RAPPORT FRÅN KOMMISSIONEN - Första rapporten om genomförandet av dataskyddsdirektivet (95/46/EG)

INNEHÅLLSFÖRTECKNING

1. Orsakerna till rapporten och det öppna samrådet om genomförandet av direktiv 95/46/EG

2. Det öppna översynsförfarandet som föregick utarbetandet av rapporten

3. De huvudsakliga resultaten av översynen

4. Detaljerad genomgång av de viktigaste resultaten av översynen

5. Behandling av ljud- och bilduppgifter

6. Arbetsprogram för ett bättre genomförande av dataskyddsdirektivet (2003-2004)

7. Slutsatser

1. Orsakerna till rapporten och det öppna samrådet om genomförandet av direktiv 95/46/EG

Kommissionen skall första gången senast tre år efter den tidpunkt som anges i artikel 32.1 och därefter regelbundet till rådet och Europaparlamentet avge en rapport om genomförandet av detta direktiv, eventuellt försedd med lämpliga ändringsförslag. (Artikel 33 i direktiv 95/46/EG)

Genom denna rapport uppfyller kommissionen ovanstående förpliktelser. Kommissionen har skjutit upp utarbetandet av rapporten i 18 månader eftersom medlemsstaterna har varit långsamma när det gäller att införliva direktivet i sin nationella lagstiftning [1].

[1] I december 1999 beslutade kommissionen att föra talan mot Frankrike, Irland, Luxemburg, Nederländerna och Tyskland vid Europeiska gemenskapernas domstol för att de inte hade anmält alla de åtgärder som är nödvändiga för att genomföra direktiv 95/46/EG. Nederländerna och Tyskland lämnade in anmälan under 2001 och kommissionen lade ner målen mot dem. Frankrike anmälde dataskyddslagen från 1978 så kommissionen lade ner processen rörande underlåtenhet att anmäla genomförandebestämmelser även mot denna medlemsstat. Frankrike meddelade samtidigt att det hade för avsikt att stifta en ny lag som ännu inte antagits. Luxemburg blev till följd av kommissionens åtgärder dömd av domstolen för att inte ha uppfyllt sina förpliktelser. Direktivet genomfördes sedan genom en ny lag som trädde i kraft 2002. Irland anmälde ett partiellt genomförande 2001 och ett fullständigt lagförslag har nyligen antagits. Information om hur långt medlemsstaterna kommit i genomförandet finns på följande webbplats:

Kommissionen har utarbetat denna rapport utifrån ett brett perspektiv. Den har gått längre än att bara undersöka medlemsstaternas rättsakter för genomförande och har anordnat en öppen debatt och uppmuntrat berörda parter att delta i stor utsträckning. Detta ligger inte bara i linje med kommissionens hållning gentemot styrelseformerna i EU som fastställdes i dess vitbok i juli 2001 [2], utan motiveras också för det första av att direktiv 95/46/EG är mycket speciellt och för det andra av den snabba tekniska utvecklingen i informationssamhället och annan internationell utveckling, vilket har medfört betydande ändringar sedan direktivet utarbetades 1995.

[2] KOM(2001) 428 slutlig http://europa.eu.int/eur-lex/sv/com/cnc/ 2001/com2001_0428sv01.pdf

1.1. Ett direktiv med vittgående effekter

Direktiv 95/46 omfattar två av de äldsta ambitionerna i de europeiska integreringsprojektet: att skapa en inre marknad (i det här fallet fri rörlighet för personuppgifter) och att skydda enskildas grundläggande fri- och rättigheter. I direktivet är båda målsättningarna lika viktiga.

Ur rättslig synvinkel är direktivets utgångspunkt dock den inre marknaden. Det var nödvändigt att stifta lagar på EU-nivå eftersom skillnaderna i medlemsstaternas sätt att hantera denna fråga hindrade det fria flödet av personuppgifter mellan medlemsstaterna [3]. Dess rättsliga grund var därför artikel 100a (nu artikel 95) i fördraget. Europeiska unionens stadga om de grundläggande rättigheterna [4] som utfärdades av Europaparlamentet, rådet och kommissionen i december 2000, och särskilt artikel 8 som omfattar rätten till dataskydd, har dock gett direktivets skydd av grundläggande rättigheter extra betydelse.

[3] Se KOM(90) 314 slutlig - SYN 287 och 288, 13 september 1990, s. 4: "The diversity of national approaches and the lack of a system of protection at Community level are an obstacle to completion of the internal market. If the fundamental rights of data subjects, in particular their right to privacy, are not safeguarded at Community level, the cross-border flow of data might be impeded..."

[4] http://europa.eu.int/comm/justice_home/ unit/charte/index_en.html

Dessutom har direktivet vittgående effekter. Alla individer är registrerade och juridiska personer i alla sektorer i ekonomin är registeransvariga. Även om direktivets rättsliga grund är ganska specifik är dess verkan mycket omfattande och vid undersökningen av dess genomförande måste detta beaktas.

1.2. Informationsteknikens utveckling och ökade säkerhetsproblem har skärpt debatten om dataskydd

Sedan direktivet antogs 1995 har det skett en exponentiell ökning av antalet hushåll och företag som är uppkopplade till Internet och följaktligen i antalet människor som lämnar ut personuppgifter av olika slag på webben. Samtidigt har metoderna för att samla in personuppgifter blivit mer sofistikerade och svårare att upptäcka: TV-övervakning på offentliga platser, spionprogram som installeras i PC:n genom webbsidor till vilka de kopplats och som samlar in uppgifter om användarnas surfvanor (information som sedan ofta säljs till andra) eller övervakning av anställda, inklusive deras användning av e-post och Internet på arbetsplatsen.

Med denna "dataexplosion" följer naturligtvis frågan om huruvida lagstiftningen till fullo kan hantera vissa av dessa utmaningar, särskilt traditionell lagstiftning som har ett begränsat geografiskt tillämpningsområde, med fysiska gränser som Internet i allt högre grad gör irrelevanta [5].

[5] I rapporten "Future bottlenecks in the information society" som utarbetades av Europeiska kommissionens gemensamma forskningscenter och Institutet för framtidsstudier i juni 2001, anges att det kan uppstå områden där det kan vara svårt att direkt tillämpa direktivets bestämmelser, och det kan därför bli nödvändigt att revidera det i framtiden. Samtidigt noteras att även om direktivet genomförts i alla medlemsstater finns det en stigande social oro beträffande missbruk av personuppgifter inom online-informationssystem. Den information som samlades in inför utarbetandet av denna rapport bekräftar i viss mån denna slutsats.

För att bemöta den tekniska utvecklingen omsatte Europaparlamentets och rådets direktiv 97/66/EG av den 15 december 1997 om behandling av personuppgifter och skydd för privatlivet inom telekommunikationsområdet [6] de principer som fastställdes i direktiv 95/46/EG i särskilda regler för telekommunikationssektorn. Genom direktiv 2002/58/EG om integritet och elektronisk kommunikation av den 12 juli 2002 [7] har direktiv 97/66/EG nyligen uppdaterats för att spegla marknadsutvecklingen och den tekniska utvecklingen inom elektroniska kommunikationstjänster, t.ex. Internet, för att säkra samma skydd av personuppgifter och privatlivet, oavsett av vilken teknik som används.

[6] EGT L 24, 30.1.1998, s. 1.

[7] EGT L 201, 31.7.2002, s. 37. Medlemsstaterna har fram t.o.m. den 31 oktober 2003 på sig att införliva det nya direktivet i sin nationella lagstiftning.

Framväxten av en kunskapsbaserad ekonomi i kombination med tekniska framsteg samtidigt som allt större vikt läggs vid humankapital har intensifierat insamlingen av arbetstagares personuppgifter i sysselsättningssammanhang. Denna utveckling har gett upphov till viss oro och medfört vissa risker, och har aktualiserat frågan om verkligt skydd av arbetstagares personuppgifter. Kommissionen konstaterade i det dokument som den i samband med den andra etappen av samrådet riktade till EU:s arbetsmarknadsparter i oktober 2002, att det inom ramen för fördragets artikel 137.2, som syftar till att förbättra arbetsförhållandena genom en europeisk samling principer och bestämmelser, finns utrymme för EU-lagstiftning. Kommissionen diskuterar för närvarande en uppföljning av detta samråd och har för avsikt att fatta ett beslut i frågan före 2003 års utgång. Ett sådant europeiskt regelverk skulle bygga på de allmänna principer som redan finns i direktiv 95/46/EG, samtidigt som dessa principer byggs på och klargörs på sysselsättningsområdet.

När det gäller konsumentkrediter har kommissionen i sitt förslag till Europaparlamentets och rådets direktiv om harmonisering av medlemsstaternas lagar och andra författningar om konsumentkrediter [8] fastställt några särskilda bestämmelser om uppgiftsskydd som syftar till att stärka konsumentskyddet ytterligare.

[8] KOM(2002) 443 slutlig, 11.9.2002.

