2.3.2018   

DA

Den Europæiske Unions Tidende

C 81/209

Ordfører:

Christian PÎRVULESCU

1.1.

På grundlag af sine kerneværdier og grundlæggende retsakter har EU et ansvar for at blive en global aktør, der fremmer overholdelsen af grundlæggende rettigheder og tilstrækkelig beskyttelse af privatlivet og af personoplysninger. I den henseende opfordrer EØSU Kommissionen til at være proaktiv på bilateralt og multilateralt plan med henblik på at fremme den højeste standard for beskyttelse af personoplysninger.

1.2.

EØSU finder de fire nøglekriterier, som Kommissionen skal tage hensyn til ved vurderingen af, med hvilke lande der bør indledes en dialog om tilstrækkeligheden, både velafbalancerede og rimelige. Det er dog vigtigt at fortolke disse kriterier i lyset af en reel forpligtelse fra regeringer, parlamenter og domstole i disse lande for at nå et tilsvarende og funktionelt niveau for beskyttelse af personoplysninger.

1.3.

EØSU opfordrer til større gennemsigtighed og deltagelse i processen med at træffe afgørelser om tilstrækkeligheden af beskyttelsesniveauet. Repræsentanter for erhvervslivet, især SMV'er, må inddrages og konsulteres sammen med forbrugerbeskyttelsesgrupper, borgergrupper og andre civilsamfundsorganisationer. EØSU er rede til at befordre høringsprocessen.

1.4.

EØSU bifalder den dialog, som Kommissionen har indledt med vigtige handelspartnere i Øst- og Sydøstasien, herunder Japan og Korea og eventuelt Indien, sammen med lande i Latinamerika og lande, der er omfattet af den europæiske naboskabspolitik, og som har udtrykt interesse i at opnå en »afgørelse af tilstrækkeligheden af beskyttelsesniveauet«.

1.5.

EØSU håber, at Kommissionen, Rådet, medlemsstaternes nationale regeringer og parlamenter og den amerikanske regering og kongres vil tage vel imod forslagene i Europa-Parlamentets beslutning af 6. april 2017 om tilstrækkeligheden af EU's og USA's værn om privatlivets fred. Europa-Parlamentet giver i sin beslutning udtryk for alvorlig bekymring på mange punkter, herunder frygt for, at aftalen og den nuværende amerikanske lovramme ikke i praksis beskytter EU-borgernes rettigheder.

1.6.

På grund af de hurtige teknologiske fremskridt og den fortsatte udvidelse af ITC-infrastrukturen er der behov for tæt myndighedstilsyn og overvågning. Selv om afgørelser om tilstrækkeligheden af beskyttelsesniveauet vurderes hvert fjerde år (jf. artikel 45, stk. 3, i den generelle forordning om databeskyttelse (GDPR)), anbefaler EØSU en permanent kontakt mellem Kommissionen, databeskyttelsesmyndighederne og offentlige myndigheder i tredjelande for at identificere nye udfordringer i et meget dynamisk, teknologisk og økonomisk miljø.

1.7.

EØSU mener, at fremme af databeskyttelsesstandarder gennem multilaterale instrumenter bør være en prioritet for Kommissionen, og at denne indsats bør støttes med ressourcer, således der a priori kan opnås reel beskyttelse af menneskerettighederne og efterfølgende en effektiv klageadgang for skadelidte.

1.8.

Udvalget hæfter sig ved, at Kommissionen i meddelelsen ikke skelner mellem forskellige typer og anvendelser af personoplysninger med undtagelse af kriminalsager.

1.9.

Europarådets konvention nr. 108 af 1981 med tillægsprotokollen af 1999 er det eneste bindende multilaterale instrument inden for databeskyttelse. Instrumentet bør videreudvikles, og flere tredjelande bør opfordres til at tilslutte sig.

1.10.

Den multilaterale indsats inden for OECD (Organisationen for Økonomisk Samarbejde og Udvikling), G20 og APEC (det økonomiske samarbejde i Asien-Stillehavsområdet) bør videreudvikles med henblik på at opbygge et virkelig globalt multilateralt system for databeskyttelse. Samarbejdet med FN's særlige rapportør om retten til privatlivets fred skal være solidt og funktionelt.

1.11.

Hvad angår udveksling af personoplysninger som led i forebyggelse, efterforskning og retsforfølgelse af strafbare handlinger, er EØSU en stærk tilhænger af at skabe robuste databeskyttelsesgarantier, men udvalget er også åbent for indførelse af afgørelser om tilstrækkeligheden af beskyttelsesniveauet på det strafferetlige håndhævelsesområde. Databeskyttelse og forebyggelse, efterforskning og retsforfølgelse af strafbare handlinger, herunder cyberkriminalitet og terrorisme, må gå hånd i hånd.

