KOMMISSIONENS Rapport om databeskyttelse i informationssystemet for det indre marked /* KOM/2010/0170 endelig udg. */
[pic] | EUROPA-KOMMISSIONEN | Bruxelles, den 22.4.2010 KOM(2010)170 endelig KOMMISSIONENS RAPPORT om databeskyttelse i informationssystemet for det indre marked KOMMISSIONENS RAPPORT om databeskyttelse i informationssystemet for det indre marked RESUMÉ Kommissionen er tilfreds med den måde, personlige rettigheder og den personlige frihed er sikret i informationssystemet for det indre marked (IMI) med hensyn til personoplysninger (herefter "databeskyttelse"). IMI er et sikkert, netbaseret, flersproget system til informationsudveksling, som hjælper medlemslandene i deres administrative samarbejde. Kommissionen er også tilfreds med gennemførelsen af henstillingen om IMI's retningslinjer for databeskyttelse. Ingen af medlemslandene har rapporteret problemer med databeskyttelsen. Det begrunder den trinvise fremgangsmåde, der er aftalt med Den Europæiske Tilsynsførende for Databeskyttelse om at opbygge retsgrundlaget for IMI i takt med den tekniske udvikling og udvidelsen af systemet til at omfatte andre områder af lovgivningen om det indre marked. I 2010 vil Kommissionen undersøge, om det er muligt at udvide IMI til at omfatte andre områder af det indre marked og få mere erfaring med den praktiske brug af systemet på serviceområdet. I første kvartal af 2011 offentliggør Kommissionen et internt arbejdsdokument om brugen og udviklingen af IMI-systemet i 2010, som også vil omfatte databeskyttelse. FORMÅLET MED DENNE RAPPORT Denne rapport, som er bekendtgjort i Kommissionens henstilling om databeskyttelsesretningslinjer i forbindelse med informationssystemet for det indre marked[1] (henstillingen), gennemgår medlemslandenes og Kommissionens gennemførelse af henstillingen og vurderer databeskyttelsen i IMI. Den omtaler også ny emner, som ikke er behandlet i henstillingen – især dækningen af det nye servicedirektiv. Ved udarbejdelsen af rapporten tog Kommissionen hensyn til tilbagemeldinger fra medlemslandene både i forbindelse med en ad hoc-høring, der blev startet i november 2009[2], og gennem regelmæssige kontakter med IMI-koordinatorerne og medlemslandenes repræsentanter på møder i IMAC-IMI (det indre marked – IMI-udvalget). UDVIKLINGEN AF IMI I 2009 2009 blev afgørende for IMI's udvikling. Brugen af IMI i forbindelse med lovgivningen om erhvervsmæssige kvalifikationer blev udvidet til 20 nye erhverv, og størstedelen af ressourcerne gik til at udvide IMI til at omfatte servicedirektivet[3]. De nationale IMI-koordinatorer deltog i pilotprojektet om udveksling af oplysninger om servicedirektivet (på grundlag af faktiske og fiktive sager), og der blev afholdt kurser i Bruxelles[4]. Kommissionen udgav en ny version af IMI-softwaren (1.7), som gav de kompetente myndigheder mulighed for at registrere sig selv. Sidst på året udgav den også en midlertidig version 2.0 med en særlig it-applikation for advarselsordningen[5]. Den nye softwareversion blev fuldt operationel i første kvartal af 2010. Takket være en fælles indsats af Kommissionen og medlemslandene var 4 508 kompetente myndigheder registreret i IMI ved udgangen af januar 2010. Heraf havde 3 698 adgang til det nye område tjenesteydelser, men tallet ventes at stige kraftigt i de kommende måneder. Det gennemsnitlige antal forskellige brugere, der var logget på pr. dag, steg fra 40 i januar 2009 til 180 i december. Samlet antal forespørgsler pr. kvartal og lovgivningsområde i 2009 [pic] Inden for erhvervsmæssige kvalifikationer er systemet blevet mere modent, og den