13.12.2011   

SV

Europeiska unionens officiella tidning

C 363/1


Yttrande från Europeiska datatillsynsmannenom förslaget till Europaparlamentets och rådets förordning om tullens kontroll av att immateriella rättigheter efterlevs

2011/C 363/01

EUROPEISKA DATATILLSYNSMANNEN HAR AVGETT DETTA YTTRANDE

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna, särskilt artiklarna 7 och 8,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1),

med beaktande av Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (2), särskilt artikel 28.2.

HÄRIGENOM FRAMFÖRS FÖLJANDE.

1.   INLEDNING

1.

Den 24 maj 2011 antog kommissionen ett förslag till Europaparlamentets och rådets förordning om tullens kontroll av att immateriella rättigheter efterlevs (nedan kallat förslaget).

1.1   Samråd med datatillsynsmannen

2.

Kommissionen översände förslaget till Europeiska datatillsynsmannen den 27 maj 2011. Datatillsynsmannen tolkar detta som en begäran om att ge råd till gemenskapsinstitutioner och gemenskapsorgan i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (nedan kallad förordning (EG) nr 45/2001). Kommissionen har tidigare (3), innan förslaget antogs, gett datatillsynsmannen möjlighet att lämna informella synpunkter. Europeiska datatillsynsmannen är nöjd med processen, som har bidragit till att på ett tidigt stadium göra texten bättre ur dataskyddssynpunkt. Kommissionen har tagit hänsyn till vissa av datatillsynsmannens synpunkter i förslaget. Europeiska datatillsynsmannen välkomnar den uttryckliga hänvisningen till det aktuella samrådet i förslagets ingress.

3.

Datatillsynsmannen vill ändå sätta fokus på vissa aspekter där texten fortfarande kan förbättras ur dataskyddssynpunkt.

1.2   Allmän bakgrund

4.

I förslaget anges villkor och förfaranden för tullmyndigheternas åtgärder när varor misstänks göra intrång i immateriella rättigheter eller borde vara föremål för tullövervakning i unionens tullområde. Syftet med den nya förordningen är att förbättra den rättsliga ram som fastställs genom förordning (EG) nr 1383/2003 (4), som den ska ersätta.

5.

Särskilt gäller att förslaget fastställer det förfarande som rättighetsinnehavare ska använda för att ansöka om att tullenheten i en medlemsstat ska ingripa i den medlemsstaten (”nationell ansökan”) eller om att tullenheterna i mer än en medlemsstat ska ingripa i sina respektive medlemsstater (”unionsansökan”). I detta sammanhang innebär ”ingripa” att tullmyndigheterna skjuter upp frigörandet av varorna eller kvarhåller dem. I förslaget fastställs också det förfarande de berörda tullenheterna ska använda för att fatta beslut om ansökan, vilka åtgärder tullmyndigheterna (eller tullkontoren) (5) bör vidta till följd av beslutet (t.ex. skjuta upp frigörandet av varorna, kvarhålla dem eller förstöra dem) med tillhörande rättigheter och skyldigheter.

6.

I detta sammanhang äger behandling av personuppgifter rum på olika sätt: när rättighetsinnehavaren lämnar in sin ansökan till tullmyndigheten (6) (artikel 6), när ansökan överlämnas till kommissionen (artikel 31), när tullmyndigheternas beslut överlämnas till de olika behöriga tullkontoren (artikel 13.1) och, för unionsansökningar, till tullmyndigheterna i övriga medlemsstater (artikel 13.2).

7.

Behandlingen av uppgifter enligt förslaget till förordning omfattar inte bara rättighetsinnehavarens personuppgifter i samband med överföringen av ansökningar och beslut från rättighetsinnehavaren till tullmyndigheterna, mellan medlemsstaterna och mellan medlemsstaterna och kommissionen. Enligt artikel 18.3 ska tullmyndigheterna t.ex. på begäran tillhandahålla innehavaren av beslutet namn på och adresser till mottagaren, avsändaren, deklaranten och varuinnehavaren (7) samt uppgifter om tullförfarandet och andra uppgifter om varorna. Därmed behandlas i detta fall personuppgifter för andra registrerade (mottagaren, avsändaren och varuinnehavaren kan vara fysiska eller juridiska personer) och överförs på begäran från den nationella tullmyndigheten till rättighetsinnehavaren.

