Beretning fra Kommissionen - Første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF) /* KOM/2003/0265 endelig udg. */
BERETNING FRA KOMMISSIONEN - Første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF) INDHOLDSFORTEGNELSE 1. Grundlaget for beretningen og den åbne høring om gennemførelsen af direktiv 95/46/EF 2. Den åbne gennemgang forud for udarbejdelsen af beretningen 3. De væsentligste resultater af gennemgangen 4. Detaljeret beskrivelse af de væsentligste konstateringer ved gennemgangen 5. Behandling af lyd- og billeddata 6. arbejdsprogram for en bedre gennemførelse af databeskyttelsesdirektivet (2003-2004) 7. Konklusion 1. Grundlaget for beretningen og den åbne høring om gennemførelsen af direktiv 95/46/EF "Kommissionen forelægger med jævne mellemrum, første gang senest tre år efter det i artikel 32, stk. 1, nævnte tidspunkt, Europa-Parlamentet og Rådet en beretning om anvendelsen af dette direktiv, eventuelt ledsaget af passende ændringsforslag." (Artikel 33 i direktiv 95/46/EF) Denne beretning er Kommissionens svar på ovenstående forpligtelse. Kommissionen har udsat udarbejdelsen af beretningen med 18 måneder på grund af medlemsstaternes sene gennemførelse af direktivet i deres respektive nationale lovgivninger. [1] [1] Kommissionen besluttede i december 1999 at anlægge sag mod Frankrig, Tyskland, Irland, Luxembourg og Nederlandene ved De Europæiske Fællesskabers Domstol, fordi de ikke havde givet meddelelse om alle de nødvendige foranstaltninger til gennemførelse af direktiv 95/46. I 2001 gav Nederlandene og Tyskland meddelelse, hvorefter Kommissionen afsluttede proceduren mod disse lande. Frankrig gav meddelelse om sin databeskyttelseslov af 1978, og Kommissionen afsluttede således også proceduren for manglende notifikation mod denne medlemsstat. Frankrig meddelte samtidig, at man agtede at gennemføre en ny lov, som endnu ikke er vedtaget. Luxembourg blev som følge af Kommissionens sagsanlæg dømt af Domstolen for ikke at have opfyldt sine forpligtelser. Direktivet blev herefter gennemført i kraft af en ny lov, der trådte i kraft i 2002. Irland meddelte en delvis gennemførelse i 2001, og en fuldstændig lovgivning er for nylig blevet vedtaget. En oversigt over medlemsstaternes gennemførelse af direktivet findes på http://europa.eu.int/comm/internal_market/ en/dataprot/law/impl.htm Kommissionen har udarbejdet denne beretning ud fra et bredt perspektiv. Den er gået længere end til blot at gennemgå medlemsstaternes gennemførelsesretsakter, idet den desuden har opfordret til åben debat med bred deltagelse af alle berørte parter. Denne fremgangsmåde er ikke blot på linje med Kommissionens principper om nye styreformer i EU som fastsat i dens hvidbog af juli 2001 [2], den skyldes for det første også, at direktiv 95/46 er meget specifikt, og for det andet den meget hurtige teknologiske udvikling inden for informationssamfundet og den øvrige internationale udvikling, som har medført væsentlige ændringer, siden direktivet blev udarbejdet i 1995. [2] KOM(2001) 428 endelig: http://europa.eu.int/eur-lex/en/com/cnc/ 2001/com2001_0428en01.pdf 1.1. Et direktiv med virkninger over et bredt spektrum Direktiv 95/46 afspejler to af de ældste ambitioner med det europæiske integrationsprojekt, nemlig dannelsen af et indre marked (i dette tilfælde den fri bevægelighed af personoplysninger) og beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder. Begge målsætninger tillægges lige stor betydning i direktivet. Ud fra et retligt synspunkt tager direktivet dog udgangspunkt i bestemmelserne om det indre marked. Det var nødvendigt at indføre retsforskrifter på EU-niveau, fordi medlemsstaternes forskellige måder at anskue dette område på forhindrede den fri bevægelighed af personoplysninger mellem medlemsstaterne [3]. Det havde således hjemmel i traktatens artikel 100 A (nu artikel 95). Europa-Parlamentets, Rådets og Kommissionens proklamering af Den Europæiske Unions Charter om Grundlæggende Rettigheder [4] i december 2000, særlig artikel 8, der indfører retten til databeskyttelse, har dog givet direktivets beskyttelse af de grundlæggende rettigheder ekstra betydning. [3] Se KOM(90) 314 endelig udg. - SYN 287 og 288 af 13.9.1990, side 4: "Forskellene i medlemsstaternes lovgivning og mangelen på et beskyttelsessystem på fællesskabsplan udgør en hindring for virkeliggørelsen af det indre marked. Hvis de registrerede personers grundlæggende rettigheder, specielt retten til privatlivets fred, ikke er beskyttet på EF-plan, vil informationsstrømmen på tværs af landegrænserne reelt blive hindret ..." [4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html Direktivet har desuden i kraft af sin natur et meget bredt virkefelt. Alle fysiske personer kan således betragtes som registrerede og alle i enhver sektor af økonomien kan betragtes som registeransvarlige. Selv om direktivets retlige begrundelse således er meget specifikt, har det meget udstrakte virkninger, hvilket der skal tages behørigt hensyn til ved undersøgelsen af dets gennemførelse. 1.2. Informationsteknologiens udvikling og de øgede sikkerhedsproblemer har skærpet debatten om databeskyttelse Der har siden direktivets vedtagelse i 1995 været en eksponentiel vækst i antallet af husholdninger og virksomheder, der er koblet til internet, og således i antallet af personer, der efterlader en stigende mængde personoplysninger af enhver art på internet. Samtidig er midlerne til indsamling af personoplysninger blevet mere og mere sofistikerede og vanskeligere at opdage: lukkede tv-systemer til overvågning af offentlige steder, spionsoftware, der installeres i pc'en af de websteder, hvortil den har været tilkoblet, og som indsamler oplysninger om brugerens søgeadfærd, som webstederne ofte sælger til andre; eller overvågning af de ansatte, herunder deres anvendelsen af e-post og internet, på arbejdspladsen. Denne "dataeksplosion" rejser nødvendigvis spørgsmålet om, hvorvidt lovgivningen er på fuld højde med en række af disse udfordringer, særlig den traditionelle lovgivning, der har et begrænset geografisk anvendelsesområde, og som er underlagt fysiske grænser, som internet i stigende grad gør uhensigtsmæssige [5]. [5] Det konkluderes i rapporten "Future bottlenecks in the information society", der blev udarbejdet af Europa-Kommissionens Fælles Forskningscenter og Instituttet for Teknologiske Fremtidsstudier, at der er opstået flere områder, som direktivets bestemmelser ikke umiddelbart kan finde anvendelse på, og at det derfor kan være nødvendigt i fremtiden at foretage ændringer af direktivet. Det konstateres endvidere i rapporten, at "selv om direktivet er gennemført i alle medlemsstater, findes der en stigende bekymring i befolkningen med hensyn til misbrugen af personoplysninger inden for online-informationssystemer". Den dokumentation, der er blevet indsamlet i forbindelse med udarbejdelsen af nærværende beretning, bekræfter også denne konklusion. http://www.jrc.es/ FutureBottlenecksStudy.pdf Især som et svar på den teknologiske udvikling blev principperne i direktiv 95/46/EF omsat til særregler for telesektoren i kraft af Europa-Parlamentets og Rådets direktiv 97/66/EF af 15. december 1997 om behandling af personoplysninger og beskyttelse af privatlivets fred inden for telesektoren [6]. Direktiv 97/66/EF blev opdateret i kraft af direktiv 2002/58/EF af 12. juli 2002 om privatlivets fred i den elektroniske kommunikationssektor [7] for at tage højde for markedsudviklingen og den teknologiske udvikling inden for elektroniske kommunikationstjenester, herunder internet, for at sikre den samme beskyttelse af personoplysninger og privatlivets fred, uanset hvilken teknologi der anvendes. [6] EFT L 24 af 30.1.1998, s. 1-8. [7] EFT L 201 af 31.7.2002, s. 37-47. Medlemsstaterne har indtil den 31. oktober 2003 til at gennemføre det nye direktiv i deres nationale lovgivning. Fremkomsten af en videnbaseret økonomi kombineret med den teknologiske udvikling og den stadig større rolle, der tilskrives den menneskelige kapital, har intensiveret indsamlingen af arbejdstagernes personoplysninger i et ansættelsesforhold. Denne udvikling har givet anledning til en del bekymring og en række risici samt sat fokus på behovet for en effektiv beskyttelse af arbejdstagernes personoplysninger. Kommissionen konstaterede i sit høringsdokument for anden fase, der blev fremsendt til arbejdsmarkedets parter i Europa i oktober 2002, at der er grundlag for lovgivningsmæssige tiltag på EU-plan under traktatens artikel 137, stk. 2, med henblik på at forbedre arbejdsforholdene ved at etablere et europæisk sæt af principper og regler på dette område. Kommissionen overvejer løbende, hvorledes der skal følges op på denne høring, og den agter at træffe afgørelse i denne henseende inden udgangen af 2003. Det er hensigten, at et sådant europæisk sæt af principper og regler skal bygge på de eksisterende generelle principper i direktiv 95/46/EF, idet disse principper suppleres og præciseres nærmere for ansættelsesforhold. Hvad angår forbrugerkredit har Kommissionen i sit forslag til Europa-Parlamentets og Rådets direktiv om harmonisering af medlemsstaternes love og administrative bestemmelser om forbrugerkredit [8] foreslået en række særlige bestemmelser om databeskyttelse med henblik at styrke forbrugerbeskyttelsen yderligere. [8] KOM(2002) 443 endelig af 11.9.2002. Samtidig har den øgede opmærksomhed omkring sikkerhed, særlig som følge af begivenhederne den 11. september 2001, givet de borgerlige frihedsrettigheder generelt og især retten til beskyttelse af personoplysninger og privatlivets fred svære betingelser. Dette er hverken nyt eller overraskende. Den Europæiske Menneskerettighedsdomstol fandt det således allerede i 1978 nødvendigt at udsende følgende erklæring: "Staterne må ikke (...) som led i kampen mod spionage og terrorisme vedtage en hvilken som helst foranstaltning, som de finder nødvendig, (...) faren er, at sådanne bestræbelser kan underminere eller endog ødelægge det demokrati, som man forsøger at beskytte". [9] [9] Dom i sagen Klass oa. mod Tyskland, 6.9.1978, Serie A, nr. 28. Direktivet finder naturligvis ikke anvendelse på behandlingen af personoplysninger i forbindelse med de såkaldte "tredje søjle-"aktiviteter [10], og databeskyttelsen på dette område er derfor ikke omfattet af denne beretning. Medlemsstaternes lovgivning opererer dog ofte ikke med en tilsvarende sondring. Det rejser en række spørgsmål og medfører en række problemer, som især Europa-Parlamentet har påpeget, og som kræver yderligere drøftelser. [10] Ifølge artikel 3, stk. 2, første led, gælder direktivet ikke for "aktiviteter, der ikke er omfattet af fællesskabsretten (...) og under ingen omstændigheder for behandling, der vedrører den offentlige sikkerhed, forsvar, statens sikkerhed (herunder statens økonomiske interesser, når behandlingen er forbundet med spørgsmål vedrørende statens sikkerhed) og statens aktiviteter på det strafferetlige område". 