ubetingede succes viser, hvor store muligheder der ligger i IMI som et redskab for administrativt samarbejde i EU. Der blev sendt i gennemsnit 350 forespørgsler i kvartalet. Over 90 % af alle forespørgsler om erhvervsmæssige kvalifikationer i 2009 kom fra EU-15, dvs. de EU-lande, der blev optaget inden 2004. Det afspejler, i hvilken retning arbejdskraften bevæger sig. Polen og Rumænien modtog 32 % af alle forespørgsler. Det er vigtigt at bemærke, at 56 % af forespørgslerne blev besvaret i løbet af en uge. Ekspeditionstid for forespørgsler i henhold til direktivet om erhvervsmæssige kvalifikationer i 2009 Fore-spørgsler accepteret | I alt % | Fore-spørgsler besvaret | I alt % | I løbet af 3 dage | 741 | 57,0 % | 518 | 43,0 % | I løbet af 1 uge | 216 | 73,7 % | 167 | 56,8 % | I løbet af 2 uger | 166 | 86,5 % | 170 | 71,0 % | I løbet af 4 uger | 120 | 95,7 % | 164 | 84,6 % | I løbet af 8 uger | 35 | 98,4 % | 106 | 93,4 % | Over 8 uger | 21 | 100,0 % | 80 | 100,0 % | I alt: | 1299 | 1205 | (* Forskellen mellem antallet af accepterede og besvarede forespørgsler skyldes, at nogle forespørgsler blev trukket tilbage eller endnu ikke var afsluttet ved udgangen af december 2009) BEDRE DATABESKYTTELSE I IMI, EN TRINVIS FREMGANGSMÅDE IMI følger princippet om såkaldt indbygget databeskyttelse, dvs. at man sørger for, at databeskyttelse lige fra starten indgår i de systemer, hvor dataene opbevares. Databeskyttelse er også en del af den daglige brug af systemet og behandles i undervisningsmaterialet. Denne fremgangsmåde går et skridt videre end formalistisk eller teoretisk beskyttelse. Den virker tilsyneladende, eftersom ingen medlemslande har rapporteret et eneste problem med databeskyttelse i IMI, og ingen af de registrerede har klaget. Kommissionen har været i dialog med databeskyttelsesmyndighederne og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) i de sidste to år. Hovedtanken bag den trinvise fremgangsmåde er, at eftersom systemet garanterer en høj grad af teknisk og proceduremæssig databeskyttelse, og Kommissionen er fast besluttet på fortsat at forbedre den, bør retsgrundlaget for IMI følge den tekniske udvikling og udvidelsen af systemet til at omfatte andre områder af lovgivningen om det indre marked. Den trinvise fremgangsmåde har på grundlag af de begrænsede erfaringer med systemet gjort det muligt for Kommissionen at fjerne alle de betænkeligheder, EDPS gav udtryk for i en udtalelse af 12. december 2007, og vedtage tre retsakter om databeskyttelse i IMI: a) Kommissionens beslutning af 12. december 2007 om gennemførelse af informationssystemet for det indre marked (IMI) hvad angår beskyttelse af personoplysninger[6] b) Kommissionens henstilling af 26. marts 2009 om databeskyttelsesretningslinjer i forbindelse med informationssystemet for det indre marked (IMI)[7] c) Kommissionens beslutning af 2. oktober 2009 om fastlæggelse af de praktiske foranstaltninger med hensyn til elektronisk informationsudveksling mellem medlemsstaterne i henhold til kapitel VI i Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked[8]. I rapportens afsnit 6 behandles eventuelle andre spørgsmål og indholdet og tidspunktet for kommende tiltag, blandt andet vedtagelse af en retsakt. GENNEMFØRELSE AF KOMMISSIONENS HENSTILLING Forbedringer foretaget af medlemslandene Kontakt med databeskyttelsesmyndighederne Henstillingen tilskyndede "de nationale IMI-koordinatorer til at tage kontakt til deres nationale databeskyttelsesmyndigheder for at få vejledning og bistand med hensyn til, hvordan disse retningslinjer bedst kan gennemføres i national ret" . I