1.12.

EØSU minder om vigtigheden af at beskytte personoplysninger, helbreds- og rehabiliteringsdata for personer med handicap som fastsat i artikel 22 i FN-konventionen om handicappedes rettigheder.

2.1.

Beskyttelsen af personoplysninger indgår i Europas fælles konstitutionelle opbygning og er forankret i artikel 8 i EU's charter om grundlæggende rettigheder. Denne beskyttelse har været et centralt aspekt i EU-retten i over 20 år lige fra databeskyttelsesdirektivet i 1995 (»1995-direktivet«) til vedtagelsen af den generelle forordning om databeskyttelse (GDPR) og politidirektivet i 2016.

2.2.

Med reformen af databeskyttelseslovgivningen, der blev vedtaget i april 2016, indføres et system, som sikrer et højt beskyttelsesniveau både inden for EU og ved international udveksling af personoplysninger i kommercielt eller retshåndhævende øjemed. De nye regler træder i kraft i maj 2018.

2.3.

Efter at have færdiggjort EU's databeskyttelsesregler udarbejder Kommissionen nu en strategi til fremme af internationale standarder for databeskyttelse. Meddelelsen indeholder de forskellige redskaber til international udveksling af personoplysninger på grundlag af de reformerede regler for databeskyttelse og strategien for samarbejde med udvalgte tredjelande med henblik på at nå frem til afgørelser om tilstrækkeligheden af beskyttelsesniveauet og fremme standarder for databeskyttelse gennem multilaterale instrumenter.

2.4.

Den generelle forordning om databeskyttelse fra 2016 tilbyder en »værktøjskasse« af mekanismer til overførsel af personoplysninger fra EU til tredjelande: afgørelser om tilstrækkeligheden af beskyttelsesniveauet, standardkontraktbestemmelser, bindende virksomhedsregler, certificeringsmekanismer og adfærdskodekser. Det primære formål med disse mekanismer er at sikre beskyttelsen af europæiske borgeres personoplysninger ved videregivelse til andre lande. Selv om arkitekturen for international videregivelse af personoplysninger ligner strukturen i databeskyttelsesdirektivet fra 1995, forenkler og udvider reformen deres anvendelse og indfører nye redskaber til internationalt videregivelse (f.eks. adfærdskodekser og certificeringsmekanismer).

3.1.

EØSU værdsætter EU's bestræbelser på at beskytte borgernes personoplysninger og samtidig forblive åben og integreret i en stadig mere forbundet verden.

3.2.

På grundlag af sine kerneværdier og grundlæggende retsakter har EU et ansvar for at blive en global aktør, der fremmer overholdelsen af grundlæggende rettigheder og et højt niveau for beskyttelse af privatlivet og personoplysninger. I den henseende opfordrer EØSU Kommissionen til at være proaktiv på bilateralt og multilateralt plan med henblik på at fremme den højeste standard for beskyttelse af personoplysninger for sine egne borgere og for tredjelandsborgere.

3.3.

EU bør støtte dagsordenen for global beskyttelse af personoplysninger og dens grundlæggende principper: Databeskyttelse er en grundlæggende rettighed, og der værnes om denne rettighed gennem vedtagelse af rammelovgivning på dette område, indførelse af individuelle rettigheder til privatlivets fred, der kan håndhæves, og oprettelse af uafhængige tilsynsmyndigheder.

3.4.

Den højest mulige beskyttelse af personoplysninger er ikke kun et juridisk ansvar, men også en stor mulighed. Den digitale økonomi, internationale strømme af varer og tjenesteydelser og e-forvaltning har alle gavn af den tillid, borgere har til det aktuelle institutionelle og lovgivningsmæssige beskyttelsesniveau. Databeskyttelse og fair international handel er begge vigtige for borgerne og bør ikke betragtes som modstridende værdier.

3.5.

EØSU støtter fortsat den overordnede kurs i EU's politik for databeskyttelse, sådan som det har gjort i sine tidligere udtalelser, men insisterer dog på behovet for højere beskyttelsesniveauer. I sin udtalelse fra SOC/455 om den generelle forordning om databeskyttelse gav udvalget med udgangspunkt i flere artikler præcise eksempler, som tager sigte på at finde frem til en bedre definition af, hvad der forstås ved rettigheder, stærkere beskyttelse af borgerne generelt og af arbejdstagerne i særdeleshed, samtykke, lovlig behandling af personoplysninger og ikke mindst de databeskyttelsesansvarlige opgaver og behandling af personoplysninger i forbindelse med beskæftigelse (1).

3.6.

