BILAG

Faste importværdier med henblik på fastsættelse af indgangsprisen for visse frugter og grøntsager

(EUR/100 kg)
KN-kode	Tredjelandskode (1)	Fast importværdi
0702 00 00	JO	93,2
	MA	80,1
	TN	139,0
	TR	108,7
	ZZ	105,3
0707 00 05	JO	155,5
	MA	55,7
	TR	135,4
	ZZ	115,5
0709 90 70	JO	220,7
	MA	28,1
	TR	104,8
	ZZ	117,9
0805 10 20	EG	43,1
	IL	58,1
	MA	49,6
	TN	64,9
	TR	65,2
	ZZ	56,2
0805 50 10	TR	57,2
	ZA	73,4
	ZZ	65,3
0808 10 80	AR	84,2
	BR	75,3
	CA	124,7
	CL	80,2
	CN	77,8
	MK	22,6
	NZ	111,3
	US	129,3
	UY	58,8
	ZA	84,2
	ZZ	84,8
0808 20 50	AR	74,6
	CL	87,8
	CN	64,3
	ZA	96,7
	ZZ	80,9

---

(1)  Landefortegnelse fastsat ved Kommissionens forordning (EF) nr. 1833/2006 (EUT L 354 af 14.12.2006, s. 19). Koden »ZZ« = »anden oprindelse«.

BILAG

---

(1)  EFT L 256 af 7.9.1987, s. 1.

(2)  EUT L 82 af 31.3.2005, s. 1.«

»Artikel 34

Ændring af programmet

1.   Ændringer, der ønskes foretaget i det samlede program, der er godkendt i henhold til artikel 13, stk. 2, i forordning (EF) nr. 1405/2006, forelægges Kommissionen med behørig begrundelse og skal navnlig indeholde følgende oplysninger:

a)	årsagerne og eventuelle gennemførelsesvanskeligheder, som kan nødvendiggøre ændringer af programmet

b)	ændringens forventede virkninger

c)	følgerne for finansieringen og for kontrollen af, at forpligtelserne overholdes.

Medmindre der er tale om force majeure eller særlige omstændigheder, må Grækenland højst anmode om programændringer én gang pr. kalenderår og pr. program. Disse anmodninger om ændring skal være Kommissionen i hænde senest den 1. august hvert år.

Hvis Kommissionen ikke gør indsigelser, anvender Grækenland ændringerne fra den 1. januar året efter det år, hvor der er anmodet om ændring.

En ændring kan dog anvendes tidligere, hvis Kommissionen inden datoen i tredje afsnit skriftligt underretter Grækenland om, at den meddelte ændring er i overensstemmelse med EF-retten.

Hvis den meddelte ændring ikke er i overensstemmelse med EF-retten, underretter Kommissionen Grækenland herom, og ændringen anvendes først, når Kommissionen har modtaget en ændring, der kan betragtes som værende i overensstemmelse med EF-retten.

2.   Når der er tale om følgende ændringer, behandler Kommissionen uanset stk. 1 Grækenlands forslag og træffer senest fire måneder efter deres forelæggelse afgørelse om, hvorvidt de kan godkendes, jf. proceduren i artikel 13, stk. 2, i forordning (EF) nr. 1405/2006:

a)	indførelse af nye foranstaltninger, produkter eller støtteordninger i programmet og

b)	forhøjelse af den støtte pr. enhed, der allerede er godkendt for hver gældende foranstaltning, produkt eller støtteordning, med over 50 % af det beløb, der gælder på tidspunktet for anmodningen om ændring.

De således godkendte ændringer anvendes fra den 1. januar året efter deres meddelelse.

3.   Grækenland må foretage følgende ændringer uden at benytte proceduren i stk. 1, forudsat at de meddeles Kommissionen:

a)	I de foreløbige forsyningsopgørelser kan mængderne af de produkter, der er omfattet af forsyningsordningen, og dermed det samlede beløb, der ydes i støtte for hver produktlinje, ændres.

b)	Den finansielle tildeling til hver foranstaltning til støtte for den lokale produktion kan justeres med op til 20 %.

c)	Der kan foretages ændringer som følge af ændringer af de koder og beskrivelser, der er fastsat i Rådets forordning (EØF) nr. 2658/87 (3), og som anvendes til at identificere de produkter, der udbetales støtte for, forudsat at disse ændringer ikke ændrer på selve produktet.

De i første afsnit omhandlede ændringer anvendes først fra den dato, hvor Kommissionen modtager dem. De skal forklares og begrundes behørigt og må kun gennemføres én gang om året undtagen i tilfælde af:

a)	force majeure eller særlige omstændigheder

b)	ændringer, der vedrører mængderne af de produkter, der er omfattet af forsyningsordningen

c)	ændring af told- og statistiknomenklaturen og den fælles toldtarif, som fastsat i forordning (EØF) nr. 2658/87, og

d)	budgetoverførsler inden for produktionsstøtteforanstaltninger. Sidstnævnte ændringer skal dog meddeles senest den 30. april året efter det kalenderår, som den ændrede finansielle tildeling vedrører.

BILAG

IMI — ET VÆRKTØJ TIL ADMINISTRATIVT SAMARBEJDE

1.   IMI - A TOOL FOR ADMINISTRATIVE COOPERATION

IMI er et edb-program udviklet af Europa-Kommissionen i samarbejde med medlemsstaterne. Det er tilgængeligt via internettet. Hovedformålet med programmet er at bistå medlemsstaterne i forbindelse med den praktiske gennemførelse af EU-lovgivning, der indeholder bestemmelser om gensidig bistand og administrativt samarbejde. IMI er ikke en database beregnet til lagring af oplysninger over længere tid, men en central ordning, der giver de nationale myndigheder i ØSA-landene mulighed for at udveksle oplysninger, som de kun må opbevare i en begrænset periode.

IMI's indlogningsside

IMI understøtter i øjeblikket informationsudveksling i henhold til direktivet om erhvervsmæssige kvalifikationer og vil fra udgangen af 2009 også understøtte informationsudveksling i henhold til servicedirektivet. I fremtiden kan der blive tale om understøttelse af informationsudveksling i forbindelse med yderligere områder af lovgivningen om det indre marked. Man vil altid kunne finde en ajourført liste over disse lovgivningsområder i bilaget til beslutning 2008/49/EF. Dette bilag vil blive ændret løbende. IMI kan ikke anvendes til informationsudveksling inden for lovgivningsområder, som ikke udtrykkeligt er anført i bilaget.

Eksempel på skærmbillede fra programmet vedrørende kompetente myndigheder på området erhvervsmæssige kvalifikationer

Et velfungerende indre marked forudsætter et godt samarbejde mellem de nationale myndigheder. EU's borgere kan ikke nyde godt af de grundlæggende rettigheder, der er forbundet med det indre marked, som f.eks. retten til at etablere sig i en anden medlemsstat eller til frit at udveksle tjenesteydelser på tværs af grænserne, hvis der ikke findes praktiske ordninger for administrativt samarbejde.

