16.10.2010   

SV

Europeiska unionens officiella tidning

C 280/16

1.

Den 3 december 2008 antog kommissionen ett förslag till Europaparlamentets och rådets direktiv om avfall som utgörs av eller innehåller elektriska eller elektroniska produkter (WEEE) (nedan kallat förslaget) (1). Förslaget syftar till att omarbeta direktiv 2002/96/EG om avfall som utgörs av eller innehåller elektriska eller elektroniska produkter (WEEE) som antogs den 27 januari 2003 (nedan kallat direktivet) (2) utan att ändra varken bakgrunden till eller syftena med insamling och materialåtervinning av WEEE.

2.

Europeiska datatillsynsmannen (datatillsynsmannen) har inte hörts enligt kravet i artikel 28.2 i förordning (EG) nr 45/2001 (3). Datatillsynsmannen har därför handlat på eget initiativ och antagit detta yttrande i enlighet med artikel 41.2 i samma förordning. Datatillsynsmannen rekommenderar att en hänvisning till detta yttrande införs i ingressen i förslaget.

3.

Datatillsynsmannen är medveten om att detta råd kommer i ett sent skede av lagstiftningsförfarandet men anser likväl att det är lämpligt och av värde att framföra detta yttrande eftersom förslaget väcker viktiga frågor om dataskydd som inte behandlas i texten. Detta yttrande är inte avsett att ändra det huvudsakliga och avgörande syftet och innehållet i förslaget, vars ”tyngdpunkt” (4) fortfarande ligger på miljöskydd, utan är endast avsett att tillföra ytterligare en dimension som blir allt viktigare i vårt informationssamhälle (5).

4.

Datatillsynsmannen är även medveten om det begränsade tillämpningsområdet för förfarandet med omarbetning men uppmanar likväl lagstiftaren att beakta dessa rekommendationer i enlighet med artikel 8 i det interinstitutionella avtalet om ett omarbetningsförfarande (enligt vilken det fastställs en möjlighet att ändra oförändrade bestämmelser) (6).

5.

Syftet med förslaget är att uppdatera det befintliga direktivet om bortskaffande, återanvändning och materialåtervinning av WEEE. Tekniska, juridiska och administrativa svårigheter från de första årens genomförande av direktivet har lett fram till förslaget, i enlighet med vad som föreskrivs i artikel 17.5 i direktivet.

6.

Elektriska och elektroniska produkter (EEE) är en bred produktgrupp som omfattar en mängd olika medier lämpade för lagring av personuppgifter – såsom IT- och telekommunikationsutrustning (t.ex. persondatorer, bärbara datorer, elektroniska kommunikationsterminaler) – som i det aktuella teknisk-ekonomiska sammanhanget kännetecknas av allt snabbare innovationscykler och, på grund av teknisk konvergens, tillgången till apparater med flera användningsområden. Utvecklingen av elektroniska lagringsmedier sker allt snabbare, särskilt när det gäller lagringskapacitet och -storlek, och marknadskrafterna gör därför att omsättningen av EEE (som innehåller stora mängder, ofta känsliga, personuppgifter) ökar i motsvarande takt. Detta resulterar bland annat i att WEEE anses vara det avfallsflöde som ökar snabbast inom EU (7), men att det vid olämpligt bortskaffande av avfall även finns en uppenbart ökad risk för förlust och spridning av personuppgifter som lagras i denna typ av EEE.

7.

Europeiska unionens politik när det gäller miljö och hållbar utveckling har länge syftat till att minska slöseriet med naturresurser och införa åtgärder för att förebygga miljöförstöring.

8.

Bortskaffandet, återanvändningen och materialåtervinningen av WEEE omfattas av detta ramverk. Åtgärderna syftar till att förebygga att elektriska och elektroniska produkter bortskaffas tillsammans med blandat avfall och att ålägga tillverkare skyldigheten att tillhandahålla bortskaffande såsom föreskrivs i direktivet.

