EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52012AR0625
Opinion of the Committee of the Regions on ‘Data protection package’
Regionsudvalgets udtalelse: »Pakken om databeskyttelse«
Regionsudvalgets udtalelse: »Pakken om databeskyttelse«
EUT C 391 af 18.12.2012, p. 127–133
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
18.12.2012 |
DA |
Den Europæiske Unions Tidende |
C 391/127 |
Regionsudvalgets udtalelse: »Pakken om databeskyttelse«
2012/C 391/13
REGIONSUDVALGET
— |
hilser forslagene om en reform af lovgivningen om databeskyttelse i EU velkomne som et bidrag fra EU til den globale debat om hensigtsmæssig beskyttelse af personoplysninger i det digitale samfund; |
— |
finder det nødvendigt at afklare centrale spørgsmål om beskyttelsen af personoplysninger inden for rammerne af den almindelige lovgivningsprocedure, idet gennemsigtigheden og den demokratiske legitimitet udelukkende sikres ved omfattende medvirken af Rådet og Europa- Parlamentet og under deltagelse af repræsentanter fra de regionale og kommunale myndigheder i Europa; |
— |
påpeger, at der uanset ubesvarede spørgsmål om overensstemmelsen mellem forordningens grundlæggende koncept og nærheds- og proportionalitetsprincippet på grund af detaljerede bestemmelser skabes yderligere uhensigtsmæssige hindringer for medlemsstaternes lovgivningsmuligheder på området for offentlige myndigheders databehandling; |
— |
finder det desuden hensigtsmæssigt, at den foreslåede lovgivning giver større beslutningsmargen til medlemsstaterne, og i givet fald til regionerne, således at lovgivningen i overensstemmelse med de interne retsregler fastlægger de generelle betingelser, der gælder for medlemmerne af tilsynsmyndigheden, for at sikre at de uafhængigt kan udøve deres funktioner. |
Ordfører |
Ursula MÄNNLE (DE/PPE), medlem af landdagen i Bayern |
Basisdokumenter |
Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget – Beskyttelse af privatlivets fred i en forbundet verden: En europæisk databeskyttelsesramme til det 21. århundrede, COM(2012) 9 final Forslag til Europa-Parlamentets og Rådets direktiv om beskyttelse af fysiske personer i forbindelse med de kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, opdage eller retsforfølge straffelovsovertrædelser eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger, COM(2012) 10 final Forslag til Europa-Parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse), COM(2012) 11 final |
I. POLITISKE ANBEFALINGER
Set i lyset af den allestedsnærværende databehandling i det moderne informationssamfund har lovgivningen om databeskyttelse central betydning for den økonomiske udvikling, de offentlige myndigheders funktionsevne og effektivitet og de europæiske borgeres personlige frihedsrettigheder. Databeskyttelsens tilpasning til de ændrede krav i en digital verden, hvor stadig flere af livets områder er knyttet sammen via internettet, er derfor for øjeblikket et vigtigt reformprojekt for ikke blot Den Europæiske Union, men også for andre statsforbund eller stater som Europarådet og USA. Beskyttelsen af personoplysninger rejser spørgsmål på alle politikområder. Som et tværpolitisk emne vedrører databeskyttelse områder som sikkerheds- og retspolitik, økonomi, kommunikations-, uddannelses- og sundhedssektoren, forvaltning samt forbrugerbeskyttelse. Også for de europæiske regioner og kommuner har videreudviklingen af den europæiske lovgivning om databeskyttelse derfor en afgørende betydning for opretholdelsen og videreudviklingen af deres fremtidige evne til at agere i tider med basale teknologiske forandringer og global konkurrence.
