21.7.2011   

DA

Den Europæiske Unions Tidende

C 215/13


Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslag til Europa-Parlamentets og Rådets forordning om de finansielle regler vedrørende Unionens årlige budget

2011/C 215/05

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16,

under henvisning til Den Europæiske Unions charter om grundlæggende rettigheder, særlig artikel 7 og 8,

under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (1),

under henvisning til Kommissionens anmodning om udtalelse, jf. artikel 28, stk. 2, i forordning (EF) nr. 45/2001 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger (2), sendt den 5. januar 2011 —

VEDTAGET FØLGENDE UDTALELSE:

I.   INDLEDNING

1.

Den 22. december 2010 vedtog Kommissionens forslag til Europa-Parlamentets og Rådets forordning om de finansielle regler vedrørende Unionens årlige budget (herefter »forslaget«). Det samler og erstatter to tidligere forslag fra Kommissionen om revision af finansforordningen (Rådets forordning (EF, Euratom) nr. 1605/2002 (3)). Disse to forslag vedrørte dels revisionen af finansforordningen hvert tredje år, dels revisionen af finansforordningen for at tilpasse den til Lissabontraktaten (4).

2.

Den 5. januar 2011 blev forslaget sendt til EDPS, jf. artikel 28, stk. 2, i forordning (EF) nr. 45/2001. EDPS blev hørt uformelt inden vedtagelsen af forslaget. EDPS anbefaler lovgiver at medtage en henvisning til høringen af EDPS i starten af forslaget til forordning.

3.

Forslaget har visse databeskyttelsesmæssige implikationer på EU-plan såvel som på nationalt plan, som vil blive drøftet i denne udtalelse.

4.

Henvisninger til de relevante databeskyttelsesinstrumenter findes i forslaget. Som det vil fremgå af denne udtalelse, er der dog behov for nogen uddybning og tydeliggørelse for at sikre fuld overensstemmelse med retsgrundlaget for databeskyttelse.

II.   ANALYSE AF FORSLAGET

II.1.   Generelle henvisninger til relevante EU-bestemmelser om databeskyttelse

5.

Forslaget til forordning omfatter en række spørgsmål, der indebærer behandling af personoplysninger i EU-institutioner, -agenturer og -organer og i enheder på medlemsstatsplan. Denne behandling vil blive analyseret mere indgående nedenfor. Når EU-institutionerne, -agenturerne og -organerne behandler personoplysninger, er de underlagt de regler om databeskyttelse, der er fastsat i forordning (EF) nr. 45/2001. Enheder på nationalt plan er underlagt nationale bestemmelser i den pågældende medlemsstat til gennemførelse af direktiv 95/46/EF.

6.

EDPS glæder sig over at se henvisninger til et af disse to instrumenter eller begge i forslaget til forordning (5). Der henvises dog ikke systematisk og konsekvent til instrumenterne i forslaget. EDPS opfordrer derfor lovgiver til at behandle dette spørgsmål på en mere detaljeret måde i forordningen.

7.

EDPS anbefaler lovgiver at medtage følgende to henvisninger til direktiv 95/46/EF og forordning (EF) nr. 45/2001 i præamblen til forordningen.

»Denne forordning berører ikke kravene i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og i Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger.«

8.

Desuden anbefaler EDPS, at der medtages en henvisning til direktiv 95/46/EF og forordning (EF) nr. 45/2001 i artikel 57, stk. 2, litra f), som det er tilfældet i forslagets artikel 31, stk. 3.

II.2.   Forebyggelse, afsløring og korrigering af svig og uregelmæssigheder

9.

Artikel 28 i forslaget vedrører den interne kontrol med budgetgennemførelsen. I stk. 2, litra d), bestemmes det, at intern kontrol i forbindelse med gennemførelsen af budgettet defineres som en proces, der har til formål at give en rimelig sikkerhed for forebyggelse, afsløring og korrigering af svig og uregelmæssigheder.

10.