deres rapporter til Kommissionen oplyste de fleste medlemslande, at de havde taget kontakt til deres nationale databeskyttelsesmyndigheder. Denne kontakt har forsikret IMI-brugerne om, at personoplysninger kan udveksles gennem IMI i overensstemmelse med lovgivningen om databeskyttelse, og samtidig har de nationale myndigheder fået etableret forbindelser med repræsentanter for andre offentlige myndigheder, som lægger stor vægt på databeskyttelse og går helhjertet ind for at gøre dette ægte europæiske projekt til en succes. Databeskyttelseserklæringer Efter et forslag fra EDPS tilskyndede henstillingen også IMI-koordinatorerne til at drøfte indholdet af databeskyttelseserklæringerne med de lokale databeskyttelsesmyndigheder. Henstillingen kunne dog ikke være særlig specifik på dette punkt, fordi medlemslandene har et vist spillerum til at bestemme, hvordan nogle bestemmelser skal gennemføres, selv om databeskyttelsesdirektivet er harmoniseret fuldt ud. Rapporterne fra medlemslandene bekræfter, at der er forskellig praksis fra land til land med hensyn til databeskyttelseserklæringernes indhold og form. Et lille flertal af medlemslande mener, at form og indhold af de oplysninger, der skal gives til enkeltpersoner, skal fastsættes lokalt af de enkelte kompetente myndigheder i henhold til den lokale lovgivning. I andre medlemslande foreslår man derimod fleksible modeller for hele landet[9]. Bevidsthed og undervisning Et af henstillingens vigtigste resultater er, at den har forbedret bevidstheden om databeskyttelse blandt IMI-aktører og -brugere, som nu har kendskab til generelle databeskyttelsesprincipper og samtidig modtager praktiske forslag, der skal garantere en høj grad af databeskyttelse i IMI. Takket være henstillingen er der nu indarbejdet henvisninger til retningslinjerne for databeskyttelse i det IMI-undervisningsmateriale, der udarbejdes til myndighederne. Forbedringer foretaget af Kommissionen Sikkerhedsplan for IMI Datasikkerhed og fortrolighed er reguleret af Kommissionens afgørelse af 16. august 2006 om sikkerhedsreglerne for Kommissionens informationssystemer[10]. Denne afgørelse blev suppleret af gennemførelsesbestemmelser i 2009 og nyere retningslinjer og standarder, som i store træk er de samme som de internationale. IMI's sikkerhedsforanstaltninger er blevet revideret og opdateret, og en omfattende sikkerhedsplan fra 2009 vil blive revideret i 2010. Tekniske forbedringer Når informationsudvekslingen vedrører følsomme data, er der nu en påmindelse på skærmen om, at oplysningerne er følsomme, og at sagsbehandleren kun bør bede om disse oplysninger, hvis det er absolut nødvendigt og direkte relateret til udøvelsen af den erhvervsmæssige virksomhed eller udførelsen af en given tjenesteydelse. Der er desuden taget fuldt hensyn til databeskyttelse ved udarbejdelsen og gennemførelsen af den nye advarselsordning (se afsnit 5.2.3.2 nedenfor). IMI-webstedet er også blevet forbedret for at gøre det lettere for brugerne at finde de dokumenter, de skal bruge. Afsnittet om databeskyttelse[11] er opdateret med alle retsakter, der vedrører databeskyttelse, korrespondance med EDPS og de spørgsmålsserier, der bruges i systemet. Efter en henvendelse fra Den Europæiske Tilsynsførende for Databeskyttelse er spørgsmål, der vedrører følsomme data, blevet udpeget for at skabe større åbenhed. Servicedirektivet som nyt lovgivningsområde Brugen af IMI under servicedirektivet Servicedirektivet henviser ikke specifikt til IMI (men kun mere generelt til et elektronisk system til udveksling af oplysninger). Derfor var det nødvendigt at