BETÆNKNING om Kommissionens første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF)
(KOM(2003) 265 – C5-0375/2003 – 2003/2153(INI))
24. februar 2004
Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender
Ordfører: Marco Cappato
PROTOKOLSIDE
Med skrivelse af 15. maj 2003 fremsendte Kommissionen sin første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF) (KOM(2003) 265), som blev henvist til Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender til orientering.
På mødet den 4. september 2003 meddelte Parlamentets formand, at Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender havde fået tilladelse til at udarbejde en initiativbetænkning om dette emne, jf. forretningsordenens artikel 47, stk. 2, og artikel 163, og at Udvalget om Retlige Anliggender og det Indre Marked og Udvalget om Industripolitik, Eksterne Økonomiske Forbindelser, Forskning og Energi var udpeget til rådgivende udvalg (C5-0375/2003).
På mødet den 9. september 2003 valgte udvalget Marco Cappato til ordfører.
På møder den 22. januar 2004 og 19. februar 2004 behandlede udvalget udkastet til betænkning.
På sidstnævnte møde vedtog det enstemmigt forslaget til beslutning.
Til stede under afstemningen var: Jorge Salvador Hernández Mollar (formand), Johanna L.A. Boogerd-Quaak og Giacomo Santini (næstformænd), Maurizio Turco (for Marco Cappato (ordfører), Mary Elizabeth Banotti, Kathalijne Maria Buitenweg (for Patsy Sörensen), Michael Cashman, Carmen Cerdeira Morterero, Gérard M.J. Deprez, Adeline Hazan, Margot Keßler, Timothy Kirkhope, Eva Klamt, Luís Marinho (for Ozan Ceyhun), Marjo Matikainen-Kallström (for Charlotte Cederschiöld), Arie M. Oostlander (for Carlos Coelho), Elena Ornella Paciotti, Paolo Pastorelli (for Giuseppe Brienza), Hubert Pirker, Bernd Posselt, Olle Schmidt (for Baroness Ludford), Sérgio Sousa Pinto, Joke Swiebel, Anna Terrón i Cusí og Christian Ulrik von Boetticher.
Udtalelserne fra Udvalget om Retlige Anliggender og det Indre Marked og Udvalget om Industripolitik, Eksterne Økonomiske Forbindelser, Forskning og Energi er vedføjet denne betænkning.
Betænkningen indgivet den 24. februar 2004.
FORSLAG TIL EUROPA-PARLAMENTETS BESLUTNING
om Kommissionens første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF)
(KOM(2003) 265 – C5-0375/2003 – 2003/2153(INI))
Europa-Parlamentet,
– der henviser til Kommissionens første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF) (KOM(2003) 265 - C5-0375/2003),
– der henviser til de folkeretlige tekster om beskyttelse af privatlivet, navnlig artikel 12 i verdenserklæringen om menneskerettigheder af 10. december 1948, artikel 17 i den internationale konvention om borgerlige og politiske rettigheder af 16. december 1966, artikel 8 i konventionen til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder[1] af 4. november 1950, konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger[2] af 28. januar 1981 og henstillinger fra Europarådet,
– der henviser til artikel 6 i EU-traktaten (respekt for menneskerettigheder og grundlæggende frihedsrettigheder i EU), artikel 286 i EF-traktaten samt artikel 7 og 8 (om hhv. respekt for privatliv og familieliv og beskyttelse af personoplysninger) i det europæiske charter om grundlæggende rettigheder,
– der henviser til EU's bestemmelser om beskyttelse af privatlivet og af personoplysninger og navnlig direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor;
– der henviser til andre EU-instrumenter vedrørende databeskyttelse under tredje søjle, navnlig det græske formandskabs udkast til arbejdsdokument om fælles regler for beskyttelse af persondata inden for rammerne af den tredje søjle og kommissær Vitorinos meddelelse om, at han i 2004 vil forelægge et lovforslag på dette område[3],
– der henviser til arbejdsgruppen om privatlivets rettigheder, som er oprettet i henhold til artikel 29 i direktiv 95/46/EF,
– der henviser til dokumenterne om overførsel af transatlantiske passageroplysninger til USA, navnlig udtalelserne fra artikel-29-arbejdsgruppen, Kommissionens meddelelser, USA's "undertakings", udtalelsen fra det belgiske databeskyttelsesudvalg om klager fra passagerer og klagen til Kommissionen om overtrædelse af forordning (EØF) nr. 2299/89,
– der henviser til Domstolens dom af 20. maj 2003 i sagen Österreichischer Rundfunk m.fl.,
– der henviser til forretningsordenens artikel 47, stk. 2, og artikel 163,
– der henviser til betænkning fra Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender og udtalelse fra Udvalget om Retlige Anliggender og det Indre Marked og Udvalget om Industripolitik, Eksterne Økonomiske Forbindelser, Forskning og Energi (A5‑0104/2004),
A. der henviser til, at retten til privatliv er en grundlæggende menneskeret, hvilket fremgår af alle de vigtigste juridiske instrumenter om borgerrettigheder og grundlæggende rettigheder på internationalt, europæisk og nationalt plan,
B. der henviser til, at EU har udviklet en retsorden med henblik på at garantere borgernes privatliv gennem en høj standard af databeskyttelse i områder under første søjle,
C. der henviser til, at områder under anden og tredje søjle på grund af EU's nuværende søjlestruktur er undtaget fra denne retsorden og delvist dækkes af forskellige specifikke bestemmelser, at Europa-Parlamentet kun delvist høres eller orienteres, og at Domstolen har begrænsede beføjelser i denne forbindelse,
D. der henviser til, at Kommissionen i direktiv 95/46/EF pålægges at aflægge rapport til Rådet og Europa-Parlamentet om gennemførelsen af direktivet og om nødvendigt at foreslå passende ændringer,
E. der henviser til, at der efter terrorangrebene i september 2001 på nationalt, europæisk og internationalt plan er blevet vedtaget eller planlagt foranstaltninger for at øge sikkerhedsniveauet ved at ændre rettigheder om privatliv og databeskyttelse,
