23.9.2009   

DA

Den Europæiske Unions Tidende

C 229/1

1.

Kommissionen sendte den 3. december 2008 EDPS sit forslag til Europa-Parlamentets og Rådets forordning om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en ansøgning om international beskyttelse, der er indgivet af en tredjelandsstatsborger eller en statsløs i en af medlemsstaterne (i det følgende benævnt »forslaget« eller »Kommissionens forslag«), med henblik på udtalelse, jf. artikel 28, stk. 2, i forordning (EF) nr. 45/2001. Denne høring bør udtrykkeligt nævnes i forordningens præambel.

2.

EDPS bidrog til forslaget på et tidligere stadium, og Kommissionen har i sin endelige tekst til forslaget taget hensyn til mange af de punkter, som han rejste uformelt under det forberedende arbejde.

3.

Dette forslag er en omarbejdning af Rådets forordning (EF) nr. 343/2003 af 18. februar 2003 om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en asylansøgning, der er indgivet af en tredjelandsstatsborger i en af medlemsstaterne (3) (i det følgende benævnt »Dublinforordningen«). Kommissionen har forelagt forslaget som led i en første pakke af forslag, der skal sikre en større harmonisering på området og bedre beskyttelsesstandarder i det fælles europæiske asylsystem som ønsket i Haagprogrammet af 4.-5. november 2004 og som bebudet i Kommissionens strategiske plan på asylområdet af 17. juni 2008. I Haagprogrammet opfordres Kommissionen til at afslutte evalueringen af første fases retsinstrumenter og til at forelægge anden fases instrumenter og foranstaltninger for Rådet og Europa-Parlamentet med henblik på vedtagelse heraf inden 2010.

4.

Forslaget har været genstand for en intensiv evaluerings- og høringsproces. Det tager især hensyn dels til resultaterne i Kommissionens rapport om evaluering af Dublinsystemet, som blev offentliggjort den 6. juni 2007 (4), og hvori der blev peget på en række juridiske og praktiske mangler ved det nuværende system, dels til bidrag, som Kommissionen har modtaget fra forskellige parter som svar på grønbogen om det fremtidige fælles europæiske asylsystem (5).

5.

Hovedformålet med forslaget er at øge effektiviteten af Dublinsystemet og sikre højere beskyttelsesstandarder for ansøgere om international beskyttelse, der er underlagt Dublinproceduren. Derudover tager det sigte på at styrke solidariteten med de medlemsstater, der står over for et særligt migrationspres (6).

6.

Forslaget udvider Dublinforordningens anvendelsesområde, så det kommer til at omfatte personer, der har ansøgt om (eller nyder) subsidiær beskyttelse. Ændringen er nødvendig for at sikre overensstemmelse med gældende EU-ret, nemlig Rådets direktiv 2004/83/EF af 29. april 2004 om fastsættelse af minimumsstandarder for anerkendelse af tredjelandsstatsborgere eller statsløse som flygtninge eller som personer, der af anden grund behøver international beskyttelse, og indholdet af en sådan beskyttelse (7) (i det følgende benævnt »anerkendelsesdirektivet«), der introducerede begrebet subsidiær beskyttelse. Forslaget tilpasser desuden de definitioner og den terminologi, som anvendes i Dublinforordningen, til terminologien og definitionerne i andre asylinstrumenter.

7.

For at øge systemets effektivitet fastsætter forslaget især fristen for fremsendelse af anmodninger om tilbagetagelse, og det forkorter fristen for besvarelse af anmodninger om oplysninger. Det præciserer også bestemmelserne om ansvarets ophør samt omstændighederne og procedurerne for anvendelsen af de diskretionære klausuler (den humanitære klausul og suverænitetsklausulen). Det indfører regler om overførsler og udvider den eksisterende ordning for bilæggelse af uoverensstemmelser. Forslaget indeholder tillige en bestemmelse om afholdelsen af en obligatorisk samtale.

8.

For bl.a. at øge beskyttelsen af ansøgerne indføres der endvidere med Kommissionens forslag en ret til at påklage en afgørelse om overførsel, og den kompetente myndighed pålægges en pligt til at beslutte, om fuldbyrdelsen af afgørelsen skal suspenderes. Forslaget omhandler retten til juridisk bistand og/eller repræsentation og sproglig bistand. Forslaget henviser også til princippet om, at en person ikke bør frihedsberøves alene med den begrundelse, at vedkommende ansøger om international beskyttelse. Det udvider tillige retten til familiesammenføring og behandler uledsagede mindreåriges og andre sårbare gruppers behov.

9.

Denne udtalelse vedrører navnlig de ændringer i teksten, som er de mest relevante i henseende til beskyttelsen af personoplysninger:

10.

EDPS støtter målene med Kommissionens forslag, der især består i at øge effektiviteten af Dublinsystemet og sikre højere beskyttelsesstandarder for ansøgere om international beskyttelse, der er underlagt Dublinproceduren. Han forstår også, hvorfor Kommissionen har besluttet at revidere Dublinsystemet.

11.

Sikringen af et passende niveau for beskyttelse af personoplysninger er en absolut betingelse for også at sikre en effektiv gennemførelse af og et højt beskyttelsesniveau for andre grundlæggende rettigheder. EDPS afgiver denne udtalelse i fuld bevidsthed om, at forslaget berører et bredt spektrum af grundlæggende rettigheder, ikke kun i relation til behandlingen af personoplysninger, men også mange andre af de rettigheder, der tilkommer tredjelandsstatsborgere og/eller statsløse, især retten til asyl, retten til information i bred forstand, retten til familiesammenføring, retten til adgang til effektive retsmidler, retten til frihed og fri bevægelighed, børns rettigheder og uledsagede mindreåriges rettigheder.

12.

Det understreges både i betragtning 34 i forslaget og i begrundelsen, at lovgiveren har bestræbt sig på at sikre overensstemmelse mellem forslaget og chartret om grundlæggende rettigheder. I den forbindelse henvises der i begrundelsen udtrykkeligt til beskyttelsen af personoplysninger og retten til asyl. Det understreges også i begrundelsen, at forslaget er blevet underkastet en grundig undersøgelse for at sikre, at dets bestemmelser er fuldt forenelige med de grundlæggende rettigheder, som udgør generelle principper i såvel fællesskabsretten som folkeretten. I betragtning af EDPS′ kompetenceområde vil udtalelsen imidlertid især sætte fokus på forslagets databeskyttelsesaspekter. EDPS hilser det i den sammenhæng velkommen, at der i forslaget lægges stor vægt på denne grundlæggende rettighed, og anser dette for væsentligt for at sikre Dublinprocedurens effektivitet under fuld overholdelse af kravene i forbindelse med grundlæggende rettigheder.

13.

EDPS noterer sig også, at Kommissionen i sit forslag bestræber sig på at skabe overensstemmelse med andre retsinstrumenter, der regulerer oprettelsen og/eller brugen af andre store it-systemer. Han vil navnlig gerne understrege, at både delingen af ansvaret i relation til databasen og udformningen af tilsynsmodellen i forslaget er i overensstemmelse med de rammer, der udgøres af anden generation af Schengeninformationssystemet og visuminformationssystemet.

14.

EDPS hilser det velkommen, at hans rolle på tilsynsområdet er tydeligt præciseret, hvilket af indlysende grunde ikke var tilfældet i den tidligere tekst.

15.

Artikel 4, stk. 1, litra f)-g), i forslaget lyder således:

»Så snart en ansøgning om international beskyttelse er indgivet, informerer de kompetente myndigheder i medlemsstaterne asylansøgeren om anvendelsen af denne forordning og navnlig om:

Artikel 4, stk. 2, beskriver, hvordan de oplysninger, som er omhandlet i stk. 1 i bestemmelsen, skal gives til ansøgeren.

16.

En effektiv gennemførelse af retten til information er afgørende for, at Dublinproceduren kan fungere korrekt. Det er især vigtigt at sikre, at oplysningerne gives på en sådan måde, at asylansøgeren til fulde forstår sin situation og sine rettigheder, bl.a. de proceduremæssige skridt, han/hun kan tage i forlængelse af de administrative afgørelser, der træffes i hans/hendes tilfælde.

17.

Hvad angår de praktiske aspekter af gennemførelsen af denne ret vil EDPS gerne gøre opmærksom på, at medlemsstaterne i overensstemmelse med artikel 4, stk. 1, litra g), og stk. 2, i forslaget bør benytte en fælles folder for ansøgere, der bl.a. skal indeholde »kontaktoplysninger for de nationale databeskyttelsesmyndigheder, som skal behandle krav om beskyttelse af personoplysninger«. EDPS ønsker i den forbindelse at understrege, at selv om det er de nationale databeskyttelsesmyndigheder (i det følgende benævnt »DPA′er«) som nævnt i forslagets artikel 4, stk. 2, der har kompetence til at behandle krav om beskyttelse af personoplysninger, må affattelsen af forslaget ikke være til hinder for, at ansøgeren (den registrerede) i første række retter et krav til den registeransvarlige (i dette tilfælde de nationale kompetente myndigheder, der står for Dublinsamarbejdet). Bestemmelsen i artikel 4, stk. 2, i dens nuværende affattelse synes at antyde, at ansøgeren bør rette sin anmodning — direkte og i hvert enkelt tilfælde — til den nationale databeskyttelsesmyndighed, hvorimod standardproceduren og praksis i medlemsstaterne er, at ansøgeren først indgiver sit krav til den registeransvarlige.

18.

EDPS foreslår også at omformulere artikel 4, stk. 1, litra g), for at præcisere de rettigheder, der skal tildeles ansøgeren. Den foreslåede affattelse er uklar, eftersom den kan fortolkes derhen, at »retten til at få oplysninger om procedurerne for udøvelse af disse rettigheder […]« er et led i retten til at få indsigt i oplysninger og/eller retten til at kræve, at ukorrekte oplysninger rettes […]. Ifølge den nuværende affattelse af ovennævnte bestemmelse, skal medlemsstaterne endvidere ikke informere ansøgeren om indholdet af rettighederne, men blot om deres eksistens. Da sidstnævnte spørgsmål synes at være rent stilistisk, foreslår EDPS at omformulere artikel 4, stk. 1, litra g), således:

»Så snart en ansøgning om international beskyttelse er indgivet, informerer de kompetente myndigheder i medlemsstaterne asylansøgeren om […]:

19.

Med hensyn til, hvordan ansøgerne skal informeres, henviser EDPS til det igangværende arbejde i Gruppen til Koordinering af Tilsynet med Eurodac (8) (der består af repræsentanter for hvert deltagende lands databeskyttelsesmyndighed og EDPS). Gruppen er for øjeblikket ved at behandle dette spørgsmål inden for rammerne af Eurodac med henblik på at foreslå relevante retningslinjer, så snart resultaterne af de nationale undersøgelser foreligger og er blevet samlet. Selv om denne koordinerede undersøgelse specifikt vedrører Eurodac, vil resultaterne heraf sandsynligvis også være af interesse i Dublinkonteksten, eftersom der er tale om sådanne spørgsmål som sprog/oversættelser og vurderingen af asylansøgerens virkelige forståelse af oplysningerne osv.

20.

Hvad angår de myndigheder, der er nævnt i artikel 33 i forslaget, hilser EDPS det velkommen, at Kommissionen skal offentliggøre en konsolideret liste over de myndigheder, som er nævnt i stk. 1 i ovennævnte bestemmelse, i Den Europæiske Unions Tidende. Når der er ændringer til denne, offentliggør Kommissionen en gang om året en ajourført konsolideret liste. Offentliggørelsen af den konsoliderede liste vil hjælpe med til at sikre gennemsigtighed og lette DPA′ernes tilsyn.

21.

EDPS noterer sig, at der indføres en ny mekanisme til udveksling af relevante oplysninger mellem medlemsstaterne, inden overførslerne gennemføres (fastsat i artikel 30 i forslaget). Han anser formålet med denne oplysningsudveksling for at være legitimt.

22.

EDPS noterer sig også, at der findes specifikke databeskyttelsesgarantier i forslaget i overensstemmelse med artikel 8, stk. 1-3, i direktiv 95/46/EF om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger, f.eks.: a) ansøgeren og/eller dennes repræsentant har givet udtrykkeligt samtykke, b) når overførslen er afsluttet, sletter den overførende medlemsstat straks oplysningerne, og c) »behandlingen af helbredsmæssige personoplysninger må kun foretages af en sundhedsper son, der i henhold til national ret eller regler, som er fastsat af kompetente nationale organer, har tavshedspligt, eller af en anden person med en tilsvarende tavshedspligt« (der har modtaget en passende lægelig uddannelse). Han støtter også, at udvekslingen kun vil komme til at foregå via det sikre DubliNet mellem myndigheder, der er meddelt på forhånd.

23.

Den måde, som denne mekanisme struktureres på, er af afgørende betydning for dens forenelighed med databeskyttelsesordningen, især da oplysningsudvekslingen også vil komme til at omfatte meget følsomme personoplysninger som f.eks. oplysninger om »særlige behov hos den ansøger, der skal overføres, som i specifikke sager kan omfatte oplysninger om [den pågældendes] fysiske og psykiske sundhedstilstand«. EDPS støtter i den forbindelse til fulde medtagelsen af artikel 36 i forslaget, hvorefter medlemsstaterne skal træffe de nødvendige foranstaltninger til at sikre, at ethvert misbrug af oplysninger […] pålægges sanktioner, herunder administrative og/eller strafferetlige sanktioner i overensstemmelse med national ret.

24.

Artikel 32 i Kommissionens forslag indeholder bestemmelser om udveksling af oplysninger. EDPS har på et tidligere stadium bidraget til denne bestemmelse og støtter den af Kommissionen foreslåede affattelse.

25.