Et par eksempler

En tysk læge med bopæl i Berlin gifter sig med en fransk mand og beslutter at starte et nyt liv i Paris. Den tyske læge ønsker at udøve sit erhverv i Frankrig og indsender derfor sine eksamensbeviser mv. til den franske sammenslutning af læger, »l'Ordre des Médecins«, i Frankrig. Sagsbehandleren nærer tvivl om ægtheden af et af eksamensbeviserne og anvender IMI til at afklare spørgsmålet med den kompetente myndighed i Berlin.

En fransk industrirengøringsvirksomhed med aktiviteter i Frankrig yder også rengøringstjenester på den anden side af grænsen i Catalonien (Spanien). En spansk ngo indgiver klage til det catalanske miljøministerium med henvisning til, at den franske virksomhed ikke har det nødvendige specialiserede personale til at håndtere visse rengøringsmidler. Den catalanske kompetente myndighed anvender IMI til at finde ud af, om rengøringsvirksomheden udøver sine aktiviteter lovligt i Frankrig.

Administrativt samarbejde i EU er ikke nogen nem opgave. Det skyldes sprogbarrierer (EU har 23 officielle sprog), manglende administrative procedurer for samarbejde på tværs af grænserne, forskellige administrative strukturer og kulturer, samt at der ikke er klart identificerede partnere i andre medlemsstater.

Selv om det er op til medlemsstaterne at sørge for, at lovgivningen om det indre marked fungerer effektivt på deres respektive områder, er det Kommissionens opfattelse, at de har brug for værktøjer for at kunne samarbejde. IMI er udviklet med følgende for øje: at finde frem til den relevante kompetente myndighed i en anden medlemsstat (søgefunktion), styre informationsudvekslinger på grundlag af enkle, ensartede procedurer og fjerne de sproglige barrierer ved hjælp af spørgsmålsserier, som er fastlagt og oversat på forhånd.

Skærmbilleder, der viser spørgsmål fra to kompetente myndigheder, som er involveret i en informationsudveksling, her på dansk og engelsk

2.   DISSE RETNINGSLINJERS DÆKNING OG FORMÅL

IMI-brugerne er eksperter på deres respektive kompetenceområder, det være sig de regler, der gælder for et erhverv, eller bestemmelserne om udveksling af tjenesteydelser. De er imidlertid ikke databeskyttelseseksperter og er måske ikke altid tilstrækkelig opmærksomme på de databeskyttelseskrav, der følger af deres eget lands databeskyttelseslovgivning.

Der bør derfor stilles retningslinjer til rådighed for IMI-brugerne, som forklarer, hvordan IMI fungerer set ud fra et databeskyttelsesperspektiv, hvilke garantier der er indbygget i systemet, og hvilke risici der kan være forbundet med dets anvendelse (1).

Disse retningslinjer er ikke tænkt som en fuldstændig redegørelse for alle databeskyttelsesspørgsmål i forbindelse med IMI, men som en for alle IMI-brugere forståelig forklaring af de grundlæggende regler, der skal overholdes. Hvis der er behov for det, kan IMI-brugerne altid få yderligere vejledning og bistand hos databeskyttelsesmyndighederne i medlemsstaterne. En liste over disse myndigheder med kontaktoplysninger og websteder findes her:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm

3.   EN EDB-STRUKTUR, DER BEFORDRER DATABESKYTTELSE

IMI er blevet udviklet med de lovbestemte databeskyttelseskrav i tankerne og har lige fra starten været databeskyttelsesvenligt.

IMI-brugerne har sikkerhed for, at IMI er et pålideligt edb-program set ud fra databeskyttelsesperspektivet. Det fremgår klart af en række simple fakta:

a)	IMI anvendes kun af kompetente myndigheder inden for Det Europæiske Økonomiske Samarbejdsområde (EU-medlemsstaterne samt Norge, Island og Liechtenstein), og der videregives ikke personoplysninger til lande uden for EØS.

b)	Europa-Kommissionen og IMI-koordinatorerne (2) har ikke adgang til erhvervsudøveres eller tjenesteyderes personoplysninger, som udveksles via systemet.

c)

Kun de kompetente myndigheder, der er involveret i en forespørgsel, kan se tjenesteyderens personoplysninger (3). Faktisk er beskyttelsen så udstrakt, at modtageren af en forespørgsel ikke kan se personoplysningerne om tjenesteyderen, inden han formelt har accepteret den. Eksempel på skærmbillede af en forespørgsel, inden den accepteres af modtageren

d)	Alle personoplysninger vedrørende en forespørgsel slettes automatisk seks måneder efter, at forespørgslen er afsluttet, eller inden da, hvis de involverede kompetente myndigheder anmoder om det (jf. kapitel 12, der indeholder yderligere oplysninger om perioden for opbevaring af oplysninger).

4.   HVEM ER HVEM I IMI? SPØRGSMÅLET OM FÆLLES KONTROLUDØVELSE

IMI er et klart eksempel på fælles behandling og fælles kontroludøvelse. Mens det eksempelvis kun er de kompetente myndigheder i medlemsstaterne, der udveksler personoplysninger, er det Europa-Kommissionen, der har ansvaret for lagringen af disse oplysninger på sine servere. Europa-Kommissionen har ikke tilladelse til at se disse personoplysninger, men er operatør af systemet, således at det er Kommissionen, der fysisk går ind og sletter og berigtiger oplysninger.

Det forholder sig med andre ord og som følge af ansvarsfordelingen mellem Kommissionen og medlemsstaterne således:

a)	Alle kompetente myndigheder og IMI-koordinatorer er registeransvarlige for så vidt angår deres egne databehandlinger.

b)	Kommissionen er ikke bruger, men operatør af systemet, og den er først og fremmest ansvarlig for systemets vedligeholdelse og sikkerhed (4).

c)	IMI-aktørerne deler ansvaret for underretning og ret til indsigt, indsigelse og berigtigelse.

I sammensatte tilfælde med fælles kontroludøvelse som IMI synes den mest effektive løsning med henblik på efterlevelse af reglerne at være at integrere databeskyttelse i systemet lige fra starten (jf. afsnittet »Igangværende tiltag« i punkt 13 »Samarbejde med de nationale databeskyttelsesmyndigheder og EDPS«) og at fastlægge grundlæggende regler for efterlevelse som i disse retningslinjer. Alle IMI-aktører og -brugere har et ansvar for efterlevelse af de grundlæggende regler.

5.   IMI-AKTØRER OG -BRUGERE

Alle aktører, der anvender IMI, godkendes af IMI-koordinatorerne. I artikel 6 og 12 i beslutning 2008/49/EF præciseres det, hvem der er aktører og brugere, og hvilke funktioner, rettigheder og forpligtelser de har. Det skal derfor ikke gentages her.

Det er vigtigt at gøre sig klart, at IMI er et meget fleksibelt system, der gør det muligt for medlemsstaterne at fordele ansvarsområder og funktioner mellem kompetente myndigheder og koordinatorer på mange forskellige måder alt efter deres særlige administrative struktur og de lovgivningsområder, der skal omfattes af det administrative samarbejde.

Det er desuden vigtigt at erindre, at IMI-brugerne i medlemsstaterne er ansvarlige for mange andre behandlinger. Efterlevelse af reglerne om databeskyttelse i IMI behøver ikke at være unødigt kompliceret eller at være forbundet med en uforholdsmæssig stor administrativ byrde. Systemet behøver heller ikke at være det samme for alle.