Samtidigt har den ökade uppmärksamheten kring säkerhetsfrågor, särskilt efter den 11 september 2001, gjort att medborgerliga friheter i allmänhet och särskilt rätten till privatliv och skydd av personuppgifter satts under press. Detta är varken nytt eller överraskande. Europadomstolen för de mänskliga rättigheterna fann det nödvändigt att utfärda följande varning 1978: "States may not..., in the name of the struggle against espionage and terrorism, adopt whatever measures they deem appropriate... the danger (is that) of undermining or even destroying democracy on the ground of defending it" [9].

[9] Dom i målet Klass m.fl. mot Tyskland av den 6 september 1978, Series A nr 28.

Direktivet gäller givetvis inte behandling av personuppgifter i verksamhet som faller under den tredje pelaren [10] och dataskydd på dessa områden behandlas därför inte i denna rapport. I medlemsstaternas lagar görs dock ofta inte denna skillnad. Detta medför en rad frågor och problem, som delvis behandlats av Europaparlamentet och som bör diskuteras ytterligare.

[10] Enligt artikel 3.2, första strecksatsen omfattar direktivet inte "verksamhet som inte omfattas av gemenskapsrätten... och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område"

2. Det öppna översynsförfarandet som föregick utarbetandet av rapporten

Kommissionen har mot bakgrund av vad som nämnts ovan försökt organisera en öppen debatt med största möjliga deltagande för att stödja dess genomgång av direktivets genomförande. Alla berörda parter - regeringar, institutioner, företag och konsumentorganisationer, men även enskilda företag och medborgare - har fått möjlighet att delta och uttrycka sina åsikter [11]. Kommissionen ser väldigt positivt på denna process. Den har gett kommissionen mer information som sedan legat till grund för utarbetandet av denna rapport och de rekommendationer för framtida åtgärder som görs i den. Den har också bekräftat opinionsväxlingen som redan upptäckts bland registeransvariga i allmänhet [12] och representanter för näringslivet i synnerhet. De registeransvariga bidrar nu konstruktivt till dialogen om hur man ska kunna säkra ett verkligt och effektivt skydd för personuppgifter istället för att motsätta sig all reglering inom detta område.

[11] Kommissionen ställde frågor separat till medlemsstaternas regeringar och tillsynsmyndigheter, beställde två undersökningar av akademiska experter, ände ut en allmän inbjudan att medverka som offentliggjordes i Europeiska gemenskapernas officiella tidning och på kommissionens webbplats samt lade ut två enkäter på webbplatsen under mer än två månader, en till de registeransvariga och en till de registrerade. Kommissionen arrangerade också en internationell konferens om ett stort antal frågor som diskuterades i sex olika workshops.

[12] Även om denna rapport hänvisar till registeransvariga som representanter för "industrin" eller "näringslivet" (eftersom det är dessa som i störst utsträckning bidragit till debatten) är även offentliga myndigheter som utövar verksamhet som omfattas av gemenskapslagstiftningen registeransvariga och rekommendationerna och kommentarerna i denna rapport rör naturligtvis även dem.

Kommissionen beklagar å andra sidan att konsumentorganisationerna endast i begränsad utsträckning deltagit i samrådsförfarandet [13].

[13] Endast BEUC, Europeiska byrån för konsumentorganisationer, lade fram ett positionsdokument i vilket de bl.a. som svar på de som argumenterat att direktivet behöver anpassas till de krav som online-miljön ställer, anförde att det enligt deras mening tvärtom var online-miljön som behövde anpassas för att säkra att direktivets principer respekteras fullt ut.

I denna rapport sammanfattas kommissionens slutsatser i ljuset av den information den samlat in och dess rekommenderade åtgärder. Kommissionen ser dock detta endast som ett första steg i en längre process.

3. De huvudsakliga resultaten av översynen

3.1. För och emot en ändring av direktivet

Kommissionen anser att resultaten av översynen i det stora hela talar emot att ändra direktivet på detta stadium.

Under den tid som samråden genomfördes förespråkade endast ett fåtal deltagare explicit en ändring av direktivet. Det viktigaste undantaget var de detaljerade ändringsförslag som lades fram gemensamt av Finland, Storbritannien, Sverige och Österrike [14]. Dessa ändringsförslag rörde endast ett fåtal bestämmelser (bl.a. artikel 4 som fastställer tillämplig rätt, artikel 8 om känsliga uppgifter, artikel 12 om den registrerades rätt att få tillgång till uppgifter, artikel 18 om anmälning samt artiklarna 25 och 26 om överföring av personuppgifter till tredje land) och de flesta bestämmelserna och alla principerna i direktivet lämnades orörda. De särskilda svårigheter som uppkommit i samband med dessa och vissa andra bestämmelser kommer att ses över i detalj senare i rapporten.

[14] http://www.lcd.gov.uk/ccpd/ dpdamend.htm Även Nederländerna kom senare att ställa sig bakom dessa förslag.

Kommissionen anser att nedanstående allmänna beaktanden gör det olämpligt att lägga fram ett förslag om ändring av detta direktiv inom den närmaste framtiden.

- Hittills har man endast begränsade erfarenheter av genomförandet av direktivet. Endast ett fåtal medlemsstater genomförde direktivet i tid. De flesta medlemsstater anmälde inte sina genomförandeåtgärder till kommissionen förrän 2000 eller 2001, och Irland har fortfarande inte anmält att den nyligen genomfört direktivet. Vissa medlemsstater har ännu inte antagit viktig genomförandelagstiftning. Dessa erfarenheter är inte tillräckliga för att föreslå ändringar av direktivet.

- Många av de svårigheter som har kartlagts under översynsarbetet kan man ta itu med och lösa utan att ändra direktivet. I vissa fall där problemen orsakats av inkorrekt genomförande av direktivet måste de lösas genom särskilda ändringar av medlemsstaternas lagar. I andra fall ger direktivets handlingsutrymme möjlighet till närmare samarbete mellan kontrollmyndigheterna för att åstadkomma den konvergens som är nödvändig för att lösa de problem som uppstår p.g.a. att medlemsstaternas praxis varierar i alltför stor utsträckning. Sådana åtgärder kommer i vilket fall som helst förmodligen att visa resultat snabbare än en ändring av direktivet och de bör därför först utnyttjas fullt ut.

- I de fall berörda parter har föreslagit ändringar är syftet ofta att minska de bördor som läggs på de registeransvariga. Även om detta är ett legitimt ändamål i sig och verkligen ett som kommissionen kan ansluta sig till, anser den dock att flera av förslagen också skulle innebära att skyddsnivån skulle sjunka. Kommissionen anser att varje ändring som i sinom tid eventuellt skulle kunna göras bör syfta till att bibehålla samma skyddsnivå och stämma överens med de övergripande ramar som fastställts av de existerande internationella instrumenten [15].

[15] Kommissionsledamot Frederik Bolkestein uttryckte sig vid det avslutande mötet vid konferensen om genomförandet av detta direktiv på följande sätt: "Det finns med säkerhet inga blanka sidor när det gäller att utforma en politik på datskyddsområdet (...). Kommissionen måste vid utarbetandet av sin rapport komma ihåg det bredare rättsliga och politiska ramverket, särskilt principerna i Europarådets konvention 108".

Kommissionen noterar efter diskussioner med medlemsstaterna att de flesta av dem och även de nationella tillsynsmyndigheterna delar kommissionens åsikt att det för närvarande varken är lämpligt eller önskvärt att ändra direktivet.

Kommissionen anser att vissa frågor som här endast analyseras flyktigt, behöver analyseras närmare och att de i sinom tid kan komma att utgöra grunden för ett förslag om ändring av direktivet. Ett sådant förslag kommer att kunna baseras på den erfarenhet som man under tiden samlat på sig i samband med direktivets genomförande.

Som nämnts ovan finns det dessutom stora möjligheter att förbättra genomförandet av direktivet och att dessa förbättringar förmodligen kommer att lösa många av de problem som kartlagts under översynsarbetet, och som felaktigt tillskrivits direktivet. Kommissionens prioritet har varit och kommer att förbli att särskilt fokusera på områden där det sker tydliga överträdelser av gemenskapslagstiftningen och där olika tolkningar och/eller praxis skapar problem på den inre marknaden.

Kommissionen prioriterar också en harmonisering av tillämpningen av reglerna om dataöverföring till tredje land, i syfte att underlätta lagliga överföringar och undvika onödiga hinder eller svårigheter.

3.2. Övergripande utvärdering av genomförandet av direktivet i medlemsstaterna - problemet med skillnader mellan medlemsstaternas lagstiftning

På grundval av de uppgifter som samlats in har kommissionens avdelningar gjort en grundlig analys av genomförandet i de femton medlemsstaterna. Samarbete mellan medlemsstaterna och de nationella tillsynsmyndigheterna på detta område har varit till stor hjälp. De ursprungliga resultaten av denna analys finns i denna rapport och i en teknisk bilaga som kommer att offentliggöras separat, men arbetet med att samla in uppgifter och analysera genomförandet i medlemsstaterna måste fortsätta under 2003.

