25.8.2011

SV

Europeiska unionens officiella tidning

C 248/123

---

Yttrande från Europeiska ekonomiska och sociala kommittén om ”Kommissionens meddelande till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén – Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen”

KOM(2010) 609 slutlig

2011/C 248/21

Föredragande: Peter MORGAN

Den 4 november 2010 beslutade Europeiska kommissionen att i enlighet med artikel 304 i fördraget om Europeiska unionens funktionssätt rådfråga Europeiska ekonomiska och sociala kommittén om

”Kommissionens meddelande till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén – Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen”

KOM(2010) 609 slutlig.

Facksektionen för sysselsättning, sociala frågor och medborgarna, som svarat för kommitténs beredning av ärendet, antog sitt yttrande den 27 maj 2011.

Vid sin 472:a plenarsession den 15–16 juni 2011 (sammanträdet den 16 juni) antog Europeiska ekonomiska och sociala kommittén följande yttrande med 155 röster för, 9 emot och 12 nedlagda röster.

1.   Slutsatser och rekommendationer

1.1   EU:s lagstiftning i fråga om uppgiftsskydd bygger på ett direktiv från år 1995 (95/46/EG). Detta direktiv hade följande två målsättningar:

(1)	Medlemsstaterna skall skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.

(2)	Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.

Det är mycket viktigt att åstadkomma en balans mellan dessa målsättningar så att de inte strider mot varandra. Det främsta syftet med den nya lagstiftningen måste vara att inrätta en rättslig ram som gör det möjligt att uppnå båda målsättningarna.

1.2   EESK välkomnar detta meddelande som beskriver kommissionens metoder för att uppdatera direktivet om skydd av personuppgifter (95/46/EG). Den explosionsartade tekniska utvecklingen leder till en exponentiell ökning av den totala mängden personuppgifter som behandlas på internet, vilket innebär att skyddet av personuppgifter måste öka i motsvarande takt för att man ska kunna undvika omfattande intrång i människors privatliv. Möjligheterna till insamling, samkörning och behandling av uppgifter från flera olika källor måste begränsas med omsorg. Den offentliga sektorn förfogar över många register som innehåller olika slags information om förhållandet mellan medborgare och stat. Man bör inte samla in fler uppgifter än de som är absolut nödvändiga för det aktuella ändamålet, och det måste finnas ett förbud mot att samla alla dessa uppgifter av olika slag i en enda stor ”big brother-databas”.

1.3   Samtidigt manar EESK till försiktighet. Den lagstiftning som reglerar den ekonomiska verksamheten måste vara stabil och förutsebar. EESK ställer sig därför bakom en adekvat översyn av direktivet om skydd av personuppgifter.

1.4   I meddelandet konstateras att ett återkommande bekymmer för aktörerna, i synnerhet de multinationella företagen, är bristen på harmonisering mellan medlemsstaternas lagstiftning om skydd av personuppgifter, trots att det finns en gemensam rättslig ram på EU-nivå. EESK föreslår att den nya lagstiftningen ska ligga till grund för ett mer enhetligt skydd av arbetstagares personuppgifter i EU som helhet, vilket inbegriper en europeisk ram med syftet att stärka tydligheten och säkerheten ur rättsligt perspektiv. I detta sammanhang välkomnar EESK framför allt planerna dels på att införa ett krav på att det ska utses oberoende uppgiftsskyddsombud på företagen och dels på att harmonisera reglerna för dessa skyddsombuds arbetsuppgifter och befogenheter.

1.5   Med hänsyn dels till att det kan uppstå en konflikt mellan den personliga integriteten och det kommersiella utnyttjandet av uppgifter om enskilda individer, dels till att mycket står på spel i denna process, måste människor bli allt mer medvetna om varför uppgifter om dem samlas in, och vilka befogenheter de har när det gäller kontrollen över uppgifterna när de en gång har samlats in. För att detta projekt verkligen ska kunna få ett brett genomslag anser EESK att det är en absolut nödvändighet att lagstiftningen verkligen efterlevs och att det finns en möjlighet till rättslig prövning. Dessutom måste den gränsöverskridande dimensionen beaktas.

