Europa-Parlamentets beslutning af 6. juli 2011 om en global metode til beskyttelse af personoplysninger i Den Europæiske Union (2011/2025(INI))
Europa-Parlamentet,
– der henviser til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 16,
– der henviser til Den Europæiske Unions charter om grundlæggende rettigheder, navnlig artikel 7 og 8 og til konventionen til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (ECHR), navnlig artikel 8 om beskyttelse af privat- og familielivet og transaktioner og artikel 13 om effektive retsmidler,
– der henviser til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger(1),
– der henviser til Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager(2),
– der henviser til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger(3),
– der henviser til Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om databeskyttelse inden for elektronisk kommunikation)(4),
– der henviser til Europarådets konvention 108 af 28. januar 1981 om beskyttelse af personer i forbindelse med elektronisk databehandling af personoplysninger, som videreudvikles med direktiv 95/46/EF, og tillægsprotokollen hertil af 8. november 2001 om tilsynsmyndigheder og grænseoverskridende datastrømme, og til Ministerudvalgets anbefalinger til medlemsstaterne, særlig anbefaling nr. R (87)15 om politiets brug af personoplysninger og anbefaling CM/Rec. (2010)13 om beskyttelse af fysiske personer i forbindelse med elektronisk behandling af personoplysninger som led i oprettelse af kundeprofiler,
– der henviser til retningslinjerne for regulering af edb-baserede personoplysninger, der blev udstedt af FN's Generalforsamling i 1990,
– der henviser til Kommissionens meddelelse til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget om en global metode til beskyttelse af personoplysninger i Den Europæiske Union (KOM(2010)0609),
– der henviser til Rådets konklusioner vedrørende Kommissionens meddelelse med titlen »En global metode til beskyttelse af personoplysninger i Den Europæiske Union«(5),
– der henviser til udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse af 14. januar 2011 om Kommissionens meddelelse om en global metode til beskyttelse af personoplysninger i Den Europæiske Union,
– der henviser til det fælles bidrag fra Artikel 29-Gruppen vedrørende Databeskyttelse - Arbejdsgruppen vedrørende Politi og Retsvæsen til Kommissionens høring om EU-lovgivningen om beskyttelse af personoplysninger med titlen »The Future of Privacy«(6),
– der henviser til udtalelse 8/2010 fra Artikel 29-Gruppen vedrørende Databeskyttelse om hvilken lov, der skal anvendes(7),
– der henviser til sine tidligere beslutninger om databeskyttelse og om Stockholm-programmet(8),
– der henviser til forretningsordenens artikel 48,
– der henviser til betænkning fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender og udtalelser fra Udvalget om Industri, Forskning og Energi og Udvalget om Udvalget om det Indre Marked og Forbrugerbeskyttelse, Kultur- og Uddannelsesudvalget og Retsudvalget (A7-0244/2011),
A. der henviser til, at databeskyttelsesdirektivet 95/46/EF og direktiv 2009/140/EF om telekommunikation (»Telecompakken«) muliggør en fri strøm af personoplysninger inden for det indre marked,
B. der henviser til, at lovgivningen om databeskyttelse i EU og medlemsstaterne samt uden for EU har udviklet en juridisk tradition, der skal bevares og yderligere bearbejdes,
C. der henviser til, at det centrale princip i databeskyttelsesdirektivet (95/46/EF) fortsat er gyldigt, men at det kan konstateres, at medlemsstaterne anvender forskellige tilgange i forbindelse med deres gennemførelse og håndhævelse af direktivets regler; der henviser til, at EU efter en grundig konsekvensanalyse må udstyre sig selv med en omfattende, sammenhængende, moderne ramme på højt niveau med henblik på effektivt at beskytte individets grundlæggende rettigheder, navnlig privatlivets fred, i forhold til enhver behandling af personoplysninger om enkeltpersoner inden for og uden for EU under alle omstændigheder, for at klare de mange udfordringer, der er i forbindelse med databeskyttelse, som dem, der skyldes globaliseringen, den teknologiske udvikling, forbedrede online-aktiviteter, anvendelse til flere og flere aktiviteter og sikkerhedsmæssige bekymringer (fx kampen mod terrorisme); der henviser til, at en ramme for databeskyttelse som denne kan øge retssikkerheden, holde den administrative byrde nede på et minimum, skabe lige vilkår for de økonomiske aktører, fremme det digitale indre marked og skabe tillid til de registeransvarliges og de retshåndhævende myndigheders adfærd,