fastslå formelt, at IMI skulle bruges til det formål. Det skete ved en beslutning[12] vedtaget af Kommissionen efter den procedure, servicedirektivet kræver ("komitologiafgørelsen"). Komitologiafgørelsen fastlægger de praktiske omstændigheder for udveksling af oplysninger i IMI på området tjenesteydelser. Den bidrager til den høje grad af databeskyttelse i systemet og supplerer de generelle regler baseret på beslutning 2008/49/EF og retningslinjerne for databeskyttelse i henstillingen med større åbenhed og præcision. Der skal tages stilling til eventuelle yderligere databeskyttelsesforanstaltninger senere, hvis det er nødvendigt, i lyset af erfaringerne med systemet[13]. En databeskyttelsesvenlig udformning af advarselsordningen Advarselsordningen er oprettet i henhold til servicedirektivets artikel 29, stk. 3, og artikel 32, og supplerer RAPEX-systemet for varer. Den er med til at forebygge risikoen for forbrugerne som følge af tjenesteydelser. Gennem advarselsordningen kan medlemslandene overholde deres juridiske forpligtelse til at udveksle oplysninger. Dermed er den fuldt ud lovlig fra en databeskyttelsessynsvinkel. Kommissionen er dog klar over, at et sådant system har en vis betydning for databeskyttelsen. Den har derfor omhyggeligt sørget for at udforme en databeskyttelsesvenlig ordning og opfordrer medlemslandene, som er ansvarlige for databeskyttelsen, til at sikre, at reglerne anvendes korrekt, når de sender eller modtager advarsler. Advarselsordningen omfatter en lang række databeskyttelsesforanstaltninger, som er generelle for IMI-systemet, plus nogle særlige sikkerhedsregler, der skal sikre: a) At kun specifikke kompetente myndigheder har adgang til dataene I tråd med IMI's generelle fremgangsmåde er adgangen til oplysninger som led i advarselsordningen begrænset til det absolut påkrævede. Kompetente myndigheder og IMI-brugere har kun adgang til advarsler, hvis medlemslandene har givet dem adgang ikke blot til IMI generelt, men specifikt til advarselsordningen. Kompetente myndigheder og IMI-brugere kan ikke automatisk sende eller modtage advarsler. Denne funktion skal aktiveres særskilt. b) At der ikke sendes unødige advarsler Man kan ikke sende en advarsel uden at udfylde en tjekliste. Det skal sikre, at kriterierne er opfyldt, f.eks. at der er tale om alvorlige specifikke handlinger eller forhold vedrørende servicevirksomhed, som kan forårsage alvorlig skade. Hvis en myndighed ikke krydser alle de relevante kriterier af, giver systemet den ikke lov til at sende en advarsel. Desuden bliver advarslen ikke sendt direkte til andre medlemslande, men først til en advarselskoordinator i samme medlemsland. Advarselskoordinatoren skal igen tage stilling til, om advarslen skal sendes videre til andre medlemslande. c) At advarsler ikke sendes til flere modtagere end nødvendigt for at opfylde lovkravene om information Når der sendes advarsler til andre medlemslande, skal afsendermyndigheden og advarselskoordinatoren vurdere, hvilke lande der er behov for at sende den til. Hvis det medlemsland, hvor en tjenesteydelse tilbydes, vil sende en advarsel, er det kun tjenesteyderens etableringsland og Kommissionen, der automatisk modtager advarslen. Derved sikrer man, at andre medlemslande kun føjes til listen af modtagere efter en specifik vurdering af, om det er nødvendigt i den pågældende sag. Når advarslen sendes til andre medlemslande, er det desuden en advarselspostkasse (normalt den nationale advarselskoordinator), der modtager den, og ikke alle de kompetente myndigheder i modtagerlandet. Modtageren afgør, hvilke kompetente