|
31.8.2017 |
DA |
Den Europæiske Unions Tidende |
C 288/107 |
Det Europæiske Økonomiske og Sociale Udvalgs udtalelse om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF
(COM(2017) 8 final — 2017/0002 (COD))
(2017/C 288/15)
|
Ordfører: |
Jorge PEGADO LIZ |
|
Anmodning om udtalelse |
Kommissionen, 26/04/2017 |
|
Retsgrundlag |
Artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde |
|
|
|
|
Kompetence |
Sektionen for Transport, Energi, Infrastruktur og Informationssamfundet |
|
Vedtaget i sektionen |
16/05/2017 |
|
Vedtaget på plenarforsamlingen |
31/05/2017 |
|
Plenarforsamling nr. |
526 |
|
Resultat af afstemningen (for/imod/hverken for eller imod) |
161/0/2 |
1. Konklusioner og anbefalinger
|
1.1. |
Set ud fra et rent juridisk-teknisk synspunkt giver Kommissionen med det foreliggende forslag et generelt korrekt og passende bud på, hvordan de gældende bestemmelser i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 (1) og Europa-Parlamentets, Rådets og Kommissionens afgørelse nr. 1247/2002/EF (2) om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer kan tilpasses til den nye generelle forordning om databeskyttelse (3), der træder i kraft i hele EU den 25. maj 2018. |
|
1.2. |
Ikke desto mindre henviser EØSU til indholdet af sine bemærkninger og anbefalinger vedrørende forslaget til den generelle databeskyttelsesforordning, som nu er omdannet til den nuværende generelle forordning, og beklager, at denne endelige udgave ikke fuldt ud har taget EØSU's anbefalinger til sig. Derudover er EØSU i lyset af den hastige teknologiske udvikling på dette område bange for, at dens forsinkede vedtagelse og ikrafttræden, vil øge risikoen for uretmæssig tilegnelse af data og misbrug i forbindelse med behandlingen og udvekslingen af dem, idet man kan frygte, at forordningen vil være forældet allerede før, den implementeres. Da nærværende forslag i sig selv er en tilpasning af den nævnte generelle forordning til EU-institutionernes funktionsmåde, nærer EØSU samme bekymringer mht. dette forslag, især hvad angår dets uigennemskuelige formuleringer, som den almindelige EU-borger vil have svært ved at forstå. |
|
1.3. |
Endvidere mener EØSU, at fremgangsmåden i EU-institutionerne bør tjene som forbillede for procedurerne på nationalt plan, og at man derfor bør kunne forlange en særlig omhyggelig affattelse af forslagets tekst. |
|
1.4. |
Der er således efter EØSU's mening aspekter, som burde have været behandlet eksplicit i nærværende forslag, såsom sammenkædningen af dette forslag med Vedtægten for tjenestemænd i Den Europæiske Union, behandlingen af chikane, cyberbullying og whistle blowing i EU-institutionerne, forordningens anvendelse for så vidt angår tingenes internet, big data og anvendelsen af søgemaskiner til at få adgang til, producere og benytte personoplysninger, såvel som de personlige oplysninger, der offentliggøres i institutionernes indlæg på de sociale medier (Facebook, Twitter, Instagram, Linkedin osv.). |
|
1.5. |
Ligeledes havde EØSU gerne set, at forslaget havde fastlagt sikkerhedskrav til de IT-systemer, der skal understøtte databehandlingen, såvel som forholdsregler mod cyberangreb og misbrug eller lækage af disse data, idet de bør være teknologineutrale og ikke blot afhænge af de enkelte tjenestegrenes interne regler. Desuden bør sammenhængen mellem databeskyttelse og bekæmpelse af kriminalitet og terrorisme tydeliggøres, hvilket dog ikke må være ensbetydende med vedtagelse af uforholdsmæssige eller overdrevne overvågningsforanstaltninger, som under alle omstændigheder altid er underlagt kontrol af Den Europæiske Tilsynsførende for Databeskyttelse. |
|
1.6. |
Endvidere burde forslaget have defineret de kvalifikationer og uddannelsesmæssige karakteristika samt egnethed, som kræves for at blive udpeget som dataansvarlig og databehandler i EU-institutionerne, altid underlagt kontrol og overvågning af Den Europæiske Tilsynsførende for Databeskyttelse. |
|
1.7. |