RESULTAT AV ONLINE-ENKÄTERNA

Med hjälp av onlinesamråd för interaktiv politik placerade kommissionen i juni två frågeformulär på sin webbplats och uppmanade registrerade (öppet samråd) och registeransvariga (målgrupp) att uttrycka sina åsikter om olika aspekter på dataskydd. Då samrådet avslutades hade 9 156 registrerade och 982 registeransvariga svarat. Det fullständiga resultatet finns på

http://europa.eu.int/comm/internal_market/ privacy/lawreport/consultation_en.htm

Kommissionen anser att följande resultat är särskilt intressanta:

- Även om dataskyddsdirektivet säkrar en hög skyddsstandard ansåg de flesta registrerade (4 113 av 9 156 eller 44,9 %) att skyddsnivån är minimal.

- 81 % av respondenterna tyckte att uppmärksamheten kring dataskyddet var otillräcklig, dålig eller mycket dålig, medan endast 10,3 % ansåg att den var tillräcklig och bara 3,46 % ansåg att den var bra eller mycket bra. De registeransvariga hade en nästan lika negativ bild av medborgarnas medvetenhet om dataskyddet. De flesta av respondenterna (30 %) tyckte att medborgarnas medvetenhet om dataskyddet är otillräcklig medan endast 2,95 % tyckte att medvetandenivån var mycket god.

- Företagen accepterar numera i högre grad dataskyddsregler. Till exempel ansåg 69,1 % av respondenterna (registeransvariga) att det i vårt samhälle är nödvändigt att ha dataskyddskrav medan endast 2,64 % ansåg att dessa krav var fullständigt onödiga och borde tas bort.

- De allra flesta registeransvariga som svarade på enkäten (62,1 %) ansåg inte att det innebar någon stor ansträngning för deras organisation att svara på efterfrågningar från privatpersoner som vill ha tillgång till sina personuppgifter. De allra flesta registeransvariga som svarade hade heller ingen statistik över detta, eller mottog färre än tio efterfrågningar under 2001.

Kommissionen medger att dessa resultat inte kan betraktas som representativa på samma sätt som undersökningsresultat från en undersökning av vetenskapligt utvald grupp. Kommissionen föreslår att det görs en ny undersökning under 2003, både för att testa tillförlitligheten av resultaten från det öppna samrådet och för att inrätta en måttstock mot vilken man kan mäta utvecklingen av olika åsikter och indikatorer i framtiden.

Försenat genomförande

Genomförandet av ett direktiv av detta slag, d.v.s. ett direktiv som ger medlemsstaterna stor handlingsfrihet men som också kräver av dem att de lämnar ett stort antal detaljupplysningar, är utan tvivel en komplicerad uppgift. De allvarliga förseningarna innan genomförandet påbörjades i många medlemsstater är det första och viktigaste tillkortakommandet som kommissionen måste påpeka när det gäller genomförandet av direktivet, vilket den helt klart fördömer. Kommissionen har naturligtvis vidtagit lämpliga åtgärder enligt artikel 226 i EG-fördraget som nämndes ovan.

Säkerställande av den fria rörligheten för uppgifter

Trots dessa förseningar vid genomförandet har direktivets huvudsakliga mål uppnåtts, d.v.s. att avskaffa hinder för fri rörlighet för personuppgifter mellan medlemsstaterna. Faktum är att de största problemen före antagandet av direktivet uppstod p.g.a. att de flesta medlemsstaterna hade antagit dataskyddslagar men att en liten grupp saknade lagstiftning på detta område. 1995 var Italien och Grekland de enda medlemsstaterna som inte hade någon sådan lagstiftning, men de var bland de första som införlivade direktivet och på så sätt avlägsnades det största problemet. Sedan direktivet antogs har kommissionen inte fått kännedom om något fall där överföring av personuppgifter mellan medlemsstaterna har fördröjts eller stoppats på grundval av dataskyddet.

Hindren för fri rörlighet för personuppgifter kan naturligtvis vara mer subtila än uttryckliga förbud i den nationella lagstiftningen eller att beslut blockeras av nationella tillsynsmyndigheter. Det kan t.ex. finnas fall då onödigt restriktiva regler i en medlemsstat begränsar den nationella behandlingen av personuppgifter i den medlemsstaten, och därmed också exporten av dessa uppgifter till andra medlemsstater. Med andra ord är kommissionen i stort sett nöjd med direktivets inverkan på den fria rörligheten för uppgifter inom gemenskapen, men ytterligare erfarenheter från genomförandet kan visa att det finns problem som måste lösas [16].

[16] T.ex. skillnader i uppgiftsskydd för juridiska personer.

Hög skyddsnivå

Liksom framgår av skäl 10 måste den tillnärmning av nationella lagar som eftersträvas i direktivet syfta till att garantera en hög skyddsnivå inom gemenskapen. Kommissionen anser att detta mål har uppnåtts. Faktum är att direktivet innehåller några av de mest omfattande normerna för dataskydd i världen. Svaren på online-enkäten antyder dock att medborgarna har en annan uppfattning. Denna paradox måste studeras noggrannare. Vid en första anblick skulle det kunna antas att åtminstone en del av problemet beror på ett ofullständigt genomförande av bestämmelserna (se vidare i avsnittet om "upprätthållande, överensstämmelse och medvetenhet").

Andra politiska mål på den inre marknaden som däremot försummas

Kommissionens syn på vilka övergripande politiska målsättningar som bör uppnås genom lagstiftningen om den inre marknaden sträcker sig längre än endast den fria rörligheten. Detta borde säkra likartade villkor för de ekonomiska aktörerna i medlemsstaterna, hjälpa till att förenkla lagstiftningen och således säkra bra styrelseformer och konkurrenskraft samt försöka uppmuntra snarare än att hindra gränsöverskridande verksamhet i EU.

Om man använder dessa kriterier är skillnaderna mellan medlemsstaternas dataskyddslagstiftning fortfarande för stora. Detta var det viktigaste budskapet från dem som deltog i översynsarbetet, särskilt de som representerade företagen, som klagade över att dessa skillnader hindrar multinationella organisationer från att utveckla en europeisk dataskyddspolitik. Kommissionen påminner om att ambitionen med ett direktiv är tillnärmning och inte fullständig likriktning och att tillnärmningsarbetet inte bör gå längre än vad som absolut krävs, för att respektera subsidiaritetsprincipen. Kommissionen anser dock att berörda parter har rätt att efterfråga större likriktning i lagstiftningen och i det sätt på vilket den tillämpas i medlemsstaterna och av de nationella tillsynsmyndigheterna.

I syfte att uppnå denna konvergens föreslog somliga av de som deltog i översynen att direktivet ändras så att det blir mer detaljerat och specifikt. Kommissionen föredrar att i alla fall till en början använda andra möjligheter. Dessutom är detta direktivs allmänna hållning, d.v.s. det faktum att det skall tillämpas på ett stort antal olika sektorer och i många olika sammanhang, ett skäl att inte göra det mer detaljerat eller specifikt.

Skillnaderna mellan medlemsstaternas lagar kräver en rad olika lösningar

Eftersom skillnaderna mellan medlemsstaternas lagar beror på olika saker och har olika konsekvenser behövs också olika lösningar.

Om en medlemsstat går utöver de begränsningar som fastställts i direktivet eller inte lyckas uppfylla kraven i det, är det uppenbart att detta skapar en skillnad som måste minskas genom att lagstiftningen i medlemsstaten i fråga ändras. Vissa bestämmelser ger litet eller inget handlingsutrymme för medlemsstaterna, men skillnader uppstår ändå - se t.ex. "definitioner" eller uttömmande listor i direktivet som t.ex. artiklarna 7 (villkor för uppgiftsbehandling), 8.1 (känsliga uppgifter), 10 (uppgifter till den registrerade), 13 (undantag) och 26 (undantag för överföring till tredje land osv.). Detta pekar på en överträdelse av gemenskapslagstiftningen. Artikel 4 (tillämplig rätt) har också i många fall införlivats på ett felaktigt sätt.

Kommissionen är naturligtvis beredd att tillämpa sin befogenhet i enlighet med artikel 226 i EG-fördraget för att få till stånd sådana ändringar, men den hoppas att sådana formella åtgärder inte ska bli nödvändiga. Bilaterala och multilaterala diskussioner kommer att hållas med medlemsstaterna i syfte att hitta gemensamma lösningar som överensstämmer med direktivet.

Andra skillnader kan vara resultatet av ett korrekt genomförande av en medlemsstat som har valt en annan riktning inom det handlingsutrymme som ges i direktivet. Kommissionen tar i denna rapport endast hänsyn till sådana skillnader om de har betydande negativa konsekvenser för den inre marknaden eller om de skapar problem när det gäller "bättre lagstiftning", t.ex. om de medför omotiverade administrativa bördor för aktörerna.

Detta kan sammanfattas enligt följande:

a) Generellt sett kan en stor del av de skillnader som kommissionens avdelningar konstaterat inte betraktas som överträdelser av gemenskapslagstiftningen eller anses ha betydande negativa konsekvenser för den inre marknaden, men när detta är fallet kommer kommissionen att vidta lämpliga åtgärder för att rätta till situationen.

b) Många av skillnaderna som upptäcktes står emellertid i vägen för ett flexibelt och förenklat regelsystem och är därför fortfarande ett problem (se t.ex. skillnaderna i anmälningskraven eller villkoren för internationella överföringar).

Som anges i arbetsprogrammet i avsnitt 6 finns det ett brett spektrum av möjliga åtgärder för att komma tillrätta med dessa problem. Att man använder dessa lösningar inom den närmaste framtiden innebär dock inte att kommissionen utesluter möjligheten att vid ett senare tillfälle ändra direktivet om problemen kvarstår. Ett tätare samarbete mellan medlemsstaternas tillsynsmyndigheter och en allmän strävan efter att minska de negativa konsekvenserna av skillnaderna kan därför ses som ett alternativ, medan ändringar av direktivet i syfte att minska de nationella lagstiftarnas och tillsynsmyndigheternas valmöjligheter är ett annat. Medlemsstaterna och deras tillsynsmyndigheter kommer utan tvivel att föredra det första alternativet och det är upp till dem att visa att det kan fungera.

Upprätthållande, överensstämmelse och medvetenhet

Innan vi går över till en grundligare undersökning av vissa av problemområdena i samband med direktivets genomförande, finns det en annan övergripande fråga som bör tas upp. Det rör sig om den allmänna efterlevnaden av dataskyddslagstiftningen i EU och den relaterade frågan om upprätthållande. På grund av (eller trots) att databehandling förekommer överallt är det svårt att få exakta eller kompletta uppgifter om hur den stämmer överens med lagen. Den information som kommissionen fick som svar på sin uppmaning till att komma med synpunkter kastade inte särskilt mycket ljus över denna fråga. Vissa belägg i kombination med olika konkreta uppgifter som kommissionen förfogar över [17] pekar dock mot att det rör sig om tre inbördes besläktade fenomen.

[17] T.ex. det relativt låga antalet individuella klagomål som kommissionen själv mottagit och det låga antalet tillstånd från de nationella myndigheterna för överföring till tredje länder som anmälts till kommissionen i enlighet med artikel 26.3.

- Det råder brist på resurser när det gäller upprätthållandet, och tillsynsmyndigheterna ansvarar för en lång rad uppgifter, bland vilka upprätthållandet har förhållandevis låg prioritet.

- De registeransvariga följer endast bestämmelserna sporadiskt, eftersom de förmodligen är tveksamma till att ändra sin nuvarande praxis för att uppnå överensstämmelse med vad som kan tyckas vara komplicerade och besvärliga regler, när risken för att detta upptäcks verkar mycket liten.

- De registrerade har endast begränsade kunskaper om sina rättigheter, vilket kan vara roten till ovannämnda fenomenen.

Tillsynsmyndigheterna i många medlemsstater är också bekymrade över detta, särskilt över sin resursbrist. Bristande resurser kan påverka deras självständighet. Självständighet när det gäller att fatta beslut är en nödvändig förutsättning för att systemet ska kunna fungera på ett korrekt sätt.

Denna aspekt kräver ytterligare undersökningar, men om dessa tendenser bekräftas finns det anledning till oro och kommissionen, medlemsstaterna och tillsynsmyndigheterna måste fundera över orsakerna till detta och lägga fram lämpliga lösningar.

Det faktum att de tre aspekterna hänger samman innebär att om man löser problemen på ett av områdena kan detta få positiva konsekvenser på de andra. Strängare och effektivare upprätthållande kommer att öka överensstämmelsen med lagstiftningen. Bättre överensstämmelse kommer att leda till att registeransvariga kommer att lämna mer och bättre information till de registrerade om hur uppgifterna bearbetas och om deras lagliga rättigheter, vilket i sin tur kommer att höja medborgarnas medvetenhet om dataskydd generellt sett.

Kandidatländerna

I enlighet med Köpenhamnskriterierna ska alla kandidatländerna ha införlivat direktiv 95/46/EG vid anslutningen. För närvarande har alla länderna antagit lagar på detta område, med undantag av Turkiet som håller på att utarbeta en dataskyddslag. Den befintliga lagstiftningen i de tio länder som undertecknat anslutningsfördragen omfattar de allra flesta av direktivets viktigaste bestämmelser. Ytterligare ansträngningar måste dock göras för att få denna lagstiftning att till fullo överensstämma med alla bestämmelserna i direktivet.

Av denna anledning är det mycket viktigt att upprätta oberoende tillsynsmyndigheter för dataskydd. Självständigheten hos vissa tillsynsmyndigheter är exemplarisk medan den i andra länder är klart bristfällig. Å andra sidan saknar alla tillsynsmyndigheter nödvändiga resurser och vissa har inte heller den befogenhet som behövs för att säkra att dataskyddslagstiftningen verkligen genomförs.

4. Detaljerad genomgång av de viktigaste resultaten av översynen [18]

[18] Läsarna hänvisas till den tekniska bilagan för en mer samlad bild.

I detta avsnitt studerar vi närmare de viktigaste frågorna som kommissionen mot bakgrund av översynen anser att man bör studera närmare. Här ges också konkreta exempel.

4.1. Behovet att komplettera genomförandet av direktivet

Ett totalt genomförande av direktivet kräver normalt sett (utöver antagande av genomförandelagstiftning) en andra etapp som vanligtvis består i en översyn av den övriga lagstiftningen som skulle kunna strida mot direktivets bestämmelser och/eller specificering av vissa allmänna regler samt utarbetandet av lämpliga säkerhetsföreskrifter som kan tillämpas i samband med de undantag som beskrivs i direktivet.

Denna andra etapp i genomförandet har inte ens påbörjats i vissa medlemsstater, och bland dem som startat har vissa inte kommit särskilt långt. I en rad nationella lagar hänvisas till att ytterligare tydliggöranden ska offentliggöras, t.ex. när det gäller tillämpningen av artikel 7 f (uppvägning av intressen) men detta har ännu inte genomförts [19].

[19] I flera bidrag - t.ex. det från Clifford Chance - poängteras vikten av denna bestämmelse som innebär att villkoren för en "rättvis" bearbetning blir flexiblare. Ett ofullständigt eller otydligt genomförande av denna bestämmelse orsakar onödig stelbenthet i regelverket.

En annan bestämmelse där genomförandet ofta är ofullständigt är artikel 8.2 b. Denna bestämmelse gör det möjligt för medlemsstaterna att göra undantag från den allmänna regeln att känsliga uppgifter inte får behandlas när sådan behandling är nödvändig för att den ansvarige ska kunna fullgöra sina skyldigheter och särskilda rättigheter inom arbetsrätten, men endast om det finns lämpliga skyddsåtgärder. I vissa medlemsstater uppfylls dessa krav genom en särskild dataskyddslagstiftning på arbetsrättsområdet, som antingen är mycket omfattande (t.ex. i Finland) eller reglerar vissa frågor (t.ex. hälsovårdslagstiftningen i Danmark och Nederländerna). I andra medlemsstater är situationen mer komplicerad. Alla medlemsstater har inte antagit bestämmelser om skyddsåtgärder och när de finns är de ofta otillräckliga. En liknande situation gäller artikel 8.4 och 8.5 - behandling av känsliga uppgifter i det allmännas intresse eller om brottmålsdomar. Frånvaron av skyddsåtgärder innebär att enskilda personer inte omfattas av en tillräcklig skyddsnivå, vilket borde oroa medlemsstaterna i lika hög grad som det oroar kommissionen. Detta kommer särskilt att tas upp under åtgärd 1 i arbetsprogrammet. Dessutom kan detta komma att tas upp i fall där personuppgifter behandlas i en särskild sektor eller i ett särskilt sammanhang, t.ex. sysselsättning, genom sektorsvisa insatser på gemenskapsnivå. [20]

[20] Jfr med fotnot 1.2 ovan.

4.2. Behovet av en rimlig och flexibel tolkning

Många bidrag har talat för en rimlig och flexibel tolkning av vissa bestämmelser i direktivet [21]. Ett bra exempel är frågan om känsliga uppgifter [22]. Det är nödvändigt att hitta en tolkning som är förenlig med såväl det ökade skyddet som denna uppgiftskategori ges genom direktivet som det dagliga arbetet, rutinbehandling och den verkliga risk som vissa behandlingar innebär för skyddet för enskilda personers grundläggande fri- och rättigheter [23].

[21] Förslaget från European Privacy Officers Forum (EPOF) är särskilt intressant i detta avseende, t.ex. om behovet av en rimlig tolkning av begrepp som "anonyma uppgifter" eller "känsliga uppgifter".

[22] Till exempel innehåller bidraget från FEDMA vissa praktiska exempel på olika tolkningar av detta begrepp i medlemsstater som Storbritannien, Frankrike och Portugal.

[23] Uppmaningen till en rimlig tolkning finns också i den föreslagna ändringen av skäl 33 som kommit från Finland, Storbritannien, Sverige och Österrike.

Artikel 12 i direktivet (de registrerades rätt till tillgång till sina egna personuppgifter) är en annan bestämmelse som gett anledning till krav på en flexibel tolkning i samband med rätten till tillgång och möjligheten för de registeransvariga att vägra denna rätt. Det hävdas att det kan vara mycket svårt och kostsamt för de registeransvariga att hantera efterfrågningar av tillgång till uppgifter som behandlas i väldigt stora och komplicerade informationsnätverk.

Finland, Storbritannien, Sverige och Österrike önskar i sitt bidrag att direktivet ändras så att det tydliggörs att den registeransvarige kan be den registrerade att hjälpa till i sökningen efter uppgifterna, om kraven på tillgång gäller mycket svåråtkomliga uppgifter och om det ligger klart utanför den registeransvariges normala verksamhet [24]. Kommissionen påminner om att direktivet i dess nuvarande utformning redan ger möjlighet att be om sådan hjälp. Kommissionen är inte övertygad om att genomförandet av denna bestämmelse i direktivet orsakar allvarliga praktiska problem. I vilket fall som helst verkar antalet krav på att få tillgång till uppgifter förbli relativt lågt [25]. Kommissionen anser att de tolkningar och den hjälp som de nationella tillsynsmyndigheterna hittills tillhandahållit varit passande.

[24] Sådan hjälp finns redan beskriven i Storbritanniens och Österrikes lagstiftning.

[25] Se siffror och registeransvarigas svar på online-enkäten om denna fråga ovan.

Enligt artikel 5 i direktivet ska medlemsstaterna inom de begränsningar som bestämmelserna i kapitel II (artiklarna 6-21) innebär, precisera på vilka villkor behandling av personuppgifter är tillåten. I detta avseende uppmärksammar kommissionen den oro som Sverige uttryckte inom ramen för den pågående översynen av landets lagstiftning när det gäller tillämpningen av dataskyddsprinciper på löpande text eller ljud- eller bilduppgifter. Kommissionen anser att förenklade villkor för databehandling då det inte är troligt att sådan behandling skapar någon inte avsevärd risk för den enskildes rättigheter bättre kan uppnås genom att göra bruk av det handlingsutrymme som direktivet ger, i synnerhet de möjligheter som ges i artiklarna 7 f, 9 och 13.

4.3. Främjande av teknik för förbättrat privatlivsskydd

Idén med teknik för förbättrat privatlivsskydd är att utveckla informations- och kommunikationssystem på ett sådant sätt att de minimerar insamling och användning personuppgifter och hindrar otillåten behandling. Kommissionen anser att användningen av lämpliga tekniska åtgärder är ett nödvändigt komplement till rättsliga åtgärder och att de bör vara en integrerad del i varje ansträngning för att uppnå ett tillräckligt skydd av privatlivet.

Tekniska produkter bör under alla omständigheter utvecklas i överensstämmelse med gällande dataskyddsbestämmelser. Men detta är endast det första steget. Målsättningen bör vara att tillverka produkter som inte bara garanterar skydd av privatlivet utan om möjligt också främjar det [26].

[26] Se i detta hänseende slutsatserna i dokument WP 37 som utarbetades av artikel 29-gruppen i november 2000: "Skydd av privatlivet på Internet - Ett integrerat förhållningssätt till dataskydd på Internet". Produkter som tillgodoser behoven med avseende på skydd av privatlivet är produkter som har utvecklats i full överensstämmelse med direktivet, medan produkter som gynnar privatlivet går ett steg längre genom att införa komponenter som gör privatlivsaspekterna mer tillgängliga för användarna, t.ex. genom att ge de registrerade mycket användarvänlig information eller genom att göra det lätt för dem att utöva sina rättigheter. Produkter för att förbättra skyddet av privatlivet är produkter som har utvecklats i syfte att möjliggöra användning av helt anonyma uppgifter i största möjliga utsträckning. http://europa.eu.int/comm/internal_market/ privacy/workingroup/wp2000/wpdocs00_en.htm

Under diskussionerna om teknik för förbättrat privatlivsskydd vid kommissionens konferens 2002 om genomförandet av direktivet, påpekades det att användningen av vissa tekniska redskap gör det omöjligt för de registeransvariga att följa lagen. Ett annat problem som uppstått är svårigheten att känna igen vilka produkter som verkligen kan anses förbättra skyddet av privatlivet. Somliga deltagare efterlyste någon form av certifiering eller intyg på grundval av en oberoende kontroll av produkten. För närvarande finns det system som profilerar sig som privatlivsfrämjande, men som inte ens respekterar det.

Nyckelfrågan är därför inte bara hur man ska skapa teknik som verkligen främjar privatlivet, utan också hur man ska kunna säkra att användarna känner igen denna teknik. Certifieringssystem är av avgörande betydelse och kommissionen kommer att fortsätta att följa utvecklingen på detta område [27].

[27] I Kanada t.ex. var förbundsregeringen den första nationella regeringen som såg till att "privatlivskonsekvensanalyser" (Privacy Impact Assessments) av alla program och tjänster som eventuellt påverkar privatlivet blev obligatoriskt för alla federala myndigheter och organ. Denna politik kräver att de offentliga organen inleder dessa analyser på ett tidigt stadium vid utarbetandet eller omarbetandet av ett program eller en tjänst, så att de kan påverka utvecklingsprocessen och säkra att skydd av privatlivet har hög prioritet. I den tyska regionen Schleswig-Holstein har man infört ett certifieringssystem där den privata och den offentliga sektorn deltar på lika villkor.

Kommissionen anser att man bör uppmuntra och vidareutveckla sådana system. Målet är inte bara att uppnå bättre praxis när det gäller privatlivsfrågor, utan också att öka insynen och därmed användarnas förtroende samt att ge de aktörer som arbetar för att uppnå överensstämmelse och t.o.m. främjar skyddet av privatlivet möjlighet att visa sitt kunnande på detta område och utnyttja detta till deras fördel ur konkurrenssynpunkt.

4.4. Kommentarer om vissa särskilda bestämmelser

Denna rapport belyser endast de viktigaste resultaten varje område. Detaljuppgifter kommer att finnas i den tekniska bilaga som kommer att offentliggöras separat [28].

[28] www.europa.eu.int/comm/privacy

4.4.1. Artikel 4: Tillämplig nationell rätt

Mot bakgrund av den inre marknaden är detta en av de viktigaste bestämmelserna i direktivet, och att den genomförs på rätt sätt är avgörande för om systemet ska fungera. Genomförandet av denna bestämmelse är i flera fall bristfälligt, vilket resulterar i att det kan uppstå sådana typer av rättsliga konflikter som man genom denna artikel försökt undvika. Vissa medlemsstater kommer att vara tvungna att ändra sin lagstiftning i detta avseende.

Bestämmelsen var en av de mest kritiserade under översynsarbetet. Flera respondenter argumenterade för ett införande av en regel om ursprungsland så att multinationella organisationer bara skulle behöva följa en uppsättning regler i hela EU. Många påpekade också att "användning av utrustning" inte var ett lämpligt kriterium för att fastställa hur EU-lagstiftningen ska tillämpas på registeransvariga som är etablerade utanför EU.

När det gäller regeln om ursprungsland ges det i direktivet redan möjlighet att behandla uppgifter under kontroll av en enda registeransvarig, vilket innebär att man endast ska handla i överensstämmelse med dataskyddslagen i det land där den registeransvarige är etablerad. Detta gäller naturligtvis inte då ett företag valt att vara etablerat i mer än en medlemsstat.

När det gäller att "använda utrustning" är kommissionen medveten om att detta kriterium kan vara svårt att tillämpa i praktiken och att det behöver tydliggöras ytterligare. Om ett sådant tydliggörande inte är tillräckligt för att garantera att detta kriterium kan tillämpas i praktiken, kan det i sinom tid bli nödvändigt att föreslå en ändring av direktivet för att skapa en annan typ av koppling för att fastställa vilken rätt som ska tillämpas.

Kommissionen prioriterar dock att säkra att medlemsstaterna genomför den befintliga bestämmelsen på rätt sätt. Man måste få ytterligare erfarenheter från dess tillämpning samt tid att reflektera, innan man med hänsyn till den tekniska utvecklingen kan föreslå att ändra artikel 4.1 c. Oavsett behovet av ytterligare reflexioner skulle det vara fel att ge intrycket att artikel 4 i sin helhet är omtvistad. Tvärtom är stora delar av dess tillämpning obestridd och varken dataskyddsmyndigheterna eller kommissionen ifrågasätter den.