myndigheder i landet, sagen vedrører, og som skal kontaktes. d) At Kommissionen ikke har adgang til personoplysninger, når den modtager advarsler i henhold til servicedirektivet I henhold til servicedirektivet skal alle advarsler sendes til Kommissionen, men i modsætning til medlemslandene har Kommissionen ikke behov for adgang til personoplysninger. Kommissionen modtager derfor advarsler uden personoplysninger. e) At eventuelle ubegrundede advarsler hurtigt kan trækkes tilbage, og at ukorrekte data kan rettes eller slettes I IMI-systemet kan en kompetent myndighed, som har sendt en ubegrundet advarsel, trække den tilbage øjeblikkeligt og dermed gøre den usynlig for alle IMI-brugere. Hvis advarslen var begrundet, men der er behov for at rette nogle oplysninger, kan afsendermyndigheden gøre det når som helst. IMI-systemet giver desuden andre myndigheder, der har modtaget advarslen, mulighed for at påpege, at visse oplysninger i advarslen er ukorrekte. f) At advarsler afsluttes, så snart der ikke længere er nogen risiko, at dataene øjeblikkelig bliver usynlige for alle brugere, og at personoplysninger slettes seks måneder efter afslutningen Når den risiko, der udløste advarslen, er forsvundet, skal advarslen lukkes. IMI-systemet giver så etableringslandet mulighed for at afslutte advarslen, og de ansvarlige myndigheder modtager påmindelser pr. e-mail. Når en advarsel er lukket, bliver den usynlig. Senest seks måneder efter afslutningen slettes alle personoplysninger automatisk og fjernes fra systemet. SPØRGSMÅL TIL NÆRMERE OVERVEJELSE Selv om de fleste medlemslande har udtalt sig positivt om databeskyttelsen i IMI, har nogle få af dem bragt spørgsmål på bane, som gennemgås i denne del af rapporten. Gældende regler om datasikkerhed og fortrolighed Behandlingen af personoplysninger i IMI omfatter fælles behandling (foretaget af Kommissionen og medlemslandene), fælles kontrol (foretaget af de forskellige brugere og aktører) og fælles tilsyn (foretaget af de nationale databeskyttelsesmyndigheder og EDPS). Det er ikke altid let at fordele ansvaret i et så komplekst scenarie. De danske og tyske databeskyttelsesmyndigheder mener, at når de kompetente myndigheder på deres områder skal opfylde visse nationale krav (f.eks. en skrappere autentificeringsordning, se næste afsnit), må de insistere på, at IMI også skal opfylde de nationale krav. Ellers må de holde op med at bruge systemet. De kompetente myndigheder har sendt anmodning herom til Kommissionen, som er ansvarlig for systemets sikkerhed. Kommissionen mener, at IMI er et sikkert system, og at et reelt europæisk netværk som IMI ikke ville kunne fungere, hvis alle medlemslande insisterede på, at deres nationale sikkerhedsstandarder skulle overholdes. Formålet med vedtagelsen af databeskyttelsesdirektivet for næsten 20 år siden var dels at beskytte den grundlæggende ret til databeskyttelse, dels at garantere frie strømme af personoplysninger mellem medlemslandene indbyrdes og mellem medlemslandene og EU-institutionerne[14] . På dette grundlag insisterer Kommissionen på, at på baggrund af de omfattende garantier for databeskyttelse i IMI-systemet og princippet om loyalt samarbejde i EU-traktatens artikel 4, stk. 3, bør de nationale databeskyttelsesmyndigheder ikke lægge hindringer i vejen for, at de kompetente nationale myndigheder kan bruge systemet. Skrappere autentificering i IMI IMI's autentificeringssystem er en avanceret udgave af enkeltfaktorautentificering, da det kombinerer et brugernavn og password med en pinkode. Når brugeren vil have adgang til systemet, bliver han eller