1.6   Vad avser EU:s medborgare bör man inom EU tillämpa den lagstiftning som gäller i den medlemsstat där uppgifterna lagras och där den registeransvarige befinner sig. För skyddsberättigade personer, framför allt arbetstagare och konsumenter, borde den lagstiftning för skydd av personuppgifter tillämpas som gäller på den ort där de har sin hemvist.

1.7   Frågan om barns situation behandlas endast i förbigående. Det borde finnas ett särskilt fokus på barns integritet. Om det fanns en rätt till radering skulle man kunna radera uppgifter som registreras på grund av barns oförstånd eller tonåringars felsteg, men en sådan rättighet är kanske inte möjlig att införa i praktiken.

1.8   Den nuvarande definitionen av ”känsliga uppgifter” måste förtydligas eftersom det ständigt lagras nya slags elektroniska uppgifter om enskilda individer. Den omfattande och urskillningslösa användningen av övervakningskameror oroar EESK. Det är ytterst viktigt att man tillämpar de lagar som har stiftats för att motverka felaktig användning av dessa bilder. GPRS-uppgifter som kan användas för att kartlägga var en enskild person befinner sig är en annan omtvistad fråga. Biometriska uppgifter samlas in i allt större utsträckning. Definitionen bör inbegripa sådan ny teknik och sådana nya metoder som dessa, och den bör också lämna utrymme för fortsatt teknisk utveckling. Det kan bli nödvändigt att fastställa principer från fall till fall. EESK ställer sig bakom en lämplig användning av dessa nya teknikformer.

1.9   Kommittén är medveten om att mellanstatligt polissamarbete är ett känsligt område, och påpekar i detta sammanhang att det är ytterst viktigt att man i alla skeden tar största möjliga hänsyn de grundläggande rättigheterna, bland annat i fråga om skydd av personuppgifter.

1.10   EESK stöder kommissionens övergripande målsättning att garantera att EU:s regler om uppgiftsskydd tillämpas på ett mer enhetligt sätt i alla medlemsstater. EESK är orolig för att direktiv 95/46/EG kanske inte har genomförts fullt ut och på ett effektivt sätt ännu i alla de 12 nya medlemsstaterna.

1.11   EESK anser att de nationella myndigheterna med ansvar för uppgiftsskyddsfrågor i allmänhet är tandlösa och dignar under en stor arbetsbörda, och att de behöver få en mer oberoende ställning. Alla eventuella nya direktiv bör ställa som krav att de nationella myndigheterna har den status, de befogenheter och de resurser som krävs för att de ska kunna sköta sin verksamhet.

1.12   Artikel 29-gruppen har så här långt på ett värdefullt sätt bidragit till skyddet av enskilda personers integritet i samband med behandling av personuppgifter, och därför anser EESK att denna grupp fyller en viktig funktion i det arbete som pågår.

1.13   När det gäller EU:s digitala agenda uppmanar EESK kommissionen att överväga möjligheten att inrätta en EU-myndighet med uppgift att undersöka internets samhällseffekter i bredare bemärkelse över en period på 10–20 år. De nuvarande bestämmelserna i fråga om skydd av personuppgifter och nätsäkerhet i vidare bemärkelse blir allt mer otillräckliga ju längre tiden går. Samhället halkar efter. Vad beträffar skyddet av personuppgifter rekommenderar EESK att det utses en datatillsynsman med ansvar för hela EU. Den befintliga Europeiska datatillsynsmannen arbetar bara med frågor som rör EU:s institutioner. Det som behövs är en tillsynsman med ansvar för medlemsstaternas samordning och operativa standarder. En sådan tjänst skulle dock, om den tillsätts, endast utgöra en del av den övergripande myndighet som kommittén ser framför sig.

2.   Inledning

2.1   EESK ställer sig fortfarande bakom de principer som låg till grund för det direktiv som antogs år 1995. Här följer förenklade utdrag från direktivet. De ger tydligt uttryck för de principer saken gäller.