2. Den åbne gennemgang forud for udarbejdelsen af beretningen Kommissionen forsøgte på baggrund af ovenstående at skabe en åben debat med en så bred deltagelse som mulig til støtte for sin gennemgang af direktivets gennemførelse. Alle interesserede parter - regeringer, institutioner, virksomheds- og forbrugerorganisationer og endog individuelle virksomheder og borgere - har haft mulighed for at deltage og give udtryk for deres mening [11]. Kommissionen betragter denne proces som positiv. Det har givet Kommissionen et meget bedre grundlag for udarbejdelsen af denne beretning og for de henstillinger om fremtidige tiltag, som den fremsætter. Det har også bekræftet den ændrede holdning, der allerede kunne spores blandt registeransvarlige generelt [12] og repræsentanter for erhvervslivet især: De registeransvarlige bidrager nu konstruktivt til dialogen om, hvorledes man sikrer en effektiv beskyttelse af personoplysninger, i stedet for direkte at modsætte sig enhver regulering på dette område. [11] Kommissionen har sendt spørgsmål til medlemsstaternes regeringer og separat til tilsynsmyndighederne; den har bestilt to ekspertundersøgelser; den har udsendt en generel opfordring til at komme med bidrag, der er blevet offentliggjort i Den Europæiske Unions Tidende og på Kommissionens websted; den har lagt to spørgeskemaer ud på sit websted i over to måneder, hvoraf det ene henvendte sig til de registeransvarlige, det andet til de registrerede; den har arrangeret en international konference, hvor en lang række forskellige emner blev drøftet i seks forskellige workshops. [12] Selv om der i denne beretning henvises til de registeransvarlige som "industrien" eller "repræsentanter for erhvervslivet" (fordi det er dem, der har bidraget mest til debatten), er de offentlige myndigheder, der udfører aktiviteter, som er omfattet af fællesskabslovgivningen, også registeransvarlige, hvorfor de også er omfattet af henstillingerne og bemærkningerne i denne beretning. Kommissionen beklager derimod, at forbrugerorganisationerne kun i begrænset omfang har bidraget til høringsprocessen [13]. [13] Kun den europæiske forbrugerorganisation BEUC fremlagde et positionspapir, hvor organisationen som svar til de, der mener, at det er nødvendigt at tilpasse direktivet til online-teknologiens behov, gjorde gældende, at det efter deres mening tværtimod er nødvendigt at tilpasse online-teknologien, således at den er i fuld overensstemmelse med direktivets principper Denne beretning er en sammenfatning af Kommissionens konstateringer i lyset af de oplysninger, som den har indsamlet, og dens henstillinger med hensyn til eventuelle tiltag. Kommissionen betragter dog kun dette som første fase i en længere proces. 3. De væsentligste resultater af gennemgangen 3.1. For og imod en ændring af direktivet Kommissionen er af den opfattelse, at resultaterne af gennemgangen i det store hele taler imod at foreslå ændringer af direktivet på nuværende tidspunkt. Kun nogle enkelte respondenter har i løbet af høringerne udtalt sig udtrykkeligt til fordel for en ændring af direktivet. Den væsentligste undtagelse var de detaljerede ændringsforslag, som blev fremlagt i fællesskab af Østrig, Sverige, Finland og Det Forenede Kongerige [14]. Disse ændringsforslag vedrørte kun et begrænset antal bestemmelser (bl.a. artikel 4 om gældende national ret, artikel 8 om følsomme oplysninger, artikel 12 om retten til indsigt, artikel 18 om anmeldelsespligt og artikel 25 og 26 om videregivelse til tredjelande), således at de fleste bestemmelser og alle principperne i direktivet forblev urørt. De specifikke problemer i forbindelse med disse og en række andre bestemmelser vil blive behandlet mere detaljeret senere i beretningen. [14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm Nederlandene tilsluttede sig disse forslag på et senere tidspunkt. Kommissionen mener, at det på grundlag af nedenstående generelle betragtninger ikke vil være hensigtsmæssigt på kort sigt at fremsætte forslag til ændring af direktivet: - Man har fortsat kun begrænset erfaring med direktivets gennemførelse. Kun nogle få medlemsstater gennemførte direktivet til tiden. De fleste medlemsstater meddelte først deres gennemførelsesforanstaltninger til Kommissionen i 2000 og 2001, og Irland har endnu ikke meddelt de seneste gennemførelsesbestemmelser. Visse medlemsstater har endnu ikke vedtaget vigtig gennemførelseslovgivning. Dette giver et dårligt erfaringsgrundlag for at foreslå ændringer af direktivet. - En lang række af de problemer, som er blevet fremhævet i forbindelse med gennemgangen, kan behandles og løses uden at ændre direktivet. I visse tilfælde, hvor problemerne skyldes en ukorrekt gennemførelse af direktivet, kan disse løses ved at foretage specifikke ændringer af den pågældende medlemsstats lovgivning. I andre tilfælde tillader det råderum, som direktivet giver, et tættere samarbejde mellem tilsynsmyndighederne med henblik på at opnå den konvergens, som er nødvendig for at løse de problemer, der skyldes for store forskelle i medlemsstaternes praksis. Sådanne foranstaltninger vil under alle omstændigheder kunne iværksættes hurtigere end en ændring af direktivet, og de bør derfor først udnyttes fuldt ud. - Når de berørte parter har foreslået ændringer, har det ofte været med det formål at gøre det nemmere for de registeransvarlige at overholde de gældende regler. Selv om dette i sig selv er en legitim målsætning og en, som Kommissionen fuldt ud kan tilslutte sig, mener Kommissionen, at mange af forslagene samtidig vil medføre en forringelse af det beskyttelsesniveau, der tilstræbes. Kommissionen mener, at enhver ændring, som eventuelt på sigt kan komme på tale, skal tage sigte på at opretholde det samme beskyttelsesniveau og være i overensstemmelse med de overordnede rammer, som de eksisterende nationale instrumenter udgør [15]. [15] Kommissær Frits Bolkestein gav på det afsluttende møde på konferencen om direktivets gennemførelse udtryk på dette på følgende vis: "Der er med sikkerhed ingen blanke sider, når det drejer sig om at udforme politikken på databeskyttelsesområdet (...). Kommissionen skal ved udarbejdelsen af sin beretning (...) tage berettiget hensyn til de bredere retlige og politiske rammer, især principperne i Europarådets konvention 108". Kommissionen konstaterer på baggrund af drøftelser med medlemsstaterne, at et betydeligt flertal af disse medlemsstater og ligeledes af de nationale tilsynsmyndigheder deler dens opfattelse af, at det på nuværende tidspunkt hverken er nødvendigt eller hensigtsmæssigt at ændre direktivet. Kommissionen vurderer, at en række af de emner, der er dukket op, og som her kun er genstand for en foreløbig analyse, bør behandles nærmere, og at de på sigt kan danne grundlag for et forslag om ændring af direktivet. Et sådant forslag vil kunne tage udgangspunkt i den længere erfaring med direktivets gennemførelse, som man i mellemtiden vil have opnået. Som anført ovenfor er der desuden et stort behov for at forbedre gennemførelsen af det nuværende direktiv på en lang række punkter, således at det er muligt at løse mange af de problemer, som er blevet påpeget i forbindelse med gennemgangen, og som fejlagtigt er blevet tilskrevet selve direktivet. Kommissionen har været og vil fortsat være yderst opmærksom på de områder, hvor der sker tydelige overtrædelser af fællesskabsretten, og hvor divergerende fortolkninger og/eller praksis skaber problemer i det indre marked. Kommissionen betragter det også som en prioritet at sikre en ensartet anvendelse af reglerne om overførsel af oplysninger til tredjelande med henblik på at fremme de legitime overførsler og undgå unødvendige hindringer eller komplicerede regelsæt. 