13.10.2017   

SV

Europeiska unionens officiella tidning

C 345/138

Föredragande:

Laure BATUT

1.1

EESK beklagar djupt att texterna om dataskydd är överlappande, omfattande och inbördes sammankopplade och att det är nödvändigt att bläddra fram och tillbaka från den ena texten till den andra för att förstå dem, vilket gör det osannolikt att någon annan än ett fåtal invigda kommer att läsa eller tillämpa dem. Deras mervärde är heller inte uppenbart för den vanliga medborgaren, ett begrepp som saknas i hela förslaget till förordning. Vi rekommenderar att man offentliggör en sammanfattande broschyr online med en beskrivning av förslagen som gör dem tillgängliga för allmänheten.

1.2

EESK betonar att av de alternativ som föreslagits i konsekvensbedömningen har kommissionen valt det som ”måttligt” förstärker den personliga integriteten. Har den valt det alternativet för att säkerställa en balans med industrins intressen? Kommissionen förklarar inte vilka aspekter av en ”långtgående” förstärkning av den personliga integriteten som skulle kunna skada industrins intressen. Denna utgångspunkt försvagar texten redan från början.

1.3

EESK rekommenderar kommissionen att

2.1

De elektroniska kommunikationsnäten har avsevärt utvecklats sedan direktiven 95/46/EG och 2002/58/EG  (2) om integritetsskydd inom elektronisk kommunikation trädde i kraft.

2.2

Den allmänna dataskyddsförordning som antogs 2016 [förordning (EU) 2016/679] blev grunden för åtgärderna och fastställde de huvudsakliga principerna, bland annat när det gäller rättsliga och straffrättsliga data. I enlighet med denna förordning får personuppgifter endast samlas in under stränga villkor, för berättigade ändamål och med respekt för konfidentialiteten (artikel 5 i den allmänna dataskyddsförordningen).

2.2.1

I oktober 2016 lade kommissionen fram ett förslag till direktiv om inrättande av en europeisk kodex för elektronisk kommunikation (3) (som innehåller 300 sidor) som ännu inte har antagits, men som den hänvisar till när det gäller vissa definitioner som inte förekommer vare sig i den allmänna dataskyddsförordningen eller i den text som granskas.

2.2.2

I två förslag från januari 2017 fastställs vissa aspekter med stöd av den allmänna dataskyddsförordningen. Det gäller förslaget till förordning om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ, kontor och byråer [COM(2017) 8 final, föredragande: Jorge Pegado Liz] och den text som granskas [COM(2017) 10 final] om respekt för privatlivet och skydd av personuppgifter.

2.3

Ovannämnda tre texter ska tillämpas från och med samma datum, den 25 maj 2018, och syftar till att harmonisera rättigheter och kontrollförfaranden.

2.4

Det bör noteras att för att underlätta detta tillvägagångssätt beslutades att en EU-förordning i stället för ett direktiv skulle tillämpas i fråga om skyddet av privatlivet.

3.1

I en värld där allt är digitalt vill civilsamhället förstå om unionen tillför ett mervärde som säkerställer att privatlivet får utrymme att utvecklas utan rädsla.

3.2

Kontinuerligt genererade data medför att alla användare kan spåras och identifieras överallt. Den databehandling som utförs i fysiska center som ofta är belägna utanför EU medför oro.

3.3

Stordata har blivit en valuta. Genom smart behandling kan de i marknadsföringssyfte användas för att ”profilera” fysiska och juridiska personer samt generera pengar, ofta utan användarnas vetskap.

3.4

Men framför allt bör framväxten av andra nya aktörer inom sektorn för databehandling utöver internetleverantörer leda till en översyn av texterna.

4.1

Med denna text vill kommissionen införa en balans mellan konsumenterna och industrin:

4.2

Förslaget avser tillämpningen av den allmänna dataskyddsförordningen, som har allmän giltighet på samma sätt som konfidentialiteten för personuppgifter och rätten till radering, och gäller den särskilda aspekten av personlig integritet och skydd av personuppgifter inom telekommunikation. Strängare regler för integritetsskydd samt samordnade kontroller och påföljder föreslås.