D. der henviser til, at en overtrædelse af bestemmelserne om databeskyttelse kan udgøre en alvorlig fare for enkeltpersoners grundlæggende rettigheder og for medlemsstaternes værdier, hvorfor EU og medlemsstaterne må træffe effektive foranstaltninger for at bekæmpe sådanne overtrædelser; der henviser til, at sådanne overtrædelser fører til manglende tillid fra enkeltpersoners side, hvilket vil svække den formålstjenlige anvendelse af de nye teknologier, og at fejlagtig anvendelse og misbrug af personoplysninger derfor bør være strafbare handlinger underlagt passende og strenge sanktioner, der har en afskrækkende virkning, herunder strafferetlige sanktioner,
E. der henviser til, at sikringen af retten til beskyttelse af personoplysninger ikke på nogen måde må ske på bekostning af andre af charterets grundlæggende rettigheder eller andre af EU-traktaternes mål, såsom retten til ytrings- og informationsfrihed og gennemsigtighedsprincippet,
F. der henviser til, at det nye retsgrundlag, der er fastsat i EUF-traktatens artikel 16, og anerkendelse af retten til beskyttelse af personoplysninger som en selvstændig rettighed i artikel 8 i charteret om grundlæggende rettigheder og af retten til respekt for privat- og familielivet i charterets artikel 7 som selvstændige rettigheder nødvendiggør og understøtter et samlet koncept for databeskyttelse på alle områder, hvor personoplysninger bliver behandlet, inklusive det politimæssige og retlige samarbejde i straffesager, den fælles udenrigs- og sikkerhedspolitik (FUSP), med forbehold af de specifikke regler i EU-traktatens artikel 39, samt databehandling i EU-institutionerne og -organerne,
G. der henviser til, at det er yderst vigtigt, at der tages hensyn til en række nøgleelementer, når lovgivningsmæssige løsninger overvejes, nemlig effektiv beskyttelse under alle omstændigheder, uafhængigt af politiske interesser i en vis periode; der henviser til, at rammen skal være stabil over en længere periode, og at begrænsninger i udøvelsen af rettigheden, hvor og hvis dette måtte være nødvendigt, skal være exceptionelle, i overensstemmelse med lovgivningen, strengt nødvendige og rimelige og aldrig må påvirke de essentielle elementer i selve rettigheden,
H. der henviser til, at indsamling, analyse, udveksling og misbrug af oplysninger og risikoen for »profilering«, som alt sammen er gjort muligt af den tekniske udvikling, har nået hidtil ukendte dimensioner og derfor nødvendiggør strenge regler om databeskyttelse, herunder aftaler om hvilken lovgivning, der skal anvendes, og definition af alle interesserede parters ansvar i forhold til gennemførelsen af EU's databeskyttelseslovgivning; der henviser til, at kundekort (f.eks. klubkort, bonuskort eller fordelskort) stadig oftere anvendes af virksomheder og i handelen, og at disse anvendes eller kan anvendes til personprofilering,
I. der henviser til, at borgere ikke køber ind på nettet med samme sikkerhed, som de gør offline, af frygt for identitetstyveri og manglende gennemsigtighed med hensyn til, hvordan deres personoplysninger bliver behandlet og anvendt,
J. der henviser til, at teknologien i stigende grad gør det muligt at skabe, sende, behandle og lagre personoplysninger når som helst og hvor som helst i mange forskellige former og til, at det i denne forbindelse er afgørende vigtigt, at de berørte personer beholder den faktiske kontrol over oplysningerne om dem selv,