Desuden fremhævede EØSU fysiske eller juridiske personers ret til at udtrykke deres samtykke hvad angår deres personoplysninger. I sin udtalelse TEN/631 om Beskyttelse af personoplysninger giver EØSU udtryk for den holdning, at brugerne bør »informeres, uddannes og være forsigtige, for når de én gang har givet deres samtykke, kan leverandøren bearbejde indholdet og metadataene yderligere for at opnå så mange handlemuligheder og så stor fortjeneste som muligt (…) Uddannelse af brugerne i at gøre brug af deres rettigheder bør ligesom anonymisering og kryptering være prioriterede mål i forbindelse med denne forordning [forordning om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med elektronisk kommunikation]« (2).

3.7.

EØSU støtter oprettelsen af ét enkelt paneuropæisk regelsæt, der vil gælde fra maj 2018, i stedet for de nuværende 28 nationale lovgivninger. Den nyligt etablerede one-stop-shop-mekanisme vil sikre, at en enkelt databeskyttelsesmyndighed vil være ansvarlig for overvågningen af en EU-virksomheds grænseoverskridende databehandlingsaktiviteter. Det sikres således, at de ny regler fortolkes ensartet. I grænseoverskridende sager med inddragelse af flere nationale databeskyttelsesmyndigheder, vil der navnlig blive truffet en enkelt afgørelse for at sikre fælles løsninger på fælles problemer. EØSU håber, at de nye procedurer ikke blot sikrer en ensartet fortolkning, men også det højest mulige niveau for databeskyttelse.

3.8.

EØSU noterer sig, at meddelelsen og dens vigtigste forslag hilses velkommen af Digital Europe, som er den organisation, der repræsenterer den digitale teknologibranche i Europa (3).

Cloudcomputings voksende indtrængning skaber nye og komplekse udfordringer, som uvægerligt vil udvikle sig på grund af hastige teknologiske forandringer. Lovgivningen må tilpasses, så den kan bringes i overensstemmelse med den teknologiske udvikling og markedsudviklingen.

4.1.

Afgørelser om tilstrækkeligheden af beskyttelsesniveauet truffet af Kommissionen er i øjeblikket det rette instrument til at sikre databeskyttelse for EU-borgere i forhold til andre lande og enheder, både statslige og private. De er også et nyttigt instrument til at tilskynde tredjelande til at efterstræbe et tilsvarende beskyttelsesniveau for deres egne borgere, og det bør være det foretrukne redskab til at beskytte udvekslingen af personoplysninger.

4.2.

EØSU finder de fire nøglekriterier (4), som Kommissionen skal tage hensyn til ved vurderingen af, med hvilke lande der bør indledes en dialog om tilstrækkeligheden, både velafbalancerede og rimelige. Det er dog vigtigt at fortolke disse kriterier i lyset af en reel forpligtelse fra regeringer, parlamenter og domstole i disse lande til at nå op på et tilsvarende og funktionelt niveau for beskyttelse af personoplysninger.

4.3.

EØSU opfordrer til større gennemsigtighed og deltagelse i processen med at træffe afgørelser om tilstrækkeligheden af beskyttelsesniveauet. Repræsentanter for erhvervslivet, især SMV'er, må inddrages og konsulteres sammen med forbrugerbeskyttelsesgrupper og civilsamfundsorganisationer. EØSU er rede til at befordre høringsprocessen.

4.4.

EØSU bifalder den dialog, som Kommissionen har indledt med vigtige handelspartnere i Øst- og Sydøstasien, herunder Japan og Korea og eventuelt Indien, sammen med lande i Latinamerika og lande, der er omfattet af den europæiske naboskabspolitik, og som har udtrykt interesse i at opnå en »afgørelse af tilstrækkeligheden af beskyttelsesniveauet«.

4.5.

EØSU mener, at et delvist tilstrækkeligt beskyttelsesniveau for visse lande, hvilket vil inkludere nogle sektorer og områder, er problematisk, fordi det ikke sikrer tilstrækkelige og konsekvente forfatningsmæssige, proceduremæssige og institutionelle garantier for beskyttelse af personoplysninger. Et delvist tilstrækkeligt beskyttelsesniveau kan være et nyttigt mellemtrin, hvor EU og de respektive lande finder et fælles grundlag og koordinerer indsatsen. Målet er på længere sigt at nå frem til en mere solid og omfattende aftale på grundlag af eksisterende rammer i alle de berørte lande (5).

4.6.

EØSU bifalder bestræbelserne på at skabe en sund og funktionel bilateral ramme med USA. Den nyligt vedtagne beslutning om EU's og USA's værn om privatlivets fred, der erstatter Safe Harbor-rammen mellem EU og USA, er et skridt fremad. Den er imidlertid begrænset i omfang, da den er baseret på frivillig tilslutning og udelader et stort antal amerikanske organisationer.

4.7.

