Europa-Parlamentets forslag til beslutning om Kommissionens første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF) (KOM(2003) 265 - C5-0375/2003 - 2003/2153(INI))
Europa-Parlamentet,
— der henviser til Kommissionens første beretning om gennemførelsen af databeskyttelsesdirektivet (95/46/EF) (KOM(2003) 265 - C5-0375/2003),
— der henviser til de folkeretlige tekster om beskyttelse af privatlivet, navnlig artikel 12 i verdenserklæringen om menneskerettigheder af 10. december 1948, artikel 17 i den internationale konvention om borgerlige og politiske rettigheder af 16. december 1966, artikel 8 i konventionen til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder(1) af 4. november 1950, konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger(2) af 28. januar 1981 og henstillinger fra Europarådet,
— der henviser til EU-traktatens artikel 6 om respekt for menneskerettigheder og grundlæggende frihedsrettigheder, EF-traktatens artikel 286 samt artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder om respekt for privatliv og familieliv og beskyttelse af personoplysninger,
— der henviser til EU's bestemmelser om beskyttelse af privatlivet og af personoplysninger og navnlig Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(3) og Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation(4));
— der henviser til andre EU-instrumenter vedrørende databeskyttelse under tredje søjle, navnlig det græske formandskabs udkast til arbejdsdokument om fælles regler for beskyttelse af persondata inden for rammerne af den tredje søjle og kommissær Vitorinos meddelelse om, at han i 2004 vil forelægge et forslag til retsakt på dette område(5),
— der henviser til arbejdsgruppen om privatlivets rettigheder, som er oprettet i henhold til artikel 29 i direktiv 95/46/EF ("Artikel 29-Gruppen"),
— der henviser til dokumenterne om overførsel af transatlantiske passageroplysninger til USA, navnlig udtalelserne fra Artikel 29-Gruppen, Kommissionens meddelelser, USA's "undertakings", udtalelsen fra det belgiske databeskyttelsesudvalg om klager fra passagerer og klagen til Kommissionen om overtrædelse af Rådets forordning (EØF) nr. 2299/89 af 24. juli 1989 om en adfærdskodeks for edb-reservationssystemer(6),
— der henviser til Domstolens dom af 20. maj 2003 i sagen Österreichischer Rundfunk m.fl.(7),
— der henviser til forretningsordenens artikel 47, stk. 2, og artikel 163,
— der henviser til betænkning fra Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender og udtalelse fra Udvalget om Retlige Anliggender og det Indre Marked og Udvalget om Industripolitik, Eksterne Økonomiske Forbindelser, Forskning og Energi (A5-0104/2004),
A. der henviser til, at retten til privatliv er en grundlæggende menneskeret, hvilket fremgår af alle de vigtigste juridiske instrumenter om borgerrettigheder og grundlæggende rettigheder på internationalt, europæisk og nationalt plan,
B. der henviser til, at EU har udviklet en retsorden med henblik på at garantere borgernes privatliv gennem en høj standard af databeskyttelse i områder under første søjle,
C. der henviser til, at områder under anden og tredje søjle på grund af EU's nuværende søjlestruktur er undtaget fra disse retsakter og delvist dækkes af forskellige specifikke bestemmelser, at Europa-Parlamentet kun delvist høres eller orienteres, og at Domstolen har begrænsede beføjelser i denne forbindelse,
D. der henviser til, at Kommissionen i direktiv 95/46/EF pålægges at aflægge rapport til Rådet og Europa-Parlamentet om gennemførelsen af direktivet og om nødvendigt at foreslå passende ændringer,
E. der henviser til, at der efter terrorangrebene i september 2001 på nationalt, europæisk og internationalt plan er blevet vedtaget eller planlagt foranstaltninger for at øge sikkerhedsniveauet ved at ændre rettigheder om privatliv og databeskyttelse,
F. der henviser til, at overførsel af data til tredjelande og organisationer er et område, der giver anledning til bekymring, ikke alene på grund af forskellene mellem medlemsstaternes regler, idet nogle er alt for eftergivende og andre overdrevent strenge, men især fordi en bindende vurdering af, om de europæiske borgere nyder tilstrækkelig beskyttelse med hensyn til grundlæggende rettigheder er forbeholdt det udøvende organ Kommissionen og ikke Parlamentet,
G. der henviser til, at der stadig er forhandlinger i gang mellem EU og USA om spørgsmålet om ulovlig overførsel af transatlantiske passagerdata til USA, og at Parlamentet har anmodet Kommissionen om at tage skridt i overensstemmelse med EF-traktatens artikel 232,