K. der henviser til, at de grundlæggende rettigheder til databeskyttelse og bevarelse af privatlivets fred indebærer beskyttelse af personer imod eventuel overvågning og misbrug af deres oplysninger såvel fra statens side som fra private enheders side,
L. der henviser til, at det er muligt at kombinere privatlivets fred med sikkerhed, og at de begge er af central betydning for borgerne, således at der ikke er nogen grund til at vælge mellem frihed eller sikkerhed,
M. der henviser til, at børn bør nyde særlig beskyttelse, eftersom de ofte er mindre bevidste om risici, konsekvenser, forholdsregler og rettigheder i forhold til behandling af personoplysninger, og til, at mange unge afgiver personlige oplysninger via sociale netværkssteder, som hurtigt spredes på internettet,
N. der henviser til, at en gennemsigtig adfærd hos den registeransvarlige er en forudsætning for, at den registrerede og de nationale databeskyttelsesmyndigheder kan føre en effektiv kontrol,
O. der henviser til, at ikke alle registeransvarlige er onlinevirksomheder, og at nye databeskyttelsesregler derfor skal dække både online- og offline-miljøer og tage højde for eventuelle forskelle mellem dem,
P. der henviser til, at nationale databeskyttelsesmyndigheder er underlagt stærkt varierende regler i de 27 medlemsstater, navnlig hvad angår deres status, ressourcer og beføjelser,
Q. der henviser til, at en streng europæisk og international databeskyttelse er det nødvendige grundlag for udveksling af personoplysninger på tværs af grænserne, og at de nuværende forskelle i databeskyttelseslovgivningen og i gennemførelsen af den påvirker beskyttelsen af de grundlæggende rettigheder og de personlige frihedsrettigheder, retssikkerheden og klarheden i kontraktretlige forhold, udviklingen af e-handel og e-business, forbrugernes tillid til systemet, de grænseoverskridende transaktioner, den globale økonomi og det indre marked; henviser i denne forbindelse til, at dataudveksling er vigtig for at give mulighed for og sikre offentlig sikkerhed på nationalt og internationalt niveau samt at proportionalitet, formålsbestemmelse, tilsyn og hensigtsmæssighed er forudsætninger for udveksling,
R. der henviser til, at de nuværende regler og vilkår for overførsel af data fra EU til tredjelande har medført forskellige tilgange og praksisser i forskellige medlemsstater, og at det er bydende nødvendigt, at de berørte personers rettigheder fuldt ud håndhæves i tredjelande, når personoplysninger overføres og behandles,
Et fuldstændigt engagement med et samlet koncept
1. glæder sig meget over og støtter Kommissionens meddelelse med titlen »En global metode til beskyttelse af personoplysninger i Den Europæiske Union« og dens fokus på at styrke eksisterende aftaler, fremlægge nye principper og mekanismer og sikre sammenhængende og høje standarder for databeskyttelse i den nye ramme, der er skabt med Lissabontraktatens ikrafttræden (jf. EUF-traktatens artikel 16), og det nu bindende charter om grundlæggende rettigheder, navnlig kapitel 8;
2. understreger, at standarderne og principperne i direktiv 95/46/EF er et ideelt udgangspunkt og bør videreudvikles, udbygges og iværksættes som del af en moderne databeskyttelsesret;
3. understreger betydningen af artikel 9 i direktiv 95/46/EF, der forpligter medlemsstaterne til at give mulighed for undtagelser for databeskyttelsesbestemmelserne, når personoplysninger udelukkende anvendes i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed; opfordrer i denne sammenhæng Kommissionen til at sikre, at disse undtagelser bibeholdes, og at der gøres alt for at evaluere behovet for at udvikle disse undtagelser yderligere i lyset af eventuelle nye bestemmelser for at beskytte pressefriheden;
4. understreger, at den teknologisk neutrale strategi i direktiv 95/46/EF bør fastholdes som et princip for en ny ramme;