I de fleste tilfælde skal de kompetente myndigheder blot foretage behandlingerne i IMI i henhold til de samme regler og samme gode praksis, som de normalt anvender som registeransvarlige, og i overensstemmelse med deres egne særlige behov og databeskyttelseslovgivningen i deres respektive medlemsstater.

De vil også med fordel kunne udnytte de funktioner i IMI, der befordrer databeskyttelse. De tilskyndes f.eks. til at anmode om at få slettet de udvekslede personoplysninger i IMI inden udløbet af opbevaringsperioden på seks måneder, hvis de ikke længere har behov for at opbevare informationsudvekslingen i IMI.

6.   RETLIGE BEGRUNDELSER FOR UDVEKSLING AF PERSONOPLYSNINGER I IMI

Kommissionen har vedtaget beslutning 2008/49/EF, hvori der er fastsat funktioner, rettigheder og forpligtelser for IMI-aktører og -brugere i forbindelse med gennemførelsen af IMI hvad angår beskyttelse af personoplysninger.

Ikke alle de oplysninger, der udveksles i IMI, er personoplysninger. Der kan f.eks. være tale om informationsudveksling om juridiske personer (5), eller spørgsmål og svar kan være uden relation til en bestemt fysisk person (f.eks. et generelt spørgsmål om, hvorvidt et erhverv er lovreguleret i en givet medlemsstat).

I mange tilfælde vedrører informationsudvekslingen dog fysiske personer, og der skal derfor foreligge en retlig begrundelse for behandlingen af personoplysninger. Anvendelsen af IMI er ofte i den registreredes interesse. Men også selv om informationsudvekslingen ikke nødvendigvis er i den registreredes interesse, kan de kompetente myndigheder udveksle de pågældende oplysninger ved hjælp af IMI, forudsat at det sker i henhold til et særligt retsgrundlag.

I artikel 7 i direktiv 95/46/EF opregnes de retlige begrundelser for behandlingen af personoplysninger. Af disse er de i artikel 7, litra c) og e), anførte de mest relevante for udvekslingen af oplysninger i IMI.

1)   Efterlevelse af en retlig forpligtelse (artikel 7, litra c))

Som generelt princip har EU-medlemsstaterne pligt til at samarbejde med hinanden og med fællesskabsinstitutionerne. Pligten til administrativt samarbejde er udtrykkeligt og specifikt angivet i direktiv 2005/36/EF (anerkendelse af erhvervsmæssige kvalifikationer) og direktiv 2006/123/EF (servicedirektivet).

I artikel 56, stk.1 og 2, i direktivet om erhvervsmæssige kvalifikationer hedder det:

I artikel 28, stk. 1 og 6, i servicedirektivet hedder det:

I artikel 34, stk. 1, i servicedirektivet hedder det:

2)   Udførelse af en opgave i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som den registeransvarlige har fået pålagt (artikel 7, litra e)).

IMI-aktører og -brugere udfører opgaver i samfundets interesse eller henhørende under offentlig myndighedsudøvelse, som de har fået pålagt. Alle registreringer i IMI valideres af IMI-koordinatoren, når det er verificeret, at den pågældende kompetente myndighed reelt udfører opgaver i samfundets interesse (f.eks. sammenslutninger af læger eller dyrlæger, som sørger for, at deres medlemmer overholder etiske og sundhedsmæssige regler) eller henhørende under offentlig myndighedsudøvelse, som den har fået pålagt (f.eks. uddannelsesministerier, der sørger for, at gymnasielærere har de fornødne kvalifikationer).

På grundlag af ovenstående kan man anvende IMI til udveksling af personoplysninger i henhold til direktivet om erhvervsmæssige kvalifikationer og servicedirektivet til de formål, der er fastsat heri. Oplysninger i forbindelse med andre områder af lovgivningen om det indre marked kan ikke udveksles i IMI. Hvis IMI's anvendelsesområde på et senere tidspunkt udvides til at omfatte yderligere lovgivning, vil der blive tilføjet henvisninger til de relevante fællesskabsretsakter i bilaget til beslutning 2008/49/EF.

7.   SPØRGSMÅLET OM GÆLDENDE LOVGIVNING OG PASSENDE TILSYN

Den databeskyttelseslovgivning, der finder anvendelse, afhænger af, hvem IMI-aktøren eller brugeren er. For Europa-Kommissionen er det f.eks. forordning (EF) nr. 45/2001 vedrørende databeskyttelse, der finder anvendelse. For en national bruger (f.eks. en kompetent myndighed) er den gældende lovgivning den nationale databeskyttelseslovgivning, der skal være i overensstemmelse med direktiv 95/46/EF (databeskyttelse).

Den Europæiske Union har en solid retlig ramme for databeskyttelse bestående af dette direktiv og af forordning (EF) nr. 45/2001 (6). Databeskyttelsesdirektivet giver medlemsstaterne et vist råderum. De nationale IMI-koordinatorer rådes derfor til at drøfte disse retningslinjer med deres databeskyttelsesmyndigheder, f.eks. med hensyn til detailgraden af de oplysninger, der skal gives fysiske personer (jf. punkt 9), eller pligten til at anmelde visse databehandlinger til databeskyttelsesmyndighederne.

Direktiv 95/46/EF er et direktiv om det indre marked, som har to formål. Harmoniseringen af den nationale databeskyttelseslovgivning skal både sikre et højt databeskyttelsesniveau og beskytte fysiske personers grundlæggende rettigheder og dermed tillade fri udveksling af personoplysninger mellem medlemsstaterne. Særlige nationale forhold bør derfor ikke være af nogen praktisk eller videre betydning for anvendelsen af IMI og den informationsudveksling, der skal finde sted i henhold til andre fællesskabsretsakter.

Et af de vigtigste aspekter af EU's retlige ramme for databeskyttelse er, at offentlige, uafhængige databeskyttelsesmyndigheder fører tilsyn med den. Det betyder, at borgerne kan indgive klage til disse myndigheder med henblik på en hurtig udenretslig behandling af deres databeskyttelsesproblemer. De nationale databeskyttelsesmyndigheder fører tilsyn med behandlingen af personoplysninger på nationalt plan, og Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) fører tilsyn med behandlingen af personoplysninger i EU-institutionerne. Europa-Kommissionen er følgelig underlagt EDPS' tilsyn, og andre brugere af IMI er underlagt de involverede nationale databeskyttelsesmyndigheders tilsyn. For yderligere oplysninger om behandling af klager og anmodninger fra de registrerede henvises til punkt 10 vedrørende ret til indsigt og berigtigelse og punkt 13 vedrørende samarbejde med de nationale databeskyttelsesmyndigheder og EDPS.

8.   PRINCIPPER FOR DATABESKYTTELSE I FORBINDELSE MED INFORMATIONSUDVEKSLING

Behandling af personoplysninger i henhold til fællesskabslovgivningen kan kun finde sted på visse betingelser (jf. punkt 6 »Retlige begrundelser for udveksling af personoplysninger i IMI«) og i overensstemmelse med de principper, der i databeskyttelsesdirektivet betegnes som »principper vedrørende oplysningernes pålidelighed« (jf. direktivets artikel 6).