H. der henviser til, at det belgiske databeskyttelsesudvalg har konstateret, at persondata for visse transatlantiske passagerer - heriblandt et medlem af Europa-Parlamentet - er blevet ulovligt overført til USA i strid med belgisk lovgivning og europæiske direktiver,
I. der henviser til, at Artikel 29-Gruppen i sin udtalelse om overførsel af passagerdata til USA siger, at "de fremskridt, der er gjort, ikke er tilstrækkelige til at opnå en tilfredsstillende løsning", og at talrige andre spørgsmål må løses, før Kommissionen kan nå frem til en afgørelse om, hvorvidt der er et tilstrækkeligt grundlag herfor,
J. der henviser til, at EU, dets institutioner og medlemsstaterne bør overholde EU's charter om grundlæggende rettigheder og navnlig artikel 8 heri, den europæiske konvention om menneskerettighederne og de grundlæggende frihedsrettigheder samt de generelle principper i folkeretten, og at den nuværende politik med "tilbageholdelsen af oplysninger" og overførsel af data til tredjelande er en alvorlig trussel herimod,
K. der henviser til, at Kommissionen og medlemsstaterne samt de nationale databeskyttelsestilsynsmyndigheder er ansvarlige for en effektiv anvendelse af national og europæisk lovgivning om beskyttelse af privatlivet og for at træffe afgørelse om sanktioner mod overtrædelser af disse regler,
L. der henviser til, at national og europæisk lovgivning til overførsel af persondata til tredjelande klart er blevet overtrådt i tilfældet med overførsel af transatlantiske passagerers persondata til de ansvarlige myndigheder for anvendelsen af lovgivningen i USA, og at Kommissionens, medlemsstaternes og nogle af tilsynsmyndighedernes handlinger - især i de tilfælde, hvor de nationale lovgivninger giver mulighed for at blokere dataoverførsel - i virkeligheden er medvirken til overtrædelsen af lovgivningen og legalitetsprincippet,
M. der henviser til, at eksistensen af det globale internetinformationssamfund gør, at der ikke udelukkende kan findes løsninger inden for EU's egne rammer,
Behov for en generel og europæisk privatlivs- og databeskyttelsesordning på tværs af søjlerne
1. udtrykker kritik af den alvorlige forsinkelse, der er indtrådt på dette område, og anmoder Kommissionen om i første halvdel af 2004 at forelægge et forslag om et "retsinstrument", sådan som den har bebudet det, om beskyttelse af privatlivet under tredje søjle; mener, at et sådant instrument bør være bindende og garantere samme databeskyttelses- og privatlivsrettigheder under tredje søjle som under første søjle; understreger, at dette instrument bør indebære harmonisering på disse høje niveauer af de gældende bestemmelser om privatliv og databeskyttelse hos Europol, Eurojust og alle øvrige organer og aktioner under tredje søjle samt inden for udveksling af data mellem dem indbyrdes og med tredjelande og tredjelandsorganisationer;
2. mener, at direktiv 95/46/EF på lang sigt og med de nødvendige justeringer bør finde anvendelse inden for alle EU-områder, således at der garanteres en høj standard af harmoniserede og fælles bestemmelser om beskyttelse af privatlivet og databeskyttelse;
3. mener, at overholdelsen af reglerne om respekt for privatliv og databeskyttelse bør overvåges af nationale tilsynsmyndigheder og en fælles EU-myndighed, som borgerne skal kunne klage til, samt af Domstolen; mener, at Europa-Parlamentet endvidere bør høres - og have beføjelser til at træffe afgørelse i den forbindelse - om alle forslag, der vedrører eller påvirker beskyttelsen af privatlivet i EU, som f.eks. internationale aftaler, tilfredsstillende løsninger (adequacy findings) mv.;
4. mener, at det er nødvendigt straks at øge beskyttelsen af borgernes privatliv og persondata (adgang til data, rettelser, ændringer, sletninger mv.) gennem indførelse af en enhedsprocedure hos de nationale tilsynsmyndigheder vedrørende data, der opbevares i nationale eller europæiske databaser under første og tredje søjle;
5. glæder sig over, at Kommissionen har gennemført en åben og dybtgående høring og debat med alle berørte parter (medlemsstaternes regeringer og tilsynsmyndigheder, organisationer, virksomheder og borgere) både online og offline om gennemførelsen af direktivet, og tager resultaterne af denne høringsproces til efterretning;
Gennemførelsen af databeskyttelsesdirektivet (95/46/EF)
