27.10.2007   

SV

Europeiska unionens officiella tidning

C 255/1

1.

Den 7 mars 2007 överlämnades meddelandet från kommissionen till Europaparlamentet och rådet om uppföljningen av arbetsprogrammet för ett bättre genomförande av dataskyddsdirektivet (3) av kommissionen till datatillsynsmannen. Datatillsynsmannen lämnar detta yttrande i enlighet med artikel 41 i förordning (EG) nr 45/2001.

2.

I meddelandet upprepas att direktiv (4) 95/46/EG är en milstolpe i skyddet av personuppgifter, och direktivet och dess genomförande diskuteras i tre kapitel om tidigare förhållanden, den nuvarande situationen, och framtiden. Meddelandets centrala slutsats är att direktivet inte bör ändras. Genomförandet av direktivet bör förbättras ytterligare genom andra policyinstrument som i de flesta fall inte bör vara bindande.

3.

Datatillsynsmannens yttrande följer dispositionen i meddelandet. Än viktigare är att han ansluter sig till kommissionens centrala slutsats att direktivet inte bör ändras.

4.

Det finns dock även pragmatiskt grundade skäl till att datatillsynsmannen intar denna ståndpunkt. Datatillsynsmannens utgångspunkter är följande:

5.

Dessa utgångspunkter är viktiga eftersom man måste komma ihåg att direktivet ska tillämpas i ett dynamiskt sammanhang. Dels förändras Europeiska unionen: Det fria informationsflödet mellan medlemsstaterna och mellan medlemsstaterna och tredjeländer har ökat och kommer att bli en allt viktigare faktor. Dessutom förändras samhället. Informationssamhället utvecklas och får allt mer karaktären av ett övervakningssamhälle (5). Detta medför ett ökat behov av ett effektivt skydd av personuppgifter för att klara av dessa nya förutsättningar på ett helt tillfredsställande sätt.

6.

Vid sin bedömning av meddelandet kommer datatillsynsmannen att ta upp följande aspekter som är relevanta i samband med den utveckling som berörs ovan:

7.

Den första rapporten från den 15 maj 2003 om genomförandet av dataskyddsdirektivet innehöll ett arbetsprogram för ett bättre genomförande av dataskyddsdirektivet med en lista på tio initiativ som skulle genomföras 2003 och 2004. I meddelandet beskrivs hur var och en av dessa åtgärder har genomförts.

8.

På grundval av en genomgång av det arbete som utförts enligt arbetsprogrammet görs i meddelandet en positiv bedömning av de förbättringar som uppnåtts vid direktivets genomförande. I huvudsak är kommissionens bedömning enligt rubrikerna i kapitel 2 (”idag”) i meddelandet att genomförandet har förbättrats, trots att det ännu inte har genomförts i tillräcklig utsträckning av en del medlemsstater. Vissa avvikelser förekommer fortfarande men de faller i de flesta fall inom ramen för det handlingsutrymme som fastställs i direktivet och utgör i vilket fall inte något verkligt problem för den inre marknaden. De föreskrivna juridiska lösningarna i direktivet har i sak visat sig vara lämpliga för att garantera den grundläggande rätten till dataskydd och har samtidigt kunnat anpassas till den tekniska utvecklingen och samhällets krav.

9.

Datatillsynsmannen instämmer i denna positiva bedömning som helhet. Han uttrycker i synnerhet sitt erkännande för det betydande arbete som utförts när det gäller uppgiftsflödet över gränserna: Uppgifter om adekvat skydd vad avser tredjeländer, nya standardavtalsklausuler, antagandet av bindande regler för företag, diskussionen om en mer enhetlig tolkning av artikel 26.1 i direktivet och förbättring av anmälningsförfarandet enligt artikel 26.2 är förhållanden som alla leder till att den internationella överföringen av personuppgifter underlättas. Det framgår emellertid av domstolens rättspraxis (6) att vissa problem återstår att lösa på detta avgörande område för att ta hänsyn till utvecklingen inom såväl teknik som brottsbekämpning.

10.

I meddelandet visas också att genomförande av direktivet och medvetandehöjande åtgärder är nyckelfaktorer när det gäller att främja ett bättre genomförande och att de kan utnyttjas i större utsträckning. Vidare utgör utbytet av bästa praxis och harmoniseringen vad avser anmälningsförfaranden och bestämmelser om information goda förebilder när det gäller att minska byråkratin och kostnaderna för företagen.

11.

Dessutom bekräftas vid analysen av tidigare förhållanden att förbättringarna inte kan åstadkommas om inte ett stort antal intressenter medverkar. Kommissionen, dataskyddsmyndigheterna och medlemsstaterna är centrala aktörer vid de flesta av de genomförda insatserna. Privata aktörer får emellertid en allt viktigare roll, särskilt när det gäller att främja självreglering och europeiska uppförandekoder eller att utveckla integritetsfrämjande teknik.