I tilfælde af Kommissionens indirekte gennemførelse af budgettet via delt forvaltning med medlemsstaterne eller med enheder og personer, bortset fra medlemsstaterne fremgår det af henholdsvis artikel 56, stk. 2, og artikel 57, stk. 3, at medlemsstaterne og enhederne og personerne forebygger, opdager og korrigerer uregelmæssigheder og svig i udførelsen af deres opgaver i tilknytning til gennemførelsen af budgettet. Det er indlysende, at sådanne foranstaltninger skal være fuldt i overensstemmelse med de nationale bestemmelser til gennemførelse af direktiv 95/46/EF.

11.

I denne forbindelse fremgår det af artikel 56, stk. 4, litra f) (som skulle være stk. 4, litra e), ifølge den logiske rækkefølge), at organer, der er godkendt af medlemsstaterne, som alene har ansvaret for en korrekt forvaltning og kontrol af midlerne, skal »sikre beskyttelse af personoplysninger, der opfylder kravene i direktiv 95/46/EF«. EDPS anbefaler en styrkelse af denne henvisning ved at ændre den til »sikre, at enhver behandling af personoplysninger er i overensstemmelse med de nationale bestemmelser til gennemførelse af direktiv 95/46/EF«.

12.

Med hensyn til andre enheder og personer end medlemsstaterne fremgår det af artikel 57, stk. 2, litra f), at disse enheder og personer skal »sikre en rimelig beskyttelse af personoplysninger«. EDPS kritiserer på det kraftigste denne sætning, da den ser ud til at åbne mulighed for en mindre stram anvendelse af databeskyttelsesreglerne. EDPS anbefaler derfor, at denne sætning også erstattes med sætningen »sikre, at enhver behandling af personoplysninger er i overensstemmelse med de nationale bestemmelser til gennemførelse af direktiv 95/46/EF«.

II.3.   Informanter

13.

Artikel 63, stk. 8, i forslaget omhandler fænomenet »rapportering af uregelmæssigheder«. Heri pålægges det enhver ansat, som mener, at en beslutning, som hans overordnede pålægger ham at føre ud i livet, er i modstrid med gældende regler, med princippet om forsvarlig økonomisk forvaltning eller med de faglige regler, han skal overholde, at informere den bemyndigede anvisningsberettigede (eller den særlige instans til behandling af økonomiske uregelmæssigheder nedsat i henhold til forslagets artikel 70, stk. 6). Er der tale om en ulovlig aktivitet, svig eller bestikkelse, der vil kunne skade EU's interesser, underretter den ansatte de myndigheder og instanser, der er fastsat i den gældende lovgivning.

14.

EDPS vil gerne påpege, at informanterne befinder sig i en følsom situation. Personer, der modtager sådanne oplysninger, skal sikre, at en informants identitet holdes fortrolig, navnlig over for den person, om hvem den påståede fejl indberettes (6). Når fortroligheden af informantens identitet sikres, beskytter det ikke blot den person, der fremkommer med oplysningerne, det sikrer også effektiviteten af selve ordningen med rapportering af uregelmæssigheder. Uden tilstrækkelige garantier for fortrolighed vil ansatte være mindre tilbøjelige til at indberette uregelmæssige eller ulovlige aktiviteter.

15.

Beskyttelse af fortroligheden af informantens identitet er dog ikke absolut. Efter den første interne undersøgelse, kan der være yderligere proceduremæssige eller retlige skridt, som kræver, at informantens identitet afsløres for f.eks. de retlige myndigheder. De nationale regler vedrørende retslige procedurer skal i denne forbindelse overholdes (7).

16.

Der kan også forekomme situationer, hvor den person, der anklages for en forseelse, har ret til at få navnet på informanten. Dette er muligt, hvis denne person har brug for informantens identitet for at kunne indlede retslige procedurer mod informanten efter, at det er blevet fastslået, at denne i ond tro har fremsat falske anklager mod ham (8).

17.