EDPS understreger, at det er vigtigt, at medlemsstaternes myndigheder udveksler oplysninger om fysiske personer ved brug af DubliNet. Dette giver ikke blot mulighed for bedre sikkerhed, men også for at sikre bedre sporbarhed af transaktionerne. EDPS henviser i den forbindelse til arbejdsdokumentet fra Kommissionens tjenestegrene af 6. juni 2007, der er et ledsagedokument til rapporten fra Kommissionen til Europa-Parlamentet og Rådet om evalueringen af Dublinsystemet (9), og hvori Kommissionen erindrer om, »at det altid er obligatorisk at anvende DubliNet undtagen som defineret i artikel 15, stk. 1, andet afsnit«, i Kommissionens forordning (EF) nr. 1560/2003 af 2. september 2003 om gennemførelsesforanstaltninger til Rådets forordning (EF) nr. 343/2003 om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en asylansøgning, der er indgivet af en tredjelandsstatsborger i en af medlemsstaterne (10) (i det følgende benævnt »Dublingennemførelsesforordningen«). EDPS insisterer på, at muligheden for at fritage for anvendelsen af DubliNet, jf. artikel 15, stk. 1, som nævnt ovenfor, bør fortolkes restriktivt.

26.

For at sikre dette er der blevet indsat nogle bestemmelser i forslaget, og andre bestemmelser er blevet omformuleret, og EDPS hilser alle disse bestræbelser velkommen. F.eks. er den nye artikel 33, stk. 4, i forslaget blevet omformuleret for at tydeliggøre, at ikke blot anmodninger, men også svar og al skriftlig korrespondance skal være omfattet af regler vedrørende indførelsen af sikre elektroniske transmissionskanaler (som fastsat i artikel 15, stk. 1, i Dublingennemførelsesforordningen). Desuden er stk. 2 blevet slettet i den nye artikel 38, som i den tidligere affattelse (artikel 25) gav medlemsstaterne pligt til at sende anmodninger og svar »ved hjælp af metoder, som giver bevis for modtagelsen«, med det formål at præcisere, at medlemsstaterne også skal bruge DubliNet i den forbindelse.

27.

EDPS noterer sig, at der inden for rammerne af Dublinsystemet ikke er nogen særlig omfattende regulering af udvekslingen af personoplysninger. Selv om visse aspekter af udvekslingen allerede er blevet behandlet i Dublingennemførelsesforordningen, synes den nuværende forordning ikke at omfatte alle aspekter af udvekslingen af personoplysninger, hvilket er beklageligt (11).

28.

Det bør i den forbindelse nævnes, at dette spørgsmål om udveksling af oplysninger om asylansøgere også har været drøftet i Gruppen til Koordinering af Tilsynet med Eurodac. Uden at foregribe resultaterne af gruppens arbejde ønsker EDPS allerede på nuværende stadium at nævne, at en af de mulige anbefalinger kunne være at vedtage et sæt regler i stil med dem, der er fastsat i Sirenehåndbogen i Schengenregi.

29.

EDPS støtter Kommissionens forslag til forordning om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en ansøgning om international beskyttelse, der er indgivet af en tredjelandsstatsborger eller en statsløs i en af medlemsstaterne. Han forstår begrundelsen for at revidere det nuværende system.

30.

EDPS hilser det velkommen, at der er konsekvens mellem Kommissionens forslag og andre retsinstrumenter, der regulerer de komplekse juridiske rammer på dette område.

31.

EDPS hilser det velkommen, at der i forslaget lægges stor vægt på respekten for grundlæggende rettigheder, især beskyttelsen af personoplysninger. Han anser denne tilgang for at være en væsentlig forudsætning for forbedringen af Dublinproceduren. Han henleder især lovgivernes opmærksomhed på de nye mekanismer til udveksling af oplysninger, der bl.a. vil involvere yderst følsomme personoplysninger om asylansøgere.

32.

EDPS ønsker også at henvise til det vigtige arbejde, der foregår på dette område i Gruppen til Koordinering af Tilsynet med Eurodac, og han er af den opfattelse, at resultaterne af gruppens arbejde kan yde et nyttigt bidrag til udformningen af systemets elementer.

33.

EDPS mener, at nogle af bemærkningerne i denne udtalelse vil kunne udbygges yderligere på baggrund af den praktiske gennemførelse af det reviderede system. Han agter navnlig at bidrage til fastsættelsen af gennemførelsesforanstaltninger vedrørende udvekslingen af oplysninger via DubliNet som nævnt i punkt 24-27 i denne udtalelse.

23.9.2009   

DA

Den Europæiske Unions Tidende

C 229/6

1.

Kommissionen sendte den 3. december 2008 EDPS sit forslag til Europa-Parlamentets og Rådets forordning om oprettelse af »Eurodac« til sammenligning af fingeraftryk med henblik på en effektiv anvendelse af forordning (EF) nr. […/…] [om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en ansøgning om international beskyttelse, der er indgivet af en tredjelandsstatsborger eller statsløs i en af medlemsstaterne] (i det følgende benævnt »forslaget« eller »Kommissionens forslag«) med henblik på en udtalelse, jf. artikel 28, stk. 2, i forordning (EF) nr. 45/2001. Denne høring bør udtrykkeligt nævnes i forordningens præambel.

2.

EDPS har som nævnt i begrundelsen bidraget til forslaget på et tidligere stadium, og Kommissionen har i sin endelige tekst til forslaget taget hensyn til mange af de punkter, som han rejste uformelt.

3.

Rådets forordning (EF) nr. 2725/2000 (3) af 11. december 2000 om oprettelse af »Eurodac« (i det følgende benævnt »Eurodacforordningen«) trådte i kraft den 15. december 2000. Eurodac, som er et informationsteknologisk system, der dækker hele Fællesskabet, blev oprettet med henblik på at lette anvendelsen af Dublin-konventionen, som igen havde til formål at skabe en klar og anvendelig metode til at afgøre, hvem der har ansvaret for behandlingen af asylansøgninger, der indgives i en af medlemsstaterne. Dublinkonventionen blev senere erstattet af et fællesskabsretligt instrument, nemlig Rådets forordning (EF) nr. 343/2003 af 18. februar 2003 om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en asylansøgning, der er indgivet af en tredjelandsstatsborger i en af medlemsstaterne (4) (i det følgende benævnt »Dublinforordningen«) (5). Eurodacs drift indledtes den 15. januar 2003.

4.

Forslaget er en revision af Eurodacforordningen og dennes gennemførelsesforordning, Rådets forordning (EF) nr. 407/2002, og det har bl.a. til formål at:

5.

Det bør også fremhæves, at et af de vigtigste formål med forslaget er at sikre en bedre respekt for grundlæggende rettigheder, navnlig beskyttelse af personoplysninger. I denne udtalelse undersøges det, om forslagets bestemmelser i tilstrækkeligt omfang opfylder dette mål.

6.

Forslaget tager hensyn til resultaterne af Kommissionens rapport om evalueringen af Dublinsystemet fra juni 2007 (i det følgende benævnt »evalueringsrapporten«), der omfatter de første tre års drift af Eurodac (2003-2005).

7.

Det anerkendes i Kommissionens evalueringsrapport, at systemet i forordningen generelt er gennemført tilfredsstillende i medlemsstaterne, men der gøres også opmærksom på visse problemer i forbindelse med de gældende bestemmelsers effektivitet, og det fremhæves, at det er nødvendigt at tage nogle af disse problemer op for at forbedre Eurodacsystemet og lette anvendelsen af Dublinforordningen. Evalueringsrapporten bemærkede navnlig, at der fra nogle medlemsstaters side til stadighed var tale om forsinket videregivelse af fingeraftryk. Eurodacforordningen giver for øjeblikket kun en meget vag frist for videregivelse af fingeraftryk, hvilket kan forårsage store forsinkelser i praksis. Spørgsmålet er af afgørende betydning for systemets effektivitet, idet enhver forsinkelse i videregivelsen kan føre til resultater, der er i strid med de principper, der ligger til grund for den i Dublinforordningen fastlagte ansvarsfordeling.

8.

Evalueringsrapporten understregede også, at fraværet af en effektiv metode til medlemsstaternes gensidige oplysning om asylansøgeres status i mange tilfælde har ført til ineffektiv forvaltning af sletningen af oplysninger. De medlemsstater, der indlæser oplysninger om en bestemt person, er ofte ikke klar over, at en anden oprindelsesmedlemsstat har slettet oplysninger, og erkender således ikke, at de også bør slette deres oplysninger om samme person. Overholdelse af princippet om, at »oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere de registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de indsamles«, kan som følge deraf ikke sikres i tilstrækkelig grad.

9.

Analysen i evalueringsrapporten viser desuden, at uklar specifikation af de nationale myndigheder, der har adgang til Eurodac, står i vejen for, at Kommissionen og Den Europæiske Tilsynsførende for Databeskyttelse kan føre tilsyn.

10.

I betragtning af EDPS' nuværende rolle som tilsynsmyndighed for Eurodac er han specielt interesseret i Kommissionens forslag og i, at revisionen af hele Eurodacsystemet får et positivt resultat.

11.

EDPS noterer sig, at forslaget involverer forskellige aspekter af asylansøgeres grundlæggende rettigheder, såsom retten til asyl, retten til information i bredere forstand og retten til beskyttelse af personoplysninger. I betragtning af, hvad der er EDPS' opgave, vil denne udtalelse dog navnlig fokusere på de databeskyttelsesspørgsmål, som tages op i den reviderede forordning. I den forbindelse udtrykker EDPS tilfredshed med, at der i forslaget lægges betydelig vægt på respekten for og beskyttelsen af personoplysninger. Han benytter lejligheden til at understrege, at sikring af et højt beskyttelsesniveau for personoplysninger og en mere effektiv praktisk gennemførelse heraf bør betragtes som en afgørende forudsætning for en forbedring af den måde, Eurodac fungerer på.

12.

Denne udtalelse handler hovedsagelig om følgende ændringer i teksten, som er de mest relevante i forbindelse med beskyttelse af personoplysninger:

13.

EDPS hilser det velkommen, at forslaget tilstræber sammenhæng med andre retsakter vedrørende oprettelse og/eller anvendelse af andre omfattende it-systemer. Der er navnlig sammenhæng mellem den måde, hvorpå ansvaret for databasen er delt og tilsynsmodellen udformet i forslaget, og de retsakter, hvorved Schengeninformationssystemet II (SIS II) og visuminformationssystemet (VIS) er oprettet.

14.

EDPS noterer sig, at der er sammenhæng mellem dette forslag på den ene side og direktiv 95/46/EF og forordning (EF) nr. 45/2001 på den anden. I den forbindelse hilser EDPS navnlig de nye betragtninger nr. 17, 18 og 19 velkommen, hvorefter direktiv 95/46/EF og forordning nr. 45/2001 finder anvendelse på behandlingen af personoplysninger udført i medfør af den foreslåede forordning af henholdsvis medlemsstaterne og de involverede fællesskabsinstitutioner og -organer.

15.

Endelig gør EDPS opmærksomhed på, at det også er nødvendigt at sikre fuldstændig sammenhæng mellem Eurodac- og Dublinforordningen, og i denne udtalelse benytter han lejligheden til at fremsætte mere nøjagtige angivelser vedrørende denne sammenhæng. Han bemærker dog, at dette spørgsmål til en vis grad allerede er blevet behandlet i forslaget, f.eks. i begrundelsen, hvori det hedder, at »sammenhæng med Dublinforordningen (samt databeskyttelseshensyn, navnlig proportionalitetsprincippet) sikres ved at tilpasse opbevaringsperioden for oplysninger om tredjelandsstatsborgere eller statsløse, hvis fingeraftryk er taget i forbindelse med ulovlig passage af en medlemsstats ydre grænse, med den periode, hvori Dublinforordningens artikel 14, stk. 1, tildeler ansvar på grundlag af samme oplysninger (dvs. et år)«.

16.

EDPS hilser den tilsynsmodel velkommen, der er indeholdt i forslaget, og de specifikke opgaver, han er blevet betroet i medfør af forslagets artikel 25 og 26. Ifølge artikel 25 har EDPS to tilsynsopgaver:

Artikel 26 handler om samarbejdet mellem de nationale tilsynsmyndigheder og EDPS.

17.

EDPS noterer sig også, at forslaget indeholder en fremgangsmåde svarende til den, der anvendes i SIS II og VIS: et lagdelt tilsynssystem, hvor de nationale databeskyttelsesmyndigheder (DPA'er) og EDPS fører tilsyn på henholdsvis nationalt plan og EU-plan og med et samarbejdssystem mellem de to niveauer. Den måde, hvorpå samarbejdet er beskrevet i forslaget, afspejler også den nuværende praksis, der har vist sig effektiv og fremmet et nært samarbejde mellem EDPS og DPA'erne. EDPS udtrykker derfor tilfredshed med, at det er blevet formaliseret i forslaget, og med, at lovgiveren med disse bestemmelser har sikret sammenhæng med tilsynet med andre omfattende it-systemer.

18.

EDPS noterer sig, at forslaget ikke kommer ind på spørgsmålet om at give en del af Kommissionens opgaver i underentreprise til en anden organisation eller enhed (f.eks. et privatejet selskab). Underentrepriser anvendes ikke desto mindre ofte af Kommissionen i forvaltningen og udviklingen af både systemet og kommunikationsinfrastrukturen. Selv om underentrepriser ikke i sig selv er i modstrid med databeskyttelseskravene, bør der indføres omfattende garantier, der kan sikre, at anvendeligheden af forordning (EF) nr. 45/2001, inkl. databeskyttelsestilsyn foretaget af EDPS, forbliver fuldstændig uberørt af, at visse aktiviteter gives i underentreprise. Der bør desuden vedtages supplerende garantier af mere teknisk art.

19.

Som følge deraf foreslår EDPS, at der i forbindelse med revisionen af Eurodacforordningen indføres retlige garantier svarende til dem, der findes i retsakterne vedrørende SIS II, hvori det hedder, at selv om Kommissionen delegerer forvaltningen af systemet til en anden myndighed, må denne delegation »ikke negativt påvirke konkrete kontrolmekanismer i henhold til fællesskabslovgivningen, uanset om det drejer sig om kontrol udøvet af Domstolen, Revisionsretten eller Den Europæiske Tilsynsførende for Databeskyttelse« (artikel 15, stk. 7, i SIS II-afgørelsen og SIS II-forordningen).

20.

