EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52012XX0511(01)

Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om lovgivningsforslag om alternativ tvistbilæggelse og onlinetvistbilæggelse i forbindelse med tvister på forbrugerområdet

OJ C 136, 11.5.2012, p. 1–4 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

11.5.2012   

DA

Den Europæiske Unions Tidende

C 136/1


Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om lovgivningsforslag om alternativ tvistbilæggelse og onlinetvistbilæggelse i forbindelse med tvister på forbrugerområdet

2012/C 136/01

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16,

under henvisning til Den Europæiske Unions charter om grundlæggende rettigheder, særlig artikel 7 og 8,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1),

under henvisning til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger, særlig artikel 41 (2)

VEDTAGET FØLGENDE UDTALELSE:

I.   INDLEDNING

I.1.   Høring af den tilsynsførende og formål med udtalelsen

1.

Den 29. november 2011 vedtog Kommissionen to lovgivningsforslag om alternativ konfliktløsning (i det følgende benævnt »forslagene«):

Europa-Parlamentets og Rådets forslag til direktiv om alternativ tvistbilæggelse i forbindelse med tvister på forbrugerområdet (i det følgende benævnt »ATB-forslaget«) (3);

Forslag til forordning om onlinetvistbilæggelse i forbindelse med tvister på forbrugerområdet (i det følgende benævnt »OTB-forslaget«) (4)

2.

Den 6. december 2011 modtog den tilsynsførende ATB-forslaget og OTB-forslaget til høring. Den tilsynsførende var også blevet hørt uformelt inden vedtagelsen af forslagene og har fremsat uformelle bemærkninger. Den tilsynsførende hilser denne tidlige høring samt det forhold velkommen, at de fleste af henstillingerne i disse bemærkninger er blevet medtaget i forslagene.

3.

Den foreliggende udtalelse har til formål at analysere den behandling af personoplysninger, som forslagene lægger op til, og at gøre rede for, hvordan de forholder sig til databeskyttelsesspørgsmål. Den vil fokusere på OTB-forslaget, idet det bevirker en centraliseret behandling af personoplysninger, der vedrører tvister via en onlineplatform.

I.2.   Forslagenes målsætninger

4.

Alternative tvistbilæggelsesordninger (ATB) tilvejebringer en alternativ måde at bilægge tvister på, der normalt er mindre omkostningskrævende og hurtigere end at gå rettens vej. Med ATB-forslaget skal det sikres, at disse instanser er på plads i alle EU's medlemsstater, således at alle grænseoverskridende tvister på forbrugerområdet, som opstår i forbindelse med salg af varer eller levering af tjenesteydelser i EU, kan løses.

5.

OTB-forslaget bygger videre på denne tilgængelighed af ATB for tvister på forbrugerområdet i hele EU. Det opretter en onlineplatform (i det følgende benævnt »OTB-platformen«), som giver forbrugere og erhvervsdrivende mulighed for at indgive klager om grænseoverskridende onlinetransaktioner til den kompetente ATB-instans.

II.   GENERELLE BEMÆRKNINGER

6.

Den tilsynsførende støtter sigtet med forslagene og er tilfreds med, at der er taget hensyn til principperne for databeskyttelse lige fra den allerførste fase af forslagsprocessen.

7.

Den tilsynsførende glæder sig ligeledes over henvisningerne til anvendelsen af databeskyttelseslovgivningen i OTB-forslaget (5) og over anvendelsen af national lovgivning til gennemførelse af direktiv 95/46/EF inden for rammerne af ATB-forslaget (6), samt over henvisningerne til høringen af den tilsynsførende (7).

III.   SÆRLIGE BEMÆRKNINGER

III.1.   De registeransvarliges rolle: Behov for en klar tilførsel af ansvarsområder

8.

Ifølge OTB-forslaget vil oplysningerne blive behandlet af tre typer aktører i forbindelse med den enkelte tvist, der indgives via OTB-platformen:

ATB-instanser

OTB-formidlere, der yder støtte til bilæggelse af tvister, der indgives via OTB-platformen (8);

Kommissionen.

I henhold til artikel 11, stk. 4, skal hver enkelt af disse formidlere betragtes som registeransvarlig med hensyn til databehandlingsaktiviteter, der vedrører deres egne ansvarsområder.

9.

Mange af disse registeransvarlige vil imidlertid kunne betragtes som ansvarlige for behandlingen af de samme personoplysninger (9). F.eks. kan oplysninger i forbindelse med en særlig tvist, der indgives via OTB-platformen, undersøges af flere OTB-formidlere og af den kompetente ATB-ordning, der vil tage sig af tvisten. Kommissionen kan også behandle disse personoplysninger i det omfang det er nødvendigt for OTB-platformens drift og vedligeholdelse.