3.2. Overordnet evaluering af direktivets gennemførelse i medlemsstaterne - Problemet med medlemsstaternes divergerende lovgivning Kommissionens tjenestegrene har på grundlag af de indsamlede oplysninger foretaget en gennemgribende analyse af direktivets gennemførelse i de 15 medlemsstater. Medlemsstaternes og de nationale tilsynsmyndigheders samarbejde i denne henseende har været til stor hjælp. De indledende resultater af denne analyse er beskrevet i denne beretning og i et teknisk bilag, som vil blive offentliggjort separat, men det er nødvendigt at fortsætte indsamlingen og analysen af oplysningerne om medlemsstaternes gennemførelse af direktivet i 2003. RESULTATER AF ONLINE-SPØRGESKEMAERNE I juni anbragte Kommissionen ved hjælp af den interaktive online-konsultationsmekanisme for politisk beslutningstagning to spørgeskemaer på sit websted og opfordrede de registrerede (offentlig høring) og de registeransvarlige (målgruppe) til at give deres mening om forskellige aspekter vedrørende databeskyttelse. Da spørgeskemaerne blev lukket ned igen, havde 9156 registrerede og 982 registeransvarlige svaret. De fuldstændige resultater af høringerne findes på http://europa.eu.int/comm/internal_market/ privacy/lawreport/consultation_en.hm Kommissionen finder følgende resultater af særlig interesse: - Selv om databeskyttelsesdirektivet sikrer et højt beskyttelsesniveau, finder et meget stort antal registrerede (4113 ud af 9156 eller 44,9%), at beskyttelsesniveauet er minimalt. - 81% af de fysiske personer var af den opfattelse, at bevidstheden omkring databeskyttelse er enten utilstrækkelig, dårlig eller meget dårlig, mens kun 10,3% fandt den tilstrækkelig, og kun 3,46% fandt den enten god eller meget god. De registeransvarlige havde en næsten tilsvarende negativ opfattelse af borgernes bevidsthed omkring databeskyttelse: De fleste respondenter (30%) fandt borgernes bevidsthed omkring databeskyttelse utilstrækkelig, mens kun 2,95% fandt niveauet meget godt. - Der er nu en større forståelse for databeskyttelsesreglerne inden for erhvervslivet. F.eks. mente 69,1% af respondenterne (registeranvarlige), at kravene til databeskyttelse var nødvendige i vores samfund, mens kun 2,64% betragtede dem som fuldstændig unødvendige, og mente at de skulle afskaffes. - Et stort flertal af de registeransvarlige, der besvarede spørgeskemaet (62,1%), mente ikke, at det var et stort arbejde for deres organisation at besvare forespørgsler fra registrerede, der ønskede adgang til deres personoplysninger. De fleste af de registeransvarlige, der besvarede spørgeskemaet, havde således ingen statistik over sådanne forespørgsler eller havde modtaget færre end 10 forespørgsler i løbet af 2001. Kommissionen erkender, at disse resultater ikke kan betragtes som repræsentative på samme måde som undersøgelsesresultater, der bygger på en videnskabeligt udvalgt gruppe. Kommissionen foreslår at foretage en ny undersøgelse i 2003, både for at teste pålideligheden af resultaterne af det åbne spørgeskema og for at etablere en målestok, i forhold til hvilken det vil være muligt at måle udviklingen af forskellige synspunkter eller indikatorer i fremtiden. Forsinket gennemførelse Gennemførelsen af et direktiv af denne art, det vil sige et direktiv, der giver medlemsstaterne et betragteligt råderum, men som samtidig kræver, at de indfører en betydelig mængde detaljerede bestemmelser, er uden tvivl en kompliceret opgave. De store forsinkelser i mange medlemsstaters gennemførelse af direktivet er dog den første og væsentligste mangel, som Kommissionen har pligt til at påpege for så vidt angår direktivets gennemførelse, og som den helt klart fordømmer. Den har som beskrevet ovenfor naturligvis truffet de relevante foranstaltninger i medfør af traktatens artikel 226. Sikring af den fri bevægelighed af oplysninger Til trods for disse forsinkelser og den mangelfulde gennemførelse har direktivet alligevel opfyldt sin væsentligste målsætning, som er at afskaffe hindringerne for den fri bevægelighed af personoplysninger mellem medlemsstaterne. Den største vanskelighed forud for direktivets vedtagelse opstod således, fordi et lille antal medlemsstater, i modsætning til andre, der allerede havde indført en databeskyttelseslovgivning, ikke havde nogen lovgivning på dette område. I 1995 var det kun Italien og Grækenland, der ikke havde en sådan lovgivning, men disse to medlemsstater var blandt de første til at gennemføre direktivet og således løse det største problem. Kommissionen er siden direktivets vedtagelse ikke blevet gjort opmærksom på nogen sager, hvor overførslen af personoplysninger mellem medlemsstater har været forhindret eller nægtet af hensyn til databeskyttelse. Hindringerne for personoplysningernes fri bevægelighed kan naturligvis være mere subtile end udtrykkelige forbud i den nationale lovgivning eller beslutninger om blokering, truffet af de nationale tilsynsmyndigheder: Der kan f.eks. være tilfælde, hvor en uforholdsmæssig streng regel i en medlemsstat begrænser en ren national behandling af personoplysninger i den pågældende medlemsstat og således også udførslen af disse oplysninger til andre medlemsstater. Selv om Kommissionen i det store hele er tilfreds med direktivets virkning med hensyn til den fri bevægelighed af oplysninger i Fællesskabet, kan yderligere erfaringer med direktivets gennemførelse med andre ord eventuelt vise, om der findes problemer, der bør løses. [16] [16] F.eks. forskelle i databeskyttelsen for juridiske personer. Højt beskyttelsesniveau Som anført i betragtning 10 skal den indbyrdes tilnærmelse af de nationale lovgivninger i henhold til direktivet have til formål at sikre et højt beskyttelsesniveau overalt i Fællesskabet. Kommissionen er af den opfattelse, at dette mål er opnået. Direktivet selv indeholder således nogle af de højeste standarder for databeskyttelse i verden. Resultaterne af online-høringen viser dog, at borgerne har en anden opfattelse i denne henseende. Dette er et paradoks, som der bør ses nærmere på. En foreløbig analyse tyder på, at i det mindste en del af problemet skyldes en ufuldstændig anvendelse af reglerne (jf. afsnittet om håndhævelse, overholdelse og erkendelse). Andre af målsætningerne med det indre marked, der forsømmes Kommissionen har dog valgt at se på de overordnede politikmålsætninger, som søges opnået med bestemmelserne om det indre marked, i et videre perspektiv end blot den fri bevægelighed. Dette burde så vidt muligt sikre ensartede vilkår for de økonomiske aktører i de forskellige medlemsstater; bidrage til at forenkle de lovgivningsmæssige rammer og således sikre en god forvaltningsskik og konkurrenceevne; samt give anledning til at opmuntre til i stedet for at hindre grænseoverskridende aktiviteter i EU. Målt i forhold til disse kriterier er de indbyrdes forskelle, der fortsat præger medlemsstaternes databeskyttelseslovgivninger, for stor. Dette var det vigtigste budskab fra dem, der bidrog til gennemgangen, især de personer, der repræsenterede erhvervsinteresser, og som klagede over, at de nuværende forskelle forhindrer de internationale organisationer i at udvikle tværeuropæiske databeskyttelsespolitikker. Kommissionen henviser til, at formålet med et direktiv er tilnærmelse og ikke fuldstændig ensartethed, og at tilnærmelsen af lovgivninger i overensstemmelse med subsidiaritetsprincippet ikke skal gå videre end højst nødvendigt. Den er imidlertid af den opfattelse, at de berørte aktører har ret i at kræve mere ensartede lovbestemmelser og mere ensartethed i den måde bestemmelserne anvendes af medlemsstaterne og især de nationale tilsynsmyndigheder. En række respondenter foreslog en ændring af direktivet for at tilføje flere detaljer eller gøre bestemmelserne mere specifikke med henblik på at opnå større ensartethed. Kommissionen foretrækker i det mindste i starten at anvende andre midler. Direktivet er en meget generel tekst, der finder anvendelse på en lang række sektorer og forhold, hvilket generelt taler imod tilføjelsen af flere detaljer eller præciseringer. Forskellene mellem medlemsstaternes lovgivning kræver forskellige løsninger Forskellene mellem medlemsstaternes lovgivninger har både forskellige årsager og konsekvenser, hvorfor det også er nødvendigt at anvende en lang række forskellige løsninger. Når en medlemsstat er gået videre end det, der kræves i direktivet, eller ikke har opfyldt alle direktivets krav, er det klart, at det skaber en divergens, der skal fjernes ved at ændre lovgivningen i den pågældende medlemsstat. Der findes visse bestemmelser, der ikke giver noget råderum eller kun et begrænset råderum til medlemsstaterne, men hvor der alligevel er opstået forskelle, f.eks. med hensyn til definitionerne eller de udtømmende lister i direktivet, herunder artikel 7 (grundlag for legitim behandling), artikel 8, stk. 1 (følsomme oplysninger), artikel 10 (oplysningspligt over for de registrerede), artikel 13 (undtagelser) og artikel 26 (undtagelser med hensyn til overførsler til tredjelande, osv.). Dette peger i retning af en overtrædelse af fællesskabsretten. Artikel 4 (gældende ret) er også i en række tilfælde blevet forkert gennemført. Kommissionen er naturligvis parat til at gøre brug af sine beføjelser i medfør af traktatens artikel 226 for at opnå sådanne ændringer, men den håber ikke, at det bliver nødvendigt at ty til sådanne formelle skridt. Der vil blive afholdt bilaterale og multilaterale drøftelser med medlemsstaterne med henblik på at finde løsninger, der er i overensstemmelse med direktivet. Andre forskelle kan opstå som resultatet af en ellers korrekt gennemførelse i en medlemsstat, der blot har valgt at gå i en anden retning inden for det råderum, som direktivet giver. Kommissionen tager i forbindelse med denne beretning kun højde for de forskelle af denne art, der har betydelige negative konsekvenser i det indre marked eller er i strid med ønsket om en "bedre lovgivning", f.eks. fordi de