Disse bestemmelser præciseres yderligere i artikel 47 i SIS II-forordningen, hvori det hedder: »Såfremt Kommissionen (…) delegerer sit ansvar til et andet organ eller andre organer (…), sikrer den, at Den Europæiske Tilsynsførende for Databeskyttelse har ret til og er i stand til fuldt ud at udføre sine opgaver, herunder mulighed for at udføre kontrol på stedet eller udøve enhver anden beføjelse, den pågældende er tillagt ved artikel 47 i forordning (EF) nr. 45/2001«.

21.

Ovenstående bestemmelser angiver med den fornødne præcision, hvilke konsekvenser det har, at Kommissionen giver en del af sine opgaver i underentreprise til andre myndigheder. EDPS foreslår derfor, at der også indsættes bestemmelser med henblik herpå i Kommissionens forslag.

22.

Forslagets artikel 3, stk. 5, handler om proceduren for optagelse af fingeraftryk. Ifølge denne bestemmelse skal proceduren »fastlægges og anvendes efter den pågældende medlemsstats nationale praksis og i overensstemmelse med de beskyttelsesforanstaltninger, der er fastlagt i Den Europæiske Unions charter om grundlæggende rettigheder, i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder og i De Forenede Nationers konvention om barnets rettigheder«. Ifølge forslagets artikel 6 er den nedre aldersgrænse for optagelse af en ansøgers fingeraftryk 14 år, og det skal ske senest 48 timer efter indgivelse af ansøgningen.

23.

For det første understreger EDPS med hensyn til aldersgrænsen, at det er nødvendigt at sikre sammenhæng mellem forslaget og Dublinforordningen. Eurodacsystemet er blevet indført for at sikre en effektiv anvendelse af Dublinforordningen. Det vil sige, at hvis resultatet af den igangværende revision af Dublinforordningen har indvirkning på anvendelsen over for mindreårige asylansøgere, bør det komme til udtryk i Eurodacforordningen (6).

24.

For det andet ønsker EDPS, for så vidt angår fastsættelse af aldersgrænser for optagelse af fingeraftryk generelt, at påpege, at størstedelen af den foreliggende dokumentation synes at angive, at identifikation ved hjælp af fingeraftryk bliver mindre nøjagtig, jo ældre den identificerede er. Det er derfor tilrådeligt, at den undersøgelse af optagelse af fingeraftryk, der udføres i forbindelse med gennemførelsen af VIS, følges nøje. Uden at foregribe resultaterne af undersøgelsen ønsker EDPS allerede på nuværende tidspunkt at understrege, at det i alle de tilfælde, hvor det viser sig umuligt at optage fingeraftryk, eller hvor resultaterne heraf vil blive upålidelige, er vigtigt at have tilbagefaldsprocedurer, der i fuldt omfang bør respektere personens værdighed.

25.

For det tredje noterer EDPS sig lovgiverens bestræbelser på at sikre, at bestemmelserne om optagelse af fingeraftryk er i overensstemmelse med internationale og europæiske menneskerettighedskrav. Han gør ikke desto mindre opmærksom på de vanskeligheder, adskillige medlemsstater har haft med at fastslå unge asylansøgeres alder. Meget ofte har asylansøgere eller illegale indvandrere ikke identitetspapirer, og det er nødvendigt at kende deres alder for at afgøre, om deres fingeraftryk skal optages. De metoder, der anvendes hertil, giver anledning til megen debat i de forskellige medlemsstater.

26.

EDPS gør i den forbindelse opmærksom på, at Gruppen til Koordinering af Tilsynet med Eurodac (7) har iværksat et koordineret tilsyn med dette spørgsmål, hvis resultater forventes i første halvdel af 2009, og som skulle kunne gøre det lettere at fastsætte fælles procedurer på området.

27.

Afslutningsvis finder EDPS, at der er behov for en bedre koordinering og harmonisering på EU-plan af procedurerne for optagelse af fingeraftryk, så vidt det overhovedet er muligt.

28.

I forslagets artikel 4, stk. 1, hedder det: »Efter en overgangsperiode har en forvaltningsmyndighed, der finansieres over Den Europæiske Unions almindelige budget, ansvaret for den operationelle forvaltning af Eurodac. Forvaltningsmyndigheden sikrer i samarbejde med medlemsstaterne, at den bedste disponible teknologi, på grundlag af en cost-benefit-analyse, til enhver tid anvendes til det centrale system«. Skønt EDPS hilser kravet i artikel 4, stk. 1, velkommen, ønsker han at bemærke, at udtrykket »bedste disponible teknologi« I ovennævnte bestemmelse bør erstattes med udtrykket »bedste disponible teknik«, der omfatter både den anvendte teknologi og den måde, hvorpå anlæg konstrueres, bygges, vedligeholdes og drives.

29.

Forslagets artikel 9, stk. 1, handler om sletning af oplysninger før tiden. Ifølge denne bestemmelse er oprindelsesmedlemsstaten forpligtet til at slette »oplysninger om en person, som har opnået statsborgerskab i en af medlemsstaterne inden udløbet af den i artikel 8 omhandlede periode«, så snart oprindelsesmedlemsstaten bliver klar over, at den pågældende har opnået et sådant statsborgerskab. EDPS udtrykker tilfredshed forpligtelsen til at slette oplysningerne, da det er i overensstemmelse med princippet om oplysningernes pålidelighed. EDPS mener desuden, at revision af denne bestemmelse giver anledning til at tilskynde medlemsstaterne til at indføre procedurer, der sikrer pålidelig og rettidig (automatisk, hvis det er muligt) sletning af oplysninger, når en person opnår statsborgerskab i en af medlemsstaterne.

30.

EDPS ønsker desuden at påpege, at artikel 9, stk. 2, om sletning før tiden bør affattes anderledes, da den foreslåede affattelse er uklar. EDPS foreslår, at ordet »den« I denne bestemmelse af stilistiske årsager erstattes med »de«.

31.

Forslagets artikel 12 handler om lagring af oplysninger. EDPS ønsker at bemærke, at fastsættelsen af ét år som lagringsperioden for oplysninger (i stedet for to år i den nugældende forordning) er en god anvendelse af princippet om oplysningernes pålidelighed, ifølge hvilket oplysninger ikke bør opbevares længere, end det er nødvendigt for at opfylde formålet med behandlingen af dem. Det er en velkommen forbedring af teksten.

32.

Bestemmelsen om, at forvaltningsmyndigheden offentliggør listen over myndigheder, der har adgang til oplysninger fra Eurodac, er velkommen. Det vil bidrage til at opnå bedre gennemsigtighed og udgøre et praktisk redskab til bedre tilsyn med systemet, f.eks. fra DPA'ernes side.

33.

Forslagets artikel 21 handler om føring af registre over alle behandlinger af oplysninger i det centrale system. Ifølge artikel 21, stk. 2, må disse registre kun bruges til kontrol med lovligheden af behandlingen af oplysningerne i databeskyttelsesøjemed (…). I den forbindelse kunne det præciseres, at dette også omfatter foranstaltninger til egenkontrol.

34.

Forslagets artikel 23, stk. 1, litra e), er affattet således:

»En person, der er omfattet af denne forordning, skal af oprindelsesmedlemsstaten orienteres om (…):

35.

EDPS noterer, at en effektiv gennemførelse af retten til information er afgørende for, at Eurodac kan fungere korrekt. Det er især vigtigt at sikre, at oplysningerne gives på en sådan måde, at asylansøgeren til fulde forstår sin situation og sine rettigheder, bl.a. de proceduremæssige skridt, han/hun kan tage i forlængelse af de administrative afgørelser, der træffes i hans/hendes tilfælde.

36.

Hvad angår de praktiske aspekter af gennemførelsen af denne ret ønsker EDPS at understrege, at selv om det er DPA'erne, der har kompetence til at behandle krav om beskyttelse af personoplysninger, må affattelsen af forslaget ikke være til hinder for, at ansøgeren (den registrerede) i første række retter et krav til den registeransvarlige. Bestemmelsen i artikel 23, stk. 1, litra e), i dens nuværende affattelse synes at antyde, at ansøgeren bør rette sin anmodning direkte og i hvert enkelt tilfælde til DPA, hvorimod standardproceduren og praksis i medlemsstaterne er, at ansøgeren først indgiver sit krav til den registeransvarlige.

37.

EDPS foreslår også at omformulere artikel 23, stk. 1, litra e), for at præcisere de rettigheder, der skal tildeles ansøgeren. Den foreslåede affattelse er uklar, eftersom den kan fortolkes derhen, at retten »til at få oplysninger om procedurerne for udøvelse af disse rettigheder (…)« er et led i retten til at få indsigt i oplysninger og/eller retten til at kræve, at ukorrekte oplysninger rettes (…). Ifølge den nuværende affattelse af ovennævnte bestemmelse skal medlemsstaterne endvidere ikke informere den person, der er omfattet af forordningen, om indholdet af rettighederne, men blot om deres eksistens. Da sidstnævnte spørgsmål synes at være rent stilistisk, foreslår EDPS at omformulere artikel 23, stk. 1, litra e), således:

»En person, der er omfattet af denne forordning, skal af oprindelsesmedlemsstaten (…) orienteres om (…):

38.

Ifølge samme tankegang bør artikel 23, stk. 10, affattes således: »Den nationale tilsynsmyndighed i hver medlemsstat skal, hvor det er hensigtsmæssigt, (eller: på den registreredes anmodning) i overensstemmelse med artikel 28, stk. 4, i direktiv 95/46/EF bistå den registrerede med at udøve hans/hendes rettigheder«. Også i denne forbindelse ønsker EDPS at understrege, at der i princippet ikke skulle være behov for at involvere DPA; den registeransvarlige bør tværtimod tilskyndes til at foretage en korrekt behandling af de registreredes krav. Det samme gælder, når myndighederne i forskellige medlemsstater er nødt til at samarbejde. De registeransvarlige bør først og fremmest være ansvarlige for at behandle anmodningerne og samarbejde herom.

39.

For så vidt angår artikel 23, stk. 9, udtrykker EDPS tilfredshed ikke kun med selve formålet med bestemmelsen (kontrol med brugen af »specielle søgninger«, som det anbefales af DPA'erne i deres første rapport om koordineret tilsyn), men også med den procedure, der foreslås anvendt til at opfylde formålet.

40.

For så vidt angår metoderne til at orientere ansøgerne henviser EDPS til det arbejde, der er udført af Gruppen til Koordinering af Tilsynet med Eurodac. Denne gruppe drøfter netop nu spørgsmålet inden for rammerne af Eurodac med henblik på at fremsætte forslag om relevante retningslinjer, så snart resultaterne af de nationale undersøgelser foreligger og er blevet samlet.

41.

EDPS støtter forslaget til Europa-Parlamentets og Rådets forordning om oprettelse af »Eurodac« til sammenligning af fingeraftryk med henblik på en effektiv anvendelse af forordning (EF) nr. […/…] om fastsættelse af kriterier og procedurer til afgørelse af, hvilken medlemsstat der er ansvarlig for behandlingen af en ansøgning om international beskyttelse, der er indgivet af en tredjelandsstatsborger eller statsløs i en af medlemsstaterne.

42.

EDPS hilser tilsynsmodellen i forslaget velkommen tillige med den rolle og de opgaver, han har fået tildelt i det nye system. Den planlagte model afspejler den nuværende praksis, der har vist sig at være effektiv.

43.

EDPS noterer sig, at forslaget tilstræber sammenhæng med andre retsakter vedrørende oprettelse og/eller anvendelse af andre omfattende it-systemer.

44.

EDPS hilser det velkommen, at der i forslaget lægges stor vægt på respekten for de grundlæggende rettigheder, især beskyttelsen af personoplysninger. Som nævnt i udtalelsen om revision af Dublinforordningen, anser EDPS denne tilgang for at være en væsentlig forudsætning for forbedring af asylprocedurerne i Den Europæiske Union.

45.

EDPS gør opmærksom på nødvendigheden af at sikre fuldstændig sammenhæng mellem Eurodac- og Dublinforordningen.

46.

EDPS konstaterer et behov for bedre samordning og harmonisering af procedurerne for optagelse af fingeraftryk på EU-plan, uanset om det drejer sig om asylansøgere eller enhver anden, der er omfattet af Eurodacproceduren. Han gør specielt opmærksom på spørgsmålet om aldersgrænser for optagelse af fingeraftryk, herunder især de vanskeligheder, adskillige medlemsstater har haft med at fastslå unge asylansøgeres alder.

47.

EDPS insisterer på, at bestemmelserne om registreredes rettigheder skal præciseres, og han understreger navnlig, at de nationale registeransvarlige først og fremmest er ansvarlige for at sikre, at disse rettigheder finder anvendelse.

23.9.2009   

DA

Den Europæiske Unions Tidende

C 229/12

1.

Den Franske Republiks initiativ med henblik på vedtagelse af Rådets afgørelse om brug af informationsteknologi på toldområdet blev offentliggjort i EU-Tidende den 5. februar 2009 (4). EDPS blev ikke hørt om dette initiativ af hverken den medlemsstat, der fremlagde det, eller af Rådet. Europa-Parlamentets Udvalg om Borgernes Rettigheder og Retlige og Indre Anliggender bad dog EDPS om at kommentere det franske initiativ i overensstemmelse med artikel 41 i forordning (EF) nr. 45/2001 i forbindelse med Europa-Parlamentets udtalelse om initiativet. Selv om EDPS i lignende tilfælde (5) har afgivet udtalelse på eget initiativ, skal denne udtalelse også ses som en reaktion om denne anmodning fra Europa-Parlamentet.

2.

EDPS finder, at nærværende udtalelse bør nævnes i præamblen til Rådets afgørelse, ligesom hans udtalelse er nævnt i en række retsakter, der er vedtaget på forslag af Kommissionen.

3.

Selv om en medlemsstat, der tager initiativ til en lovgivningsforanstaltning efter afsnit VI i EU-traktaten, ikke er retligt forpligtet til at anmode EDPS om at afgive udtalelse, udelukker de gældende regler heller ikke, at der kan anmodes om en sådan udtalelse. EDPS beklager, at hverken Den Franske Republik eller Rådet har bedt om en udtalelse fra ham i dette tilfælde.