De registeransvarlige må kun indsamle personoplysninger til bestemte legitime formål og må ikke behandle oplysningerne til andre formål, som er uforenelige med de på indsamlingstidspunktet angivne. Et klassisk eksempel på et uforeneligt formål er, at en kompetent myndighed sælger de adresseoplysninger, den har indsamlet med henblik på behandling af sager vedrørende vandrende erhvervsudøvere i henhold til servicedirektivet, til private virksomheder, der anvender dem til markedsføring.

Herudover skal behandling af personoplysninger stå i rimeligt forhold til, hvad der kræves til opfyldelse af formålet med indsamlingen (den skal være tilstrækkelig, relevant og ikke mere omfattende end nødvendigt), og den registeransvarlige skal træffe rimelige foranstaltninger til at sikre, at oplysningerne ajourføres, og at de destrueres eller gøres anonyme, når det ikke længere er nødvendigt at kunne identificere den registrerede. Principperne vedrørende oplysningernes pålidelighed er gode principper for informationsstyring, eftersom et godt informationssystem er kendetegnet ved, at det ikke indeholder store mængder oplysninger uden grund, og at det ikke hurtigt bliver forældet og upålideligt. Et godt elektronisk informationssystem bør kun indeholde oplysninger, som er nødvendige til formål, som er fastsat på forhånd, og oplysningerne bør ajourføres, så de er fuldt pålidelige.

Anvendelsen af disse principper på IMI giver anledning til følgende henstillinger:

1)

Anvendelsen af IMI bør nøje begrænses til de formål, der er fastsat i den gældende lovgivning (f.eks. tilfælde af begrundet tvivl eller andre formål i henhold til den gældende lovgivning). Det forventes derfor, at IMI vil blive brugt til rutinemæssig informationsudveksling mellem kompetente myndigheder, men det skal slås helt fast, at IMI ikke må anvendes til systematisk baggrundskontrol af vandrende erhvervsudøvere eller tjenesteydere.

2)

Den kompetente myndighed, der har fremsat en forespørgsel, bør kun videregive de personoplysninger, som den kompetente myndighed, der skal besvare en forespørgsel, har brug for med henblik på at kunne identificere den pågældende person entydigt eller besvare spørgsmålene. Hvis en vandrende erhvervsudøver f.eks. kan identificeres ved sit navn og registreringsnummer i et fagligt register, skulle det ikke være nødvendigt også at angive den pågældendes personnummer.

3)

IMI-brugere bør overveje deres spørgsmål nøje og ikke spørge om mere end det absolut nødvendige. Det drejer sig ikke kun om at overholde principperne om oplysningernes pålidelighed, men også om at begrænse den administrative byrde. Af hensyn til gennemsigtigheden er de på forhånd fastlagte spørgsmålsserier offentliggjort på IMI's websted (7). Hvad forstås ved følsomme oplysninger  (8) ? Følsomme oplysninger er oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, oplysninger om helbredsforhold og seksuelle forhold samt oplysninger om lovovertrædelser, straffedomme eller sikkerhedsforanstaltninger. Medlemsstaterne kan også betragte oplysninger vedrørende administrative sanktioner eller domme som følsomme oplysninger.

(4)

De kompetente myndigheder skal være særdeles agtpågivende, når informationsudvekslingen vedrører følsomme oplysninger. Udveksling af følsomme oplysninger er kun mulig under meget begrænsede omstændigheder. De mest relevante betingelser for behandling af følsomme oplysninger i IMI er følgende: a) Behandlingen af følsomme oplysninger er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares (jf. artikel 8, stk. 2, litra e), i databeskyttelsesdirektivet og de tilsvarende bestemmelser i national ret). Dette kan være tilfældet ved udveksling af oplysninger i IMI, hvor en vandrende erhvervsudøver eller en tjenesteyder påberåber sig retten til at udøve sit erhverv eller etablere sig i en anden medlemsstat. De kompetente myndigheder skal i hvert enkelt tilfælde nøje vurdere, om de følsomme oplysninger er absolut nødvendige for at gøre den pågældende ret gældende. Medlemsstaterne har i direktivet om erhvervsmæssige kvalifikationer og servicedirektivet vedtaget særlige bestemmelser vedrørende bestemte følsomme oplysninger, der udveksles i IMI: 1) I artikel 56, stk. 2, i direktivet om erhvervsmæssige kvalifikationer hedder det: »De kompetente myndigheder i værtsmedlemsstaten og hjemlandet udveksler oplysninger om disciplinære eller strafferetlige sanktioner eller om andre alvorlige, konkrete forhold, der vil kunne få følger for udøvelsen af en virksomhed i henhold til dette direktiv, under overholdelse af lovgivningen om beskyttelse af personoplysninger […]«. 2) I artikel 33 i servicedirektivet er der fastsat særlige regler for udveksling af oplysninger om vandrende tjenesteyderes hæderlighed: »Medlemsstaterne fremsender i overensstemmelse med national lovgivning efter anmodning fra en kompetent myndighed i en anden medlemsstat oplysninger om eventuelle disciplinære, administrative eller strafferetlige sanktioner samt afgørelser vedrørende […]konkurser[…]«. b) Den registrerede giver sit udtrykkelige samtykke. Hvis det administrative samarbejde er i den registreredes interesse, skulle det være ligetil at opnå den registreredes udtrykkelige samtykke til behandling af personoplysninger.

(5)

Der skal udvises den allerstørste forsigtighed hvad angår oplysninger om straffeattester, hvis rigtighed og ajourførthed er af afgørende betydning. Disse oplysninger skal derfor dels være i overensstemmelse med de øvrige principper i databeskyttelsesdirektivet og -forordningen som omhandlet i denne henstilling (9), dels bør de kun gøres til genstand for en forespørgsel, når det er tilladt i henhold til de relevante fællesskabsretsakter og de er absolut nødvendige for at kunne træffe afgørelse i den særlige sag, der ligger til grund for forespørgslen. Med andre ord skal behandlingen være direkte relateret til udøvelsen af en erhvervsmæssig virksomhed eller udførelsen af en tjenesteydelse, og den skal være nødvendig med henblik på at kontrollere, om bestemmelserne i det relevante direktiv overholdes. IMI-brugere bør altid holde sig for øje, at de oplysninger, der er nødvendige for at træffe en afgørelse, i mange tilfælde ikke behøver at være direkte relateret til den vandrende erhvervsudøvers eller tjenesteyders straffeattest. I virkeligheden er der kun nogle få spørgsmål i IMI-spørgsmålsserien, der vedrører straffeattester og andre følsomme oplysninger (10). Ud over disse begrænsede tilfælde bør udveksling af følsomme oplysninger kun finde sted i de helt usædvanlige tilfælde, hvor de konkrete omstændigheder er af en sådan art, at de følsomme oplysninger er direkte relateret til udøvelsen af den pågældende virksomhed og er absolut nødvendige for at kunne gøre retlige krav gældende. De kompetente myndigheder må ikke anvende IMI til rutinemæssig kontrol af vandrende erhvervsudøveres kriminelle baggrund, da dette ikke ville være i overensstemmelse med det formål, hvortil IMI er oprettet. Eventuelle spørgsmål vedrørende lovovertrædelser eller disciplinære foranstaltninger skal også være relateret til det pågældende erhverv eller den pågældende tjenesteydelse, ikke til andre lovovertrædelser eller disciplinære foranstaltninger, som den vandrende erhvervsudøver måtte have begået/være underlagt i oprindelseslandet. For f.eks. at fastslå, om en læge er lovmæssigt registreret og har et godt omdømme i sammenslutningen af læger, behøver den kompetente myndighed, der fremsætter forespørgslen, ikke at vide, om lægen har en trafikforseelse på sin straffeattest, da en sådan forseelse ikke hindrer vedkommende i at arbejde som læge i sit hjemland.