F. der henviser til, at overførsel af data til tredjelande og organisationer er et område, der giver anledning til bekymring, ikke alene på grund af forskellene mellem medlemsstaternes regler, idet nogle er alt for eftergivende og andre overdrevent strenge, men især fordi en bindende vurdering af, om de europæiske borgere nyder tilstrækkelig beskyttelse med hensyn til grundlæggende rettigheder er forbeholdt det udøvende organ Kommissionen og ikke Parlamentet,
G. der henviser til, at der stadig er forhandlinger i gang mellem EU og USA om spørgsmålet om ulovlig overførsel af transatlantiske passagerdata til USA, og at Parlamentet har anmodet Kommissionen om at tage skridt i overensstemmelse med EF-traktatens artikel 232,
H. der henviser til, at det belgiske databeskyttelsesudvalg har konstateret, at persondata for visse transatlantiske passagerer - heriblandt et medlem af Europa-Parlamentet - er blevet ulovligt overført til USA i strid med belgisk lovgivning og europæiske direktiver,
I. der henviser til, at artikel 29-arbejdsgruppen i sin udtalelse om overførsel af passagerdata til USA siger, at "the progress made does not allow for a favourable adequacy finding to be achieved", og at talrige andre spørgsmål må løses, før Kommissionen kan nå frem til en afgørelse om, hvorvidt der er et tilstrækkeligt grundlag herfor,
J. der henviser til, at EU, dets institutioner og medlemsstaterne bør overholde EU's charter om grundlæggende rettigheder og navnlig artikel 8 heri, den europæiske konvention om menneskerettighederne og de grundlæggende frihedsrettigheder samt de generelle principper i folkeretten, og at den nuværende politik med "data retention" og overførsel af data til tredjelande er en alvorlig trussel herimod,
K. der henviser til, at Kommissionen og medlemsstaterne samt de nationale databeskyttelsestilsynsmyndigheder er ansvarlige for en effektiv anvendelse af de nationale og europæiske lovgivningsregler om beskyttelse af privatlivet og for at træffe afgørelse om sanktioner mod overtrædelser af disse regler,
L. der henviser til, at de nationale og europæiske love med hensyn til overførsel af persondata til tredjestater klart er blevet overtrådt i tilfældet med overførsel af transatlantiske passagerers persondata til de ansvarlige myndigheder for anvendelsen af lovgivningen i USA, og at Kommissionens, medlemsstaternes og nogle af tilsynsmyndighedernes handlinger - især der, hvor de nationale lovgivninger giver mulighed for at blokere dataoverførsel - giver indtryk af en substantiel medskyld i overtrædelsen af loven og legalitetsprincippet,
M. der henviser til, at eksistensen af det globale internetinformationssamfund gør, at der ikke udelukkende kan findes løsninger inden for EU's egne rammer,
Behov for en generel og søjleuafhængig europæisk privatlivs- og databeskyttelsesordning
1. anmoder, idet det udtrykker kritik af den alvorlige forsinkelse, der har ophobet sig på dette område, Kommissionen om i første halvdel af 2004 at forelægge et forslag om et "retsinstrument", sådan som den har bebudet det, om beskyttelse af privatlivet under tredje søjle; mener, at et sådant instrument bør være bindende og garantere samme databeskyttelses- og privatlivsrettigheder under tredje søjle som under første søjle; understreger, at dette instrument bør indebære harmonisering på disse høje niveauer af de gældende bestemmelser om privatliv og databeskyttelse hos Europol, Eurojust og alle øvrige organer og aktioner under tredje søjle samt inden for udveksling af data mellem dem indbyrdes og med tredjelande og tredjelandsorganisationer;
2. mener, at direktiv 95/46/EF på lang sigt og med de nødvendige justeringer bør finde anvendelse inden for alle EU-områder, således at der garanteres en høj standard af harmoniserede og fælles bestemmelser om privatlivets beskyttelse og databeskyttelse;
3. mener, at overholdelsen af reglerne om respekt for privatliv og databeskyttelse bør overvåges af nationale tilsynsmyndigheder og en fælles EU-myndighed, som borgerne skal kunne appellere til, samt af Domstolen; mener, at Europa-Parlamentet endvidere bør høres - og have beføjelser til at træffe afgørelse i den forbindelse - om alle forslag, der vedrører eller påvirker beskyttelsen af privatlivet i EU, som f.eks. internationale aftaler, adequacy findings mv.;
4. mener, at det er nødvendigt straks at øge beskyttelsen af borgernes privatliv og persondata (adgang til data, rettelser, ændringer, sletninger mv.) gennem indførelse af en enhedsprocedure hos de nationale tilsynsmyndigheder vedrørende data, der opbevares i nationale eller europæiske databaser under første og tredje søjle;
5. glæder sig over, at Kommissionen har gennemført en åben og dybtgående høring og debat med alle berørte parter (medlemsstaternes regeringer og tilsynsmyndigheder, organisationer, virksomheder og borgere) både online og offline om gennemførelsen af direktivet, og tager resultaterne af denne høringsproces til efterretning;
Gennemførelsen af databeskyttelsesdirektiv 95/46/EF
6. beklager det forhold, at nogle medlemsstater ikke havde gennemført direktivet inden fristen for omsættelse til national lovgivning den 24. oktober 1998, hvilket den 11. januar 2000 tvang Kommissionen til at tage retslige skridt mod Frankrig, Luxembourg, Nederlandene, Tyskland og Irland, men tager til efterretning, at alle medlemsstaterne nu har omsat direktivet til national lov; opfordrer Irland til straks at underrette Kommissionen om landets nylige gennemførelseslovgivning; beklager, at medlemsstaternes forsinkede gennemførelse af direktivet og de vedvarende forskelle i anvendelsen af direktivet på nationalt plan har forhindret de økonomiske aktører i at få fuldt udbytte heraf og har hæmmet visse grænseoverskridende aktiviteter i EU;
7. opfordrer alle berørte aktører - EU-institutioner, medlemsstater og databeskyttelsesmyndigheder samt økonomiske og sociale aktører - til at medvirke til og samarbejde om at nå frem til en korrekt overholdelse af databeskyttelsesprincipperne, som er fastsat i direktivet;