6. beklager det forhold, at nogle medlemsstater ikke havde gennemført direktivet inden fristen for omsættelse til national lovgivning den 24. oktober 1998, hvilket den 11. januar 2000 tvang Kommissionen til at tage retslige skridt mod Frankrig, Luxembourg, Nederlandene, Tyskland og Irland, men tager til efterretning, at alle medlemsstaterne nu har omsat direktivet til national lov; opfordrer Irland til straks at underrette Kommissionen om landets nylige gennemførelseslovgivning; beklager, at medlemsstaternes forsinkede gennemførelse af direktivet og de vedvarende forskelle i anvendelsen af direktivet på nationalt plan har forhindret de økonomiske aktører i at få fuldt udbytte heraf og har hæmmet visse grænseoverskridende aktiviteter i EU;
7. opfordrer alle berørte aktører - EU-institutioner, medlemsstater og databeskyttelsesmyndigheder samt økonomiske og sociale aktører - til at medvirke til og samarbejde om at nå frem til en korrekt overholdelse af databeskyttelsesprincipperne, som er fastsat i direktivet;
8. deler Kommissionens holdning, at direktivet ikke bør ændres for øjeblikket, bortset fra det i punkt 16 angivne, da dets gennemførelsesperiode har været lang og de indhøstede erfaringer stadig er begrænsede; mener ligeledes, at de nuværende mangler i direktivet bør afhjælpes gennem aktioner, der iværksættes på europæisk og nationalt plan af medlemsstaterne og databeskyttelsesmyndighederne i overensstemmelse med det program, som indgår i Kommissionens meddelelse;
9. henviser til, at garantien for databeskyttelse er en betingelse for gennemførelsen af det indre marked; anmoder i denne forbindelse Kommissionen om at undersøge, på hvilke områder de afvigende fortolkninger af direktivet er til hinder for det indre markeds funktion, og om at aflægge beretning herom for Europa-Parlamentet;
10. er enig i Kommissionens holdning om, at såfremt et sådant samarbejde ikke har ført til de forventede resultater inden for en frist på seks måneder, vil den indlede en overtrædelsesprocedure mod de medlemsstater, der undlader eller nægter at efterkomme direktivet; mener i denne forbindelse, at Kommissionen bør være særlig opmærksom på og optræde beslutsomt med hensyn til en effektiv overvågning af de retlige undtagelser til retten til privatliv og i den forbindelse sikre, at Den Europæiske Menneskerettighedsdomstol og dens retspraksis overholdes;
Dataoverførsel til tredjelande og organisationer
11. glæder sig over Kommissionens planer om at forenkle lovrammerne for virksomheder for så vidt angår kravene vedrørende internationale dataoverførsler;
12. minder om, at der ikke må indrømmes undtagelser fra princippet om, at oplysninger under første søjle kun kan overføres til tredjelande og organisationer, hvis databeskyttelsesniveauet er på højde med EU's;
13. minder - især Europol, Eurojust og andre organer under tredje søjle - om, at oplysninger om retshåndhævelse kun kan overføres efter en konkret vurdering til lande og organer, der respekterer menneskerettighederne og de grundlæggende frihedsrettigheder, demokrati, retsstatsprincipperne, EU-databeskyttelsesstandarder, herunder databeskyttelsesprincipperne, som Europarådet fastsatte i henstilling R (87) 15 om anvendelse af personoplysninger i politisektoren; anmoder desuden om at blive hørt før - og modtage rapporter efter - sådanne overførsler; anmoder indtrængende Europol og Eurojust om at klarlægge den nødvendige information om dataudveksling, både for persondata og andre oplysninger, med tredjelandsstater og -organisationer og gøre denne information tilgængelig for offentligheden;
14. gentager, at der er tale om en alvorlig overtrædelse af EU's databeskyttelsesregler, sådan som det også fremgår af udtalelser fra det belgiske databeskyttelsesudvalg, udtalelserne fra artikel 29-gruppen og rapporten fra ekspertnettet om menneskerettigheder i EU, når personoplysninger overføres, eller når et tredjeland eller en retshåndhævende myndighed systematisk tilegner sig direkte adgang til disse, uden at den pågældende er informeret herom og har givet sit samtykke dertil, navnlig når oplysninger indsamles til et andet formål og uden retslig tilladelse, som det f.eks. er tilfældet, når de amerikanske myndigheder tilegner sig adgang til oplysninger om passagerer på transatlantiske flyvninger, som er indsamlet i EU af luftfartsselskaberne og elektroniske reservationssystemer;