Spørgsmålet om viderebehandling og lagring uden for IMI

Anvendelsen af IMI vil ofte være forbundet med levering af input til en anden behandling, der finder sted i medlemsstaten (f.eks. behandling af en ansøgning om udførelse af en tjenesteydelse eller meddelelse af licens til en givet virksomhed). Det er derfor normalt, at de kompetente myndigheder viderebehandler de indsamlede oplysninger til disse formål. I tilfælde, hvor oplysninger indsamlet gennem IMI viderebehandles uden for systemet, finder den nationale databeskyttelseslovgivning også anvendelse. Man skal derfor sikre sig:

—	at viderebehandlingen ikke er uforenelig med formålet med den indsamling og udveksling, der fandt sted i IMI

—	at viderebehandlingen er nødvendig og står i rimeligt forhold til det oprindelige formål med indsamlingen af oplysningerne i IMI (dvs. at den er tilstrækkelig, relevant og ikke mere omfattende end nødvendigt)

—	at der træffes rimelige foranstaltninger til at holde oplysningerne ajourført og til at slette dem, når der ikke længere er brug for dem

—

at når oplysningerne udtrækkes fra IMI med henblik på videregivelse til tredjemand, skal den registrerede underrettes herom for at garantere en loyal behandling, medmindre det er umuligt eller uforholdsmæssigt vanskeligt, eller hvis videregivelsen er udtrykkeligt fastsat ved lov (jf. artikel 11, stk. 2, i direktiv 95/46/EF vedrørende databeskyttelse). I betragtning af at videregivelse kan være påkrævet ved lov i kun den ene af de involverede medlemsstater, og at dette krav måske ikke er almindeligt kendt andre steder, foreslår Kommissionen, at der gøres en oplysningsindsats, selv når videregivelsen udtrykkeligt er fastsat ved lov.

9.   UNDERRETNING AF DE REGISTREREDE

En af grundpillerne i enhver databeskyttelsesordning er, at de registeransvarlige underretter de registrerede om de behandlinger, de agter at udføre af deres personoplysninger.

I henhold til artikel 10 i databeskyttelsesdirektivet skal den registrerede ved indsamlingen af oplysningerne mindst have underretning om den registeransvarliges identitet, formålene med behandlingen, modtagerne eller kategorierne af modtagerne, hvorvidt det er obligatorisk at besvare spørgsmålene og mulige følger af ikke at svare, samt om retten til indsigt og berigtigelse.

Derfor skal den kompetente myndighed, når den indsamler personoplysninger hos en fysisk person, underrette den registrerede om, at oplysningerne i givet fald vil blive registreret i IMI med det formål at korrespondere med andre offentlige myndigheder i andre medlemsstater til brug for den pågældende persons forespørgsel, og at han eller hun om nødvendigt kan anmode en hvilken som helst af de involverede kompetente myndigheder om indsigt i eller berigtigelse af de udvekslede oplysninger (for yderligere oplysninger herom henvises til punkt 10 vedrørende ret til indsigt og berigtigelse).

Det er op til den enkelte kompetente myndighed at tage stilling til, hvordan den vil bibringe den registrerede disse oplysninger. Da de fleste (om ikke alle) kompetente myndigheder givetvis foretager andre informationsudvekslinger end inden for rammerne af IMI, kan de eventuelt underrette fysiske personer på samme måde, som når de giver underretning om lignende behandlinger i henhold til national ret (f.eks. ved hjælp af skiltning, i korrespondancen med de registrerede og/eller på websteder).

Underretning i henhold til databeskyttelsesdirektivet

Artikel 10 i databeskyttelsesdirektivet indeholder en liste over de oplysninger, der mindst skal gives fysiske personer, medmindre de allerede er bekendt hermed:

a)	den eller de registeransvarliges identitet (hvor den registeransvarlige er den kompetente myndighed, der indsamler oplysningerne, og de tilsvarende myndigheder i andre medlemsstater)

b)	formålet med behandlingen (korrespondance med andre myndigheder vedrørende den vandrende erhvervsudøvers eller tjenesteyders forespørgsel)

c)

alle yderligere oplysninger for så vidt de er nødvendige for at garantere en loyal behandling, eller hvis der skal give yderligere oplysninger i henhold til national ret, f.eks.: 1) modtagerne eller kategorierne af modtagere 2) hvorvidt der gives ret til at få indsigt i og foretage berigtigelse af de oplysninger, der vedrører dem, hvordan disse rettigheder kan udøves i praksis, og hvilke undtagelser fra disse rettigheder der findes i national ret 3) klageret (f.eks. adgang til domstole og ret til rejse erstatningskrav) 4) lagrings- og opbevaringsperiode 5) sikkerhedsforanstaltninger 6) link til relevante dokumenter og websteder, herunder Kommissionens IMI-websted.

I henhold til databeskyttelsesdirektivet skal de registrerede underrettes i to tilfælde: Når oplysningerne indsamles direkte hos den registrerede, og når oplysningerne er indsamlet hos en anden end den registrerede. I dette sidste tilfælde indeholder direktivets artikel 11 imidlertid en »rule of reason«, i henhold til hvilken underretning af den registrerede ikke er nødvendig, hvis den er uforholdsmæssig vanskelig, eller registreringen eller videregivelsen af oplysningerne er udtrykkeligt fastsat ved lov (som det er tilfældet med informationsudveksling i IMI), selv om det videre hedder i direktivet, at i sådanne tilfælde »fastsætter medlemsstaterne de fornødne garantier«.

Det kan derfor være nødvendigt, at de kompetente myndigheder tilpasser reglerne for underretning af de registrerede på grundlag af deres respektive nationale databeskyttelseslovgivning, eventuelt i samråd med de nationale IMI-koordinatorer og de nationale databeskyttelsesmyndigheder. Det anbefales at anvende en »lagdelt« tilgang, hvor der gives grundlæggende oplysninger straks efter indsamlingen (f.eks. i ansøgningsskemaer til kompetente myndigheder) sammen med angivelse af, hvor de registrerede kan få mere fuldstændige oplysninger, hvis de ønsker det.

I forbindelse med dette andet, mere detaljerede lag af oplysninger kan en af metoderne til effektiv underretning af de registrerede være at anvende en politik for databeskyttelse eller en erklæring om databeskyttelse på websteder.

Hvis de kompetente myndigheder allerede har en sådan databeskyttelseserklæring, bør de ajourføre eller supplere den, så den udtrykkeligt omfatter udveksling af personoplysninger i IMI. Hvis det ikke er tilfældet, bør de kompetente myndigheder tage stilling til, om anvendelsen af IMI og omfanget af indsamlede personoplysninger er tilstrækkelig basis for udarbejdelse af en online databeskyttelseserklæring.