8. deler Kommissionens holdning, at direktivet ikke bør ændres for øjeblikket, bortset fra det i punkt 10a angivne, da dets gennemførelsesperiode har været langsom og de indhøstede erfaringer stadig er begrænsede; mener ligeledes, at de nuværende mangler i direktivet bør afhjælpes gennem aktioner, der iværksættes på europæisk og nationalt plan af medlemsstaterne og databeskyttelsesmyndighederne i overensstemmelse med det program, som indgår i Kommissionens meddelelse;
9. henviser til, at garantien for databeskyttelse er en betingelse for gennemførelsen af det indre marked; anmoder i denne forbindelse Kommissionen om at undersøge, på hvilke områder de afvigende fortolkninger af direktivet er til hinder for det indre markeds funktion, og om at aflægge beretning herom for Europa-Parlamentet;
er enig i Kommissionens holdning om, at såfremt et sådant samarbejde ikke har ført til de forventede resultater efter en frist på seks måneder, vil den indlede en overtrædelsesprocedure mod de medlemsstater, der undlader eller nægter at efterkomme direktivet; mener i denne forbindelse, at Kommissionen bør være særlig opmærksom på og optræde beslutsomt med hensyn til en effektiv overvågning af de juridiske undtagelser til retten til privatliv og i den forbindelse sikre, at Den Europæiske Menneskerettighedsdomstol og dens retspraksis overholdes;
Dataoverførsel til tredjelande og organisationer
10. glæder sig over Kommissionens planer om at forenkle lovrammerne for virksomheder for så vidt angår kravene vedrørende internationale dataoverførsler;
11. minder om, at der ikke må indrømmes undtagelser fra princippet om, at oplysninger under første søjle kun kan overføres til tredjelande og organisationer, hvis databeskyttelsesniveauet er på højde med EU's;
12. minder - især Europol, Eurojust og andre organer under tredje søjle - om, at oplysninger om retshåndhævelse kun kan overføres i individuelle tilfælde til lande og organer, der respekterer menneskerettighederne og de grundlæggende frihedsrettigheder, demokrati, retsstatsprincipperne, EU-databeskyttelsesstandarder, herunder databeskyttelsesprincipperne, som Europarådet fastsatte i henstilling R (87) 15 om anvendelse af personoplysninger i politisektoren; anmoder desuden om at blive hørt før - og modtage rapporter efter - sådanne overførsler; anmoder indtrængende Europol og Eurojust om at klarlægge den nødvendige information om dataudveksling, både for persondata og andre oplysninger, med tredjelandsstater og -organisationer og gøre denne information tilgængelig for offentligheden;
13. gentager, at EU's databeskyttelsesregler overtrædes kraftigt, sådan som det også fremgår af udtalelser fra det belgiske databeskyttelsesudvalg, udtalelserne fra artikel 29-gruppen og rapporten fra ekspertnettet om menneskerettigheder i EU, når personoplysninger overføres, eller når et tredjeland eller en retshåndhævende myndighed systematisk tilegner sig direkte adgang til disse, uden at den pågældende er informeret herom og har givet sit samtykke dertil, navnlig når oplysninger indsamles til et andet formål og uden retslig tilladelse, som det f.eks. er tilfældet, når de amerikanske myndigheder tilegner sig adgang til oplysninger om passagerer på transatlantiske flyvninger, som er indsamlet i EU af luftfartsselskaberne og elektroniske reservationssystemer;
14. er enig med udtalelsen fra artikel 29-arbejdsgruppen om utilstrækkeligheden af retten til beskyttelse af privatlivet i USA i ordningens nuværende form og også i forhold til de seneste udgaver af "undertakings" og om de problematiske elementer, der fortsat er til stede, og hvor et års forhandlinger mellem Kommissionen og de amerikanske myndigheder langt fra har medført de mest nødvendige fremskridt;
15. foreslår, at direktivet ændres på en sådan måde, at en vurdering om tilstrækkeligheden af beskyttelsen af europæiske borgeres persondata i tredjelande, hvortil sådanne data overføres, kun kan vedtages efter Europa-Parlamentets forudgående godkendelse;
16. anmoder om, at de aftaler, der er til forhandling og er forhandlet om overførsel af persondata mellem EU og tredjeparter eller tredjestater, garanterer et tilfredsstillende beskyttelsesniveau og under alle omstændigheder opfylder det niveau, som direktiv 95/46/EF garanterer;
Undtagelser fra love om privatlivets fred
17. mener, at de love i medlemsstaterne, som tillader en omfattende registrering af oplysninger om borgernes kommunikation til retshåndhævende formål, ikke til fulde harmonerer med den europæiske konvention om beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder og den dermed forbundne retspraksis, idet der er tale om en krænkelse af privatlivets fred, da de ikke opfylder kravene om at indhente retslig tilladelse i individuelle tilfælde og for en begrænset periode, om at sondre mellem kategorier af personer, der kan overvåges, om at respektere fortroligheden af beskyttet kommunikation (som f.eks. kommunikation mellem en advokat og dennes klient) og om at specificere de kriminelle handlinger eller de omstændigheder, der kræver tilladelse til et sådant brud; mener desuden, at der i høj grad hersker tvivl om, hvorvidt disse love er nødvendige i et demokratisk samfund, og - som det beskrives i artikel 15 i direktiv 2002/58/EF - om deres behørighed og proportionalitet;
18. anmoder Kommissionen om at udarbejde et dokument om retten til privatlivets fred og de betingelser, der skal være opfyldt, for at undtagelser kan være lovlige, på grundlag af Den Europæiske Menneskerettighedskonvention, den relevante retspraksis og EU-direktiverne om databeskyttelse, og opfordrer EU-institutionerne til at indlede en fri og åben debat på grundlag at dette dokument;
Andre punkter
19. anmoder medlemsstaterne om af hensyn til en bedre regulering at sikre retsklarheden og retssikkerheden i forbindelse med direktivets gennemførelse for at undgå, at virksomheder, navnlig små og mellemstore, pålægges unødige byrder;
20. fremhæver, at den fri bevægelighed for personoplysninger har afgørende betydning for udøvelsen af så godt som al økonomisk virksomhed på unionsplan, og at problemet med de afvigende fortolkninger derfor hurtigst muligt bør løses for at sætte de internationale organisationer i stand til at udvikle tværeuropæiske databeskyttelsespolitikker;