12.

Det finns flera skäl att ställa sig bakom kommissionen i dess slutsats att inget förslag till ändring av direktivet bör planeras för närvarande eller på kort sikt.

13.

Kommissionen motiverar denna slutsats med i huvudsak två skäl. För det första har direktivet inte tillämpats fullt ut. Det går fortfarande att i hög grad förbättra direktivets genomförande i medlemsstaternas jurisdiktioner. För det andra konstateras att trots att direktivet ger medlemsstaterna ett visst handlingsutrymme finns det ingenting som tyder på att avvikelserna inom detta utrymme innebär något verkligt problem för den inre marknaden.

14.

Mot bakgrund av dessa båda skäl formulerar kommissionen sin slutsats enligt följande. Den förklarar hur direktivet bör fungera, med betoning på att förtroende ska garanteras, och konstaterar sedan att direktivet leder till en viss kvalitetsnivå, är tekniskt neutralt och även framgent erbjuder en god och lämplig lösning (7).

15.

Datatillsynsmannen välkomnar det sätt på vilket slutsatsen formuleras men anser att den skulle kunna skärpas än mer med hänvisning till ytterligare två förhållanden:

16.

Att fysiska personer har en grundläggande rätt till skydd av sina personuppgifter erkänns i artikel 8 i unionens stadga om de grundläggande rättigheterna och fastställs bl.a. i Europarådets konvention 108 av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter. Direktivet utgör väsentligen en ram med huvudpunkterna i skyddet av denna grundläggande rättighet genom att rättigheterna och friheterna i konventionen preciseras och förstärks (8).

17.

I ett demokratisk samhälle är syftet med en grundläggande rättighet att oavsett omständigheterna skydda medborgaren. Huvudprinciperna bakom en sådan grundläggande rättighet bör inte lätt kunna ändras med hänvisning till samhällsutvecklingen eller de styrandes politiska preferenser. Exempelvis kan terroristorganisationers hot mot samhället leda till ett annat resultat i bestämda fall på grund av att större ingrepp i en persons grundläggande rättighet kan krävas men de får aldrig påverka de väsentliga principerna bekom själva rättigheterna eller upphäva eller i oskälig omfattning begränsa den enskildes möjlighet att utöva rättigheten.

18.

Det andra som kännetecknar direktivet är att det är avsett att främja ett fritt informationsflöde på den inre marknaden. Även detta andra syfte kan anses vara grundläggande på en allt mer utvecklad inre marknad utan inre gränser. Harmonisering av viktiga bestämmelser i nationell lagstiftning är ett av huvudinstrumenten för att säkerställa att denna inre marknad kommer till stånd och fungerar väl. Den konkretiserar det ömsesidiga förtroende medlemsstaterna hyser för varandras nationella rättssystem. Även av dessa skäl bör ändringar diskuteras i vederbörlig omfattning. Ändringar kan påverka det ömsesidiga förtroendet.

19.

Ett tredje kännetecken för direktivet är att det måste ses som en allmän ram för utformning av specifika rättsliga instrument. Dessa särskilda instrument omfattar genomförandeåtgärder för den allmänna ramen och särskilda ramar för specifika områden. Direktivet om integritet och elektronisk kommunikation, 2002/58/EG (9), utgör en sådan särskild ram. När så är möjligt bör förändrade utvecklingstendenser i samhället leda till ändring av genomförandeåtgärderna eller de särskilda rättsliga ramarna men däremot inte av den allmänna ram som dessa bygger på.

20.

Enligt datatillsynsmannen är slutsatsen att inte nu ändra direktivet även den logiska följden av de allmänna principerna för god förvaltning och lagstiftningspolicy. Lagstiftningsförslag bör – oavsett om de inbegriper nya områden för gemenskapsåtgärder eller medför ändring av gällande lagstiftningslösningar – läggas fram endast om nödvändigheten och proportionaliteten kan påvisas i tillräcklig omfattning. Inget lagstiftningsförslag bör läggas fram om samma resultat kan uppnås med hjälp av andra mindre långtgående verktyg.

21.

Under rådande omständigheter har det inte kunnat visas att en ändring av direktivet uppfyller kravet på nödvändighet och proportionalitet. Datatillsynsmannen erinrar om att direktivets bestämmelser utgör en allmän ram för dataskyddet enligt gemenskapsrätten. Det måste garantera dels skyddet av den enskildes rättigheter och friheter, framför allt rätten till integritetsskydd, vid behandling av personuppgifter, dels det fria flödet av personuppgifter på den inre marknaden.

22.

Denna allmänna ram bör inte ändras förrän den har genomförts fullt ut i medlemsstaterna, såvida inte det finns klara indikationer på att direktivets syfte inte kan uppnås inom den gällande ramen. Enligt datatillsynsmannen har kommissionen under nuvarande omständigheter nöjaktigt styrkt att direktivets alla möjligheter ännu inte har uttömts (se kapitel III i detta yttrande). Det finns inte heller något som talar för att det är omöjligt att uppnå syftena inom nuvarande ram.

