Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52012XX0630(01)

Sammanfattning av Europeiska datatillsynsmannens yttrande av den 7 mars 2012 om reformpaketet om personuppgiftsskydd

EUT C 192, 30.6.2012, p. 7–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

30.6.2012   

SV

Europeiska unionens officiella tidning

C 192/7


Sammanfattning av Europeiska datatillsynsmannens yttrande av den 7 mars 2012 om reformpaketet om personuppgiftsskydd

(Den fullständiga texten i detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats http://www.edps.europa.eu)

2012/C 192/05

Den 25 januari 2012 antog kommissionen ett paket för reformering av EU:s regler om personuppgiftsskydd, inklusive ett förslag till förordning med generella regler för uppgiftsskydd samt ett förslag till direktiv om uppgiftsskydd inom brottsbekämpningssektorn.

Den 7 mars 2012 antog Europeiska datatillsynsmannen ett yttrande med detaljerade kommentarer om båda lagstiftningsförslagen. Hela texten till yttrandet finns på Europeiska datatillsynsmannens webbplats: http://www.edps.europa.eu

I yttrandet gör Europeiska datatillsynsmannen en kortfattad sammanfattning av förslagens innehåll och avger ett allmänt omdöme.

Europeiska datatillsynsmannen välkomnar den föreslagna förordningen eftersom den innebär ett mycket stort framsteg för uppgiftsskyddet i Europa. De föreslagna reglerna kommer att stärka individernas rättigheter och öka de registeransvarigas ansvar för hur de hanterar personuppgifter. Dessutom stärks de nationella tillsynsmyndigheternas befogenheter (var för sig och tillsammans) kraftigt.

Det gläder Europeiska tillsynsmannen att instrumentet förordning föreslås för de allmänna reglerna om uppgiftsskydd. Den föreslagna förordningen skulle bli direkt tillämpbar i medlemsstaterna och den skulle avskaffa många av de krångligheter och inkonsekvenser som uppkommer som resultat av de olika genomförandelagar som för närvarande gäller i de olika medlemsstaterna.

Europeiska datatillsynsmannen är emellertid kraftigt besviken på det föreslagna direktivet om personuppgiftsskydd inom brottsbekämpning. Europeiska datatillsynsmannen beklagar att kommissionen har valt att reglera frågan i ett självständigt lagstiftningsinstrument vilket ger en otillräcklig skyddsnivå som är betydligt sämre än den som ges i förslaget till förordning.

Ett positivt inslag i det föreslagna direktivet är att det omfattar uppgiftsbehandling på nationell nivå och därigenom får en bredare tillämpning än det nuvarande rambeslutet. Denna förbättring ger emellertid enbart ett mervärde om direktivet kraftigt förstärker uppgiftsskyddet på detta område, vilket det inte gör.

Den viktigaste svagheten hos paketet som helhet är att det inte åtgärdar bristen på konsekvens hos EU:s regler om personuppgiftsskydd. Paketet lämnar många av EU:s instrument för uppgiftsskydd opåverkade, till exempel reglerna för EU:s institutioner och organ, men också alla de specifika instrument som antagits på området för polisiärt och rättsligt samarbete i brottmålsärenden, såsom Prümbeslutet och reglerna för Europol och Eurojust. Sammantaget tar de föreslagna instrumenten dessutom inte i tillräcklig grad hänsyn till faktiska situationer inom båda dessa politiska områden, såsom användningen av PNR- eller telekommunikationsuppgifter i samband med brottsbekämpning.

En horisontell fråga när det gäller förslaget till förordning är relationen mellan EU:s och medlemsstaternas lagar. Den föreslagna förordningen når långt när det gäller att skapa en enda tillämplig lag för skyddet av personuppgifter i EU, men det finns fortfarande mer utrymme för samverkan och samarbete mellan EU:s lagstiftning och den nationella lagstiftningen än man kan ana vid ett första påseende. Europeiska datatillsynsmannen anser att detta i större utsträckning bör beaktas av lagstiftaren.