15. er enig med udtalelsen fra Artikel 29-Gruppen om utilstrækkeligheden af retten til beskyttelse af privatlivet i USA i ordningens nuværende form og også i forhold til de seneste udgaver af "undertakings" og om de problematiske elementer, der fortsat er til stede, og hvor et års forhandlinger mellem Kommissionen og de amerikanske myndigheder langt fra har medført de mest nødvendige fremskridt;
16. foreslår, at direktivet ændres på en sådan måde, at en vurdering af tilstrækkeligheden af beskyttelsen af europæiske borgeres persondata i tredjelande, hvortil sådanne data overføres, kun kan vedtages efter Europa-Parlamentets forudgående godkendelse;
17. henstiller, at de aftaler, der er til forhandling og er forhandlet om overførsel af persondata mellem EU og tredjeparter eller tredjestater, garanterer et tilfredsstillende beskyttelsesniveau og under alle omstændigheder opfylder det niveau, som direktiv 95/46/EF garanterer;
Undtagelser fra love om privatlivets fred
18. mener, at de love i medlemsstaterne, som tillader en omfattende registrering af oplysninger om borgernes kommunikation til retshåndhævende formål, ikke til fulde harmonerer med den europæiske konvention om beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder og den dermed forbundne retspraksis, idet der er tale om en krænkelse af privatlivets fred, da de ikke opfylder kravene om at indhente retslig tilladelse i individuelle tilfælde og for en begrænset periode, om at sondre mellem kategorier af personer, der kan overvåges, om at respektere fortroligheden af beskyttet kommunikation (som f.eks. kommunikation mellem en advokat og dennes klient) og om at specificere de kriminelle handlinger eller de omstændigheder, der kræver tilladelse til et sådant brud; mener desuden, at der i høj grad hersker tvivl om, hvorvidt disse love er nødvendige, passende og forholdsmæssige i et demokratisk samfund, som omhandlet i artikel 15 i direktiv 2002/58/EF;
19. anmoder Kommissionen om at udarbejde et dokument om retten til privatlivets fred og de betingelser, der skal være opfyldt, for at undtagelser kan være lovlige, på grundlag af Den Europæiske Menneskerettighedskonvention, den relevante retspraksis og EU-direktiverne om databeskyttelse, og opfordrer EU-institutionerne til at indlede en fri og åben debat på grundlag at dette dokument;
Andre punkter
20. anmoder medlemsstaterne om af hensyn til en bedre regulering at sikre retsklarheden og retssikkerheden i forbindelse med direktivets gennemførelse for at undgå, at virksomheder, navnlig små og mellemstore, pålægges unødige byrder;
21. fremhæver, at den fri bevægelighed for personoplysninger har afgørende betydning for udøvelsen af så godt som al økonomisk virksomhed på unionsplan, og at problemet med de afvigende fortolkninger derfor hurtigst muligt bør løses for at sætte de internationale organisationer i stand til at udvikle tværeuropæiske databeskyttelsespolitikker;
22. fastslår, at det er nødvendigt, at medlemsstaterne og de europæiske institutioner vedtager et ensartet niveau for beskyttelse af de grundlæggende rettigheder og af fysiske personer i forbindelse med gennemførelsen af direktiv 95/46/EF og Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger(8);
23. anmoder Kommissionen om at vedtage bestemmelser med henblik på harmonisering af dette direktiv med andre retsakter, såsom forslaget til Europa-Parlamentets og Rådets direktiv om indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser om forbrugerkredit, for at undgå uoverensstemmelse mellem forslagene;
24. opfordrer medlemsstater og tilsynsmyndigheder til at skabe mindre komplicerede og byrdefulde forhold for de registeransvarlige og er ligesom Kommissionen af den opfattelse, at man må undgå at stille krav, der ikke er absolut nødvendige for at opretholde det høje beskyttelsesniveau, som direktivet tilsigter;
25. understreger, at dataforvaltning og databeskyttelse nu om stunder er en afgørende succesfaktor for virksomhederne;
26. er enig med Kommissionen i, at der er brug for forbedringer, således at de økonomiske aktører sikres et større udvalg af standardkontraktbestemmelser på databeskyttelsesområdet, idet disse bestemmelser så vidt muligt skal være baseret på standardbestemmelser, der foreslås af sammenslutninger af repræsentanter for erhvervslivet;