23.

Det måste även i framtiden garanteras att principerna för dataskydd skyddar fysiska personer effektivt med hänsyn till det dynamiska sammanhang som direktivet genomförs i (se punkt 5 i detta yttrande) och de aspekter som tas upp i punkt 6 i detta yttrande: förbättrat genomförande, samspel med tekniken, internationellt integritetsskydd och internationell jurisdiktion, dataskydd och brottsbekämpning samt ett reformfördrag. Detta behov av en fullständig tillämpning av dataskyddsprinciperna anger nivån för framtida ändringar av direktivet. Datatillsynsmannen påminner på nytt om att ändringar av direktivet inte verkar gå att undvika på längre sikt.

24.

När det gäller det materiella innehållet i eventuella framtida åtgärder kommer datatillsynsmannen redan nu med vissa synpunkter som han anser vara viktiga för varje form av framtida system för dataskydd i Europeiska unionen. Det rör sig om bl.a. följande synpunkter:

25.

I meddelandet nämns, i fråga om de utmaningar som ny teknik innebär, den pågående översynen av direktiv 2002/58/EG och det eventuella behovet av mer specifika regler för att hantera dataskyddsproblem om uppstår till följd av ny teknik som Internet och RFID (10). Datatillsynsmannen välkomnar denna översyn och ytterligare insatser, men de bör enligt honom inte endast avse den tekniska utvecklingen utan även beakta det dynamiska sammanhanget i dess helhet och på lång sikt även omfatta direktiv 95/46/EG. Vidare krävs ökad fokusering inom detta område. Tyvärr lämnar meddelandet en rad frågor obesvarade:

Datatillsynsmannen föreslår att kommissionen lämnar uppgifter om detta.

26.

Framtida ändringar måste föregås av ett fullständigt genomförande av direktivets nuvarande bestämmelser. En förutsättning för ett fullständigt genomförande är att alla rättsliga krav i direktivet är uppfyllda. I meddelandet nämns (11) att en del medlemsstater har underlåtit att införliva en rad viktiga bestämmelser från direktivet och det är särskilt bestämmelserna om tillsynsmyndigheternas oberoende som avses. Det är kommissionens sak att övervaka överensstämmelsen och att när den anser lämpligt använda sig av sina befogenheter enligt artikel 226 i EG-fördraget.

27.

Kommissionen planerar ett tolkningsmeddelande om vissa bestämmelser, särskilt de bestämmelser som kan leda till formella överträdelseförfaranden enligt artikel 226 i EG-fördraget.

28.

Genom direktivet införs dessutom andra mekanismer för ett förbättrat genomförande. Framför allt har de uppgifter för artikel 29-gruppen som räknas upp i artikel 30 i direktivet utarbetats i detta syfte. De är avsedda att stimulera genomförandet av en hög och harmoniserad nivå av dataskydd i medlemsstaterna som går utöver vad som egentligen krävs för fullgöra skyldigheterna i direktivet. Arbetsgruppen har fyllt denna funktion under årens lopp och därvid utarbetat ett stort antal yttranden och andra dokument.

29.

Enligt datatillsynsmannen bör följande båda villkor vara uppfyllda för ett fullständigt genomförande av direktivet:

Datatillsynsmannen betonar att båda villkoren tydligt bör skiljas från varandra på grund av sina skilda rättliga följder och tillhörande ansvar. En tumregel är att kommissionen bör ta hela ansvaret för det första villkoret, medan i första hand arbetsgruppen bör agera när det gäller det andra villkoret.

30.

Man måste göra en annan och mer precis åtskillnad vad avser de verktyg som finns att tillgå för att åstadkomma ett bättre genomförande av direktivet. Bland dessa ingår följande:

31.

Datatillsynsmannen rekommenderar kommissionen att tydligt ange hur den kommer att använda dessa olika verktyg när den utformar sin politik på grundval av det här meddelandet. Kommissionen bör då också tydligt skilja mellan sina egna arbetsuppgifter och arbetsgruppens. Bortsett från detta är det självklart att ett gott samarbete mellan kommissionen och arbetsgruppen under alla omständigheter är en förutsättning för framgång.

32.

Utgångspunkten är att direktivets bestämmelser formuleras på ett tekniskt neutralt sätt. I meddelandet kopplas tyngdpunkten på teknisk neutralitet till flera tekniska utvecklingstendenser, t.ex. Internet, accesstjänster som tillhandahålls i tredjeländer, RFID och kombinationen av ljud- och bilddata med automatisk igenkänning. Man skiljer mellan två olika typer av åtgärder. För det första särskilda riktlinjer för dataskyddsprincipernas tillämpning i en föränderlig teknisk miljö, där arbetsgruppen och dess särskilda Internetgrupp (13) fyller en viktig roll. För det andra kan kommissionen själv föreslå sektorsspecifik lagstiftning.

