser eller kontrolfunktioner.

4.10.

Fysiske personer skal have givet deres samtykke til at blive opført i en offentligt tilgængelig fortegnelse, og de skal have mulighed for at kontrollere og rette oplysninger, der vedrører dem (artikel 15).

4.11.

En indsigelsesret giver brugeren mulighed for at afvise, at en tredjepart (for eksempel en forhandler), som har fået overdraget vedkommendes kontaktoplysninger, anvender oplysningerne. Denne ret har brugeren også, hver gang der sendes en meddelelse (artikel 16). De nye regler vil give brugerne en bedre forståelse af deres indstillinger (sporingscookies, brugernavn), og uanmodet kommunikation (spam, beskeder, sms, opkald) kan blokeres i mangel af brugerens samtykke.

4.12.

Med hensyn til identificering af opkald og blokering af uønskede opkald (artikel 12 og 14) understreges det i forordningen, at disse rettigheder også gælder for juridiske personer.

4.13.

Opbygningen af et kontrolsystem er i overensstemmelse med den generelle forordning om databeskyttelse (kapitel VI om tilsynsmyndighederne og kapitel VII om samarbejde mellem tilsynsmyndighederne).

4.13.1.

Det er medlemsstaterne og deres nationale myndigheder med ansvar for databeskyttelse, som skal sørge for, at fortrolighedsreglerne overholdes. De øvrige tilsynsmyndigheder kan som led i gensidig bistand formulere klager, der eventuelt indbringes for de nationale myndigheder. De skal samarbejde med sidstnævnte og med Kommissionen inden for rammerne af sammenhængsmekanismen (artikel 63 i den generelle forordning om databeskyttelse).

4.13.2.

Det Europæiske Databeskyttelsesråd har for sin part til opgave at sikre ensartet anvendelse af den foreliggende forordning (artikel 68 og 70 i den generelle forordning om databeskyttelse).

4.14.

Fysiske og juridiske personer har adgang til retsmidler for at hævde deres interesser, hvis de har lidt skade som følge af overtrædelser. De har ret til erstatning for den lidte skade.

4.15.

Størrelsen af de administrative bøder skal virke afskrækkende, idet de for operatørernes vedkommende kan være på op til 10 mio. EUR og for en virksomheds vedkommende på op til 2 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere (artikel 23). Medlemsstaterne fastlægger sanktioner for de tilfælde, hvor der ikke er mulighed for administrative bøder, og giver Kommissionen meddelelse herom.

4.16.

Den nye forordning om respekt for privatliv og beskyttelse af personoplysninger vil være gældende fra den 25. maj 2018, altså samtidig med den generelle forordning om databeskyttelse fra 2016 og forordningen om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner og organer samt forslaget til direktiv om omarbejdningen af en europæisk kodeks for elektronisk kommunikation (COM(2016) 590), hvis de vedtages.

4.17.

Anvendelsesområde for særlovgivningen til gennemførelse af den generelle forordning om databeskyttelse:

—

Ratione personae: aktører

—

Ratione materiae: data

—

Ratione loci: hvor?

4.18.

EU's mål: det digitale indre marked

5.1.

Udvalget glæder sig over, at der på samme tid i hele EU indføres et sammenhængende regelsæt med det mål at beskytte fysiske og juridiske personers rettigheder ved anvendelsen af digitale data i forbindelse med elektronisk kommunikation.

5.1.1.

Det glæder sig over, at EU spiller sin rolle som forsvarer for borgernes og forbrugernes rettigheder.

5.1.2.

Det understreger, at omend der sigtes mod en harmonisering, overlades fortolkningen af mange begreber til medlemsstaterne, hvilket forvandler forordningen til et slags direktiv, der giver et stort spillerum for kommercialisering af private data. Navnlig er sundhedsområdet en åben dør for indsamling af enorme mængder private oplysninger.

5.1.3.