REGIONSUDVALGET
1. |
hilser forslagene om en reform af lovgivningen om databeskyttelse i EU velkomne som et bidrag fra EU til den globale debat om hensigtsmæssig beskyttelse af personoplysninger i det digitale samfund; |
2. |
minder om, at de lokale og regionale myndigheder spiller en afgørende rolle i forbindelse med gennemførelsen af anbefalingerne vedrørende den digitale dagsorden for Europa. De er drivkræfterne i den økonomiske vækst på lokalt og regionalt plan og producerer, anvender og administrerer mange informatikprodukter og -tjenester, som er baseret på databaser med informationer fra den offentlige sektor. Derfor skal de i stort omfang og på en effektiv måde have indflydelse på de love, som vil påvirke deres myndighedsområde angående databeskyttelse. Forordningen vil medføre nye administrative byrder og meromkostninger for kommuner og regioner, der efter Regionsudvalgets opfattelse ikke står mål med de gevinster, borgerne vil opleve; |
3. |
støtter reformpakkens generelle målsætninger om i overensstemmelse med artikel 8 i chartret om grundlæggende rettigheder og artikel 16 i traktaten om Den Europæiske Unions funktionsmåde at sikre en harmonisering på europæisk plan af beskyttelsen af fysiske personer i forbindelse med behandling af personoplysninger; |
4. |
påpeger, at en harmonisering af de lovmæssige krav til databeskyttelse i form af generelle bindende bestemmelser vil medføre, at der trods grundlæggende forskellige risikobetingelser og driftsomgivelser stilles de samme krav til virksomheders, forvaltningsenheders og privates databehandlingsmetoder. Det er Regionsudvalgets opfattelse, at forordningen rammer uhensigtsmæssigt i forhold til offentlige myndigheder og skaber usikkerhed om deres kompetencer samt i forhold til det ansættelsesretlige område. Forordningen indebærer endvidere for offentlige myndigheder på regionalt og lokalt niveau en række forpligtelser (fx større dokumentationskrav, pligt til at sikre dataportabilitet mv.), som ikke modsvares af mærkbare forbedringer af de berørtes rettigheder. Regionsudvalget påpeger, at en retsakt i form af en forordning, pga. det høje abstraktionsniveau, kan resultere i en uhensigtsmæssig brug af EUF-traktatens artikel 290, som giver Kommissionen mulighed for at udstede yderligere regler også omkring væsentlige forhold. Forslaget tilgodeser dermed ikke nærheds- og proportionalitetsprincippet. Regionsudvalget opfordrer derfor til, at offentlige myndigheders behandling af personoplysninger og det ansættelsesretlige område undtages fra forordningens anvendelsesområde, således at offentlige myndigheders behandling af personoplysninger og det ansættelsesretlige område fortsat reguleres i et direktiv; |
5. |
understreger, at de uafhængige tilsynsmyndigheder har et centralt ansvar for at sikre databeskyttelsen. Imidlertid vil et højt databeskyttelsesniveau i en forbundet verden med allestedsnærværende databehandling ikke kunne garanteres udelukkende vha. tiltag til styrkelse af de ordensretlige opgaver. Der er også brug for yderligere incitamenter for registerførere med det formål at belønne en indsats for databeskyttelse, f.eks. ved at lette bevisbyrden for registerførere, der accepterer at følge krævende selvreguleringsstandarder eller adfærdskodeks, eller som udarbejder konsekvensanalyser vedrørende databeskyttelse på frivillig basis; |
6. |
finder det nødvendigt at afklare centrale spørgsmål om beskyttelsen af personoplysninger inden for rammerne af den almindelige lovgivningsprocedure, idet gennemsigtigheden og den demokratiske legitimitet udelukkende sikres ved omfattende medvirken af Rådet og Europa-Parlamentet og under deltagelse af repræsentanter fra de regionale og kommunale myndigheder i Europa; |
7. |
anerkender det principielle behov for at skabe forpligtende regler på områderne retligt og politimæssigt samarbejde for at beskytte personoplysninger i forbindelse med grænseoverskridende dataudveksling; |
8. |
advarer, i forbindelse med indsatsen for en bedre beskyttelse af personoplysninger, imod, at borgernes ret til selvbestemmelse på området indskrænkes uforholdsmæssigt, ved at de, navnlig set i forhold til offentlige myndigheder, mister retten til at give samtykke inden for anvendelsesområderne for såvel den generelle forordning om databeskyttelse som direktivet om databeskyttelse; |
9. |