33.

Datatillsynsmannen välkomnar denna strategi som ett viktigt första steg. På längre sikt kan emellertid andra och mer grundläggande steg behövas. Detta meddelande skulle kunna användas som utgångspunkt för en sådan långsiktig strategi. Datatillsynsmannen föreslår att denna strategi diskuteras som en uppföljning till meddelandet. Följande punkter kan nämnas som möjliga inslag i en sådan strategi:

34.

För det första fungerar samspelet med tekniken på två sätt. Å ena sidan kan utvecklingen av ny teknik kräva ändringar av den rättsliga ramen för dataskydd. Å andra sidan kan behovet av att effektivt skydda enskilda personers personuppgifter kräva nya begränsningar eller lämpliga skyddsåtgärder vid användning av viss teknik, vilket är en ännu mer långtgående konsekvens. Emellertid kan ny teknik också användas på ett effektivt och tillförlitligt sätt för att främja integritet.

35.

För det andra kan det behövas vissa begränsningar om ny teknik används av statliga institutioner i deras offentliga verksamhet. De diskussioner om interoperabilitet och tillträde som äger rum inom området för frihet, säkerhet och rättvisa och som rör genomförandet av Haagprogrammet är ett gott exempel (14).

36.

För det tredje finns det en tendens att i mycket större utsträckning använda biometriskt material som exempelvis – men inte endast – DNA-material. De särskilda utmaningar som användningen av personuppgifter som härrör från detta material innebär kan få konsekvenser för dataskyddslagstiftningen.

37.

För det fjärde måste man inse att samhället förändras och att det får fler och fler drag av övervakningssamhälle (15). Denna utveckling behöver diskuteras ingående. Centrala frågor i en sådan diskussion borde vara huruvida denna utveckling är oundviklig, om det är de europeiska lagstiftarnas uppgift att ingripa i utvecklingen och sätta gränser för den, om och hur den europeiske lagstiftaren kan vidta effektiva åtgärder etc.

38.

Aspekten internationellt integritetsskydd och internationell jurisdiktion har begränsad betydelse i meddelandet. Kommissionens enda avsikt i detta sammanhang är att fortsätta att övervaka och lämna bidrag till internationella forum, för att se till att medlemstaternas åtaganden överensstämmer med deras skyldigheter enligt direktivet. Dessutom räknar kommissionen upp ett antal olika insatser för att förenkla kraven när det gäller internationella överföringar (se kapitel III i detta yttrande).

39.

Datatillsynsmannen beklagar att denna aspekt inte har fått en mer framträdande roll i meddelandet.

40.

För närvarande införs, utöver de allmänna reglerna om dataskydd, genom kapitel IV i direktivet (artiklarna 25 och 26) ett särskilt system för överföring av uppgifter till tredjeländer. Detta särskilda system har utarbetats under åren för att man skall få en rimlig balans mellan skyddet av de personer vars uppgifter ska överföras till tredjeländer och bl.a. den internationella handelns krav och en verklighet med globala telekommunikationsnät. Kommissionen och arbetsgruppen (16) men också t.ex. Internationella handelskammaren har lagt ner mycket arbete på att få detta system att fungera genom bedömningar av adekvat skyddsnivå, standardavtalsklausuler, bindande regler för företag etc.

41.

Domstolens dom i målet Lindqvist  (17) har haft särskild betydelse för tillämpningen av systemet på Internet. Domstolen pekar på det faktum att informationen på Internet är mycket utbredd och beslutar att utläggande av uppgifter på en webbsida inte omfattas av begreppet överföring av uppgifter till tredjeland, även om dessa på detta sätt blir åtkomliga för sådana personer i tredjeland som har de tekniska möjligheterna att få tillgång till hemsidan.

42.

Systemet som är en logisk och nödvändig konsekvens av Europeiska unionens territoriella begränsningar kommer inte att ge fullständigt skydd för en europeisk registrerad person i ett nätverkssamhälle där fysiska gränser förlorar betydelse (se exemplen i punkt 6 i detta yttrande): informationen på Internet är allmänt tillgänglig men den europeiska lagstiftarens jurisdiktion är inte allomfattande.

43.

Utmaningen består i att hitta praktiska lösningar som förenar behovet av skydd för europeiska registrerade personer och Europeiska unionens och dess medlemsstaters territoriella begränsningar. Datatillsynsmannen har redan – i sina synpunkter på kommissionens meddelande ”En strategi för den yttre dimensionen av området med frihet, säkerhet och rättvisa” – uppmuntrat kommissionen att inta en proaktiv hållning när den främjar skyddet av personuppgifter på internationell nivå genom att stödja bilaterala och multilaterala strategier med tredjeländer och samarbete med andra internationella organisationer (18).

44.

Sådana praktiska lösningar innefattar följande:

45.

Ingen av dessa lösningar är ny. Det behövs emellertid en tydlig strategi om hur man faktiskt skall använda dessa metoder så effektivt som möjligt och hur man skall säkerställa att datakyddsnormer som i Europeiska unionen är klassificerade som grundläggande rättigheter också kommer att gälla i ett globalt nätverkssamhälle. Datatillsynsmannen uppmanar kommissionen att börja utveckla en sådan strategi tillsammans med de intressenter som berörs mest.

46.

I meddelandet läggs stor vikt vid krav som motiveras av ett allmänintresse, särskilt säkerhetskrav. Det förklarar artikel 3.2 i direktivet, den tolkning av denna bestämmelse som ges av domstolen i PNR-målet (19) samt artikel 13 i direktivet, bland annat i samband med Europadomstolens rättspraxis. I meddelandet betonas vidare att kommissionen, när den gör avvägningar, mellan åtgärder för att garantera säkerheten och ej förhandlingsbara grundläggande rättigheter, ser den till att personuppgifter skyddas enligt artikel 8 i Europakonventionen. Den här utgångspunkten gäller också den transatlantiska dialogen med Förenta Staterna.

47.

Enligt datatillsynsmannen är det viktigt att kommissionen på ett tydligt sätt erinrar om unionens skyldigheter enligt artikel 6 i FEU att respektera de grundläggande rättigheterna som är garanterade i Europakonventionen. Detta uttalande är ännu viktigare nu när Europeiska unionen har beslutat att Europeiska unionens stadga om de grundläggande rättigheterna enligt Reformfördraget bör vara rättsligt bindande. I artikel 8 i stadgan fastställs vars och ens rätt till skydd av de personuppgifter som rör honom eller henne.

48.

Det är allmänt känt att brottsbekämpningens krav på att mer och mer använda personuppgifter för att bekämpa brottslighet – för att inte nämna kampen mot terrorismen – innebär risk för att medborgarskyddet sänks till och med under den nivå som garanteras genom artikel 8 i Europakonventionen och/eller Europarådets konvention 108 (20). Dessa farhågor var ett viktigt inslag i datatillsynsmannens tredje yttrande av den 27 april 2007 om förslaget till rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete.

49.

Det är i detta sammanhang viktigt att den skyddsnivå som fastställs genom direktivet tas som grundval för skyddet av medborgaren även när det gäller brottsbekämpningens krav. I Europakonventionen och konvention 108 fastställs en minimiskyddsnivå men ger inte den nödvändiga precisionen. Över och bortom den nivån behövdes ytterligare åtgärder för att ett adekvat medborgarskydd skall tillgodoses. Detta behov var en av de faktorer som drev fram antagandet av direktivet 1995 (21).

50.

Likaså är det viktigt att denna skyddsnivå effektivt garanteras i alla situationer där personuppgifter behandlas i brottsbekämpande syfte. Även om behandling av uppgifter inom tredje pelaren inte avhandlas i detta meddelande, tas med rätta den situation upp där uppgifter som insamlats (och behandlats) för kommersiella syften används i brottsbekämpande syfte. En situation som blir allt vanligare, eftersom det polisiära arbetet mer och mer är beroende av att uppgifter som innehas av tredje part är tillgängliga. Denna trend illustreras bäst av direktiv 2006/24/EG (22): enligt detta direktiv är leverantörer av elektronisk kommunikation skyldiga att (längre) lagra de uppgifter de samlat in (och lagrat) för kommersiella ändamål, för brottsbekämpande syften. Enligt datatillsynsmannen bör det till fullo säkerställas att personuppgifter som insamlats och behandlats inom direktivets tillämpningsområde skyddas på ett korrekt sätt när de används för syften av allmänintresse och särskilt för syften som rör säkerhet eller kampen mot terrorism. De senare syftena kan emellertid i några fall ligga utanför direktivets räckvidd.

51.

Dessa iakttagelser medför följande förslag till kommissionen:

52.

Kommissionen vidrör i sitt meddelande den – enorma – påverkan som det konstitutionella fördraget har på dataskyddsområdet. Fördraget, som nu kallas reformfördraget, kommer att vara av avgörande betydelse på detta område. Fördraget kommer att innebära slutet på pelarstrukturen, bestämmelsen om dataskydd (för närvarande artikel 286 i EG-fördraget) kommer att klargöras och unionens stadga om de grundläggande rättigheterna som i sin artikel 8 har en bestämmelse om dataskydd kommer att bli ett bindande instrument.

53.

