18.12.2012   

SV

Europeiska unionens officiella tidning

C 391/127

—

Regionkommittén välkomnar förslagen om en reform av den europeiska lagstiftningen om skydd av personuppgifter som ett bidrag från EU:s sida till den globala debatten om ett lämpligt skydd av den personliga integriteten i en digital värld.

—

Regionkommittén anser det ofrånkomligt att viktiga frågor om skydd av personuppgifter avgörs inom ramen för det ordinarie lagstiftningsförfarandet, som är den enda garantin för öppenhet och demokratisk legitimitet genom att rådet och Europaparlamentet verkligen deltar i utformningen och genom att också företrädare för de regionala och lokala myndigheterna i Europa involveras.

—

Regionkommittén framhåller att det vid sidan av vissa obesvarade frågor om förenligheten mellan förordningens grundkoncept och subsidiaritets- och proportionalitetsprincipen också finns detaljbestämmelser som leder till olämpliga gränsdragningar för nationella myndigheters lagstiftning i fråga om databehandling.

—

Kommittén anser också att det är lämpligt att den föreslagna lagstiftningen ger medlemsstaterna och i förekommande fall regionerna större utrymme att fatta beslut, så att lagstiftningen, i överensstämmelse med de nationella bestämmelserna, fastställer de generella villkor som ska gälla för tillsynsmyndighetens medlemmar för att garantera att de utövar sitt ämbete på ett oberoende sätt.

Föredragande

Ursula MÄNNLE (DE–PPE), ledamot av Bayerns delstatsparlament

Referensdokument

Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska sociala kommittén samt Regionkommittén om skydd av den personliga integriteten i en uppkopplad värld: En europeisk ram för personuppgiftsskydd för tjugohundratalet,

COM(2012) 9 final

Förslag till Europaparlamentets och rådets direktiv om skydd för enskilda personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter,

COM(2012) 10 final

Förslag till Europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning),

COM(2012) 11 final

1.

Regionkommittén välkomnar förslagen om en reform av den europeiska lagstiftningen om skydd av personuppgifter som ett bidrag från EU:s sida till den globala debatten om ett lämpligt skydd av den personliga integriteten i en digital värld.

2.

Regionkommittén påminner om den avgörande roll som de lokala och regionala myndigheterna har vid genomförandet av rekommendationerna i den digitala agendan för Europa. De är drivfjädern i den ekonomiska tillväxten på lokal och regional nivå och genererar, använder och förvaltar många it-produkter och it-tjänster, som grundar sig på databaser med uppgifter från den offentliga sektorn. Därför ska de på ett heltäckande och effektivt sätt bidra till utformningen av de lagar som kommer att påverka deras behörighet avseende uppgiftsskyddet. Förordningen kommer att medföra nya administrativa bördor och merkostnader för kommuner och regioner, som enligt Regionkommitténs uppfattning inte står i proportion till vinsterna för medborgarna.

3.

Regionkommittén stöder reformpaketets generella målsättningar om att i enlighet med artikel 8 i stadgan om grundläggande rättigheter och artikel 16 i fördraget om Europeiska unionens funktionssätt säkerställa harmonisering på EU-nivå av skyddet av enskilda personer när det gäller behandling av personuppgifter.

4.

Regionkommittén framhåller att en harmonisering av dataskyddsbestämmelsernas krav som genomförs med hjälp av bindande allmänna riktlinjer leder till att företags, förvaltningsorgans och privata aktörers databehandlingsförfaranden underkastas samma krav, trots grundläggande skillnader i riskbilden och varierande driftsvillkor. Kommittén anser att förordningen medför alltför negativa konsekvenser för offentliga myndigheter och är otydlig vad gäller deras behörighet samt vad avser det arbetsrättsliga området. Förordningen innebär dessutom för offentliga myndigheter på regional och lokal nivå en rad förpliktelser (t.ex. ökade krav på dokumentation, skyldighet att säkerställa uppgiftsportabilitet etc.) som inte motsvaras av märkbara förbättringar av de berörda personernas rättigheter. ReK påpekar att den föreslagna rättsakten i form av en förordning på grund av den höga abstraktionsnivån kan leda till ett missbruk av artikel 290 i EUF-fördraget, som ger kommissionen befogenhet att fastställa ytterligare regler, även i betydelsefulla frågor, och att den följaktligen inte tar hänsyn till subsidiaritets- och proportionalitetsprincipen. Kommittén anser därför att offentliga myndigheters behandling av personuppgifter och det arbetsrättsliga området undantas från förordningens tillämpningsområde för att i stället även i fortsättningen regleras av ett direktiv.

