31.7.2012

SV

Europeiska unionens officiella tidning

C 229/90

---

Yttrande från Europeiska ekonomiska och sociala kommittén om ”Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)”

COM(2012) 11 final – 2012/011 (COD)

2012/C 229/17

Huvudföredragande: Jorge PEGADO LIZ

Den 16 februari 2012 och den 1 mars 2012 beslutade Europaparlamentet respektive rådet att i enlighet med artikel 304 i EUF-fördraget rådfråga Europeiska ekonomiska och sociala kommittén om

”Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)”

COM(2012) 11 final – 2012/011 (COD).

Den 21 februari 2012 gav kommitténs presidium facksektionen för sysselsättning, sociala frågor och medborgarna i uppdrag att utarbeta ett yttrande i ärendet.

Med hänsyn till ärendets brådskande karaktär utsåg Europeiska ekonomiska och sociala kommittén Jorge PEGADO LIZ till huvudföredragande vid sin 481:a plenarsession den 23–24 maj 2012 (sammanträdet den 23 maj), och antog följande yttrande med 165 röster för, 34 röster emot och 12 nedlagda röster.

1.   Slutsatser och rekommendationer

1.1

EESK välkomnar den allmänna inriktningen för kommissionens arbete, ställer sig bakom valet av behörighetsgrundande bestämmelse och instämmer i princip med förslagets mål, som ligger nära ett yttrande från kommittén. När det gäller uppgiftsskyddets rättsliga ställning anser EESK att behandling och överföring av uppgifter inom den inre marknaden måste begränsas i enlighet med den rätt till skydd av personuppgifter som fastställs i artikel 8 i stadgan om de grundläggande rättigheterna och artikel 16.2 i EUF-fördraget.

1.2	När det gäller valet av en förordning som det lämpligaste rättsinstrumentet med hänsyn till de eftersträvade målen är kommittén splittrad och uppmanar kommissionen att tydligare ange och motivera varför detta instrument är att föredra framför ett direktiv eller till och med är oumbärligt.

1.3	Kommittén beklagar emellertid att ett alltför stort antal undantag och begränsningar införts, vilket urholkar principerna om rätt till skydd av personuppgifter.

1.4

I den nya digitala ekonomin anser EESK liksom kommissionen att ”den enskilde [har] rätt att åtnjuta verksam kontroll över sina personuppgifter”. Denna rätt bör även utvidgas till olika användningsområden där individuella profiler skapas utifrån sammanställda uppgifter med hjälp av ett stort antal (lagliga och ibland olagliga) metoder och behandling av de insamlade uppgifterna.

1.5

Eftersom det handlar om grundläggande rättigheter bör medlemsstaterna emellertid i samband med att lagstiftningen på särskilda områden harmoniseras genom en förordning kunna anta särskilda bestämmelser i sin nationella lagstiftning som saknas i förordningen i fråga eller som är mer fördelaktiga än bestämmelserna i förordningen.

1.6	Kommittén kan inte heller ställa sig bakom det stora antalet nästan systematiska hänvisningar till delegerade akter som inte uttryckligen grundas på artikel 290 i EUF-fördraget.

1.7

Kommittén välkomnar emellertid strävan efter att skapa en effektiv institutionell ram för att säkerställa att de rättsliga bestämmelserna fungerar effektivt, både när det gäller företag (uppgiftsskyddsombud) och offentliga myndigheter i medlemsstaterna (oberoende tillsynsmyndigheter). EESK skulle emellertid ha föredragit att kommissionen valt ett tillvägagångssätt som ligger närmare medborgarnas verkliga behov och förväntningar och som är mer konsekvent utformat utifrån vissa områden av den ekonomiska och sociala verksamheten.

1.8

EESK anser att en lång rad förbättringar och förtydliganden skulle kunna göras i den föreslagna texten och ger konkreta exempel avseende flera artiklar när det gäller fastställande av en bättre definition av rättigheterna, förstärkning av skyddet för medborgarna i allmänhet och för arbetstagarna i synnerhet, typen av samtycke, kriterierna för när personuppgifter får behandlas och i synnerhet uppgiftsskyddsombudens roll och behandlingen av personuppgifter i anställningsförhållanden.