Artikel 11, stk. 1, artikel 13, stk. 2, artikel 16, stk. 4 og 5, og artikel 24 er snarere at betegne som »gennemførelsesbestemmelser«, der ville høre hjemme i et direktiv, men ikke i en forordning. Der gives operatørerne for vide rammer med det mål at forbedre kvaliteten af tjenesterne (artikel 5 og 6). Denne forordning burde indgå i forslaget til direktiv om en europæisk kodeks for elektronisk kommunikation (COM(2016) 590 final).

5.1.4.

EØSU beklager stærkt, at disse tekster er overlappende, omfattende og filtret ind i hinanden, hvilket gør det usandsynligt, at andre end de få indviede kommer til at læse dem. Man må faktisk læse dem skiftevis for at forstå dem. Desuden vil borgerne ikke kunne se deres merværdi. At forslaget er svært tilgængeligt og kompliceret strider mod programmet for målrettet og effektiv regulering (REFIT) og målet om en bedre lovgivningspraksis. Det vanskeliggør forståelsen og skaber huller i beskyttelsen.

5.1.5.

Eksempelvis indeholder forslaget til forordning ingen definition af »operatør«. Den må man finde i forslaget til europæiske kodeks for elektronisk kommunikation (4), som endnu ikke er trådt i kraft, og som vil ændre reguleringen af sektoren med henblik på det digitale indre marked, dvs. rammedirektivet 2002/21/EF, »tilladelsesdirektivet« 2002/20/EF, »forsyningspligtdirektivet« 2002/22/EF, »adgangsdirektivet« 2002/19/EF og ændringerne til disse direktiver samt forordning (EF) nr. 1211/2009 om oprettelse af BEREC, beslutning nr. 676/2002/EF om et frekvenspolitisk regelsæt, afgørelse 2002/622/EF om en frekvenspolitikgruppe og afgørelse 243/2012/EU om indførelse af et flerårigt radiofrekvenspolitikprogram. Den grundlæggende referenceramme er og bliver naturligvis den generelle forordning om databeskyttelse (se punkt 2.2), som det foreliggende forslag skal supplere og derfor er underordnet.

5.2.

EØSU henleder især opmærksomheden på indholdet af artikel 8 om beskyttelse af oplysninger, der opbevares på slutbrugerens terminaludstyr, og de mulige undtagelser herfra. Det er en artikel af afgørende betydning, da den giver informationssamfundet mulighed for at få adgang til private oplysninger. Desuden fremhæves artikel 12 om visning af opkaldende nummer og opkaldt nummer samt begrænsning heraf. Disse artikler er svært tilgængelige for uindviede læsere.

5.2.1.

Direktivet fra 1995 (artikel 2) definerede »personoplysninger« som »enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede)«. Det foreliggende forslag til forordning udvider databeskyttelsen til også at omfatte metadata og gælder for såvel fysiske personer som juridiske personer. Det skal atter understreges, at forslaget har et dobbelt formål: på den ene side at beskytte personoplysninger og på den anden side at sikre fri bevægelighed for elektroniske kommunikationsdata og elektroniske kommunikationstjenester i EU (artikel 1).

5.2.2.

EØSU peger på, at ønsket om at beskytte juridiske personers data (artikel 1, stk. 2) går imod andre tekster, som ikke har dette sigte: det siges ikke klart, at de også gælder for juridiske personer (jf. den generelle forordning om databeskyttelse, personoplysninger i Unionens institutioner).

5.3.

EØSU rejser det spørgsmål, om det reelle sigte med dette forslag ikke snarere er at lægge større vægt på artikel 1, stk. 2, dvs. at sikre »fri bevægelighed for elektroniske kommunikationsdata og elektroniske kommunikationstjenester i Unionen«, som forslaget hverken begrænser eller forbyder af hensyn til respekten for juridiske og fysiske personers privatliv og kommunikation, end på artikel 1, stk. 1, nemlig »retten til respekt for privatlivet og kommunikation, samt […] beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger«.

5.4.