I betragtning af de indsamlede datas særlige karakter og det forhold, at de direkte vedrører de berørte personers privatliv, herunder især helbredsmæssige, skattemæssige og sociale oplysninger, så EØSU gerne, at de blev begrænset til det strengt nødvendige til det pågældende formål, og at der sikres maksimal beskyttelse og maksimale garantier ved behandlingen af disse særligt følsomme personoplysninger ved at tage udgangspunkt i de internationale standarder og den mest avancerede nationale lovgivning samt bedste praksis i visse medlemsstater. |
|
1.8. |
EØSU understreger nødvendigheden af, at forslaget udtrykkeligt fastsætter, at Den Europæiske Tilsynsførende for Databeskyttelse skal tildeles flere midler og tilstrækkeligt personale med stor viden og teknisk kompetence på databeskyttelsesområdet. |
|
1.9. |
EØSU betoner endnu en gang nødvendigheden af, at oplysninger vedrørende juridiske personer (virksomheder, NGO'er, erhvervsdrivende selskaber osv.), der er lovligt etablerede, også beskyttes i forbindelse med indsamling og behandling. |
|
1.10. |
Endelig peger EØSU i sin detaljerede analyse på en række ændringer i flere bestemmelser, som — hvis de vedtages — vil bidrage til en mere effektiv beskyttelse af personoplysninger i EU's institutioner, ikke kun for de ansatte, men også for de tusinder af EU-borgere, som kommer i kontakt med dem, og derfor opfordrer det Kommissionen, Europa-Parlamentet og Rådet til at tage hensyn hertil i den endelige udformning af forslaget. |
2. Forslagets baggrund og formål
|
2.1. |
Ifølge Kommissionens begrundelse for forslaget er formålet med det at ophæve forordning (EF) nr. 45/2001 (4) og afgørelse nr. 1247/2002/EF om beskyttelse af personoplysninger i Unionens institutioner, organer, kontorer og agenturer med to mål for øje:
|
|
2.2. |
Efter en lang og svær modningsproces har Rådet og Parlamentet nu endeligt vedtaget den generelle forordning om databeskyttelse (5), som vil blive anvendt i hele EU fra den 25. maj 2018. Denne forordning kræver en tilpasning af flere retsakter (6), heriblandt den nævnte forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF. |
|
2.3. |
Ud fra resultaterne af undersøgelser og høringer af interessenter og af evalueringsundersøgelsen af dens anvendelse de sidste 15 år, som Kommissionen redegør indgående for, konkluderer den bl.a. at:
|
|
2.4. |
I betragtning af karakteren og omfanget af de ændringer, der skulle foretages i de tidligere retsakter, besluttede Kommissionen at ophæve dem helt og erstatte dem med den foreliggende forordning, der stemmer overens med de øvrige nævnte bestemmelser, og som skal træde i kraft samtidig med forordning (EU) 2016/679 som fastsat i dens artikel 98. |
3. Generelle bemærkninger
|
3.1. |
Set ud fra et rent teknisk-juridisk synspunkt er EØSU principielt enigt i:
|
|
3.2. |
Uagtet ovenstående fastholder EØSU indholdet af sine bemærkninger og anbefalinger vedrørende forslaget til den generelle databeskyttelsesforordning (8) — der nu er vedtaget (9) — og som denne endelige udgave ikke fuldt ud har taget hensyn til. Derudover vil dens forsinkede vedtagelse og ikrafttræden i lyset af den hastige teknologiske udvikling på dette område øge risikoen for uretmæssig tilegnelse af data og misbrug i forbindelse med behandlingen og udvekslingen af dem, idet man kan frygte, at forordningen vil være forældet allerede før, den gennemføres. For så vidt som det foreliggende forslag er en tilpasning af den nævnte generelle forordning til EU-institutionernes funktionsmåde, nærer EØSU samme bekymringer mht. det foreliggende forslag til forordning, især hvad angår dets uigennemskuelige formuleringer, som den almindelige EU-borger vil have svært ved at forstå, og som burde have været fremlagt og debatteret samtidig med førnævnte forslag. |
|
3.3. |
Endvidere mener EØSU — i betragtning af, at fremgangsmåden i EU-institutionerne bør tjene som forbillede for procedurerne på nationalt plan — at visse emner burde have været taget op i det her behandlede forslag. |
|
3.4. |