4.

EDPS understreger, at bemærkningerne i denne udtalelse er baseret på udgaven af 24. februar 2009 (5903/2/09 REV 2), som er offentliggjort på Europa-Parlamentets websted (6), da Rådet stadig arbejder med forslaget.

5.

EDPS mener, at der er behov for en nærmere redegørelse for begrundelsen for selve initiativet og for nogle specifikke artikler og mekanismer deri. Han beklager, at initiativet ikke er ledsaget af en konsekvensvurdering eller en begrundelse. Dette er et nødvendigt element, der gør lovgivningsprocessen mere gennemsigtig og mere generelt øger dens kvalitet. Forklarende oplysninger ville også lette vurderingen af en række elementer i forslaget, f.eks. vedrørende behovet og begrundelsen for, at Europol og Eurojust skal have adgang til CIS.

6.

EDPS har taget hensyn til udtalelse 09/03 af 24. marts 2009 fra Den Fælles Tilsynsmyndighed vedrørende udkastet til Rådets afgørelse om brug af informationsteknologi på toldområdet.

7.

Den retlige ramme for toldinformationssystemet (CIS) består i øjeblikket af retsakter under både søjle 1 og 3. Den retlige ramme for systemet under søjle 3 består først og fremmest af konventionen af 26. juli 1995 udarbejdet på grundlag af artikel K.3 i traktaten om Den Europæiske Union om brug af informationsteknologi på toldområdet (i det følgende benævnt »CIS-konventionen« (7) og protokollerne af 12. marts 1999 og 8. marts 2003.

8.

De nuværende databeskyttelsesordninger indebærer anvendelse af Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med automatisk databehandling af personoplysninger af 28. januar 1981 (i det følgende benævnt »Europarådets konvention 108«). Desuden finder Rådets rammeafgørelse 2008/977/RIA anvendelse på CIS i henhold til forslaget.

9.

Systemets søjle 1-del er omfattet af Rådets forordning (EF) nr. 515/97 af 13. marts 1997 om gensidig bistand mellem medlemsstaternes administrative myndigheder og om samarbejde mellem disse og Kommissionen med henblik på at sikre den rette anvendelse af told- og landbrugsbestemmelserne (8).

10.

Formålet med CIS-konventionen er, i henhold til artikel 2, stk. 2, deri, at bidrage til forebyggelse, efterforskning og retsforfølgning af alvorlige overtrædelser af de nationale love ved, gennem en hurtig udbredelse af oplysninger, at øge effektiviteten i samarbejds- og kontrolprocedurerne hos toldadministrationerne i medlemsstaterne.

11.

I henhold til CIS-konventionen består toldinformationssystemet af en central databaseenhed, hvortil der er adgang via terminaler i hver af medlemsstaterne. Andre karakteristika er som følger:

12.

Det franske initiativ, der er baseret på artikel 30, stk. 1, litra a), og artikel 34, stk. 2, i traktaten om Den Europæiske Union, har til formål at erstatte CIS-konventionen samt protokollen af 12. marts 1999 og protokollen af 8. marts 2003 for at bringe systemets søjle 3-del i overensstemmelse med søjle 1-retsakterne.

13.

Forslaget indebærer dog mere end at erstatte CIS-konventionens tekst med en rådsafgørelse. Det ændrer en stor del af konventionens bestemmelser og udvider det nuværende anvendelsesområde for CIS-adgang, idet Europol og Eurojust også får adgang. Desuden indeholder forslaget de tilsvarende bestemmelser vedrørende CIS' funktion i ovennævnte forordning (EF) nr. 766/2008, f.eks. for så vidt angår oprettelse af et elektronisk sagsregister på toldområdet (kapitel VI).

14.

Forslaget tager også hensyn til nye retsakter såsom rammeafgørelse 2008/977/RIA og rammeafgørelse 2006/960/RIA af 13. december 2006 om forenkling af udvekslingen af oplysninger og efterretninger mellem medlemsstaternes retshåndhævende myndigheder (10).

15.

Forslaget har bl.a. til formål

16.

I den forbindelse er formålet med CIS i henhold til forslagets artikel 1 at bidrage til forebyggelse, efterforskning og retsforfølgning af alvorlige overtrædelser af nationale love ved en hurtigere udbredelse af oplysninger og således øge effektiviteten i medlemsstaternes toldadministrationers samarbejds- og kontrolprocedurer. Denne bestemmelse afspejler i vid udstrækning CIS-konventionens artikel 2, stk. 2.

17.

Med henblik på virkeliggørelsen af dette mål udvider forslaget brugen af CIS-oplysninger, bl.a. søgninger i systemer og strategisk eller operationel analyse. EDPS noterer sig udvidelsen af formålet og listen over de kategorier af personoplysninger, der skal indsamles og behandles, og udvidelsen af listen over registrerede, der har direkte adgang til CIS.

18.

Da EDPS i øjeblikket optræder som tilsynsmyndighed for den centrale del af søjle 1-delen af CIS, er han særlig interesseret i initiativet og den nye udvikling i Rådet vedrørende dets indhold. EDPS understreger, at der skal sikres en sammenhængende og overordnet tilgang for at bringe søjle 1- og søjle 3-delen i overensstemmelse med hinanden.

19.

EDPS konstaterer, at forslaget indebærer forskellige aspekter vedrørende grundlæggende rettigheder, navnlig beskyttelse af personoplysninger samt retten til oplysninger og andre rettigheder for den registrerede.

20.

Med hensyn til den nuværende databeskyttelsesordning i CIS-konventionen skal EDPS gøre opmærksom på, at en række af konventionens nuværende bestemmelser skal ændres og ajourføres, da de ikke længere opfylder de nugældende databeskyttelseskrav og -standarder. EDPS benytter lejligheden til at understrege, at der bør betragtes som en forudsætning for, at CIS kan komme til at fungere bedre, at der sikres et højt beskyttelsesniveau for personoplysninger og en mere effektiv gennemførelse heraf i praksis.

21.

Efter nogle generelle bemærkninger vil denne udtalelse især omhandle følgende emner, der er relevante i forbindelse med beskyttelse af personoplysninger:

22.

Som nævnt i indledningen er EDPS særlig interesseret i den nye udvikling vedrørende søjle 3-delen af CIS, da han allerede udfører tilsynsopgaver med hensyn til den centrale del af søjle 1-delen i overensstemmelse med den nye forordning nr. 766/2008 Europa-Parlamentets og Rådets forordning (11) med henblik på at sikre den rette anvendelse af told- og landbrugsbestemmelserne.

23.

I den forbindelse vil EDPS gerne gøre lovgiveren opmærksom på, at han allerede har kommenteret spørgsmål vedrørende tilsynet med søjle 1-delen af CIS i en række af sine udtalelser, navnlig i udtalelsen af 22. februar 2007 (12).

24.

I denne udtalelse understregede EDPS, at »oprettelsen og opgraderingen af de forskellige instrumenter, der skal styrke EF-samarbejdet, [som f.eks.] CIS (…), medfører øget udveksling af personoplysninger, der indsamles for første gang og derefter udveksles med medlemsstaternes administrative myndigheder og i nogle tilfælde også med tredjelande. De personoplysninger, der behandles og senere udveksles, kan omfatte oplysninger om fysiske personers påståede eller bekræftede involvering i forseelser på told- eller landbrugsområdet. (…) Det er desuden vigtigt i betragtning af den type oplysninger, der indsamles og udveksles, dvs. især tilfælde af mistanke om, at fysiske personer er involveret i forseelser, samt det overordnede formål med og resultatet af behandlingen«.

25.

EDPS understreger, at i modsætning til de ændringer, som forordning 766/2008 har indført i søjle 1-retsakten om CIS, indebærer forslaget en gennemgribende omarbejdning af CIS-konventionen, der giver lovgiveren mulighed for en mere global vision for hele systemet baseret på en sammenhængende og overordnet tilgang.

26.

Efter EDPS' mening skal denne tilgang også være fremtidsrettet. Der bør tages behørigt hensyn til ny udvikling såsom vedtagelsen af rammeafgørelse 2008/977/RIA og Lissabontraktatens (mulige) kommende ikrafttrædelse, når der tages stilling til selve forslagets indhold.

27.

For så vidt angår Lissabontraktatens ikrafttrædelse gør EDPS lovgiveren opmærksom på, at der skal foretages en indgående analyse af, hvordan afskaffelsen af EU's søjlestruktur vil indvirke på CIS, når Lissabontraktaten træder i kraft, da CIS i øjeblikket bygger på en kombination af retsakter under søjle 1 og 3. EDPS beklager, at der ikke er givet forklarende oplysninger om denne vigtige fremtidige udvikling, som vil have en væsentlig indvirkning på den retlige ramme for CIS fremover. Mere generelt finder EDPS, at det måske ville være mere hensigtsmæssigt, at lovgiveren venter med revisionen, til Lissabontraktaten er trådt i kraft, for at undgå en mulig retsusikkerhed.

28.

Efter EDPS' mening er vedtagelsen af en afløser for CIS-konventionen som helhed også en god anledning til at sikre, at CIS er foreneligt med andre systemer og mekanismer, der er udviklet siden konventionens vedtagelse. I den forbindelse ønsker EDPS sammenhæng, også i tilsynsmodellen, med andre retsakter, navnlig dem, der vedrører oprettelsen af anden generation af Schengeninformationssystemet (SIS II) og visuminformationssystemet.

29.

EDPS hilser det velkommen, at forslaget tager hensyn til rammeafgørelsen om beskyttelse af personoplysninger i betragtning af den dataudveksling, der finder sted mellem medlemsstaterne i CIS. Artikel 20 i forslaget bestemmer klart, at rammeafgørelse 2008/977/RIA finder anvendelse på beskyttelse af dataudveksling i overensstemmelse med nærværende afgørelse, medmindre andet er bestemt i denne afgørelse. EDPS konstaterer desuden, at der også henvises til rammeafgørelsen i andre af forslagets bestemmelser, f.eks. i artikel 4, stk. 5, der bestemmer, at oplysninger, der er nævnt i artikel 6 i rammeafgørelse 2008/977/RIA, ikke må medtages, artikel 8 om brug af oplysninger fra CIS til at opnå de formål, der er anført i afgørelsens artikel 1, stk. 2, artikel 22 om en persons rettigheder med hensyn til personoplysninger i CIS og artikel 29 om ansvar og forpligtelser.

30.

EDPS mener, at rammeafgørelsens begreber og principper er hensigtsmæssige i forbindelse med CIS og derfor bør finde anvendelse både af hensyn til retssikkerheden og til foreneligheden mellem de retlige ordninger.

31.

Når det er sagt, understreger EDPS dog, at lovgiveren bør sørge for de fornødne garantier for, at der ikke bliver smuthuller i databeskyttelsessystemet, medens man venter på en fuld gennemførelse af rammeafgørelse 2008/977/RIA i overensstemmelse med de afsluttende bestemmelser. Med andre ord vil EDPS gerne understrege, at han går ind for en tilgang, hvorefter nødvendige og tilstrækkelige garantier er på plads, før nye dataudvekslinger finder sted.

32.

EDPS betragter en gennemførelse af retten til databeskyttelse og retten til oplysninger som afgørende for, at CIS kan fungere korrekt. Databeskyttelsesgarantier er ikke kun nødvendige for at sikre en effektiv beskyttelse af privatpersoner i CIS, men vil også være med til at sikre, at systemet fungerer korrekt og mere effektivt.

33.

EDPS gør lovgiveren opmærksom på, at behovet for stærke og effektive databeskyttelsesgarantier er endnu mere oplagt, når man betænker, at CIS er en database, der bygger på »mistanke« snarere end på domme eller andre retlige eller administrative afgørelser. Dette er afspejlet i forslagets artikel 5, hvori det hedder: »oplysninger i kategorierne i artikel 3 registreres i toldinformationssystemet kun med henblik på observation og indberetning, diskret overvågning, målrettet kontrol og strategisk eller operationel analyse. I forbindelse med de operationer, der er omtalt (…), må personoplysninger (…) kun registreres i toldinformationssystemet, hvis der specielt grundet tidligere ulovlig aktivitet – er konkrete indicier for eller en rimelig formodning om, at den pågældende person har begået, er i færd med at begå eller har til hensigt at begå alvorlige overtrædelser af nationale love.« I betragtning af CIS' karakteristika kræver forslaget afbalancerede, effektive og opgraderede garantier med hensyn til beskyttelse af personoplysninger og kontrolordninger.

34.

For så vidt angår specifikke bestemmelser i forslaget om beskyttelse af personoplysninger noterer EDPS sig den indsats, som lovgiveren har gjort for at give flere garantier end i CIS-konventionen. EDPS har alligevel en række alvorlige betænkeligheder med hensyn til databeskyttelsesbestemmelserne, især anvendelsen af princippet om formålsbegrænsning.

35.

Det bør også nævnes i den forbindelse, at bemærkningerne om databeskyttelsesgarantier i denne udtalelse ikke kun gælder de bestemmelser, der ændrer eller udvider CIS-konventionens anvendelsesområde, men også vedrører de dele, der er overtaget fra den nuværende konventionstekst. Grunden hertil er som nævnt i de generelle bemærkninger, at nogle af konventionens bestemmelser efter EDPS' opfattelse ikke længere opfylder de nuværende databeskyttelseskrav, og det franske initiativ er en god anledning til at se på hele systemet med friske øjne og sikre et tilstrækkeligt databeskyttelsesniveau, der svarer til søjle 1-delen af systemet.

36.

EDPS noterer sig med tilfredshed, at kun en lukket og udtømmende liste over personoplysninger må optages i CIS. Han hilser det også velkommen, at forslaget indeholder en udvidet definition af udtrykket »personoplysninger« i forhold til CIS-konventionen. I henhold til forslagets artikel 2, stk. 2, er »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede); ved en identificerbar person forstås en person, der kan identificeres direkte eller indirekte, især ved henvisning til et identifikationsnummer eller et eller flere specifikke kendetegn med hensyn til den pågældendes fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet.

37.