10.

I den henseende glæder den tilsynsførende sig over, at det i betragtning 20 i OTB-forslaget anføres, at databeskyttelseslovgivningen finder anvendelse på alle disse aktører. Imidlertid bør lovgivningsdelen i OTB-forslaget som et minimum specificere, hvilken af de registeransvarlige de registrerede bør henvende sig til med deres anmodninger om aktindsigt, berigtigelse, blokering og sletning, og hvilken registeransvarlig, der vil være ansvarlig for specifikke overtrædelser af databeskyttelseslovgivningen (f.eks. for sikkerhedsovertrædelser). Dataregistrerede bør også informeres herom.

III.2.   Begrænsning i retten til indsigt og henliggefrist

11.

I henhold til artikel 11 i OTB-forslaget er adgang til personoplysninger, der behandles via OTB-platformen begrænset til:

den kompetente ATB-instans med hensyn til bilæggelse af tvisten

OTB-formidlere til støtte for bilæggelse af tvisten (f.eks. for at lette kommunikationen mellem parterne og den relevante ATB-instans eller for at informere forbrugere om andre klagemuligheder end OTB-platformen)

Kommissionen, i det omfang det er nødvendigt for OTB-platformens drift og vedligeholdelse, herunder med henblik på tilsyn med ATB-instansers og OTB-formidleres brug af platformen (10).

12.

Den tilsynsførende hilser begrænsningerne i formålet og adgangsrettighederne velkommen. Det står imidlertid ikke klart, om alle OTB-formidlere (mindst 54) vil have adgang til personoplysninger i forbindelse med alle tvister. Den tilsynsførende anbefaler, at det præciseres, at en OTB-formidler kun vil have adgang til de oplysninger, der er nødvendige for, at dennes forpligtelser i henhold til artikel 6, stk. 2, overholdes.

13.

For så vidt angår henliggefristen, glæder den tilsynsførende sig over artikel 11, stk. 3, som kun giver mulighed for opbevaring af personoplysninger, så længe det er nødvendigt for at bilægge tvisten og for at sikre, at de registrerede kan få adgang til deres personoplysninger. Han er ligeledes positiv over for forpligtelsen til automatisk at slette oplysningerne senest seks måneder efter datoen for tvistens afslutning.

III.3.   Behandling af særlige kategorier af oplysninger: eventuelt behov for forudgående kontrol

14.

Med tanke på formålet med forslagene kan det forekomme, at der vil blive behandlet personoplysninger i forbindelse med påståede overtrædelser. Der kan ligeledes behandles helbredsoplysninger i forbindelse med tvister, som opstår i forbindelse med salg af varer eller levering af sundhedsydelser.

15.

Behandling af personoplysninger inden for rammerne af OTB-platformen kan derfor blive underlagt forudgående kontrol af nationale databeskyttelsesmyndigheder og af den tilsynsførende, som krævet i artikel 27 i forordning (EF) nr. 45/2001 og artikel 20 i direktiv 95/46/EF (11). Den tilsynsførende forstår, at Kommissionen er klar over nødvendigheden af, inden OTB-platformen bliver operationel, at vurdere, om behandlingen skal være omfattet af en forudgående kontrol.

III.4.   Den tilsynsførende bør høres om delegerede retsakter og gennemførelseslove i forbindelse med klageformularen

16.

De oplysninger, der skal indgives, når den elektroniske klageformular udfyldes (i det følgende benævnt »formularen«) er specificeret i bilaget til OTB-forslaget. De omfatter parternes personoplysninger (navn, adresse og eventuelt e-mail og netsted) og oplysninger til fastlæggelse af, hvilken ATB-instans, der er kompetent for behandlingen af den relevante tvist (forbrugerens bopæl på det tidspunkt, hvor varerne eller tjenesteydelserne blev bestilt, hvilken form for varer eller tjenesteydelser, der er tale om, osv.).

17.

Den tilsynsførende glæder sig over artikel 7, stk. 6, i henhold til hvilken kun data, der er nøjagtige, relevante og ikke for omfattende, kan behandles ved hjælp af formularen og dens bilag. Listen over de oplysninger, der er indeholdt i bilaget, tager ligeledes hensyn til formålsbegrænsningsprincippet.

18.

Denne liste kan imidlertid ændres ved delegerede retsakter, og retningslinjerne for formularen vil blive reguleret via gennemførelsesretsakter (12). Den tilsynsførende anbefaler, at der medtages en henvisning til behovet for at høre den tilsynsførende, så længe disse retsakter vedrører behandlingen af personoplysninger.