9.

Bland de olika åtgärder som föreskrivs i direktivet är det särskilt värt att uppmärksamma de som avser återanvändning (dvs. varje åtgärd genom vilken WEEE eller komponenter till WEEE används för samma syfte som de ursprungligen var avsedda för, inklusive fortsatt användning av produkter, eller komponenter till sådana, som har lämnats in till insamlingsplatser, distributörer, återförsäljare, återvinningsföretag eller tillverkare), materialåtervinning (dvs. bearbetning av avfallsmaterial i en produktionsprocess för det ursprungliga syftet eller för andra syften) samt åtgärder för att finna andra former för återvinning av WEEE för att minska bortskaffandet av avfall (se artiklarna 1, 3 d och 3 e i direktivet).

10.

Dessa åtgärder, i synnerhet återanvändning och materialåtervinning av WEEE och särskilt IT- och telekommunikationsutrustning, kan innebära en större risk än tidigare för att den som samlar in WEEE eller säljer och köper de använda eller återvunna produkterna kan få kännedom om eventuella personuppgifter som lagras däri. Sådana uppgifter är ofta känsliga eller rör ett stort antal individer.

11.

Av samtliga ovannämnda skäl finner datatillsynsmannen det angeläget att alla berörda parter (användare och tillverkare av EEE) blir medvetna om riskerna för personuppgifter, särskilt i slutfasen av livscykeln för EEE. Även om EEE i denna fas betingar ett lägre ekonomiskt värde innehåller de troligen en stor mängd personuppgifter och har därför troligen ett högt verkligt värde för de registrerade och/eller andra personer.

12.

Datatillsynsmannen har inga synpunkter på förslagets övergripande målsättning och ställer sig utan förbehåll bakom initiativet som syftar till att förbättra miljövänliga strategier när det gäller WEEE.

13.

Förslaget, såväl som direktivet, är emellertid endast inriktat på miljöriskerna i samband med bortskaffandet av WEEE. Det beaktar inte andra risker för individer och/eller organisationer som åtgärderna för bortskaffande, återanvändning eller materialåtervinning av WEEE kan medföra, särskilt de som är förknippade med sannolikheten för olämpligt förvärv, utlämnande eller spridning av personuppgifter som lagras i WEEE.

14.

Det är viktigt att notera att direktiv 95/46/EG (8) är tillämpligt på ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter” inklusive deras ”utplåning eller förstöring” (artikel 2 b). Bortskaffande av EEE kan omfatta behandling av uppgifter. Därför överlappar förslaget och det nämnda direktivet varandra, och dataskyddsbestämmelser kan därför vara tillämpliga på aktiviteter som omfattas av förslaget.

15.

Datatillsynsmannen har för avsikt att uppmärksamma de betydande risker som kan drabba individer och/eller organisationer som är registeransvariga  (9) om WEEE, i synnerhet IT- och telekommunikationsutrustning, vid bortskaffandet innehåller personuppgifter om användarna av dessa apparater och/eller tredje man. Olaglig tillgång till eller utlämnande av sådana personuppgifter, som ibland kan bestå av särskilda kategorier av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv (s.k. känsliga uppgifter) (10), kan mycket väl påverka de registrerade individernas personliga integritet och värdighet samt dessa individers/organisationers andra legitima intressen (t.ex. ekonomiska).

16.

Rent allmänt finner datatillsynsmannen det nödvändigt att understryka betydelsen av att lämpliga säkerhetsåtgärder antas under alla stadier (från början till slut) av behandlingen av personuppgifter, vilket påpekats flera gånger i andra yttranden (11). Detta gäller i än högre grad under den svåra fasen när den registeransvariga avser att bortskaffa apparater som innehåller personuppgifter.

17.

Respekten för säkerhetsåtgärder är ofta en förutsättning för att på ett effektivt sätt garantera rätten till skydd av personuppgifter.