I mandatet för regeringskonferensen ägnas dataskydd särskild uppmärksamhet. I punkt 19 f fastslås i stort sett tre saker. För det första kommer inte de allmänna bestämmelserna om dataskydd att påverka tillämpningen av de särskilda bestämmelser som antagits i Gusp-avdelningen (nuvarande andra pelaren). För det andra kommer en förklaring att antas om dataskydd på området polissamarbete och straffrättsligt samarbete (nuvarande tredje pelaren) och för det tredje kommer särskilda punkter i de berörda protokollen att antas om enskilda medlemsstaters ståndpunkter (detta rör främst Förenade kungarikets särskilda ställning beträffande polissamarbete och straffrättsligt samarbete).

54.

Av dessa tre saker är det den andra (förklaringen) som kommer att behöva klargöras vid regeringskonferensen. Effekterna av att pelarstrukturen upphör och frågan huruvida direktivet är tillämpligt på polissamarbete och straffrättsligt samarbete måste övervägas i vederbörlig ordning för att säkerställa bredast möjliga tillämpning av de dataskyddsprinciper som direktivet innehåller. Ytterligare detaljer i denna fråga skall inte tas upp här. Datatillsynsmannen har framfört förslag till förklaringen i ett brev till ordförandeskapet för regeringskonferensen (25).

55.

I meddelandet hänvisas det till en rad verktyg och åtgärder som kan användas för ett bättre genomförande av direktivet i framtiden. Datatillsynsmannen vill kommentera dessa men även utforska andra instrument som inte nämns i meddelandet.

56.

I vissa fall kan särskilda lagstiftningsåtgärder på EU-nivå bli nödvändiga. I synnerhet kan sektoriell lagstiftning visa sig vara nödvändig för att anpassa direktivets principer till frågor som uppstår genom viss teknik, såsom fallet var med direktiven om integritet på telekommunikationsområdet. Användning av särskild lagstiftning bör noggrant övervägas när det gäller exempelvis användning av RFID-teknik.

57.

Det mest verkningsfulla instrument som omnämns i meddelandet är överträdelseförfarandet. I meddelandet identifieras ett särskilt problemområde, nämligen dataskyddsmyndigheternas oberoende och deras befogenheter, men andra områden omnämns bara i allmänna termer. Datatillsynsmannen delar uppfattningen att överträdelseförfaranden är ett viktigt och oundvikligt instrument, om medlemsstaterna inte sörjer för ett fullt genomförande av direktivet, särskilt med beaktande av att nästan nio år har förflutit sedan tidsfristen för direktivets genomförande löpte ut och att den strukturerade dialog som fastställs i arbetsprogrammet redan har ägt rum. Hittills har emellertid inte något fall av överträdelse mot direktiv 95/46 förts inför domstolen.

58.

En jämförande analys av alla fall där man misstänker ett felaktigt eller ofullständigt införlivande (26) liksom ett tolkningsmeddelande kan säkerligen göra kommissionens roll som fördragens väktare mer konsekvent. Utarbetandet av dessa instrument, vilket kan komma att kräva ett visst mått av tid och ansträngning, bör emellertid inte försena överträdelseförfaranden på de områden där ett felaktigt införlivande eller en felaktig tillämpning redan klart har fastställts av kommissionen.

59.

Datatillsynsmannen uppmanar därför kommissionen att vid behov genom överträdelseförfaranden eftersträva ett bättre genomförande av direktivet. Datatillsynsmannen kommer i detta sammanhang att utnyttja sin interventionsrätt vid domstolen för att när så är lämpligt intervenera i överträdelseförfaranden som rör genomförandet av direktiv 95/46 eller andra rättsliga instrument i fall som rör skydd av personuppgifter.

60.

I meddelandet hänvisas det också till ett tolkningsmeddelande om några bestämmelser i vilket kommissionen kommer att klargöra sin tolkning av de bestämmelser i direktivet som visat sig svåra att genomföra och således kan leda till överträdelseförfaranden. Datatillsynsmannen välkomnar i detta sammanhang att kommissionen tar hänsyn till det arbete om tolkning som arbetsgruppen utfört. Det är viktigt att arbetsgruppens ståndpunkt vederbörligen beaktas när det kommande tolkningsmeddelandet utarbetas och att arbetsgruppen hörs så att dess erfarenheter kan tas till vara vid tillämpningen av direktivet på nationell nivå.

61.

Vidare bekräftar datatillsynsmannen att han står till kommissionens förfogande för rådgivning i alla frågor som rör skydd av personuppgifter. Detta gäller även de instrument, exempelvis kommissionsmeddelanden, som inte är bindande men vars syfte fortfarande är att fastställa kommissionens politik när det gäller skydd av personuppgifter. För att denna rådgivande roll ska bli verkningsfull bör samrådet med datatillsynsmannen i fråga om meddelanden äga rum innan tolkningsmeddelandet antas (27). Den rådgivande roll som både arbetsgruppen för artikel 29 och datatillsynsmannen har kommer att ge mervärde åt detta meddelande, samtidigt som kommissionens oberoende bevaras när det gäller att självständigt besluta om att formellt inleda överträdelseförfaranden som rör genomförandet av direktivet.