I tilfælde, hvor anvendelsen af IMI er meget sporadisk, kan det være tilstrækkeligt at give fysiske personer en kortfattet underretning om IMI straks efter indsamlingen af oplysninger og også senere, hvis det bliver nødvendigt. I disse tilfælde, hvor den kompetente myndighed ikke henviser til en specifik databeskyttelseserklæring, bør den klart angive, hvor de registrerede kan få mere fuldstændige oplysninger, f.eks. på den nationale IMI-koordinators websted eller på Kommissionens IMI-websted.

Databeskyttelsessiden på Kommissionens IMI-websted (11) indeholder Kommissionens erklæring om databeskyttelse i IMI. Den indeholder herudover yderligere oplysninger til brug for de registrerede om, hvordan de kan udøve deres rettigheder og få bistand fra de nationale kompetente myndigheder eller databeskyttelsesmyndigheder, hvis det er nødvendigt:

Det anbefales kraftigt, at store IMI-aktører, der behandler mange forespørgsler, offentliggør deres databeskyttelsespolitik på deres websted. Denne databeskyttelsespolitik bør indeholde et link til databeskyttelsessiden på Kommissionens IMI-websted. Andre kompetente myndigheder, der behandler et lille antal forespørgsler, kan som udgangspunkt nøjes med et link til Kommissionens IMI-websted.

De nationale IMI-koordinatorer bør yde de kompetente myndigheder bistand. Der kan bl.a. være tale om hjælp til udarbejdelse af meddelelser om databeskyttelse, som de nationale kompetente myndigheder kan anvende som model. En anden mulighed er, at den nationale koordinator udarbejder og offentliggør en fælles national databeskyttelsesmeddelelse på internettet, og at hver enkelt kompetent myndighed blot anfører et link til denne meddelelse i sine kontakter med de registrerede (f.eks. i ansøgningsskemaer eller andre dokumenter, der stilles til rådighed for de registrerede).

EUROPA-KOMMISSIONENS DATABESKYTTELSESERKLÆRING

Informationssystemet for det indre marked — IMI

1.   Hvad er IMI, og hvem bruger det?

Formålet med IMI er at gøre det lettere for EØS-landenes myndigheder at samarbejde og hjælpe hinanden, så det indre marked kan fungere ordentligt, og personer og tjenesteydelser kan bevæge sig frit. Ved hjælp af IMI kan de nationale myndigheder udveksle oplysninger, herunder visse personoplysninger.

Denne erklæring om databeskyttelse omfatter den del af IMI, som Kommissionen har ansvaret for, dvs. indsamling, registrering, opbevaring og sletning af personoplysninger om første brugere hos nationale IMI koordinatorer og opbevaring og sletning — men hverken indsamling, genfinding eller visning — af personoplysninger om andre IMI-brugere og personer, som informationsudvekslingen vedrører. Erklæringen omfatter altså ikke de databehandlinger, som medlemslandene har ansvaret for.

2.   Retsgrundlaget

De databehandlinger, som Kommissionen har ansvaret for, er omfattet af Europa Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger.

Desuden gælder Kommissionens beslutning 2008/49/EF af 12. december 2007 om gennemførelse af informationssystemet for det indre marked (IMI) hvad angår beskyttelse af personoplysninger.

3.   Hvilke oplysninger behandler Kommissionen i IMI?

Kommissionen indsamler de nødvendige kontaktoplysninger om superbrugerne hos de nationale IMI-koordinatorer. Det drejer sig bl.a. om deres navn og telefonnummer, faxnummer og e-mail-adresse (arbejde). Disse personoplysninger og oplysninger om brugere hos delegerede IMI-koordinatorer og andre kompetente myndigheder opbevares på en af Kommissionens servere.

Oplysninger om de personer, som informationsudvekslingen vedrører, vil af tekniske årsager også blive opbevaret på en af Kommissionens servere.

4.   Hvilket formål tjener databehandlingen i IMI?

Kontaktoplysningerne om de nationale IMI-koordinatorer er nødvendige for, at IMI kan tages i brug og fungere rigtigt. Kommissionen skal have adgang til oplysningerne for at kunne forvalte IMI ordentligt i samarbejde med medlemslandene.

Også oplysninger om de personer, som myndighedernes informationsudveksling vedrører, opbevares midlertidigt i IMI. Det sker for at forbedre og lette det samarbejde mellem myndighederne, som EU-lovgivningen indfører for at virkeliggøre det indre marked. Der vil i praksis være tale om tilfælde, hvor der er brug for supplerende oplysninger fra et medlemsland i forbindelse med grænseoverskridende levering af tjenesteydelser eller tjenesteleverandører, der ønsker at etablere sig i et andet medlemsland.

5.   Hvem har adgang til personoplysningerne?

Kommissionens lokale dataadministratorer har adgang til personoplysninger om lokale dataadministratorer i de nationale IMI-koordinatorer (ifølge artikel 12, stk. 7, i beslutning 2008/49/EF) hvad angår beskyttelse af personoplysninger. Kommissionens ansatte har ikke adgang til oplysninger om de personer, som informationsudvekslingen vedrører.

6.   Hvor længe opbevares personoplysningerne?

Personoplysningerne om de kompetente myndigheders og koordinatorernes brugere opbevares, så længe de er registrerede som IMI-brugere.

Alle personoplysninger, som de kompetente myndigheder sender til hinanden via IMI, slettes automatisk af Kommissionen seks måneder efter, at informationsudvekslingen formelt er afsluttet. Af statistiske årsager vil selve informationsudvekslingen blive bevaret i IMI, men alle personoplysninger gøres anonyme. En myndighed, der har udvekslet oplysninger med en anden myndighed via IMI, kan efterfølgende til enhver tid anmode Kommissionen om at slette bestemte personoplysninger. Kommissionen efterkommer anmodningen inden for ti hverdage, hvis den anden myndighed ikke har noget imod det.

7.   Hvordan beskyttes man mod uberettiget adgang?

Der er truffet en række tekniske forholdsregler for at beskytte IMI. Forskellige adgangsniveauer til databasen er beskyttet med et normalt passwordsystem og en ekstra digital kode i stil med den, der anvendes inden for homebanking. Personoplysningerne i databasen er kun tilgængelige for en begrænset brugergruppe (se punkt 5 »Hvem har adgang til personoplysningerne?«). Systemet er også beskyttet med https-protokollen, der er en særlig sikker internetprotokol.

8.   Adgang til personoplysningerne

Hvis du er national IMI-koordinator, kan du få adgang til dine personoplysninger ved at henvende dig til de kontaktpunkter, der er nævnt i punkt 10.

9.   Yderligere oplysninger

Ud over denne erklæring om databeskyttelse gælder også bestemmelserne i den vigtige juridiske meddelelse

Hvis du mener, at IMI har personoplysninger om dig, og du gerne vil have adgang til dem og eventuelt slette eller rette dem, kan du henvende dig til den forvaltning eller den faglige organisation, som du har haft kontakt med, eller til enhver anden IMI-bruger, der var involveret i forespørgslen. Hvis du ikke er tilfreds med svaret, kan du enten kontakte en anden IMI-bruger eller indgive en klage til databeskyttelsesmyndigheden for en af de IMI-brugere, der var involveret i forespørgslen. Det er gratis at få hjælp fra myndigheden. Her finder du en liste over databeskyttelsesmyndigheder:

http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm

Bemærk, at der i den nationale lovgivning kan gælde visse undtagelser for din ret til adgang til dine personoplysninger.