18.

Det vore därför inkonsekvent att införa en skyldighet att genomföra (ibland kostsamma) säkerhetsåtgärder vid normal databehandling av personuppgifter (som avses i artikel 17 i direktiv 95/46/EG i tillämpliga fall) (12) och sedan helt enkelt låta bli att överväga införandet av adekvata skyddsåtgärder för bortskaffande av WEEE.

19.

Det vore lika inkonsekvent att lägga sådan vikt vid datasäkerhetsfrågorna att anmälningar av överträdelse av dataskyddet måste införas via artikel 2 i direktiv 2009/136/EG (13) och sedan inte införa någon garanti eller några skyddsåtgärder under bortskaffandet av WEEE eller eventuell återanvändning eller materialåtervinning av WEEE.

20.

Datatillsynsmannen beklagar att förslaget inte beaktar den möjliga skadliga inverkan som bortskaffandet av WEEE kan få på skyddet av personuppgifter som lagras i ”använda” produkter.

21.

Denna aspekt beaktades inte heller i kommissionens konsekvensbedömning (14) trots att erfarenheten visar att skyddet av personuppgifter kan äventyras om lämpliga säkerhetsåtgärder inte vidtas vid bortskaffandet av WEEE (15). På grund av de berörda ärendenas komplicerade natur (t.ex. mängden legitima metoder, tekniker och aktörer som är inblandade i cykeln för bortskaffande av WEEE) finner datatillsynsmannen att det hade varit lämpligt att genomföra en ”konsekvensbedömning av personlig integritet och uppgiftsskydd” för de processer som rör bortskaffandet av WEEE.

22.

Likväl rekommenderar datatillsynsmannen starkt att ”bästa tillgängliga teknik” utvecklas för personlig integritet, uppgiftsskydd och säkerhet inom detta område.

23.

Under det offentliga samrådet före omarbetningen av direktivet har det förekommit att intressenter tagit upp ärenden som rör säkerhet och skydd av personuppgifter, särskilt företag inom IT och elektronisk kommunikation, vilket ytterligare belyser problemet (16).

24.

Slutligen är det värt att uppmärksamma att vissa nationella dataskyddsmyndigheter har utfärdat riktlinjer för att minimera de risker som kan uppstå om inte nödvändiga säkerhetsåtgärder vidtas, i synnerhet vid bortskaffande av material som lyder under direktivet (17).

25.

Datatillsynsmannen upprepar att direktiv 95/46/EG är tillämpligt vid bortskaffandet av WEEE som innehåller personuppgifter. Registeransvariga – i synnerhet de som använder IT- och kommunikationsutrustning – åläggs därför att fullgöra sina säkerhetsskyldigheter för att förhindra olämpligt utlämnande eller spridning av personuppgifter. I detta syfte och för att inte hållas ansvariga för överträdelser mot säkerhetsåtgärder bör registeransvariga inom offentliga och privata sektorn, i samarbete med uppgiftsskyddsombuden (då sådana finns), anta lämpliga strategier för bortskaffande av WEEE som innehåller personuppgifter.

26.

Om registeransvariga som bortskaffar EEE inte har den nödvändiga kompetensen och/eller det tekniska kunnandet för att radera de aktuella personuppgifterna kan de anförtro uppgiften åt behöriga registerförare (t.ex. hjälpcentra, utrustningstillverkare och distributörer) i enlighet med villkoren i artikel 17.2, 17.3 och 17.4 i direktiv 95/46/EG. Registerförarna ska i sin tur intyga att åtgärderna har utförts eller och/eller åta sig dem.

27.

På grund av dessa beaktanden finner datatillsynsmannen att omarbetningen av direktivet utöver de bestämmelser som finns för miljöskydd bör inkludera strategier för uppgiftsskydd.

28.