EDPS anbefaler, at det nuværende forslag ændres, og at det sikres, at informantens identitet holdes fortrolig under undersøgelserne, for så vidt dette ikke er i strid med nationale regler om retslige procedurer, og for så vidt den person, der anklages for en forseelse, ikke har ret til at få kendskab til den, fordi informantens identitet er nødvendig for at kunne indlede retslige procedurer mod informanten efter, at det er blevet fastslået, at informanten i ond tro har fremsat falske anklager mod ham.

II.4.   Offentliggørelse af oplysninger om modtagerne af midler fra budgettet

18.

Ifølge artikel 31 (Offentliggørelse af modtagere af EU-midler og andre oplysninger), stk. 2, giver Kommissionen på en hensigtsmæssig måde adgang til de oplysninger om modtagerne af midler fra budgettet, som den ligger inde med, når budgettet gennemføres centralt og direkte af dens tjenestegrene eller af EU-delegationer.

19.

I artikel 31, stk. 3, bestemmes det, at disse oplysninger »stilles til rådighed under behørig iagttagelse af fortrolighedskravene, især beskyttelse af personoplysninger som defineret i Europa-Parlamentets og Rådets direktiv 95/46/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 og af sikkerhedskravene under hensyn til de særlige forhold i forbindelse med hver af […] forvaltningsmetoder samt, hvor det er relevant, i overensstemmelse med de relevante sektorspecifikke bestemmelser«.

20.

Offentliggørelse af identiteten på modtagere af EU-midler blev behandlet af EU-Domstolen i dens dom af november 2010 i sagen Schecke og Eifert  (9). Uden at gå nærmere i detaljer med den sag skal det understreges, at EU-Domstolen nøje vurderede, om EU-lovgivningen, der indeholdt en forpligtelse til at afsløre oplysningerne, var i overensstemmelse med artikel 7 og 8 i EU's charter om grundlæggende rettigheder (herefter »EU-charteret«).

21.

EU-Domstolen undersøgte formålet med afsløring af oplysningerne og dernæst foranstaltningens proportionalitet. EU-Domstolen fandt, at institutionerne, inden de udbreder oplysninger om en fysisk person, er forpligtede til at foretage en afvejning mellem Unionens interesse i at sikre åbenhed omkring sin virksomhed og indgrebet i de rettigheder, der er anerkendt i EU-chartret (10). EU-Domstolen understregede, at undtagelser fra og begrænsninger af beskyttelsen af personoplysninger skal holdes inden for det strengt nødvendige (11).

22.

EU-Domstolen fandt, at institutionerne skulle undersøge forskellige fremgangsmåder til offentliggørelse af oplysninger for at finde frem til en, der ville være forenelig med formålet med en sådan offentliggørelse og samtidig ville være mindre indgribende i disse modtageres ret til respekt for deres privatliv i almindelighed og ret til beskyttelse af deres personoplysninger i særdeleshed (12). Specifikt i forbindelse med den pågældende sag, nævnte EU-Domstolen en begrænsning af offentliggørelsen af personoplysninger om disse modtagere alt efter, i hvilken periode de har modtaget disse midler, hyppigheden af en sådan modtagelse eller efter midlernes art og omfang (13).

23.

EDPS understreger endnu en gang, at privatlivets fred og databeskyttelse ikke har til opgave at forhindre offentlig adgang til oplysninger, når der er personoplysninger involveret, og uberettiget begrænse EU-administrationens gennemsigtighed. EDPS støtter det synspunkt, at princippet om gennemsigtighed »giver borgerne bedre mulighed for at deltage i beslutningsprocessen og sikrer forvaltningen en større legitimitet og effektivitet samt gør den mere ansvarlig over for borgerne i et demokratisk system«, offentliggørelsen på internettet af personoplysninger vedrørende de omhandlede modtagere kan, når den sker ordentligt, medvirke til »at administrationen udviser fornuft ved anvendelsen af de offentlige midler« og »den offentlige kontrol af de omhandlede midlers anvendelse (øges)« (14).