4.3

I förslaget fastställs inga specifika åtgärder mot ”kränkningar” av personuppgifter som användarna själva är ansvariga för, men bekräftar redan i de första artiklarna (artikel 5) principen om konfidentialitet för elektronisk kommunikation.

4.4

Leverantörer får behandla innehåll från elektronisk kommunikation

4.5

De ska radera eller anonymisera innehållen efter att mottagarna har tagit emot dem.

4.6

I artikel 4 11 i den allmänna dataskyddsförordningen avses med samtycke av den registrerade varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne.

4.7

I förslaget kvarstår kravet på ett tydligt uttryckt samtycke i enlighet med den allmänna dataskyddsförordningen och bevisbördan åligger operatörerna.

4.8

”Behandlingen” grundar sig på detta samtycke. Den personuppgiftsansvarige ska ”kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter” (artikel 7.1 i den allmänna dataskyddsförordningen).

4.9

Vissa begränsningar (av skyldigheter och rättigheter) när det gäller konfidentialitet skulle kunna införas i EU:s lagstiftning eller i nationell lagstiftning för att säkerställa allmänna intressen eller ett tillsynsuppdrag.

4.10

Fysiska personer måste ge sitt samtycke för att tas med i en allmänt tillgänglig elektronisk förteckning samt ha möjlighet till kontroll och rättelse av de uppgifter som rör dem (artikel 15).

4.11

Rätten att göra invändningar ger alla användare möjlighet att blockera användningen av sina uppgifter som lämnats till tredje part (t.ex. en näringsidkare) och därefter varje gång ett meddelande sänds (artikel 16). De nya bestämmelserna ger användarna större kontroll över sina parametrar (kakor, identifieringsuppgifter) och icke begärda meddelanden (skräppost, meddelanden, SMS, samtal) kan blockeras när användarens samtycke saknas.

4.12

När det gäller identifiering av det anropande numret och blockering av oönskade inkommande samtal (artiklarna 12 och 14) understryks i förordningen att dessa rättigheter även avser juridiska personer.

4.13

Strukturen avseende ett system för tillsyn är förenlig med den allmänna dataskyddsförordningen (kapitlen VI om tillsynsmyndigheter och VII om samarbete mellan tillsynsmyndigheterna).

4.13.1

Medlemsstaterna och deras nationella myndigheter som ansvarar för skydd av personuppgifter ska se till att bestämmelserna om konfidentialitet efterlevs. Övriga tillsynsmyndigheter får inom ramen för ömsesidigt bistånd utarbeta invändningar som eventuellt överlämnas till nationella tillsynsmyndigheter. Dessa ska samarbeta med varandra och med Europeiska kommissionen inom ramen för en mekanism för enhetlighet (artikel 63 i den allmänna dataskyddsförordningen).

4.13.2

Europeiska dataskyddsstyrelsen ansvarar å sin sida för att föreliggande förordning tillämpas enhetligt (artiklarna 68 och 70 i den allmänna dataskyddsförordningen).

4.14

Fysiska och juridiska personer som är slutanvändare ska ha rättsmedel för att hävda sina intressen när dessa kränkts. De kan få ersättning för den skada som de lidit.

4.15

De belopp som avses för administrativa sanktionsavgifter ska vara avskräckande, eftersom de för varje person som begår en förseelse kan uppgå till 10 000 000 euro och, om det gäller ett företag, till upp till 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket värde som är högst (artikel 23). Medlemsstaterna ska fastställa sanktionerna när det inte finns några administrativa sanktionsavgifter och de ska informera kommissionen.

4.16

Den nya texten om respekt för privatlivet och användning av personuppgifter ska tillämpas från och med den 25 maj 2018, dvs. samma datum som den allmänna dataskyddsförordningen från 2016, förordningen om skydd för enskilda personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ, kontor och byråer samt förslaget till direktiv om omarbetning av den europeiska kodexen för elektronisk kommunikation [COM(2016) 590 final], om de antas.

4.17

Tillämpningsområde för lex specialis för att genomföra den allmänna dataskyddsförordningen:

—

Ratione personae: aktörer

—

Ratione materiae: data

—

Ratione loci: var?