1.9	EESK anser också att vissa aspekter som inte beaktats borde tas upp, t.ex. vad gäller utvidgningen av tillämpningsområdet, behandlingen av känsliga uppgifter och grupptalan.

1.10

Eftersom sökmotorerna tjänar det mesta av sina pengar på riktad reklam tack vare insamling av personuppgifter om besökarna eller till och med profilering anser EESK att de uttryckligen bör ingå i förordningens tillämpningsområde. Samma sak bör gälla serverplatser som erbjuder lagringsutrymme och, när det gäller vissa, programvara (datormoln eller cloud computing) och som i kommersiellt syfte samlar in uppgifter om sina användare.

1.11

Samma sak bör även gälla de personuppgifter som publiceras på sociala nätverkssidor, där den berörda personen i enlighet med rätten att bli bortglömd bör tillåtas att ändra eller ta bort information eller kunna begära att nätverket raderar den personliga sidan och länkar till andra mycket välbesökta webbplatser där denna information återges eller kommenteras. Artikel 9 bör ändras i enlighet med detta.

1.12

EESK uppmanar slutligen kommissionen att se över vissa aspekter av förslaget som är oacceptabla för känsliga frågor som skydd av barn, rätt att göra invändningar, profilering, vissa begränsningar av rättigheterna, gränsen på 250 anställda för att utse ett uppgiftsskyddsombud och det sätt på vilket enhetligheten regleras.

2.   Inledning

2.1	EESK har uppmanats att utarbeta ett yttrade om ”Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning)” (1).

2.2

Det bör emellertid noteras att detta förslag ingår i ett ”paket” som även omfattar ett introduktionsmeddelande (2), ett förslag till direktiv (3) och en ”Rapport från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén på grundval av artikel 29.2 i rådets rambeslut av den 27 november 2008” (4). EESK har inte mottagit någon remiss för hela paketet, utan endast för förslaget till förordning, trots att kommittén även borde ha fått yttra sig om förslaget till direktiv.

2.3	Det förslag som EESK uppmanats att utarbeta ett yttrande om befinner sig, enligt kommissionen, i skärningspunkten mellan EU:s två viktigaste juridisk-politiska och politisk-ekonomiska huvudlinjer.

2.3.1

Å ena sidan fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och i artikel 16.1 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) skyddet av personuppgifter som en grundläggande rättighet, som ska skyddas som en sådan. Europeiska kommissionens meddelanden om Stockholmsprogrammet och om handlingsplanen för genomförandet av programmet grundas på dessa artiklar (5).

2.3.2

Å andra sidan förespråkar EU i den digitala agenda för Europa och, mer generellt, i Europa 2020-strategin en förstärkning av inremarknadsdimensionen när det gäller skydd av personuppgifter och en minskning av företagens administrativa bördor.

2.4

Kommission har för avsikt att uppdatera och modernisera principerna i det konsoliderade direktivet 95/46/EG om skydd av personuppgifter så att rätten till integritet tryggas även i framtiden i det digitala samhället och dess nätverk. Målet är att stärka medborgarnas rättigheter, stärka EU:s inre marknad, skapa en hög uppgiftsskyddsnivå på alla områden (även inom det straffrättsliga samarbetet), se till att bestämmelserna tillämpas som de ska, underlätta gränsöverskridande behandling av personuppgifter och skapa universella normer för uppgiftsskyddet.

3.   Allmänna kommentarer

3.1

I den nya digitala ekonomin anser EESK liksom kommissionen att ”den enskilde [har] rätt att åtnjuta verksam kontroll över sina personuppgifter”. Denna rätt bör även utvidgas till olika användningsområden där individuella profiler skapas utifrån sammanställda uppgifter med hjälp av ett stort antal (lagliga och ibland olagliga) metoder och behandling av de insamlade uppgifterna. Kommittén anser även att behandlingen och överföringen av personuppgifter på den inre marknaden bör begränsas av rätten till uppgiftsskydd i artikel 8 i stadgan om de grundläggande rättigheterna. Detta är en grundläggande rättighet, som är inskriven i EU:s institutionella rätt och i de flesta medlemsstaters nationella lagstiftning.