—

Artikel 6 Medlemsstaterna ska se till att personuppgifter (a) behandlas på ett korrekt och lagligt sätt, (b) samlas in för särskilda, uttryckligt angivna och berättigade ändamål, (c) är adekvata och relevanta och inte omfattar mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de samlas in och för vilka de senare behandlas, (d) är riktiga och om nödvändigt hålls aktuella, (e) bevaras i en form som gör det möjligt att identifiera de registrerade personerna under en tidsperiod som inte är längre än absolut nödvändigt med avseende på de ändamål för vilka de bevaras.

—

Artikel 7 Medlemsstaterna ska föreskriva att personuppgifter får behandlas endast om a) den registrerade otvetydigt har lämnat sitt samtycke, eller b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part, eller c) behandlingen krävs för att uppfylla en rättslig förpliktelse som åvilar den registeransvarige, eller d) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade, eller e) behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse, eller f) behandlingen är nödvändig för ändamål som rör berättigade intressen hos den registeransvarige.

—	Artikel 8 Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv.

2.2   Under det senaste decenniet har förutsättningarna ändrats avsevärt genom de nya bestämmelserna i artikel 16 i Lissabonfördraget och artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna.

2.3   I kommissionens meddelande beskrivs hur kommissionen ska modernisera EU:s rättsliga ram för skyddet av personuppgifter på alla EU:s verksamhetsområden, med särskild hänsyn till de utmaningar som globaliseringen och den nya tekniken medför, för att garantera enskilda ett gott skydd i samband med behandling av personuppgifter på alla EU:s verksamhetsområden.

2.4   I dag kan information utbytas mellan människor i olika världsdelar på både enklare och snabbare sätt än förut. En enskild individs personliga uppgifter – e-postmeddelanden, foton och elektroniska kalendrar – kan skapas i Storbritannien med hjälp av mjukvara på en server i Tyskland, för att därefter behandlas i Indien, lagras i Polen och vara åtkomliga för en italiensk medborgare som befinner sig i Spanien. Denna snabba ökning av de världsomspännande informationsflödena utgör en stor utmaning för skyddet av den enskildes personliga integritet vid behandling av personuppgifter. Frågor relaterade till skyddet av personuppgifter, bland annat beträffande deras gränsöverskridande dimension, påverkar människor varje dag – i deras arbete, i kontakten med myndigheter, vid köp av varor och tjänster eller när de är ute och reser eller surfar på internet.

2.5   Under år 2011 kommer kommissionen att föreslå lagstiftning som syftar till en översyn av den rättsliga ramen för uppgiftsskydd. Syftet med detta är att stärka EU:s ståndpunkt i fråga om skyddet av personuppgifter inom alla EU:s politikområden, däribland brottsbekämpning och brottsförebyggande åtgärder, med särskild hänsyn till de specifika förutsättningarna inom dessa områden. Åtgärder utöver lagstiftning, såsom uppmuntran till självreglering och initiativ till en undersökning av möjligheten att införa en europeisk integritetsmärkning, kommer att genomföras parallellt.

2.6   Kommissionen kommer även att inrätta en lämplig form av tillsyn för att kontrollera att EU-lagstiftningen på området införlivas på ett korrekt sätt. Detta kommer att ske genom att en aktiv överträdelsepolitik bedrivs när regler om uppgiftsskydd inte införlivas och tillämpas på ett korrekt sätt.

2.7   Det samlade greppet på skyddet av personuppgifter har följande centrala målsättningar:

—	Stärka enskildas rättigheter.

—	Stärka inremarknadsaspekten.

—	Göra en översyn av reglerna om uppgiftsskydd inom det polisiära och straffrättsliga samarbetet.

—	Uppgiftsskyddets globala dimension.

—	Tydligare institutionella arrangemang för en effektivare tillämpning av reglerna om uppgiftsskydd.

Stycke 3–7 nedan innehåller en sammanfattning av dessa målsättningar och EESK:s synpunkter på förslagen. Rubrikerna i fet stil följer meddelandets disposition. Den kursiva texten är en sammanfattning av texten.