24.

På denne baggrund ønsker EDPS at understrege, at EU-Domstolens betragtninger beskrevet i de ovenstående afsnit har direkte relevans for det aktuelle forslag. Selv om der henvises til direktiv 95/46/EF og forordning (EF) nr. 45/2001, er det ikke sikkert, at den påtænkte offentliggørelse lever op til kravene, som EU-Domstolen redegjorde for i Schecke-dommen. I denne henseende skal det understreges, at EU-Domstolen ikke blot annullerede Kommissionens forordning, der indeholdt de detaljerede regler for offentliggørelse af oplysninger om modtagerne af landbrugsstøtte (15), men også bestemmelsen i forordningen, der udgør retsgrundlaget for Kommissionens forordning, og som indeholdt det generelle krav om offentliggørelse af oplysningerne, når modtagerne er fysiske personer (16).

25.

EDPS nærer stærk tvivl om, hvorvidt det aktuelle forslag lever op til kriterierne, sådan som de fortolkes af EU-Domstolen i Schecke-dommen. Hverken artikel 31 eller de øvrige artikler indeholder et klart og veldefineret formål med offentliggørelsen af personoplysninger. Desuden er det uklart, hvornår og i hvilket format oplysningerne vil blive offentliggjort. Det er derfor ikke muligt at vurdere, hvornår den rette balance mellem de forskellige involverede interesser er fundet, og at kontrollere, om offentliggørelsen vil være proportional, som EU-Domstolen udtrykkeligt understregede Schecke-dommen. Det er desuden uklart, hvordan de berørte registreredes rettigheder vil blive sikret.

26.

Selv hvis det påtænkes at gennemføre lovgivning — hvilket ikke fremgår klart — skal de netop anførte grundlæggende tydeliggørelser være indeholdt i det retsgrundlag, som finansforordningen skal udgøre for afsløring af sådanne oplysninger.

27.

EDPS anbefaler derfor lovgiver at tydeliggøre formålet og forklare nødvendigheden af den påtænkte afsløring, at anføre, hvordan og i hvilket omfang personoplysninger vil blive afsløret, at sikre, at oplysninger kun afsløres, hvis dette er forholdsmæssigt, og at sikre, at de registrerede kan gøre deres rettigheder i henhold til EU's databeskyttelseslovgivning gældende.

II.5.   Offentliggørelse af beslutninger eller resuméer af beslutninger om administrative og økonomiske sanktioner

28.

Forslagets artikel 103 omhandler den ordregivende myndigheds mulighed for at anvende administrative eller finansielle sanktioner over for (a) kontrahenter, ansøgere eller tilbudsgivere, der har afgivet urigtige oplysninger ved meddelelsen af de oplysninger, som den ordregivende myndighed har krævet som betingelse for deltagelse i den pågældende procedure, eller ikke har afgivet de krævede oplysninger (jf. artikel 101, litra b)), eller (b) kontrahenter, der er fundet skyldige i grov misligholdelse af deres forpligtelser i henhold til en kontrakt, der finansieres over budgettet.

29.

I artikel 103, stk. 1, bestemmes det, at den pågældende skal have lejlighed til at fremsætte bemærkninger. Ifølge artikel 103, stk. 2, kan sanktionerne bestå i udelukkelse af den pågældende person fra aftaler og tilskud, der finansieres over budgettet, i en periode på højst ti år, og/eller økonomiske sanktioner, der højst kan svare til aftaleværdien.

30.

I forhold til den aktuelle situation er det nye element i forslaget muligheden for, at den i artikel 103, stk. 3, nævnte institution kan offentliggøre beslutninger eller resuméer af beslutninger med angivelse af navnet på den erhvervsdrivende, en kort beskrivelse af omstændighederne, udelukkelsens varighed eller den økonomiske sanktions størrelse.

31.