3.2

Alla EU-medborgare och personer som är bosatta i unionen omfattas därmed av de grundläggande rättigheter som fastställs i stadgan och i fördragen. Dessa rättigheter erkänns också i medlemsstaternas lagstiftning, ibland även på konstitutionell nivå. Andra rättigheter, t.ex. rätten till egen bild eller rätten till integritet, kompletterar och stärker rätten till skydd av personuppgifter. Det måste vara möjligt att utöva dessa rättigheter genom att begära att en webbplats ändrar eller tar bort en personlig profilsida eller fil på servern och att, om så inte sker, få en domstol att utfärda ett föreläggande.

3.3

Filer med personuppgifter är oumbärliga inom offentlig administration (6), företagens personaladministration, kommersiella tjänster, föreningar, organisationer och politiska partier samt för sociala webbplatser och sökmotorer på internet. För att skydda integriteten för de personer vars uppgifter på ett lagligt sätt registrerats i dessa filer är det dock viktigt att se till att filerna endast omfattar de uppgifter som är absolut nödvändiga i sammanhanget och att de inte i onödan och utan rättsligt skydd kopplas samman med hjälp av informations- och kommunikationsteknik. En myndighet som har obegränsad tillgång till alla uppgifter skulle utgöra ett hot mot de medborgerliga friheterna och integriteten.

3.4	De berörda personerna bör, när det gäller filer som innehas av privaträttsliga aktörer, ha rätt att få tillgång till, korrigera eller ta bort filerna, om det handlar om filer som ska utnyttjas i kommersiellt syfte eller på sociala webbplatser.

3.5

När det gäller filer som innehas av offentliga eller privata förvaltningar och som omfattas av rättsliga krav bör den enskilde ha rätt att få tillgång till uppgifterna, korrigera eventuella fel eller ta bort filerna om de inte längre behövs, t.ex. från ett brottsregister vid amnesti eller när ett anställningskontrakt löpt ut, efter utgången av den tidsperiod som uppgifterna ska bevaras enligt lag.

3.6

EESK välkomnar kommissionens generella inställning där man erkänner att målen i det konsoliderade direktivet 95/46/EG fortfarande är aktuella, även om det 17 år senare och mot bakgrund av alla tekniska och social förändringar som skett på det digitala området krävs en grundlig översyn av bestämmelserna. Direktiv 95/46/EG tar exempelvis inte upp vissa aspekter av det gränsöverskridande utbytet av information och personuppgifter mellan myndigheter som sysslar med brottsbekämpning och verkställande av domar inom ramen för polissamarbetet och det rättsliga samarbetet. Denna fråga tas upp i förslaget till direktiv som ingår i det uppgiftsskyddspaket som kommittén inte uppmanats att utarbeta något yttrande om.

3.7

EESK är i princip positiv till förslagets mål, som syftar till att skydda de grundläggande rättigheterna och som ligger i linje med EESK:s yttrande (7), särskilt vad gäller — inrättandet av ett enda gemensamt regelverk om uppgiftsskydd, som ska gälla i hela EU och som erbjuder en så hög skyddsnivå som möjligt, — en uttrycklig bekräftelse av den fria rörligheten för personuppgifter i EU, — upphävande av flera onödiga administrativa krav, som enligt kommissionen kommer att innebära en besparing för företagen på 2,3 miljarder euro årligen, — skyldigheten för företag och organisationer att så snabbt som möjligt (helst inom 24 timmar) anmäla allvarliga personuppgiftsbrott till tillsynsmyndigheten, — möjligheten för medborgarna att vända sig till den myndighet som ansvarar för personuppgiftsskydd i det egna landet, även när uppgifterna behandlas av ett företag som är etablerat utanför EU, — åtgärderna för att underlätta privatpersoners tillgång till sina egna personuppgifter och överföringen av personuppgifter från en tjänsteleverantör till en annan (rätten till uppgiftsportabilitet), — rätten att bli bortglömd, som garanterar privatpersoner en bättre hantering av riskerna som rör personuppgiftsskydd på internet, genom att erbjuda en möjlighet att få uppgifter raderade när det inte finns några rättsliga skäl att bevara dem, — en förstärkning av de oberoende nationella uppgiftsskyddsmyndigheternas nuvarande roll, i syfte att öka deras möjligheter att kontrollera att EU:s bestämmelser följs i deras respektive medlemsstater, bland annat genom att ge dem befogenhet att bötfälla företag som bryter mot reglerna med upp till 1 miljon euro eller 2 % av företagets samlade årsomsättning, — teknisk neutralitet och tillämpning av förordningen på all behandling av personuppgifter, oavsett om den sker automatiskt eller manuellt, — skyldigheten att genomföra konsekvensbedömningar avseende uppgiftsskydd.