21. fastslår, at det er nødvendigt, at medlemsstaterne og de europæiske institutioner vedtager et ensartet niveau for beskyttelse af de grundlæggende rettigheder og af fysiske personer i forbindelse med gennemførelsen af direktiv 95/46/EF og forordning nr. 45/2001 om databeskyttelse;
22. anmoder Kommissionen om at vedtage bestemmelser med henblik på harmonisering af dette direktiv med andre retsakter, såsom forslaget til Europa-Parlamentets og Rådets direktiv om indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser om forbrugerkredit, for at undgå uoverensstemmelse mellem forslagene;
23. opfordrer medlemsstater og tilsynsmyndigheder til at skabe mindre komplicerede og byrdefulde forhold for de registeransvarlige og er ligesom Kommissionen af den opfattelse, at man må undgå at stille krav, der ikke er absolut nødvendige for at opretholde det høje beskyttelsesniveau, som direktivet tilsigter;
24. understreger, at dataforvaltning og databeskyttelse nu om stunder er en afgørende succesfaktor for virksomhederne;
25. er enig med Kommissionen i, at der er brug for forbedringer, således at de økonomiske aktører sikres et større udvalg af standardkontraktbestemmelser på databeskyttelsesområdet, idet disse bestemmelser så vidt muligt skal være baseret på standardbestemmelser, der foreslås af sammenslutninger af repræsentanter for erhvervslivet;
26. opfordrer medlemsstaterne til at sikre, at databeskyttelsesmyndighederne er udstyret med de fornødne midler til at udføre de opgaver, der er fastlagt i direktiv 95/46/EF, og endvidere at sikre, at de er uvildige og uafhængige af de nationale regeringer; mener, at databeskyttelsesmyndigheder skal bestræbe sig på vedvarende at forbedre deres effektivitet og dygtighed, og at de skal spille en mere aktiv rolle på såvel nationalt som europæisk plan i artikel 29-arbejdsgruppen, f.eks. ved at medvirke til gennemførelsen af det program, som Kommissionen har foreslået, og ved at sikre håndhævelsen af loven;
27. beklager, at syv medlemsstater - Belgien, Tyskland, Grækenland, Frankrig, Luxembourg, Nederlandene og Portugal - ikke har overholdt gennemførelsesfristen for direktiv 2002/58/EF, som var fastsat til den 31. oktober 2003, og opfordrer dem til at træffe de fornødne foranstaltninger;
28. anmoder Kommissionen, medlemsstaterne og de nationale tilsynsmyndigheder om at gennemføre årlige vurderinger af respekten for de nationale og europæiske bestemmelser om privatlivet, uanset søjleområdet, om nødvendigt stille forslag om lovgivningsmæssige ændringer og fremsende dem til alle kompetente organer - især af parlamentarisk art - og give offentligheden adgang hertil, navnlig via internettet;
29. er bekymret over udviklingen af SIS og over Rådets planer, hvorefter SIS II skal muliggøre tilføjelse af nye beskrivelseskategorier (personer og genstande), nye sektorer, samkøring af beskrivelserne, ændringer af den tid, oplysningerne opbevares, samt registrering og overførsel af biometriske data, herunder fotografier og fingeraftryk, samt adgang for nye myndigheder, Europol, Eurojust og de nationale retsmyndigheder, hvis det af andre end de oprindeligt fastlagte grunde bliver nødvendigt, som for eksempel indførelse af den europæiske arrestordre; fordømmer den juridiske forvirring som følge af det forhold, at SIS vedrører både første og tredje søjle, der har hvert sit niveau for beskyttelse af privatlivet;
30. er bekymret over Rådets generelle holdning til forslagene om at medtage biometriske data (digitale fotografier og fingeraftryk) på visa og opholdstilladelser ved hjælp af en elektronisk chip, især fordi disse data let kan kopieres til centraliserede databaser i tilfælde af kontrol; er bekymret over, at nye udviklinger på databeskyttelsesområdet, f.eks. muligheden for anvendelse af biometriske data, kræver en større indsats fra tilsynsmyndighedernes side, selv om de "hæmmes af manglende ressourcer og er pålagt en lang række forskellige opgaver"[4]; opfordrer medlemsstaterne til at finde yderligere midler til databeskyttelsesmyndighederne for at sikre, at systemet fungerer effektivt;
31. opfordrer medlemsstaterne og de nationale og europæiske myndigheder til at kontrollere, at lovgivningen om beskyttelse af privatlivet ikke misbruges i den hensigt eller med det resultat at hindre retten til aktindsigt, åbenhed i administrationen og i institutionerne eller besværliggøre enkeltpersoners udøvelse af retten til at kende egne persondata; opfordrer Kommissionen til at forelægge en rapport på grundlag af en udtalelse fra artikel 29-arbejdsgruppen om denne form for misbrug og foreslå retningslinjer og eventuelle lovgivningsmæssige tilpasninger for at undgå noget sådant;
32. opfordrer Kommissionen til fortsat at behandle spørgsmålet om videoovervågning, også i medfør af de nationale lovgivninger, og forventer at kunne behandle det bebudede forslag om beskyttelse af privatlivet på arbejdspladsen;
33. anmoder Eurojust om snarest at klarlægge de nationale og europæiske normer, der hidtil har fundet anvendelse og stadig er gældende, da der er stor forvirring og alvorlig tvivl om dette spørgsmål;
34. mener, at selvregulering er et godt middel til at undgå en alt for detaljeret lovgivning, og opfordrer erhvervssektoren til at udarbejde en europæisk adfærdskodeks for beskyttelse af personoplysninger;
35. anmoder om, at der på nationalt, europæisk og internationalt plan ydes en ekstra indsats for at få fastlagt fælles internationale principper med henblik på at fremme anvendelsen af OECD-retningslinjer og Europarådets konvention;
36. understreger, at beskyttelse af privatlivets fred og personoplysninger bør indgå som en disciplin i computer- og internetundervisningen; anmoder medlemsstaterne og Kommissionen om at fremme borgernes kendskab til databeskyttelsesrettigheder;
37. pålægger sin formand at sende denne beslutning til Rådet, Kommissionen, medlemsstaternes regeringer og parlamenter, de nationale tilsynsmyndigheder for privatlivets beskyttelse, Europol og Eurojust samt USA's regering.