4.18

EU:s mål: den digitala inre marknaden

5.1

Kommittén välkomnar det samtidiga införandet i hela unionen av en konsekvent uppsättning regler som syftar till att skydda fysiska och juridiska personers rättigheter när det gäller digitala data inom elektronisk kommunikation.

5.1.1

Kommittén välkomnar att unionen spelar sin roll som väktare av medborgarnas och konsumenternas rättigheter.

5.1.2

Vi understryker att även om man eftersträvar harmonisering är det upp till medlemsstaterna att tolka många begrepp, vilket förvandlar förordningen till ett slags direktiv som lämnar stort utrymme för marknadsföring av privata data. Hälsoområdet i synnerhet står helt öppet för insamling av enorma mängder privata data.

5.1.3

Artiklarna 11.1, 13.2, 16.4, 16.5 och 24 utgör snarare bestämmelser som man skulle kunna beskriva som bestämmelser om ”införlivande”, vilka skulle vara lämpliga i ett direktiv men inte i en förordning. Operatörerna får alltför stort utrymme för att förbättra tjänsternas kvalitet (artiklarna 5 och 6). Denna förordning bör utgöra en integrerad del av förslaget till förordning om inrättande av en europeisk kodex för elektronisk kommunikation [COM(2016) 590 final].

5.1.4

EESK beklagar djupt att överlappningen av dessa texter, deras volym och inbördes sammankoppling medför att de troligen inte kommer att läsas av andra än en krets av invigda. Man måste ständigt bläddra fram och tillbaka från den ena texten till den andra. Deras medvärde är heller inte självklart för medborgarna. Svårigheten att läsa förslaget och dess komplexitet strider mot idén i programmet om lagstiftningens ändamålsenlighet och resultat (Refit-programmet) och målet om bättre lagstiftning, vilket medför att förslaget kommer att bli svårtolkat och öppnar för kryphål avseende skyddet.

5.1.5

Förslaget till förordning innehåller t.ex. ingen definition av begreppet ”operatör”. Man måste gå till förslaget till en europeisk kodex för elektronisk kommunikation (4), som ännu inte har trätt i kraft och som innehåller ändringar i reglerna för sektorn inom ramen för den digitala inre marknaden, nämligen ramdirektiv 2002/21/EG, auktorisationsdirektivet 2002/20/EG, direktiv 2002/22/EG om samhällsomfattande tjänster och tillträdesdirektivet 2002/19/EG i deras ändrade lydelse, förordning (EG) nr 1211/2009 om inrättande av Berec, radiospektrumbeslut 676/2002/EG, beslut 2002/622/EG om upprättande av en grupp för radiospektrumpolitik samt beslut 243/2012/EU om inrättande av ett flerårigt program för radiospektrumpolitik. Den allmänna dataskyddsförordningen (se punkt 2.2) utgör naturligtvis fortfarande den grundläggande referensen och föreliggande förslag avser att komplettera den och är alltså subsidiärt.

5.2

EESK understryker framför allt innehållet i artikel 8 om skydd av information som lagras i terminalutrustning och möjliga undantag, en grundläggande artikel eftersom den ger informationssamhället möjligheter att få tillgång till privata data. Kommittén betonar också innehållet i artikel 12 om skydd när det gäller identifiering av det anropande och uppkopplade numret. Dessa artiklar är svårförståeliga för en lekman.

5.2.1

I direktivet från 1995 (artikel 2) avses med ”personuppgifter””varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade)”. Det föreliggande förslaget till förordning utvidgar dataskyddet till att omfatta metadata och kommer i fortsättningen att tillämpas på såväl fysiska som juridiska personer. Det är viktigt att upprepa att förslaget har ett dubbelt syfte: å ena sidan att skydda personuppgifter och å andra sidan att säkerställa fri rörlighet för data från elektronisk kommunikation och elektroniska kommunikationstjänster inom EU (artikel 1).

5.2.2

EESK understryker att strävan efter att skydda juridiska personers data (artikel 1.2) kommer att komma i konflikt med andra texter där den inte förekommer. Det anges inte tydligt att dessa måste tillämpas även på juridiska personer (se den allmänna dataskyddsförordningen, uppgifter hos EU-institutioner).