3.8

EESK välkomnar den tonvikt som läggs på skyddet av de grundläggande rättigheterna och ställer sig fullständigt bakom valet av rättslig grund, som för första gången används i lagstiftningen. Förslaget har även stor betydelse för genomförandet av den inre marknaden och kommer att få positiva effekter för Europa 2020-strategin. När det gäller valet av en förordning håller en del av EESK:s ledamöter, oberoende av grupptillhörighet, med kommissionen och anser att det är det lämpligaste rättsinstrumentet för att garantera en enhetlig tillämpning och samma höga uppgiftsskyddsnivå i alla medlemsstater. Andra ledamöter anser att ett direktiv bättre skulle säkerställa subsidiaritetsprincipen och skydda uppgifterna, särskilt i de medlemsstater som redan tillhandahåller ett bättre skydd än det som fastställs i kommissionens förslag. Kommittén är också medveten om att även medlemsstaterna är splittrade i denna fråga. Vi uppmanar därför kommissionen att bättre underbygga sitt förslag genom att mer explicit ange dess förenlighet med subsidiaritetsprincipen och skälen till att en förordning är oumbärlig för att uppnå de eftersträvade målen.

3.8.1

Eftersom det handlar om en förordning som genast kommer att bli tillämplig i sin helhet i samtliga medlemsstater, utan att den behöver införlivas i nationell lagstiftning, vill EESK fästa kommissionens uppmärksamhet på vikten av att se till att alla språkversioner överensstämmer med varandra, vilket inte är fallet med förslaget.

3.9

EESK anser att kommissionen dels hade kunnat gå längre för att skydda vissa rättigheter, som nu blir praktiskt taget innehållslösa på grund av oräkneliga undantag och begränsningar, dels borde ha säkerställt en bättre jämvikt mellan de olika rättigheterna. Det finns nu en risk för att målen avseende den inre marknaden inverkar negativt på målen som rör den grundläggande rätten till uppgiftsskydd. EESK delar i huvudsak de synpunkter som framförts av Europeiska datatillsynsmannen (8).

3.10

EESK skulle ha föredragit att kommissionen valt ett tillvägagångssätt som ligger närmare medborgarnas verkliga behov och förväntningar och som är mer konsekvent utformat utifrån vissa områden av den ekonomiska och sociala verksamheten, t.ex. e-handel, direktmarknadsföring, anställningsförhållanden, offentliga myndigheter, övervakning och säkerhet, dna-frågor etc., genom att göra åtskillnad i de rättsliga bestämmelserna utifrån dessa mycket olika aspekter av behandlingen av personuppgifter.

3.11

Vad gäller de olika bestämmelserna i förslaget (som alla tas upp i artikel 86) beror många mycket viktiga aspekter av det rättsliga instrumentet och systemets funktion på framtida delegerade akter (26 befogenheter delegeras på obestämd tid). EESK anser att detta klart överskrider de gränser som fastställs i artikel 290 i fördraget och som definieras i meddelandet från Europeiska kommissionen om genomförandet av artikel 290 i fördraget om Europeiska unionens funktionssätt (9), vilket får konsekvenser för förordningens rättsäkerhet. EESK anser att ett visst antal befogenhetsdelegeringar skulle kunna regleras direkt av den europeiska lagstiftaren. Andra skulle kunna falla inom behörigheten för de nationella tillsynsmyndigheterna eller deras sammanslutning på europeisk nivå (10). Detta skulle stärka tillämpningen av subsidiaritetsprincipen och bidra till större rättssäkerhet.

3.12	EESK förstår kommissionens skäl att, i detta förslag, endast ta upp fysiska personers rättigheter med tanke på dess särskilda juridiska karaktär, men uppmanar kommissionen att även granska behandlingen av juridiska personers uppgifter, i synnerhet de som har en egen rättskapacitet.