BEGRUNDELSE
Indledning
Retten til privatliv og beskyttelse af persondata i EU er beskyttet af talrige internationale, europæiske og nationale instrumenter, der sikrer en høj beskyttelsesstandard. Foruden FN's konventioner, der understreger, at retten til privatliv er en menneskeret og en grundlæggende individuel ret, findes en specifik beskyttelse på europæisk plan i form af den europæiske konventionen til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder, Menneskerettighedsdomstolens retspraksis samt Europarådets konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger. Desuden har EU vedtaget en række bestemmelser - især direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og direktiv 2002/58/EF om databeskyttelse inden for elektronisk kommunikation - der fastlægger nærmere regler for gennemførelsen af disse normer og rettigheder.
Selv om den "formelle" beskyttelse af privatlivet i det mindste under første søjle er nogenlunde tilfredsstillende, må det understreges, at der sker en svækkelse af den "substantielle" beskyttelse af denne ret. Talrige stater har vedtaget såkaldte antiterrorlove, som truer rettigheder og grundlæggende friheder, der er helt centrale i en retsstat. Retten til et privatliv er en af de første bastioner, der falder i denne kamp for at gennemføre nødlovgivning, som omdefinerer de hårfine grænser mellem grundlæggende rettigheder på den ene side og den lovlige indblanding i private anliggender, som kan være nødvendig i en demokratisk stat af hensyn til "den offentlige sikkerhed", på den anden side.
I denne betænkning, hvis formål er at give et overblik over beskyttelsen af privatlivet i EU, vil vi behandle den nuværende situation og de omstruktureringer, der er nødvendige på europæisk plan, berøre gennemførelsen af de nævnte direktiver og fremsætte forslag til videre handling og endelig komme ind på problemet med dataoverførsel mellem EU og tredjestater samt de trusler, som statslig eller tredjemands - ofte på statens vegne - indblanding betyder for privatlivets beskyttelse.
1. Den Europæiske Union og privatlivet: en fragmenteret beskyttelse
Privatlivets beskyttelse i EU henhører under forskellige regler, både vertikalt (dvs. internationalt, europæisk og nationalt) og horisontalt (de forskellige søjler). Foruden de internationale regler og menneskerettighedskonventionen og den retspraksis, der følger heraf og gælder "horisontalt" under de tre søjler, er det kun under første søjle, at de garantiordninger, der fastsættes i ovennævnte direktiver gælder. Frem for at lade direktiv 95/46/EF finde anvendelse under tredje søjle eller fastsætte specifikke regler til anvendelse under hele tredje søjle, har man hidtil foretrukket strategien med at vedtage ad hoc-bestemmelser om de tilsynspligtige organer. Derved er der opstået en meget forvirret og fragmenteret situation, hvori borgerne - og selv eksperterne - vanskeligt kan hitte rede, og de deraf følgende juridiske problemer opstår.
Denne situation bør ændres snarest muligt. Ordføreren er ganske vist utilfreds med den store forsinkelse, der har været, men glæder sig alligevel over det engagement, som Kommissionen har udvist, efter at kommissær Vitorino har meddelt, at han snarest vil fremsætte et forslag om beskyttelse af data under tredje søjle, og han mener, at der er afgørende på kort sigt at nå frem til mindst en præcisering og helst en harmonisering af principperne, deres anvendelse og metoderne til at håndhæve retten til privatlivet og databeskyttelsen for borgerne i EU. På lang sigt og navnlig i betragtning af den ophævelse af søjlestrukturen, som er forudsat i den europæiske forfatning, bør direktiv 95/46/EF finde anvendelse på horisontalt plan med de nødvendige tilpasninger. Under alle omstændigheder er det nødvendigt og presserende at sikre borgerne uhindret adgang til deres data, eventuelt gennem en enhedsprocedure ved de nationale tilsynsorganer, med klageadgang til en fælles europæisk tilsynsmyndighed og europæiske og nationale domstole i tilælde af afvisning.
Situationen med hensyn til gennemførelsen af direktiv 95/46/EF
Kommissionen har for nylig udsendt en meddelelse om gennemførelsen af direktiv 95/46/EF om persondatabeskyttelse. Kommissionen, der i henhold til direktivets artikel 33 skal aflægge rapport om dets gennemførelse og eventuelt fremsætte forslag om ændringer, har besluttet ikke at forelægge ændringer og det af en række grunde, som ordføreren tilslutter sig, og som man kan læse nærmere om i meddelelsen. Det skal i den forbindelse fremhæves, at gennemførelsen af direktivet afgjort har været problematisk, som det også er fremgået af den offentlige høringsproces, som Kommissionen iværksatte med henblik på udarbejdelsen af sin meddelelse. Det har således taget alt for lang tid at vedtage (og underrette Kommissionen) om gennemførelsesinstrumenterne, Kommissionen har truffet beslutning om at indlede overtrædelsesprocedure over for nogle stater, situationen er forskellig fra land til land, det har været vanskeligt at få respekteret kravene og rettighederne som følge af oprettelsen af tilsynsmyndigheden og de øvrige organer, der gennemfører loven, og der har været overdrevne komplikationer og formaliteter i underretningsproceduren. Det initiativprogram, som Kommissionen har udarbejdet til at afhjælpe disse problemer, er en af de mulige løsninger, som vi først kan tage stilling til, når vi har set dets resultater hvad angår præcisering, forenkling og respekt for forpligtelser og rettigheder af "horisontal" art - dvs. borgerne imellem - som indføres med direktivet. I denne forbindelse vil det være nyttigt at fastsætte nogle etaper og nogle tidsfrister for de "forhandlinger", som Kommissionen iværksætter med medlemsstaterne og tilsynsmyndigheden på grundlag af dette program. Et års frist synes passende, for at medlemsstaterne kan nå at gennemføre de nødvendige foranstaltninger.
