|
11.10.2017 |
DA |
Den Europæiske Unions Tidende |
C 340/6 |
Opsummering af udtalelsen om forslag til et direktiv om oprettelse af en fælles digital portal og »engangsprincippet«
(Udtalelsen findes i sin helhed på engelsk, fransk og tysk på den tilsynsførendes websted www.edps.europa.eu)
(2017/C 340/03)
Forslaget er blandt de første EU-instrumenter, der eksplicit henviser til og gennemfører »engangsprincippet«, der har til formål at sikre, at borgere og virksomheder kun anmodes om de samme informationer én gang af den offentlige forvaltning, der derefter kan genbruge de informationer, som den allerede har. Forslaget fastsætter, at udvekslingen af dokumentation for bestemte grænseoverskridende procedurer (som f.eks. anmodning om anerkendelse af uddannelsesbeviser) skal indledes efter udtrykkelige anmodning herom fra en bruger, og at det skal foregå i et teknisk system, der er etableret af Kommissionen og medlemslandene, med en integreret forhåndsvisningsfunktion, der kan sikre gennemsigtighed i forhold til brugeren.
Den Europæiske Tilsynsførende for Databeskyttelse byder Kommissionens forslag om at modernisere de administrative tjenester velkommen og værdsætter deres bekymring om den effekt, som dette forslag kunne få på beskyttelsen af personoplysninger. Udtalelsen er udstedt efter specifik anmodning fra både Kommissionen og Europa-Parlamentet. Den er også inspireret af prioriteringerne fra Estlands formandskab for Rådet, der specifikt omfatter »det digitale Europa og den frie udveksling af data«.
Ud over at angive specifikke krav om yderligere at forbedre kvaliteten af lovgivningen ønsker Den Europæiske Tilsynsførende for Databeskyttelse også at udnytte denne mulighed for at skabe en introducerende oversigt over de største problemer, der generelt er forbundet med »engangsprincippet«, selv om mange af disse overvejelser ikke nødvendigvis er affødt af forslaget i dets nuværende form. Disse er i særdeleshed relateret til det juridiske grundlag for behandlingen, begrænsningen af formålet samt de registreredes rettigheder. Den Europæiske Tilsynsførende for Databeskyttelse fremhæver, at for at man kan sikre gennemførelse i hele EU af »engangsprincippet« og etablere lovmæssig korrekt grænseoverskridende udveksling af data, skal »engangsprincippet« gennemføres i overensstemmelse med de relevante databeskyttelsesprincipper.
Med hensyn til selve forslaget støtter Den Europæiske Tilsynsførende for Databeskyttelse de bestræbelserne på at sikre, at enkeltpersoner bevarer kontrollen med deres personoplysninger, herunder ved at kræve »udtrykkelig anmodning fra brugeren« før en eventuel overførsel af dokumentation mellem kompetente myndigheder og ved at give brugeren mulighed for »forlods« at se den dokumentation, der skal udveksles. Han glæder sig også over de ændringer til IMI-forordningen, der bekræfter og opdaterer bestemmelserne om den koordinerede tilsynsmekanisme, der påtænkes for IMI, og som kan give Det Europæiske Databeskyttelsesråd (EDPB) mulighed for at drage nytte af de tekniske muligheder i IMI for informationsudveksling, hvad angår den generelle forordning om databeskyttelse.
Udtalelsen indeholder anbefalinger om en række problematikker med fokus på det juridiske grundlag for udveksling af dokumentation på tværs af landegrænser, formålsbegrænsning, omfanget af »engangsprincippet« samt de praktiske forhold angående brugerkontrol. De vigtigste anbefalinger omfatter en prævisering af, at forslaget ikke skaber retsgrundlag for at bruge det tekniske system til udveksling af informationer til andre formål end dem, der er fastlagt i de fire anførte direktiver, og som ellers fastlagt i den relevante EU-lovgivning og nationale lovgivning, og at forslaget ikke har til formål at begrænse princippet om formålsbegrænsning i henhold til den generelle forordning om databeskyttelse, samt at redegøre for en række problematikker vedrørende den praktiske gennemførelse af brugerkontrol. Hvad angår ændringer af IMI-forordningen, anbefaler Den Europæiske Tilsynsførende for Databeskyttelse at tilføje den generelle forordning om databeskyttelse til bilaget til IMI-forordningen for at muliggøre den potentielle anvendelse af IMI med henblik på databeskyttelse.
1. INDLEDNING OG BAGGRUND
Den 2. maj 2017 vedtog Europa-Kommissionen (»Kommissionen«) et forslag til Europa-Parlamentets og Rådets forordning om oprettelse af en fælles digital portal, der skal stille oplysninger, procedurer og bistands- og problemløsningstjenester til rådighed, og om ændring af forordning (EU) nr. 1024/2012 (1) (»forslaget«).