Ett annat generellt problem uppkommer genom de många bestämmelser som ger kommissionen behörighet att anta delegerade akter eller genomförandebestämmelser. Europeiska datatillsynsmannen välkomnar den strategin om den bidrar till en enhetlig tillämpning av förordningen, men har reservationer när det gäller i vilken utsträckning viktiga bestämmelser kan överlåtas till delegerade befogenheter. Flera av dessa delegeringar bör tas upp till ny prövning.

På detaljnivå pekar Europeiska datatillsynsmannen på de många positiva inslagen i förslaget till förordning, bland annat

ett förtydligande av den föreslagna förordningens tillämpningsområden,

kravet på ökad insyn för den registrerade personen och förstärkningen av rätten att göra invändningar,

de registeransvarigas generella skyldighet att se till och kunna visa att de följer förordningens bestämmelser,

förstärkningen av de nationella tillsynsmyndigheternas ställning och roll,

huvudlinjerna i mekanismen för enhetlighet.

De viktigaste negativa inslagen i förslaget till förordning är

den nya grunden för undantag från principen om ändamålsbegränsning,

möjligheterna att inskränka grundläggande principer och rättigheter,

skyldigheten för de registeransvariga att bevara dokumentationen för alla uppgiftsbehandlingsoperationer,

överföringen av uppgifter till tredje land genom undantagsbestämmelser,

kommissionens roll i mekanismen för enhetlighet,

den obligatoriska skyldigheten att införa administrativa påföljder.

När det gäller direktivet anser Europeiska datatillsynsmannen att förslaget i många avseenden inte uppfyller kravet på en hög och enhetlig uppgiftsskyddsnivå. Direktivet lämnar samtliga befintliga instrument på området intakta och i flera fall finns det ingen som helst motivering för att avvika från bestämmelserna i reglerna i den föreslagna förordningen.

Europeiska datatillsynsmannen understryker att även om det behövs vissa specifika regler på brottsbekämpningsområdet bör varje undantag från de allmänna uppgiftsskyddsreglerna motiveras utifrån en väl avvägd balans mellan allmänintresset av att upprätthålla gällande lagar och medborgarnas grundläggande rättigheter.

Europeiska datatillsynsmannen oroas framför allt av

bristen på klarhet i utformningen av principen om ändamålsbegränsning,

frånvaron av skyldigheter för de behöriga myndigheterna att kunna visa att de följer direktivet,

de svagt formulerade villkoren för att överföra uppgifter till tredjeländer,

tillsynsmyndigheternas alltför begränsade befogenheter.

Följande rekommendationer lämnas.

Rekommendationer om hela reformprocessen

Tidsplaneringen för andra fasen av reformprocessen bör meddelas offentligt så snart som möjligt.

Antingen bör regler för EU:s institutioner och organ införas i förslaget till förordning eller så bör anpassade regler redan ha trätt i kraft när förslaget till förordning gäller.

Ett förslag till gemensamma regler för den gemensamma utrikes- och säkerhetspolitiken som bygger på artikel 39 i FEU bör läggas fram snarast.

Rekommendationer till förslaget till förordning

Horisontella frågor

En bestämmelse som förtydligar det territoriella tillämpningsområdet för nationell lag enligt förordningen bör läggas till.

Delegeringen av befogenheter i artiklarna 31.5 och 31.6, 32.5 och 32.6, 33.6 och 33.7, 34.2 a samt 44.1 d och 44.7 bör omprövas.

Lämpliga och specifika åtgärder för mikroföretag och små och medelstora företag bör endast anges i utvalda genomförandebestämmelser och inte i de delegerade akter som nämns i artiklarna 8.3, 14.7, 22.4 och 33.6.

Definitionen av ”samhällsintresse” bör skärpas i de bestämmelser där det begreppet används. Särskilda samhällsintressen bör uttryckligen anges i samband med den avsedda behandlingen i varje relevant bestämmelse i förslaget (se framför allt skäl 87, artiklarna 17.5, 44.1 d och 81.1 b och c). Ytterligare krav skulle kunna omfatta att grunden enbart kan åberopas i särskilt pressande omständigheter eller av tvingande skäl som anges i lagen.