Det er for det første ikke klart, om dette forslag er blevet behørigt koordineret med Vedtægten for tjenestemænd i Den Europæiske Union (forordning (EØF) nr. 31 (10)), eftersom der mangler specifikke regler, som kan sikre, at personoplysninger om tjenestemænd og medarbejdere i institutionerne er omfattet af en garanti for mere effektiv beskyttelse, når det gælder oplysninger om deres ansættelse, karriere, kontraktens varighed og eventuelle forlængelse samt evaluering af den. |
|
3.4.1. |
Hvis sådanne bestemmelser ikke medtages i denne lovtekst, bør der fastlægges generelle bestemmelser med forskrifter for registreringen af de ansattes og deres familiemedlemmers helbred, beskyttelsen af data, der er produceret eller benyttet af de ansatte, og de respektive genetiske data, behandlingen og beskyttelsen af meddelelser sendt pr. e-mail, dels fra borgerne til EU-organerne, dels internt mellem EU-ansatte og mellem disse og folk udefra, samt indholdet heraf, og de besøgte sider på internettet (11). |
|
3.4.2. |
Med forbehold for artikel 68 bør chikane, cyberbullying og whistle blowing i EU-institutionerne ligeledes være genstand for en særlig opmærksomhed. |
|
3.4.3. |
EØSU rejser ligeledes spørgsmålet om anvendelsen af det foreliggende forslag og forordning (EU) 2016/679 på tingenes internet, på big data og på anvendelsen af søgemaskiner til at få adgang til, producere og benytte personoplysninger, såvel som på de personlige oplysninger, der offentliggøres i institutionernes sider på de sociale medier (Facebook, Twitter, Instagram, Linkedin osv.), uanset om den pågældende har givet sit udtrykkelige samtykke. |
|
3.5. |
EØSU havde gerne set, at Kommissionen ud over referencen til fortroligheden af elektronisk kommunikation i artikel 34 i forslaget til forordning havde fastlagt sikkerhedskrav til de IT-systemer, der skal understøtte databehandlingen, såvel som forholdsregler mod cyberangreb og misbrug eller lækage af disse data (12), idet de bør være teknologineutrale og ikke blot afhænge af de enkelte tjenestegrenes interne regler. Desuden bør sammenhængen mellem databeskyttelse og bekæmpelse af kriminalitet og terrorisme tydeliggøres, hvilket dog ikke må være ensbetydende med vedtagelse af uforholdsmæssige eller overdrevne overvågningsforanstaltninger, som under alle omstændigheder altid er underlagt kontrol af Den Europæiske Tilsynsførende for Databeskyttelse. |
|
3.6. |
EØSU understreger, at samkøring af personoplysninger i EU's institutioner og organer ikke blot kan styres af princippet om ansvarlighed som anført i betragtning 16, og udvalget opfordrer i denne forbindelse Kommissionen til at indføje en specifik regel om, at samkøring kun kan foretages med tilladelse fra Den Europæiske Tilsynsførende for Databeskyttelse på anmodning af den dataansvarlige alene eller sammen med databehandleren. |
|
3.7. |
Endvidere havde EØSU gerne set, at forslaget — ud over hvad der er fastsat i betragtning 51 og i artikel 44, stk. 3 — havde defineret de kvalifikationer og uddannelsesmæssige karakteristika samt egnethed, som kræves for at blive udpeget som databeskyttelsesrådgiver, dataansvarlig og databehandler i EU's institutioner (13), og at en eventuel tilsidesættelse af deres forpligtelser straffes med virkeligt afskrækkende sanktioner på disciplinært, civilretligt og strafferetligt plan, som skal anføres i forslaget, altid under kontrol og overvågning af Den Europæiske Tilsynsførende for Databeskyttelse. |
|
3.8. |
EØSU ville — om end det foreliggende forslag giver et højere beskyttelsesniveau end den nuværende forordning (EF) nr. 45/2001 — have sat pris på, at indsamlingen af personoplysninger i betragtning af deres særlige karakter og det forhold, at de direkte vedrører de berørte personers privatliv, herunder især helbredsmæssige, skattemæssige og sociale forhold, blev begrænset til det strengt nødvendige til de respektive formål, og at der sikres maksimal beskyttelse og maksimale garantier ved behandlingen af disse særligt følsomme personoplysninger ved at tage udgangspunkt i de internationale standarder og den mest avancerede nationale lovgivning samt bedste praksis i visse medlemsstater (14). |