8.

Även om detta inte anges uttryckligen i texten till förslaget förefaller det, om man går till kommissionens gällande förordning om tillämpningsföreskrifter, (EG) nr 1891/2004 (8), som innefattar det standardansökningsformulär som ska användas av rättighetsinnehavare, som om de förfaranden som införs genom förslaget även skulle innefatta behandling av personuppgifter då vissa enskilda eller enheter misstänks för att ha gjort intrång i immateriella rättigheter (9). Europeiska datatillsynsmannen betonar att uppgifter i samband med misstänkta lagöverträdelser betraktas som känsliga och får behandlas endast om särskilda skyddsåtgärder vidtas (artikel 8.5 i direktiv 95/46/EG och artikel 10.5 i förordning (EG) nr 45/2001).

9.

Vidare ansvarar kommissionen för att lagra rättighetsinnehavarnas ansökningar om ingripande i en central databas (som kommer att få namnet COPIS) som fortfarande håller på att förberedas. COPIS skulle bli en centraliserad plattform för informationsutbyte för tullverksamhet gällande alla varor som gör intrång i immateriella rättigheter. Alla utbyten av uppgifter om beslut, åtföljande dokument och anmälningar mellan medlemsstaternas tullmyndigheter ska äga rum via COPIS (artikel 31.3).

2.   ANALYS AV FÖRSLAGET

2.1   Hänvisning till direktiv 95/46/EG

10.

Europeiska datatillsynsmannen välkomnar att det i förslaget till förordning uttryckligen nämns (artikel 32, skäl 21) i en artikel med allmän räckvidd att kommissionens måste följa förordning (EG) nr 45/2001 och behöriga myndigheter i medlemsstaterna måste följa direktiv 95/46/EG vid behandling av personuppgifter.

11.

I denna bestämmelse erkänns även Europeiska datatillsynsmannens övervakningsfunktion i förhållande till kommissionens behandling i enlighet med förordning (EG) nr 45/2001. Europeiska datatillsynsmannen vill i detta sammanhang påpeka att hänvisningen ”[…] och under övervakning av de oberoende myndigheter i medlemsstaterna som avses i direktiv 28 i direktivet” i artikel 32 är fel. Hänvisningen ska vara till artikel 28 i direktiv 95/46/EG.

2.2   Genomförandeakter

12.

Enligt förslaget har kommissionen behörighet att anta genomförandeakter för att fastställa ansökningsformuläret för rättighetsinnehavare (artikel 6.3) (10). Denna artikel innehåller dock redan en förteckning med information som sökanden ska lämna, inklusive sina egna personuppgifter. För fastställandet av huvudinnehållet i ansökningsformuläret bör det i artikel 6.3 även krävas att tullmyndigheterna ger sökanden och andra potentiella registrerade (t.ex. avsändare, mottagare eller varuinnehavare) information i enlighet med nationella genomförandebestämmelser för artikel 10 i direktiv 95/46/EG. Samtidigt ska ansökan även innehålla motsvarande information som ska ges till den registrerade för kommissionens behandling enligt artikel 11 i förordning (EG) nr 45/2001 (med tanke på lagring och behandling i COPIS).

13.

Europeiska datatillsynsmannen rekommenderar därför att även den information som ska ges till den registrerade enligt artikel 10 i direktiv 95/46/EG och artikel 11 i förordning (EG) nr 45/2001 tas med i förteckningen i artikel 6.3 över information som ska tillhandahållas av sökanden.

14.

Dessutom vill datatillsynsmannen bli rådfrågad när kommissionen utövar sin genomförandebefogenhet för att se till att det nya standardformuläret (för nationell ansökan eller unionsansökan) följer dataskyddsbestämmelserna.

2.3   Datakvalitet

15.

Europeiska datatillsynsmannen välkomnar att artikel 6.3 l inför ett krav på att sökande ska vidarebefordra och uppdatera tillgängliga uppgifter för tullmyndigheternas analys och bedömning av risken för att intrång görs i immateriella rättigheter. Detta krav utgör en tillämpning av en av principerna för datakvalitet, enligt vilken personuppgifter ska vara ”riktiga och, om nödvändigt, aktuella” (direktiv 95/46/EG, artikel 6 d). Europeiska datatillsynsmannen välkomnar också att samma princip tillämpas i artikel 11.3, enligt vilken ”innehavaren av ett beslut” ska underrätta den behöriga tullenhet som fattade beslutet när de uppgifter som tillhandahållits i ansökan ändras.

16.

Artiklarna 10 och 11 gäller beslutens giltighetstid. Ett beslut om att tullmyndigheterna ska ingripa gäller under en angiven period. Denna period kan förlängas. Europeiska datatillsynsmannen vill betona att den ansökan som lämnas in av rättighetsinnehavaren (särskilt personuppgifterna i denna) inte bör lagras eller behållas av de nationella tullmyndigheterna och i COPIS-databasen efter att den period under vilken tullmyndigheterna ska ingripa har löpt ut. En sådan princip följer av artikel 4.1 e i förordning (EG) nr 45/2001 och från dess motsvarande artikel 6.1 e i direktiv 95/46/EG (11).

17.

Den nuvarande tillämpningsförordningen (12) fastställer (artikel 3.3) att ansökningsformuläret ska bevaras av tullmyndigheterna ”i minst ett år utöver formulärets giltighetstid”. Denna bestämmelse förefaller inte vara helt förenlig med ovan angivna principer.

18.

Därför föreslår Europeiska datatillsynsmannen att en bestämmelse införs i förslaget som fastställer en tidsgräns för lagring av personuppgifter som är kopplad till beslutens giltighetstid. Förlängning av lagringstiden ska undvikas eller, om en förlängning är motiverad, uppfylla nödvändighets- och proportionalitetsprinciperna, vilket bör klargöras. Ett tillägg av en bestämmelse i förslaget skulle vara tillämpligt i lika måtto i alla medlemsstater och skulle för kommissionens del innebära förenkling, rättssäkerhet och effektivitet, eftersom motstridiga tolkningar skulle kunna undvikas.

19.

Europeiska datatillsynsmannen välkomnar att artikel 19 (Tillåten användning av vissa uppgifter av innehavaren i ett beslut om beviljande av en ansökan) tydligt tar upp principen om ändamålsbegränsning genom att den begränsar hur innehavaren av ett beslut kan använda bland annat de personuppgifter om avsändaren och mottagaren som han har mottagit från tullmyndigheterna enligt artikel 18.3 (13). Uppgifterna kan enbart användas för att inleda ett förfarande för fastställande av huruvida intrång har gjorts i en immateriell rättighet som tillhör innehavaren av beslutet eller för att begära kompensation när varor förstörts i enlighet med det förfarande som fastställs i förslaget till förordning och enligt lagstiftningen i den medlemsstat där varorna finns. Med tanke på att uppgifterna även kan innehålla information om misstänkta lagöverträdelser är en sådan begränsning ett skydd mot missbruk av känsliga uppgifter. Bestämmelsen förstärks också av artikel 15, som föreskriver administrativa åtgärder mot rättighetsinnehavaren vid missbruk av uppgifterna utöver de ändamål som anges i artikel 19. Kombinationen av dessa båda artiklar visar att kommissionen har ägnat särskild uppmärksamhet åt principen om ändamålsbegränsning.

2.4   Central databas

20.

Enligt artikel 31.3 i förslaget ska alla ansökningar om ingripande, beslut om att bevilja ansökningar, beslut om att förlänga beslutens giltighetstid och om att upphäva ett beslut om beviljande av ansökan, inklusive personuppgifter, lagras i en central databas hos kommissionen (COPIS).