5.

Regionkommittén understryker att de oberoende kontrollinstanserna har ett avgörande ansvar för skyddet av personuppgifter. En hög uppgiftsskyddsnivå i en uppkopplad värld där databehandling förekommer nästan överallt kan emellertid inte säkerställas endast genom att man försöker stärka de förvaltningsrättsliga uppgifterna; det krävs dessutom ytterligare styrmedel för att registerförarna ska belöna satsningar på dataskydd, t.ex. genom att göra bevisbördan lättare för de registerförare som lyder under krävande självregleringsstandarder eller uppförandekoder, eller genomför frivilliga konsekvensbedömningar avseende uppgiftsskydd.

6.

Regionkommittén anser det ofrånkomligt att viktiga frågor om skydd av personuppgifter avgörs inom ramen för det ordinarie lagstiftningsförfarandet, som är den enda garantin för öppenhet och demokratisk legitimitet genom att rådet och Europaparlamentet verkligen deltar i utformningen och genom att också företrädare för de regionala och lokala myndigheterna i Europa involveras.

7.

För det polisiära och rättsliga samarbetet är det av grundläggande betydelse att man skapar bindande bestämmelser för att skydda personuppgifter vid transnationellt utbyte av sådana.

8.

Kommittén varnar för att man i strävan efter ett stärka personuppgiftsskyddet i alltför hög grad begränsar medborgarnas möjligheter att utöva sin rätt att bestämma över information om dem själva genom att man fråntar dem möjligheten att lämna samtycke till framför allt offentliga myndigheter. Detta gäller tillämpningsområdet för både den allmänna uppgiftsskyddsförordningen och uppgiftsskyddsdirektivet.

9.

Regionkommittén anser att man mot bakgrund av dessa överväganden måste ta hänsyn till följande frågor i det fortsatta lagstiftningsförfarandet:

10.

Regionkommittén anser att det finns goda skäl för strävan att fullständigt harmonisera delar av den europeiska lagstiftningen om skydd av personuppgifter som gäller näringslivet genom en förordning.

11.

Regionkommittén framhåller dock att paketet som helhet, som omfattar en allmän uppgiftsskyddsförordning och ett direktiv för det polisiära och rättsliga området samtidigt som många europeiska och nationella bestämmelser om uppgiftsskydd bibehålls inom framför allt telekommunikation, i anslutning till samrådsprocessen hela tiden stöter på grundläggande invändningar som gäller paketets förenlighet med subsidiaritets- och proportionalitetsprincipen. De invändningar som framförs har att göra med

12.

Regionkommittén betonar att dessa betänkligheter återspeglar de invändningar som har framförts av många europeiska regionala eller lokala myndigheter mot förslag till bestämmelser som t.ex. gör det omöjligt att ta hänsyn till nationella särdrag i uppgiftsskyddet på området sociala tjänster eller betungar offentliga förvaltningars verksamhet med dataskyddskrav, t.ex. med rätten till uppgiftsportabilitet, som bara kan anses vara relevanta för databehandlingsprocesser inom näringslivet och vars administrativa sanktioner är förhållandevis stora i jämförelse med de lokala myndigheternas ekonomiska resurser.

13.

Regionkommittén anser att det i förslaget till dataskyddsförordning bör förtydligas att de begränsningar som anges i artikel 83 i fråga om behandling av personuppgifter för historiska, statistiska och vetenskapliga ändamål inte ska inskränka offentliga organs möjligheter att bevara handlingar med stöd av nationell arkivlagstiftning och lagstiftning om insyn i förvaltningens dokument.

14.

Regionkommittén anser därför att man i det fortsatta lagstiftningsförfarandet i ännu högre grad än hittills måste pröva beslutet om den rättsliga formen och gränsdragningen mellan tillämpningsområdena för förordnings- och direktivförslagen och se om det finns några alternativ som ligger bättre i linje med subsidiaritets- och proportionalitetsprincipen än det nuvarande paketet. Detta omfattar bland annat möjligheten att även fortsättningsvis låta offentliga myndigheters behandling av personuppgifter och det arbetsrättsliga området regleras i ett direktiv, vilket innebär att offentliga myndigheters behandling av personuppgifter och behandling av uppgifter inom det arbetsrättsliga området undantas från den allmänna förordningens tillämpningsområde.

15.

Regionkommittén stöder målsättningen att också låta informationstjänster från globala tjänsteleverantörer omfattas av europeiska dataskyddsnormer.

16.