4.4.2. Artiklarna 6 och 7: Uppgiftskvalitet och principer som gör att uppgiftsbehandling kan tillåtas

Analysen av nationell lagstiftning visar att dessa bestämmelser många gånger inte genomförts på korrekt sätt. Artikel 6.1 b möjliggör senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål, men endast om det finns lämpliga skyddsåtgärder. Alla medlemsstater har inte beslutat om lämpliga skyddsåtgärder, då sådan senare behandling generellt sett är tillåten. Vissa medlemsstater har förlängt eller förkortat förteckningen i artikel 7 över de villkor som ska uppfyllas för att uppgiftsbehandling ska vara tillåten, och de måste alltså ändra sin lagstiftning. Begreppet "otvetydigt samtycke" (artikel 7 a) måste tydliggöras ytterligare och tolkas mer likartat, särskilt i jämförelse med begreppet "uttryckligt samtycke". Operatörerna måste veta vad som kan betraktas som giltigt samtycke, särskilt i online-sammanhang.

4.4.3. Artiklarna 10 och 11: Informationsplikt till den registrerade

Vid genomförandet av artiklarna 10 och 11 har det uppstått en rad skillnader. Detta beror i viss utsträckning på inkorrekt genomförande, t.ex. när det i en lag ställs krav på ytterligare information till den registrerade, oavsett det nödvändighetstest som föreskrivs i direktivet. Det beror dock också på att tillsynsmyndigheterna tolkar direktivet på olika sätt och använder olika metoder. Flera respondenter underströk att dessa skillnader gör det svårt för multinationella företag att arbeta på en alleuropeisk nivå [29].

[29] Se t.ex. åsikterna från European Privacy Officers Forum:

4.4.4. Artiklarna 18 och 19: Anmälningsplikt

Många respondenter menade att det finns behov av att förenkla och tillnärma medlemsstaternas krav på de registeransvarigas anmälning av behandlingar. Kommissionen delar denna uppfattning men påminner om att direktivet redan ger medlemsstaterna möjlighet att i stor utsträckning bevilja undantag från anmälningsplikten i fall där risken är låg eller där den registeransvarige har utnämnt ett uppgiftsskyddsombud. Dessa undantag ger tillräcklig flexibilitet utan att det påverkar dataskyddsnivån. Tyvärr utnyttjar somliga medlemsstater inte dessa möjligheter. Kommissionen håller dock med om att det utöver ett mer utbrett utnyttjande av de befintliga undantagsmöjligheterna vore lämpligt att göra ytterligare förenklingar, vilket bör vara möjligt utan att ändra de befintliga artiklarna.

4.4.5. Artiklarna 25 och 26: Den externa dimensionen

Skillnaderna mellan medlemsstaternas lagar om genomförandet av dessa två bestämmelser är mycket stora. I somliga medlemsstater, där den registeransvarige ska bedöma om mottagarens skydd är adekvat och där statens eller den nationella tillsynsmyndigheten har väldigt liten kontroll över uppgiftsflödet, verkar de krav som ställs på medlemsstaterna i artikel 25.1 [30] inte uppfyllas.

[30] "Medlemsstaterna skall föreskriva att överföringen av personuppgifter (....) till tredje land endast får ske om ifrågavarande tredje land (....) säkerställer en adekvat skyddsnivå".

I andra medlemsstater ska all överföring till tredje land läggas fram för administrativt godkännande [31], men även detta system verkar strida mot kapitel IV i direktivet, vars syfte är att garantera både en adekvat skyddsnivå och att flödet av personuppgifter till tredje land upprätthålls utan att detta medför onödiga bördor. Anmälningar till nationella tillsynsmyndigheter kan krävas enligt artikel 19 men anmälningar kan inte förvandlas till de facto-godkännanden i de fall då överföring till ett tredje land tydligt är tillåtet, antingen därför att mottagaren är etablerad i ett land som enligt ett bindande beslut från kommissionen säkerställer adekvat skyddsnivå eller därför att den registeransvarige deklarerar att överföringen omfattas av ett av de undantag som avses i artikel 26 i direktivet. Även om dataskyddsmyndigheten lagligen kan kräva att dessa överföringar anmäls [32], finns det ingen anledning att godkänna dessa överföringar eftersom de redan är godkända enligt gemenskapslagstiftningen.

[31] Vid överföringar som omfattas av undantagen i artikel 26.1 eller överföringar till andra medlemsstater eller tredje land som enligt kommissionen garanterar en adekvat skyddsnivå, krävs i vissa medlemsstater ett godkännande.

[32] T.ex. för att kontrollera att avtalsmallen till fullo överensstämmer med den mall som godkänts av kommissionen eller att mottagaren omfattas av beslutet om adekvat skydd.

Vissa medlemsstaters alltför slappa attityd riskerar - förutom att den strider mot direktivet - att försvaga dataskyddet i hela EU, eftersom dataflödet med den fria rörlighet som garanteras av direktivet skulle kunna komma att riktas mot den "minst betungande" utgångspunkten. Vid en överdrivet strikt tillämpning av direktivet skulle man å andra sidan inte kunna ta hänsyn till den internationella handelns behov och de verkliga förhållandena inom de globala telekommunikationsnätverken. Man riskerar då att skapa en förskjutning mellan lagstiftning och praxis som kan skada trovärdigheten för direktivet och gemenskapslagstiftningen i allmänhet.

Internationella överföringar verkar alltså vara ett område där brist på genomförandeåtgärder skapar en sådan förskjutning. De nationella myndigheterna ska meddela kommissionen när de tillåter överföringar enligt artikel 26.2 i direktivet. Sedan direktivet trädde i kraft 1998 har kommissionen endast fått in ett begränsat antal sådana anmälningar. Även om det finns andra lagliga överföringsmöjligheter förutom artikel 26.2 är detta antal försumbart i jämförelse med vad som rimligtvis kan förväntas. Tillsammans med andra bevis som pekar i samma riktning [33] tyder detta på att många otillåtna och möjligtvis olagliga överföringar görs till länder eller mottagare som inte garanterar adekvat skyddsnivå. Dock finns det få eller inga tecken på att tillsynsmyndigheterna kommer att vidta åtgärder för att upprätthålla bestämmelsen.

[33] Av den rapport som godkändes vid dataskyddsmyndigheternas vårkonferens i maj 2001 framgår det att de flesta nationella tillsynsmyndigheter inte klarade av att ange hur många behandlingar av personuppgifter som berörde internationella överföringar av uppgifter. De siffror som fanns tillgängliga var otillräckliga (600 överföringar från Frankrike, 1 352 från Spanien och 150 från Danmark).

Överföringar som kräver godkännande och anmälning innebär förvisso en betydande administrativ börda både för uppgiftsexportörer och tillsynsmyndigheter. Därför är det önskvärt att man i större utsträckning använder de "blockgodkännanden" som avses i artiklarna 25.6 och 26.4 i direktivet. Hittills har sådana godkännanden endast utfärdats för fyra bedömningar om adekvat skyddsnivå för ett tredje land (Ungern, Schweiz, Kanada och det amerikanska safe harbour-systemet [34]) och två standardavtalsklausuler, en för överföring till registeransvariga i tredje land och en för överföringar till uppgiftsbearbetare. Ytterligare ansträngningar bör göras för att förenkla villkoren för internationella överföringar.

[34] Det finns även ett kommissionsbeslut om adekvat skyddsnivå i Argentina som håller på att slutföras.

5. Behandling av ljud- och bilduppgifter

Då direktivet utarbetades oroade sig många över att direktivet inte skulle kunna hantera framtida teknisk utveckling. Hur omfattande denna tekniska utveckling skulle bli var osäkert, men man oroade sig över att man med en text som huvudsakligen utformats för att gälla textbehandling skulle kunna stöta på problem när den skulle tillämpas på behandling av ljud- och bilduppgifter. Av denna anledning innehåller artikel 33 en särskild hänvisning till ljud- och bilduppgifter.

Kommissionen baserade denna översyn på en undersökning som gjordes av en extern avtalspart för att analysera situationen i medlemsstaterna och bidragen från medlemsstaterna själva och de nationella tillsynsmyndigheterna. Den information som framkom visar att behandling av ljud- och bilduppgifter omfattas av alla nationella lagar som genomför direktivet och att tillämpningen av direktivet på dessa kategorier av behandling inte varit särskilt problematisk.

I de flesta medlemsstater gäller samma (allmänna) bestämmelser för behandling av ljud- och bilduppgifter som för andra personuppgifter. Endast två medlemsstater (Tyskland och Luxemburg) har infört särskilda bestämmelser för behandling av ljud- och bilduppgifter i sina lagar genom vilka direktivet genomfördes. Tre medlemsstater (Danmark, Sverige och Portugal) har särskilda bestämmelser om videoövervakning i separata lagar. Trots de tvivel som framkom vid förhandlingarna om direktivet har medlemsstaterna kommit fram till att man uppnått målet att få ett direktiv som är teknikneutralt, åtminstone vad gäller behandling av ljud- och bilduppgifter.

Ingen medlemsstat eller någon annan respondent har föreslagit ändringar av direktivet i detta avseende. I det gemensamma förslaget från Finland, Storbritannien, Sverige och Österrike uttrycktes viss oro över om det inom ramen för direktivet skulle vara möjligt att hantera viss teknisk utveckling, men det innehåller inte några konkreta förslag som är direkt knutna till denna fråga.