Datatillsynsmannen rekommenderar därför rådet och Europaparlamentet att inkludera en särskild bestämmelse i det nuvarande förslaget som anger att direktivet är tillämpligt för bortskaffande av WEEE utan att det påverkar tillämpningen av direktiv 95/46/EG.

29.

Eftersom de som ansvarar för bortskaffandet av EEE tillåts fatta självständiga beslut om uppgifter som finns i EEE kan de anses vara registeransvariga  (18). De måste därför införa interna rutiner för att undvika onödig databehandling av eventuella personuppgifter som lagras i WEEE, det vill säga behandling utöver vad som är absolut nödvändigt för att på ett effektivt sätt verifiera att uppgifterna de innehåller rensas bort.

30.

De ansvariga får dessutom inte låta obehöriga få kännedom om eller behandla uppgifter som lagras på EEE. Särskilt om lagringsmedier återvinns eller återanvänds och därför kommer ut på marknaden igen finns det en ökad risk för olämpligt utlämnande eller spridning av personuppgifter samt ett behov av att hindra obehörig tillgång till personuppgifter.

31.

Datatillsynsmannen rekommenderar därför att rådet och Europaparlamentet inkluderar en särskild bestämmelse i det nuvarande förslaget som förbjuder försäljning av begagnade apparater om inte lämpliga säkerhetsåtgärder har vidtagits i enlighet med moderna tekniska standarder (som att skrivas över upprepade gånger) för att radera eventuella personuppgifter som dessa kan innehålla.

32.

Den framtida rättsliga ramen för elektronikavfall bör inte endast inkludera en särskild bestämmelse om den vidare ekodesignprincipen för produkterna (se artikel 4 i förslaget utformning av produkter) utan även – som tidigare nämnts i andra yttranden från datatillsynsmannen (19) – en bestämmelse om principen för inbyggda skyddsmekanismer för att skydda den personliga integriteten (privacy by design) (20) eller närmare bestämt inom detta område inbyggda skyddsmekanismer för att skydda säkerheten (security by design) (21). Så vitt det är möjligt bör skydd av personlig integritet och uppgifter standardmässigt integreras i utformningen av elektriska och elektroniska produkter så att användarna – på ett enkelt sätt och kostnadsfritt – kan radera personuppgifter som kan finnas i apparater vid ett eventuellt bortskaffande (22).

33.

Detta tillvägagångssätt har ett klart stöd i artikel 3.3 c i direktiv 1999/5/EG (23) om utformning av radioutrustning och teleterminalutrustning och i artikel 14.3 i direktiv 2002/58/EG (24).

34.

Därför bör tillverkarna ”bygga in” säkerhetsåtgärder för personlig integritet och säkerhet genom tekniska lösningar (25). Inom denna ram bör även initiativ till rekommendationer om nödvändigheten att radera eventuella personuppgifter före bortskaffandet av WEEE (gäller även tillverkare av kostnadsfria programvaror för detta ändamål) främjas och understödjas (26).

35.

Med hänsyn till ovanstående rekommenderar datatillsynsmannen att dataskyddsmyndigheterna, i synnerhet genom artikel 29-arbetsgruppen för uppgiftsskydd, och datatillsynsmannen blir starkt inblandade i initiativ som rör bortskaffandet av WEEE, via samråd på ett tillräckligt tidigt stadium innan relevanta åtgärder utarbetas.

36.

Med hänsyn till det sammanhang som personuppgifter behandlas i rekommenderar datatillsynsmannen att förslaget bör inkludera särskilda bestämmelser

37.

Datatillsynsmannen rekommenderar därför starkt att förslaget ändras i linje med direktiv 95/46/EG, enligt följande:

—   Skäl 11:

—   Artikel 2.3:

38.

Dessutom finner datatillsynsmannen det lämpligt att följande ändringar tas i beaktande:

—   Artikel 4.2:

—   Artikel 8.7:

—   Artikel 14.6: