30.11.2010   

SV

Europeiska unionens officiella tidning

C 323/1

1.

Den 31 mars 2010 antog kommissionen ett förslag till Europaparlamentets och rådets förordning om medborgarinitiativet (3). Förslaget följer på ett offentligt samråd om denna fråga som hölls mellan den 11 november 2009 och den 31 januari 2010 (4).

2.

Medborgarinitiativet är en av de nyheter i EU-lagstiftningen som infördes genom Lissabonfördraget och innebär att ett antal medborgare, som uppgår till minst en miljon personer och kommer från ett betydande antal medlemsstater, får uppmana kommissionen att lägga fram ett lagstiftningsförslag. Förslaget till förordning grundas på artikel 11.4 i fördraget om Europeiska unionen och artikel 24.1 i fördraget om Europeiska unionens funktionssätt, där det föreskrivs att de förfaranden och villkor som krävs för medborgarinitiativet ska fastställas i enlighet med det ordinarie lagstiftningsförfarandet.

3.

Förslaget sändes till datatillsynsmannen i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 samma dag som det antogs. Informella samråd har hållits med datatillsynsmannen innan förslaget antogs. Datatillsynsmannen välkomnade detta informella samråd och hälsar med tillfredsställelse att de flesta av hans anmärkningar har beaktats i det slutliga förslaget.

4.

Generellt sett är datatillsynsmannen tillfredsställd med hur frågan om dataskydd har behandlats i förslaget till förordning. På mer detaljerad nivå har datatillsynsmannen några förslag till ändringar. Dessa behandlas närmare i kapitel II i detta yttrande.

5.

Inledningsvis skulle datatillsynsmannen vilja understryka att en fullständig respekt för dataskyddsbestämmelserna är av avgörande betydelse för att detta viktiga nya instrument ska bli tillförlitligt, kraftfullt och framgångsrikt.

6.

I enlighet med artikel 11.4 i fördraget om Europeiska unionen och artikel 24.1 i fördraget om Europeiska unionens funktionssätt föreskriver förslaget förfaranden och villkor för medborgarinitiativet. I förslaget till förordning anges vilka krav som ställs på minsta antal medlemsstater, minsta antal medborgare per medlemsstat och medborgarnas minimiålder för att få delta i ett initiativ. I förslaget fastställs också de materiella och formella villkoren för att kommissionen ska ta upp ett initiativ till prövning.

7.

I detta yttrande behandlas endast de bestämmelser som är relevanta ur ett dataskyddsperspektiv. Detta är bestämmelserna om registrering av ett medborgarinitiativ (artikel 4), förfarandena för insamling av stödförklaringar (artiklarna 5 och 6) samt kraven på kontroll och autentisering av stödförklaringar (artikel 9). Dataskyddet uppmärksammas särskilt i artikel 12 i förslaget. I artikel 13 behandlas också ansvaret för organisatörer av medborgarinitiativ. Dessa bestämmelser kommer nu att analyseras mer ingående.

8.

Innan stödförklaringarna från undertecknarna samlas in måste organisatören registrera initiativet hos kommissionen via ett Internetregister. Organisatören ska lämna den information som anges i bilaga II till förslaget till förordning. Denna information omfattar organisatörens personuppgifter, dvs. fullständigt namn, postadress och e-postadress. Enligt artikel 4.5 i förslaget ska ett föreslaget medborgarinitiativ offentliggöras i registret. Även om det inte framgår helt klart av texten, utgår datatillsynsmannen från att organisatörens postadress och e-postadress principiellt sett inte ska offentliggöras via registret. I annat fall skulle datatillsynsmannen uppmana lagstiftaren att bedöma och förklara nödvändigheten av ett sådant offentliggörande samt förtydliga texten i artikel 4 i detta avseende.

9.

Organisatören ansvarar för insamlingen av de nödvändiga stödförklaringarna från undertecknare av det föreslagna medborgarinitiativet. Enligt artikel 5.1 måste stödförklaringar överensstämma med mallen i bilaga III till förslaget till förordning. I denna mall ska en undertecknare lämna vissa (självklara) personuppgifter, till exempel för- och efternamn samt, om det sker i pappersform, den faktiska underskriften. För att den behöriga myndigheten ska kunna autentisera en stödförklaring ska även vissa andra uppgifter lämnas: stad och land där undertecknaren bor, födelsedatum och födelseort, nationalitet, personligt identifikationsnummer, typ av identifikationsnummer/identitetshandling samt vilken medlemsstat som har utfärdat detta nummer/denna handling. Andra icke-obligatoriska fält som anges i mallen är undertecknarens gatu- och e-postadress.

10.

Datatillsynsmannen anser att samtliga obligatoriska informationsfält i mallen är nödvändiga för att organisera medborgarinitiativet och autentisera stödförklaringarna, med undantag för det personliga identifikationsnumret. Det förekommer skillnader mellan medlemsstaterna när det gäller hur sådana här unika identifikationsnummer regleras, i den mån de förekommer. Datatillsynsmannen ser hur som helst inte mervärdet med denna personidentifiering när det gäller att autentisera stödförklaringar. Redan övrig begärd information kan anses vara tillräcklig för att uppnå det syftet. Datatillsynsmannen rekommenderar därför att detta informationsfält stryks från mallen i bilaga III.

11.

Datatillsynsmannen ifrågasätter om de icke-obligatoriska informationsfälten behöver vara med i standardmallen och rekommenderar att dessa fält stryks från mallen i bilaga III om det inte kan påvisas att det finns ett sådant behov.

12.

Datatillsynsmannen rekommenderar också att det ska läggas in en vanlig integritetspolicy längst ned i mallen, med uppgift om den registeransvariges identitet, ändamålet med insamlingen, övriga mottagare av uppgifterna samt lagringstid. Denna information ska lämnas till den registrerade enligt artikel 10 i direktiv 95/46/EG.

13.

I artikel 6 i förslaget till förordning behandlas insamling av stödförklaringar via Internetsystem. I artikel 6 föreskrivs att organisatören, innan insamlingen av stödförklaringar påbörjas, ska se till att systemet för insamling via Internet har lämpliga säkerhets- och teknikfunktioner för att bland annat garantera att uppgifter som tillhandahålls via Internet lagras säkert ”[så] att de inte ska kunna ändras eller användas i annat syfte än för det angivna stödet för ett givet medborgarinitiativ och för att skydda personuppgifter från oavsiktlig eller olovlig radering och från att gå förlorade genom olyckshändelse samt från ändringar, otillåten spridning eller otillåten åtkomst” (5).

14.

I artikel 6.2 fastställs också att organisatören när som helst får be den behöriga myndigheten att intyga att systemet för insamling via Internet uppfyller dessa krav. Organisatören ska i alla händelser begära att ett sådant intyg utfärdas innan stödförklaringarna lämnas in för kontroll (se artikel 9 nedan).

15.

Enligt artikel 6.5 ska kommissionen vidare anta tekniska specifikationer för genomförandet av dessa säkerhetsföreskrifter i enlighet med det kommittéförfarande som föreskrivs i artikel 19.2 i förslaget.

16.

Datatillsynsmannen välkomnar det fokus som läggs på säkerheten i systemen för insamling via Internet i artikel 6 i förslaget. Skyldigheten att garantera en säker databehandling är ett av dataskyddskraven, som anges i artikel 17 i direktiv 95/46/EG. Datatillsynsmannen ser med tillfredsställelse att kommissionen har anpassat texten i artikel 6.4 i förslaget till texten i artikel 17.1 i direktiv 95/46/EG efter de informella synpunkter som inkommit från datatillsynsmannen. Europeiska datatillsynsmannen välkomnar också att det i artikel 6.4 har införts en skyldighet att garantera att uppgifter inte används i annat syfte än för det angivna stödet för ett givet medborgarinitiativ. Datatillsynsmannen uppmuntrar emellertid lagstiftaren att införa en liknande generell skyldighet i artikel 12 (se punkt 27 nedan).

17.

Datatillsynsmannen ställer sig tveksam till tidpunkten för den behöriga myndighetens intygande. Organisatören behöver endast begära ett sådant intyg senast innan han överlämnar de insamlade stödförklaringarna till myndigheten för kontroll. Han får göra detta tidigare. Om man utgår från att intygandet av Internetsystemet har ett mervärde, anser datatillsynsmannen att det bör äga rum innan stödförklaringarna har samlats in för att förhindra att personuppgifter för minst en miljon medborgare samlas in via ett system som i efterhand skulle visa sig inte vara tillräckligt säkert. Datatillsynsmannen uppmanar därför lagstiftaren att införa denna skyldighet i artikel 6.2. Därigenom ska det självklart säkerställas att intygsförfarandet inte utgör en onödig administrativ börda för organisatören.

18.

I detta avseende vill datatillsynsmannen peka på artikel 18 i direktiv 95/46/EG, där det fastställs att den registeransvarige är skyldig att anmäla en behandling till den nationella dataskyddsmyndigheten innan behandlingen utförs, med vissa undantag. Det framgår inte klart hur denna anmälningsskyldighet med undantag står i förhållande till den behöriga nationella myndighetens intygande enligt förslaget till förordning. För att förhindra administrativa bördor i största möjliga utsträckning uppmanar datatillsynsmannen lagstiftaren att klargöra förhållandet mellan anmälningsförfarandet i artikel 18 i direktiv 95/46/EG och intygsförfarandet i artikel 6 i förslaget till förordning.

19.

När det gäller tillämpningsföreskrifterna för de tekniska specifikationerna förväntar sig datatillsynsmannen att bli hörd innan dessa tillämpningsföreskrifter antas. Detta gäller framför allt eftersom det i kommissionens arbetsdokument om resultaten av grönboken angavs att det under det offentliga samrådet hade inkommit flera förslag till system för att autentisera underskrifter via nätet. Ett av dessa förslag för att autentisera underskrifter via nätet. Ett av dessa förslag var ett smartkort för EU-medborgare med möjlighet till e-underskrifter. Med ett sådant system kommer självklart nya överväganden som rör dataskyddet (6).

20.

Efter att ha samlat in de nödvändiga stödförklaringarna från undertecknarna ska organisatören överlämna dessa förklaringar till behörig myndighet för kontroll och intygande. Organisatören överför undertecknarnas personuppgifter till behörig myndighet i den medlemsstat som har utfärdat undertecknarens identitetshandling enligt vad som anges i stödförklaringen. Inom tre månader ska den behöriga myndigheten kontrollera stödförklaringarna på grundval av ”lämpliga undersökningar” och tillhandahålla ett intyg till organisatören (7). Intyget används när initiativet faktiskt lämnas in till kommissionen.

21.

Datatillsynsmannen välkomnar ett sådant decentraliserat system som innebär att kommissionen inte kommer att inneha undertecknarnas personuppgifter, utan endast de intyg som har utfärdats av de nationella behöriga myndigheterna. Ett sådant system minskar riskerna för olämplig hantering av personuppgifter eftersom det minimerar antalet mottagare av uppgifterna.

22.

I texten framgår det inte klart vad det är för ”lämpliga undersökningar” som den behöriga myndigheten ska utföra. Det relevanta skäl 15 ger inte heller någon klarhet i den här frågan. Datatillsynsmannen undrar hur de behöriga myndigheterna ska autentisera stödförklaringarna. Framför allt skulle han vilja veta om de behöriga myndigheterna kommer att kunna kontrollera förklaringarna mot tillgänglig information om medborgarnas identitet från andra källor, till exempel nationella eller regionala register. Datatillsynsmannen uppmanar lagstiftaren att klargöra denna fråga.

23.

Artikel 12 i förslaget till förordning behandlar uteslutande skyddet av personuppgifter. I denna bestämmelse understryks det att såväl organisatören som den behöriga myndigheten måste följa direktiv 95/46/EG och de nationella bestämmelser som har antagits i enlighet med detta. I skäl 20 anges också att förordning (EG) nr 45/2001 är tillämplig när kommissionen behandlar personuppgifter genom att registrera organisatören för ett initiativ. Datatillsynsmannen välkomnar dessa konstateranden.

24.

I denna bestämmelse anges det också uttryckligen att organisatören och den behöriga myndigheten måste anses vara registeransvariga för sin respektive behandling av personuppgifter. Datatillsynsmannen är tillfredsställd med denna specificering. Den registeransvarige har det primära ansvaret för att dataskyddsbestämmelserna följs. Artikel 12 i förslaget gör att det inte råder något tvivel om vem som måste anses vara registeransvarig.