3.   Stärka enskildas rättigheter

3.1   Garantera enskilda lämpligt skydd i alla situationer

Rätten till skydd av personuppgifter ingår i EU:s stadga om de grundläggande rättigheterna. Definitionen av begreppet personuppgifter syftar till att inbegripa varje upplysning som avser en identifierad eller identifierbar fysisk person. Man kommer att överväga åtgärder för att garantera en konsekvent tillämpning av bestämmelserna om skydd av personuppgifter, med hänsyn till hur den nya tekniken påverkar enskildas fri- och rättigheter i syfte att garantera rörligheten för personuppgifter på den inre marknaden.

3.1.1   Den fria rörligheten för personuppgifter på den inre marknaden är nödvändig för att marknaden ska fungera ordentligt, men innebär också ett potentiellt hot mot den enskildes integritet om företag har tillgång till uppgifter om de anställda. Vissa specifika säkerhetsåtgärder behöver vidtas, till exempel beträffande de registeransvarigas ansvarighet vid multinationellt utbyte av uppgifter och kryptering av uppgifter av känsligare karaktär.

3.1.2   EESK skulle vilja påpeka att arbetsmarknadsaspekterna praktiskt taget har utelämnats i det föreliggande meddelandet, och att de inte heller tas upp i den övergripande debatten om skydd av personuppgifter i Europa. Det arbete som redan har utförts på EU-nivå bör användas som utgångspunkt, i synnerhet de förslag som har lagts fram av artikel 29-gruppen.

3.2   Öka de registrerades insyn

Insyn är grundläggande för att individerna ska kunna kontrollera sina egna uppgifter och för att personuppgifterna ska få ett effektivt skydd. Man kommer att överväga möjligheten att införa en allmän princip om insynsvänlig behandling av personuppgifter, särskilda skyldigheter för registeransvariga (särskilt i fråga om barn), standardmeddelanden om skydd av personuppgifter och obligatorisk anmälan av personuppgiftsbrott.

3.2.1   Standardmeddelanden är att föredra eftersom de förebygger intressekonflikter. Det bör vara frivilligt att använda dem.

3.2.2   Insyn löser inte nödvändigtvis problemet med ensidiga avtalsvillkor. Det är viktigt att utveckla striktare regler för att lägga grunden till ett mer omfattande skydd mot oskäliga villkor.

3.2.3   Frågan om barns situation behandlas endast i förbigående. Det borde emellertid finnas ett särskilt fokus på barns integritet. Om det fanns en rätt till radering skulle man kunna radera uppgifter som registreras på grund av barns oförstånd eller tonåringars felsteg, men en sådan rättighet kanske inte är möjlig att införa i praktiken. (Se 3.3.2 nedan).

3.2.4   Den nya lagstiftningen måste på ett tydligt sätt beskriva vilken roll den som ansvarar för behandlingen av uppgifter respektive den som ansvarar för registreringen av uppgifter spelar, så att det inte råder några tvivel om vilka de är eller om vilka skyldigheter och rättigheter var och en av dem har.

3.2.5   EESK stöder förslaget om obligatorisk anmälan av personuppgiftsbrott, men anser samtidigt att denna åtgärd kanske inte är tillämplig vid alla incidenter, inom alla områden och under alla omständigheter.

3.3   Förbättra kontrollen över de egna uppgifterna

Två viktiga förutsättningar är att behandlingen av uppgifter begränsas till vissa syften (dataminimering) och att den registrerade behåller en faktisk kontroll över sina egna uppgifter. Man kommer att överväga möjligheten att skärpa principen om dataminimering, förbättra villkoren för utövandet av rätten att få tillgång till, korrigera, utplåna eller blockera uppgifter, ge en klarare bild av rätten till radering samt se till att det finns en uttrycklig rätt till uppgiftsportabilitet.

