31.8.2017   

SV

Europeiska unionens officiella tidning

C 288/107

Föredragande:

Jorge PEGADO LIZ

1.1

Det kommissionsdokument som är föremål för detta yttrande utgör ett i allmänhet korrekt och adekvat förslag, ur strikt teknisk-juridisk synpunkt, på en nödvändig anpassning av Europaparlamentets och rådets förordning (EG) nr 45/2001  (1) och Europaparlamentets och rådets beslut nr 1247/2002/EG  (2) avseende skyddet av personuppgifter hos unionens institutioner och organ till den nya allmänna dataskyddsförordningen (3), som kommer att vara tillämplig i hela EU från och med den 25 maj 2018.

1.2

Detta förhindrar inte att EESK erinrar om sina synpunkter och rekommendationer beträffande det nu antagna förslaget till allmän dataskyddsförordning, och beklagar att dessa inte har beaktats helt i den slutliga versionen. EESK fruktar även att dess sena antagande och ikraftträdande, med tanke på den snabba tekniska utvecklingen inom området, ökar riskerna för att uppgifter inhämtas på olämpligt sätt och missbrukas i samband med att de behandlas och kommersialiseras, och fruktar därför att förordningen riskerar att bli inaktuell innan den ens genomförts. Med tanke på att det förslag som är föremål för detta yttrande är en anpassning av den allmänna dataskyddsförordningen till EU-institutionernas funktionssätt gäller dessa farhågor även den text som diskuteras, i synnerhet vad gäller textens otydlighet som gör den svårbegriplig för gemene man.

1.3

Vidare anser EESK att det som sker i EU:s institutioner bör tas som exempel för förfarandena på nationell nivå och att särskild aktsamhet därför krävs vid utarbetandet av det förslag som är föremål för detta yttrande.

1.4

I detta sammanhang anser EESK att aspekter såsom anpassningen av förslagets lydelse till tjänsteföreskrifterna för tjänstemän i Europeiska unionen, förfaranden för behandling av trakasserier, cybermobbning och visselblåsning inom EU:s institutioner, förslagets tillämpning på sakernas internet, megadata och användningen av sökmotorer för åtkomst till, skapande av eller användning av personuppgifter samt personlig information som publiceras på institutionernas sidor på sociala nätverk (Facebook, Twitter, Instagram, Linkedin osv.) borde ha behandlats uttryckligen.

1.5

På samma sätt anser EESK att man i förslaget borde ha försökt att ange säkerhetsvillkoren för de it-system som ska användas för behandlingen av uppgifter samt garantierna mot cyberattacker och incidenter avseende eller läckor av sådana uppgifter, för att säkerställa teknikneutralitet, och inte bara hänvisa till de specifika interna normerna för varje tjänst, och även att relationen mellan skyddet av uppgifter och kampen mot brottslighet och terrorism borde klargöras bättre utan att detta innebär en användning av oproportionerliga eller orimliga övervakningsåtgärder, åtgärder som hur som helst alltid bör vara underkastade Europeiska datatillsynsmannens kontroll.

1.6

Dessutom anser EESK att man i förslaget borde ha definierat de kompetenser och de utbildnings- och lämplighetsegenskaper som krävs för att utses till uppgiftsskyddsombud, personuppgiftsansvarig eller registerförare vid EU:s institutioner och som alltid bör vara föremål för Europeiska datatillsynsmannens kontroll och övervakning.

1.7

EESK anser dessutom att insamlade uppgifter som direkt påverkar de registrerades privatliv – i synnerhet vad gäller hälsa, skatteuppgifter och sociala uppgifter – på grund av sin specificitet borde ha begränsats till vad som är strikt nödvändigt för avsedda syften och att maximalt skydd och maximala garantier borde ha garanterats i behandlingen av sådana särskilt känsliga personuppgifter med utgångspunkt i internationella standarder, de mest avancerade nationella lagstiftningarna samt bästa praxis i vissa medlemsstater.

1.8

EESK understryker att man i förslaget uttryckligen måste planera en förstärkning av den Europeiska datatillsynsmannens medel och en tilldelning av tillräcklig personal med goda kunskaper och teknisk kompetens inom dataskydd.

1.9

EESK betonar återigen behovet av att även uppgifter om juridiska personer (företag, icke-statliga organisationer, bolag osv.) som är rättsligt etablerade skyddas vid insamling och behandling.

1.10

Slutligen föreslår EESK en rad ändringar av olika föreskrifter i sin analys som kommer att bidra till ett mer effektivt skydd av personuppgifter inom EU:s institutioner om de antas, inte bara för institutionernas tjänstemän utan även för de tusentals europeiska medborgare som kontaktar dem, och uppmanar kommissionen, men även Europaparlamentet och rådet, att beakta dessa i den slutliga utformningen av förslaget.

2.1

Enligt det som kommissionen anger i respektive motivering är syftet med dess förslag att upphäva förordning (EG) nr 45/2001  (4) och beslut nr 1247/2002/EG avseende skyddet av personuppgifter hos unionens institutioner och organ, med följande två målsättningar:

2.2

Efter en lång och besvärlig process antog rådet och Europaparlamentet slutligen den allmänna dataskyddsförordningen (5), som kommer att vara tillämplig i hela EU från och med den 25 maj 2018; denna förordning innebär en anpassning av olika lagstiftningsinstrument (6), bland annat ovan nämnda förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG.

2.3

Med beaktande av resultaten av utredningarna och samråden med berörda parter samt utvärderingsstudien beträffande dess tillämpning under de senaste 15 åren, om vilken kommissionen ger en omfattande redogörelse, konstaterade denna att

2.4

Med tanke på karaktären och omfattningen av de ändringar som skulle införas i tidigare rättsliga instrument beslutade kommissionen att upphäva dessa i sin helhet och ersätta dem med den förordning som är föremål för detta yttrande, som är förenlig med övriga, ovan nämnda bestämmelser, för att dessa ska träda i kraft samtidigt som förordning (EU) 2016/679 och på det sätt som anges i dess artikel 98.

3.1

Ur strikt teknisk-juridisk synpunkt markerar EESK sitt principiella samtycke till

3.2

Detta påverkar inte EESK:s synpunkter och rekommendationer beträffande förslaget till den allmänna dataskyddsförordningen (8), som nu har blivit den gällande allmänna dataskyddsförordningen (9), synpunkter och rekommendationer som inte har beaktats helt i denna slutliga version. EESK fruktar även att dess sena antagande och ikraftträdande, med tanke på den snabba tekniska utvecklingen inom området, ökar riskerna för att uppgifter inhämtas på olämpligt sätt och missbrukas i samband med att de behandlas och kommersialiseras och fruktar därför att förordningen riskerar att bli inaktuell innan den ens genomförts. I den mån det förslag som är föremål för detta yttrande innebär en anpassning av den allmänna dataskyddsförordningen till de europeiska institutionernas funktionssätt gäller dessa farhågor även det dokument som diskuteras, i synnerhet vad gäller den otydliga texten som är svårbegriplig för gemene man och som borde ha presenterats och diskuterats samtidigt som förslaget.

3.3

Dessutom anser EESK, med tanke på att det som sker i EU:s institutioner bör tas som exempel för förfarandena på nationell nivå, att vissa frågor borde ha tagits upp i det förslag som är föremål för detta yttrande.

3.4

Det är inte klarlagt huruvida förslaget har samordnats på ett lämpligt sätt med tjänsteföreskrifterna för tjänstemän i Europeiska unionen (förordning nr 31 EEG (10)) eftersom det saknas specifika normativa bestämmelser som garanterar att personuppgifter om institutionernas tjänstemän och medarbetare blir föremål för en mer effektiv skyddsgaranti i fråga om rekrytering, karriär, anställningsavtalets giltighetstid, eventuella förlängningar och utvärdering.