21.

COPIS skulle därför vara en ny databas vars huvudändamål skulle vara att ersätta utbytena av relevanta dokument mellan medlemsstaternas tullmyndigheter med ett digitalt system för lagring och överföring. Kommissionen, i första hand GD TAXUD kommer att administrera databasen.

22.

Hittills har den rättsliga grunden för utbyte av information mellan medlemsstaterna och kommissionen varit förordning (EG) nr 1383/2003 (14) och kommissionens tillämpningsförordning (EG) nr 1891/2004 (15). Enligt artikel 5 i förordning (EG) nr 1383/2003 får inlämning av ansökningar till medlemsstaterna ske elektroniskt, men inget nämns om en central databas. I artikel 22 nämns det att medlemsstaterna ska vidarebefordra all relevant information om ”tillämpningen av denna förordning” till kommissionen och att kommissionen ska vidarebefordra informationen till de övriga medlemsstaterna. Enligt skäl 9 i tillämpningsförordningen bör förfaranden för informationsutbyte mellan medlemsstaterna och kommissionen fastställas för att göra det möjligt för kommissionen att övervaka och rapportera om tillämpningen av förordningen. I artikel 8 klargörs det att medlemsstaterna regelbundet ska förelägga kommissionen en förteckning över samtliga skriftliga ansökningar om ingripande och vilka åtgärder som vidtagits av tullmyndigheterna, inklusive rättighetsinnehavarens personuppgifter, vilken slags rättighet ansökan avser och en varubeskrivning.

23.

Enligt den nya texten i förslaget (artikel 6.4) ska ansökningar lämnas med hjälp av elektronisk databehandlingsteknik när datorsystem för mottagande och behandling av ansökningar finns. Vidare ska enligt artikel 31 kommissionen underrättas om ansökningar till de nationella tullmyndigheterna, och dessa uppgifter ska ”lagras i en central databas” hos kommissionen. Den rättsliga grunden för att skapa COPIS-databasen förefaller därför vara begränsad till en kombination av bestämmelserna i de nya artiklarna 6.4 och 31.

24.

På denna rättsliga grund utvecklar kommissionen COPIS struktur och innehåll, men i dagsläget har inga ytterligare, mer detaljerade bestämmelser antagits genom det ordinarie lagstiftningsförfarandet genom vilka COPIS ändamål och egenskaper fastställs. Europeiska datatillsynsmannen finner detta särskilt oroande. Personuppgifter för enskilda personer (namn, adresser och andra kontaktuppgifter samt tillhörande information om misstänkta lagöverträdelser) kommer att bli föremål för ett intensivt utbyte mellan kommissionen och medlemsstaterna och kommer att lagras i databasen under en odefinierad tidsperiod, trots att det inte finns någon rättslig text som en enskild skulle kunna använda för att kontrollera om en sådan behandling är laglig. Vidare beskrivs inte de särskilda åtkomst- och administrationsrättigheterna för olika behandlingsoperationer uttryckligen.

25.

Såsom Europeiska datatillsynsmannen har betonat tidigare (16) måste den rättsliga grunden för instrument som begränsar den grundläggande rätten till skydd av personuppgifter, såsom denna erkänns i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och i rättspraxis grundad på artikel 8 i den europeiska konventionen om de mänskliga rättigheterna, som erkänns i artikel 16 i EUF-fördraget, fastställas i ett rättsligt instrument som är baserat på fördragen och kan åberopas inför en domare. Detta är nödvändigt för att rättssäkerheten ska kunna garanteras för den registrerade, som måste kunna förlita sig på tydliga regler och åberopa dessa inför en domstol.

26.