Kapitel I –   Allmänna bestämmelser

Artikel 2.2 d: Ett kriterium för att skilja på offentliga och privata aktiviteter bör införas, grundat på det oändliga antal personer som kan få tillgång till informationen.

Artikel 2.2 e: det bör anges att undantaget gäller behöriga offentliga myndigheter. Skäl 16 bör överensstämma med artikel 2.2 e.

Artikel 4.1 och 4.2: En tydligare förklaring bör läggas till i ett skäl. Det bör anges i förklaringen att så snart det finns en nära relation mellan en identifierare och en person så ska detta utlösa tillämpningen av uppgiftsskyddsprinciper.

Artikel 4.13: Kriterierna för att identifiera den registeransvariges huvudsakliga verksamhetsställe bör skärpas vad gäller den ”dominerande påverkan” från ett visst verksamhetsställe över andra verksamhetsställen och anpassas till befogenheten att tillämpa uppgiftsskyddsregler eller regler som är relevanta för uppgiftsskyddet. Alternativt kan definitionen fokusera på det huvudsakliga verksamhetsstället för koncernen som helhet.

Nya definitioner av ”överföring” och ”begränsning av behandling” bör införas.

Kapitel II –   Principer

Artikel 6: ett skäl bör läggas till som ytterligare förtydligar vad som avses med en uppgift som utförs ”av allmänt intresse eller som är ett led i myndighetsutövning” i artikel 6.1 e.

Artikel 6.4: bestämmelsen bör tas bort eller åtminstone begränsas till att gälla fortsatt behandling av uppgifter för inkompatibla syften på de grunder som anges i artikel 6.1 a och 6.1 d. Detta skulle också kräva en ändring av skäl 40.

En ny bestämmelse bör läggas till om representation för alla personer som saknar tillräcklig (rättslig) kapacitet eller som av andra skäl är oförmögna att agera.

Artikel 9: brott och frågor som inte har lett till domar bör ingå i de särskilda kategorierna av personuppgifter. Kravet på kontroll av officiell myndighet bör utsträckas till samtliga grunder som anges i artikel 9.2 j.

Artikel 10: det bör framgå tydligare i skäl 45 att den registeransvarige inte ska kunna åberopa en eventuell brist på information för att vägra ge tillgång till uppgifter om den informationen kan tillhandahållas av den registrerade personen för att medge sådan tillgång.

Kapitel III –   Den registrerades rättigheter

Artikel 14: information om förekomsten av vissa behandlingsoperationer som har särskild betydelse för enskilda personer bör tas med, liksom konsekvenserna av sådan behandling för enskilda personer.

Artikel 17: bestämmelsen bör utvecklas ytterligare så att den verkligen blir effektiv. Artikel 17.3 d bör tas bort.

Artikel 18: det faktum att utövandet av rättigheten inte påverkar skyldigheten i artikel 5 e att radera uppgifter när de inte längre behövs måste förtydligas. Se till att artikel 18.2 inte enbart begränsas till uppgifter som har lämnats av den registrerade personen på grundval av samtycke eller avtal.

Artikel 19: det bör förtydligas vad den registeransvarige ska göra vid en eventuell tvist med den registrerade personen och bestämmelsen bör anpassas till artikel 17.1 c. Vad som kan utgöra ”avgörande och berättigade skäl” bör förklaras i ett skäl.

Artikel 20: den enskildes rätt att lämna synpunkter bör anges i artikel 20.2 a, på samma sätt som i nuvarande artikel 15 i direktiv 95/46/EG.