|
3.9. |
Skønt EØSU er helt klar over, at såvel forordning (EU) 2016/679 som det her behandlede forslag kun gælder for personoplysninger om fysiske personer, betoner udvalget endnu en gang nødvendigheden af, at oplysninger vedrørende juridiske personer (virksomheder, NGO'er, erhvervsdrivende selskaber osv.), der er lovligt etablerede, også beskyttes i forbindelse med indsamling og behandling. |
4. Særlige bemærkninger
|
4.1. |
Ved nærlæsningen af forslagsteksten rejser der sig nogle tvivlsspørgsmål og forbehold i lyset af de grundlæggende principper for beskyttelsen af privatlivets fred i EU's charter om grundlæggende rettigheder samt proportionalitets- og nærhedsprincipperne. |
4.2. Artikel 3
Unionens institutioner og organer defineres i stk. 2, litra a), som »Unionens institutioner, organer, kontorer og agenturer, der er oprettet ved eller på grundlag af traktaten om Den Europæiske Union, traktaten om Den Europæiske Unions funktionsmåde eller Euratomtraktaten«. EØSU spørger sig selv, om denne definition også omfatter arbejdsgrupper, rådgivende råd, komitéer, platforme, ad hoc-grupper osv. samt de internationale IT-netværk, som institutionerne indgår i, men ikke ejer.
4.3. Artikel 4
|
4.3.1. |
I betragtning af, at den foreliggende forordning gælder for data, der behandles i EU's institutioner, bør der efter EØSU's mening indføjes en udtrykkelig henvisning til princippet om ikke-forskelsbehandling på grundlag af de behandlede data. |
|
4.3.2. |
Med hensyn til artikel 4, stk. 1, litra b), vedrørende viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål, bør en sådan behandling være betinget af forudgående tilladelse fra Den Europæiske Tilsynsførende for Databeskyttelse, hvilket ikke er nævnt i artikel 58. |
|
4.3.3. |
Endelig bør der være en udtrykkelig bestemmelse svarende til den nuværende i artikel 7 i forordning (EF) nr. 45/2001 vedrørende overførsel af data mellem EU's institutioner. |
4.4. Artikel 5
|
4.4.1. |
Det er uklart, hvorfor der i artikel 5, stk. 1, litra b), i forslaget til forordning ikke henvises til stk. 2 i samme artikel, mens dette er tilfældet for artikel 6, litra c) og e), som begge er underlagt bestemmelsen i artikel 3 i den generelle forordning om databeskyttelse. |
|
4.4.2. |
EØSU mener, at det i litra d) bør tilføjes, at samtykket skal være underlagt princippet om god tro. |
4.5. Artikel 6
|
4.5.1. |
Anvendelsen af denne artikel bør altid ske på betingelse af en tilladelse fra Den Europæiske Tilsynsførende for Databeskyttelse. |
|
4.5.2. |
I disse tilfælde bør den registrerede altid underrettes i forvejen om denne mulighed, når dataene indsamles, eller når der træffes en ny beslutning, og vedkommende bør i givet fald kunne anmode om en berigtigelse, gøre indsigelse og anmode om sletning eller begrænsning af denne behandling. |
4.6. Artikel 8
|
4.6.1. |
Efter EØSU's opfattelse er undtagelsen fra reglen om gyldigheden af samtykke fra børn under 16 år (mellem 13 og 16 år), som allerede i sig selv er en afvigelse, kun tilladelig for medlemsstaterne af kulturelle grunde og i henhold til national ret (artikel 8 i den generelle forordning), men det bør ikke være en regel, som kan anvendes af EU-institutionerne (artikel 8, stk. 1), der fastsætter 13 år som aldersgrænse. |
|
4.6.2. |
Endvidere specificeres det ikke, hvordan Den Europæiske Tilsynsførende for Databeskyttelse skal sætte »særlig fokus« på børn, som nævnt i artikel 58, stk. 1, litra b), navnlig i tilfældet med de brugerfortegnelser, der er omhandlet i artikel 36, når oplysningerne heri er offentligt tilgængelige. |
4.7. Artikel 10
|
4.7.1. |
I stk. 1 bør tilføjes partitilhørsforhold (der ikke er synomymt med politisk overbevisning) og en henvisning til privatlivets fred. |
|
4.7.2. |
I stk. 2, litra b), bør det tilføjes, at den registrerede altid skal underrettes på forhånd, også med henblik på overholdelse af den registreredes forpligtelser og specifikke rettigheder. |