27. opfordrer medlemsstaterne til at sikre, at databeskyttelsesmyndighederne er udstyret med de fornødne midler til at udføre de opgaver, der er fastlagt i direktiv 95/46/EF, og endvidere at sikre, at de er uvildige og uafhængige af de nationale regeringer; mener, at databeskyttelsesmyndigheder skal bestræbe sig på vedvarende at forbedre deres effektivitet og dygtighed, og at de skal spille en mere aktiv rolle på såvel nationalt som europæisk plan i Artikel 29-Gruppen, f.eks. ved at medvirke til gennemførelsen af det program, som Kommissionen har foreslået, og ved at sikre håndhævelsen af loven;
28. beklager, at syv medlemsstater - Belgien, Tyskland, Grækenland, Frankrig, Luxembourg, Nederlandene og Portugal - ikke har overholdt gennemførelsesfristen for direktiv 2002/58/EF, som var fastsat til den 31. oktober 2003, og opfordrer dem til at træffe de fornødne foranstaltninger;
29. anmoder Kommissionen, medlemsstaterne og de nationale tilsynsmyndigheder om at gennemføre årlige vurderinger af respekten for de nationale og europæiske bestemmelser om privatlivet, uanset søjleområdet, om nødvendigt stille forslag om lovgivningsmæssige ændringer og fremsende dem til alle kompetente organer - især af parlamentarisk art - og give offentligheden adgang hertil, navnlig via internettet;
30. er bekymret over udviklingen i Schengen-informationsystemet (SIS) og over Rådets planer, hvorefter SIS II skal muliggøre tilføjelse af nye beskrivelseskategorier (personer og genstande), nye sektorer, samkøring af beskrivelserne, ændringer af den tid, oplysningerne opbevares, samt registrering og overførsel af biometriske data, herunder fotografier og fingeraftryk, samt adgang for nye myndigheder, Europol, Eurojust og de nationale retsmyndigheder, i givet fald af andre end de oprindeligt fastlagte grunde, som for eksempel indførelse af den europæiske arrestordre; fordømmer den retlige usikkerhed som følge af det forhold, at SIS vedrører både første og tredje søjle, der har hvert sit niveau for beskyttelse af privatlivet;
31. er bekymret over Rådets generelle holdning til forslagene om at medtage biometriske data (digitale fotografier og fingeraftryk) på visa og opholdstilladelser ved hjælp af en elektronisk chip, især fordi disse data let kan kopieres til centraliserede databaser i tilfælde af kontrol; er bekymret over, at nye udviklinger på databeskyttelsesområdet, f.eks. muligheden for anvendelse af biometriske data, kræver en større indsats fra tilsynsmyndighedernes side, selv om de "hæmmes af manglende ressourcer og er pålagt en lang række forskellige opgaver" (KOM(2003) 265); opfordrer medlemsstaterne til at finde yderligere midler til databeskyttelsesmyndighederne for at sikre, at systemet fungerer effektivt;
32. opfordrer medlemsstaterne og de nationale og europæiske myndigheder til at kontrollere, at lovgivningen om beskyttelse af privatlivet ikke misbruges i den hensigt eller med det resultat at hindre retten til aktindsigt, åbenhed i administrationen og i institutionerne eller besværliggøre enkeltpersoners udøvelse af retten til at kende egne persondata; opfordrer Kommissionen til at forelægge en rapport på grundlag af en udtalelse fra Artikel 29-Gruppen om denne form for misbrug og foreslå retningslinjer og eventuelle lovgivningsmæssige tilpasninger for at undgå noget sådant;
33. opfordrer Kommissionen til fortsat at behandle spørgsmålet om videoovervågning, også i medfør af de nationale lovgivninger, og forventer at kunne behandle det bebudede forslag om beskyttelse af privatlivet på arbejdspladsen;
34. anmoder Eurojust om snarest at klarlægge de nationale og europæiske normer, der hidtil har fundet anvendelse og stadig er gældende, da der er stor forvirring og alvorlig tvivl om dette spørgsmål;
35. mener, at selvregulering er et godt middel til at undgå en alt for detaljeret lovgivning, og opfordrer handels- og industrisektorerne til at udarbejde en europæisk adfærdskodeks for beskyttelse af personoplysninger;
36. anmoder om, at der på nationalt, europæisk og internationalt plan ydes en ekstra indsats for at få fastlagt fælles internationale principper med henblik på at fremme anvendelsen af OECD-retningslinjer og Europarådets konvention;
37. understreger, at beskyttelse af privatlivets fred og personoplysninger bør indgå som en disciplin i computer- og internetundervisningen; anmoder medlemsstaterne og Kommissionen om at fremme borgernes kendskab til databeskyttelsesrettigheder;
o o o
38. pålægger sin formand at sende denne beslutning til Rådet, Kommissionen, medlemsstaternes regeringer og parlamenter, de nationale tilsynsmyndigheder vedrørende privatlivets beskyttelse, Europol og Eurojust samt USA's regering.