Artikel 21: detaljerade garantier för att det i nationell lag måste anges vilka syften som eftersträvas med behandlingen, vilken kategori av personuppgifter som ska behandlas, det specifika syftet med och metoderna för uppgiftsbehandlingen, den registeransvarige, kategorierna av personer som har behörighet att behandla uppgifterna, vilket förfarande som ska följas i behandlingen och skydd mot all godtycklig inblandning från de offentliga myndigheterna bör införas. Som en ytterligare skyddsåtgärd bör information till de registrerade personerna om en begränsning och om deras rätt att hänvisa frågan till tillsynsmyndigheten för att erhålla indirekt tillgång inkluderas. Det bör anges i artikel 21 att möjligheten att tillämpa restriktioner på den behandling som utförs av privata registeransvariga i brottsbekämpningssyfte inte bör tvinga dem att lagra andra uppgifter än de som är strikt nödvändiga för det ursprungliga syftet eller ändra sin IT-arkitektur. Den grund som anges i artikel 21.1 e bör tas bort.

Kapitel IV –   Registeransvarig och registerförare

Artikel 22: det bör göras en uttrycklig hänvisning till ansvarsprincipen, under alla omständigheter bör det hänvisas till skäl 60. Artiklarna 22.1 och 22.3 bör slås samman och det bör uttryckligen nämnas att åtgärderna ska vara lämpliga och effektiva. En allmän bestämmelse bör införas före de speciella skyldigheterna i artikel 22.2. Bestämmelsen bör utveckla begreppet ”behandlingskontroll”, inklusive fördelning av ansvarsområden, utbildning av anställda och adekvata instruktioner och det bör ingå ett krav på att den registeransvarige ska ha översikt över och en allmän förteckning över behandlingsåtgärderna inom ramen för hans ansvarsområde. I ett nytt stycke bör det anges att när den registeransvarige beslutar om eller är skyldig att offentliggöra en regelbunden rapport över sina aktiviteter ska den rapporten också innehålla en beskrivning av de policyer och åtgärder som anges i artikel 22.1.

Artikel 23: i artikel 23.2 och skäl 61 bör det införas en hänvisning till att de registrerade personerna i princip ska kunna välja att medge användning av sina personuppgifter i större utsträckning.

Artikel 25.2 a: undantaget för adekvata tredjeländer bör tas bort.

Artikel 26: en skyldighet för registerföraren att ta hänsyn till principen om uppgiftsskydd i samband med utformningen av förteckningen över specifikationer i artikel 26.2 bör läggas till.

Artikel 28: undantagen i artikel 28.4 bör omprövas eller tas bort.

Artikel 30: artikel 30 bör förtydligas för att garantera det övergripande ansvaret för den registeransvarige och en skyldighet för den registeransvarige att anta en strategi för informationssäkerhet inom organisationen bör läggas till, i förekommande fall kompletterad med en informationssäkerhetspolicy som är speciellt avsedd för den uppgiftsbehandling som utförs. En uttrycklig hänvisning till konsekvensbedömning av uppgiftsbehandlingen bör göras i artikel 30.

Artiklarna 31 och 32: kriterierna och kraven för att fastställa överträdelser av dataskyddsbestämmelserna och de omständigheter när sådana överträdelser ska meddelas bör specificeras. Tidsgränsen på 24 timmar i artikel 31 bör ändras till högst 72 timmar.

Artikel 33: förteckningen över behandlingsoperationer i artikel 33.2 b, c och d bör inte begränsas till storskalig behandling. Artikel 33.5 bör anpassas till skäl 73 och artikel 33.6 begränsas till att enbart gälla icke nödvändiga uppgifter. Det bör klargöras att ett företags storlek aldrig kan upphäva skyldigheten att utföra en konsekvensbedömning av uppgiftsskyddet i samband med de behandlingsåtgärder som medför särskilda risker.

Artikel 34: artikel 34.1 bör flyttas till kapitel V i den föreslagna förordningen.

Artiklarna 35–37: tröskeln på 250 anställda i artikel 35.1 bör sänkas och tillämpningsområdet för artikel 35.1 c förtydligas. Garantier bör läggas till, framför allt starkare krav för uppgiftsskyddsombudets avsättande. I artikel 36.1 bör det anges att uppgiftsskyddsombudet ska få tillgång till all information som är relevant och till de lokaler som krävs för att han eller hon ska kunna utföra sina åligganden. Uppgiftsskyddsombudets uppgift att öka medvetenheten bör anges i artikel 37.1 a.