4.   Särskilda kommentarer

Aspekter som välkomnas

4.1   Förslaget ligger i linje med syftet och målen för direktiv 95/46/EG, särskilt vad gäller vissa definitioner, huvuddragen i principerna om uppgifternas kvalitet och tillåtelse av uppgiftsbehandling, behandling av särskilda kategorier av personuppgifter samt vissa rättigheter till information och tillgång till uppgifterna.

4.2   Förslaget är nyskapande på ett positivt sätt när det gäller grundläggande aspekter som rör de nya definitionerna, ett förtydligande av villkoren för samtycke, särskilt när det gäller barn, och kategoriindelningen av nya rättigheter, t.ex. rätten till korrigering eller radering, i synnerhet ”rätten att bli bortglömd”, innebörden i rätten att göra invändningar och profilering samt det mycket detaljerade skyldigheterna för registeransvariga och registerförare, datasäkerhet och de allmänna rambestämmelserna för sanktioner, framför allt administrativa.

4.3   Kommittén välkomnar även strävan efter att skapa en effektiv institutionell ram för att säkerställa att de rättsliga bestämmelserna fungerar effektivt, både när det gäller företag (uppgiftsskyddsombud) och offentliga myndigheter i medlemsstaterna (oberoende tillsynsmyndigheter), samt det förstärkta samarbetet mellan dessa myndigheter och med kommissionen (genom inrättandet av Europeiska dataskyddsstyrelsen). Kommittén vill dock framhålla att de nationella, och i viss mån de regionala, uppgiftsskyddsombudens befogenheter måste bibehållas.

4.4   Slutligen ser kommittén positivt på att man uppmuntrar utarbetandet av uppförandekodexar och på den roll som certifiering och förseglingar eller märkningar för uppgiftsskydd ges.

Vad som kan förbättras

4.5   Artikel 3 – Territoriellt tillämpningsområde

4.5.1   Tillämpningsvillkoren i punkt 2 är alltför restriktiva, t.ex. med tanke på de läkemedelsföretag som är etablerade utanför Europa och som, för kliniska prövningar, vill få tillgång till kliniska uppgifter för berörda personer som är bosatta i EU.

4.6   Artikel 4 – Definitioner

4.6.1   Definitionen av ”samtycke”, som är hörnstenen i hela uppgiftsskyddssystemet, måste klargöras tydigare, framför allt vad som avses med ”en entydig affirmativ handling” (särskilt i den franska versionen).

4.6.2   Begreppet ”överföring av uppgifter”, som inte definieras någonstans, bör ingå med en definition i artikel 4.

4.6.3   Begreppet ”loyale” (på svenska ”korrekt”) i artikel 5 a i den franska versionen bör definieras.

4.6.4   Formuleringen ”som på ett tydligt sätt har offentliggjorts” (artikel 9.2 e) bör också definieras närmare.

4.6.5   Begreppet ”profilering”, som används genomgående i förslaget, bör även det definieras.

4.7   Artikel 6 – När personuppgifter får behandlas

4.7.1   Formuleringen ”för ändamål som rör den registeransvariges berättigade intressen” i strecksats f, som inte redan tagits upp i någon av de föregående punkterna, tycks vag och subjektiv. Formuleringen bör preciseras på ett bättre sätt i själva texten och inte lämnas till en delegerad akt (punkt 5), särskilt som strecksats f inte nämns i punkt 4 (detta är viktigt för exempelvis posttjänster och direktmarknadsföring (11)).

4.8   Artikel 7 – Samtycke

I punkt 3 bör det anges att ett återkallande av samtycket ska förhindra all framtida behandling samt att återkallandet inte påverkar lagligheten hos den behandling som skett innan samtycket drogs tillbaka.

4.9   Artikel 14 – Information

4.9.1   I punkt 4 b bör en maximal tidsgräns anges.

4.10   Artikel 31 – Anmälan av ett personuppgiftsbrott till tillsynsmyndigheten

4.10.1   Anmälan av samtliga personuppgiftsbrott kan äventyra systemets funktion och i slutändan innebära ett hinder för att de skyldiga ställs till ansvar.