Alt hviler på den fysiske eller juridiske persons samtykke. Følgelig bør brugerne efter EØSU's mening informeres, uddannes og være forsigtige, for når de én gang har givet deres samtykke, kan leverandøren bearbejde indholdet og metadataene yderligere for at opnå så mange handlemuligheder og så stor fortjeneste som muligt. Hvor mange ved — før de accepterer dem — at cookies er en sporingsteknik? Uddannelse af brugerne i at gøre brug af deres rettigheder bør ligesom anonymisering og kryptering være prioriterede mål i forbindelse med denne forordning.

6.1.

Private oplysninger bør kun indsamles af organer, der selv opfylder meget strenge krav og har kendte, legitime formål (den generelle forordning om databeskyttelse).

6.2.

Udvalget beklager endnu en gang, at »der er alt for mange undtagelser og begrænsninger, som har konsekvenser for den fastslåede principielle ret til beskyttelse af personoplysninger« (5). Balancen mellem frihed og sikkerhed bør stadig være EU's kendemærke, snarere end balancen mellem personers grundlæggende rettigheder og industrien. Artikel 29-Gruppen vedrørende Databeskyttelse har i sin gennemgang af forslaget til forordning (WP247 af 4.4.2017, udtalelse 1/2017, punkt 17) anført, at forslaget reducerer det beskyttelsesniveau, der er fastlagt i den generelle forordning om databeskyttelse, især med hensyn til lokalisering af terminaludstyret, manglende afgrænsning af de data, som må indsamles, og at forslaget desuden ikke fastlægger en privatlivsbeskyttelse som standard (punkt 19).

6.3.

Data udgør en forlængelse af en persons identitet, en »skyggeidentitet«. Dataene tilhører den person, der genererer dem, men når de er behandlet, har den pågældende ikke længere nogen indflydelse på dem. Opbevaring og transmission af data: den enkelte medlemsstat er stadig ansvarlig, og der foretages ingen harmonisering på grund af de muligheder for begrænsning af rettighederne, som forslaget åbner op for. Udvalget peger på risikoen for, at der opstår skævheder, fordi begrænsningen af rettighederne overlades til medlemsstaternes skøn.

6.4.

For ansatte i virksomheder er der især ét spørgsmål, der trænger sig især på: hvem tilhører de data, som de genererer under deres arbejde? Og hvordan er de beskyttet?

6.5.

Kontrolsystemet er ikke særligt klart (6), skønt det overvåges af Den Europæiske Tilsynsførende for Databeskyttelse. Garantierne mod vilkårlighed synes ikke at være tilstrækkelige, og det er ikke blevet evalueret, hvor lang tid der går, før en procedure kan resultere i en sanktion.

6.6.

EØSU opfordrer til oprettelse af en europæisk portal, som samler og ajourfører alle EU- og nationale lovtekster, alle rettigheder, klagemuligheder, retspraksis og praktiske oplysninger for at hjælpe borgerne og forbrugerne med at finde vej i virvaret af tekster og praksisser, så de kan udøve deres rettigheder. En sådan portal bør lade sig inspirere af kravene i direktiv (EU) 2016/2102 af 26. oktober 2016 om tilgængeligheden af offentlige organers websteder og mobilapplikationer og om principperne under betragtningerne 12, 15 og 21 i forslaget til direktiv under betegnelsen EU-lov om tilgængelighed 2015/0278 (COD) og tilbyde tilgængeligt og forståeligt indhold for alle slutbrugere. EØSU er rede til at deltage i udformningsfaserne af denne portal.

6.7.

I artikel 22 savnes en henvisning til »kollektive søgsmål«, således som EØSU allerede har påpeget i udtalelsen om den europæiske kodeks for elektronisk kommunikation.

6.8.