5.3

EESK undrar om inte förslagets verkliga syfte snarare är att betona dess artikel 1.2, dvs. säkerställa ”fri rörlighet för data från elektronisk kommunikation och elektroniska kommunikationstjänster inom unionen”, som varken begränsas eller förbjuds av skäl som rör respekt för privatlivet och kommunikation för fysiska personer, snarare än att verkligen säkerställa det som anges i dess artikel 1.1, dvs. ”rätten till respekt för privatliv och kommunikation samt skyddet av fysiska och juridiska personer med avseende på behandling av personuppgifter”.

5.4

Allt grundas på att den fysiska eller juridiska personen uttrycker sitt samtycke. EESK anser följaktligen att användarna måste informeras, utbildas och vara försiktiga, eftersom när de väl gett sitt samtycke kan leverantören behandla innehåll och metadata ytterligare för att erhålla högsta möjliga aktivitet och intäkter. Hur många vet, innan de godkänner en kaka, att kakor är en spårningsteknik? Utbildning av användarna så att de utnyttjar sina rättigheter, samt även anonymisering eller kryptering, bör utgöra prioriteringar i denna förordning.

6.1

Personuppgifter bör samlas in endast av organisationer som själva följer stränga krav och strävar mot erkända och legitima ändamål (den allmänna dataskyddsförordningen).

6.2

Kommittén beklagar återigen ”att ett alltför stort antal undantag och begränsningar införts, vilket urholkar principerna om rätt till skydd av personuppgifter” (5). Balansen mellan frihet och säkerhet bör förbli Europeiska unionens kännetecken, snarare än balans mellan en persons grundläggande rättigheter och industrins rättigheter. Arbetsgruppen ”Artikel 29” har i sin analys av förslaget till förordning (WP247, 4.4.2017, yttrande 1/2017, punkt 17) tydligt påpekat att förslaget skulle sänka den skyddsnivå som fastställs i den allmänna dataskyddsförordningen, bland annat när det gäller lokalisering av terminalutrustning, avsaknaden av begränsningar av omfattningen av datainsamlingen och bristen på skydd av privatlivet som standard (punkt 19).

6.3

Uppgifterna är som en förlängning av personen, en fantomidentitet, en ”skugg-id”. Uppgifterna tillhör den person som genererar dem, men efter att de behandlats förlorar personen kontrollen över dem. Varje medlemsstat förblir ansvarig för lagring och överföring av uppgifter och det finns ingen harmonisering på grund av eventuella begränsningar av de rättigheter som fastställs i förslaget. Kommittén betonar risken för skillnader som kan uppstå på grund av att medlemsstaterna är ansvariga för sådana begränsningar av rättigheter.

6.4

En fråga uppstår i synnerhet när det gäller personer som arbetar i företag: vem äger de uppgifter som de genererar när de arbetar? Och hur skyddas de?

6.5

Kontrollens utformning är inte helt tydlig (6). Trots Europeiska datatillsynsmannens övervakning förefaller garantierna mot godtycke otillräckliga och den tid som krävs för att förfarandena ska leda till en sanktion har inte bedömts.

6.6

EESK efterlyser inrättandet av en europeisk portal, där man samlar och uppdaterar alla europeiska och nationella texter, alla rättigheter, rättsmedel, rättspraxis och praktiska frågor, för att hjälpa medborgarna och konsumenterna att orientera sig i djungeln av texter och åtgärder och kunna utöva sina rättigheter. Denna portal bör åtminstone bygga på kraven i direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgängligheten till offentliga myndigheters webbplatser och mobila applikationer, och de principer som anges i skälen 12, 15 och 21 i det föreslagna direktivet om en europeisk tillgänglighetslag, 2015/0278 (COD), och erbjuda ett innehåll som är tillgängligt och begripligt för alla slutanvändare. Kommittén är beredd att delta i utformningen av denna portal.

6.7

I artikel 22 saknas en hänvisning till ”grupptalan”, något som EESK redan kommenterade i sitt yttrande om den europeiska kodexen för elektronisk kommunikation.