3.3.1   Rent generellt stöder EESK varje ansträngning för att stärka den personliga integriteten. Enskilda bör ha rätt att fritt tillgå alla uppgifter som samlats in om dem. Fri tillgång till kreditvärderingsuppgifter är ett exempel på hur detta skulle kunna tillämpas i praktiken. Att kunna dra tillbaka ett medgivande utan motivering och att ha verklig rätt till radering är grundläggande förutsättningar, men den personliga integriteten skulle stärkas i ännu större utsträckning om färre uppgifter samlades in redan från början. Därför uppmanar EESK kommissionen att se till att förslaget om att skärpa principen om dataminimering verkligen omsätts i praktiken.

3.3.2   Rätten att till radering är visserligen en lockande tanke, men den kommer att vara svår att förverkliga eftersom uppgifter sprids mycket snabbt på internet, och dessutom finns det många tekniska verktyg som raderar uppgifter utan att de verkligen försvinner.

3.4   Öka medvetenheten

Medvetandegörande åtgärder borde främjas, bl.a. presentation av klar och tydlig information på webbplatser med tydligt angivande av de registrerades rättigheter och de registeransvarigas ansvar. Den bristande medvetenheten bland ungdomar är särskilt oroväckande.

3.4.1   Det kommer att bli svårt att åstadkomma den beteendeförändring som krävs, framför allt med tanke på att medvetenheten bland användarna om konsekvenserna av de mängder av uppgifter som de lämnar ifrån sig inte har ökat i samma snabba takt som de sociala nätverken utvecklats. I princip vore det trevligt med obligatoriska varningsmeddelanden för varje internettjänst men detta skulle samtidigt kunna bli problematiskt för företagen. Man borde överväga möjligheten att införa protokoll för att informera användarna fördelade på olika tjänstekategorier – internethandel, tjänsteleverantörer för internet, sökmotorer, sociala nätverk osv.

3.4.2   Kommittén ställer sig positiv till kommissionens planer på att erbjuda EU-medel till stöd för medvetandegörande åtgärder. EESK skulle vilja att detta stöd även omfattade medfinansiering av medvetandegörande åtgärder som arbetsmarknadsparterna och det civila samhällets organisationer genomför på europeisk och nationell nivå.

3.5   Kräva välinformerat och frivilligt samtycke

Kommissionen kommer att undersöka hur man skulle kunna förtydliga och skärpa bestämmelserna om samtycke.

3.5.1   Vilken typ av samtycke som krävs borde även i fortsättningen vara knutet till vilken typ av uppgifter som behandlas och inte till vilken typ av teknik som används. Kommittén befarar dock att det i de flesta fall där samtycke ges på internet inte ges någon bekräftelse på denna överenskommelse och att det inte heller finns några effektiva mekanismer för att återkalla ett samtycke. I vissa fall innebär samtycke dessutom bara att man klickar på en knapp för att godkänna en mängd villkor där själva samtycket bara utgör en liten del. För att samtycke i fråga om kontroll över uppgifter ska vara meningsfullt, välinformerat och specifikt bör det ges genom ett enkelt och separat dokument.

3.5.2   För organisationer och företag med verksamhet på internet är behandlingen av personuppgifter mycket viktig. Standardalternativet är helt klart fördelaktigt för operatören men om det inte genomförs på ett lämpligt sätt kan det vara till nackdel för kunden. Användningen av det borde kringgärdas så att alla operatörer har en skyldighet att erbjuda sina kunder ett standardalternativ som innebär att deras personliga integritet respekteras om kunderna så önskar.

3.5.3   För att samtycke ska kunna ges av fri vilja måste också kontraktet vara rättvist. Man måste fastställa principer för att undgå otillbörliga affärsmetoder.

3.6   Skydda känsliga uppgifter

Man kommer att överväga möjligheten att bredda definitionen av ”känsliga uppgifter” till exempelvis genetiska uppgifter och att ytterligare harmonisera villkoren för behandling av känsliga uppgifter.