4.11   Artikel 35 – Uppgiftsskyddsombud

4.11.1   Förutsättningarna för uppgiftsskyddsombudets arbete bör förtydligas på ett bättre sätt, särskilt vad gäller skyddet mot uppsägning, som bör vara tydligt definierat och sträcka sig längre än den period under vilken personen i fråga innehar denna befattning. Grundläggande villkor med tydliga krav bör fastställas för denna verksamhet. Uppgiftsskyddsombudet ska fritas från allt ansvar när denne har rapporterat oegentligheter till sin arbetsgivare eller till de nationella myndigheter som ansvarar för skydd av personuppgifter. Personalföreträdare bör ha rätt att delta direkt vid utnämningen av uppgiftsskyddsombudet och att regelbundet få information (12) om de problem som upptäckts och hur de lösts. Frågan om vilka resurser som ska avsättas för befattningen bör också klargöras.

4.12   Artikel 39 – Certifiering

4.12.1   Certifieringen bör tillhöra kommissionens uppgifter.

4.13   Artiklarna 82 och 33 – Behandling av personuppgifter i anställningsförhållanden

4.13.1   Det saknas en uttrycklig hänvisning till utvärderingen av resultaten (som inte heller nämns i artikel 20 om ”profilering”) i artikel 82. Det klargörs inte heller om detta bemyndigande också gäller utformningen av bestämmelser som rör uppgiftsskyddsombudet. Förbudet mot ”profilering” i anställningsförhållanden bör även anges när det gäller konsekvensbedömningen avseende uppgiftsskydd (artikel 33).

4.14   Artiklarna 81, 82, 83 och 84

4.14.1   I stället för ”Inom ramen för bestämmelserna i denna förordning” respektive ”Inom ramen för denna förordning” borde det stå ”I enlighet med denna förordning”.

Vad som saknas och som bör ingå

4.15   Tillämpningsområde

4.15.1   Eftersom det handlar om grundläggande rättigheter bör medlemsstaterna i samband med att lagstiftningen på särskilda områden harmoniseras i sin nationella lagstiftning kunna anta särskilda bestämmelser som saknas i förordningen i fråga eller som är mer fördelaktiga än bestämmelserna i förordningen, på samma sätt som redan är fallet för de områden som nämns i artiklarna 80–85.

4.15.2   Ip-adresser bör uttryckligen tas upp bland de personuppgifter som ska skyddas och inte bara nämnas i skälen.

4.15.3   Sökmotorerna, som tjänar det mesta av sina pengar på reklam, samlar in personuppgifter om sina användare och utnyttjar dessa uppgifter för kommersiella ändamål, och de bör därför ingå i förordningens tillämpningsområde och inte bara tas upp i skälen.

4.15.4   Det bör förtydligas att de sociala nätverken ingår i förordningens tillämpningsområde, inte bara när de sysslar med profilering för kommersiella ändamål.

4.15.5   Vissa kontroll- och filtreringsmetoder på internet, vars påstådda syfte är att bekämpa förfalskningar leder till att vissa internetanvändare profileras, registreras och får alla sina förehavanden övervakade, utan att ett särskilt rättsligt godkännande utfärdats, och dessa metoder bör därför också falla inom förordningens tillämpningsområde.

4.15.6   Det vore också önskvärt att EU:s institutioner och organ underställs kraven i förordningen.

4.16   Artikel 9 – Särskilda kategorier av personuppgifter

4.16.1   Det bästa tillvägagångssättet skulle vara att fastställa särskilda bestämmelser utifrån omständigheterna, situationerna och syftet med behandlingen av uppgifterna. Man bör tillägga att ”profilering” är förbjudet på dessa områden.

4.16.2   Principen om icke-diskriminering bör införas när det gäller behandling av känsliga personuppgifter för statistiska ändamål.

4.17   Andra (outnyttjade) möjligheter bör införas på följande områden:

—	Deltagande av personalföreträdare på alla nationella och europeiska nivåer vid utarbetandet av ”bindande företagsbestämmelser”, som hädanefter ska vara en förutsättning för internationella uppgiftsöverföringar (artikel 43).