pågældende bestemmelser påfører aktørerne uberettigede administrative byrder. Dette kan sammenfattes således: a) Generelt kan en stor del af de forskelle, som Kommissionens tjenestegrene har konstateret, ikke betragtes som en overtrædelse af fællesskabsretten eller som forskelle, der har betydelige negative konsekvenser for det indre marked, men hvis dette skulle vise sig at være tilfældet, vil Kommissionen træffe de nødvendige foranstaltninger, b) Mange af de forskelle, der er konstateret, forhindrer et fleksibelt og forenklet lovgivningssystem og skal derfor fortsat tages i betragtning (jf. f.eks. forskellene i kravene til notifikation af eventuelle behandlinger eller betingelserne for internationale overførsler). Som anført i arbejdsprogrammet i afsnit 6 findes der forskellige måder at løse disse problemer på. Det er ikke fordi, at disse løsningsmodeller i første omgang vil finde anvendelse, at Kommissionen udelukker muligheden for efterfølgende at foretage en passende ændring af direktivet, hvis problemerne fortsætter. Et tættere samarbejde mellem medlemsstaternes tilsynsmyndigheder og et generelt ønske om at reducere de negative konsekvenser af eventuelle lovgivningsforskelle må derfor blot betragtes som en løsningsmodel, mens en ændring af direktivet med henblik på at reducere de nationale lovgiveres og de nationale tilsynsmyndigheders råderum er en anden. Medlemsstaterne og deres tilsynsmyndigheder vil uden tvivl foretrække den første løsning, og det er op til dem at vise, at det kan fungere. Håndhævelse, overholdelse og erkendelse Inden der foretages en nærmere undersøgelse af visse af de problemområder, der er forbundet med direktivets gennemførelse, skal der tages højde for et andet overordnet aspekt, nemlig i hvilket omfang databeskyttelseslovgivningen generelt overholdes i EU og det dermed beslægtede spørgsmål om håndhævelse. Det er på grund af (eller til trods for) databehandlingernes allestedsnærværende karakter vanskeligt at opnå præcise eller fuldstændige oplysninger om, hvorvidt de foregår i overensstemmelse med loven. De oplysninger, som Kommissionen fik som svar på sin opfordring til at komme med bidrag, kastede ikke meget nyt lys på dette område. Forskellige meldinger kombineret med de faktiske oplysninger, som Kommissionen er i besiddelse af [17], peger dog i retning af tre indbyrdes beslægtede fænomener: [17] F.eks. det relativt lille antal individuelle klager, som Kommissionen selv har modtaget, og det lave antal tilladelser, som de nationale myndigheder udsteder med henblik på overførsel til tredjelande, og som meddeles Kommissionen i henhold til artikel 26, stk. 3. - Håndhævelsesbestræbelserne hæmmes af manglende ressourcer, og tilsynsmyndighederne er pålagt en lang række forskellige opgaver, hvoriblandt håndhævelsen har en forholdsvis lav prioritet. - De registeransvarlige overholder kun de gældende bestemmelser fragmentarisk, uden tvivl fordi de ikke er særlig villige til at ændre deres nuværende praksis for at overholde nogle tilsyneladende meget komplicerede og byrdefulde regler, når risikoen for at blive opdaget synes meget lille. - De registrerede har tilsyneladende et meget begrænset kendskab til deres rettigheder, hvilket kan være årsagen til ovenstående fænomen. Tilsynsmyndighederne i mange medlemsstater er selv meget bekymrede over dette, især deres mangel på ressourcer. Ressourceproblemer kan påvirke deres uvildighed. En grundlæggende forudsætning for, at systemet kan fungere korrekt, er således, at de kan træffe afgørelse i fuld uafhængighed. Dette forhold kræver en nærmere undersøgelse, men det må siges at være alarmerende, hvis disse tendenser bekræftes, og Kommissionen på den ene side og medlemsstaterne og deres tilsynsmyndigheder på den anden side bør bestræbe sig på at klarlægge årsagerne og overveje eventuelle løsninger. Da disse tre aspekter er indbyrdes beslægtede, kan man ved at løse problemerne på et af områderne påvirke de andre i en positiv retning. En mere håndfast og effektiv håndhævelse vil medføre, at lovgivningen overholdes i højere grad. Resultatet af en højere grad af overholdelse vil være, at de registeransvarlige giver en mere fyldestgørende meddelelse til de registrerede om behandlingen af deres oplysninger og om deres rettigheder i henhold til loven, hvilket vil have en positiv virkning på borgernes bevidsthed omkring databeskyttelse generelt. Ansøgerlandene Alle ansøgerlandene er i overensstemmelse med Københavnskriterierne forpligtet til at have gennemført direktiv 95/46/EF på tiltrædelsestidspunktet. De har på nuværende tidspunkt alle vedtaget lovgivning på dette område, undtaget Tyrkiet, hvor det forberedende arbejde til en databeskyttelseslovgivning er godt i gang. I de 10 lande, der har underskrevet tiltrædelsestraktaterne, omfatter den nuværende lovgivning de fleste af direktivets nøgleelementer. Der skal dog ydes en yderligere indsats for at bringe denne lovgivning i overensstemmelse med alle direktivets bestemmelser. I denne henseende er etableringen af uvildige tilsynsmyndigheder med hensyn til databeskyttelse af meget stor betydning. Visse tilsynsmyndigheders uvildighed er eksemplarisk, mens den i andre lande er klart utilfredsstillende. På den anden side mangler alle tilsynsmyndighederne de nødvendige ressourcer, og en række af disse myndigheder savner ligeledes de nødvendige beføjelser til at sikre en effektiv gennemførelse af databeskyttelseslovgivningen. 4. Detaljeret beskrivelse af de væsentligste konstateringer ved gennemgangen [18] [18] Der henvises til det tekniske bilag for mere fyldestgørende oplysninger. Dette afsnit handler mere specifikt om en række mere konkrete eksempler på problemområder, som Kommissionen på grundlag af sin gennemgang vurderer kræver særlig opmærksomhed. 4.1. Behovet for at fuldføre direktivets gennemførelse En fuld gennemførelse af direktivet kræver normalt (ud over vedtagelsen af gennemførelseslovgivningen) en anden fase, der hovedsagelig består af en gennemgang af den øvrige lovgivning, der eventuelt er i strid med direktivets krav og/eller fastsættelsen af visse generelle regler og etableringen af passende sikkerhedsforanstaltninger, når der gøres brug af eventuelle undtagelser i henhold til direktivet. Generelt er denne anden fase ikke engang startet i visse medlemsstater, og blandt de stater, der har påbegyndt dette arbejde, er visse ikke nået ret langt. I en række nationale lovgivninger henvises der til yderligere retningslinjer, der skal udstedes, f.eks. med hensyn til gennemførelsen af artikel 7, litra f) (afvejning af interesser), men disse er endnu ikke udarbejdet. [19] [19] Flere indlæg - f.eks. fra Clifford Chance - fremhævede betydningen af denne bestemmelse, der føjer et vigtigt element af fleksibilitet til betingelserne om "loyal" behandling. En ufuldstændig eller uklar gennemførelse af denne bestemmelse medfører en unødvendig stivhed i de lovgivningsmæssige rammer. En anden bestemmelse, der ofte er ufuldstændigt gennemført, er artikel 8, stk. 2, litra b). Denne bestemmelse giver medlemsstaterne mulighed for at undtage fra den generelle regel om, at følsomme oplysninger ikke må behandles, når en sådan behandling er nødvendig for overholdelsen af den registeransvarliges arbejdsretlige forpligtelser og specifikke rettigheder, såfremt de fornødne garantier er iværksat. I visse medlemsstater opfyldes disse krav gennem en specifik databeskyttelseslovgivning på det arbejdsretlige område, hvilket er enten meget omfattende (f.eks. i Finland) eller regulerer bestemte forhold (f.eks. sundhedslovgivningen i Danmark og Nederlandene). I andre medlemsstater er situationen mere kompliceret. Det er ikke alle medlemsstater, der har vedtaget bestemmelser indeholdende sådanne garantier. De, der findes, er ofte utilfredsstillende. Situationen er den samme med hensyn til artikel 8, stk. 4 og 5, om behandling af følsomme oplysninger af hensyn til vigtige samfundsmæssige interesser eller vedrørende straffedomme. Manglen på garantier betyder, at de fysiske personer ikke er omfattet af et tilstrækkeligt sikkerhedsniveau, hvilket burde bekymre medlemsstaterne ligesom det bekymrer Kommissionen. Der vil blive truffet foranstaltninger i denne henseende inden for arbejdsprogrammets aktionspunkt 2. I de tilfælde, hvor personoplysninger behandles i en særlig sektor eller kontekst, herunder et ansættelsesforhold, vil dette problem blive løst gennem en sektoriel indsats på fællesskabsplan [20]. [20] Jf. i denne henseende punkt 1.2 ovenfor. 