Regionkommittén anser att det initiativ som USA:s regering samtidigt lagt fram med en rättslig ram för skydd av den personliga integriteten inom den globala it-ekonomin gör det möjligt att inom centrala delar av det internationella utbytet av personuppgifter föra samman reformansatser till gemensamma skyddsnormer och därigenom inte bara driva igenom verksamma bestämmelser om uppgiftsskydd utan också på ett mer effektivt sätt än genom en i sin praktiska genomförbarhet begränsad princip om marknadsföringsort undvika olika konkurrensvillkor.

17.

Regionkommittén framhåller att förslaget till allmän uppgiftsskyddsförordning huvudsakligen grundar sig på principerna i uppgiftsskyddsdirektiv 95/46 EG, som endast vidareutvecklas i vissa avseenden, t.ex. principen "inbyggt uppgiftsskydd"(privacy by design), men i övrigt på sin höjd ändras. Till skillnad från den situation som rådde vid utformningen av detta uppgiftsskyddsdirektiv präglas riskerna vid både privata och offentliga instansers behandling av personuppgifter i informationssamhället inte längre av direkta kontakter. Digitalisering och sammankoppling skapar snarare system där flera myndigheter deltar i behandlingen av uppgifter, t.ex. samkörning av register och utbyte av uppgifter mellan myndigheter.

18.

Regionkommittén betonar att detta gör det nära nog omöjligt att klargöra de frågor som uppkommer om skyddet av personuppgifter med traditionella bipolära koncept som begreppet "registeransvarig", "rätten att bli bortglömd" eller den förbudsprincip som har utvecklats för förhållandet mellan stat och medborgare (artikel 6 och 9 i förordningsförslaget). Vissa ändringar som har gjorts i förhållande till bestämmelserna i direktivet, t.ex. de nya definitionerna av "personuppgifter" eller "samtycke", bidrar mer till att öka den rättsliga osäkerhet som redan finns än till att minska den.

19.

Om kommissionen står fast vid att använda en förordning anser kommittén därför att det i förslaget ska preciseras att en arbetsgivare har rätt att behandla uppgifter på grundval av den anställdes samtycke. Samma sak gäller för offentliga myndigheter i fråga om tillämpningsområdet för både den allmänna uppgiftsskyddsförordningen och uppgiftsskyddsdirektivet. Om de håller sig till förordningen kan medlemsstaterna med rättsakter anta särskilda bestämmelser som reglerar behandlingen av arbetstagares personuppgifter, utifrån mål som hänger samman med arbetsförhållandena.

20.

Regionkommittén anser därför att man, i den mån som det fortsatta lagstiftningsförfarandet inte kan användas för att vidareutveckla grundläggande begrepp, bör tänka över genomförandemekanismerna, som hittills har varit alltför strikt inriktade på förvaltningsrättsliga och även bipolära instrument som föreskrifter eller sanktioner. Just ur de lokala och regionala myndigheternas perspektiv, som står närmast de berörda personerna, kan det därför vara särskilt betydelsefullt med

21.

Regionkommittén betonar i detta sammanhang att dessa uppgifter, som i huvudsak ska skötas av tillsynsmyndigheterna, hittills endast har tillmätts underordnad betydelse i förslaget till allmän uppgiftsskyddsförordning, t.ex. inom ramen för den allmänna informationsskyldigheten enligt artikel 52.2 i förslaget till allmän förordning eller bestämmelserna om uppförandekodexar (artikel 38 i förslaget till allmän förordning).

22.

Regionkommittén framhåller att det vid sidan av vissa obesvarade frågor om förenligheten mellan förordningens grundkoncept och subsidiaritets- och proportionalitetsprincipen också finns detaljbestämmelser som leder till olämpliga gränsdragningar för nationella myndigheters lagstiftning i fråga om databehandling.

23.

ReK anser därför att offentliga myndigheters behandling av personuppgifter och det arbetsrättsliga området även i fortsättningen bör regleras i ett direktiv.

24.

Om kommissionen står fast vid att införa en förordning som även omfattar offentliga myndigheter och det arbetsrättsliga området anser Regionkommittén därför att

25.

Regionkommittén är mycket orolig för att arbetet med att konkret utforma och vidareutveckla dataskyddsrättsliga krav när förordningen träder i kraft kommer att flyttas över till förfaranden som varken skapar öppenhet eller demokratisk legitimitet, till skillnad från det lagstiftande arbetet i medlemsstaterna eller EU eller genomförandet av den nationella rätten eller EU-rätten genom nationella förvaltningar som befinner sig under parlamentarisk kontroll.

26.