25.

I artikel 12 fastställs också de maximala lagringstiderna för de insamlade personuppgifterna. För organisatören fastställs denna tid till en månad efter det att initiativet har lämnats in till kommissionen eller minst 18 månader efter den dag då ett föreslaget initiativ har registrerats. De behöriga myndigheterna måste förstöra uppgifterna en månad efter det att de har tillhandahållit intyget. Datatillsynsmannen välkomnar dessa begränsningar eftersom de garanterar överensstämmelse med det krav som fastställs i artikel 6.1 e i direktiv 95/46/EG.

26.

Datatillsynsmannen ser också med tillfredsställelse att texten om en säker databehandling från artikel 17.1 i direktiv 95/46/EG återges i artikel 12. Därigenom klargörs det att dessa skyldigheter inte gäller enbart när man använder ett system för insamling via Internet (se punkter 13 och följande punkter ovan), utan i samtliga situationer som omfattas av förslaget till förordning.

27.

Som anges i punkt 16 ovan rekommenderar datatillsynsmannen lagstiftaren att införa ännu en punkt i artikel 12 för att garantera att de personuppgifter som har samlats in av organisatören (antingen via ett system för insamling via Internet eller på annat sätt) inte används i annat syfte än för det angivna stödet för ett givet medborgarinitiativ samt att de uppgifter som tas emot av den behöriga myndigheten endast används för att autentisera stödförklaringarna för ett givet medborgarinitiativ.

28.

I artikel 13 anges att medlemsstaterna ska se till att organisatörer som är bosatta eller etablerade inom deras territorium kan ställas till civilrättsligt eller straffrättsligt ansvar för överträdelser av förslaget till förordning, särskilt för brister i uppfyllandet av de krav som gäller för system för insamling via Internet eller för användning av uppgifter i bedrägligt syfte. I skäl 19 hänvisas till kapitel III i direktiv 95/46/EG, som behandlar rättslig prövning, ansvar och sanktioner. Här fastställs att detta kapitel är tillämpligt fullt ut när det gäller den behandling av personuppgifter som utförs i samband med tillämpningen av förslaget till förordning. Artikel 13 i förslaget måste ses som ett tillägg till detta, eftersom det till skillnad från kapitel III i direktiv 95/45/EG här finns en uttrycklig hänvisning till medlemsstaternas civil- och straffrätt. Datatillsynsmannen välkomnar självklart denna bestämmelse.

29.

Som angavs i inledningen och som framgår av analysen i kapitel II i detta yttrande, är datatillsynsmannen i stort sett nöjd med hur dataskyddsfrågan har behandlats i förslaget till förordning om medborgarinitiativet. Det är tydligt att dataskyddet har beaktats och förslaget har utformats på ett sådant sätt att det säkerställer överensstämmelse med dataskyddsbestämmelserna. Datatillsynsmannen välkomnar särskilt artikel 12, som uteslutande behandlar dataskyddet och som klargör ansvarsfrågor och lagringstider. Datatillsynsmannen skulle vilja understryka att en fullständig respekt för dataskyddsbestämmelserna är av avgörande betydelse för att detta viktiga nya instrument ska bli tillförlitligt, kraftfullt och framgångsrikt. Även om datatillsynsmannen generellt sett är nöjd med förslaget, anser han att det fortfarande finns utrymme för förbättringar.

30.

Datatillsynsmannen rekommenderar att lagstiftaren ändrar artikel 6 så att organisatören är skyldig att begära intyg om säkerheten för systemet för insamling via Internet innan han börjar samla in stödförklaringar. Sådana intygsförfaranden ska dessutom inte utgöra en onödig administrativ börda för organisatören. Vidare rekommenderar datatillsynsmannen att förhållandet mellan anmälningsförfarandet i artikel 18 i direktiv 95/46/EG och intygsförfarandet i artikel 6 i förslaget till förordning klargörs.

31.

För att förbättra förslaget ytterligare rekommenderar datatillsynsmannen lagstiftaren att