EØSU håber, at Kommissionen, Rådet, medlemsstaternes nationale regeringer og parlamenter og den amerikanske regering og kongres vil tage vel imod forslagene i Europa-Parlamentets beslutning af 6. april 2017 om tilstrækkeligheden af EU's og USA's værn om privatlivets fred. Europa-Parlamentet giver udtryk for alvorlige bekymringer i sin beslutning, herunder frygt for, at aftalen og den nuværende amerikanske lovramme ikke i praksis beskytter EU-borgernes rettigheder (6).

4.8.

Flere civilsamfundsgrupper fra EU og USA udtrykte lignende bekymringer (7). EØSU opfordrer alle EU-institutionerne til at notere sig disse bekymringer.

4.9.

Skønt udvalget anerkender Kommissionens ønske om at skabe en ny dynamik, bemærkes det, at dens forslag opretholder retsusikkerheden for personer, hvis rettigheder er blevet krænket. Flere aspekter bidrager til dette:

4.10.

Overvågning efter vedtagelsen af en afgørelse om tilstrækkeligheden af beskyttelsesniveauet er afgørende for at sikre, at aftalerne fungerer i praksis. På grund af de hurtige teknologiske fremskridt og den fortsatte udvidelse af ITC-infrastrukturen er der behov for tæt myndighedstilsyn og overvågning. Selv om afgørelser om tilstrækkeligheden af beskyttelsesniveauet vurderes hvert fjerde år (jf. artikel 45, stk. 3, i den generelle forordning om databeskyttelse (GDPR)) anbefaler EØSU en permanent kontakt mellem Kommissionen, databeskyttelsesmyndighederne og offentlige myndigheder i tredjelande for at identificere nye udfordringer i et meget dynamisk, teknologisk og økonomisk miljø.

4.11.

EØSU opfordrer Kommissionen til at samarbejde med interessenter om at udvikle alternative mekanismer til overførsel af personoplysninger, der er tilpasset specifikke industriers, forretningsmodellers og/eller operatørers særlige behov eller betingelser.

4.12.

EØSU mener, at fremme af standarder for databeskyttelse gennem multilaterale instrumenter bør være en prioritet for Kommissionen, og at denne indsats bør støttes med ressourcer.

4.13.

Europarådets konvention nr. 108 af 1981 med tillægsprotokollen af 1999 er det eneste bindende multilaterale instrument inden for databeskyttelse. Instrumentet bør videreudvikles, og flere tredjelande bør opfordres til at tilslutte sig.

4.14.

Den multilaterale indsats inden for OECD, G20 og APEC bør videreudvikles med henblik på at opbygge et virkelig globalt multilateralt system for databeskyttelse. Samarbejdet med FN's særlige rapportør om retten til privatlivets fred skal være solidt og funktionelt.

4.15.

Forbedring af samarbejdet med relevante myndigheder for beskyttelse af privatlivets fred på nationalt plan og tilsynsmyndigheder i tredjelande bør være en prioritet. Selv om det ikke skaber juridisk bindende forpligtelser, kan OECD's Global Privacy Enforcement Network (GPEN) fremme lovhåndhævelsessamarbejdet ved at dele bedste praksis for at tackle grænseoverskridende udfordringer og støtte fælles håndhævelsesinitiativer og oplysningskampagner (8).

4.16.

Hvad angår udveksling af personoplysninger som led i forebyggelse, efterforskning og retsforfølgelse af strafbare handlinger, er EØSU en stærk tilhænger af at skabe robuste databeskyttelsesgarantier, men udvalget er også åbent for indførelse af afgørelser om tilstrækkeligheden af beskyttelsesniveauet på det strafferetlige håndhævelsesområde. Databeskyttelse og forebyggelse, efterforskning og retsforfølgelse af strafbare handlinger, herunder cyberkriminalitet og terrorisme, må gå hånd i hånd.

4.17.

Paraplyaftalen om databeskyttelse mellem EU og USA, der blev indgået i december 2016, er et godt eksempel på, hvordan databeskyttelsesrettigheder og -forpligtelser i overensstemmelse med gældende EU-ret kan indbygges i bilaterale aftaler. De samme procedurer kan også fungere på andre politikområder, såsom konkurrencepolitik og forbrugerbeskyttelse. EØSU opfordrer Kommissionen til at undersøge mulighederne for at indgå tilsvarende rammeaftaler med EU's vigtige retshåndhævende partnere.

4.18.

Udvalget ser frem til resultaterne af den første årlige gennemgang af EU's og USA's værn om privatlivets fred i år og håber, at det vil være en grundig og deltagerorienteret proces. EØSU håber, at både EU og USA fortsat vil være indstillet på at samarbejde om at opnå et højere niveau for beskyttelse af personoplysninger.