3.6.1   Den nuvarande definitionen av ”känsliga uppgifter” måste förtydligas eftersom det ständigt lagras nya slags elektroniska uppgifter om enskilda individer. Den omfattande och urskillningslösa användningen av övervakningskameror bekymrar EESK. Det är ytterst viktigt att man tillämpar de lagar som har stiftats för att motverka felaktig användning av dessa bilder. GPRS-uppgifter om var en enskild person befinner sig är en annan tvistefråga. Insamlingen av biometriska uppgifter blir allt mer omfattande. Definitionen borde omfatta sådan ny teknik och sådana nya metoder och den borde också vara tillämplig på teknik som utvecklas framöver. Det kan bli nödvändigt att fastställa principer från fall till fall. EESK är för en lämplig användning av dessa nya teknikformer.

3.6.2   Förstärkt skydd av känsliga uppgifter borde också erbjudas. För vissa känsliga uppgifter borde kryptering vara ett krav. Bästa tillgängliga teknik borde användas. De registeransvariga borde hållas ansvariga för eventuella brister i skyddet.

3.7   Göra rättsmedel och påföljder mer verkningsfulla

Man kommer att överväga möjligheten att utsträcka rätten att väcka talan vid nationell domstol och att även inkludera brottspåföljder vid allvarliga överträdelser.

3.7.1   Med hänsyn till att det kan uppstå en konflikt mellan den personliga integriteten och det kommersiella utnyttjandet av uppgifter om enskilda individer och vad som står på spel i denna process, måste människor bli allt mer medvetna om varför uppgifter om dem samlas in, och vilken kontroll de har över uppgifterna när de en gång har samlats in. För att detta projekt verkligen ska kunna få ett brett genomslag anser EESK att det är absolut nödvändigt att lagstiftningen verkligen efterlevs och att det finns en möjlighet till rättslig prövning. Dessutom måste man beakta den gränsöverskridande dimensionen.

3.7.2   Man borde undersöka möjligheten till grupptalan som en lösning vid extrema brister i säkerheten. Man borde överväga möjligheten att låta företag, yrkessammanslutningar och fackföreningar representera enskilda individer och väcka talan inför domstol.

4.   Stärka inremarknadsaspekten

4.1   Öka rättssäkerheten och ge de registeransvariga likvärdiga förutsättningar

Det finns ett starkt samband mellan dataskyddet i EU och den inre marknaden. Man kommer att undersöka möjligheterna till ytterligare harmonisering av bestämmelserna om skydd av personuppgifter på EU-nivå.

4.1.1   EESK befarar att medlemsstaternas möjligheter att fatta egna beslut enligt direktiv 95/46/EG har skapat problem med genomförandet. En förordning skulle här ha kunnat skapa större säkerhet. Harmoniseringen borde genomföras med utgångspunkt i en uppsättning normer som motsvarar direktivets krav.

4.1.2   Inte någonstans i meddelandet talas det om arbetstagare och deras tillgång till personuppgifter som arbetsgivarna besitter. I multinationella företag som kan centralisera sina register inom eller till och med utanför EU måste arbetstagarnas klart definierade rätt till tillgång ingå som en del av den nya lagstiftningen.

4.2   Minska byråkratin för de registeransvariga

Man kommer att undersöka olika möjligheter att förenkla och harmonisera dagens anmälningssystem, till exempel med hjälp av ett anmälningsformulär för hela EU. Anmälningarna skulle kunna offentliggöras på internet.

4.2.1   Kommittén skulle ställa sig mycket positiv till dessa initiativ.

4.3   Förtydliga bestämmelserna om tillämplig lagstiftning och medlemsstaternas ansvar

Registeransvariga och tillsynsmyndigheter i medlemsstaterna vet inte alltid vilken medlemsstat som är ansvarig och vilken lag som är tillämplig när flera medlemsstater berörs. Globaliseringen och den tekniska utvecklingen förvärrar detta problem. Man kommer att se över och förtydliga de befintliga bestämmelserna om tillämplig lagstiftning för att öka rättsäkerheten och förtydliga medlemsstaternas ansvar.

4.3.1   Vad avser EU:s medborgare bör man inom EU tillämpa den lagstiftning som gäller i den medlemsstat där uppgifterna lagras och där den registeransvarige befinner sig. För skyddsberättigade deltagare i datatrafiken, framför allt arbetstagare och konsumenter i EU, borde med avseende på innehåll och förfaranden den lagstiftning för skydd av personuppgifter tillämpas som gäller på den ort där arbetstagaren eller konsumenten har sin hemvist.