Därför uppmanar Europeiska datatillsynsmannen kommissionen att klargöra den rättsliga grunden för COPIS-databasen genom att införa en mer detaljerad bestämmelse i ett instrument som antas enligt det ordinarie lagstiftningsförfarandet enligt EUF-fördraget. En sådan bestämmelse ska uppfylla kraven i förordning (EG) nr 45/2001 och i tillämpliga fall i direktiv 95/46/EG. Bland annat måste bestämmelsen om inrättande av databasen med den elektroniska mekanismen för informationsutbyte i) identifiera behandlingsoperationernas ändamål och fastställa vilka användningar som är förenliga med detta, ii) identifiera vilka enheter (tullmyndigheter, kommissionen) som ska ha åtkomst till vilka data som finns lagrade i databasen och ha möjlighet att ändra data i databasen, iii) garantera att alla registrerade vars personuppgifter kan lagras och utbytas har rätt till åtkomst och information och iv) definiera och begränsa lagringsperioden för personuppgifter till ett nödvändigt minimum för ett sådant ändamål. Vidare betonar Europeiska datatillsynsmannen att även följande aspekter av databasen ska definieras i huvudrättsakten: den enhet som ska kontrollera och administrera databasen och den enhet som ansvarar för säkerheten vid behandling av de data som lagras i databasen.

27.

Europeiska datatillsynsmannen föreslår att en ny artikel inkluderas i själva förslaget där dessa huvudaspekter fastställs klart och tydligt. Alternativt ska en bestämmelse införas i förslaget om att en separat rättsakt ska antas enligt det ordinarie lagstiftningsförfarandet och att kommissionen ska lägga fram ett förslag till en sådan rättsakt.

28.

I vilket fall ska de genomförandeåtgärder som antas innehålla en detaljerad beskrivning av databasens funktionella och tekniska egenskaper.

29.

Förslaget föreskriver visserligen inte i detta stadium någon interoperabilitet med andra databaser som administreras av kommissionen eller andra myndigheter, men Europeiska datatillsynsmannen vill ändå betona att införande av en sådan interoperabilitet eller ett sådant utbyte först och främst måste följa principen om ändamålsbegränsning: data ska användas för det ändamål för vilket databasen har inrättats, och inga ytterligare utbyten eller kopplingar kan tillåtas utöver detta ändamål. Dessutom måste detta stödjas av en särskild rättslig grund baserad på EU-fördragen.

30.

Europeiska datatillsynsmannen är mån om att delta i den process som ska leda till det slutliga inrättandet av databasen för att kunna stödja och ge råd till kommissionen vid utformningen av ett system som följer dataskyddsbestämmelserna. Därför uppmuntrar datatillsynsmannen kommissionen att inkludera ett samråd med honom i den pågående förberedande fasen.

31.

Slutligen vill Europeiska datatillsynsmannen fästa uppmärksamheten på att sådan behandling av data som är aktuell kan var föremål för förhandskontroll från datatillsynsmannen i enlighet med artikel 27.2 a i förordning (EG) nr 45/2001, eftersom inrättandet av databasen skulle involvera behandling av särskilda uppgiftskategorier (om misstänkta lagöverträdelser).

3.   SLUTSATS

32.

Europeiska datatillsynsmannen välkomnar den särskilda hänvisningen i förslaget till direktiv 95/46/EG och förordning (EG) nr 45/2001 när det gäller den behandling av personuppgifter som omfattas av förordningen.

33.

Europeiska datatillsynsmannen vill sätta fokus på följande punkter där texten fortfarande kan förbättras ur dataskyddssynpunkt.

Artikel 6.3 bör inkludera den registrerades rätt till information.

Kommissionen bör vid utövandet av sina genomförandebefogenheter enligt artikel 6.3 rådgöra med Europeiska datatillsynsmannen för att utforma ett standardansökningsformulär som följer dataskyddsbestämmelserna.

Texten bör innehålla en tidsgräns för lagring av personuppgifter som lämnas av rättighetsinnehavaren, både på nationell nivå och på kommissionsnivå.