III.5.   Sikkerhedsforanstaltninger: behovet for en konsekvensanalyse vedrørende tavshedspligt

19.

Den tilsynsførende ser positivt på bestemmelserne om datafortrolighed og -sikkerhed. De i artikel 12 i OTB-forslaget indeholdte sikkerhedsforanstaltninger omfatter adgangskontrol, en sikkerhedsplan og håndtering af brud på it-sikkerheden.

20.

Den tilsynsførende anbefaler, at der tilføjes en henvisning til behovet for at gennemføre en konsekvensvurdering af tavshedspligten (herunder en risikovurdering) og til, at overholdelsen af databeskyttelseslovgivningen og datasikkerheden bør revideres og indberettes med regelmæssige mellemrum.

21.

Derudover vil den tilsynsførende gerne minde om, at udviklingen af it-værktøjer til oprettelse af OTB-platformen også bør integrere datafortrolighed og –sikkerhed lige fra den allerførste fase (indbygget datasikkerhed eller »privacy by design«), herunder gennemførelsen af værktøjer, der gør brugerne bedre i stand til at beskytte personoplysninger (som f.eks. autorisering og kryptering).

III.6.   Information til de registrerede

22.

Den tilsynsførende glæder sig over betragtning 21 i OTB-forslaget i henhold til hvilken registrerede bør underrettes om behandlingen af deres personoplysninger og om deres rettigheder ved hjælp af en offentlig tilgængelig meddelelse om databeskyttelse. Imidlertid bør pligten til at underrette registrerede ligeledes medtages i lovgivningsdelen af OTB-forslaget.

23.

Desuden bør registrerede også underrettes om, hvilken registeransvarlig, der er ansvarlig for overholdelsen af deres rettigheder. Meddelelsen om databeskyttelse bør være klart synlig for enhver, der udfylder formularen.

IV.   KONKLUSION

24.

Den tilsynsførende glæder sig over, at der er medtaget principper for databeskyttelse i teksten, navnlig vedrørende formålet og adgangsbegrænsning, begrænsning af henliggefristen og sikkerhedsforanstaltningerne. Han henstiller imidlertid følgende:

ansvarsområderne for de dataansvarlige præciseres, og de registrerede underrettes herom

begrænsningen af adgangsrettigheder præciseres

bestemmelserne om sikkerhed suppleres

behovet for at høre den tilsynsførende om delegerede retsakter og gennemførelsesretsakter vedrørende behandling af personoplysninger bør nævnes.

25.

Den tilsynsførende vil også gerne minde om, at behandlingen af personoplysninger i forbindelse med OTB-platformen kan være omfattet af den tilsynsførendes og nationale databeskyttelsesmyndigheders forudgående kontrol.

Udfærdiget i Bruxelles, den 12. januar 2012.

Giovanni BUTTARELLI

Europæisk assisterende tilsynsførende for databeskyttelse


(1)  EFT L 281 af 23.11.1995, s. 31.

(2)  EFT L 8 af 12.1.2001, s. 1.

(3)  KOM(2011) 793 endelig.

(4)  KOM(2011) 794 endelig.

(5)  Betragtning 20 og 21 og artikel 11, stk. 4, i OTB-forslaget.

(6)  Betragtning 16 i ATB-forslaget.

(7)  Præambler og begrundelser til forslagene.

(8)  Hver medlemsstat skal udpege et kontaktpunkt for OTB, der vil være vært for mindst to OTB-formidlere. Kommissionen vil etablere et netværk af OTB-kontaktpunkter.

(9)  Se også artikel 29 i arbejdsgruppens udtalelse 1/2010 om begreberne »registeransvarlig« og »registerfører«, vedtaget den 16. februar 2010 (WP 169), s. 17-24, findes på http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_da.pdf

(10)  Se artikel 11, stk. 2, i OTB-forslaget.

(11)  I henhold til artikel 27 i forordning (EF) nr. 45/2001 skal behandling af »personoplysninger om helbredsforhold og om mistanke om strafbare forhold, lovovertrædelser, domfældelser i straffesager og andre retsfølger af strafbare handlinger« omfattes af den tilsynsførendes forudgående kontrol. I henhold til artikel 20, stk. 1, i direktiv 95/46/EF skal behandlinger, der kan indebære særlige databeskyttelsesrisici, som præciseret af national databeskyttelseslovgivning, være omfattet af den nationale databeskyttelsesmyndigheds forudgående kontrol.

(12)  Betragtning 23-24 og artikel 7, stk. 4 og 5, i OTP-forslaget.


Top