Formålet med forslaget er at fremme borgernes og virksomhedernes grænseoverskridende aktiviteter ved at give dem brugervenlig adgang via en fælles digital portal til de oplysninger, procedurer og bistands- og problemløsningstjenester, de har brug for til at udøve deres rettigheder på det indre marked. Desangående repræsenterer dette forslag et vigtigt initiativ i Kommissionens bestræbelser på at udvikle et dybere og mere retfærdigt indre marked samt digitalt indre marked (2).
Artikel 4-6 i forslaget skitserer de »portaltjenester«, der tilbydes via den fælles digitale portal. Disse afspejler i væsentlighed selve forslagets titel og omfatter:
|
— |
adgang til oplysninger |
|
— |
adgang til procedurer og |
|
— |
adgang til bistands- og problemløsningstjenester. |
Det bør også bemærkes, at forslagets artikel 36 vedrører ændring af flere bestemmelser i forordning (EU) nr. 1024/2012 (»IMI-forordningen«) (3), der fastsætter retsgrundlaget for driften af informationssystemet for det indre marked (»IMI«) (4).
Forslaget er blandt de første EU-instrumenter, der eksplicit henviser til og gennemfører »engangsprincippet« (5). Forslaget henviser til engangsbegrebet og dets fordele ved at forklare, at »borgere og virksomheder ikke bør være nødsaget til at oplyse samme oplysninger til offentlige myndigheder mere end én gang, hvad angår udveksling af dokumentation på tværs af landegrænser« (6). Forslaget fastsætter, at udvekslingen af dokumentation for de specificerede procedurer indledes efter anmodning fra en bruger, og at det finder sted i et teknisk system, der er etableret af Kommissionen og medlemslandene (7) (for yderligere oplysninger henvises til nedenstående afsnit 3).
Denne udtalelse er et svar på en anmodning fra Kommissionen og en efterfølgende separat anmodning fra Europa-Parlamentet (»Parlamentet«) til Den Europæiske Tilsynsførende for Databeskyttelse (»EDPS«) om i sin egenskab af uafhængig tilsynsførende myndighed at udarbejde en udtalelse om forslaget. Den Europæiske Tilsynsførende for Databeskyttelse glæder sig over, at han er blevet kontaktet af begge institutioner. Udtalelsen følger efter en uformel konsultation mellem Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse før gennemførelsen af forslaget.
Den Europæiske Tilsynsførende for Databeskyttelse noterer sig og glæder sig over Kommissionens forslag om at modernisere de administrative tjenester ved at facilitere informationers tilgængelighed og kvalitet samt adgangen til information i hele EU. Han fremhæver i særdeleshed også, at »engangsprincippet« kan bidrage til disse mål, forudsat at de overholder relevant databeskyttelseslovgivning og respekter enkeltpersoners grundlæggende rettigheder.
Den Europæiske Tilsynsførende for Databeskyttelse værdsætter Kommissionens og Parlamentets bekymring med hensyn til, hvordan dette forslag eventuelt kan påvirke beskyttelsen af personoplysninger. Han værdsætter også, at mange af hans uformelle kommentarer er blevet taget i betragtning. Den Europæiske Tilsynsførende for Databeskyttelse støtter i særdeleshed følgende:
|
— |
de bestræbelser, der er gjort, for at sikre, at enkeltpersoner bevarer kontrollen over deres personoplysninger, herunder ved at kræve »en udtrykkelig anmodning fra brugeren« før en eventuel overførsel af dokumentation mellem kompetente myndigheder (artikel 12(4) og ved at give brugeren mulighed for at se en »forhåndsvisning« af den dokumentation, der skal udveksles (artikel 12(2)(e)) |
|
— |
de bestræbelser, der er gjort for at definere det væsentlige anvendelsesomfang for »engangsprincippet« (artikel 12(1)) og |
|
— |
de eksplicitte krav om at bruge anonyme og/eller samlede data til indsamling af relevant brugerfeedback og statistik (artikel 21-23) |
|
— |
endvidere glæder han sig over den foreslåede ændring af IMI-forordningen, som bekræfter og opdaterer bestemmelserne om en koordineret tilsynsmekanisme, der er planlagt for IMI, for derved at sikre en ensartet og sammenhængende tilgang (artikel 36(6)(b) |
|
— |
Endelig støtter han også de generelle bestemmelser, der viser forpligtelse til at sikre respekten for enkeltpersoners grundlægende rettigheder, herunder retten til beskyttelse af persondata, som f.eks. dem i punkt 43 og 44 og i artikel 29. |
Formålet med denne udtalelse er at give specifikke anbefalinger til at håndtere de resterende bekymringer vedrørende databeskyttelse og dermed yderligere forbedre kvaliteten af lovgivningen (se afsnit 3 nedenfor). Af de tre ovenstående portaltjenester vil denne udtalelse have fokus på »adgangen til procedurer« (artikel 5) og i særdeleshed de bestemmelser, der er relateret til »udveksling af dokumentation mellem kompetente myndigheder på tværs af landegrænser« under artikel 12, da disse er de mest relevante med henblik på beskyttelse af persondata. Den resterende del af forslaget (herunder bestemmelserne om adgang til information og adgang til bistands- og problemløsningstjenester) giver ikke anledning til så mange bekymringer. Endvidere kommenterer Den Europæiske Tilsynsførende for Databeskyttelse også kortvarigt udvalgte ændringer af IMI-forordningen.