4.2. Behovet for en hensigtsmæssig og fleksibel fortolkning Mange respondenter har talt for en hensigtsmæssig og fleksibel fortolkning af visse bestemmelser i direktivet [21]. Et godt eksempel er spørgsmålet om følsomme oplysninger [22]. Det er nødvendigt at finde en fortolkning, der er forenelig både med den udvidede beskyttelse, der i henhold til direktivet gælder for denne kategori af oplysninger, og det daglige arbejde, de rutinemæssige behandlinger og de konkrete risici, som visse behandlinger indebærer for beskyttelsen af fysiske personers grundlæggende rettigheder og frihedsrettigheder. [23] [21] Bidraget fra European Privacy Officers Forum (EPOF) er særlig interessant i denne henseende, f.eks. om behovet for en hensigtsmæssig fortolkning af begreber som "anonyme oplysninger" eller "følsomme oplysninger". [22] Bidraget fra f.eks. FEDMA indeholder en række praktiske eksempler på de forskellige fortolkninger af dette begreb i medlemsstater som Det Forenede Kongerige, Frankrig og Portugal. [23] Kravet om en passende fortolkning afspejles også i ændringsforslaget til betragtning 33 fra Østrig, Finland, Sverige og Det Forenede Kongerige. Direktivets artikel 12 (de registreredes ret til indsigt i deres personoplysninger) er en anden bestemmelse, der har udløst et krav om en fleksibel fortolkning med hensyn til udøvelsen af retten til indsigt og eventuelle afslag på anmodninger om indsigt. Det er blevet fremført, at det er meget vanskeligt og bekosteligt for den registeransvarlige at imødekomme anmodninger om indsigt vedrørende oplysninger, der behandles i store og komplekse informationsnetværk. Østrig, Sverige, Finland og Det Forenede Kongerige ønsker med deres bidrag at ændre direktivet således, at det gøres klart, at den registeransvarlige kan anmode den registrerede om at hjælpe den pågældende organisation med at finde de relevante oplysninger, hvis anmodningen om indsigt vedrører oplysninger, der er meget vanskelige at spore og helt klart ligger uden for den registeransvarliges normale virkefelt. [24] Kommissionen henviser til, at direktivet i sin nuværende udformning allerede giver mulighed for at anmode den registrerede om denne hjælp. Kommissionen er ikke overbevist om, at gennemførelsen af denne bestemmelse i direktivet giver anledning til alvorlige praktiske problemer. Under alle omstændigheder synes antallet af anmodninger om indsigt at være forholdsvist lavt. [25] Kommissionen anser de nationale tilsynsmyndigheders fortolkninger og retningslinjer på dette område for at være fuldt ud passende. [24] Denne hjælp er allerede mulig i henhold til britisk og østrigsk lov. [25] Se tallene og de registeransvarliges besvarelser på online-spørgeskemaet om dette emne. Det er i direktivets artikel 5 fastsat, at medlemsstaterne i henhold til bestemmelserne i kapitel II (artikel 6-21) skal præcisere, på hvilke betingelser behandling af personoplysninger er lovlig. I denne henseende tager Kommissionen de bekymringer, som Sverige har givet udtryk for inden for rammerne af den igangværende gennemgang af deres lovgivning med hensyn til anvendelsen af databeskyttelsesprincipperne på løbende tekst eller lyd- og billeddata, til efterretning. Kommissionen er af den opfattelse, at den målsætning, som det er at forenkle betingelserne for databehandling, når en sådan behandling ikke medfører nogen væsentlig risiko for fysiske personers rettigheder, bedre kan nås inden for det råderum, som direktivets bestemmelser giver, særlig de muligheder, som findes i artikel 7, litra f), artikel 9 og artikel 13. 4.3. Fremme og støtte af privatlivsfremmende teknologier Ideen med privatlivsfremmende teknologier er at udvikle informations- og kommunikationssystemer og -teknologier således, at de minimerer indsamlingen og anvendelsen af personoplysninger og forhindrer ulovlige behandlinger. Kommissionen er af den opfattelse, at anvendelsen af passende teknologiske foranstaltninger er et vigtigt supplerende element til de retlige foranstaltninger, og at de skal være en integreret del af enhver bestræbelse på at opnå et tilstrækkeligt niveau af privatlivsbeskyttelse. Teknologiske produkter bør under alle omstændigheder udvikles i overensstemmelse med de gældende databeskyttelsesbestemmelser. Men det at være i overensstemmelse med de gældende bestemmelser er kun det første skridt. Målsætningen er at råde over produkter, der ikke blot er privatlivskonforme og privatlivsvenlige, men som om muligt også er privatlivsfremmende [26]. [26] Se i denne henseende konklusionerne i dokument WP 37 fra artikel 29-gruppen af november 2000: "Beskyttelse af privatlivets fred på Internettet - En integreret EU-strategi til beskyttelse af onlineoplysninger". Privatlivskonforme produkter er produkter, der er udviklet i fuld overensstemmelse med direktivet, mens de privatlivsvenlige produkter går et skridt videre ved at indføre en række elementer, der gør privatlivsaspekterne mere tilgængelige for brugerne, f.eks. ved at give de registrerede en meget brugervenlig information eller ved at gøre det nemt for disse at udøve deres rettigheder. Privatlivsfremmende produkter er de produkter, der er blevet udviklet med det formål at tillade anvendelsen af flest mulige anonyme oplysninger. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm Det blev i forbindelse med drøftelserne om privatlivsfremmende teknologier på Kommissionens konference for 2002 om direktivets gennemførelse fremhævet, at anvendelsen af visse teknologiske værktøjer gør det umuligt for de registeransvarlige at overholde loven. Et yderligere problem, der er opstået, er, at det er meget vanskeligt at se, hvilke produkter der virkeligt er privatlivsfremmende. Visse deltagere efterlyste en form for certificering eller logo baseret på en uvildig undersøgelse af produktet. I øjeblikket er det således, at visse systemer, der påstår at være privatlivsfremmende, ikke engang er privatlivskonforme. Problemets kærne er derfor ikke blot, hvorledes man udvikler teknologier, der er virkelig privatlivsfremmende, men hvorledes man sikrer sig, at brugerne på passende vis kan genkende disse produkter. Certificeringsordninger spiller en afgørende rolle i denne henseende, og Kommissionen vil fortsat følge udviklingen på dette område [27]. [27] F.eks. i Canada, hvor forbundsregeringen som den første nationale regering gjorde det obligatorisk for alle federale myndigheder og organer at foretage "privatlivskonsekvensanalyser" (Privacy Impact Assessments (PIA)) af alle programmer og tjenester, der eventuelt påvirker beskyttelsen af privatlivets fred. Denne politik kræver, at de offentlige organer foretager privatlivskonsekvensanalyser allerede i de indledende faser af udviklingen eller ændringen af et program eller en tjeneste, med henblik på at påvirke udviklingsprocessen og sikre, at privatlivsbeskyttelsen fastholdes som et grundlæggende hensyn. Den tyske delstat Schleswig-Holstein har indført en certificeringsordning med deltagelse af både den offentlige og den private sektor på lige fod. Kommissionen er af den opfattelse, at man bør støtte og videreudvikle sådanne ordninger. Målet er ikke blot at indføre en bedre privatlivspraksis, men også at øge gennemsigtigheden og således brugernes tillid samt give de aktører, der investerer i beskyttelseskonforme og endog beskyttelsesfremmende produkter, en mulighed for at vise deres formåen på dette område og forvandle dette til en konkurrencefordel. 4.4. Bemærkninger om visse specifikke bestemmelser Beretningen indeholder kun de væsentligste resultater på hvert område. De mere detaljerede resultater vil være tilgængelige i et teknisk bilag, der offentliggøres separat [28]. [28] www.europa.eu.int/comm/privacy 4.4.1. Artikel 4: Gældende national ret Dette er med hensyn til det indre marked en af de vigtigste bestemmelser i direktivet, og systemet kan kun fungere efter hensigten, hvis denne bestemmelse gennemføres korrekt. Gennemførelsen af denne bestemmelse er i mange tilfælde mangelfuld med det resultat, at den type lovkonflikter, som denne artikel søger at undgå, kan opstå. Det vil blive nødvendigt for visse medlemsstater at ændre deres lovgivning i denne henseende. Denne bestemmelse var én af dem, der i forbindelse med gennemgangen fik mest kritik. Flere respondenter argumenterede for indførelsen af en regel om oprindelsesland, således at multinationale organisationer vil få mulighed for at arbejde under ét regelsæt i hele EU. Mange mente også, at "anvendelsen af midler" ikke var noget passende eller praktisk kriterium for at fastslå, hvorvidt fællesskabslovgivningen finder anvendelse på registeransvarlige, der er etableret uden for EU. Hvad angår reglen om oprindelsesland giver direktivet allerede mulighed for at foretage al behandling under en enkelt registeransvarligs ansvar, hvilket betyder, at behandlingerne blot skal foregå i overensstemmelse med databeskyttelseslovgivningen i det land, hvor den registeransvarlige er etableret. Dette finder naturligvis ikke anvendelse, når en virksomhed har valgt at være etableret i mere end én medlemsstat. Hvad angår "anvendelse af midler" er Kommissionen godt klar over, at dette kriterium ikke er nemt at anvende i praksis, og at det kræver en nærmere afklaring. Hvis det skulle vise sig, at en sådan afklaring ikke er tilstrækkelig til at sikre en praktisk gennemførelse af denne bestemmelse, vil det på sigt være nødvendigt at foreslå en ændring for at indføre et andet tilknytningsmoment for at afgøre, hvilken lovgivning der finder anvendelse. Kommissionen har det dog som en prioritet at sikre, at medlemsstaterne gennemfører den nuværende bestemmelse korrekt. Erfaringerne med anvendelsen af denne bestemmelse bygger på for kort en periode, og der kræves yderligere overvejelser, særlig under hensyntagen til den teknologiske udvikling, inden der kan foreslås ændringer af artikel 4, stk. 1, litra c). Det ville uanset behovet for yderligere overvejelser være forkert at give det indtryk, at det er artikel 4 i sin helhed, der kritiseres. Tværtimod anfægtes anvendelsen af denne bestemmelse på mange områder ikke, og der er fuld enighed omkring den fra alle databeskyttelsesmyndigheders og Kommissionens side. 4.4.2. Artikel 6 og 7: Oplysningernes pålidelighed og kriterier for legitim behandling af oplysninger Det fremgår af analysen af de nationale lovgivninger, at gennemførelsen af disse bestemmelser nogle gange er mangelfuld. Artikel 6, stk. 1, litra b), giver mulighed for senere behandling i historisk, statistisk eller videnskabeligt øjemed, såfremt de fornødne garantier er på plads. Det er ikke alle medlemsstater, der har opstillet sådanne garantier, selv om det generelt er tilladt at foretage senere behandling. Visse medlemsstater har været mere vidtgående og andre mere indskrænkende i forhold til listen over grundlag for lovlig behandling i artikel 7, hvorfor de bør ændre deres lovgivning. Især begreberne i bestemmelsen om, at behandlingen kun må finde sted, "hvis der ikke hersker tvivl om, at den registrerede har givet sit samtykke" (artikel 7, litra a)), i forhold til begreberne i bestemmelsen om, at særlige oplysninger kan behandles, hvis "den registrerede udtrykkeligt har givet sit samtykke" (artikel 8), kræver en yderligere afklaring og mere ensartet fortolkning. Operatørerne har brug for at vide, hvad der kan betragtes som et gyldigt samtykke, især i en online-situation. 4.4.3. Artikel 10 og 11: Oplysningspligt over for den registrerede Der er ved gennemførelsen af direktivets artikel 10 og 11 opstået en række divergenser. Dette skyldes i et vist omfang en ukorrekt gennemførelse, f.eks. når der i en lov stilles krav om, at den registrerede altid skal have yderligere oplysninger, uanset den i direktivet foreskrevne nødvendighedstest, men det er også resultatet af tilsynsmyndighedernes divergerende fortolkning og praksis. Flere respondenter fremhævede de problemer, som multinationale virksomheder med tværeuropæiske aktiviteter har på grund af disse divergenser [29]. [29] Se f.eks. indlæggene fra European Privacy Officers Forum (EPOF): 4.4.4. Artikel 18 og 19: Anmeldelsespligt Mange respondenter mente, at der var behov for at foretage en forenkling og en indbyrdes tilnærmelse af medlemsstaternes krav med hensyn til de registeransvarliges anmeldelse af behandlinger. Kommissionen deler denne opfattelse, men henviser til, at direktivet allerede giver medlemsstaterne mulighed for i vidt omfang at undtage fra anmeldelsespligten i tilfælde, hvor der kun er en begrænset risiko, eller hvor den registeransvarlige har udpeget en person med ansvar for databeskyttelse. Disse undtagelser giver en tilstrækkelig fleksibilitet, uden at det påvirker databeskyttelsesniveauet. En række medlemsstater har beklageligvis ikke givet sig selv disse muligheder. Kommissionen erkender dog, at det ud over en mere omfattende brug af de eksisterende undtagelsesmuligheder ville være hensigtsmæssigt med en yderligere forenkling, hvilket ville være muligt uden at ændre de eksisterende artikler. 4.4.5. Artikel 25 og 26: Den eksterne dimension Divergensen mellem medlemsstaternes lovgivning til gennemførelse af disse to bestemmelser er for stor. Den fremgangsmåde, som visse medlemsstater har valgt, og hvor det er den registeransvarlige, der skal vurdere, hvorvidt den beskyttelse, som modtageren yder, er tilstrækkelig, således at de offentlige myndigheder eller den nationale tilsynsmyndighed kun har meget begrænset kontrol med datastrømmen, synes ikke at være i overensstemmelse med den forpligtelse, der pålægges medlemsstaterne i henhold til artikel 25, stk. 1 [30]. [30] "Medlemsstaterne fastsætter bestemmelser om, at videregivelse til et tredjeland af personoplysninger (...) kun må finde sted, hvis det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau (...)". Andre medlemsstater har valgt at lade alle overførsler til tredjelande være omfattet af en ordning, hvor der kræves en administrativ tilladelse [31], hvilket heller ikke synes at være i overensstemmelse med direktivets kapitel IV, der har til formål at sikre både en passende beskyttelse og opretholde strømmen af personoplysninger til tredjelande uden unødvendige byrder. Der kan i medfør af artikel 19 stilles krav om, at der foretages anmeldelse til de nationale tilsynsmyndigheder, men disse anmeldelser kan ikke ændres til de facto-tilladelser i de tilfælde, hvor overførslen til et tredjeland er klart tilladt, enten fordi modtageren er etableret i et land, der i henhold til en bindende beslutning fra Kommissionen yder et tilstrækkeligt databeskyttelsesniveau, fordi modtageren har forpligtet sig i henhold til de standardkontraktbestemmelser, som Kommissionen har godkendt, eller fordi den registeransvarlige erklærer, at overførslen er omfattet af en undtagelse i medfør af direktivets artikel 26. Selv om databeskyttelsesmyndigheden i henhold til loven er fuldt berettiget til at kræve anmeldelse af disse overførsler [32], er der ingen grund til yderligere at tillade dem, da de allerede er tilladt i henhold til fællesskabslovgivningen. [31] Overførsler, der er omfattet af undtagelserne i artikel 26, stk. 1, og selv overførsler til andre medlemsstater eller tredjelande, hvis databeskyttelsesniveau er blevet godkendt som tilstrækkeligt af Kommissionen, kræver tilladelse i visse medlemsstater. [32] F.eks. for at kontrollere, om modelkontrakten er i fuld overensstemmelse med den model, der er godkendt af Kommissionen, eller om modtageren er omfattet af beslutningen om, at databeskyttelsesniveauet skal betragtes som tilstrækkeligt. Visse medlemsstaters alt for slappe holdning risikerer - ud over at den er i strid med direktivet - at svække den generelle databeskyttelse i EU, fordi datastrømmen vil komme til at foregå via det "mindst byrdefulde" eksportland. På den anden side vil det ved en alt for streng anvendelse af direktivet ikke være muligt at tage højde for den internationale handels behov og de reelle forhold inden for globale telekommunikationsnetværk, hvilket kan medføre en forskydning mellem lovgivningen og praksis, der er skadelig for direktivets omdømme og for fællesskabsretten generelt. De internationale overførsler synes således at være et område, hvor manglen på håndhævelse skaber en sådan forskydning. De nationale myndigheder skal underrette Kommissionen, når de tillader en overførsel i medfør af direktivets artikel 26, stk. 2. Siden direktivet trådte i kraft i 1998, har Kommissionen kun modtaget et meget begrænset antal anmeldelser af denne art. Selv om der findes andre lovlige muligheder for overførsel end den, der er foreskrevet i artikel 26, stk. 2, er antallet meget lavt i forhold til det, der med rimelighed kunne forventes. Sammenholdt med andre elementer, der peger i samme retning [33], tyder dette på, at der foretages mange uautoriserede og eventuelt ulovlige overførsler til lande eller modtagere, der ikke sikrer et tilstrækkeligt beskyttelsesniveau. Til trods for dette var der meget få eller ingen tegn på håndhævelse fra tilsynsmyndighedernes side. [33] Det fremgik af den beretning, som blev godkendt af forårskonferencen for datatilsynsmyndigheder i maj 2001, at de fleste nationale tilsynsmyndigheder ikke var i stand til at oplyse antallet af behandlinger, der var knyttet til internationale dataoverførsler. De tal, der var tilgængelige, var meget lave (600 overførsler fra Frankrig, 1352 fra Spanien og 150 fra Danmark). Overførsler, der kræver tilladelse og anmeldelse, medfører naturligvis et betydeligt administrativt arbejde både for dataeksportører og tilsynsmyndigheder. Det ville derfor være hensigtsmæssigt i højere grad at gøre brug af de "bloktilladelser", som direktivets artikel 25, stk. 6, og artikel 26, stk. 4, giver mulighed for. Disse artikler har indtil videre kun været anvendt til at vedtage fire beslutninger om konstatering af et tilstrækkeligt beskyttelsesniveau i et tredjeland (Ungarn, Schweiz, Canada og den amerikanske safe harbor-ordning [34]) og to sæt standardkontraktbestemmelser, én for overførsel til registeransvarlige i tredjelande og én for overførsel til registerførere. Der skal gøres et yderligere stykke arbejde for at forenkle betingelserne for internationale overførsler. [34] Kommissionen er ligeledes næsten færdig med at udarbejde en beslutning om konstatering af et tilstrækkeligt databeskyttelsesniveau i Argentina. 5. Behandling af lyd- og billeddata Da direktivet i sin tid blev udarbejdet, var flere af den opfattelse, at det ikke var gearet til at håndtere fremtidens teknologiske udvikling. Der var usikkerhed omkring omfanget af denne teknologiske udvikling, og man var bekymret for, at en retsakt, der hovedsagelig blev udarbejdet med udgangspunkt i tekstbehandling, ville give problemer, når den skulle finde anvendelse på behandlingen af lyd- og billeddata. Af denne grund indeholder artikel 33 en specifik henvisning til lyd- og billeddata. Kommissionen har udarbejdet denne beretning på grundlag af en undersøgelse, som er foretaget af en ekstern kontrahent for at analysere situationen i medlemsstaterne, og på grundlag af bidrag fra medlemsstaterne selv og de nationale tilsynsmyndigheder. Det fremgår af de oplysninger, som er modtaget, at behandlingen af lyd- og billeddata er omfattet af alle de nationale lovgivninger til gennemførelse af direktivet, og at anvendelsen af direktivet på disse former for behandling ikke har givet anledning til særlige problemer. De (generelle) bestemmelser, der finder anvendelse på behandlingen af lyd- og billeddata, er i de fleste medlemsstater også de bestemmelser, der finder anvendelse på andre personoplysninger. Kun to medlemsstater (Tyskland og Luxembourg) har indføjet specifikke bestemmelser om behandling af lyd- og billeddata i deres lovgivning til gennemførelse af direktivet. Tre medlemsstater (Danmark, Sverige og Portugal) har særlige bestemmelser om videoovervågning i særskilte love. Medlemsstaterne er til trods for den tvivl, som de gav udtryk for i forbindelse med forhandlingerne om direktivet, nået frem til den konklusion, at direktivet har opfyldt sin ambition om at være teknologineutral, i det mindste hvad angår behandlingen af lyd- og billeddata. Ingen