Begrænsningen af det materielle anvendelsesområde (artikel 2, stk. 2), den udvidede tilladelse til behandling af data uden den berørte persons samtykke (artikel 6, stk. 1 og 2) og det næsten uopnåelige samtykke fra ALLE berørte slutbrugere (artikel 6, stk. 3, litra b), og artikel 8, stk. 1, 2 og 3) samt de begrænsninger af rettighederne, som medlemsstaterne kan foretage, hvis de anser dette for at være en »nødvendig, hensigtsmæssig og forholdsmæssig« foranstaltning, er allesammen regler, hvis indhold i den grad er åbent for fortolkning, at det ikke er foreneligt med en ægte beskyttelse af privatlivets fred. Der bør endvidere rettes særlig opmærksomhed mod beskyttelsen af mindreåriges personoplysninger.

6.9.

EØSU glæder sig over den ret til indsigt, der er omhandlet i artikel 12, men fremhæver dens meget uigennemskuelige formulering, som synes at prioritere muligheden for at foretage »anonyme« eller »skjulte« opkald, som om anonymitet var anbefalelsesværdigt, hvorimod princippet bør være, at opkald skal kunne identificeres.

6.10.

Uanmodet kommunikation (artikel 16) og direkte markedsføringsmeddelelser er allerede omfattet af direktivet om »urimelig handelspraksis« (7). Det bør som standard være en ordning med opt-in (samtykkebaseret) og ikke opt-out (ikke samtykkebaseret).

6.11.

Kommissionens evaluering skal foretages hvert tredje år, men på det digitale område er dette tidsrum for langt. Allerede efter to evalueringer vil den digitale verden have ændret sig fuldstændigt. Derimod bør delegationen af beføjelser (artikel 25), som kan udvides, være af en bestemt varighed og eventuelt kunne fornyes.

6.12.

Lovgivningen skal beskytte brugernes rettigheder (artikel 3 i TEUF), samtidig med at den kommercielle aktivitet garanteres den nødvendige reguleringsmæssige stabilitet. EØSU beklager, at udvekslingen af maskingenererede data og maskine til maskine-data (M2M) ikke er omfattet af forslaget: der henvises til den europæiske kodeks for elektronisk kommunikation (forslaget til direktiv, artikel 2 og 4).

6.12.1.

Med tingenes internet (8) vil »Big Data« blive til »Huge Data« og derefter til »All Data«. Det er afgørende for de fremtidige innovationsfremstød. Maskiner, store som små, kommunikerer og sender private data til hinanden (f.eks. dit ur, som registrerer dine hjerteslag og videresender oplysningerne til din læges pc). Mange aktører på det digitale område har lanceret deres egen platform, som kun netforbundet udstyr har adgang til: Amazon, Microsoft, Intel og i Frankrig, Orange og »La Poste«.

6.12.2.

Tingenes internet i det daglige kan nemt blive angrebet af ondsindet indtrængen, og mængden af personlige oplysninger, der kan indsamles på afstand er i stigning (geolokalisering, sundhedsdata, video- og lydstreaming). Huller i databeskyttelsen interesserer blandt andet forsikringsselskaberne, som er begyndt at foreslå deres kunder at anskaffe sig netforbundet udstyr og anlægge en mere ansvarlig adfærd.

6.13.

Mange internetgiganter søger at omdanne deres oprindelige applikationer til platforme. Der må således skelnes mellem Facebook-applikationer og Facebook-platformen, som sætter udviklerne i stand til at udforme applikationer, der er tilgængelige via brugerprofiler. Amazon var på sin side oprindeligt en webapplikation til brug for online-salg. I dag er det en platform, der giver tredjeparter — lige fra private til store koncerner — mulighed for at markedsføre deres produkter og i den forbindelse trække på Amazons ressourcer: omdømme, logistik osv. Alt dette beror på videregivelse af personoplysninger.

6.14.

Med den kollaborative økonomi er der dukket en masse platforme op, som »især via elektroniske medier formidler kontakten mellem på den ene side en stor mængde udbydere af goder eller tjenester og på den anden side et stort antal brugere« (9). Platforme er eftertragtede på grund af den aktivitet og de beskæftigelsesmuligheder, de skaber, men EØSU spørger sig selv om, hvordan de data, som de genererer, kan kontrolleres ved anvendelsen af såvel den generelle forordning om databeskyttelse som denne forordning.