4.4   Öka de registeransvarigas ansvar

Kommissionen kommer att undersöka hur man kan se till att registeransvariga vidtar verkningsfulla åtgärder och inför system för att se till att bestämmelserna om skydd av personuppgifter följs. Man kommer att överväga möjligheten att göra det obligatoriskt att utse ett oberoende uppgiftsskyddsombud och harmonisera bestämmelserna om deras uppdrag, i syfte att göra bedömningar av hur skyddet av personuppgifter påverkas till ett krav. Kommissionen kommer ytterligare att främja användningen av integritetsfrämjande teknik och tillämpningen av inbyggda skyddsmekanismer.

4.4.1   Med integritetsfrämjande teknik och inbyggda skyddsmekanismer kan man överföra bestämmanderätten från de registeransvariga, som annars kan hamna i en intressekonflikt med de kommersiella prioriteringarna inom de egna organisationerna. EESK uppmanar kommissionen att initiera ytterligare undersökningar och utveckla dessa verktyg eftersom de kan komma att stärka skyddet av personuppgifter och samtidigt undanröja intressekonflikter. Dessa verktyg skulle i bästa fall kunna bli obligatoriska.

4.4.2   För att undanröja tvivel borde de registeransvariga hållas ansvariga för alla aspekter av behandlingen av de uppgifter som de ansvarar för. När det handlar om underleverantörer eller verksamhet i andra länder borde kontraktet innehålla en fullständig specificering av alla krav i fråga om personlig integritet.

4.4.3   EESK anser att varje medlemsstat borde inrätta en yrkessammanslutning med ansvar för uppgiftsskyddsombudens färdigheter och certifiering.

4.4.4   Genomförandet av bestämmelserna under denna rubrik borde ligga i linje med målet att minska byråkratin för de registeransvariga som tas upp i punkt 4.2.

4.5   Uppmuntra självreglering och undersöka system för EU-certifiering

Kommissionen kommer att utreda möjligheterna att ytterligare uppmuntra självreglering, t.ex. uppförandekodexar, och undersöka möjligheterna till ett system för EU-certifiering.

4.5.1   Se punkt 3.7.1 ovan: Frågan om lagstiftningens efterlevnad och möjligheterna till prövning är mycket viktig för EESK. Dessa förslag är intressanta genom att de kan bidra till att minska den enorma börda som företagen åläggs genom lagstiftningen. I varje medlemsstat borde man finansiera ett kompendium eller en guide om bästa praxis.

5.   Göra en översyn av reglerna om uppgiftsskydd inom det polisiära och straffrättsliga samarbetet

EU:s instrument för skydd av personuppgifter inom ramen för det polisiära och straffrättsliga samarbetet är ett rambeslut om rättsliga och inrikes frågor från 2008. Det har många brister som kan påverka enskilda individers möjligheter att tillvarata sina rättigheter till uppgiftsskydd på sådana områden som att få veta vilka personuppgifter om dem som behandlas och överförs, av vem och i vilket syfte, samt om hur man tillvaratar sina rättigheter, t.ex. när det gäller att få tillgång till uppgifter om sig själv.

Man kommer att beakta i vilken utsträckning de allmänna reglerna om skydd av personuppgifter tillämpas inom det polisiära och straffrättsliga samarbetet, vid införande av nya bestämmelser på sådana områden som behandling av genetiska uppgifter, överläggningar om en översyn av övervakningssystemen på området och bedömning av behovet av att på lång sikt anpassa olika sektorsspecifika regler inom den nya allmänna ramen för uppgiftsskydd.

5.1   Kommittén är medveten om att mellanstatligt polissamarbete är ett känsligt område och påpekar i detta sammanhang att det är ytterst viktigt att man i alla skeden tar största möjliga hänsyn de grundläggande rättigheterna, bland annat i fråga om skydd av personuppgifter. EESK befarar dock att säkerhetsöverväganden, hur irrelevanta de än är, ofta leder till att grundläggande rättigheter åsidosätts. Enskilda individer måste bli bättre informerade om vilka metoder myndigheterna använder för att samla in personuppgifter (från telefonräkningar, bankkonton, flygplatskontroller m.m.) och i vilket syfte de gör detta.