En av workshoparna vid konferensen om direktivets genomförande ägnades helt åt denna fråga. Huvudämnet var videoövervakning, den fråga som (följt av biometri) hittills har fått mest uppmärksamhet från de nationella tillsynsmyndigheterna. Deltagarna ansåg att den offentliga debatten om de begränsningar som behöver fastställas när det gäller videoövervakning för att skydda vissa rättigheter och friheter i ett demokratiskt samhälle, har varit otillräcklig. Artikel 29-gruppen har också lagt ner mycket energi på denna fråga och den har godkänt ett utkast till arbetsdokument som har offentliggjorts på kommissionens webbplats för dataskydd, i vilket man uppmanar berörda parter att lämna synpunkter.

Det finns dessutom ett antal rättsliga och praktiska problem rörande ljud- och bilduppgifter som uppstått vid genomförandet av direktivet i medlemsstaterna, och som skapar en viss osäkerhet för de operatörer som ska följa lagstiftningen, och för de enskilda personer som har rätt att utnyttja sina dataskyddsrättigheter.

Det råder t.ex. osäkerhet om direktivets definitioner, t.ex. i vilken utsträckning en enskild bild eller ett fingeravtryck kan betraktas som personuppgifter i de fall då den registeransvarige inte kan, eller där det är föga troligt att han skulle kunna, identifiera en enskild person, eller om enkel övervakning utgör en behandling, eller hur man ska uppnå en passande tolkning av begreppet känsliga uppgifter. Kommissionen erkänner att det finns svar på alla dessa frågor i de nationella lagar som införlivar direktivet, men anser att det är nödvändigt att ge fler riktlinjer. Dessa riktlinjer måste vara realistiska och pragmatiska om de ska kunna förbättra överensstämmelsen och bör i så stor utsträckning som möjligt samordnas mellan medlemsstaterna. Kommissionen ser positivt på det arbete artikel 29-gruppen hittills lagt ner på detta område och uppmuntrar den att fortsätta att utarbeta användbara riktlinjer med lämplig input från berörda parter.

6. Arbetsprogram för ett bättre genomförande av dataskyddsdirektivet (2003-2004)

Den analys av genomförandet i medlemsstaterna som finns i denna rapport avslöjar en rad problem som måste lösas om direktivet ska få önskvärd effekt. Nedanstående arbetsplan omfattar åtgärder som kommer att vidtas från antagandet av denna rapport till slutet av 2004, och som kommer att kräva gemensamma ansträngningar av Europeiska kommissionen, medlemsstaterna (inklusive kandidatländerna), deras nationella tillsynsmyndigheter och i vissa fall också representanter för de registeransvariga.

Ett generellt, allvarligt bekymmer som omnämnts ovan är att upprätthållandet, överensstämmelsen och medvetenheten inte tycks vara acceptabel. För samtliga ovannämnda initiativ kommer kommissionen att samarbeta med medlemsstater, tillsynsmyndigheter och berörda parter för att klargöra orsakerna till och utarbeta möjliga lösningar på dessa problem.

Kommissionens initiativ

Åtgärd 1: Diskussioner med medlemsstaterna och dataskyddsmyndigheterna

Under 2003 kommer kommissionen att arrangera bilaterala möten med medlemsstaterna vars främsta syfte kommer att vara att diskutera förändringar som är nödvändiga för att få den nationella lagstiftningen att fullt ut stämma överens med kraven i direktivet. På vissa områden kan man behöva ta hjälp av den behöriga dataskyddsmyndigheten. Behovet av ett strängare upprätthållande kommer eventuellt också att tas upp under dessa bilaterala diskussioner. Tillsynsmyndigheternas bristfälliga resurser bör också diskuteras.

Dessa möten kan eventuellt kompletteras med diskussioner om inkorrekt genomförande av direktivet vid "paketmöten" med medlemsstaterna som regelbundet organiseras av kommissionens generalsekretariat och/eller GD Inre marknaden.

Diskussionerna i artikel 29-gruppen och artikel 31-kommittén kommer att göra det möjligt att på multilateral basis hantera vissa problem som berör ett stort antal medlemsstater. Det bör dock understrykas att dessa diskussioner inte kan leda till en faktisk ändring av direktivet. Utöver dessa ad hoc-diskussioner om särskilda problem föreslår kommissionen att varje grupp ägnar ett helt möte åt denna fråga under 2003.

Åtgärd 2: Samarbete med kandidatländerna i syfte att uppnå ett bättre och enhetligare genomförande av direktivet

I denna rapport har fokus nästan uteslutande legat på situationen i de femton medlemsstaterna. Innan arbetsprogrammet avslutas kommer tio nya medlemsstater att ha anslutit sig till EU. Representanter från tillsynsmyndigheterna i flera kandidatländer har sedan 2002 medverkat vid artikel 29-gruppens möten. Från det datum då anslutningsfördragen undertecknas kommer de anslutande länderna att bjudas in till alla artikel 29-gruppens och artikel 31-kommitténs möten. I möjligaste mån kommer bilaterala diskussioner och möjligtvis också kvalitetsgranskning att fortsätta fram till, och efter, anslutningen, i syfte att uppnå bästa möjliga anpassning av lagstiftningen i de nya medlemsstaterna i förhållande till direktivet och att minimera antalet överträdelseförfaranden.

Åtgärd 3: Ökad användning av anmälningsförfarandet för de rättsakter som införlivar direktivet och av anmälningar om godkännanden som utfärdats enligt artikel 26.2 i direktivet

I nära samarbete med dataskyddsmyndigheterna och medlemsstaterna kommer kommissionen att fortsätta att samla in information om genomförandet av direktivet. Den kommer särskilt att kartlägga de områden där det finns tydliga luckor när det gäller de genomförandeåtgärder som anmälts och kommer att samarbeta med medlemsstaterna för att utplåna dessa luckor så fort som möjligt. Kommissionen kommer att underlätta utbytet av bästa praxis när det anses lämpligt.

Kommissionen kommer att använda sin formella befogenhet enligt artikel 226 i EG-fördraget om detta samarbete (6.1, 6.2 och 6.3) inte ger det förväntade resultaten.

Medlemsstaterna och deras tillsynsmyndigheter måste också upprätta de förfaranden som är nödvändiga för att anmäla (vilket krävs enligt artikel 26.3 i direktivet) nationella godkännanden för internationella överföringar som utfärdas enligt artikel 26.2 i direktivet. Kommissionen kommer att diskutera detta med medlemsstaterna och deras tillsynsmyndigheter och garantera utbytet av bästa praxis.

Kommissionen kommer att skapa en ny sida på sin webbplats [35] där den i strukturerad form kommer att tillkännage inte bara all information som samlats in i samband med utarbetandet av denna rapport, utan också information om det arbete som ska utföras enligt arbetsprogrammet. Den kommer också att uppmana de nationella tillsynsmyndigheterna att göra dataskyddsmyndigheternas beslut och rekommendationer samt viktiga riktlinjer tillgängliga så att de kan offentliggöras på webbplatsen. Fokus ska ligga på områden där det är nödvändigt med en mer enhetlig tolkning och tillämpning av lagen.

[35] www.europa.eu.int/comm/privacy

Artikel 29-gruppens bidrag [36]

[36] Denna information påverkar inte artikel 29-gruppens allmänna arbetsprogram som finns på http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2003/wp71_en.pdf

Kommissionen välkomnar artikel 29-gruppens bidrag för att uppnå en enhetligare tillämpning av direktivet. Den vill gärna betona att insyn i detta förfarande är väldigt viktigt och den stöder de ansträngningar som arbetsgruppen gör för att ytterligare öka insynen i arbetet.

Åtgärd 4: Upprätthållande

Kommissionen uppmanar artikel 29-gruppen att hålla regelbundna diskussioner om de övergripande frågorna om bättre upprätthållande. Detta borde bl.a. leda till ett utbyte och antagande av bästa praxis. Arbetsgruppen bör också överväga att inleda sektoriella undersökningar på EU-nivå och genomföra tillnärmning av standarder på detta område. Målet med en sådan gemensam undersökning skulle vara att ge en mer exakt bild av dataskyddslagens genomförande i gemenskapen och utfärda gemensamma rekommendationer och praktiska riktlinjer för de berörda sektorerna i syfte att förbättra överensstämmelsen på ett sätt som medför så lite bördor som möjligt.

Åtgärd 5: Anmälning och offentliggörande av behandlingar

Europeiska kommissionen håller i stor utsträckning med om de registeransvarigas kritik av de olika uppgifterna rörande anmälningsplikten som de gav uttryck för i samband med översynen. Kommissionen rekommenderar att undantagen tillämpas i större utsträckning och särskilt den möjlighet som avses i artikel 18.2 i direktivet, d.v.s. att utse ett uppgiftsskyddsombud, vilket medför ett undantag från anmälningsplikten.