Et eksempel på bestemmelser, der giver anledning til alvorlige betænkeligheder med hensyn til databeskyttelse, er forslagets artikel 8, hvori det hedder: Medlemsstaterne, Europol og Eurojust må kun benytte oplysninger fra CIS til at opnå de formål, der er anført i artikel 1, stk. 2. Dog kan oplysningerne benyttes til administrative eller andre formål efter forudgående tilladelse fra den medlemsstat, der har registreret oplysningerne i systemet, og på de betingelser, den har stillet herfor. En sådan anden anvendelse skal være i overensstemmelse med de love, administrative bestemmelser og procedurer, der gælder i den medlemsstat, der ønsker at benytte oplysningerne, i overensstemmelse med artikel 3, stk. 2, i rammeafgørelse 2008/977/RIA. Denne bestemmelse om brugen af oplysninger fra CIS er afgørende for systemets struktur og kræver derfor særlig opmærksomhed.

38.

I forslagets artikel 8 henvises der til artikel 3, stk. 2, i rammeafgørelse 2008/977/RIA, som omhandler »Princippet om lovmæssighed, proportionalitet og formål«. Rammeafgørelsens artikel 3 bestemmer følgende:

»1.   De kompetente myndigheder må kun indsamle personoplysninger til udtrykkeligt angivne og legitime formal inden for rammerne af deres opgaver, og [de] må kun behandles til det formål, som de er indsamlet til. Behandlingen af oplysningerne skal være lovlig og tilstrækkelig, relevant og stå i et rimeligt forhold til de formål, hvortil oplysningerne er indsamlet.

2.   Viderebehandling til et andet formål er tilladt, hvis:

39.

Uanset anvendelsen af artikel 3, stk. 2, i rammeafgørelse 2008/977/RIA, der indeholder de generelle betingelser for behandling til et andet formål, gør EDPS opmærksom på, at forslagets artikel 8, hvorefter CIS-oplysninger kan anvendes til administrative eller andre formål, som forslaget ikke definerer, giver anledning til bekymring over, om den er i overensstemmelse med databeskyttelseskravene, navnlig princippet om formålsbegrænsning. Desuden er en sådan generel anvendelse ikke tilladt i henhold til søjle 1-retsakten. EDPS ønsker derfor, at det præciseres, til hvilke formål oplysningerne må anvendes. Dette er af afgørende betydning fra et databeskyttelsessynspunkt, da det vedrører kerneprincipperne for anvendelse af oplysninger i de store systemer, som er, at oplysninger kun bør anvendes til veldefinerede og klart afgrænsede formål, der er fastsat i den retlige ramme.

40.

Forslagets artikel 8, stk. 4, omhandler oplysninger, der kan overføres til tredjelande eller internationale organisationer. Dette stykke bestemmer følgende: »Oplysninger fra CIS kan efter forudgående tilladelse fra den medlemsstat, der registrerede dem i systemet, og på de betingelser, som denne stat måtte stille, overføres (…) til tredjelande samt til internationale og regionale organisationer, der ønsker at gøre brug af dem. Hver medlemsstat træffer særlige foranstaltninger for at garantere oplysningernes sikkerhed, når de overføres til instanser uden for dens territorium. Den i artikel 25 omhandlede fælles tilsynsmyndighed underrettes om de nærmere enkeltheder i forbindelse med sådanne foranstaltninger«.

41.

EDPS gør opmærksom på, at artikel 11 i rammeafgørelsen om beskyttelse af personoplysninger finder anvendelse i den forbindelse. Det skal dog understreges, at på grund af den meget generelle anvendelse af forslagets artikel 8, stk. 4, der i princippet giver medlemsstaterne mulighed for at overføre oplysninger fra CIS til tredjelande og internationale eller regionale organisationer, der ønsker at gøre brug af dem, er garantierne i denne bestemmelse langtfra tilstrækkelige for så vidt angår beskyttelse af personoplysninger. EDPS opfordrer til, at artikel 8, stk. 4, overvejes igen for at sikre et ensartet system til vurdering af tilstrækkelighed ved hjælp af en passende ordning, f.eks. kunne det udvalg, der er nævnt i forslagets artikel 26, inddrages i denne vurdering.

42.

EDPS noterer sig med tilfredshed bestemmelserne om ændring af oplysninger (kapitel IV, artikel 13), der er et vigtigt element i datakvalitetsprincippet. EDPS udtrykker især tilfredshed med, at denne bestemmelses anvendelsesområde nu er udvidet og ændret i forhold til CIS-konventionen, idet berigtigelse og sletning af oplysninger er tilføjet. F.eks. bestemmer artikel 13, stk. 2, at hvis en formidlende medlemsstat eller Europol bemærker eller bliver gjort opmærksom på, at de oplysninger, de har registreret, er ukorrekte, eller at de er blevet registreret eller lagres i strid med denne afgørelse, ændrer, supplerer, berigtiger eller sletter de oplysningerne og underretter de øvrige medlemsstater og Europol herom.

43.

EDPS noterer sig bestemmelserne i kapitel V om lagring af oplysninger, der i vid udstrækning er baseret på CIS-konventionen og bl.a. fastsætter, hvor længe oplysninger kopieret fra CIS må lagres.

44.

Kapitel IX (Beskyttelse af personoplysninger) afspejler mange af CIS-konventionens bestemmelser. Det indeholder dog nogle væsentlige ændringer, nemlig anvendelsen af rammeafgørelsen om beskyttelse af personoplysninger på CIS, og følgende tekst i forslagets artikel 22: »en persons rettigheder med hensyn til personoplysninger i toldinformationssystemet, herunder navnlig retten til adgang, berigtigelse, sletning eller blokering, udøves i overensstemmelse med de love, administrative bestemmelser og procedurer, der gennemfører rammeafgørelse 2008/977/RIA i den medlemsstat, hvor personen påberåber sig disse rettigheder.« I den forbindelse vil EDPS især gerne understrege betydningen af, at man opretholder den procedure, hvorefter registrerede kan påberåbe sig deres rettigheder og anmode om adgang i alle medlemsstater. EDPS vil nøje følge den praktiske gennemførelse af denne vigtige ret for registrerede.

45.

Forslaget udvider også CIS-konventionens anvendelsesområde med hensyn til forbuddet mod at kopiere oplysninger fra CIS til andre nationale datafiler. I CIS-konventionens artikel 14, stk. 2, hedder det udtrykkeligt: »Personoplysninger registreret af andre medlemsstater må ikke kopieres fra toldinformationssystemet til andre nationale datafiler«. Forslagets artikel 21, stk. 3, tillader kopiering for så vidt angår »kopier i systemer til risikostyring, som anvendes til at lede toldkontrollen på nationalt niveau, eller i forbindelse med kopier i et system til operationel analyse, som anvendes til at koordinere aktioner«. I den henseende er EDPS enig i bemærkningerne fra Den Fælles Tilsynsmyndighed i udtalelse 09/03, navnlig med hensyn til udtrykket »systemer til risikostyring« og behovet for at fastsætte nærmere bestemmelser om, hvornår og under hvilke omstændigheder den kopiering, der er tilladt i henhold til artikel 21, stk. 3, vil være mulig.

46.

EDPS udtrykker tilfredshed med bestemmelserne om sikkerhed, der er afgørende for, at CIS kan fungere effektivt (kapitel XII).

47.

Forslaget tilføjer bestemmelser om det elektroniske sagsregister på toldområdet (artikel 16-19). Dette afspejler oprettelsen af det elektroniske sagsregister på toldområdet ved søjle 1-retsakten. EDPS anfægter ikke behovet for en sådan ny database i forbindelse med CIS, men gør opmærksom på, at der skal fastsættes passende databeskyttelsesgarantier. I den forbindelse hilser EDPS det velkommen, at undtagelsen i artikel 21, stk. 3, ikke gælder for elektroniske sagsregistre på toldområdet.

48.

Forslaget giver Den Europæiske Politienhed (Europol) og Den Europæiske Enhed for Retligt Samarbejde (Eurojust) adgang til systemet.

49.

Først og fremmest understreger EDPS, at formålet med adgang klart skal defineres, og at det skal vurderes, om adgangens omfang er proportionelt og nødvendigt. Der mangler oplysninger om, hvorfor det er nødvendigt også at give Europol og Eurojust adgang til systemet. EDPS understreger også, at når det drejer sig om adgang til databaser, funktioner og behandling af personoplysninger, er der et klart behov for i forvejen at evaluere ikke blot adgangens nytte, men også det reelle og dokumenterede behov for dette forslag. EDPS understreger, at der ikke er givet nogen begrundelse.

50.

EDPS ønsker også en klar definition i teksten af de nøjagtige opgaver, i forbindelse med hvilke Europol og Eurojust kan få adgang til oplysningerne.

51.

I henhold til artikel 11 har Europol ret til inden for rammerne af sit mandat at få adgang til oplysningerne i CIS og søge direkte i dem samt indføre oplysninger i systemet.

52.

EDPS hilser det velkommen, at forslaget indeholder begrænsninger, navnlig

53.

EDPS gør også opmærksom på, at der, når forslaget nævner Europolkonventionen, bør der tages hensyn til den rådsafgørelse, på grundlag af hvilken Europol med virkning fra den 1. januar 2010 bliver et EU-agentur.

54.

Forslagets artikel 12 vedrører Eurojusts adgang til CIS. Den bestemmer, at »med forbehold af kapitel IX, har de nationale medlemmer samt de personer, der bistår dem, ret til, inden for rammerne af deres mandat og for at kunne udføre deres opgaver, at få adgang til oplysningerne i CIS, jf. artikel 1, 3, 4, 5 og 6, og søge i dem«. Forslaget indeholder samme ordninger for samtykke fra den medlemsstat, der har registreret oplysningerne, som for Europol. Ovenstående bemærkninger om, at behovet for adgang skal begrundes, og at der skal fastsættes de nødvendige begrænsninger, hvis denne adgang gives, gælder også for Eurojust.

55.

EDPS hilser det velkommen, at adgangen til CIS begrænses til de nationale medlemmer, deres stedfortrædere og de personer, der bistår dem. EDPS noterer sig dog, at artikel 12, stk. 1, kun omhandler medlemmer og de personer, der bistår dem, medens stedfortrædere også er nævnt i de andre stykker i artikel 12. Lovgiveren bør sørge for klarhed og konsekvens på dette punkt.

56.

Med hensyn til det foreslåede tilsyn med søjle 3-delen af CIS gør EDPS lovgiveren opmærksom på, at der skal sikres et konsekvent og overordnet tilsyn med hele systemet. Den komplekse retlige ramme for CIS, der bygger på to retsgrundlag, bør tages i betragtning, og af hensyn til den juridiske klarhed og af praktiske grunde bør to forskellige tilsynsmodeller undgås.

57.

Som tidligere nævnt i denne udtalelse fungerer EDPS i øjeblikket som tilsynsmyndighed for den centrale del af søjle 1-delen af CIS. Dette sker i overensstemmelse med artikel 37 i Rådets forordning (EF) nr. 515/97 som ændret ved forordning (EF) nr. 766/2008, der bestemmer, at Den Europæiske Tilsynsførende for Databeskyttelse fører tilsyn med, at toldinformationssystemet er i overensstemmelse med forordning (EF) nr. 45/2001. EDPS noterer sig, at tilsynsmodellen i det franske forslag ikke tager hensyn til denne rolle. Tilsynsmodellen bygger på Den Fælles Tilsynsmyndighed for CIS.

58.

Selv om EDPS værdsætter det arbejde, som Den Fælles Tilsynsmyndighed for CIS udfører, understreger han to grunde til, at der bør anvendes en koordineret tilsynsmodel, der er forenelig med de nuværende tilsynsopgaver i andre store systemer. For det første vil en sådan model sikre intern konsekvens mellem systemets søjle 1- og søjle 3-del. For det andet ville den også sikre overensstemmelse med de modeller, der er fastsat i andre store systemer. EDPS tilråder derfor, at en model svarende til den, der anvendes i SIS II (»koordineret tilsyn« eller »lagdelt model«), anvendes for CIS som helhed. Som nævnt i EDPS' udtalelse om søjle 1-delen af CIS har »EU-lovgiveren i forbindelse med SIS II (…) valgt at rationalisere tilsynsmodellen ved at anvende samme lagdelte model som den, der er beskrevet ovenfor, i både søjle 1- og søjle 3-delen af systemet«.

59.

EDPS mener, at den mest hensigtsmæssige løsning i den forbindelse er at indføre et mere ensartet tilsynssystem, nemlig den allerede afprøvede model, der bygger på en tredelt struktur, dvs. databeskyttelsesmyndigheder på nationalt plan, en tilsynsførende på centralt plan og koordinering mellem dem. EDPS er overbevist om, at indførelsen af en ny retsakt i stedet for CIS-konventionen er en enestående mulighed for at forenkle og sikre mere konsekvens i tilsynet, så det bliver helt i overensstemmelse med andre store systemer (VIS, SIS II og Eurodac).

60.

Endelig tager den koordinerede tilsynsmodel også bedre hensyn til de ændringer, der vil ske, når Lissabontraktaten træder i kraft og EU's søjlestruktur afskaffes.

61.

EDPS tager ikke stilling til, om indførelsen af den koordinerede tilsynsmodel vil kræve ændringer i søjle 1-retsakten vedrørende CIS, nemlig forordning 766/2008 om ændring af Rådets forordning 515/97, men han gør lovgiveren opmærksom på, at dette aspekt skal analyseres, også ud fra hensynet til juridisk konsekvens.

62.

Artikel 7, stk. 2, bestemmer, at hver medlemsstat sender hver af de øvrige medlemsstater og det udvalg, der omtales i artikel 26, en liste over de kompetente myndigheder, den har udpeget, og for hver myndighed angiver, hvilke oplysninger den har adgang til og til hvilke formål.

63.

EDPS gør opmærksom på, at forslaget kun bestemmer, at oplysninger om, hvilke myndigheder der har adgang til CIS, skal udveksles mellem medlemsstaterne, og at de skal underrette det udvalg, der er nævnt i artikel 26, men at det ikke indeholder nogen bestemmelser om offentliggørelse af listen over myndigheder. Dette er beklageligt, da en offentliggørelse ville være med til at sikre bedre gennemsigtighed og skabe et praktisk redskab for et effektivt tilsyn med systemet, f.eks. fra de kompetente databeskyttelsesmyndigheders side.