3.4.1

Om så inte görs härvid bör bestämmelser av allmän karaktär fastställas med regler beträffande tjänstemäns och deras familjemedlemmars patientjournaler, skyddet av de uppgifter som skapas eller används av tjänstemän och tillhörande genetiska uppgifter samt behandlingen och skyddet av meddelanden som skickas via e-post – både meddelanden som skickas av medborgare till EU:s organ och meddelanden som skickas eller utbytes mellan tjänstemän vid dessa organ och med omvärlden, även med avseende på meddelandenas innehåll och sidor på internet som besöks (11).

3.4.2

På samma sätt förtjänar trakasserier, cybermobbning och visselblåsning inom EU:s institutioner en särskild behandling, oavsett vad som anges i artikel 68.

3.4.3

EESK undrar dessutom hur det förslag som är föremål för detta yttrande och förordning (EU) 2016/679 ska tillämpas när det gäller sakernas internet, megadata, användningen av sökmotorer för åtkomst till, skapande av eller användning av personuppgifter samt personlig information som publiceras på institutionernas sidor på sociala nätverk (Facebook, Twitter, Instagram, LinkedIn osv.), oberoende av den registrerades uttryckliga samtycke.

3.5

EESK anser att kommissionens förslag, förutom hänvisningen till konfidentialiteten vid elektronisk kommunikation i artikel 34, borde ha försökt att ange säkerhetsvillkoren för de it-system som ska användas för behandlingen av uppgifter samt garantierna mot cyberattacker och överträdelser mot eller läckor av sådana uppgifter (12), för att säkerställa deras teknologiska neutralitet, och inte bara hänvisa dessa till specifika interna normer för varje tjänst och även att relationen mellan skyddet av uppgifter och kampen mot brottslighet och terrorism borde klargöras bättre utan att detta skulle innebära ett antagande av oproportionerliga eller orimliga övervakningsåtgärder och åtgärder som alltid är underkastade Europeiska datatillsynsmannens kontroll.

3.6

EESK betonar att samkörningar av personuppgifter inom EU:s organisationer inte bara kan regleras av den ansvarsprincip som anges i skäl 16 och uppmanar kommissionen att införa en specifik regel som fastställer att samkörningar endast får utföras efter godkännande av Europeiska datatillsynsmannen, på begäran av den ansvarige för behandlingen eller, tillsammans med denne, registerföraren.

3.7

EESK anser även att förslaget, utan att påverka det som anges i punkt 51 i ingressen och i artikel 44, punkt 3, i förslaget, borde ha definierat de kompetenser och utbildnings- och lämplighetsegenskaper som krävs för att utses till uppgiftsskyddsombud, personuppgiftsansvarig eller registerförare vid EU:s institutioner (13), vars eventuella överträdelser av sina skyldigheter bör vara föremål för avskräckande påföljder på disciplinär, civilrättslig och straffrättslig nivå som anges i förslaget och alltid är föremål för Europeiska datatillsynsmannens kontroll och övervakning.

3.8

Även om EESK erkänner att det förslag som är föremål för detta yttrande höjer skyddsnivån i förhållande till den aktuella förordningen (EG) nr 45/2001 anser kommittén att förslaget, på grund av specificiteten hos insamlade uppgifter som direkt påverkar de registrerades privatliv, i synnerhet vad gäller hälsa, skatteuppgifter och sociala uppgifter, borde ha begränsat sådana uppgifter till vad som är strikt nödvändigt för avsedda syften och borde ha erbjudit maximalt skydd och maximala garantier i behandlingen av personuppgifter, med utgångspunkt i internationella standarder, de mest avancerade nationella lagstiftningarna samt bästa praxis i vissa medlemsstater (14).