Kapitel V –   Överföring till tredjeländer

Det bör anges i skäl 79 att bestämmelsen att förordningen inte påverkar internationella avtal är tidsbegränsad och enbart gäller befintliga internationella avtal.

En övergångsklausul som medger en revidering av sådana internationella avtal inom en viss tidsfrist för att anpassa dem till förordningen bör införas.

Artikel 41 (och skäl 82): det bör tydligare framgå att om det beslutas att uppgiftsskyddet i ett visst land inte är adekvat får överföring endast tillåtas om det föreligger lämpliga skyddsåtgärder eller om en sådan överföring omfattas av de undantag som anges i artikel 44.

Artikel 42: möjligheten att använda icke-rättsligt bindande instrument för att skapa lämpliga skyddsåtgärder måste vara klart motiverad och enbart begränsas till fall där nödvändigheten att utnyttja sådana instrument har visats.

Artikel 44 (och skäl 87): det bör läggas till att möjligheten att överföra uppgifter enbart får gälla tillfälliga överföringar och måste bygga på en noggrann bedömning av alla omständigheter kring överföringen från fall till fall. Hänvisningen till ”lämpliga åtgärder” i artikel 44.1 h och artikel 44.3 bör ersättas eller förtydligas.

Skäl 90: skälet bör ändras till en materiell bestämmelse. Lämpliga garantier som omfattar rättsliga garantier samt uppgiftskyddsåtgärder bör införas för dessa fall.

Kapitel VI och VII –   Oberoende tillsynsmyndigheter, samarbete och enhetlighet

Artikel 48: det bör anges att de nationella parlamenten har en roll i förfarandet för att utse medlemmar av tillsynsmyndigheterna.

Artikel 52.1: skyldigheten att utveckla riktlinjer för användningen av de olika tvångsbefogenheterna, vid behov samordnade på EU-nivå i styrelsen, bör ingå. Detta skulle eventuellt även kunna inkluderas i artikel 66.

Artikel 58: ordet ”omedelbart” i artikel 58.6 bör ersättas med ”utan dröjsmål” och tidsfristen på en månad i artikel 58.7 bör förlängas till två månader/åtta veckor.

Artikel 58: majoritetsregeln bör ges ökad tyngd genom att en förfrågan från en viss myndighet kan bli föremål för omröstning om den aktuella frågan inte avser någon av de huvudåtgärder som beskrivs i artikel 58.2.

Artiklarna 59 och 60: kommissionens befogenheter bör begränsas genom att möjligheten att åsidosätta ett beslut från en nationell tillsynsmyndighet i en viss fråga genom en genomförandeakt tas bort. Kommissionens roll i ett inledande skede bör vara att se till att styrelsen tar upp en viss fråga på det vis som anges i artikel 58.4, och i ett senare skede befogenheten att anta yttranden. En hänvisning till ett ytterligare förfarande i domstolen i samband med ett överträdelseförfarande eller begäran om interimsåtgärder, till exempel ett beslut om upphävande, bör införas.

Artikel 66: det bör läggas till att styrelsen ska tillfrågas i samband med bedömning av om ett land är adekvat eller inte.

Den nuvarande bedömningen av effekten av Europeiska dataskyddsstyrelsens sekretariat på finansiella och personella resurser bör omprövas (se bilagan till detta yttrande på Europeiska datatillsynsmannens webbplats).

Kapitel VIII –   Rättsmedel, ansvar och sanktioner

Artiklarna 73 och 76: det bör tydligare anges vilket mandat organisationen måste erhålla från de registrerade personerna och vilken grad av formalitet som krävs. En bredare bestämmelse om kollektiva åtgärder bör införas.

Artikel 74.4: typen av påverkan på en registrerad person som skulle kunna utlösa förfaranden bör begränsas till en mer uttalad risk för påverkan på den registrerades rättigheter.