hun bedt om en vilkårligt valgt kombination af tegn fra pinkoden. De tyske og danske databeskyttelsesmyndigheder har givet udtryk for visse betænkeligheder ved IMI's autentificeringssystem. Kommissionen mener, at det nuværende autentificeringssystem er passende, når man afvejer den seneste teknologi med gennemførelsesomkostningerne, men er enig i, at skrappere autentificering er ønskværdig på længere sigt. Da medlemslandene har indført forskellige autentificeringssystemer, som ikke altid er driftskompatible, synes den foretrukne løsning for skrappere autentificering i IMI at være e-identiteter, der forvaltes i medlemslandene, som bliver kompatible med andre systemer ved hjælp af "middleware". En af mulighederne er STORK-projektet, der er ved at blive udviklet af et konsortium, som nogle medlemslande deltager i, og som finansieres under støtteprogrammet for ikt-politikken under rammeprogrammet for konkurrenceevne og innovation. Kommissionen vil følge udviklingen nøje i de kommende måneder, der bliver afgørende for, om det skal bruges i IMI. Datasikkerhed omtales også i afsnit 7.2. Dataopbevaring IMI's politik for opbevaring af data er meget streng[15], og nogle aktører og brugere har påpeget, at den bør revideres. Det er ikke altid i den registreredes interesse at få slettet sine personoplysninger før tiden. Han eller hun vil måske foretrække, at dataene lagres i IMI i en længere periode, f.eks. i forbindelse med en retssag. Domstolen fastslog for nylig i en dom[16], at retten til adgang til information[17] gælder ikke blot aktuelle data, men også data, man tidligere har ligget inde med. Derfor finder Domstolen, at det kan være ulovligt at begrænse adgangen ved at slette dataene, medmindre det kan påvises, at det ville indebære en uforholdsmæssigt stor byrde for den registeransvarlige at opbevare oplysningerne længere. Kommissionen mener ikke, at opbevaring af personoplysninger i IMI i en længere periode ville være en uforholdsmæssigt stor byrde, og den vil derfor overveje en længere opbevaringsperiode, der eventuelt også kan omfatte en overgangsfase, hvor oplysningerne er blokeret, dvs. at dataene er usynlige for alle brugere, indtil de slettes endeligt. De mulige implikationer af en blokeringspolitik, herunder hvem der skal have adgang til de blokerede data og til hvilke formål, vil blive analyseret grundigt. Det er et godt eksempel på, hvor vigtigt det er at foretage grundige overvejelser, inden man vedtager juridisk bindende regler for, hvordan IMI skal fungere. Det er afgørende, at Kommissionen og medlemslandene på den ene side garanterer god databeskyttelse og inddrager databeskyttelsesmyndighederne i processen og på den anden side kan drage fordel af tilstrækkelige erfaringer med systemet til at undgå at vedtage ineffektive databeskyttelsesregler eller endog regler, der virker mod hensigten. National brug af IMI Ved gennemførelsen af servicedirektivet i Nederlandene har man også givet de nederlandske myndigheder mulighed for at bruge IMI til at udveksle oplysninger inden for landets grænser. Kommissionen hilser dette initiativ velkomment. Det viser IMI's potentiale for at blive brugt af alle mulige myndigheder. Der er dog tre betingelser for, at medlemslandene kan bruge IMI nationalt: a) behandlingen af personoplysninger og lagring af data på Kommissionens servere må ikke være i strid med landets lovgivning b) systemet skal bruges, som det er, dvs. med de samme spørgsmålsserier og funktioner, og c) medlemslandet skal tage det fulde ansvar for alle forhold (databeskyttelse eller andet) i forbindelse med brugen af