finder det på grundlag af ovenstående overvejelser nødvendigt at tage hensyn til følgende specifikke aspekter i forbindelse med den videre lovgivningsprocedure: |
REGIONSUDVALGET
Nærhedsprincippet og proportionalitetsprincippet
10. |
mener, at der, når det gælder det private erhvervsliv, er gode grunde, som kan retfærdiggøre bestræbelserne på en fuldstændig harmonisering af dele af den europæiske lovgivning om databeskyttelse gennem forordningsregler; |
11. |
påpeger dog, at den samlede pakke bestående af en grundlæggende forordning om databeskyttelse og et direktiv om databeskyttelse hos politi og retsvæsen under bibeholdelse af talrige europæiske og nationale bestemmelser om databeskyttelse navnlig på telekommunikationsområdet konstant i konsultationsproceduren mødes af principielle indvendinger, hvad angår pakkens forenelighed med nærheds- og proportionalitetsprincippet. De fremførte forbehold vedrører:
|
12. |
understreger, at disse betænkeligheder afspejler de forbehold, som talrige europæiske regionale eller lokale myndigheder har over for forslag til bestemmelser, der f.eks. gør det umuligt at have nationale særpræg i forbindelse med databeskyttelse i den sociale sektor eller belaster de offentlige myndigheder med krav om databeskyttelse, f.eks. i form af retten til dataportabilitet, som udelukkende kan være hensigtsmæssige i forbindelse med erhvervslivets databehandlingsprocesser, og som medfører store administrative sanktioner i betragtning af de lokale myndigheders finansielle ressourcer; |
13. |
mener, at det i forslaget til databeskyttelsesforordning bør præciseres, at de begrænsninger for behandlingen af personoplysninger til historiske, statistiske eller videnskabelige formål, som opregnes i artikel 83, ikke må indskrænke offentlige myndigheders muligheder for at opbevare dokumenter i medfør af den nationale arkivlovgivning og lovgivning om åbenhed i forvaltningen; |
14. |
mener derfor, at det i forbindelse med den videre lovgivningsprocedure er nødvendigt i en større grad end hidtil at undersøge retsformen og grænserne mellem forslaget til forordning og forslaget til direktiv for mulige alternativer, som imødekommer nærheds- og proportionalitetsprincippet bedre end den foreliggende samlede pakke, herunder muligheden for, at offentlige myndigheders behandling af personoplysninger og det ansættelsesretlige område fortsat reguleres i et direktiv, således at offentlige myndigheders behandling af personoplysninger samt behandling af oplysninger på det ansættelsesretlige område undtages fra den generelle forordnings anvendelsesområde. |
REGIONSUDVALGET
International sammenhæng i stedet for markedsføringslandsprincippet
15. |
støtter målsætningen om, at også globale udbyderes informationstjenesteydelser skal være omfattet af den europæiske databeskyttelsesstandard; |
16. |
mener, at USA's regerings samtidige initiativ til et lovgrundlag om beskyttelse af privatlivet i den globale it-sektor er en oplagt mulighed for på centrale områder af den internationale datatrafik at samle reformforslagene i en fælles beskyttelsesstandard og herved ikke alene at gennemføre effektive databeskyttelsesregler, men også mere effektivt at undgå uens konkurrencebetingelser end via et markedsføringslandsprincip, der har sine begrænsninger på grund af vanskelighederne med at gennemføre det i praksis. |
REGIONSUDVALGET
Reformkonceptets bæredygtighed
17. |
påpeger, at forslaget til forordning om databeskyttelse i sin materielle kerne er baseret på principperne i databeskyttelsesdirektivet (95/46/EF), som kun videreudvikles på visse områder som f.eks. "databeskyttelse via teknik"/privacy by design, men ellers i bedste fald blot ændres. I modsætning til situationen ved udarbejdelsen af databeskyttelsesdirektivet er de risici, som er forbundet med behandling af personoplysninger i informationssamfundet, både når det gælder private og offentlige myndigheder, ikke længere præget af en til en-relationer. Digitalisering og netværkssamarbejde genererer snarere systemer, hvor flere myndigheder er inde over en behandling af data, fx samkøring af registre og deling af oplysninger mellem myndigheder; |
18. |