Artikel 75.2: det bör anges att undantaget inte gäller en offentlig myndighet i ett tredjeland.

Artikel 76.3 och 76.4: ett mer systematiskt informationsförfarande bör införas på domstolsnivå.

Samverkan med Bryssel I-förordningen bör klargöras.

Kompatibiliteten för användningen av information som erhållits från den registeransvarige (på grundval av artikel 53) med den allmänna rätten att slippa självangivelse bör förtydligas.

Artikel 77: det bör läggas till att en registrerad person alltid ska kunna kontakta den registeransvarige, oavsett var och hur skadan uppkom när det gäller rätten till ersättning. Det bör läggas till att ersättningen därefter ska betalas av den registeransvarige och registerföraren när väl ansvaret har fördelats mellan dem. Det bör också anges att detta även bör gälla ersättning för immateriella skador eller lidande.

En bestämmelse bör införas som bygger på begreppet ekonomisk enhet eller gemensam verksamhet för att göra det möjligt att ställa en koncern till ansvar för en överträdelse som begåtts av ett dotterbolag.

Artikel 79: en bedömningsmarginal för tillsynsmyndigheterna med avseende på administrativa påföljder bör införas. Specifikationer som understryker de omständigheter under vilka administrativa påföljder ska utdömas bör läggas till. Det bör klart framgå att underlåtenhet att uppfylla en direkt order från en tillsynsmyndighet normalt ska medföra en kraftigare administrativ påföljd än en enstaka överträdelse av samma generella bestämmelse.

Kapitel IX –   Bestämmelser om särskilda situationer vid behandling av personuppgifter

Artikel 80: artikel 80 bör skrivas om så att det framgår att medlemsstaterna ska medge undantag från bestämmelserna i förordningen på det sätt som anges om sådana undantag är nödvändiga för att förena rätten till uppgiftsskydd med rätten till yttrandefrihet. Det bör läggas till i bestämmelsen eller i ett skäl att det centrala i de båda grundläggande rättigheterna inte får ta skada när de ska förenas.

En materiell bestämmelse bör läggas till om offentlig tillgång till dokument i vilken det anges att personuppgifter i dokument som förvaras hos offentliga myndigheter och organ får yppas offentligt om detta 1. anges i EU:s lagstiftning eller nationell lag, 2. är nödvändigt för att förena rätten till uppgiftsskydd med rätten till offentlig tillgång till officiella dokument och 3. innebär en rimlig balans mellan de olika intressen som berörs.

I artiklarna 81, 82, 83 och 84 bör frasen ”inom ramen för bestämmelserna i denna förordning” ersättas med ”utan att det ska påverka tillämpningen av denna förordning”.

Artikel 81: Artiklarna 81.1.3 och 9.3 bör harmoniseras och omfattningen och innebörden av artikel 81 förtydligas. Ytterligare vägledning bör ges om kravet på medgivande, fastställandet av ansvarsområden och säkerhetskraven.

Artikel 83: ytterligare säkerhetsåtgärder bör läggas till när särskilda kategorier av uppgifter behandlas. Det bör klart framgå av artikel 83.1 att utgångspunkten i forskningssyfte måste vara att sådan behandling görs med användning av anonymiserade uppgifter. Betydelsen av ordet ”åtskilda” bör klargöras och det bör införas garantier för att sådan förvaring faktiskt skyddar de registrerade personerna. I artikel 83.1 b bör det införas en hänvisning till ”uppgifter som gör det möjligt att hänföra viss information till en registrerad person” i stället för ”uppgifter som gör det möjligt att hänföra information till en identifierad eller identifierbar registrerad person”. Möjligheten att begränsa enskilda personernas rättigheter via delegerade akter bör uteslutas.

Rekommendationer till förslaget till direktiv

Horisontella frågor

Artikel 59: särskilda unionsakter på området för straffrättsligt samarbete och polissamarbete bör ändras senast när direktivet träder i kraft.