systemet inden for landets grænser. Medlemslande, der er interesseret i at bruge IMI nationalt, bedes derfor først henvende sig til deres nationale databeskyttelsesmyndigheder og derefter kontakte Kommissionen for at drøfte sagen og sikre sig, at der ikke opstår problemer på grund af databeskyttelseslovgivningen. Specifikke databeskyttelsesforanstaltninger i juridisk bindende EU-lovgivning I sin udtalelse af 12. december 2007 og i brevveksling med Kommissionen har EDPS efterlyst specifikke, juridisk bindende databeskyttelsesforanstaltninger forankret i EU-lovgivning, når IMI udvides til at omfatte andre områder end servicedirektivet og direktivet om erhvervsmæssige kvalifikationer. De tyske databeskyttelsesmyndigheder har givet udtryk for en lignende holdning. I 2010 vil den nye Kommissionen se med friske øjne på, hvordan det indre marked fungerer, og på muligheden for at øge IMI's bidrag til at hjælpe medlemslandene med et gennemføre lovgivningen om det indre marked. Den vil overveje, hvilke andre lovgivningsområder der kunne have glæde af at bruge IMI. Der er allerede indført en omfattende pakke databeskyttelsesforanstaltninger, og tilbagemeldingerne fra medlemslandene har været positive. Kommissionen mener derfor, at det ville være uklogt at fremsætte et lovforslag, inden man har afgrænset IMI's anvendelsesområde og indhentet erfaringer med den praktiske brug af systemet på serviceområdet. Et kommende forslag skal afstemmes med udviklingen på disse områder for at skabe et solidt, fremtidssikret fundament for IMI og databeskyttelse. I mellemtiden vil Kommissionen fortsat forbedre databeskyttelsen i IMI i tæt samarbejde med medlemslandene og EDPS, som forklaret herunder. KOMMENDE FORBEDRINGER Tekniske forbedringer Automatiske påmindelser og lister over hastesager, der kræver et svar (for at forespørgsler ikke skal være åbne længere end nødvendigt), vil indgå i en kommende softwareopdatering. Hvad angår en onlineprocedure til at rette, blokere eller slette data, mener Kommissionen, da der endnu ikke er fremsat anmodninger herom, og der efter al sandsynlighed ikke vil komme mange anmodninger i fremtiden, at det ville være bedre at indføre en lettere procedure, der vil blive ordentligt dokumenteret med hjælp fra Kommissionens databeskyttelsesansvarlige og EDPS. Datasikkerhed I overensstemmelse med de nye retningslinjer og standarder, som Kommissionen for nylig har vedtaget, vil den foretage en ny risikovurdering for IMI i 2010 og opdatere sikkerhedsplanen herefter med angivelse af, hvilke dele af systemet der skal ses på, de mulige trusler og de nødvendige infrastruktur- og softwareforanstaltninger. Hvis risikovurderingen viser, at der er behov for yderligere sikkerhedsforanstaltninger, vil de gradvis blive indført som led i kommende softwareopdateringer. I begyndelsen af 2011 vil der desuden blive en ekstern revision, som især vil fokusere på systemets resultater og stabilitet, men også dække visse databeskyttelses- og sikkerhedsspørgsmål. Revision af direktivet om erhvervsmæssige kvalifikationer Der vil blive foretaget en evaluering af direktivet om erhvervsmæssige kvalifikationer i 2010-2011, som blandt vil omfatte en vurdering af det administrative samarbejde og brugen af IMI, herunder databeskyttelsesspørgsmål. KONKLUSIONER Kommissionen er tilfreds med gennemførelsen af henstillingen og den nuværende databeskyttelse i IMI. Den vil dog fortsat arbejde for yderligere forbedringer af systemet, især tekniske forbedringer og bedre datasikkerhed. Kommissionen vil også undersøge muligheden for at udvide IMI til at omfatte andre