Kommissionen uppmanar artikel 29-gruppen att medverka till ett enhetligare genomförande av direktivet genom att lägga fram förslag till en betydande förenkling av anmälningsplikten i medlemsstaterna och utarbeta samarbetsmekanismer för att underlätta anmälningsförfarandet för multinationella företag som är etablerade i flera medlemsstater. Dessa förslag kan komma att omfatta förslag till ändringar av nationell rätt. Kommissionen är själv beredd att lägga fram förslag om arbetsgruppen inte kan göra detta inom en rimlig period (12 månader).

Åtgärd 6: Mera harmoniserade bestämmelser om informationsplikt

Kommissionen delar uppfattningen att det nuvarande lapptäcket av krav som varierar och överlappar varandra när det gäller de uppgifter som de registeransvariga måste tillhandahålla de registrerade, innebär onödiga bördor för de ekonomiska operatörerna och att det inte ökar dataskyddsnivån.

I den mån som den informationsplikt som de registeransvariga har inte överensstämmer med direktivet, hoppas man att detta snabbt kan rättas till genom att man för dialog med medlemsstaterna och att dessa kan vidta åtgärder för att komma till rätta med problemet. Dessutom uppmanar kommissionen artikel 29-gruppen att samarbeta för att finna en mer enhetlig tolkning av artikel 10.

Åtgärd 7: Enklare krav när det gäller internationella överföringar

Samtidigt med de diskussioner som är tänkta att medföra de nödvändiga ändringarna av medlemsstaternas lagstiftning för att garantera att de överensstämmer med direktivet, uppmanar kommissionen också artikel 29-gruppen att använda den sista rapporten från workshopen om internationell klagomålshantering som utgångspunkt för vidare diskussioner i syfte att uppnå väsentlig tillnärmning av medlemsstaternas praxis och enklare krav när det gäller internationella överföringar.

Kommissionen tänker själv i högre grad utnyttja sina befogenheter enligt artiklarna 25.6 och 26.4, som ger de bästa möjligheterna för att förenkla regelverket för ekonomiska operatörer, samtidigt som de garanterar adekvat skydd vid överföring av uppgifter utanför EU.

Kommissionen förväntar sig framsteg på följande fyra områden genom samarbetet mellan artikel 29-gruppen och artikel 31-kommittén:

a) En mer omfattande användning av resultaten då en adekvat skyddsnivå konstaterats för tredje land enligt artikel 25.6, samtidigt som en rättvis hållning gentemot tredje land bibehålls i enlighet med EU:s förpliktelser inom ramen för Världshandelsorganisationen.

b) Ytterligare beslut baserade på artikel 26.4 så att ekonomiska operatörer får ett bredare utbud av standardavtalsklausuler, som i den mån det är möjligt grundar sig på klausuler som härstammar från näringslivet, t.ex. Internationella handelskammaren och andra företagssammanslutningar.

c) Den roll som bindande bolagsregler (d.v.s. interna regler som binder en viss multinationell koncern som bedriver verksamhet inom flera olika rättsordningar, såväl inom som utanför EU) spelar när det gäller att skydda överföring av personuppgifter inom en koncern.

d) En mer enhetlig tolkning av direktivets artikel 26.1 (undantag från bestämmelsen om en adekvat skyddsnivå vid överföring till tredje land) och de nationella genomförandebestämmelserna.

Allt detta arbete bör ske tillräckligt öppet och med regelbunden återkoppling från berörda parter.

Övriga initiativ

Åtgärd 8: Teknik för att förbättra skyddet av privatlivet

Kommissionen satsar redan på teknik för att förbättra skyddet av privatlivet, särskilt inom forskning, t.ex. Rapid- [37] och Pisaprojekten [38].

[37] Roadmap for Advanced Research in Privacy and Identity Management.

[38] Privacy-Enhancing Intelligent Software Agents.

Under 2003 har kommissionen för avsikt att anordna en teknikworkshop för att höja medvetenheten kring ett förbättrat skydd av privatlivet och för att skapa möjligheten att ingående diskutera vilka åtgärder som skulle kunna vidtas för att främja utveckling och tillämpning av tekniker för bättre privatlivsskydd, t.ex. vilken roll intyg, certifiering eller privatlivskonsekvensanalyser [39] kan spela i Europa.

[39] Privacy Impact Assessments.

Den uppmanar arbetsgruppen att fortsätta diskussionerna om teknik för förbättrat privatlivsskydd och att överväga vilka åtgärder de nationella tillsynsmyndigheterna skulle kunna vidta för att främja användningen av dessa tekniker på nationell nivå.

Efter teknikworkshopen kommer kommissionen att ta hänsyn till mottagna synpunkter och lägga fram ytterligare förslag för att främja teknik för förbättrat privatlivsskydd inom EU. I dessa förslag kommer man särskilt att ta hänsyn till behovet av att uppmuntra regeringar och institutioner inom den offentliga sektorn att statuera exempel genom att använda teknik för förbättrat skydd av privatlivet, exempelvis inom tillämpningar för e-förvaltning.

Åtgärd 9: Främjande av självreglering och europeiska uppförandekoder

Kommissionen beklagar att så få organisationer utarbetat etiska riktlinjer för respektive bransch avsedda att tillämpas inom EU. Den kommer att fortsätta att uppmuntra och ge råd (i den utsträckning som är möjligt med tillgängliga resurser) om utarbetandet av etiska riktlinjer som artikel 29-gruppen ska uttala sig om [40]. Kommissionen uppmanar sektorer och intressegrupper att vara mer förebyggande i sitt arbete, eftersom den anser att självreglering, och framför allt etiska riktlinjer, bör spela en viktig roll i det framtida utarbetandet av uppgiftsskydd i och utanför EU, inte minst för att undvika alltför detaljerad lagstiftning.

[40] Artikel 29-gruppen behandlar för närvarande följande bidrag: FEDMA:s etiska riktlinjer för direkt marknadsföring; AESC:s etiska riktlinjer för chefsrekryterares behandling av personuppgifter samt ETP:s etiska riktlinjer för alleuropeisk nummerpresentation. En tidigare ansökan från IATA uppfyllde inte de krav som ställs på uppförandekodex i artikel 27 i direktivet, men den fick ett positivt mottagande av artikel 29-gruppen i dess yttrande WP 49 som antogs den 14 september 2001. http://europa.eu.int/comm/internal_market/ privacy/docs/wpdocs/2001/wp49en.pdf

Av samma anledning uttryckte kommissionen i sitt samrådsdokument om skydd av personuppgifter i sysselsättningssammanhang sina förhoppningar om att arbetsmarknadens parter skulle inleda förhandlingar för att ingå ett europeiskt avtal på detta område. Kommissionen beklagar att arbetsmarknadens parter inte gick med på att förhandla om denna fråga och hoppas att möjligheten till kollektivavtal på området kommer att utforskas ytterligare.

Åtgärd 10: Medvetandehöjande åtgärder

Kommissionen har för avsikt att inleda en Eurobarometer-undersökning utifrån frågorna i det onlinesamråd som genomfördes under 2002. Den hoppas att vissa dataskyddsmyndigheter kommer att delta i detta initiativ och att man gemensamt kan verka för att göra dataskyddsfrågor föremål för en öppen diskussion. Den uppmuntrar medlemsstaterna att satsa mer på medvetandehöjande åtgärder, särskilt genom ökade resurser i de nationella tillsynsmyndigheternas budgetar.

7. Slutsatser

Denna rapport är ett första steg i analysen av uppgifter rörande genomförandet av direktiv 95/46/EG och fastställandet av nödvändiga åtgärder för att tackla de huvudsakliga problem som uppstått. Kommissionen hoppas att denna analys kommer att hjälpa regeringar, dataskyddsmyndigheter och olika aktörer att klargöra vad som behöver göras för att få direktivet att tillämpas bättre inom EU, med förbättrad efterlevnad och överensstämmelse samt ökat medvetande om registrerades och registeransvarigas rättigheter och skyldigheter.

Kommissionen förväntar sig att medlemsstaterna vid behov ändrar sin lagstiftning så att den stämmer överens med direktivets bestämmelser och ger tillsynsmyndigheterna tillräckliga resurser. Kommissionen förväntar sig också att medlemsstaterna och tillsynsmyndigheterna gör vad som är möjligt dels för att skapa ett klimat där registeransvariga - och inte minst de som arbetar med uppgifter från hela EU och/eller hela världen - kan fullgöra sina skyldigheter på ett mindre komplext och tungrott sätt, dels för att undvika att ställa krav som skulle kunna avlägsnas utan att det skadar den höga skyddsnivå som förespråkas i direktivet.

Kommissionen uppmanar medborgarna att utnyttja sina lagstadgade rättigheter, och uppmanar de registeransvariga att vidta alla nödvändiga åtgärder för att säkra att direktivet följs. Kommissionen kommer noga att följa ytterligare tekniska framsteg och resultaten från arbetsprogrammet i denna rapport. Förslag för ytterligare uppföljning kommer att läggas fram mot slutet av 2004, då såväl kommissionen som medlemsstaterna kommer att ha betydligt större erfarenhet än idag av direktivets genomförande