understreger, at de spørgsmål, der rejses om beskyttelsen af personoplysninger med traditionelle bipolare koncepter som begreberne "de registeransvarlige", en "ret til at blive glemt" eller forbudsprincippet, der gælder for forholdet mellem staten og borgeren (artikel 6 og 9 i forslaget til forordning), bliver svære at få besvaret på en fornuftig måde. Enkelte ændringer i forhold til bestemmelserne i direktivet som f.eks. de nyforfattede definitioner af "personoplysninger" eller "samtykke" bidrager snarere til en skærpelse af allerede eksisterende retsusikkerheder end til en løsning herpå; |
19. |
mener derfor, at såfremt Kommissionens ønske om en forordning fastholdes, er det nødvendigt, at det præciseres i forordningen, at en arbejdsgiver kan behandle oplysninger på grundlag af et samtykke fra lønmodtageren. Det samme skal gælde for offentlige myndigheder inden for anvendelsesområdet for såvel den generelle forordning om databeskyttelse som direktivet om databeskyttelse. Medlemsstaterne kan, under overholdelse af forordningen, vedtage specifikke bestemmelser, der regulerer behandlingen af arbejdstageres personoplysninger i ansættelsesforhold; |
20. |
mener derfor, at det er nødvendigt – såfremt den videre lovgivningsprocedure ikke kan anvendes til grundlæggende konceptuelle videreudviklinger – at genoverveje gennemførelsesmekanismer, som hidtil i for høj grad har fokuseret på regulering vha. bipolare retlige instrumenter og sanktioner. Navnlig af hensyn til de lokale og regionale myndigheder, som står de berørte nærmest, kan følgende tiltag spille en særlig rolle:
|
21. |
understreger i denne sammenhæng, at de opgaver, som hovedsageligt skal varetages af tilsynsmyndighederne, hidtil kun er blevet tillagt en underordnet betydning f.eks. i forbindelse med den generelle oplysningspligt i henhold til artikel 52, stk. 2, i forslaget til forordning (generel forordning om databeskyttelse) eller bestemmelserne om adfærdskodeks i den generelle forordnings artikel 38. |
REGIONSUDVALGET
Bevarelse af medlemslandenes lovgivningsmæssige spillerum
22. |
påpeger, at der uanset ubesvarede spørgsmål om overensstemmelsen mellem forordningens grundlæggende koncept og nærheds- og proportionalitetsprincippet på grund af detaljerede bestemmelser skabes yderligere uhensigtsmæssige hindringer for medlemsstaternes lovgivningsmuligheder på området for offentlige myndigheders databehandling; |
23. |
mener derfor, at offentlige myndigheders behandling af personoplysninger og det ansættelsesretlige område fortsat bør reguleres i et direktiv; |
24. |
mener derfor, såfremt Kommissionens ønske om en forordning fastholdes også over for offentlige myndigheder og på det ansættelsesretlige område, at
|
REGIONSUDVALGET
Styrkelse af det demokratiske ansvar
25. |
er meget bekymret for, at konkretiseringen og videreudviklingen af databeskyttelsesretlige krav med forordningens ikrafttræden indlejres i procedurer, som, i modsætning til medlemsstaternes og EU's lovgivning eller gennemførelsen af national eller europæisk lovgivning med parlamentarisk kontrolleret forvaltning i medlemsstaterne, hverken garanterer gennemsigtighed eller tilstrækkelig demokratisk legitimitet; |
26. |
anfører som begrundelse herfor, at forslaget til forordning via kraftigt generaliserende bestemmelser skal give både bindende og samtidig fælles forpligtelser, som kan sanktioneres, på et område, der er centralt for gennemførelsen af forskellige grundlæggende rettigheder. Et område, der allerede i dag er præget af en nærmest uoverskuelig vifte af forskellige anvendelsestilfælde, som strækker sig fra private adresseregistre over offentlige folkeregistre til sociale netværks eller søgemaskineudbyderes databaser. De i denne forbindelse nærmest uundgåelige mangler, hvad angår normfasthed, retssikkerhed og gennemførlighed, skal på den ene side kompenseres ved en lang række bemyndigelser til vedtagelse af delegerede retsakter, der ofte vedrører væsentlige elementer af regelkonceptet, som det f.eks. er tilfældet med bemyndigelsen i den generelle forordnings artikel 6, stk. 5. På den anden side får de uafhængige tilsynsmyndigheder i henhold til de almindelige retningslinjer om fortolkning af databeskyttelsesforordningen beføjelser, som er langt mere vidtgående end klassiske gennemførelsesopgaver, til også i praksis at vedtage abstrakt-generelle bestemmelser. De bliver i øvrigt inden for rammerne af den såkaldte sammenhængsmekanisme underkastet uhensigtsmæssige påvirkningsrettigheder fra Kommissionen, som betyder, at der kan sættes spørgsmålstegn ved deres tilsikrede uafhængighed i henhold til artikel 16, stk. 2, andet punktum, i TEUF; |