64.

EDPS støtter forslaget til Rådets afgørelse om brug af informationsteknologi på toldområdet. Han understreger, at hans bemærkningerne ikke bygger på den endelige tekst til forslaget, fordi Rådets lovgivningsarbejde stadig er i gang.

65.

Han beklager, at der ikke er nogen forklarende dokumenter med den fornødne klarlæggelse af og information om målene for og enkelthederne i nogle af forslagets bestemmelser.

66.

EDPS ønsker, at der i forslaget lægges mere vægt på behovet for specifikke databeskyttelsesgarantier. Han ser en række områder, hvor den praktiske gennemførelse af databeskyttelsesgarantier bør sikres bedre, især med hensyn til anvendelsen af formålsbegrænsningen i brugen af oplysninger, der er registreret i CIS. EDPS mener, at dette er en afgørende forudsætning for, at toldinformationssystemet kan komme til at fungere bedre.

67.

EDPS ønsker, at der skal indsættes en koordineret tilsynsmodel i forslaget. Der gøres opmærksom på, at EDPS i øjeblikket har tilsynsopgaver i systemets søjle 1-del. Han understreger, at det af hensyn til sammenhængen og konsekvensen er bedst, at den koordinerede tilsynsmodel også anvendes på systemets søjle 3-del. Denne model vil også, når det er nødvendigt og hensigtsmæssigt, sikre overensstemmelse med andre retsakter om gennemførelsen og/eller anvendelsen af andre store it-systemer.

68.

EDPS efterlyser en nærmere forklaring på behovet for og proportionaliteten i Eurojusts og Europols adgang. Han understreger, at der mangler forklarende oplysninger herom i forslaget.

69.

EDPS insisterer også på, at bestemmelsen i forslagets artikel 8, stk. 4, om overførsel af data til tredjelande eller internationale organisationer skal strammes. Dette indebærer bl.a., at der skal være et ensartet system til vurdering af tilstrækkelighed.

70.

EDPS ønsker, at der indsættes en bestemmelse om offentliggørelse af listen over de myndigheder, der har adgang til CIS, for at øge gennemsigtigheden og lette tilsynet med systemet.

23.9.2009   

DA

Den Europæiske Unions Tidende

C 229/19

1.

Den 10. december 2008 vedtog Kommissionen to forslag vedrørende ændring af henholdsvis forordning (EF) nr. 726/2004 og direktiv 2001/83/EF (3). Forordning (EF) nr. 726/2004 fastlægger fællesskabsprocedurer for godkendelse og overvågning af human- og veterinærmedicinske lægemidler og opretter et europæisk lægemiddelagentur (i det følgende benævnt: »EMEA«) (4). Direktiv 2001/83/EF indeholder bestemmelser om fællesskabskodeksen for humanmedicinske lægemidler, og omhandler specifikke processer på medlemsstatsplan (5). De foreslåede ændringer vedrører de dele i begge instrumenter, der omhandler overvågning af humanmedicinske lægemidler.

2.

Lægemiddelovervågning kan defineres som den videnskab og de aktiviteter, der ligger til grund for påvisning, vurdering, forståelse og forebyggelse af lægemidlers bivirkninger (6). Det lægemiddelovervågningssystem, der på nuværende tidspunkt findes inden for Europa, gør det muligt for patienter og sundhedspersoner at indberette bivirkninger til de relevante offentlige og private organer, der er involveret på nationalt og europæisk plan. En EU-database (EudraVigilance-databasen) drives af EMEA som et centraliseret punkt for administration og indberetning af formodede bivirkninger.

3.

Lægemiddelovervågning anses for at være et nødvendigt supplement til Fællesskabets system for godkendelse af lægemidler, der stammer fra 1965, hvor Rådets direktiv 65/65/EØF blev vedtaget (7).

4.

Som det fremgår af de begrundelser og den konsekvensanalyse, der er vedlagt forslagene, lider det nuværende lægemiddelovervågningssystem under en række svagheder, herunder mangel på klarhed med hensyn til de forskellige involverede aktørers roller og ansvar, komplicerede procedurer for indberetning af bivirkninger, behov for større gennemsigtighed og bedre kommunikation på området for lægemiddelsikkerhed og behov for rationalisering af risikostyringsplanlægningen for så vidt angår lægemidler.

5.

Generelt er hensigten med de to forslag at afhjælpe disse svagheder samt forbedre og styrke Fællesskabets lægemiddelovervågningssystem med det overordnede mål at forbedre beskyttelsen af folkesundheden, sikre et velfungerende indre marked og forenkle de gældende regler og procedurer (8).

6.

Hele det nuværende lægemiddelovervågningssystem fungerer på grundlag af behandling af personoplysninger. Disse oplysninger er omfattet i indberetningen af bivirkninger og kan betragtes som oplysninger om helbredsforhold (»helbredsoplysninger«) om de pågældende personer, eftersom de afslører oplysninger om brug af medicin og dermed forbundne helbredsproblemer. Behandlingen af sådanne oplysninger er underlagt strenge databeskyttelsesregler som fastsat i artikel 10 i forordning (EF) nr. 45/2001 og artikel 8 i direktiv 95/46/EF (9). Den Europæiske Menneskerettighedsdomstol har for nylig ved gentagne lejligheder fremhævet betydningen af at beskytte sådanne oplysninger artikel 8 i den europæiske menneskerettighedskonvention: »Beskyttelse af personoplysninger, herunder navnlig medicinske data, er af afgørende betydning for, at en person kan udøve sin ret til respekt for privatliv og familieliv som sikret ved artikel 8 i konventionen« (10).

7.

På trods af dette er der ikke medtaget nogen henvisning til databeskyttelse i den nuværende tekst til forordning (EF) nr. 726/2004 og direktiv 2001/83/EF, med undtagelse af en specifik henvisning i forordningen, der vil blive drøftet nedenfor i punkt 21 ff.

8.

Den europæiske tilsynsførende for databeskyttelse (EDPS) beklager, at der ikke er taget hensyn til databeskyttelsesaspekter i de foreslåede ændringer, og at han ikke som fastsat i artikel 28, stk. 2, i forordning (EF) nr. 45/2001 er blevet formelt hørt om de to forslag til ændringer. Den foreliggende udtalelse bygger derfor på artikel 41, stk. 2, i samme forordning. EDPS anbefaler, at der medtages en henvisning til denne udtalelse i begge forslags præambel.

9.

EDPS noterer, at selv om der hverken er taget tilstrækkeligt hensyn til databeskyttelse i de nuværende retlige rammer for lægemiddelovervågning eller i forslagene, rejser den praktiske anvendelse af Fællesskabets centrale EudraVigilance-system tydeligvis databeskyttelsesspørgsmål. Med henblik herpå anmeldte EMEA det nuværende EudraVigilance-system til EDPS i juni 2008 med henblik på forudgående kontrol på grundlag af artikel 27 i forordning (EF) nr. 45/2001.

10.

Der vil i sagens natur være nogen overlapning mellem nærværende udtalelse og EDPS's konklusioner vedrørende forudgående kontrol (offentliggøres senere i år). De to instrumenters fokus er imidlertid forskellig: denne udtalelse koncentrerer sig om de generelle retlige rammer, der ligger til grund for systemet som omhandlet i forordning (EF) nr. 726/2004 og direktiv 2001/83/EF og de foreslåede ændringer deraf, hvorimod den forudgående kontrol udgør en detaljeret databeskyttelsesanalyse, der koncentrerer sig om, hvordan de nuværende regler er blevet videreudviklet i de efterfølgende instrumenter (f.eks. afgørelser og retningslinjer) udfærdiget af EMEA eller Kommissionen og EMEA i fællesskab, og hvordan EudraVigilance-systemet fungerer i praksis.

11.

Denne udtalelse vil først give en forenklet redegørelse for lægemidddelovervågningssystemet i EU, som det fremgår af forordning (EF) nr. 726/2004 og direktiv 2001/83/EF i deres nuværende form. Derefter vil behovet for behandling af personoplysninger inden for rammerne af lægemiddelovervågning blive analyseret. Herefter vil Kommissionens forslag til forbedring af de nuværende og påtænkte retlige rammer blive drøftet, og der vil blive fremsat anbefalinger om, hvordan databeskyttelsesstandarderne kan sikres og forbedres.

12.

En række aktører beskæftiger sig med indsamling og formidling af oplysninger om bivirkninger ved lægemidler i Den Europæiske Union. På nationalt plan er de to hovedaktører indehaverne af markedsføringstilladelser (virksomheder, der har tilladelse til at markedsføre lægemidler) og de nationale kompetente myndigheder (myndigheder, der er ansvarlige for markedsføringstilladelsen). De nationale kompetente myndigheder godkender lægemidler efter nationale procedurer som »proceduren med gensidig anerkendelse« og »den decentraliserede procedure« (11). For lægemidler, der er godkendt efter den såkaldte »centraliserede procedure«, kan Europa-Kommissionen også handle som en kompetent myndighed. En vigtig supplerende aktør på europæisk niveau er EMEA. En af dette agenturs opgaver er at sikre formidlingen af oplysninger om bivirkninger ved lægemidler, der er godkendt i Fællesskabet, ved hjælp af en database, der er den tidligere omtalte EudraVigilance-database.

13.

Direktiv 2001/83/EF omhandler i generelle vendinger medlemsstaternes ansvar for at oprette et lægemiddelovervågningssystem, hvori der indsamles oplysninger, der er »nyttige for lægemiddelovervågningen« (artikel 102). På grundlag af artikel 103 og 104 i direktiv 2001/83/EF (jf. også artikel 23 og 24 i forordning (EF) nr. 726/2004) skal indehaverne af en markedsføringstilladelse have deres eget lægemiddelovervågningssystem for at påtage sig ansvaret for de lægemidler, de markedsfører, og at sikre, at der træffes passende foranstaltninger, når det er nødvendigt. Oplysninger indsamles direkte fra sundhedspersoner eller patienter. Alle oplysninger, der er relevante for forholdet mellem fordele og risici ved et lægemiddel, skal af indehaveren af markedsføringstilladelsen meddeles elektronisk til den kompetente myndighed.

14.

Direktiv 2001/83/EF er ikke særlig præcist med hensyn til, hvilken form for oplysninger om bivirkninger, der skal indsamles på nationalt plan, hvordan de skal opbevares eller hvordan de skal meddeles. Artikel 104 og 106 omhandler kun »fortegnelser«, der skal udarbejdes. Mere detaljerede regler vedrørende disse fortegnelser foreligger i de retningslinjer, som Kommissionen på grundlag af artikel 106 udarbejder i samråd med EMEA, medlemsstaterne og de berørte parter. I disse retningslinjer for lægemiddelovervågning af humanmedicinske lægemidler (i det følgende benævnt »retningslinjerne«) henvises der til såkaldte »individuelle sikkerhedsindberetninger« (i det følgende benævnt »ICSR«), der er indberetninger om bivirkninger ved lægemidler i forbindelse med en specifik patient (12). Det fremgår af retningslinjerne, at et aspekt af mindstekravene i ICSR er »en identificerbar patient« (13). Det oplyses, at patienten kan identificeres ved initialer, patientnummer, fødselsdato, vægt, højde og køn, hospitalsregistreringsnummer, oplysninger om patientens medicinske forhistorie, oplysninger om patientens forældre (14).

15.

Ved at fremhæve, at patienten er identificerbar, er det klart, at behandlingen af disse oplysninger hører under reglerne for databeskyttelse som fastsat i direktiv 95/46/EF. Selv om patienten ikke er nævnt ved navn, er det nemlig muligt at identificere vedkommende ved at sammensætte en række oplysninger (f.eks. hospital, fødselsdato, initialer) og under særlige forhold (f.eks. i lukkede samfund eller mindre lokalsamfund). Derfor bør de oplysninger, der behandles inden for rammerne af lægemiddelovervågning, i princippet anses for at vedrøre en identificerbar fysisk person i henhold til artikel 2, litra a), i direktiv 95/46/EF (15). Selv om dette ikke fremgår tydeligt hverken i forordningen eller i direktivet, erkendes det i retningslinjerne, hvor der står, at oplysningerne bør være så udtømmende som muligt under hensyntagen til EU's lovgivning om databeskyttelse (16).

16.

Det skal understreges, at trods retningslinjerne er indberetningen af bivirkninger på nationalt plan langt fra ensartet. Dette vil blive drøftet yderligere under punkt 24 og 25 nedenfor.

17.

EudraVigilance-databasen, der drives af EMEA, spiller en afgørende rolle i EU's lægemiddelovervågningssystem. Som allerede nævnt er EudraVigilance-databasen et centraliseret edb-netværk og styringssystem til indberetning og evaluering af formodede bivirkninger under udviklingen og efter tilladelse til markedsføring af et lægemiddel inden for Det Europæiske Fællesskab og de lande, der er medlemmer af Det Europæiske Økonomiske Samarbejdsområde. Retsgrundlaget for EudraVigilance-databasen findes i artikel 57, stk. 1, litra d), i forordning (EF) nr. 726/2004.

18.

Den nuværende EudraVigilance-database består af to afdelinger, nemlig 1) oplysninger fra kliniske forsøg (der finder sted inden lægemidlet markedsføres og derfor kaldet »præ-godkendelsesfasen«), og 2) oplysninger fra indberetninger om bivirkninger (indsamlet bagefter, og derfor kaldet »post-godkendelsesfasen«). Denne udtalelse lægger vægten på denne »post-godkendelsesfase«, eftersom de foreslåede ændringer koncentrerer sig om denne del.

19.

EudraVigilance-databasen indeholder data om patienter fra ICSR. EMEA får ICSR fra de nationale kompetente myndigheder (jf. artikel 102 i direktiv 2001/83/EF og artikel 22 i forordning (EF) nr. 726/2004) og i nogle tilfælde direkte fra indehaverne af markedsføringstilladelser (jf. artikel 104 i direktiv 2001/83/EF og artikel 24 i forordning (EF) nr. 726/2004).