Når først fristen for at løse problemerne mellem europæisk ret og national ret er udløbet, bør Kommissionen imidlertid gå resolut frem over for de medlemsstater, der tøver, og som efter dens mening har handlet i strid med direktivets ånd eller bogstav. Kommissionen bør endvidere aflægge rapport over for Parlamentet om gennemførelsen af direktivet og de årlige frister.
Overførsel af data til tredjelande
Kommissær Bolkestein har i forbindelse med det fælles møde mellem Udvalget om Retlige Anliggender og det Indre Marked og Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender den 1. december 2003 bekræftet, at de amerikanske myndigheders adgang til persondata for passagerer på transatlantiske flyvninger er "ulovlig". Stefano Rodotà, der er ansvarlig for den italienske tilsynsmyndighed og formand for artikel 29-arbejdsgruppen, anførte ved samme lejlighed, at nogle nationale tilsynsmyndigheder, som havde mulighed for at pålægge luftfartsselskaberne af afbryde dataoverførslen, havde besluttet ikke at gøre dette. Ordføreren er yderst bekymret over, at en så åbenlys tilsidesættelse af europæisk og national lovgivning og grundlæggende rettigheder til beskyttelse af privatlivets fred begås af dem, der institutionelt set er pålagt at håndhæve disse love og rettigheder, og at de på denne måde reelt gør sig medskyldige i lovbrud. Ikke nok med det, Kommissionen har nu benyttet lejligheden til at fremsætte en europæisk lovgivningsmæssig ramme for opbevaring og behandling af data for europæiske flyvninger, der er kalkeret over den amerikanske model. Ordføreren kan ikke dele Kommissionens politiske valg og er overbevist om, at kun en afgørelse fra Domstolen på dette stade kan skabe klarhed i den juridiske forvirring.
Der er altså overtrædelser af garantierne om overførsel til tredjestater af data, der er indsamlet under første søjle, men under tredje søjle er der endnu større grund til bekymring. Under henvisning til det globale samarbejde om bekæmpelse af terrorisme overføres stadig flere data om aktiviteter under tredje søjle fra databaser i de forskellige organisationer (Europol, Eurojust, SIS mv.) til tredjelande. Som det fremgår af ovenstående gives der også tredjelande (USA) adgang til data under første søjle, hvis det er nødvendigt af hensyn til den offentlige sikkerhed, hvilket også rent lovlighedsmæssigt udgør et problem. I betragtning af den følsomme karakter af de udvekslede oplysninger bør det som mindsteregel fastsættes, at der anvendes en demokratisk klausul, hvorefter data ikke kan overføres til tredjestater, der ikke respekterer menneskerettigheder og grundlæggende rettigheder, demokratiet og retsstatsprincipperne, især Europarådets principper i henstilling R(87)15 om anvendelse af persondata inden for det politimæssige område.
Undtagelser til bestemmelser om beskyttelse af privatlivet
De internationale traktater om menneskerettigheder, som garanterer respekten for privatlivet, indeholder normalt en klausul om de retlige undtagelser herfra. Forbuddet mod de offentlige myndigheders indblanding i retten til privatlivet omfatter således normalt ikke en række undtagelser, der er fastlagt ved lov, og som er nødvendige i demokratiske samfund af hensyn til den nationale sikkerhed, den offentlige sikkerhed, statens økonomiske situation, forebyggelse af uro og forbrydelser, beskyttelse af moralen eller beskyttelse af tredjeparters rettigheder og friheder. Den Europæiske Menneskerettighedsdomstol har i sin retspraksis fortolket klausulen herom i menneskerettighedskonventionen. Den har anlagt en restriktiv fortolkning og anvendt kriterierne legalitet, legitimitet og demokratisk nødvendighed i en række kendelser, der har medført en retspraksis, der er nøje afpasset i forsvaret af borgernes ret til privatliv i forhold til indblanding fra de offentlige myndigheder og tredjeparter. Denne fortolkning er også bindende for EU og medlemsstaterne, som alle har tilsluttet sig menneskerettighedskonventionen, ligesom der i EU-traktatens artikel 6 er en eksplicit henvisning til menneskerettighedskonventionen og retspraksis i denne forbindelse. Menneskerettighedsdomstolen har endvidere erklæret sig kompetent til at behandle EU-retsakters overholdelse af menneskerettighedskonventionen og betragter i den forbindelse EU-medlemsstaterne som ansvarlige for EU's retsakter. Indføjelsen i artikel 15 i direktiv 2002/58/EF om EU-medlemsstaternes mulighed for at lovgive om dataopbevaring samt undtagelsesklausulen, der fjerner tredje søjle fra direktivets anvendelsesområde, fritager ikke EU fra at overholde menneskerettighedskonventionen og dens afledte restpraksis.
Efter ordførerens mening udgør bestemmelserne om systematisk opbevaring af oplysninger om borgernes telekommunikation, som kræves af medlemsstaterne af hensyn til den offentlige sikkerhed - hvilket medfører, at teleselskaberne skal opbevare dem ud over den tid, der er påkrævet af hensyn til regningsudstedelsen - et alvorligt problem i forhold til Menneskerettighedsdomstolens retspraksis og dermed for Fællesskabets retsorden[1].