—	Information till och samråd med det europeiska företagsrådet vid internationella överföringar av uppgifter om de anställda, i synnerhet till tredjeländer.

—	Rättighet för arbetsmarknadens parter och icke-statliga konsument- och människorättsorganisationer i EU att bli informerade och delta i utnämningen av medlemmar i Europeiska dataskyddsstyrelsen, som ska ersätta artikel 29-gruppen.

—	Rättighet för ovannämnda partner och organisationer på nationellt plan att bli informerade och delta i utnämningen av medlemmar i de nationella myndigheterna för dataskydd, vilket inte heller ingår i förslaget.

4.18   Artiklarna 74–77 – Grupptalan vid olagliga filer och skadestånd

4.18.1   De flesta brott mot uppgiftsskyddsbestämmelserna är av kollektiv natur, vilket innebär att sådana brott inte riktas mot en enda person utan mot en grupp eller mot samtliga registrerade personer. De konventionella möjligheterna till enskild domstolsprövning är inte lämpliga för att hantera denna typ av överträdelser. Även om artikel 76 tillåter varje organisation eller sammanslutning som har till uppgift att skydda registrerades rättigheter att, för en eller flera registrerades räkning, inleda de förfaranden som anges i artiklarna 74 och 75, gäller dock inte samma sak när det handlar om att begära ersättning eller skadestånd, eftersom artikel 77 i detta fall endast erbjuder enskilda personer denna möjlighet och inte tillåter ett förfarande med kollektiv representation eller grupptalan.

4.18.2   EESK vill därför påminna om att kommittén i flera yttranden under de senaste åren har påpekat att det finns ett behov av att omgående införa ett harmoniserat rättsligt instrument för grupptalan på EU-nivå, vilket är något som är nödvändigt inom många områden av EU-rätten och som redan existerar i flera medlemsstater.

Vad som inte kan godkännas

4.19   Artikel 8 – Barn

4.19.1   Eftersom ett ”barn” definieras som alla personer som är yngre än arton år (artikel 4.18) i enlighet med New York-konventionen är det oacceptabelt att man i artikel 8.1 ger barn över 13 år möjlighet att ”samtycka” till behandling av deras personuppgifter.

4.19.2   Även om EESK förstår att det finns ett behov av att fastställa särskilda regler för små och medelstora företag är det inte acceptabelt att kommissionen genom en delegerad akt helt enkelt kan befria dessa företag från skyldigheten att respektera barns rättigheter.

4.20   Artikel 9 – Särskilda kategorier

4.20.1   På samma sätt finns det i artikel 9.2 a ingen anledning till att barn ska ha möjlighet att ge sitt ”samtycke” till behandlig av uppgifter om deras nationella ursprung, politiska åsikter, religion, hälsa, sexualliv eller fällande domar i brottmål.

4.20.2   De uppgifter som personerna själva frivilligt har tillhandahållit, t.ex. på Facebook, bör inte vara undantagna från skydd, vilket skulle kunna vara en tolkning av artikel 9 e, utan bör åtminstone omfattas av rätten att bli bortglömd.

4.21   Artikel 13 – Rättigheter i fråga om mottagare

4.21.1   Undantaget på slutet – ”om inte detta visar sig vara omöjligt eller inbegripa en oproportionell ansträngning” – är varken motiverat eller godtagbart.

4.22   Artikel 14 – Information

4.22.1   Samma undantag förekommer i punkt 5 b och är även här oacceptabelt.

4.23   Artikel 19.1 – Rätt att göra invändningar

4.23.1   Undantagets vaga formulering, ”avgörande och berättigade skäl”, är oacceptabel och urholkar rätten att göra invändningar.

4.24   Artikel 20 – Profilering

4.24.1   Förbudet mot profilering bör inte begränsas till ”automatisk” behandling (13).

4.24.2   I punkt 2 a bör (i den franska versionen) formuleringen ”qui ont été invoquées” ersättas med ”qui ont été mises en place” (svenska: ”har vidtagits”).

4.25   Artikel 21 – Begränsningar

4.25.1   Formuleringen av punkt 1 c är fullständigt oacceptabel på grund av att den innehåller vaga och otydliga uttryck som ”ekonomiska eller finansiella intressen”, ”penning-, budget- eller skattefrågor” och ”skydd av marknadens stabilitet och integritet”, varav den sista formuleringen har lagts till i direktiv 95/46.