6.8

Begränsningen av det materiella tillämpningsområdet (artikel 2.2), utvidgningen av rätten att behandla data utan användarens samtycke (artikel 6.1 och 6.2) och det osannolika att SAMTLIGA berörda slutanvändare lämnar sitt samtycke (artikel 6.3 b och artikel 8.1–8.3) samt de begränsningar av rättigheter som medlemsstaterna får införa om de anser att dessa utgör ”nödvändiga, lämpliga och proportionella” åtgärder är bestämmelser som kan tolkas på många olika sätt och som inte är förenliga med äkta integritetsskydd. Särskild uppmärksamhet bör också ägnas åt skydd av minderårigas personuppgifter.

6.9

EESK välkomnar den kontrollrätt som nämns i artikel 12, men noterar dess synnerligen dunkla formulering som förefaller gynna användningen av okända eller dolda telefonsamtal, som om anonymiteten är en rekommendation trots att principen bör vara att samtal ska kunna identifieras.

6.10

Icke begärda meddelanden (artikel 16) och direktmarknadsföring omfattas redan av direktivet om otillbörliga affärsmetoder (7). Systemet bör som standard vara opt-in (samtyckesbaserat) och inte opt-out (icke samtyckesbaserat).

6.11

Vart tredje år ska kommissionen göra en utvärdering, men inom det digitala området är denna period alltför lång. Efter två utvärderingar kommer den digitala världen att vara helt förändrad. Delegeringen (artikel 25), som kan utvidgas, bör däremot fastställas för en bestämd period och eventuellt kunna förnyas.

6.12

Lagstiftningen måste skydda användarnas rättigheter (artikel 3 i EU-fördraget) samtidigt som den rättsliga stabilitet som behövs för näringsverksamhet säkerställs. EESK beklagar att dataöverföring från maskin till maskin (M2M) inte ingår i förslaget: man måste gå till den europeiska kodexen för elektronisk kommunikation (förslag till direktiv, artiklarna 2 och 4).

6.12.1

Sakernas internet (8) kommer att leda till en övergång från stordata (”big data”) till ”huge data” och slutligen till ”all data”. Det är en nyckel till framtida innovationsvågor. Och maskinerna, små som stora, kommunicerar och överför privata uppgifter mellan sig (t.ex. din klocka registrerar dina hjärtslag och vidarebefordrar sedan uppgifterna till din läkares dator). Många it-aktörer har lanserat sin egen plattform som är förbehållen uppkopplade apparater: Amazon, Microsoft, Intel och, i Frankrike, Orange och La Poste.

6.12.2

I det dagliga livet kan sakernas internet enkelt utsättas för skadliga intrång och den mängd personuppgifter som kan samlas in på distans ökar (geolokalisering, hälsouppgifter samt video- och ljudströmmar). Bland annat försäkringsbolagen är intresserade av kryphålen i dataskyddet och börjar föreslå sina kunder att införskaffa uppkopplade enheter och ta mer ansvar för sitt beteende.

6.13

Många internetjättar försöker utveckla sin ursprungliga applikation mot en plattform: man bör därför skilja mellan Facebook-applikationen och Facebook-plattformen, som ger utvecklare möjlighet att utforma applikationer som är tillgängliga från användarnas profiler. Amazon var å sin sida en webbapplikation som specialiserade sig på onlineförsäljning. I dag är den en plattform som ger tredje part – från enskilda till stora koncerner – möjlighet att marknadsföra sina produkter och dra nytta av Amazons resurser: dess anseende, logistik etc. Allt detta sker genom överföring av personuppgifter.

6.14

Med delningsekonomin mångfaldigas antalet plattformar: ”en plattform, oftast elektronisk, som används för att upprätta kontakter mellan ett flertal personer som erbjuder produkter eller tjänster, och ett flertal personer som använder dessa” (9). Samtidigt som dessa eftersträvas på grund av den verksamhet och de arbetstillfällen som genereras oroas EESK över hur de dataöverföringar som de genererar ska kunna kontrolleras, när det gäller tillämpningen såväl av den allmänna dataskyddsförordningen som av denna förordning.