20.

Denne udtalelse lægger stor vægt på behandlingen af personoplysninger om patienter. Det bør imidlertid bemærkes, at EudraVigilance-databasen også indeholder personoplysninger om personer, der arbejder for de nationale kompetente myndigheder eller indehaverne af markedsføringstilladelser, når de giver oplysninger til databasen. Fulde navn, oplysninger om adresse, kontaktoplysninger, oplysninger om identifikationsdokumenter for disse personer opbevares i systemet. En anden kategori af personoplysninger er data om de såkaldte sagkyndige personer, der er ansvarlige for lægemiddelovervågningen, der udpeges af indehaverne af markedsføringstilladelserne i overensstemmelse med artikel 103 i direktiv 2001/83/EF. De rettigheder og forpligtelser, der følger af forordning (EF) nr. 45/2001, gælder naturligvis fuldt ud for behandlingen af disse oplysninger.

21.

I artikel 57, stk. 1, litra d), i forordning (EF) nr. 726/2004 hedder det, at databasen løbende skal kunne konsulteres af alle medlemsstaterne. Sundhedspersoner, indehavere af markedsføringstilladelser og offentligheden skal endvidere have adgang til databaserne, med forskelligt adgangsniveau, idet det sikres, at personlige oplysninger i disse databaser beskyttes. Som nævnt ovenfor i punkt 7 er dette den eneste bestemmelse i både forordningen og direktiv 2001/83/EF, der omhandler databeskyttelse.

22.

Artikel 57, stk. 1, litra d), har ført til følgende ordning vedrørende adgang. Når EMEA modtager en ICSR, indlæses den direkte i EudraVigilance-gateway, der er fuldt ud tilgængelig for EMEA, de nationale kompetente myndigheder samt Kommissionen. Efter at ICSR er valideret (kontrolleret for så vidt angår ægthed og unikke karakter) af EMEA, overføres oplysningerne fra ICSR til den egentlige database. EMEA, de nationale kompetente myndigheder samt Kommissionen har fuld adgang til databasen, mens indehavere af markedsføringstilladelser kun har adgang til databasen med visse begrænsninger, nemlig kun adgang til oplysninger, som de selv har forelagt for EMEA. Indsamlede oplysninger om ICSR lægges endelig på webstedet for EudraVigilance, som offentligheden har adgang til, herunder sundhedspersoner.

23.

Den 19. december 2008 offentliggjorde EMEA på sit websted et udkast til adgangspolitik med henblik på offentlig høring (17). Af dokumentet fremgår det, hvordan EMEA påtænker at gennemføre artikel 57, stk. 1, litra d), i forordning (EF) nr. 726/2004. EDPS vender kort tilbage til dette spørgsmål under punkt 48 ff. nedenfor.

24.

Kommissionens konsekvensanalyse påpeger en række svagheder i EU's nuværende lægemiddelovervågningssystem, der anses for at være kompliceret og uklart. Det komplicerede system for forskellige aktørers indsamling, oplagring og udveksling af oplysninger på nationalt og europæisk plan fremstilles som en af de største svagheder. Denne situation kompliceres yderligere af, at der er skævheder med hensyn til, hvordan direktiv 2001/83/EF gennemføres i medlemsstaterne (18). Som følge heraf står de nationale kompetente myndigheder samt EMEA ofte over for ufuldstændige eller overlappende indberetninger af tilfælde af bivirkninger (19).

25.

Dette skyldes, at det overlades til medlemsstaterne at træffe afgørelse om, hvordan disse indberetninger skal gennemføres på nationalt plan, selv om de føromtalte retningslinjer indeholder en beskrivelse af ICSR's indhold. Dette omfatter både de kommunikationsmidler, som indehaverne af markedsføringstilladelser anvender til indberetning til de nationale kompetente myndigheder, og de reelle oplysninger i indberetningerne (der anvendes ikke nogen standardformular til indberetninger inden for Europa). Endvidere kan nogle nationale kompetente myndigheder anvende specifikke kvalitetskriterier for, hvorvidt indberetningerne kan antages (afhængig af deres indhold, fuldstændighed, osv.), medens dette måske ikke er tilfældet i andre lande. Det er klart, at den tilgang, der anvendes på nationalt plan, hvad angår indberetning og kvalitetsevaluering af ICSR, har direkte indflydelse på den måde, hvorpå indberetningen foretages over for EMEA, dvs. i EudraVigilance-databasen.

26.

EDPS ønsker at fremhæve, at ovennævnte svagheder ikke kun giver praktiske ulemper, men de udgør også en væsentlig trussel mod beskyttelsen af borgernes helbredsoplysninger. Selv om behandling af helbredsoplysninger, som omhandlet i de foregående punkter, foregår i flere stadier af lægemiddelovervågningsprocessen, eksisterer der på indeværende tidspunkt ikke nogen bestemmelser om beskyttelse af disse oplysninger. Den eneste undtagelse fra dette er den generelle henvisning til databeskyttelse i artikel 57, stk. 1, litra d), i forordning (EF) nr. 726/2004, der kun vedrører det sidste stadium af databehandlingen, nemlig tilgængelighed for så vidt angår de oplysninger, der er indeholdt i EudraVigilance-databasen. Endvidere udgør mangelen på klarhed med hensyn til de roller og ansvar, som de forskellige aktører, der er involveret i behandlingen, har, samt mangelen på specifikke standarder for selve behandlingen en trussel mod fortroligheden, og også mod integriteten og ansvarligheden i forbindelse med de personoplysninger, der behandles.

27.

EDPS ønsker derfor at fremhæve, at mangelen på en grundig databeskyttelsesanalyse, der afspejles i de retlige rammer, der udgør grundlaget for lægemiddelovervågningssystemet i EU, også skal ses som en af svaghederne ved det nuværende system. Denne svaghed bør afhjælpes gennem en ændring af den nuværende lovgivning.

28.

Som et indledende og generelt spørgsmål ønsker EDPS at rejse spørgsmålet om, hvorvidt behandling af helbredsoplysninger om identificerbare fysiske personer reelt er nødvendig på alle stadier af lægemiddelovervågningen (på nationalt samt på europæisk plan).

29.

Som forklaret ovenfor nævnes patienten i ICSR ikke ved navn og identificeres ikke som sådan. Patienten vil imidlertid i visse tilfælde alligevel kunne identificeres ved at kombinere forskellige oplysninger i ICSR. Som det fremgår af retningslinjerne gives der i nogle tilfælde et specifikt patientnummer, hvilket indebærer, at systemet som helhed åbner mulighed for at spore den pågældende person. Imidlertid nævner hverken direktivet eller forordningen sporbarhed i forbindelse med personer som en del af formålet med lægemiddelovervågningssystemet.

30.

EDPS opfordrer derfor indtrængende lovgiveren til at præcisere, om sporbarhed virkelig skal bidrage til overvåge lægemidler på de forskellige databehandlingsniveauer og mere specifikt inden for rammerne af EudraVigilance-databasen.

31.

I den forbindelse er det instruktivt at foretage en sammenligning med den påtænkte ordning vedrørende donation og transplantation af organer (20). Med hensyn til organtransplantation er det af altafgørende betydning, at organer kan spores til donoren samt til modtageren af organet, navnlig i tilfælde af alvorlige uønskede hændelser eller bivirkninger.

32.

Hvad angår lægemiddelovervågning har EDPS imidlertid ikke tilstrækkelig dokumentation til at fastslå, at sporbarhed altid er nødvendig. Lægemiddelovervågning drejer sig om indberetning af bivirkninger ved lægemidler, der anvendes af et (for det meste) ukendt antal personer og vil blive anvendt af et (for det meste) ukendt antal personer. Der er derfor — i hvert tilfælde i »post-godkendelsesperioden« — en mindre automatisk og individuel forbindelse mellem oplysninger om bivirkninger og den pågældende person som i tilfælde af oplysninger om organer og de personer, der er involveret i transplantation af et specifikt organ. Det er klart, at patienter, der har anvendt et vist lægemiddel, og som har indberettet bivirkninger, har en interesse i at få kendskab til resultatet af yderligere vurderinger. Dette indebærer imidlertid ikke, at de indberettede oplysninger i alle tilfælde bør knyttes til denne specifikke person under hele lægemiddelovervågningsprocessen. I mange tilfælde bør det være tilstrækkeligt at knytte oplysningerne om bivirkninger til selve lægemidlet, hvilket gør det muligt for de berørte aktører, eventuelt via sundhedspersoner, at informere patienter generelt om følgerne af at tage eller at have taget et bestemt lægemiddel.

33.

Hvis sporbarhed trods alt overvejes, ønsker EDPS at minde om den analyse, som han foretog i sin udtalelse om Kommissionens forslag til et direktiv om kvalitets- og sikkerhedsstandarder for menneskelige organer til transplantation. I denne udtalelse forklarer han forbindelsen mellem sporbarhed, identificerbarhed, anonymitet og fortrolig behandling af oplysninger. Identificerbarhed er en term, der er af afgørende betydning i databeskyttelseslovgivningen (21). Databeskyttelsesregler finder anvendelse på oplysninger om identificerede eller identificerbare personer (22). Oplysningers sporbarhed til en specifik person kan stilles på linje med identificerbarhed. I databeskyttelseslovgivningen er anonymitet det modsatte af identificerbarhed og dermed sporbarhed. Kun hvis det er umuligt at identificere (eller spore) den person, som oplysningerne vedrører, betragtes oplysningerne som anonyme. Begrebet »anonymitet« adskiller sig derfor fra, hvordan det almindeligvis opfattes i hverdagslivet, nemlig det, at en person ikke kan identificeres ud fra oplysninger som sådan, for eksempel hvis vedkommendes navn er fjernet. I disse situationer foretrækker man at tale om fortrolighed af oplysninger, idet der menes, at oplysningerne kun er (fuldt ud) tilgængelige for dem, der har ret til adgang. Sporbarhed og anonymitet kan ikke eksistere side om side, men det kan sporbarhed og fortrolighed.

34.

Bortset fra sporbarhed kan en anden begrundelse for, at patienterne skal være identificerbare under hele lægemiddelovervågningsprocessen, være systemets gode funktionsmåde. EDPS er klar over, at når oplysninger vedrører en identificerbar og derfor unik person, er det lettere for de relevante kompetente myndigheder (dvs. nationale kompetente myndigheder og EMEA) at overvåge og kontrollere indholdet af ICSR (f.eks. kontrollere om der er overlapning). Selv om EDPS erkender, at der er behov for en sådan kontrolmekanisme, er han ikke overbevist om, at dette giver tilstrækkelig grund til, at oplysningerne skal være identificerbare på alle stadier af lægemiddelovervågningsprocessen og navnlig i EudraVigilance-databasen. Gennem en bedre strukturering og koordinering af indberetningssystemet, for eksempel ved et decentraliseret system som omtalt nedenfor i punkt 42 ff., kan overlapning undgås allerede på nationalt niveau.

35.

EDPS anerkender, at det under visse omstændigheder ikke er muligt at gøre oplysninger anonyme. Dette er for eksempel tilfældet, hvis visse lægemidler anvendes af en meget begrænset gruppe personer. Med henblik på disse tilfælde bør der indføres specifikke garantier for således at opfylde de forpligtelser, der følger af databeskyttelseslovgivningen.

36.

Konklusionen er, at EDPS stærkt tvivler på, om sporbarhed eller anvendelse af oplysninger om identificerbare patienter er nødvendig på alle stadier af lægemiddelovervågningsprocessen. EDPS er klar over, at det måske ikke er muligt at udelukke behandlingen af identificerbare oplysninger på ethvert stadium, navnlig på nationalt plan, hvor den egentlige indsamling af oplysninger om bivirkninger finder sted. Databeskyttelsesreglerne gør det imidlertid nødvendigt, at behandling af helbredsoplysninger kun finder sted, når dette er absolut nødvendigt. Anvendelse af identificerbare oplysninger bør derfor reduceres i videst muligt omfang og forebygges eller standses så tidligt som muligt i de tilfælde, hvor dette ikke skønnes nødvendigt. EDPS opfordrer derfor lovgiveren indtrængende til på ny at vurdere behovet for at anvende sådanne oplysninger både på europæisk og på nationalt plan.

37.

Det noteres, at i de tilfælde, hvor der er et reelt behov for at behandle identificerbare oplysninger eller når oplysningerne ikke kan gøres anonyme (jf. punkt 35 ovenfor), bør man undersøge tekniske muligheder for indirekte identifikation af de registrerede, f.eks. ved at gøre brug af pseudonymisering (23).

38.

EDPS anbefaler derfor, at der i forordning (EF) nr. 726/2004 og direktiv 2001/83/EF indføres en ny artikel, hvori det hedder, at bestemmelserne i forordning (EF) nr. 726/2004 og direktiv 2001/83/EF ikke berører de rettigheder og forpligtelser, der er en følge af bestemmelserne i henholdsvis forordning (EF) nr. 45/2001 og direktiv 95/46/EF, med særlig henvisning til henholdsvis artikel 10 i forordning (EF) nr. 45/2001 og artikel 8 i direktiv 95/46/EF. Det bør tilføjes, at identificerbare helbredsoplysninger kun må behandles, når det er absolut nødvendigt, og de involverede parter bør vurdere denne nødvendighed på hvert enkelt stadium af lægemiddelovervågningsprocessen.

39.

Selv om der næsten ikke tages hensyn til databeskyttelse i de foreslåede ændringer, er en mere detaljeret analyse af forslaget dog stadig instruktiv, da den viser, at nogle af de påtænkte ændringer øger indvirkningen og de deraf følgende risici for databeskyttelse.

40.

Den generelle hensigt med de to forslag er at forbedre reglernes overensstemmelse, at præcisere ansvarsområderne, at forenkle indberetningssystemet og at styrke EudraVigilance-databasen (24).

41.