4.26   Artiklarna 25, 28 och 35 – Gränsen på 250 anställda

4.26.1   Gränsen på 250 anställda, som är avgörande för om vissa skyddsbestämmelser är tillämpliga, t.ex. utnämningen av ett uppgiftsskyddsombud, skulle leda till att knappt 40 % av arbetstagarna omfattas av denna bestämmelse. Samma begränsning vad gäller skyldigheten att bevara dokumentation skulle leda till att det stora flertalet anställda inte har någon möjlighet att övervaka användningen av deras personuppgifter och att det alltså inte längre skulle finnas någon kontroll. Kommittén föreslår att man ser över möjligheten att fastställa en lägre gräns, t.ex. det antal arbetstagare som i allmänhet krävs i medlemsstaterna för att upprätta ett organ som tillvaratar arbetstagarnas intressen inom företagen. Man skulle också kunna tänka sig ett annat tillvägagångssätt som, exempelvis, baseras på antalet filer med skyddade personuppgifter som behandlas under en viss tidsperiod, oavsett företagets eller avdelningens storlek.

4.27   Artikel 51 – Gemensam kontaktpunkt

4.27.1   Även om principen om en gemensam kontaktpunkt har införts för att förenkla för företagen och göra mekanismerna för skydd av personuppgifter effektivare kan den dock komma att leda till en klar försämring av uppgiftsskyddet för medborgarna i allmänhet och för arbetstagares uppgifter i synnerhet genom att den upphäver den nuvarande skyldigheten att se till att överföringen av personuppgifter omfattas av ett företagsavtal och godkännas av nationella kommittén för dataskydd (14).

4.27.2   Detta system tycks även gå emot strävan efter en lokal förvaltning och riskerar att frånta den enskilde möjligheten att få sitt ärende behandlat av den tillsynsmyndighet som är närmast och mest lättillgänglig.

4.27.3   Det finns därför skäl att även i fortsättningen låta myndigheten i den klagandes medlemsstat ha behörighet att behandla ärendet.

---

(1)  COM(2012) 11 final.

(2)  COM(2012) 9 final.

(3)  COM(2012) 10 final.

(4)  COM(2012) 12 final.

(5)  I meddelandena betonas att ”EU bör utveckla ett enhetligt system för skydd av personuppgifter som täcker alla unionens behörighetsområden” och ”se till att den grundläggande rätten till skydd för personuppgifter tillämpas på ett konsekvent sätt”, så att den enskilde har rätt att utöva effektiv kontroll över sina personuppgifter.

(6)  Se EESK:s yttrande CESE om ”Vidareutnyttjande av information från den offentliga sektorn”EUT C 191, 29.6.2012, s. 129.

(7)  EESK:s yttrande, EUT C 248, 25.8.2011, s. 123.

(8)  Yttrande från Europeiska datatillsynsmannen om ”Uppgiftsskyddspaket”, 7 mars 2012.

(9)  COM(2009) 673 final, 9.12.2009.

(10)  Se subsidiaritetstalan från franska senaten.

(11)  Det krävs förtydliganden om marknadsföring via personligt adresserade brev, eftersom tillämpningen av förordningen i dess nuvarande utformning skulle innebära att denna förbjuds, trots att det handlar om en riktad metod för att nå nya kunder som innebär ett relativt litet intrång.

(12)  Till exempel genom att regelbundna rapporter om uppgiftsskyddsombudets verksamhet skickas till personalföreträdarna eller till de valda arbetstagarrepresentanterna i styrelsen eller tillsynsnämnden, på nationell och/eller europeisk nivå, i de fall där sådana finns.

(13)  Se rekommendation CM/Rec(2010)13 från Europarådets ministerkommitté av den 23 november 2010.

(14)  I synnerhet de oberoende administrativa myndigheter som ansvarar för att kontrollera upprättandet av personregister. Deras befogenheter borde tvärtom utvidgas i det digitala samhället och inom de sociala nätverken, särskilt med tanke på det värde som utbytet av individuella profiler har i marknadsföringssammanhang.

---

---