En ny bestämmelse om en utvärderingsmekanism för regelbunden evidensbaserad utvärdering av huruvida uppgiftsbehandlingsaktiviteter av en viss omfattning utgör en nödvändig och proportionell åtgärd i syfte att förebygga, utreda, avslöja och sakföra brott bör införas.

En ny bestämmelse bör läggas till för att se till att överföring av personuppgifter från de brottsbekämpande myndigheterna till andra offentliga organ eller privata aktörer enbart tillåts under särskilda och strikta förhållanden.

En ny bestämmelse om särskilda skyddsåtgärder i samband med behandling av uppgifter om barn bör införas.

Kapitel I och II –   Allmänna bestämmelser och principer

Artikel 3.4: artikeln bör förtydligas ytterligare i enlighet med artikel 17.5 i förslaget till förordning.

Artikel 4 b: ett förtydligande bör göras i ett skäl som anger att begreppet ”korrekt användande” ska tolkas restriktivt.

Artikel 4 f: bör anpassas till artikel 5 f i förslaget till förordning. Artiklarna 18 och 23 bör ändras i enlighet därmed.

Artikel 5: icke-misstänkta personer bör anges som en separat kategori. Frasen ”så långt det är möjligt” bör tas bort och konsekvenserna av kategoriseringen specificeras.

Artikel 6: frasen ”så långt det är möjligt” bör tas bort i punkterna 1 och 2.

Artikel 7 a: artikeln bör ändras till en fristående bestämmelse som anger att all uppgiftsbehandling har en rättslig grund och därigenom uppfyller kraven i EU:s stadga om de grundläggande rättigheterna och Europakonventionen.

Artikel 7 b–d: bör ersättas med en ytterligare separat bestämmelse med en uttömmande beskrivning av skälen i form av allmänintresse för vilka ett undantag till principen om ändamålsbegränsning kan tillåtas.

En ny bestämmelse bör läggas till om behandlingen av personuppgifter för historiska, statistiska och vetenskapliga syften.

En skyldighet bör införas för den behöriga myndigheten att inrätta mekanismer som garanterar att tidsgränser inrättas för radering av personuppgifter och för en periodisk granskning av behovet av lagring av uppgifterna, inklusive att ange lagringsperioder för de olika typerna av personuppgifter samt utföra regelbundna kontroller av deras kvalitet.

Artikel 8: den strikta ordalydelsen i skäl 26 bör inkluderas i artikel 8. Det bör anges vad som avses med lämpliga åtgärder som går utöver normala skyddsåtgärder.

Kapitel III –   Den registrerades rättigheter

Artikel 10: hänvisningen till ”alla rimliga åtgärder” bör tas bort i artiklarna 10.1 och 10.2. Det bör anges en uttrycklig tidsgräns i artikel 10.4 samt att informationen ska ges till den registrerade senast inom en månad efter det att begäran har mottagits. Ordet ”betungande” i artikel 10.5 bör ersättas med ”uppenbart överdriven” och ytterligare vägledning ges om detta begrepp i ett skäl.

Det bör läggas till en ny bestämmelse med krav på att den registeransvarige ska meddela alla rättelser, raderingar eller ändringar av uppgifterna som antingen utförts eller inte utförts i enlighet med artiklarna 15 eller 16 till alla mottagare till vilka uppgifterna har lämnats, om inte detta visar sig vara omöjligt eller medför en oproportionellt stor arbetsinsats.

Artiklarna 11 och 13: en mening bör läggas till i artikel 11.4 och artikel 13.1 vari anges att den registeransvarige i varje enskilt fall genom en konkret och individuell undersökning måste bedöma om partiella eller kompletta restriktioner för någon av grunderna gäller. Restriktiv tolkning av giltigheten för artikel 11.5 och artikel 13.2 måste garanteras. Ordet ”utelämnas” bör tas bort i artikel 11.4 och skäl 33.

Artiklarna 15 och 16: skäl och villkor för att begränsa rätten att ändra och radera uppgifter bör läggas till.