medlemsstat eller anden respondent har foreslået ændringer af direktivet i denne henseende. Der gives i de fælles forslag fra Østrig, Finland, Sverige og Det Forenede Kongerige udtryk for en vis bekymring for, om det inden for rammerne af direktivet er muligt at tage højde for visse teknologiske udviklinger, men de indeholder ingen konkrete forslag, der direkte vedrører dette aspekt. En af workshopperne på konferencen om direktivets gennemførelse skulle udelukkende behandle dette problemområde. Det vigtigste emne var videoovervågning, som også er det emne (efterfulgt af biometri), der indtil videre har fået mest opmærksomhed fra de nationale tilsynsmyndigheder. Deltagerne mente, at der indtil nu ikke havde været tilstrækkelig offentlig debat om de begrænsninger, der skulle gælde for anvendelsen af videoovervågning med henblik på at beskytte visse rettigheder og frihedsrettigheder i et demokratisk samfund. Artikel 29-gruppen har også beskæftiget sig meget med dette emne, og den har godkendt et udkast til arbejdsdokument, der er blevet offentliggjort på Kommissionens websted om databeskyttelse med en opfordring til de berørte parter om at komme med bemærkninger. Der findes desuden en række retlige og praktiske problemer, som med hensyn til lyd- og billeddata er opstået i forbindelse med direktivets gennemførelse i medlemsstaterne, og som afstedkommer en vis usikkerhed for de operatører, der skal overholde den gældende lovgivning, samt for de fysiske personer, der har krav på at kunne udøve deres databeskyttelsesrettigheder. Der er bl.a. en vis usikkerhed med hensyn til direktivets definitioner, f.eks. i hvilket omfang et isoleret billede eller et fingeraftryk kan betragtes som en personoplysning, når den registeransvarlige ikke er i stand til eller ikke må kunne forventes at være i stand til at identificere den pågældende fysiske person, hvorvidt en simpel overvågning udgør en behandling, eller hvorledes begrebet følsomme oplysninger passende kan fortolkes. Kommissionen erkender, at det er muligt at besvare alle disse spørgsmål inden for rammerne af de nationale lovbestemmelser til gennemførelse af direktivet, men anser det samtidig for nødvendigt at give yderligere retningslinjer. For at opnå en større grad af overholdelse skal disse retningslinjer være realistiske og pragmatiske samt i videst muligt omfang koordineret mellem medlemsstaterne. Kommissionen udtrykker stor tilfredshed med artikel 29-gruppens hidtidige arbejde på dette område, og den opfordrer den til fortsat at udarbejde nyttig vejledning med passende input fra de berørte parter. 6. arbejdsprogram for en bedre gennemførelse af databeskyttelsesdirektivet (2003-2004) Den analyse, der i denne beretning foretages af gennemførelsen i medlemsstaterne, afslører en række problemer, som skal løses, før direktivet kan få sin fulde virkning. Nedenstående arbejdsprogram omfatter foranstaltninger, som vil finde sted at regne fra beretningens vedtagelse og frem til ultimo 2004, og som vil kræve en fælles indsats fra Europa-Kommissionen, medlemsstaterne (inklusive ansøgerlandene), deres nationale tilsynsmyndigheder og i visse tilfælde også fra de registeransvarliges repræsentanter. Det giver som beskrevet ovenfor anledning til generel og alvorlig bekymring, at reglerne om databeskyttelse ikke i tilstrækkelig grad overholdes og håndhæves, og at man ikke i tilstrækkelig grad er opmærksom på disse regler. Kommissionen vil som en generel foranstaltning, der skal finde anvendelse på alle nedenstående initiativer, samarbejde med medlemsstaterne, tilsynsmyndighederne og de berørte parter for at fastslå årsagerne og udforme passende løsninger på disse alvorlige problemer. Kommissionens initiativer Aktionspunkt 1: Drøftelser med medlemsstater og databeskyttelsesmyndigheder Kommissionen vil i løbet af 2003 afholde bilaterale møder med medlemsstaterne med det hovedformål at drøfte de ændringer, som er nødvendige for at bringe de nationale lovgivninger i fuld overensstemmelse med kravene i direktivet. Det vil på visse områder være nødvendigt at inddrage de kompetente databeskyttelsesmyndigheder i disse drøftelser. Behovet for en mere håndfast håndhævelse vil eventuelt også blive behandlet inden for rammerne af disse bilaterale drøftelser. Tilsynsmyndighedernes mangel på ressourcer skal ligeledes drøftes. Disse møder vil eventuelt blive suppleret med drøftelser om den ukorrekte gennemførelse af direktivet på de "pakkemøder", som Kommissionens Generalsekretariat og/eller GD for det Indre Marked regelmæssigt afholder med medlemsstaterne. Der vil inden for rammerne af drøftelserne i artikel 29-gruppen og i artikel 31-udvalget være mulighed for på multilateral basis at behandle visse problemområder, der påvirker en lang række medlemsstater, idet det dog skal præciseres, at disse drøftelser ikke kan føre til en de facto-ændring af direktivet. Ud over disse ad hoc-drøftelser om specifikke emner foreslår Kommissionen, at hver gruppe afsætter et helt møde til at behandle dette emne i løbet af 2003. Aktionspunkt 2: Samarbejde med ansøgerlandene med henblik på at opnå en bedre og mere ensartet gennemførelse af direktivet Denne beretning tager næsten udelukkende udgangspunkt i situationen i de 15 medlemsstater. Inden arbejdsprogrammet udløber, vil 10 nye medlemsstater imidlertid have tiltrådt Unionen. Repræsentanter for tilsynsmyndighederne i adskillige ansøgerlande har siden 2002 deltaget i artikel 29-gruppens møder. De tiltrædende lande vil fra datoen for underskrivelsen af tiltrædelsestraktaterne blive indbudt til alle artikel 29-gruppens og artikel 31-udvalgets møder. Der vil i videst muligt omfang også foregå bilaterale drøftelser og eventuelt interkollegiale evalueringer (peer reviews) frem til og efter tiltrædelsen med henblik på at bringe lovgivningen i de nye medlemsstater mest muligt i overensstemmelse med direktivet og minimere antallet af formelle overtrædelsesprocedurer. Aktionspunkt 3: Højere grad af anmeldelse af alle retsakter til gennemførelse af direktivet og af tilladelser, der gives i medfør af direktivets artikel 26, stk. 2 Kommissionens tjenestegrene vil i tæt samarbejde med databeskyttelsesmyndighederne og medlemsstaterne fortsat indsamle oplysninger om direktivets gennemførelse og især identificere de områder, hvor de anmeldte gennemførelsesforanstaltninger er klart mangelfulde, og de vil forsøge sammen med medlemsstaterne at udbedre disse mangler så hurtigt som muligt. Kommissionen vil, såfremt det anses for hensigtsmæssigt, fremme udvekslingen af god praksis. Kommissionen vil anvende sine formelle beføjelser i medfør af traktatens artikel 226, hvis dette samarbejde (punkt 6.1, 6.2 og 6.3) ikke giver de forventede resultater. Medlemsstaterne og deres tilsynsmyndigheder bør ligeledes oprette passende ordninger med henblik på at anmelde (som krævet i henhold til direktivets artikel 26, stk. 3) nationale tilladelser til internationale overførsler, der gives i henhold til direktivets artikel 26, stk. 2. Kommissionen vil drøfte dette med medlemsstaterne og deres tilsynsmyndigheder og sikre udvekslingen af god praksis. Kommissionen agter at oprette en ny side på sit websted [35], der i struktureret form ikke alene vil indeholde alle de oplysninger, der er blevet indsamlet med henblik på denne beretning, men også oplysninger om det arbejde, der skal udføres inden for rammerne af dette arbejdsprogram. Den vil ligeledes opfordre de nationale tilsynsmyndigheder til at gøre databeskyttelsesmyndighedernes afgørelser og henstillinger samt væsentligste vejledninger tilgængelige, således at de kan anbringes på dette websted, og dette med særlig fokus på de områder, hvor det er nødvendigt med en mere ensformig fortolkning og anvendelse af loven. [35] www.europa.eu.int/comm/privacy Artikel 29-gruppens bidrag [36] [36] Denne liste er med forbehold for artikel 29-gruppens almindelige arbejdsprogram, som er tilgængeligt på http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf Kommissionen udtrykker sin tilfredshed med den måde, hvorpå gruppen har bidraget til at opnå en mere ensartet anvendelse af direktivet. Den vil gerne understrege, at det er meget vigtigt, at denne proces foregår under fuldt gennemsigtige forhold, og den støtter gruppens nuværende bestræbelser på at opnå en større gennemsigtighed af sit arbejde. Aktionspunkt 4: Håndhævelse Kommissionen opfordrer artikel 29-gruppen til at afholde regelmæssige drøftelser om det overordnede spørgsmål om bedre håndhævelse. Dette burde bl.a. føre til en udveksling og vedtagelse af god praksis. Gruppen burde ligeledes overveje at iværksætte sektorielle undersøgelser på EU-niveau og foretage en indbyrdes tilnærmelse af standarder på dette område. Formålet med sådanne fælles undersøgelser skulle være at give et mere nøjagtigt billede af databeskyttelseslovens gennemførelse i Fællesskabet og afgive kollektive henstillinger og praktisk vejledning til de berørte sektorer med henblik på at forbedre overholdelsen på den mindst byrdefulde måde. Aktionspunkt 5: Anmeldelse og offentliggørelse af behandlinger Kommissionen er i vidt omfang enig i den kritik, som de registeransvarlige i forbindelse med gennemgangen gav udtryk for med hensyn til det divergerende indhold af de registeransvarliges anmeldelsespligt. Kommissionen anbefaler, at der i højere grad gøres brug af undtagelserne, især af den mulighed, som er foreskrevet i direktivets artikel 18, stk. 2, nemlig at der kan udpeges en person med ansvar for beskyttelse af personoplysninger, hvilket medfører en undtagelse fra