62.

Datatillsynsmannen välkomnar att meddelandet endast kommer att behandla ett begränsat antal artiklar och därmed möjliggöra en fokusering på mer känsliga frågor. I det perspektivet vill datatillsynsmannen rikta kommissionens uppmärksamhet på följande frågor som förtjänar särskild uppmärksamhet i tolkningsmeddelandet:

63.

Andra, icke bindande instrument bör proaktivt utveckla överensstämmelse med principerna för dataskydd, särskilt i nya tekniska miljöer. Dessa åtgärder bör bygga på idén att skydd av privatlivet ska ingå som en del av utformningen och säkerställa att ny teknik utvecklas och byggs upp på ett sådant sätt att den helt och fullt beaktar principerna för dataskydd. Främjandet av tekniska produkter som överensstämmer med kraven på skydd av privatlivet bör vara ett viktigt inslag i ett sammanhang där en allmänt förekommande datoranvändning är under snabb utveckling.

64.

Nära förbundet med detta är nödvändigheten att utvidga skalan av berörda aktörer vid den faktiska tillämpningen av lagstiftningen om dataskydd. Å ena sidan stöder datatillsynsmannen kraftfullt dataskyddsmyndigheternas grundläggande roll när det gäller att verkställa principerna i direktivet och fullt ut använda sig av sina befogenheter samt de möjligheter till samordning som finns inom arbetsgruppen för artikel 29. En mer kraftfull tillämpning av direktivet är också ett av målen med ”Londoninitiativet”.

65.

Å andra sidan betonar datatillsynsmannen det önskvärda i att främja privat tillämpning av dataskyddsprinciper genom självreglering och konkurrens. Näringslivet bör uppmuntras att genomföra dataskyddsprinciper och konkurrera om att utveckla produkter och tjänster som är förenliga med kraven på skydd av privatlivet som ett sätt att utvidga sin position på marknaden genom att på ett bättre sätt tillgodose förväntningarna från integritetsmedvetna konsumenter. Ett bra exempel i detta sammanhang är integritetsmärkning som kan åtfölja produkter och tjänster som har genomgått ett certifieringsförfarande (29).

66.

Datatillsynsmannen vill också uppmärksamma kommissionen på att det finns andra verktyg som, även om de inte omnämns i meddelandet, skulle kunna vara till nytta för ett bättre genomförande av direktivet. Bland sådana verktyg som skulle kunna hjälpa dataskyddsmyndigheter att bättre upprätthålla dataskyddslagstiftningen kan följande nämnas:

67.

Som sista punkt hänvisar datatillsynsmannen till andra instrument som inte omnämns i meddelandet men som antingen skulle kunna övervägas vid en framtida ändring av direktivet eller inkluderas i annan horisontell lagstiftning, i synnerhet följande:

68.

Olika institutionella aktörer har ansvar i fråga om direktivets genomförande. Tillsynsmyndigheterna i medlemsstaterna ansvarar enligt artikel 28 i direktivet för övervakningen av tillämpningen av de nationella bestämmelser i medlemsstaternas lagstiftning som antas till följd av detta direktiv. Artikel 29 introducerar tillsynsmyndigheternas arbetsgrupp och i artikel 30 räknas dess arbetsuppgifter upp. Enligt artikel 31 biträder en kommitté med företrädare för medlemsstaternas regeringar kommissionen när det gäller genomförandeåtgärder på gemenskapsnivå (en kommitté för kommittéförfarande).

69.

Behovet av bättre definition av de olika aktörernas ansvar gäller särskilt (den verksamhet som bedrivs av) arbetsgruppen. I artikel 30.1 räknas arbetsgruppens fyra uppgifter upp vilka sammanfattningsvis innebär att granska direktivets tillämpning på nationell nivå för att uppnå enhetlighet och att avge yttranden om utvecklingen på gemenskapsnivå när det gäller skyddsnivå, lagförslag och uppförandekodexar. Uppräkningen visar arbetsgruppens breda ansvarsområde när det gäller dataskydd vilket även illustreras av de dokument som arbetsgruppen under åren producerat.

70.

Enligt meddelandet är arbetsgruppen ”avgörande för att få en bättre och mer konsekvent tillämpning”. Datatillsynsmannen stöder till fullo detta men anser också att det är nödvändigt att klargöra vissa specifika ansvarsområden.

71.

För det första efterlyses i meddelandet en förbättring av arbetsgruppens bidrag eftersom de nationella myndigheterna bör sträva efter att anpassa sin nationella praxis till den gemensamma linjen (30). Datatillsynsmannen välkomnar avsikten i uttalandet men varnar för oklarheter i ansvarsfrågan. Enligt artikel 211 i EG-fördraget är det kommissionens ansvar att övervaka hur gemenskapslagstiftningen följs i medlemsstaterna, inbegripet av tillsynsmyndigheterna. Arbetsgruppen kan som oberoende rådgivare inte hållas ansvarig för hur de nationella myndigheterna tillämpar dess yttranden.