områder af det indre marked og udnytte de yderligere praktiske erfaringer med brugen af IMI på serviceområdet. Et kommende forslag til EU-lovgivning skal inddrage udviklingen og overvejelserne på disse områder for at skabe et solidt, fremtidssikret fundament for IMI og databeskyttelse. I første kvartal af 2011 vil der blive offentliggjort et internt arbejdsdokument om brugen og udviklingen af IMI-systemet i 2010. Denne rapport vil også omfatte databeskyttelse. [1] K(2009) 2041endelig. EUT L 100 af 18.4.2009, s. 12. [2] 17 medlemslande deltog i høringen, der bestod af følgende spørgsmål:- Har I kontaktet de nationale databeskyttelsesmyndigheder? Har de givet udtryk for deres holdning til gennemførelsen af retningslinjerne?- Har I indført en generel erklæring om databeskyttelsespolitik, eller varetages det lokalt af de kompetente myndigheder?- Er jeres kompetente myndigheder stødt på databeskyttelsesproblemer i forbindelse med afsendelse eller besvarelse af forespørgsler i IMI?- Har jeres kompetente myndigheder gjort opmærksom på problemer i forbindelse med spørgsmål om straffeattester?- Har jeres kompetente myndigheder modtaget anmodninger om adgang til, sletning af eller rettelser i data fra de registrerede?- Er jeres kompetente myndigheder klar over, at systemet giver mulighed for at få slettet personoplysninger på et tidligt tidspunkt? Udnytter de denne mulighed?- Er databeskyttelse indgået i jeres IMI-kurser? [3] Europa-Parlamentets og Rådets direktiv 2006/123/EF af 12. december 2006 om tjenesteydelser i det indre marked, EUT L 376 af 27.12.2006, s. 36. [4] I 2009 holdt Kommissionen tre endageskurser for IMI-koordinatorer i Bruxelles. Der var omkring 60 deltagere i hvert kursus. I samme periode holdt medlemslandene i alt over 100 kurser for kompetente lokale, regionale og nationale myndigheder. [5] Jf. artikel 32 i servicedirektivet. [6] K(2007) 6306, EUT L 13 af 16.1.2008, s. 13. [7] K(2009) 2041 endelig, EUT L 100 af 18.4.2009, s. 12. [8] K(2009) 7493, EUT L 263 af 7.10.2009, s. 32. [9] Et godt eksempel på en national model udarbejdet med teknisk bistand fra de nationale databeskyttelsesmyndigheder er det spanske IMI-teams databeskyttelseserklæring ( cláusula de privacidad ):http://www.mpt.es/documentacion/sistema_IMI/documentos/protec_datos/ClausulaIMI_ES/document_es/Clausula_IMI.pdf. [10] K(2006) 3602. [11] http://ec.europa.eu/internal_market/imi-net/data_protection_da.html [12] Kommissionens beslutning af 2. oktober 2009 om fastlæggelse af de praktiske foranstaltninger med hensyn til elektronisk informationsudveksling mellem medlemsstaterne i henhold til kapitel VI i Europa-Parlamentets og Rådets direktiv 2006/123/EF om tjenesteydelser i det indre marked. [13] Se henstillingens kapitel 13, underafsnittet "Igangværende tiltag", litra d). [14] Dette princip fremgår tydeligt af artikel 1, stk. 2, i databeskyttelsesdirektivet og artikel 1, stk. 1, og 13. betragtning i databeskyttelsesforordningen: "Sigtet er at garantere både en effektiv overholdelse af reglerne for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder og fri udveksling af personoplysninger mellem medlemsstaterne og fællesskabsinstitutionerne og -organerne og mellem fællesskabsinstitutionerne og -organerne indbyrdes som led i udøvelsen af deres respektive beføjelser." [15] Personoplysninger kan man få slettet før tiden gennem blot nogle få klik, og under alle omstændigheder slettes alle personoplysninger automatisk seks måneder efter afslutningen af en forespørgsel. [16] C-553/07, Rotterdam mod Rijkeboer. [17] Se direktiv 95/46/EF, artikel 12, litra a).