anmeldelsespligten. Kommissionen opfordrer artikel 29-gruppen til at bidrage til en mere ensformig gennemførelse af direktivet ved at fremsætte forslag til en betydelig forenkling af anmeldelseskravene i medlemsstaterne og til indførelse af samarbejdsmekanismer med henblik på at fremme anmeldelserne fra multinationale virksomheder, der er etableret i flere forskellige medlemsstater. Disse forslag skal omfatte forslag til ændring af de nationale lovgivninger. Kommissionen er parat til selv at komme med forslag, hvis gruppen ikke er i stand til at gøre dette inden for en rimelig periode (12 måneder). Aktionspunkt 6: Mere harmoniserede bestemmelser om oplysningspligt Kommissionen er enig i, at den nuværende meget brogede sammensætning af forskelligartede og overlappende krav om de registeransvarliges oplysningspligt over for de registrerede er alt for byrdefuld for de økonomiske aktører, uden at det højner databeskyttelsesniveauet. Når den oplysningspligt, der pålægges de registeransvarlige, ikke er i overensstemmelse med direktivet, må det forventes, at der hurtigt kan findes en løsning gennem en dialog med medlemsstaterne og en ændring af deres lovgivning. Desuden opfordrer Kommissionen artikel 29-gruppen til at samarbejde i bestræbelserne på at finde en mere ensartet fortolkning af artikel 10. Aktionspunkt 7: Forenkling af kravene vedrørende internationale overførsler Sideløbende med drøftelserne med henblik på at indføre de nødvendige ændringer af medlemsstaternes lovgivning for at sikre deres overensstemmelse med direktivet opfordrer Kommissionen artikel 29-gruppen til at anvende den sidste beretning fra workshoppen om international behandling af klager som grundlag for yderligere drøftelser med henblik på at opnå en betydelig tilnærmelse af medlemsstaternes praksis og en forenkling af betingelserne for international dataoverførsel. Kommissionen agter selv at gøre større brug af sine beføjelser i medfør af artikel 25, stk. 6, og artikel 26, stk. 4, der giver de bedste muligheder for at forenkle lovrammerne for økonomiske aktører samtidig med, at man sikrer en passende beskyttelse ved overførsel af oplysninger uden for EU. Kommissionen forventer i samarbejde med artikel 29-gruppen og artikel 31-udvalget at gøre fremskridt på fire områder: a) Der skal gøres større brug af ordningen i artikel 25, stk. 6, der giver mulighed for at konstatere, at et tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, samtidig med at alle tredjelande naturligvis sikres ligebehandling i overensstemmelse med EU's WTO-forpligtelser. b) Der skal træffes yderligere beslutninger i medfør af artikel 26, stk. 4, således at de økonomiske aktører sikres et større valg af standardkontraktbestemmelser, der så vidt muligt skal være baseret på standardbestemmelser, der foreslås af repræsentanter for erhvervslivet, f.eks. de bestemmelser, der er foreslået af Det Internationale Handelskammer og andre erhvervssammenslutninger. c) De bindende virksomhedsregler (regler, som forpligter koncerner i flere forskellige retskredse, både i og uden for EU) skal i højere grad anvendes til at sikre passende garantier for overførsel af personoplysninger inden for samme koncern. d) Der bør tilstræbes en mere ensartet fortolkning af direktivets artikel 26, stk. 1 (tilladte undtagelser fra kravet om passende beskyttelse ved overførsel til tredjelande), og de nationale bestemmelser til gennemførelse af denne artikel. Hele dette arbejde skal udføres med en passende grad af gennemsigtighed og regelmæssigt input fra de berørte parter. Andre initiativer Aktionspunkt 8: Fremme af privatlivsfremmende teknologier Kommissionen arbejder allerede med privatlivsfremmende teknologier, især på forskningsniveau, f.eks. med projekterne RAPID [37] og PISA [38]. [37] Roadmap for Advanced Research in Privacy and Identity Management [38] Privacy-Enhancing Intelligent Software Agents Den foreslår at organisere en teknisk workshop i 2003 med henblik på at øge opmærksomheden omkring privatlivsfremmende teknologier og for at få mulighed for en dybtgående debat om de foranstaltninger, der kan træffes for at fremme udviklingen og anvendelsen af privatlivsfremmende teknologier, f.eks. hvilken rolle logoer, certificeringssystemer eller privatlivskonsekvensanalyser (PIA [39]) kan have i Europa. [39] Privacy Impact Assessments Den opfordrer artikel 29-gruppen til at fortsætte drøftelserne om privatlivsfremmende teknologier og til at overveje eventuelle foranstaltninger, som de nationale tilsynsmyndigheder kan træffe for at fremme anvendelsen af disse teknologier på nationalt plan. Kommissionen vil efter den tekniske workshop og på grundlag af de forskellige input fremsætte yderligere forslag til fremme af privatlivsfremmende teknologier på europæisk plan. Der vil i forbindelse med disse forslag blive taget særligt hensyn til behovet for at opfordre regeringerne og den offentlige sektor til at vise det gode eksempel ved at anvende privatlivsfremmende teknologier i deres egne behandlinger, f.eks. i forbindelse med digital forvaltning (e-government). Aktionspunkt 9: Fremme af selvregulering og europæiske adfærdskodekser Kommissionen er skuffet over, at så få organisationer har udarbejdet sektorielle adfærdskodekser til brug på fællesskabsniveau. Den vil fortsat (inden for de fastsatte budgetrammer) rådgive og opfordre til, at der udarbejdes forslag til adfærdskodekser, som forelægges artikel 29-gruppens vurdering [40]. Den opfordrer de forskellige sektorer og interessegrupper til at indtage en mere proaktiv rolle, da den er af den opfattelse, at selvregulering, især i form af adfærdskodekser, bør spille en vigtig rolle i den kommende udvikling af databeskyttelsen i EU og i tredjelandene, ikke mindst for at undgå en alt for detaljeret lovgivning. [40] Artikel 29-gruppen behandler i øjeblikket følgende bidrag: adfærdskodeks for direkte markedsføring (Code of conduct on direct marketing), indgivet af FEDMA; adfærdskodeks for rekruteringsfirmaers (headhuntere) behandling af personoplysninger (Code of conduct on the processing of personal data by executive search consultants (head-hunters)), indgivet af AESC; og adfærdskodeks for fælleseuropæisk nummervisning (Code of conduct on pan-European calling line identification), indgivet af ETP. En tidligere forespørgsel fra IATA opfyldte ikke kravene til en adfærdskodeks i henhold til direktivets artikel 27, men artikel 29-gruppen udtalte sig positiv om denne i udtalelse WP 49, der blev vedtaget den 13. september 2001. http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2001/wp49en.pdf I sit høringsdokument, som blev fremsendt til arbejdsmarkedets parter i Europa om beskyttelse af personoplysninger i et ansættelsesforhold, gav Kommissionen ligeledes udtryk for sin meget stærke forhåbning om, at disse parter vil indlede drøftelser med henblik på at indgå europæiske aftaler på dette område. Kommissionen beklager, at arbejdsmarkedets parter ikke kunne blive enige om at drøfte dette emne, og den håber, at muligheden for fælles overenskomster på dette område vil blive undersøgt nærmere. Aktionspunkt 10: Oplysning Kommissionen agter at iværksætte en Eurobarometer-undersøgelse efter samme model som de spørgsmål, der blev stillet ved online-høringen i 2002. Den håber, at en række databeskyttelsesmyndigheder vil deltage i dette aktionspunkt, og at der vil blive gjort en fælles indsats for at inddrage databeskyttelsesaspekterne i den offentlige debat. Den opfordrer medlemsstaterne til at bruge flere ressourcer på oplysning, især via de nationale tilsynsmyndigheders budget. 7. Konklusion Denne beretning er det første trin i analysen af de oplysninger, der foreligger om gennemførelsen af direktiv 95/46/EF, og i fastsættelsen af de foranstaltninger, der er nødvendige for at løse de vigtigste problemer, der er opstået. Kommissionen håber, at denne analyse vil hjælpe medlemsstaterne, databeskyttelsesmyndighederne og operatørerne med at klarlægge, hvad der skal gøres for at opnå en bedre gennemførelse af direktivet i EU, samtidig med, at håndhævelsen gøres mere effektiv, at der opnås en større grad af overholdelse og at der gives bedre oplysninger til de registrerede og de registeransvarlige om deres rettigheder og forpligtelser. Kommissionen forventer, at medlemsstaterne vil foretage de nødvendige ændringer af deres respektive lovgivninger for at bringe dem i overensstemmelse med bestemmelserne i direktivet og give deres tilsynsmyndigheder tilstrækkelige ressourcer. Kommissionen forventer ligeledes, at medlemsstaterne sammen med deres tilsynsmyndigheder vil bestræbe sig på at skabe passende forhold, således at de registeransvarlige - og ikke mindst dem, der opererer i flere medlemsstater og/eller på internationalt niveau - kan opfylde deres forpligtelser efter mindre komplicerede og byrdefulde regler og for at undgå at pålægge krav, der ikke er absolut nødvendige for at opretholde det høje beskyttelsesniveau, som direktivet tilsigter. Kommissionen opfordrer borgerne til at gøre brug af de rettigheder, som de har i henhold til lovgivningen, og de registeransvarlige til at træffe alle nødvendige foranstaltninger for at sikre, at lovgivningen overholdes. Kommissionen agter nøje at overvåge den videre teknologiske udvikling og resultaterne af det arbejdsprogram, der er beskrevet i denne beretning, samt fremsætte forslag til yderligere opfølgning frem til ultimo 2004, hvor både Kommissionens og medlemsstaternes erfaring med gennemførelsen af direktivet vil være betydelig større end på nuværende tidspunkt.