3.9

Även om kommittén är medveten om att både förordning (EU) 2016/679 och det förslag som är föremål för detta yttrande endast är tillämpliga på uppgifter om enskilda personer betonar EESK återigen behovet av att även uppgifter om juridiska personer (företag, icke-statliga organisationer, bolag osv.) som är rättsligt etablerade skyddas vid insamling och behandling.

4.1

Analysen av förslagstexten skapar vissa tvivel och betänkligheter mot bakgrund av de grundläggande principer för försvar av privatlivet som anges i Europeiska unionens stadga om de grundläggande rättigheterna samt principerna om proportionalitet och försiktighet.

4.3.1

Med tanke på att den förordning som är föremål för detta yttrande är tillämplig för uppgifter som behandlas inom ramen för EU:s institutioner förväntar sig EESK att se ett uttryckligt införande av principen om icke-diskriminering med hänsyn till de uppgifter som behandlas.

4.3.2

När det gäller artikel 4.1 b, i fråga om behandling för offentliga arkiveringssyften, vetenskapliga eller historiska undersökningar eller statistiska syften, bör en föregående auktorisering av Europeiska datatillsynsmannen krävas för sådana behandlingar, vilket inte anges i artikel 58.

4.3.3

Slutligen anser EESK att det bör finnas en uttrycklig bestämmelse motsvarande nuvarande artikel 7 i förordning (EG) nr 45/2001 när det gäller överföringar av uppgifter mellan EU:s institutioner.

4.4.1

EESK förstår inte varför artikel 5.1 b i förordningsförslaget inte omfattas av det som anges i punkt 2 i samma artikel, i motsats till vad som gäller för artikel 6 c och e, som båda omfattas av bestämmelserna i punkt 3 i den allmänna dataskyddsförordningen.

4.4.2

EESK anser att det bör läggas till i led d att samtycket ska vara föremål för en princip om god tro.

4.5.1

Tillämpningen av denna artikel bör alltid vara föremål för en auktorisering av Europeiska datatillsynsmannen.

4.5.2

I dessa fall bör den registrerade alltid informeras i förväg vid insamlingen eller i det ögonblick som ett nytt beslut fattas och kan eventuellt begära en rättelse, göra invändningar eller kräva radering eller begränsning av denna behandling.

4.6.1

Kommittén är införstådd med att undantaget för ett samtyckes giltighet för barn under 16 år (mellan 13 och 16 år), vilket redan i sig är orimligt, endast kan tillåtas för medlemsstaterna av kulturella och interna juridiska skäl (artikel 8 i den allmänna dataskyddsförordningen) men inte bör tillåtas som regel för EU-institutionerna (artikel 8.1), för vilka den fastställda åldern är 13 år.

4.6.2

Vidare fastställs inte på vilket sätt Europeiska datatillsynsmannen bör utveckla den ”särskilda uppmärksamhet” med barnen som nämns i artikel 58.1 b, i synnerhet när det gäller de användarförteckningar som anges i artikel 36 när användarnas uppgifter är tillgängliga för allmänheten.

4.7.1

I punkt 1 bör även partitillhörighet (som inte är synonymt med politisk åskådning) och privatlivet inkluderas.

4.7.2

I punkt 2 b bör, för uppfyllande av skyldigheter och utövande av den registrerades specifika rättigheter, alltid föregående kännedom ges till den registrerade.

4.7.3

I punkt 2 d bör behandlingen bara kunna utföras om den registrerade samtycker.

4.7.4

Led e bör endast utgöra ett undantag under förutsättning att ett samtycke till behandlingen av uppgifterna legitimt kan härledas till deras uttalanden.

4.9.1

När det gäller de ytterligare uppgifter som anges i artikel 15.2 bör även ett krav läggas till om att den registrerade ska informeras om huruvida ett svar från den ansvarige för behandlingen är obligatoriskt eller frivilligt, liksom de möjliga konsekvenserna om ett svar uteblir.