|
4.7.3. |
I stk. 2, litra d), bør det fastsættes, at behandlingen kun kan foretages med den registreredes samtykke. |
|
4.7.4. |
Litra e) bør kun udgøre en undtagelse, hvis man med rette kan udlede af den registreredes erklæringer, at vedkommende har givet sit samtykke til behandlingen. |
4.8. Artikel 14
Eftersom EU-institutionerne ikke har ret til at opkræve gebyrer for leverede tjenester, bør afvisningen af at efterkomme en anmodning kun være en sidste udvej.
4.9. Artikel 15, 16 og 17
|
4.9.1. |
Hvad angår de yderligere oplysninger, der er omhandlet i artikel 15, stk. 2, bør der tilføjes et krav om, at den dataansvarlige skal underrette den registrerede, om det er obligatorisk eller fakultativt at svare, og om de mulige konsekvenser af ikke at svare. |
|
4.9.2. |
I tilfælde af indsamling af data i åbne net, bør den registrerede altid underrettes, når der er mulighed for, at dennes personoplysninger kan cirkulere på nettet uden beskyttelse og risikerer at blive set og brugt af tredjemænd, der ikke er berettiget til at modtage dem. |
|
4.9.3. |
Den ret, der er fastsat i artikel 17, stk. 1, bør kunne udøves frit og uden begrænsninger med rimelige mellemrum, hurtigt eller omgående samt gratis. |
|
4.9.4. |
EØSU foreslår, at det skal være obligatorisk at underrette den registrerede om, hvorvidt vedkommendes personoplysninger bliver behandlet eller ej. |
|
4.9.5. |
Den information, der skal gives i henhold til artikel 17, stk. 1, skal være forståelig, klar og logisk, herunder navnlig information om data, der behandles, og enhver information om, hvorfra oplysningerne stammer. |
4.10. Artikel 21
Man får den opfattelse, at den omstændighed, at forslaget til forordning ikke indeholder bestemmelser identiske med artikel 21, stk. 2 og 3, i den generelle forordning om databeskyttelse, er ensbetydende med, at oplysningerne aldrig må behandles med henblik på direkte markedsføring, hvilket er prisværdigt, men usikkerheden omkring denne fortolkning bør udtrykkeligt afklares i bestemmelsens ordlyd.
4.11. Artikel 24
|
4.11.1. |
EØSU mener, at det i stk. 2, litra c), bør tilføjes, at dette samtykke først kan gives efter, at den registrerede er blevet udtrykkeligt informeret om afgørelsernes retsindvirkning, da samtykket kun på denne måde vil være behørigt informeret. |
|
4.11.2. |
Med hensyn til stk. 3 mener EØSU, at de »passende foranstaltninger« bør defineres af Den Europæiske Tilsynsførende for Databeskyttelse og ikke af den dataansvarlige. |
4.12. Artikel 25
|
4.12.1. |
EØSU frygter, at formuleringen af artikel 25 i forslaget til forordning udgør en for bred fortolkning af artikel 23 i den generelle forordning om databeskyttelse, når det gælder begrænsningerne for anvendelsen af bestemmelserne om den registreredes grundlæggende rettigheder. EØSU råder derfor til en kritisk og eventuelt restriktiv revision ud fra en omhyggelig analyse af de forskellige stykker i denne artikel, især for så vidt angår begrænsningen af fortroligheden i de elektroniske kommunikationsnetværk, som er omhandlet i artikel 7 i charteret om grundlæggende rettigheder og omfattet af direktivet om databeskyttelse inden for elektronisk kommunikation. Denne rettighed fastholdes i et andet forslag til forordning, som EØSU behandler i en anden udtalelse. |
|
4.12.2. |
EØSU vender sig skarpt mod den mulighed, der fastsættes i artikel 25, stk. 2, hvorefter Unionens institutioner og organer kan begrænse anvendelsen af de registreredes rettigheder, selv om en sådan begrænsning ikke udtrykkeligt er fastsat i en retsakt, som bemyndiger hertil. Samme bemærkning fremsættes til artikel 34. |
4.13. Artikel 26
Det bør præciseres, at ansvarlige for behandlingen af personoplysninger, databehandlere og personer, som under udøvelsen af deres opgaver får kendskab til behandlede personoplysninger selv efter fratrædelse af tjenesten og for en rimelig periode fortsat er underlagt tavshedspligt.