Artikel 16: frasen ”inskränka behandlingen av personuppgifterna” bör användas i stället för ”märka personuppgifterna” i artikel 16.3. En skyldighet för den registeransvarige att informera den registrerade innan några restriktioner för behandlingen tas bort bör införas i artikel 16.

Kapitel IV –   Registeransvarig och registerförare

Artikel 18: det bör anges, även i artikel 4 f, att kravet på dokumentation har sin upprinnelse i den allmänna skyldigheten att kunna demonstrera att direktivet efterlevs. Ett krav på att spara information om den rättsliga grunden för överföring av uppgifterna bör läggas till med en fyllig förklaring framför allt om överföringen bygger på artiklarna 35 eller 36.

Artikel 19: begreppet ”inbyggt uppgiftsskydd” bör beskrivas.

Artikel 23.2: bör anpassas till artikel 28.2 i förslaget till förordning.

Artikel 24: identiteten för dem som tar emot uppgifterna bör anges.

En ny bestämmelse bör införas som kräver att de behöriga myndigheterna utför en konsekvensbedömning av uppgiftsbehandlingen om inte en särskild utvärdering, som motsvarar en konsekvensbedömning, redan har utförts i samband med lagstiftningsförfarandet.

Artikel 26: bör anpassas bättre till de förfaranden som beskrivs i artikel 34.2 i förslaget till förordning.

Artikel 30: frågan om intressekonflikter bör tas upp och en mandatperiod på minst två år fastställas.

Artikel 31: det bör anges en lämplig administrativ anknytning med vederbörlig hänsyn till uppgiftsskyddsombudets självständiga ställning och framför allt i syfte att undvika eventuella ojämlika relationer med eller påverkan från registeransvariga i överordnad ställning.

Kapitel V –   Överföring till tredjeländer

Artikel 33: kravet att överföringen endast får ske om den registeransvarige i tredjelandet eller den internationella organisationen är en behörig myndighet enligt vad som anges i förslaget till direktiv bör läggas till.

Artikel 35: artikel 35.1 b bör tas bort eller kravet på ett förhandsgodkännande från tillsynsmyndigheten bör anges som en minimiåtgärd.

Artikel 36: det bör förtydligas i ett skäl att alla undantag som utnyttjas för att motivera en överföring måste tolkas restriktivt och inte får medge upprepad, massiv och strukturell överföring av personuppgifter. Även ett enskilt fall får inte medge massöverföring av uppgifter och bör begränsas till uppgifter som är strikt nödvändiga. Ytterligare säkerhetsåtgärder, såsom skyldigheten att särskilt dokumentera överföringen, bör läggas till.

Artiklarna 35 och 36: det bör läggas till en bestämmelse som anger att om det beslutas att landet inte är adekvat måste överföringar bygga på i) artikel 35.1 a om det finns ett juridiskt bindande internationellt avtal som medger överföring under vissa omständigheter som garanterar ett adekvat skydd, eller ii) undantagen i artikel 36 a eller c.

Kapitel VI och VII –   Kontrollmekanismer

Artikel 44: det krävs mer vägledning i ett skäl om vad som ska täckas av begreppet ”dömande verksamhet”.

Artikel 46: tillsynsmyndigheternas befogenheter gentemot nationella polisiära myndigheter bör anpassas till befogenheterna i förslaget till förordning. Artikel 46 a bör anpassas till artikel 53 i förslaget till förordning och ”så som” i artikel 46 a och b bör ändras till ”inklusive”.

Artikel 47: det bör anges att de årliga aktivitetsrapporterna från tillsynsmyndigheterna måste läggas fram i det nationella parlamentet och offentliggöras.

Artikel 48: bestämmelserna i artikel 55.2–7 i förslaget till förordning bör inkluderas i artikel 48.

Behovet av en mekanism för förstärkt samarbete bör även beaktas i tillämpningsområdet för förslaget till direktiv.

(Förkortad version. Den fullständiga texten i detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats http://www.edps.europa.eu)

Utfärdat i Bryssel den 7 mars 2012.

Peter HUSTINX

Europeiska datatillsynsmannen


Top