10.   Kontakt

IMI forvaltes af Kommissionens Generaldirektorat for det Indre Marked og Tjenesteydelser, kontor E.3. Den registeransvarlige er kontorchef Nicholas Leapman. IMI-kontaktadresse:

Europa-Kommissionen

Generaldirektoratet for det Indre Marked og Tjenesteydelser

Kontor E.3

B-1049 Bruxelles

markt-imi-dataprotection@ec.europa.eu

Hvis du vil klage over Kommissionens databehandling, kan du kontakte Den Europæiske Tilsynsførende for Databeskyttelse:

Den Europæiske Tilsynsførende for Databeskyttelse (EDPS)

Rue Wiertz 60 (MO 63)

B-1047 Bruxelles

BELGIEN

Tlf. +32 22831900

Fax +32 22831950

edps@edps.europa.eu

10.   RET TIL INDSIGT OG BERIGTIGELSE

Gennemsigtighed for den registrerede er af afgørende betydning. Det opnås ved for det første at give den pågældende de oplysninger, der er nævnt i foregående punkt, og for det andet at give den pågældende ret til indsigt i sine personoplysninger og efter omstændighederne ret til at få dem slettet eller berigtiget eller blokeret, hvis de er urigtige eller er blevet behandlet ulovligt.

Det meget komplekse IMI-system med dets mange aktører og brugere, som foretager fælles behandling og fælles kontroludøvelse, kræver en ukompliceret tilgang for den registrerede. De registrerede er ikke bekendt med de tekniske aspekter af fælles behandling eller IMI's funktion og behøver heller ikke være det.

Tilgangen skal derfor være klar og enkel: Den generelle regel er, at de registrerede skal have mulighed for at udøve deres ret til indsigt i og berigtigelse og sletning af deres personoplysninger ved henvendelse til en hvilken som helst kompetent myndighed, der er involveret i en forespørgsel. Denne regel kan kun fraviges i begrundede tilfælde efter aftale mellem den registrerede og alle andre berørte parter. Ingen kompetent myndighed må give afslag på en anmodning om indsigt i, berigtigelse eller sletning af personoplysninger med henvisning til, at den ikke selv har registreret oplysningerne i systemet, eller at den registrerede skal kontakte en anden kompetent myndighed. Den kompetente myndighed, der modtager en sådan anmodning, undersøger og imødekommer eller afviser den alt efter omstændighederne og bestemmelserne i det pågældende lands databeskyttelseslovgivning. Hvis det er nødvendigt og relevant, kan den kompetente myndighed tage kontakt til andre kompetente myndigheder, inden den træffer afgørelse. I tilfælde af at de kompetente myndigheder ikke er enige, bør de inddrage deres respektive databeskyttelsesmyndigheder i sagen for hurtigt og effektivt at nå til enighed.

Hvis den registrerede ikke er tilfreds med den afgørelse, der er truffet, kan han eller hun tage kontakt til en anden kompetent myndighed, som er involveret i informationsudvekslingen, eller til den nationale databeskyttelsesmyndighed for en af disse kompetente myndigheder, f.eks. myndigheden i det land, hvor han eller hun er etableret, eller den pågældendes nationale databeskyttelsesmyndighed eller myndigheden i det land, hvor han eller hun arbejder. Hvis det er nødvendigt og relevant, skal databeskyttelsesmyndighederne samarbejde med hinanden i forbindelse med behandlingen af klagen (jf. artikel 28 i databeskyttelsesdirektivet).

Det skal fremhæves, at de registrerede har ret til at indlede en retssag på et hvilket som helst tidspunkt og i givet fald til erstatning (jf. artikel 22 og 23 i databeskyttelsesdirektivet og de tilsvarende bestemmelser i national ret).

I henhold til artikel 12, litra c), i databeskyttelsesdirektivet skal den registeransvarlige underrette tredjemand, til hvem oplysningerne er videregivet, om enhver berigtigelse, sletning eller blokering, medmindre underretning viser sig umulig eller er uforholdsmæssig vanskelig. Dette gælder også oplysninger, som er viderebehandlet uden for IMI.

I forlængelse af henstillingerne fra Artikel 29-gruppen og EDPS arbejder Kommissionen i øjeblikket på en funktionalitet i IMI-systemet (i tråd med den eksisterende procedure for tidlig sletning af oplysninger på anmodning af de kompetente myndigheder, jf. punkt 12), som skal muliggøre online berigtigelse af oplysninger og automatisk underretning af de involverede kompetente myndigheder herom. Da dette er forbundet med visse tekniske vanskeligheder, foreslås det, at den kompetente myndighed, indtil funktionaliteten kan implementeres, i givet fald sender en anmodning om berigtigelse af personoplysninger direkte til Europa-Kommissionens IMI-registeransvarlige (jf. foregående punkt »Europa-Kommissionens databeskyttelseserklæring«).

Databeskyttelsesdirektivet og de retsakter, hvorved det er gennemført i national ret, giver også de registrerede ret til at gøre indsigelse mod, at oplysninger om dem gøres til genstand for behandling, og til at få behandlingen standset, hvis indsigelsen er berettiget. Hvis man kontaktes af en registreret, som gør indsigelse mod, at oplysninger om ham eller hende gøres til genstand for behandling, kan man kontakte sin nationale databeskyttelsesmyndighed for yderligere oplysninger om, hvordan indsigelsesretten fungerer i den pågældende medlemsstat.

11.   DATASIKKERHED

En række organisatoriske og tekniske foranstaltninger i stil med dem, der anvendes inden for homebanking, anvendes til at gøre IMI sikker. Kommunikationen med IMI over internettet er også beskyttet med https-protokollen, der er en særlig sikker internetprotokol. De tekniske foranstaltninger til beskyttelse af IMI skal være interoperable i hele Den Europæiske Union. Den tekniske beskyttelse af systemet vil blive videreudviklet under hensyn til det aktuelle tekniske niveau og omkostningerne i forbindelse med implementeringen (jf. artikel 17 i direktiv 95/46/EF og artikel 22 i forordning (EF) nr. 45/2001).

For yderligere oplysninger om reglerne for sikkerhed i forbindelse med de informationssystemer, som Europa-Kommissionen anvender, henvises til Kommissionens afgørelse K(2006) 3602, der er tilgængelig på IMI-webstedets databeskyttelsesside:

http://ec.europa.eu/internal_market/imi-net/data_protection_da.html

12.   OPBEVARINGSPERIODE

Reglerne for, hvor længe oplysninger må opbevares, er fastlagt i artikel 4 og 5 i beslutning 2008/49/EF.

Som hovedregel slettes alle personoplysninger i forbindelse med informationsudvekslinger automatisk seks måneder efter, at informationsudvekslingen formelt er afsluttet. Kommissionen er i gang med at gennemføre ændringer af systemet (påmindelser og lister over hasteforespørgsler), for at den formelle afslutning af forespørgsler skal kunne foretages så hurtigt som muligt.