Den Europæiske Tilsynsførende for Databeskyttelse ønsker også at benytte denne lejlighed til at give en indledende oversigt over de største problemer, der generelt er forbundet med »engangsprincippet«, selv om mange af disse overvejelser ikke nødvendigvis er affødt af forslaget i dets nuværende form (se nedenstående afsnit 2).
4. KONKLUSIONER
Den Europæiske Tilsynsførende for Databeskyttelse byder velkommen til Kommissionens forslag om at modernisere de administrative tjenester ved at facilitere tilgængeligheden, kvaliteten og adgangen til information i hele EU og værdsætter Kommissionens og Parlamentets konsultation og bekymringer vedrørende effekten af dette forslag på beskyttelsen af persondata.
Ud over at angive specifikke krav om yderligere at forbedre kvaliteten af lovgivningen ønsker han også at benytte denne lejlighed til at give en indledende oversigt over de største problemer, der generelt er forbundet med »engangsprincippet«, selv om mange af disse overvejelser ikke nødvendigvis er affødt af forslaget i dets nuværende form. Dette er i særdeleshed relateret til:
|
— |
det juridiske grundlag for behandlingen |
|
— |
begrænsning af formålet |
|
— |
de registreredes rettigheder |
Den Europæiske Tilsynsførende for Databeskyttelse fremhæver, at forudsætningen for en succesfuld gennemførelse i hele EU af »engangsprincippet« og lovmæssig korrekt udveksling af data på tværs af landegrænser er, at engangsprincippet gennemføres i overensstemmelse med de relevante databeskyttelsesprincipper.
Hvad angår selve forslaget, støtter Den Europæiske Tilsynsførende for Databeskyttelse følgende:
|
— |
de bestræbelser, der er gjort, for at sikre, at enkeltpersoner bevarer kontrollen over deres personoplysninger, herunder ved at kræve »en udtrykkelig anmodning fra brugeren« før en eventuel overførsel af dokumentation mellem kompetente myndigheder (artikel 12(4) og ved at give brugeren mulighed for at se en »forhåndsvisning« af den dokumentation, der skal udveksles (artikel 12(2)(e)) og |
|
— |
de bestræbelser, der er gjort, for at definere det væsentlige anvendelsesomfang for »engangsprincippet« (artikel 12(1)) |
|
— |
endvidere går han ind for den foreslåede ændring af IMI-forordningen, som bekræfter og opdaterer bestemmelserne om en koordineret tilsynsmekanisme, der er planlagt for IMI, for derved at sikre en ensartet og sammenhængende tilgang (artikel 36(6)(b) |
|
— |
han glæder sig også over inkluderingen af EU-organer i definitionen af IMI-aktørerne, hvilket kan bidrage til, at Det Europæiske Databeskyttelsesråd (EDPB) kan drage nytte af de tekniske muligheder, som IMI giver med hensyn til informationsudveksling. |
Med hensyn til det juridiske grundlag for behandlingen anbefaler EDPS, at der tilføjes et eller flere punkter for at klarlægge følgende:
|
— |
At forslaget i sig selv ikke udgør et juridisk grundlag for udveksling af dokumentation, og at enhver udveksling af dokumentation under artikel 12(1) skal have et andet gyldigt juridisk grundlag, som f.eks. i de fire direktiver, der er angivet i artikel 12(1) eller i gældende EU-lovgivning eller national lovgivning. |
|
— |
At det juridiske grundlag for at bruge det tekniske system, der er angivet i artikel 12 med henblik på udveksling af dokumentation er udførelsen af en handling i offentlighedens interesse i henhold til artikel 6(1)(e) i den generelle forordning om databeskyttelse |
|
— |
At brugerne har indsigelsesret i forhold til behandlingen af deres personoplysninger i det tekniske system i henhold til artikel 21(1) i den generelle forordning om databeskyttelse. |
Med hensyn til formålsbegrænsningen anbefaler EDPS, at der tilføjes et eller flere punkter for at klarlægge følgende:
|
— |
At forslaget ikke udgør et juridisk grundlag til at bruge det tekniske system til udveksling af informationer til andre formål end dem, der er beskrevet i de fire angivne direktiver, eller som på anden vis er fastsat i henhold til gældende EU-lovgivning eller national lovgivning. |
|
— |