ReK motiverar sin oro med att förslaget till förordning genom mycket abstrakta bestämmelser kan skapa bindande och samtidigt harmoniserade och sanktionerbara krav på ett område som är av central betydelse för förverkligandet av olika grundläggande rättigheter och som redan i dag präglas av ett nästan oöverskådligt spektrum av olika tillämpningar, från privata adressförteckningar och offentliga befolkningsregister till databaser i sociala nätverk eller hos aktörer som tillhandahåller sökmotorer. De nästan oundvikliga bristerna i frågor som förutsägbara normer, rättssäkerhet och genomförbarhet bör å ena sidan kompenseras med en mängd befogenheter att anta delegerade rättsakter, som ofta avser viktiga delar av bestämmelserna såsom t.ex. befogenheten enligt artikel 6.5 i den allmänna förordningen visar. Å andra sidan får de oberoende kontrollinstanserna befogenheter som sträcker sig långt utöver de klassiska genomförandebefogenheterna, nämligen att inom ramen för allmänna riktlinjer om tolkningen av uppgiftsskyddsförordningen i praktiken även anta abstrakta och generella bestämmelser. I samband med detta underkastas de dessutom inom ramen för den s.k. mekanismen för enhetlighet en orimlig rätt till påverkan från kommissionens sida, som komprometterar det oberoende som de ska ha enligt artikel 16.2 andra stycket i EUF-fördraget.

27.

Regionkommittén anser därför att det finns anledning att principiellt ändra mekanismerna för kommissionens deltagande i förfarandet för enhetlighet i syfte att trygga oberoendet hos tillsynsmyndigheterna för uppgiftsskydd, framför allt deras befogenheter enligt artiklarna 60 och 62.1 a i den allmänna förordningen samt definitionen av "allvarliga tvivel" i samma artiklar, vilket utgör grunden för kommissionens ingripande.

28.

Kommittén anser också att det är lämpligt att den föreslagna lagstiftningen ger medlemsstaterna och i förekommande fall regionerna större utrymme att fatta beslut, så att lagstiftningen, i överensstämmelse med de nationella bestämmelserna, fastställer de generella villkor som ska gälla för tillsynsmyndighetens medlemmar för att garantera att de utövar sitt ämbete på ett oberoende sätt.

29.

Regionkommittén anser dessutom att de instrument för styrning av de oberoende tillsynsmyndigheterna som har erkänts även av EU-domstolen, t.ex. inom ramen för rapporter och andra återkommande samrådsförfaranden med de lagstiftande organen, borde vidareutvecklas, så att också Europaparlamentet och rådet samt Regionkommittén inom ramen för sin deltaganderätt får en regelbunden överblick över genomförandet av EU:s dataskyddslagstiftning och en möjlighet att inleda initiativ för att vidareutveckla denna. Dessutom borde tillsynsmyndigheterna och Europeiska dataskyddsstyrelsen på grundval av principen om att ingen skall dömas ohörd genom kompletterande förfaranden ha en skyldighet att t.ex. genom samrådsförfaranden involvera föreningar och intresseorganisationer som påverkas av principbeslut, t.ex. enligt artikel 58.2 i den allmänna förordningen, i en öppen process där dataskyddslagstiftningen konkretiseras och vidareutvecklas.

30.

Regionkommittén ställer sig tveksam till om en reglering av rent nationell databehandling inom ramen för förslaget till direktiv på det polisiära och rättsliga området är förenlig med EU:s lagstiftningsbefogenheter och om det finns skäl för en sådan enligt subsidiaritets- och proportionalitetsprincipen. Om man bortser från uppgifterna vid bekämpning av terrorism, organiserad brottslighet eller it-brottslighet har polisen och de brottsbekämpande myndigheterna fortfarande stora databaser som endast hanteras på nationell nivå och därmed inte kräver några europeiska dataskyddsbestämmelser. Man måste dessutom ta hänsyn till att dataskyddsbestämmelser får omedelbara återverkningar på polis- och straffprocesslagstiftningen och på så sätt indirekt också på detta område framtvingar en harmonisering, även om EU inte har tillräckliga befogenheter för detta.

31.

Kommittén är förvånad över att EU-institutionerna och EU-organen, framför allt Eurojust och Europol, inte ingår i direktivets tillämpningsområde.

32.

Regionkommittén anser bortsett från dessa principiella invändningar att man i det fortsatta lagstiftningsförfarandet bör undersöka

33.

Regionkommittén förbehåller sig rätten att lägga fram ännu ett yttrande med framför allt konkreta ändringsförslag, så snart som rådet och Europaparlamentet i det fortsatta lagstiftningsförfarandet har lagt fram sina ståndpunkter i de frågor som har framkastats.