4.14. Artikel 29 og 39
Selv om bestemmelsen i artikel 24, stk. 3, og artikel 40 ff. i den generelle forordning om databeskyttelse ganske rigtigt og med rette ikke er medtaget i dette forslag til forordning (adfærdskodekser) som udtrykkeligt nævnt i begrundelsen vedrørende artikel 26, er det uforståeligt, at det i artikel 29, stk. 5, og artikel 39, stk. 7, i forslaget til forordning accepteres, at den blotte tilslutning til en adfærdskodeks som omhandlet i artikel 40, er tilstrækkelig garanti for, at en databehandler, som ikke er en EU-institution eller et EU-organ, kan varetage databehandlingsopgaver.
4.15. Artikel 31
EØSU mener, at den blotte mulighed i henhold til artikel 31, stk. 5, for, at Unionens institutioner og organer »kan« beslutte at føre deres fortegnelser over behandlingsaktiviteter i et centralt register, der er offentligt tilgængeligt, bør gøres til en forpligtelse.
4.16. Artikel 33
EØSU foreslår, at dataansvarlige og databehandlere desuden bør have til opgave at føre kontrol med datamedierne samt kontrol med indlæsning, anvendelse og transmission af data, og at de i den forbindelse bør:
|
— |
forhindre, at uautoriserede personer får adgang til installationer, der benyttes til behandling af de pågældende data |
|
— |
forhindre, at datamedier kan læses, kopieres, ændres eller fjernes af uautoriserede personer |
|
— |
forhindre uautoriseret indgivelse, læsning, ændring eller sletning af indlæste personoplysninger |
|
— |
forhindre, at automatiserede databehandlingssystemer kan benyttes af uautoriserede personer med anvendelse af datakommunikationsudstyr |
|
— |
sikre, at det er muligt at undersøge og fastslå, til hvilke myndigheder der kan videregives personoplysninger |
|
— |
sikre, at autoriserede personer kun får adgang til de oplysninger, der er omfattet af den forudgående tilladelse. |
4.17. Artikel 34
EØSU håber, at denne artikel kommer til at stemme overens med bestemmelserne i forslaget til forordning om databeskyttelse inden for elektronisk kommunikation, og at EU's institutioner og organer bliver underkastet kontrol af Den Europæiske Tilsynsførende for Databeskyttelse, når det gælder fortroligheden af elektronisk kommunikation.
4.18. Artikel 42
EØSU frygter, at udtrykket »Efter« i stk. 1 kan blive opfattet således, at høringen af Den Europæiske Tilsynsførende for Databeskyttelse først er obligatorisk efter vedtagelsen af retsakten, og at denne høring end ikke vil blive foretaget uformelt, som det er tilfældet i dag.
4.19. Artikel 44
Efter EØSU's mening bør kun tjenestemænd kunne udpeges som databeskyttelsesrådgivere. Hvis dette undtagelsesvist ikke er muligt, bør de ansættes på kontrakt efter reglerne om offentlige indkøb af tjenesteydelser og være underlagt kontrol af Den Europæiske Tilsynsførende for Databeskyttelse.