Europeiska datatillsynsmannen uppmanar kommissionen att identifiera och klargöra den rättsliga grunden för att inrätta COPIS-databasen och erbjuder sin sakkunskap för att stödja kommissionen vid utvecklingen av COPIS-databasen.

Utfärdat i Bryssel den 12 oktober 2011.

Giovanni BUTTARELLI

Biträdande Europeisk datatillsynsman


(1)  EGT L 281, 23.11.1995, s. 31 (nedan kallat direktiv 95/46/EG).

(2)  EGT L 8, 12.1.2001, s. 1.

(3)  I april 2011.

(4)  Rådets förordning (EG) nr 1383/2003 av den 22 juli 2003 om tullmyndigheternas ingripande mot varor som misstänks göra intrång i vissa immateriella rättigheter och om vilka åtgärder som skall vidtas mot varor som gör intrång i vissa immateriella rättigheter (EUT L 196, 2.8.2003, s. 7).

(5)  Tullenheter är de centrala kontoren i varje medlemsstat som får ta emot formella ansökningar från rättighetsinnehavare, medan tullmyndigheterna eller tullkontoren är de operativa, beroende enheter som utför de faktiska tullkontrollerna av varor som kommer in i EU.

(6)  Ansökningsformuläret måste bland annat innefatta uppgifter om sökanden (artikel 6.3 a), bemyndigande för fysiska eller juridiska personer som företräder sökanden (artikel 6.3 d), namn på och adress till de företrädare för sökanden som har ansvar för juridiska och tekniska frågor (artikel 6.3 j).

(7)  Avsändare och mottagare är de två parter som normalt är involverade i ett konsignationsavtal: avsändaren överlämnar varorna till mottagaren, som övertar ägandet av varorna och säljer dem efter anvisning från avsändaren.

”Deklaranten” är den person som gör en tulldeklaration i sitt eget namn eller den person i vars namn en sådan deklaration görs. ”Varuinnehavaren” är den person som äger varorna eller har en liknande förfoganderätt över dem eller har fysisk kontroll över dem.

(8)  Kommission förordning (EG) nr 1891/2004 av den 21 oktober 2004 om fastställande av tillämpningsföreskrifter för rådets förordning (EG) nr 1383/2003 om tullmyndigheternas ingripande mot varor som misstänks göra intrång i vissa materiella rättigheter och om vilka åtgärder som skall vidtas mot varor som gör intrång i vissa materiella rättigheter (EUT L 328, 30.10.2004, s. 16).

(9)  Se förordning (EG) nr 1891/2004, bilaga I, fält 9: Särskilda uppgifter om typen av bedrägeri eller bedrägeriförloppet bifogas, inklusive dokument, foton etc.

(10)  För närvarande gäller kommissionens förordning (EG) nr 1891/2004 om fastställande av tillämpningsföreskrifter för förordning (EG) nr 1383/2003. Där finns bland annat standardformulär för nationella ansökningar och unionsansökningar och anvisningar om hur dessa fylls i (kommissionens förordning (EG) nr 1891/2004 av den 21 oktober 2004 om fastställande av tillämpningsföreskrifter för rådets förordning (EG) nr 1383/2003 om tullmyndigheternas ingripande mot varor som misstänks göra intrång i vissa materiella rättigheter och om vilka åtgärder som skall vidtas mot varor som gör intrång i vissa materiella rättigheter (EUT L 328, 30.10.2004, s. 16)).

(11)  Personuppgifter ska ”förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades […]”.

(12)  Se fotnot 8.

(13)  Denna bestämmelse är i linje med artikel 57 (del III, avsnitt IV) i Trips-avtalet, http://www.wto.org/english/tratop_e/trips_e/t_agm4_e.htm#2

(14)  Se fotnot 4.

(15)  Se fotnot 8.

(16)  Se Europeiska datatillsynsmannens yttrande om kommissionens beslut av den 12 december 2007 om genomförandet av informationssystemet för den inre marknaden (IMI) med avseende på skyddet av personuppgifter (2008/49/EG) (EUT C 270, 25.10.2008, s. 1).