Kommissionen havde ligesom Europa-Parlamentet oprindelig stillet sig skeptisk til medtagelsen af en henvisning til opbevaring af data, men bør efter ordførerens mening udarbejde et dokument, der med udgangspunkt i en analyse af Menneskerettighedsdomstolens retspraksis giver medlemsstaterne vejledning i, hvordan de skal omsætte direktiv 2002/58/EF på en sådan måde, at det sikres, at de nationale og europæiske bestemmelser om privatlivet er i overensstemmelse med de europæiske menneskerettighedsbestemmelser.[2]
- [1] En indgående analyse af Menneskerettighedsdomstolens retspraksis og bestemmelserne om opbevaring af telekommunikationsdata kan findes i Memorandum of laws concening the legality of fata retention with regard to the right guaranteed by the European Convention on Human Rights, udarbejdet af Covington og Burling for Privacy International.
- [2] Ordføreren takker Ottavio Marzocchi, medarbejder for de italienske radikale i Europa-Parlamentet, for hans bidrag til denne betænkning.
UDTALELSE FRA UDVALGET OM RETLIGE ANLIGGENDER OG DET INDRE MARKED
28.januar 2004
til Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender
om første beretning om gennemførelsen af databeskyttelsesdirektivet
(KOM(2003) 265 – C5-0375/2003 – 2003/2153(INI)) (95/46/EF)
Rådgivende ordfører: Anne-Marie Schaffner
PROCEDURE
På mødet den 7. juli 2003 valgte Udvalget om Retlige Anliggender og det Indre Marked Anne-Marie Schaffner til rådgivende ordfører.
På møder den 2. december 2003 og 22. januar 2004 behandlede udvalget udkastet til udtalelse.
På sidstnævnte møde vedtog det enstemmigt nedenstående konklusioner.
Til stede under afstemningen var: Giuseppe Gargani (formand), Bill Miller (næstformand) Anne-Marie Schaffner (rådgivende ordfører), Uma Aaltonen, Paolo Bartolozzi, Luis Berenguer Fuster (for Maria Berger), Ward Beysen, Bert Doorn, Raina A. Mercedes Echerer (for Brian Crowley, jf. forretningsordenens artikel 153, stk. 2), Janelly Fourtou, Marie-Françoise Garaud, José María Gil-Robles Gil-Delgado, Kurt Lechner, Klaus-Heiner Lehne, Sir Neil MacCormick, Manuel Medina Ortega, Elena Ornella Paciotti, Marianne L.P. Thyssen, Ian Twinn (for Rainer Wieland), Diana Wallis, Joachim Wuermeling og Stefano Zappalà.
KONKLUSIONER
Udvalget om Retlige Anliggender og det Indre Marked opfordrer Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender, som er korresponderende udvalg, til at indarbejde følgende forslag i det beslutningsforslag, det vedtager:
1. mener, at målet med databeskyttelsesdirektivet af 1995, som er at fjerne en lang række hindringer for den fri bevægelighed af personoplysninger mellem medlemsstaterne og sikre et højt beskyttelsesniveau i Fællesskabet, er nået;
2. mener i lighed med Kommissionen, at det er for tidligt at foreslå ændringer af direktivet på grund af medlemsstaternes stærkt begrænsede erfaringer med anvendelsen af det;
3. hilser derfor med tilfredshed Kommissionens forslag om at udarbejde et arbejdsprogram baseret på dels det indbyrdes samarbejde mellem medlemsstaterne og dels samarbejdet mellem medlemsstaterne og Kommissionen; håber, at Kommissionen nøje vil undersøge resultaterne af dette arbejdsprogram, før den til sin tid om nødvendigt foreslår ændringer af direktivet;
4. fastslår under henvisning til, at EU den 1. maj 2004 vil have 25 medlemmer, at det er nødvendigt, at samtlige medlemsstater ændrer deres lovgivning for at tilpasse den efter direktivets bestemmelser; insisterer desuden på, at de nye medlemsstater skal tildele deres tilsynsmyndigheder tilstrækkelige midler og indføre upartiske metoder til udnævnelse af medlemmerne af disse myndigheder for at sikre sidstnævntes uafhængighed og fulde samarbejde med deres partnere i EU;
5. henviser til, at garantien for databeskyttelse betinger gennemførelsen af det indre marked; anmoder i denne forbindelse Kommissionen om at undersøge, på hvilke områder de afvigende fortolkninger af direktivet er til hinder for det indre markeds funktion, og om at aflægge beretning herom for Europa-Parlamentet;
6. beklager, at medlemsstaternes forsinkede gennemførelse af direktivet og de vedvarende forskelle i anvendelsen af direktivet på nationalt plan har forhindret de økonomiske aktører i at få fuldt udbytte heraf og har hæmmet visse grænseoverskridende aktiviteter i EU;
7. fremhæver, at den fri bevægelighed af personoplysninger har afgørende betydning for udøvelse af så godt som al økonomisk virksomhed på unionsplan, og at problemet med de afvigende fortolkninger derfor hurtigst muligt bør løses for at sætte de internationale organisationer i stand til at udvikle tværeuropæiske databeskyttelsespolitikker;
8. fastslår, at det er nødvendigt, at medlemsstaterne og de europæiske institutioner vedtager et ensartet niveau for beskyttelse af de grundlæggende rettigheder og fysiske personer i forbindelse med gennemførelsen af direktiv 95/46/EF og forordning nr. 45/2001 om databeskyttelse;
9. anmoder Kommissionen om at vedtage bestemmelser med henblik på harmonisering af dette direktiv med andre retsakter, såsom forslaget til Europa-Parlamentets og Rådets direktiv om indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser om forbrugerkredit, for at undgå uoverensstemmelse mellem forslagene;
10. gentager den anmodning, det fremsatte i sin beslutning om videregivelse af personoplysninger fra luftfartsselskaber i forbindelse med transatlantiske flyvninger[1], og udtrykker ønske om, at denne efterkommes.
- [1] Beslutning B5-0411/2003 af 9.10.r 2003.