4.20. Artikel 45
|
4.20.1. |
Med forbehold af ovennævnte bør databeskyttelsesrådgiveren i de tilfælde, hvor denne ikke er tjenestemand, i kraft af karakteren af denne funktion kunne afskediges når som helst, alene med samtykke fra Den Europæiske Tilsynsførende for Databeskyttelse (artikel 45, stk. 8, i forordningen). |
|
4.20.2. |
Udnævnelsesperioden bør fastsættes til 5 år og kun kunne forlænges én gang. |
4.21. Artikel 56
I lyset af nylige, velkendte hændelser med personer i høje stillinger i institutionerne er det tilrådeligt, at der for udøvelsen af visse funktioner fastættes uforeneligheder og begrænsninger for en passende periode, især når det gælder ansættelse i private virksomheder efter ophøret af deres mandatperiode.
4.22. Artikel 59
I nogle sprogudgaver, f.eks. den engelske, er den term, der bruges i stk. 5 (»actions«) for snævert og bør erstattes af »proceedings« (i den portugisiske (og danske, o.a.) sprogudgave bruges den korrekte term, »retssag«).
4.23. Artikel 63
Hvad angår stk. 3 og i betragtning af den følsomme karakter af det foreliggende forslag mener EØSU, at princippet om stiltiende afvisning bør vendes om, således at Den Europæiske Tilsynsførende for Databeskyttelse forpligtes til udtrykkeligt at besvare alle klager, der forelægges, og at de i modsat fald vil betragtes som værende taget til følge.
4.24. Artikel 65
Som nævnt i EØSU's udtalelse om forslaget til forordning (EU) 2016/679 peges der på behovet for, at dette forslag — ud over bestemmelsen i artikel 67 — fastsætter muligheden for, at der som reaktion på et brud på persondatasikkerheden kan anlægges et kollektivt søgsmål, uden at der kræves en individuel bemyndigelse. Det skal nemlig tages i betragtning, at når sådanne brud indtræffer, går det ikke kun ud over én person, men et stort og undertiden ubestemmeligt antal personer.
|
4.25. |
Forslaget til forordning er spækket med tvetydige og subjektive udtryk og begreber, som det anbefales at revidere eller erstatte. Det gælder f.eks. »så vidt muligt«, »hvis det er muligt«, »straks«, »høj risiko«, »behørigt hensyn«, »inden en rimelig frist«, »navnlig relevant«. |
Bruxelles, den 31. maj 2017.
Georges DASSIS
Formand for Det Europæiske Økonomiske og Sociale Udvalg
(1) EFT L 8 af 12.1.2001, s. 1.
(2) EFT L 183 af 12.7.2002, s. 1.
(3) Europa-Parlamentets og Rådets forordning (EU) 2016/679 (EUT L 119 af 4.5.2016, s. 1).
(4) EØSU udtalelse i EFT C 51 af 23.2.2000, s. 48.
(5) Forordning (EU) 2016/679 af 27.4.2016 (EUT L 119 af 4.5.2016, s. 1).
(6) COM(2017) 10 final, COM(2017) 9 final.
(7) COM(2017) 9 final.
(8) EUT C 229 af 31.7.2012, s. 90.
(9) Forordning (EU) 2016/679.
(10) EFT 45 af 14.6.1962, s. 1385/62 og efterfølgende ændringer.
(11) Som det f.eks. fremgår af samlingen af »Avis et Recommandations de la Commission de la Vie privé de la Belgique sur la vie privé sur le lieu de travail, 01.2013« (Udtalelser og henstillinger fra den belgiske kommission for beskyttelse af privatlivets fred på arbejdspladsen) (januar 2013).
(12) Som det f.eks. fremgår af »Recommandation d’initiative relative aux mesures de sécurité à respecter afin de prévenir les fuites de données« (Henstilling på eget initiativ om forholdsregler, der skal respekteres for at forhindre datalækager), den belgiske kommission for beskyttelse af privatlivets fred, 1/2013 af 21. januar 2013.
(13) Som nævnt f.eks. i »Guidelines on Data Protection Officers«, WP 243, artikel 29, af 13. december 2016.
(14) Se f.eks. den portugisiske lov om databeskyttelse (lov 67/98 af 26. oktober 1998).