Denne bestemmelse giver, for så vidt den medfører afsløring af oplysninger om fysiske personer, anledning til visse spørgsmål ud fra et databeskyttelsesmæssigt synspunkt. For det første betyder brugen af ordet »kan«, at offentliggørelsen ikke er obligatorisk. Men dette medfører, at en række punkter i teksten til forslaget ikke er klare. Hvad er f.eks. formålet med en sådan afsløring? Hvilke kriterier lægges til grund for den pågældende institutions beslutning om afsløring? Hvor længe vil oplysningerne være offentligt tilgængelige, og i hvilket medium? Hvem vil kontrollere, om oplysningerne forbliver korrekte, og hvem vil ajourføre dem? Hvem vil informere den berørte person om afsløringen? Alle disse spørgsmål har forbindelse med kravene til oplysningernes pålidelighed indeholdt i artikel 6 i direktiv 95/46/EF og artikel 4 i forordning (EF) nr. 45/2001.

32.

Det skal understreges, at offentliggørelse af sådanne oplysninger har en yderligere negativ indflydelse på den berørte person. Offentliggørelsen bør kun tillades, hvis det er strengt nødvendigt af hensyn til det påtænkte formål. De i del II.4 ovenfor fremsatte bemærkninger i forbindelse med EU-Domstolens afgørelse i Schecke-sagen er også relevante her.

33.

Den foreslåede tekst i artikel 103, stk. 3, lever i den nuværende form ikke helt op til kravene i databeskyttelseslovgivningen. EDPS anbefaler derfor lovgiver at tydeliggøre formålet og forklare nødvendigheden af den påtænkte afsløring, at anføre, hvordan og i hvilket omfang personoplysninger vil blive afsløret, at sikre, at oplysninger kun afsløres, hvis dette er proportionalt, og at sikre, at de registrerede kan gøre deres rettigheder i henhold til EU's databeskyttelseslovgivning gældende.

II.6.   Den centrale udelukkelsesdatabase

34.

Forslaget indebærer også, at der oprettes en central udelukkelsesdatabase, der indeholder detaljerede oplysninger om ansøgere og tilbudsgivere, som er udelukket fra at deltage i bud (jf. artikel 102). Denne database er allerede oprettet på grundlag af den aktuelle finansforordning, og de nærmere regler for dens funktion er fastlagt i Kommissionens forordning (EF) nr. 1302/2008. EDPS har analyseret behandlingen af personoplysninger inden for rammerne af den centrale udelukkelsesdatabase i sin udtalelse om forudgående kontrol af 26. maj 2010 (17).

35.

Der er mange modtagere af de oplysninger, som findes i den centrale udelukkelsesdatabase. Afhængigt af hvem der får adgang til databasen, finder artikel 7, 8 eller 9 i forordning (EF) nr. 45/2001 anvendelse.

36.

EDPS konkluderede i ovennævnte udtalelse om forudgående kontrol, at den nuværende praksis i forbindelse med gennemførelse af artikel 7 (andre EU-institutioners og -agenturers anvendelse af databasen) og 8 (myndigheders og visse andre organer i medlemsstaternes anvendelse af den centrale udelukkelsesdatabase) var i overensstemmelse med forordning (EF) nr. 45/2001.

37.

Der kunne dog ikke drages den samme konklusion i forbindelse med videregivelse af oplysninger til tredjelandes myndigheder, der er omfattet af artikel 9 i forordning (EF) nr. 45/2001, som vedrører videregivelse af oplysninger til tredjelandes myndigheder og/eller internationale organisationer. I artikel 102, stk. 2, bestemmes det, at også tredjelande skal have adgang til den centrale udelukkelsesdatabase.

38.