UDTALELSE FRA UDVALGET OM INDUSTRIPOLITIK, EKSTERNE ØKONOMISKE FORBINDELSER, FORSKNING OG ENERGI
27.januar 2004
til Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender
om Kommissionens første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF)
(KOM(2003) 265 – C5-0375/2003 – 2003/2153(INI))
Rådgivende ordfører: Myrsini Zorba
PROCEDURE
På mødet den 20. oktober 2003 valgte Udvalget om Industripolitik, Eksterne Økonomiske Forbindelser, Forskning og Energi Myrsini Zorba til rådgivende ordfører.
På møder den 2. december 2003 og 27. januar 2004 behandlede udvalget udkastet til udtalelse.
På sidstnævnte møde vedtog det enstemmigt nedenstående forslag.
Til stede under afstemningen var: Luis Berenguer Fuster (formand), Yves Piétrasanta (næstformand), Myrsini Zorba (rådgivende ordfører), Sir Robert Atkins, Felipe Camisón Asensio (for Guido Bodrato), Giles Bryan Chichester, Nicholas Clegg, Willy C.E.H. De Clercq, Concepció Ferrer, Francesco Fiori (for Michel Hansenne), Colette Flesch, Glyn Ford (for Massimo Carraro), Norbert Glante, Hans Karlsson, Helmut Kuhne (for Harlem Désir), Caroline Lucas, Eryl Margaret McNally, Hans-Peter Martin (for Rolf Linkohr), Ana Miranda de Lage, Angelika Niebler, Reino Paasilinna, Paolo Pastorelli, Godelieve Quisthoudt-Rowohl, Imelda Mary Read, Mechtild Rothe, Christian Foldberg Rovsing, Martin, Konrad K. Schwaiger, Esko Olavi Seppänen, Claude Turmes, W.G. van Velzen, Alejo Vidal-Quadras Roca og Olga Zrihen Zaari.
FORSLAG
Udvalget om Industripolitik, Eksterne Økonomiske Forbindelser, Forskning og Energi opfordrer Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender, som er korresponderende udvalg, til at indarbejde følgende forslag i det beslutningsforslag, det vedtager:
A. der henviser til, at gennemsnitsborgeren har behov for at vide mere om de risici og muligheder, der er forbundet med videregivelse af personoplysninger om vedkommende selv,
B. der henviser til, at eksistensen af det globale internetinformationssamfund gør, at der ikke udelukkende kan findes løsninger inden for EU's egne rammer,
C. der henviser til, at der er større sandsynlighed for, at der forekommer krænkelser af bestemmelserne om beskyttelse af personoplysninger (dvs. personoplysninger vedrørende EU-borgere) i tredjelande end i medlemsstaterne,
D. der henviser til, at OECD's retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data), som blev vedtaget den 23. september 1980, og Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger, der blev undertegnet den 28. januar 1981 og trådte i kraft den 1. oktober 1985, tilsyneladende ikke finder anvendelse på internationalt plan,
1. understreger, at uensartede nationale databeskyttelseslove hæmmer udviklingen af det indre marked, og anmoder derfor Kommissionen om at hjælpe medlemsstaterne med at fortolke og anvende direktivet på konsekvent vis;
2. understreger, at der navnlig er brug for større homogenitet, både med hensyn til registeransvarliges anmeldelse af behandlinger og registeransvarliges oplysningspligt;
3. glæder sig over Kommissionens planer om at forenkle lovrammerne for virksomheder for så vidt angår kravene vedrørende internationale dataoverførsler;
4. mener ikke, at databeskyttelsesdirektivet kan gennemføres korrekt uden løbende konsultationer mellem medlemsstaternes nationale myndigheder, nationale institutioner, erhvervssektorer og forbrugerorganisationer;
5. understreger behovet for, at der fastsættes høje og effektive standarder for databeskyttelse, som tager hensyn til den seneste teknologiske udvikling i informationssamfundet;
6. henleder opmærksomheden på direktivet om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor, hvori der specielt henvises til gennemførelse af principperne i databeskyttelsesdirektivet;
7. anmoder Kommissionen om at træffe foranstaltninger over for de medlemsstater, der ikke har overholdt fristen for gennemførelse af direktivet om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor, som var fastsat til den 31. oktober 2003;
8. anmoder medlemsstaterne om af hensyn til en bedre regulering at sikre retsklarheden og retssikkerheden i forbindelse med direktivets gennemførelse for at undgå, at virksomheder, navnlig små og mellemstore virksomheder, pålægges unødige byrder;
9. opfordrer medlemsstater og tilsynsmyndigheder til at skabe mindre komplicerede og byrdefulde forhold for registeransvarlige og er ligesom Kommissionen af den opfattelse, at man må undgå at stille krav, der ikke er absolut nødvendige for at opretholde det høje beskyttelsesniveau, som direktivet tilsigter;
10. understreger, at dataforvaltning og databeskyttelse nu om stunder er en afgørende succesfaktor for de selskaber, der ønsker at beskytte deres investeringer i hardwareinfrastrutur;
11. er enig med Kommissionen i, at der er brug for forbedringer, således at de økonomiske aktører sikres et større udvalg af standardkontraktbestemmelser på databeskyttelsesområdet, idet disse bestemmelser så vidt muligt skal være baseret på standardbestemmelser, der foreslås af sammenslutninger af repræsentanter for erhvervslivet;
12. mener, at selvregulering er et godt middel til at undgå en alt for detaljeret lovgivning, og opfordrer erhvervssektoren til at udarbejde en europæisk adfærdskodeks for beskyttelse af personoplysninger;
13. anmoder om, at der på nationalt, europæisk og internationalt plan ydes en ekstra indsats for at få fastlagt fælles internationale principper med henblik på at fremme anvendelsen af OECD-retningslinjer og Europarådets konvention;
14. er overbevist om, at der i praksis vil blive tale om tilstrækkelig beskyttelse af personoplysninger og privatlivets fred, hvis og når denne beskyttelse kommer til at indgå i de til enhver tid gældende sociale og politiske prioriteringer;
15. understreger, at beskyttelse af privatlivets fred og personoplysninger bør indgå som en disciplin i computer- og internetundervisningen;
16. anmoder medlemsstaterne og Kommissionen om at fremme borgernes kendskab til databeskyttelsesrettigheder.