27. |
anser det derfor for nødvendigt at gennemføre en generel ændring af mekanismerne for Kommissionens deltagelse i sammenhængsprocedurerne for at sikre uafhængigheden hos de myndigheder, der fører tilsyn med databeskyttelsen, især deres beføjelser i henhold til den generelle forordnings artikel 60 og 62, stk. 1, litra a) og definitionen af "alvorlig tvivl" i samme artikler, der er grundlaget for Kommissionens indgriben; |
28. |
finder det desuden hensigtsmæssigt, at den foreslåede lovgivning giver større beslutningsmargen til medlemsstaterne, og i givet fald til regionerne, således at lovgivningen i overensstemmelse med de interne retsregler fastlægger de generelle betingelser, der gælder for medlemmerne af tilsynsmyndigheden, for at sikre at de uafhængigt kan udøve deres funktioner; |
29. |
mener desuden, at de også af EU-Domstolen anerkendte instrumenter til styring af de uafhængige tilsynsmyndigheder, f.eks. i forbindelse med rapporter og andre regelmæssige konsultationsprocedurer med de lovgivende organer, skal udbygges yderligere, således at også Europa-Parlamentet og Rådet samt Regionsudvalget i forbindelse med deres ret til at blive inddraget får et regelmæssigt overblik over gennemførelsen af den europæiske lovgivning om databeskyttelse og mulighed for at tage initiativer til videreudviklingen heraf. Endvidere skal tilsynsmyndighederne og det europæiske datasikkerhedsudvalg i tråd med kontradiktionsprincippet ved hjælp af supplerende procedurebestemmelser forpligtes til, f.eks. via hørings- eller konsultationsprocedurer, at inddrage de organisationer og interesseorganisationer, der berøres af beslutninger med principiel rækkevidde, f.eks. i henhold til den generelle forordnings artikel 58, stk. 2, i en gennemsigtig proces til konkretisering og videreudvikling af lovgivningen om databeskyttelse. |
REGIONSUDVALGET
Grænser for harmonisering af databeskyttelsen hos politi og retsvæsen
30. |
tvivler på, om reglerne om udelukkende national databehandling i forslaget til direktiv for politi og retsvæsen er i overensstemmelse med EU's lovgivningsbeføjelser og i tråd med nærheds- og proportionalitetsprincippet. Ud over opgaverne med bekæmpelse af terrorisme, organiseret kriminalitet eller internetkriminalitet findes der fortsat store databaser hos politi og strafferetlige myndigheder, som udelukkende behandles på nationalt plan, og for hvilke fælles europæiske bestemmelser om databeskyttelse ikke er nødvendige. Desuden skal der tages hensyn til, at databeskyttelsesretlige bestemmelser påvirker den øvrige lovgivning vedrørende politi og retsvæsen direkte og derfor også gør en harmonisering nødvendig på dette område, selv om EU ikke har tilstrækkelig beføjelse til dette; |
31. |
er overrasket over, at EU-institutionerne og organerne, herunder først og fremmest Eurojust og Europol, er undtaget fra direktivets anvendelsesområde; |
32. |
anmoder om, at det uanset disse principielle forbehold i den videre lovgivningsprocedure undersøges,
|
33. |
forbeholder sig ret til at fremlægge en yderligere udtalelse og heri især konkrete ændringsforslag, så snart Rådet og Europa-Parlamentet er kommet med deres stillingtagen til de åbne spørgsmål i den fortsatte lovgivningsprocedure. |
II. FORSLAG TIL ÆNDRINGER
Ændringsforslag 1
Artikel 36
Kommissionens forslag |
Regionsudvalgets ændringsforslag |
||||
Uanset artikel 34 og 35 fastsætter medlemsstaterne bestemmelser om, at en videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, hvis: |
Uanset artikel 34 og 35 fastsætter medlemsstaterne bestemmelser om, at en videregivelse af personoplysninger til et tredjeland eller en international organisation kun må finde sted, hvis: |
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
|
||||
|
Begrundelse
Udtrykket "er nødvendig" er for vagt og giver mulighed for uindskrænket anvendelse af undtagelserne, hvilket er imod ånden i denne artikel.
Ændringsforslag 2
Artikel 86, stk. 6
Kommissionens forslag |
Regionsudvalgets ændringsforslag |
|
Begrundelse
En forpligtelse for Kommissionen til at høre Det Europæiske Databeskyttelsesråd i forbindelse med alle delegerede retsakter og gennemførelsesretsakter er en vigtig beskyttelsesforanstaltning.
Bruxelles, den 10. oktober 2012.
Ramón Luis VALCÁRCEL SISO
Formand for Regionsudvalget