Kommissionen har tydeligvis forsøgt at gøre ansvarsfordelingen klarere ved at foreslå en ændring af de nuværende bestemmelser på en sådan måde, at selve lovgivningen mere udtrykkeligt præciserer, hvem der skal gøre hvad. Ved at øge klarheden hvad angår de involverede aktører og deres respektive forpligtelser med hensyn til indberetning af bivirkninger, styrker man naturligvis systemets gennemsigtighed, og dette er derfor også fra en databeskyttelsesvinkel en positiv udvikling. Patienter bør generelt være i stand til ud fra lovgivningen at forstå, hvordan, hvornår og af hvem deres personoplysninger behandles. Den foreslåede klarhed om pligter og ansvar bør også udtrykkeligt sættes i forbindelse med dem, der følger af databeskyttelseslovgivningen.

42.

Forenklingen af indberetningssystemet bør kunne opnås ved anvendelse af nationale webportaler om lægemiddelsikkerhed, der er forbundet med den europæiske webportal om lægemiddelsikkerhed (jf. den nyligt foreslåede artikel 106 i direktiv 2001/83/EF samt artikel 26 i forordning (EF) nr. 726/2004). De nationale webportaler vil indeholde offentligt tilgængelige formularer, som sundhedspersoner og patienter kan anvende til indberetning af formodede bivirkninger skal (jf. det nyligt foreslåede artikel 106, stk. 3, i direktiv 2001/83/EF samt artikel 25 i forordning (EF) nr. 726/2004). Også den europæiske webportal vil indeholde oplysninger om, hvordan bivirkninger skal indberettes, herunder standardformularer for patienters og sundhedspersoners webbaserede indberetning af bivirkninger.

43.

EDPS ønsker at understrege, at selv om anvendelsen af disse webportaler og standardformularer vil styrke indberetningssystemets effektivitet, øger den samtidig systemets databeskyttelsesrisici. EDPS opfordrer indtrængende lovgiveren til at gøre udviklingen af et sådant indberetningssystem afhængig af overholdelse af kravene i databeskyttelseslovgivningen. Dette indebærer som nævnt, at behovet for behandling af personoplysninger skal vurderes på behørig vis for så vidt angår hver fase i processen. Dette bør afspejles i den måde, hvorpå indberetningen er tilrettelagt på nationalt plan samt forelæggelsen af oplysninger til EMEA og EudraVigilance-databasen. Mere generelt anbefaler EDPS kraftigt at udvikle ensartede formularer på nationalt plan, hvilket vil forebygge afvigende praksis, der fører til forskellige databeskyttelsesniveauer.

44.

Det påtænkte system synes at indebære, at patienter kan foretage indberetning direkte til EMEA, eller måske endda direkte til selve EudraVigilance-databasen. Dette ville betyde, at oplysningerne i den nuværende anvendelse af EudraVigilance-databasen vil blive indlæst i en EMEA-gateway, der som forklaret ovenfor i punkt 21-22 er fuldt ud tilgængelig for Kommissionen og de nationale kompetente myndigheder.

45.

Generelt går EDPS kraftigt ind for et decentraliseret indberetningssystem. Meddelelser til den europæiske webportal bør koordineres gennem anvendelsen af de nationale webportaler, der hører under de nationale kompetente myndigheders ansvar. Patienters indirekte indberetning, dvs. via sundhedspersoner (uanset om der anvendes webportaler eller ej), bør også foretrækkes frem for muligheden for patienters direkte indberetning, navnlig til EudraVigilance-databasen.

46.

Et system til indberetning via webportaler kræver under alle omstændigheder strenge sikkerhedsregler. I den forbindelse ønsker EDPS at henvise til sin tidligere omtalte udtalelse om det foreslåede direktiv om grænseoverskridende sundhedsydelser, især den del, der omhandler datasikkerhed i medlemsstaterne og privatlivets fred i e-sundheds-applikationer (25). I den udtalelse fremhævede EDPS allerede, at privatlivets fred og sikkerhedsaspekterne bør indgå i udformningen og gennemførelsen af enhver e-sundheds-applikation (»indbygget databeskyttelse«) (26). De samme hensyn gælder for de påtænkte webportaler.

47.

EDPS vil derfor anbefale, at der i de nyligt foreslåede artikler 25 og 26 i forordning (EF) nr. 726/2004 og artikel 106 i direktiv 2001/83/EF, der omhandler udviklingen af et indberetningssystem for bivirkninger gennem anvendelse af webportaler, medtages en forpligtelse til at indarbejde passende foranstaltninger vedrørende sikkerhed og privatlivets fred. Principperne om fortrolighed, integritet, ansvarlighed og tilgængelighed for så vidt angår data kan også nævnes som vigtige sikkerhedsmål, der bør sikres på en ensartet måde i alle medlemsstater. Anvendelse af passende tekniske standarder og midler, såsom kryptering og autentifikation ved digital signatur, kan også medtages.

48.

Den nyligt foreslåede artikel 24 i forordning (EF) nr. 726/2004 handler om EudraVigilance-databasen. Artiklen gør det klart, at en styrkelse af databasen indebærer, at de forskellige berørte parter vil anvende databasen mere i forbindelse med indlæsning af oplysninger i databasen og adgangen til disse. To af stykkerne i artikel 24 har særlig interesse.

49.

Artikel 24, stk. 2, omhandler adgang til databasen. Det erstatter det nuværende artikel 57, stk. 1, litra d), i forordning (EF) nr. 726/2004, der blev kommenteret ovenfor som den eneste bestemmelse, der på indeværende tidspunkt omhandler databeskyttelse. Henvisningen til databeskyttelse bevares, men antallet af berørte aktører er reduceret. Hvor den nuværende tekst anfører, at sundhedspersoner, indehavere af markedsføringstilladelser og offentligheden får adgang til databaserne, med forskelligt adgangsniveau, idet det sikres, at personlige oplysninger i disse databaser beskyttes, foreslår Kommissionen nu at fjerne indehavere af markedsføringstilladelser fra listen og give dem adgang »i det omfang, der er nødvendigt, for at de kan opfylde deres lægemiddelovervågningsforpligtelser«, uden henvisning til databeskyttelse. Baggrunden herfor er ikke tydelig.

50.

Artikel 24, stk. 3, fastsætter desuden reglerne for adgang til ICSR. Offentligheden kan anmode om at få adgang, og udleveringen sker inden 90 dage, »medmindre en videregivelse af rapporterne vil være et brud på anonymiteten for de personer, som rapporterne vedrører«. EDPS støtter tanken bag denne bestemmelse, nemlig at kun anonyme oplysninger kan videregives. Han ønsker imidlertid, som tidligere forklaret, at fremhæve, at anonymitet skal forstås således, at det er helt umuligt at identificere den person, der har indberettet bivirkningen (jf. også punkt 33).

51.

Adgang til EudraVigilance-systemet bør generelt revurderes på baggrund af databeskyttelsesreglerne. Dette har også direkte følger for udkastet til adgangspolitik, som EMEA offentliggjorde i december 2008, og som er omhandlet ovenfor i punkt 23 (27). For så vidt som oplysningerne i EudraVigilance-databasen nødvendigvis vedrører identificerbare fysiske personer, bør adgangen til disse oplysninger være så restriktiv som muligt.

52.

EDPS anbefaler derfor at indføje et punktum i det foreslåede artikel 24, stk. 2, i forordning (EF) nr. 726/2004, hvori det hedder, at adgang til EudraVigilance-databasen skal reguleres i overensstemmelse med de rettigheder og forpligtelser, der følger af Fællesskabets databeskyttelseslovgivning.

53.

EDPS ønsker at understrege, at når de identificerbare oplysninger er behandlet, skal den part, der er ansvarlig for denne behandling, opfylde alle krav i Fællesskabets databeskyttelseslovgivning. Dette indebærer blandt andet, at den pågældende person er velinformeret om, hvad der skal ske med oplysningerne, og hvem, der skal behandle dem, og andre oplysninger, der er nødvendige på grundlag af artikel 11 i forordning (EF) nr. 45/2001 og/eller artikel 10 i direktiv 95/46/EF. Den pågældende person bør endvidere kunne påberåbe sig sine rettigheder på både nationalt og europæisk plan, som f.eks. ret til indsigt (artikel 12 i direktiv 95/46/EF og artikel 13 i forordning (EF) nr. 45/2001), indsigelsesret (artikel 18 i forordning (EF) nr. 45/2001 og artikel 14 i direktiv 95/46/EF) osv.

54.

EDPS vil derfor anbefale, at der i den foreslåede artikel 101 i direktiv 2001/83/EF tilføjes et stykke, der fastsætter, at i forbindelse med behandling af personoplysninger skal personen skal informeres behørigt i overensstemmelse med artikel 10 i direktiv 95/46/EF.

55.

Spørgsmålet om adgang til en persons egne oplysninger i EudraVigilance-databasen er ikke behandlet i den nuværende og den foreslåede lovgivning. Det skal fremhæves, at i de tilfælde, hvor det som nævnt ovenfor skønnes nødvendigt at opbevare personoplysninger i databasen, bør den berørte patient kunne påberåbe sig sin ret til at få adgang til sine personoplysninger i overensstemmelse med artikel 13 i forordning (EF) nr. 45/2001. EDPS vil derfor anbefale, at der tilføjes et stykke i den foreslåede artikel 24, hvori det hedder, at der skal træffes foranstaltninger, der sikrer, at den registrerede kan udøve sin ret til indsigt i personoplysninger vedrørende den registrerede selv som fastsat i artikel 13 i forordningen (EF) nr. 45/2001.

56.

EDPS mener, at mangelen på en ordentlig vurdering af databeskyttelseskonsekvenserne af lægemiddelovervågning udgør en af svaghederne i de nuværende retlige rammer, der er fastsat i forordning (EF) nr. 726/2004 og direktiv 2001/83/EF. Den aktuelle ændring af forordning (EF) nr. 726/2004 og direktiv 2001/83/EF bør ses som en anledning til at indføre databeskyttelse som et fuldt udbygget og vigtigt element i lægemiddelovervågningen.

57.

Et generelt spørgsmål, der skal overvejes i den forbindelse, er det faktiske behov for at behandle personlige helbredsoplysninger på alle stadier af lægemiddelovervågningsprocessen. Som forklaret i denne udtalelse tvivler EDPS stærkt på dette behov og opfordrer indtrængende lovgiveren til på ny at vurdere det på processens forskellige niveauer. Det er klart, at formålet med lægemiddelovervågning i mange tilfælde kan opnås ved at dele oplysninger om bivirkninger, der er anonyme i henhold til databeskyttelseslovgivningen. Overlapning af indberetning kan undgås ved allerede på nationalt plan at anvende velstrukturerede dataindberetningsprocedurer.

58.

De foreslåede ændringer sigter mod et forenklet indberetningssystem og en styrkelse af EudraVigilance-databasen. EDPS har forklaret, at disse ændringer fører til øgede risici for databeskyttelsen, navnlig når der er tale om patienters direkte indberetning til EMEA eller EudraVigilance-databasen. I den forbindelse går EDPS kraftigt ind for et decentraliseret og indirekte indberetningssystem, hvorved meddelelser til den europæiske webportal koordineres gennem anvendelse af de nationale webportaler. EDPS fremhæver endvidere, at privatlivets fred og sikkerhedsaspekter bør indgå i udformningen og gennemførelsen af et indberetningssystem gennem anvendelse af webportaler (»indbygget databeskyttelse«).

59.

EDPS understreger endvidere, at når helbredsoplysninger om identificerede eller identificerbare fysiske personer behandles, bør den person, der er ansvarlig for denne behandling opfylde alle krav i Fællesskabets databeskyttelseslovgivning.

60.

Mere specifikt anbefaler EDPS følgende:

23.9.2009   

DA

Den Europæiske Unions Tidende

C 229/27

23.9.2009   

DA

Den Europæiske Unions Tidende

C 229/28

1.

Barcs–Terezino Polje

2.

Beremend–Baranjsko Petrovo Selo

3.

Berzence–Gola

4.

Drávaszabolcs–Donji Miholjac

5.

Drávaszabolcs (flod, efter anmodning) (1)

6.

Gyékényes–Koprivnica (jernbane)

7.

Letenye–Goričan I

8.

Letenye–Goričan II (hovedvej)

9.

Magyarboly–Beli Manastir (jernbane)

10.

Mohács (flod)

11.

Murakeresztúr–Kotoriba (jernbane)

12.

Udvar–Dubosevica

1.

Bácsalmás–Bajmok (2)

2.

Hercegszántó–Bački Breg

3.

Kelebia–Subotica (jernbane)

4.

Mohács (flod)

5.

Röszke–Horgoš (hovedvej)

6.

Röszke–Horgoš (jernbane)

7.

Szeged (flod) (2)

8.

Tiszasziget–Đjala (Gyála) (2)

9.

Tompa–Kelebija

1.

Ágerdőmajor (Tiborszállás)–Carei (jernbane)

2.

Ártánd–Borș

3.

Battonya–Turnu

4.

Biharkeresztes–Episcopia Bihorului (jernbane)

5.

Csengersima–Petea

6.

Gyula–Vărșand

7.

Kiszombor–Cenad

8.

Kötegyán–Salonta (jernbane)

9.

Létavértes–Săcuieni (3)

10.

Lőkösháza–Curtici (jernbane)

11.

Méhkerék–Salonta

12.

Nagylak–Nădlac

13.

Nyírábrány–Valea Lui Mihai (jernbane)

14.

Nyírábrány–Valea Lui Mihai

15.

Vállaj–Urziceni

1.

Barabás–Kosino (4)

2.

Beregsurány–Luzhanka

3.

Eperjeske–Salovka (jernbane)

4.

Lónya–Dzvinkove (5)

5.

Tiszabecs–Vylok

6.

Záhony–Čop (jernbane)

7.

Záhony–Čop

1.

Budapest Nemzetközi Repülőtér

2.

Debrecen Repülőtér

3.

Sármellék

1.

Békéscsaba

2.

Budaörs

3.

Fertőszentmiklós

4.

Győr–Pér

5.

Kecskemét

6.

Nyíregyháza

7.

Pápa

8.

Pécs–Pogány

9.

Siófok–Balatonkiliti

10.

Szeged

11.

Szolnok

23.9.2009   

DA

Den Europæiske Unions Tidende

C 229/30