72.

För det andra måste kommissionen vara medveten om sina olika roller i arbetsgruppen eftersom den inte enbart är medlem av arbetsgruppen utan även förser den med dess sekretariat. Vid utövandet av sin andra roll som sekretariat måste kommissionen stödja arbetsgruppen så att denna kan utföra sitt arbete på ett oberoende sätt. Detta innebär i grunden två saker: kommissionen måste tillhandahålla de nödvändiga resurserna och sekretariatet måste arbeta enligt instruktioner från arbetsgruppen och dess ordförande när det gäller innehållet i och omfattningen av arbetsgruppens verksamhet och verksamhetens resultat. Mer allmänt bör kommissionens verksamhet när den fullgör sina övriga plikter enligt EG-lagstiftningen inte inkräkta på dess tillgänglighet som sekretariat.

73.

För det tredje kan kommissionen, även om det är arbetsgruppen själv som avgör sina prioriteringar, påpeka vad den förväntar sig från arbetsgruppen och på vilket sätt den anser att de tillgängliga resurserna bäst kan utnyttjas.

74.

För det fjärde beklagar datatillsynsmannen att meddelandet inte ger tydliga anvisningar om rollfördelningen mellan kommissionen och arbetsgruppen. Han uppmanar kommissionen att lägga fram ett dokument för arbetsgruppen där dessa anvisningar ges. Datatillsynsmannen har följande förslag på vilka punkter som kan tas upp i dokumentet:

75.

Datatillsynsmannen delar kommissionens centrala slutsats att direktivet inte bör ändras på kort sikt. Denna slutsats skulle kunna stärkas genom att även grunda den på direktivets karaktär och unionens lagstiftningspolicy.

76.

Datatillsynsmannens utgångspunkter är följande:

77.

De viktigaste delarna i framtida ändringar inbegriper följande punkter:

78.

Datatillsynsmannen föreslår att kommissionen specificerar en tidsplan för den verksamhet som tas upp i kapitel 3 i meddelandet, en tidsgräns för nästa rapport om direktivets tillämpning, en uppdragsbeskrivning för att mäta i vilken grad den planerade verksamheten har genomförts samt indikationer på hur arbetet ska bedrivas på längre sikt.

79.

Datatillsynsmannen välkomnar strategin om teknik som ett viktigt första steg och föreslår att diskussionen om en strategi på längre sikt inleds, med en grundläggande diskussion om övervakningssamhällets utveckling bland annat. Han välkomnar också den pågående översynen av direktiv 2002/58/EG och det eventuella behovet av mer specifika regler för att hantera dataskyddsproblem som uppstår till följd av ny teknik som Internet och RFID. Dessa åtgärder bör beakta det dynamiska sammanhanget i dess helhet och på lång sikt även omfatta direktiv 95/46/EG.

80.

Datatillsynsmannen beklagar att internationella frågor om integritetsskydd och jurisdiktion har en begränsad roll i meddelandet och efterlyser praktiska lösningar som gör att behovet av skydd för registrerade inom Europeiska unionen går att förena med Europeiska unionens och dess medlemsstaters territoriella begränsningar, exempelvis en fortsatt utveckling av en internationell ram för dataskydd, ytterligare utveckling av det särskilda systemet för överföring av uppgifter till tredjeländer, internationella överenskommelser om jurisdiktion eller liknande överenskommelser med tredjeländer samt satsningar på mekanismer för internationell efterlevnad såsom multinationella företags användning av bindande regler.

Datatillsynsmannen uppmanar kommissionen att börja utveckla en sådan strategi i denna fråga tillsammans med de mest berörda intressenterna.

81.

När det gäller brottsbekämpning har datatillsynsmannen följande förslag till kommissionen:

82.

Ett fullständigt genomförande av direktivet innebär för det första att det måste säkerställas att medlemsstaterna till fullo fullgör sina skyldigheter enligt EU-lagstiftningen och för det andra att andra icke bindande verktyg som kan bidra till en hög och harmoniserad dataskyddsnivå till fullo måste utnyttjas. Datatillsynsmannen uppmanar kommissionen att tydligt ange hur den kommer att använda de olika instrumenten och hur den särskiljer sitt eget ansvar från arbetsgruppens ansvar.

83.

Ifråga om dessa instrument gäller följande:

84.

Datatillsynsmannen uppmanar kommissionen att lägga fram ett dokument för arbetsgruppen med tydliga anvisningar om rollfördelningen mellan kommissionen och arbetsgruppen, inbegripet följande frågor:

85.

Effekterna av reformfördraget måste beaktas noga så att man säkerställer bredast möjliga tillämpning av dataskyddsprinciperna i direktivet. Datatillsynsmannen har framfört sina förslag i ett brev till ordförandeskapet för regeringskonferensen.