At forslaget på ingen måde har til formål at udgøre en restriktion af princippet om formålsbegrænsning i henhold til artikel 6(4) og 23(1) i den generelle forordning om databeskyttelse. |
Med hensyn til begrebet »udtrykkelig anmodning« anbefaler Den Europæiske Tilsynsførende for Databeskyttelse, at forslaget skal præcisere følgende (helst i en selvstændig bestemmelse):
|
— |
det, der gør en anmodning »udtrykkelig«, og hvor specifik anmodningen skal være |
|
— |
om anmodningen kan sendes via det tekniske system, der er henvist til i artikel 12(1) |
|
— |
hvad konsekvenserne er, hvis brugeren vælger ikke at udføre en »udtrykkelig anmodning« og |
|
— |
om en sådan anmodning kan trækkes tilbage. (For specifikke anbefalinger henvises til ovenstående afsnit 3.3). |
I forhold til problematikken med »forhåndsvisning« anbefaler Den Europæiske Tilsynsførende for Databeskyttelse følgende:
|
— |
at forslaget præciserer, hvilke valgmuligheder der er for en bruger, som udnytter muligheden for at se en »forhåndsvisning« af de data, der skal udveksles |
|
— |
at i særdeleshed artikel 12(2)(e) bør præcisere, at brugeren rettidigt får mulighed for at se en forhåndsvisning, før dokumentationen gøres tilgængelige for modtageren, og kan tilbagetrække anmodningen om udveksling af dokumentation (se også vores relaterede anbefalinger om »udtrykkelige anmodninger«) |
|
— |
at dette f.eks. kan gøres ved at indsætte følgende ord i slutningen af sætningen i artikel 12(2)(e): »Før det gøres tilgængeligt for den anmodende myndighed, og anmodningen kan altid trækkes tilbage«). |
Hvad angår definitionen af dokumentation og området for de dækkede online-procedurer, anbefaler Den Europæiske Tilsynsførende for Databeskyttelse følgende:
|
— |
at erstatte henvisningen til artikel 2(2)(b) i artikel 3(4) med henvisning til artikel 12(1) eller at tilvejebringe en anden lovmæssig løsning, der kan give samme effekt |
|
— |
at Den Europæiske Tilsynsførende for Databeskyttelse også fremhæver, at han glæder sig over bestræbelserne i forslaget, der har til formål at begrænse informationsudvekslingen til de online-procedurer, der er angivet i bilag II og de fire specifikt angivne direktiver |
|
— |
derfor anbefaler han, at forslagets anvendelsesområde skal forblive tydeligt defineret og fortsat skal inkludere bilag II og henvisningerne til de fire specifikt angivne direktiver. |
EDPS anbefaler imidlertid følgende:
|
— |
at tilføje den generelle forordning om databeskyttelse til bilaget til IMI-forordningen for at muliggøre den eventuelle anvendelse af IMI med henblik på databeskyttelse |
|
— |
at tilføje de databeskyttende tilsynsmyndigheder til listen over bistands- og problemløsningstjenester, der er angivet i bilag III. |
Udfærdiget i Bruxelles, den 1. august 2017.
Giovanni BUTTARELLI
Den Europæiske Tilsynsførende for Databeskyttelse
(1) Forslag til Europa-Parlamentets og Rådets forordning om oprettelse af en fælles digital portal, der skal stille oplysninger, procedurer og bistands- og problemløsningstjenester til rådighed, og om ændring af forordning (EU) nr. 1024/2012, COM(2017) 256 final, 2017/0086 (COD) (i det følgende benævnt »forslaget«).
(2) Begrundelsen til forslaget, s. 2.
(3) Europa-Parlamentets og Rådets forordning (EU) nr. 1024/2012 fra af 25. oktober 2012 om administrativt samarbejde ved hjælp af det indre markeds informationssystem og ophævelse af Kommissionens afgørelse 2008/49/EF (»IMI-forordningen«) (EUT L 316 af 14.11.2012, s. 1).
(4) Se også udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse af 22. november 2011 om Kommissionens forslag til Europa-Parlamentets og Rådets forordning om administrativt samarbejde i informationssystemet for det indre marked (»IMI«-forordningen), der er tilgængelig på https://edps.europa.eu/sites/edp/files/publication/11-11-22_imi_opinion_en.pdf.
(5) Se også artikel 14 i Europa-Parlamentets og Rådets forslag til direktiv om den juridiske og operationelle struktur for de internetbaserede EU-tjenester, der implementeres med forordningen. [ESC-forordning], COM (2016) 823, endelig udgave, 2016/0402 (COD).
(6) Forslagets punkt 28.
(7) Forslagets artikel 12, stk. 1 og 4.