6.   Uppgiftsskyddets globala dimension

6.1   Klargöra och förenkla reglerna för internationell överföring av uppgifter

Kommissionen har för avsikt att undersöka hur man ska kunna

—	förbättra och strömlinjeforma nuvarande förfaranden för internationell överföring av uppgifter för att därigenom säkerställa en enhetligare och konsekventare EU-linje visavi tredjeländer och internationella organisationer,

—	på ett bättre sätt ange kriterierna och kraven för bedömning av nivån på uppgiftsskyddet i ett tredjeland eller inom internationella organisationer,

—	definiera nyckelelement avseende skyddet av personuppgifter i EU som kan användas i internationella avtal.

6.1.1   EESK stöder dessa värdefulla initiativ och hoppas att kommissionen kan uppnå den breda internationella överenskommelse som krävs för att dessa förslag ska bli effektiva.

6.2   Främja övergripande principer

Europeiska unionen måste fortsätta att driva på utvecklingen och främjandet av internationella juridiska och tekniska normer för skydd av personuppgifter. Kommissionen kommer därför att vara aktiv i frågan om internationella normer och i samarbetet med tredjeländer och internationella organisationer, såsom OECD.

6.2.1   EESK ställer sig bakom även detta. Med tanke på internets globala karaktär är det mycket viktigt att det finns samstämmiga regler och riktlinjer mellan kontinenterna. Personuppgifter måste åtnjuta ett gränsöverskridande skydd. Vi noterar att det redan finns OECD-riktlinjer och att Europarådets konvention nr 108 finns. Denna senare konvention håller på att ses över. Kommissionen borde se till att konventionen och det nya direktivet blir samstämmiga.

7.   Tydligare institutionella arrangemang för en effektivare tillämpning av reglerna om uppgiftsskydd

Kommissionen kommer att undersöka

—	hur de nationella tillsynsmyndigheternas status och befogenheter kan stärkas, förtydligas och harmoniseras,

—	hur man kan förbättra samarbetet och samordningen mellan tillsynsmyndigheterna,

—

hur en mer sammanhållen tillämpning av EU:s regler om uppgiftsskydd ska kunna åstadkommas på hela den inre marknaden. Till åtgärderna hör — en stärkt roll för tillsynsmyndigheterna, — bättre samordning av deras arbete genom artikel 29-gruppen, — en mekanism som säkerställer en sammanhållen inre marknad på Europeiska kommissionens ansvar.

7.1   Med tanke på EESK:s farhågor om lagstiftningens efterlevnad och möjligheterna till prövning är detta centrala frågor för kommittén. Vi ställer oss bakom fraserna ”stärkas, förtydligas och harmoniseras” och ”samarbetet och samordningen” och vi stöder kommissionens övergripande målsättning att garantera att EU:s regler om uppgiftsskydd ska tillämpas på ett mer enhetligt sätt i alla medlemsstater. EESK är orolig för att direktiv 95/46/EG kanske inte har genomförts fullt ut och på ett effektivt sätt ännu i alla de 12 nya medlemsstaterna.

7.2   EESK anser att de nationella myndigheterna med ansvar för uppgiftsskyddsfrågor i allmänhet är tandlösa och dignar under en stor arbetsbörda, och att de behöver få en mer oberoende ställning. Alla eventuella nya direktiv bör ställa som krav att de nationella myndigheterna har den status, de befogenheter och de resurser som krävs för att de ska kunna sköta sin verksamhet. Deras uppgifter och resurser borde fastställas på EU-nivå. Man borde överväga möjligheten att utse en datatillsynsman för hela EU.

7.3   Med hänsyn till det bidrag som artikel 29-gruppen än så länge har tillfört området skydd för enskilda individer med avseende på behandling av personuppgifter, anser EESK att denna grupp fyller en värdefull funktion i det arbete som pågår.

---

---