I artikel 9, stk. 1, i forordning (EF) nr. 45/2001 bestemmes det, at »videregivelse af personoplysninger til modtagere, som ikke er fællesskabsinstitutioner eller -organer, og som ikke er undergivet national lovgivning, der er vedtaget i medfør af direktiv 95/46/EF, må kun finde sted, hvis modtagerens land eller den modtagende internationale organisation sikrer et tilstrækkeligt beskyttelsesniveau, og personoplysningerne alene videregives med henblik på udførelse af opgaver, der ligger inden for den registeransvarliges kompetenceområde.«. Som en undtagelse fra artikel 9, stk. 1, tillader artikel 9, stk. 6, videregivelse af personoplysninger til lande, der ikke yder en tilstrækkelig beskyttelse, hvis »videregivelsen er nødvendig eller følger af retsregler for at beskytte en vigtig samfundsinteresse (…)«.

39.

I ovennævnte udtalelse om forudgående kontrol understregede EDPS, at det var nødvendigt at tage yderligere skridt til at sikre, at modtageren i tilfælde af videregivelse til et tredjeland eller en organisation garanterer et passende beskyttelsesniveau. EDPS ønsker at understrege, at en sådan konstatering af tilstrækkelighed skal baseres på en vurdering fra sag til sag og bør omfatte en grundig analyse af omstændighederne omkring en sådan videregivelse eller række af videregivelser af oplysninger. Finansforordningen kan ikke fritage Kommissionen fra denne forpligtelse. En videregivelse, der er baseret på en af undtagelserne i artikel 9, bør ligeledes baseres på en vurdering fra sag til sag.

40.

I denne forbindelse anbefaler EDPS lovgiver at tilføje et ekstra stk. til artikel 102, der specifikt vedrører beskyttelse af personoplysninger. Afsnittet kunne begynde med den første sætning, der allerede findes i artikel 102, stk. 1, nemlig »Kommissionen opretter og forvalter en central database i overensstemmelse med Unionens bestemmelser om beskyttelse af personoplysninger«. Hertil bør tilføjes, at myndighederne i tredjelande kun gives adgang, når betingelserne i artikel 9 i forordning (EF) nr. 45/2001 er opfyldt.

III.   KONKLUSION

41.

Det foreliggende forslag har visse databeskyttelsesmæssige implikationer på EU-plan såvel som på nationalt plan, som er blevet drøftet i denne udtalelse. Henvisninger til de relevante databeskyttelsesinstrumenter findes i forslaget. Som det imidlertid klart fremgår af denne udtalelse, er der dog behov for nogen uddybning og tydeliggørelse for at sikre fuld overensstemmelse med retsgrundlaget for databeskyttelse. EDPS anbefaler følgende:

at der medtages en henvisning til direktiv 95/46/EF og til forordning (EF) nr. 45/2001 i præamblen til forordningen

at der medtages en henvisning til direktiv 95/46/EF og forordning (EF) nr. 45/2001 i artikel 57, stk. 2, litra f), som det er tilfældet i forslagets artikel 31, stk. 3

at henvisningen til direktiv 95/46/EF i artikel 56, stk. 4, litra f) (som skulle være stk. 4, litra e), ifølge den logiske rækkefølge), styrkes ved at ændre den til »sikre, at enhver behandling af personoplysninger er i overensstemmelse med de nationale bestemmelser til gennemførelse af direktiv 95/46/EF«

at erstatte sætningen i artikel 57, stk. 2, litra f), »sikre en rimelig beskyttelse af personoplysninger« med »sikre, at enhver behandling af personoplysninger er i overensstemmelse med de nationale bestemmelser til gennemførelse af direktiv 95/46/EF«

i artikel 63, stk. 8, at sikre, at informantens identitet holdes fortrolig under undersøgelserne, for så vidt dette ikke er i strid med nationale regler om retslige procedurer, og så vidt den person, der anklages for en forseelse, ikke har ret til at få kendskab til den, fordi informantens identitet er nødvendig for at kunne indlede retslige procedurer mod informanten efter, at det er blevet fastslået, at informanten i ond tro har fremsat falske anklager mod den anklagede person

at tydeliggøre formålet og forklare nødvendigheden af den påtænkte afsløring af oplysninger om modtagere af midler fra budgettet, at anføre, hvordan og i hvilket omfang personoplysninger vil blive afsløret, at sikre, at oplysninger kun afsløres, hvis dette er proportionalt, og at sikre, at de registrerede kan gøre deres rettigheder i henhold til EU's databeskyttelseslovgivning gældende