4.9.2

Vid insamling av uppgifter i öppna nätverk bör den registrerade alltid informeras när dennes personuppgifter kan komma att cirkulera på nätverken utan säkerhet och riskerar att ses och användas av obehöriga tredje parter.

4.9.3

Den rättighet som anges i artikel 17.1 bör erhållas fritt och utan begränsning, med en rimlig frekvens, på ett snabbt eller omedelbart sätt och utan kostnad.

4.9.4

EESK föreslår att det ska vara obligatoriskt att ge den registrerade en bekräftelse på att uppgifter beträffande denne kommer eller inte kommer att behandlas.

4.9.5

Den information som tillhandahålls i artikel 17.1 bör tillhandahållas på ett begripligt och tydligt sätt, särskilt när det gäller de uppgifter som är föremål för behandling och eventuell information beträffande ursprunget till dessa uppgifter.

4.11.1

EESK anser att det bör tilläggas i punkt 2 c att detta samtycke endast är möjligt efter uttrycklig information om konsekvenserna av besluten om den registrerades juridiska situation eftersom det bara är då som samtycket blir informerat på vederbörligt sätt.

4.11.2

Vad gäller punkt 3 anser EESK att de adekvata åtgärderna bör definieras av Europeiska datatillsynsmannen och inte av den ansvarige för behandlingen.

4.12.1

EESK fruktar att formuleringen i artikel 25 i förordningsförslaget representerar en alltför bred tolkning av artikel 23 i den allmänna dataskyddsförordningen vad gäller begränsningarna vid tillämpningen av de åtgärder som den registrerades grundläggande rättigheter fastställer och tillråder en kritisk granskning av artikeln genom en detaljerad och eventuellt begränsande analys av de olika punkterna, i synnerhet när det gäller den begränsning av rätten till konfidentialitet på elektroniska kommunikationsnät som anges i artikel 7 i stadgan om de grundläggande rättigheterna. Denna beaktas i det aktuella direktivet om integritet och elektronisk kommunikation och behålls i det förordningsförslag som behandlas i ett annat yttrande från EESK.

4.12.2

EESK motsätter sig helt den möjlighet som anges i artikel 25.2 vad gäller möjligheten att EU:s institutioner och organ begränsar tillämpningen av de begränsningar av de registrerades rättigheter som inte härrör från uttryckliga juridiska handlingar som auktoriserar dessa. Detta gäller även artikel 34.

—

förhindra tillträde av obehöriga personer till de installationer som används för behandlingen av dessa data,

—

förhindra att datamedier kan läsas, kopieras, ändras eller avlägsnas av obehöriga personer,

—

förhindra obehörig inmatning, liksom obehörig kännedom, ändring eller radering av införda personuppgifter,

—

förhindra att system för automatisk databehandling kan användas av obehöriga personer via anläggningar för överföring av data,

—

garantera verifieringen av de enheter som personuppgifter kan överföras till,

—

garantera att behöriga personer endast får åtkomst till de uppgifter som omfattas av föregående auktorisering.

4.20.1

Trots ovanstående bör uppgiftsskyddsombudet – om denne inte är en tjänsteman – med hänsyn till tjänstens karaktär kunna entledigas när som helst, och det ska räcka med ett positivt yttrande från Europeiska datatillsynsmannen (artikel 45.8 i förordningen).

4.20.2

EESK anser att uppdragsperioden bör fastställas till fem år och endast kunna förlängas en gång.

4.25

Förslaget till förordning är fullt av uttryck eller begrepp av tvetydig eller subjektiv karaktär som det är tillrådligt att revidera och ändra. Det gäller till exempel uttrycken ”i den mån det är möjligt”, ”om det är möjligt”, ”utan onödigt dröjsmål”, ”hög risk”, ”med vederbörlig hänsyn”, ”rimlig period”, ”särskilt relevant”.