En kompetent myndighed kan også anmode om at få slettet personoplysninger, inden der er gået seks måneder. Forudsat at den anden kompetente myndighed giver sit samtykke, reagerer Kommissionen på sådanne anmodninger inden for ti hverdage.

De kompetente myndigheder bør være klar over, at der kan anmodes om sletning af personoplysninger online ved ganske enkelt at finde den pågældende afsluttede forespørgsel og klikke på »Anmod om sletning af personoplysninger«.

Skærmbillede af en kompetent myndigheds anmodning om tidlig sletning af personoplysninger

Skærmbillede af indhentning af en kompetent myndigheds samtykke til tidlig sletning af personoplysninger

Kommissionen agter at indføre visse forbedringer af systemet som f.eks. automatiske påmindelser om at acceptere svar eller formelt afslutte forespørgsler, når der er blevet givet et tilfredsstillende svar.

Det er desuden vigtigt at være opmærksom på, at de nationale databeskyttelsesregler finder anvendelse på de kompetente myndigheders lagring af alle personoplysninger uden for IMI.

13.   SAMARBEJDE MED DE NATIONALE DATABESKYTTELSESMYNDIGHEDER OG EDPS

Netværket af nationale databeskyttelsesmyndigheder og EDPS er en af de bedste garantier for, at vores databeskyttelsessystem fungerer efter hensigten. De kompetente myndigheder kan få rådgivning hos dem, når de konfronteres med et vanskeligt spørgsmål, som ikke er omfattet af disse retningslinjer. De nationale IMI-koordinatorer vil få en betydelig rolle i den forbindelse. På IMI-webstedets databeskyttelsesside findes en liste over kontaktpersoner i databeskyttelsesmyndighederne.

De kompetente myndigheder skal desuden være opmærksomme på, at de i givet fald skal underrette deres respektive nationale databeskyttelsesmyndigheder, inden de deltager i IMI. I nogle medlemsstater kan en forhåndstilladelse være påkrævet. IMI-koordinatorerne bør spille en aktiv koordinerende rolle i forbindelse med kontakten til databeskyttelsesmyndighederne, hvis det er nødvendigt.

Igangværende tiltag

Følgende databeskyttelsesvenlige forbedringer vil blive indbygget i en fremtidig version af IMI i løbet af 2009:

a)

Når informationsudvekslingen vedrører følsomme data (f.eks. oplysninger om helbredsforhold eller straffeattester eller disciplinære foranstaltninger), vil der være en påmindelse om, at de udvekslede oplysninger er følsomme, og at sagsbehandleren kun bør spørge om disse oplysninger, hvis det er absolut nødvendigt og direkte relateret til udøvelsen af den erhvervsmæssige virksomhed eller udførelsen af en givet tjenesteydelse.

b)	Der vil blive indført en onlineprocedure (i tråd med den eksisterende procedure for tidlig sletning af oplysninger på anmodning af de kompetente myndigheder) for berigtigelse, sletning eller blokering af oplysninger, som er blevet behandlet ulovligt, eller som er urigtige.

c)	Der vil være automatiske påmindelser og lister over hasteforespørgsler for at kunne acceptere et svar, så forespørgsler ikke forbliver åbne længere end nødvendigt.

d)

Passende foranstaltninger til håndtering af nye informationsstrømme i henhold til servicedirektivet – dvs. en advarselsordning og individuelle undtagelser. Til disse foranstaltninger vil der generelt blive anvendt samme fremgangsmåde som ved informationsudveksling i almindelighed, f.eks. påmindelser om de pågældende informationsstrømmes følsomme karakter, påmindelser om at afslutte advarsler, så snart det kan lade sig gøre, og mulige metoder til underretning af fysiske personer om informationsudvekslingen og deres ret til at få indsigt i oplysningerne og til eventuelt at få dem blokeret, slettet eller berigtiget. Der kan muligvis blive behov for yderligere garantier for databeskyttelse. Disse vil blive udarbejdet i samråd med EDPS.

14.   REVISIONSKLAUSUL

IMI er et banebrydende informationssystem, der fortsat videreudvikles. Kommissionen indhenter løbende input fra koordinatorer og kompetente myndigheder for at forbedre systemet, og det kan derfor forventes, at der vil blive implementeret ændringer i de kommende måneder. Nogle af disse kan få konsekvenser for databeskyttelsen.

Disse retningslinjer er derfor ikke definitive og skal ajourføres på grundlag af erfaringerne med det løbende arbejde i IMI. Senest et år efter vedtagelsen af denne henstilling vil Kommissionen udarbejde en rapport, i hvilken den vil tage bestik af situationen og bl.a. se på muligheden for at vedtage en anden retsakt.

---

(1)  Medlemsstaterne bør overveje at medtage oplysninger om databeskyttelse i deres uddannelsestiltag vedrørende IMI.

(2)  Jf. artikel 12 i beslutning 2008/49/EF.

(3)  Kompetente myndigheder kan være »tilknyttet« andre myndigheder, som har tilsyn med dem (f.eks. kan en regional myndighed være tilknyttet en national myndighed). Disse »tilknyttede myndigheder« kan således få kendskab til antallet og arten af forespørgslerne, men de har ikke adgang til tjenesteydernes eller de vandrende erhvervsudøveres personoplysninger.

(4)  I henhold til artikel 10, stk. 3, i beslutning 2008/49/EF kan Kommissionen kun deltage i informationsudvekslinger i særlige tilfælde, hvor den relevante fællesskabsretsakt indeholder bestemmelser om informationsudveksling mellem medlemsstaterne og Kommissionen. I disse tilfælde svarer Kommissionens forpligtelser til en kompetente myndigheds forpligtelser. Den skal f.eks. underrette de registrerede på passende vis og give dem indsigt i de data, der vedrører dem, hvis de ønsker det.

(5)  Selv om databeskyttelseslovgivningen i nogle medlemsstater som f.eks. Danmark, Italien, Luxembourg og Østrig i et vist omfang også omfatter juridiske personer.

(6)  Direktiv 95/46/EF finder anvendelse på medlemsstaterne, mens forordning (EF) nr. 45/2001 finder anvendelse på EU-institutionerne.

(7)  http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_da.pdf

(8)  En juridisk definition findes i artikel 8 i direktiv 95/46/EF og artikel 10 i forordning (EF) nr. 45/2001.

(9)  Dvs., at de registrerede skal have passende oplysninger, behandlingen skal stå i rimeligt forhold til formålet, og oplysningerne må ikke viderebehandles til formål, som er uforenelige med det formål, hvortil de blev indsamlet.

(10)  Der findes en liste over disse spørgsmål på IMI-webstedet:

http://ec.europa.eu/internal_market/imi-net/docs/questions_and_data_fields_da.pdf

(11)  Databeskyttelsessiden på IMI-webstedet indeholder alle databeskyttelsesdokumenter, der specifikt vedrører IMI, samt et link til en liste over alle retsakter mv. vedrørende databeskyttelse på EU-plan:

http://ec.europa.eu/internal_market/imi-net/data_protection_da.html