at forbedre artikel 103, stk. 3, der omhandler offentliggørelse af beslutninger eller resuméer af beslutninger om administrative og finansielle sanktioner, ved at tydeliggøre formålet med og forklare nødvendigheden af den påtænkte afsløring, at anføre, hvordan og i hvilket omfang personoplysninger vil blive afsløret, at sikre, at oplysninger kun afsløres, hvis dette er proportionalt, og at sikre, at de registrerede kan gøre deres rettigheder i henhold til EU's databeskyttelseslovgivning gældende

at tilføje et ekstra stk. til artikel 102, der vedrører beskyttelse af personoplysninger ved at bestemme, at tredjelandes myndigheder kun gives adgang, når bestemmelserne i artikel 9 i forordning (EF) nr. 45/2001 er opfyldt, og efter en vurdering fra sag til sag.

Udfærdiget i Bruxelles, den 15. april 2011.

Giovanni BUTTARELLI

Europæisk assisterende tilsynsførende for databeskyttelse


(1)  EFT L 281 af 23.11.1995, s. 31.

(2)  EFT L 8 af 12.1.2001, s. 1.

(3)  EFT L 248 af 16.9.2002, s. 1.

(4)  Jf. henholdsvis KOM(2010) 260 endelig udg. og KOM(2010) 71 endelig udg.

(5)  Jf. artikel 31, stk. 3, og artikel 56, stk. 4, i forslaget. Der findes desuden en generel henvisning til »databeskyttelseskrav« i betragtning 36, til »beskyttelse af personoplysninger« i artikel 57, stk. 2, litra f), og til »Unionens bestemmelser om beskyttelse af personoplysninger« i artikel 102, stk. 1.

(6)  EDPS har allerede understreget betydningen af at holde informantens identitet fortrolig i en skrivelse til Den Europæiske Ombudsmand af 30. juli 2010 i sag 2010-0458, som findes på EDPS' websted (http://www.edps.europa.eu). Også Artikel 29-Gruppen har understreget dette i sin udtalelse 1/2006 af 1. februar 2006 om anvendelsen af EU's databeskyttelsesregler på interne ordninger for rapportering af uregelmæssigheder på områderne regnskabsføring, intern regnskabskontrol, revision, bekæmpelse af korruption samt kriminalitet i bank- og finanssektoren: http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm).

(7)  Se også EDPS' udtalelser om forudgående kontrol af 23. juni 2006, om Olafs interne undersøgelser (sag 2005-0418), og af 4. oktober 2007 om Olafs eksterne undersøgelser (sag 2007-47, 2007-48, 2007-49, 2007-50, 2007-72) som findes på EDPS' websted (http//www.edps.europa.eu).

(8)  Jf. i denne forbindelse også ovennævnte udtalelse 1/2006 fra Artikel 29-Gruppen.

(9)  EU-Domstolens dom af 9. november 2010, forenede sager C-92/09 g C-93/09, Schecke og Eifert.

(10)  EU-Domstolen, Schecke, præmis 85.

(11)  EU-Domstolen, Schecke, præmis 86.

(12)  EU-Domstolen, Schecke, præmis 81.

(13)  Se fodnote 12.

(14)  EU-Domstolen, Schecke, præmis 68, 69, 75 og 76.

(15)  Kommissionens forordning (EF) nr. 259/2008, EUT L 76 af 19.3.2008, s. 28.

(16)  Artikel 44a i forordning (EF) nr. 1290/2005, EUT L 209 af 11.8.2005, s. 1, med senere ændringer.

(17)  Jf. EDPS' udtalelse om forudgående kontrol af 26. maj 2010 om behandling af personoplysninger vedrørende »Registrering af en registreret i den centrale udelukkelsesdatabase« (sag 2009-0681), som findes på EDPS' websted (http://www.edps.europa.eu).