5. anerkender, at den teknologiske udvikling på den ene side har skabt nye trusler mod beskyttelsen af personoplysninger og på den anden side har ført til en stærk stigning i anvendelsen af informationsteknologier til daglige og normalt harmløse formål, og at disse udviklinger kræver en grundig evaluering af de nuværende databeskyttelsesregler for at sikre, at i) reglerne stadig giver et højt niveau af beskyttelse, ii) reglerne fortsat sikrer en rimelig balance mellem retten til beskyttelse af personoplysninger og retten til ytrings- og informationsfrihed og at iii) reglerne ikke unødigt hindrer den daglige behandling af personoplysninger, der typisk er harmløs;
6. anser det for absolut nødvendigt at udbygge anvendelsen af de generelle databeskyttelsesregler til også at omfatte politimæssigt og retligt samarbejde, også i forbindelse med databehandling på nationalt plan, under særligt hensyn til den tvivlsomme tendens til systematisk at genanvende personoplysninger fra den private sektor til retshåndhævelsesformål, idet der dog også - hvor det er strengt nødvendigt og rimeligt i et demokratisk samfund - tillades nøje skræddersyede og harmoniserede begrænsninger af visse rettigheder til beskyttelse af personoplysninger;
7. understreger nødvendigheden af, at behandlingen af personoplysninger i EU-institutionerne og -organerne, der reguleres ved forordning (EF) nr. 45/2001, inkluderes i anvendelsesområdet for den nye ramme;
8. anerkender, at der kan blive brug for yderligere styrkede foranstaltninger for at udspecificere, hvorledes de overordnede principper, der er indført med den omfattende ramme, skal anvendes på aktiviteter i specifikke sektorer, som allerede set i tilfældet med e-databeskyttelsesdirektivet, men fastholder, at sektorspecifikke regler under ingen omstændigheder bør sænke det beskyttelsesniveau, der sikres gennem rammelovgivningen, og at der bør fastsættes en streng definition af exceptionelle, nødvendige, legitime og nøje skræddersyede fritagelser fra overordnede databeskyttelsesprincipper;
9. opfordrer Kommissionen til at sikre, at denne revision af EU's databeskyttelseslovgivning vil skabe:
–
fuld harmonisering på højeste plan og sikre retssikkerhed og et ensartet højt niveau af beskyttelse af enkeltpersoner under alle omstændigheder,
–
yderligere præcisering af bestemmelserne om den ret, der skal anvendes, med henblik på at sikre en ensartet grad af beskyttelse for enkeltpersoner, uanset hvor den databeskyttelsesansvarlige befinder sig, herunder når det gælder myndigheders eller en domstols håndhævelse af databeskyttelse;
10. mener, at den reviderede databeskyttelsesordning - under fuld hensyntagen til rettighederne til databeskyttelse og bevarelse af privatlivets fred - bør begrænse bureaukratiet og de økonomiske byrder til et minimum og tilvejebringe instrumenter, der giver konglomerater, der opfattes som enkeltenheder, mulighed for at handle som sådanne frem for som en masse separate foretagender; tilskynder Kommissionen til at gennemføre konsekvensanalyser og nøje evaluere omkostningerne ved nye foranstaltninger;
Styrkelse af enkeltpersoners rettigheder
11. opfordrer Kommissionen til at styrke de eksisterende principper og elementer, fastsat i direktiv 95/46/EF, såsom gennemsigtighed, dataminimering, formålsbestemmelse, informeret, forudgående og udtrykkeligt samtykke, indberetning af datasikkerhedsbrud og de registreredes ret til adgang til data, som er blevet indsamlet om dem, og forbedre deres gennemførelse i medlemsstaterne, navnlig hvad angår det globale onlinemiljø,
12. understreger, at et samtykke kun bør anses for gyldigt, hvis det er utvetydigt, informeret, frivilligt, specifikt og udtrykkeligt, og at det er nødvendigt at indføre passende mekanismer til registrering af brugernes samtykke eller tilbagekaldelse af samtykke;
13. påpeger det forhold, at frivilligt samtykke ikke kan formodes, når der er tale om arbejdskontrakter;
14. er bekymret over de uønskede virkninger af adfærdsbaseret reklame på internettet og minder om, at direktivet om beskyttelse af privatlivets fred i den elektroniske kommunikationssektor kræver de berørte personers udtrykkelige og forudgående samtykke til overførsel af cookies og overvågning af deres surfingadfærd for at kunne præsentere dem for reklamer, som er målrettet til dem;
15. støtter fuldt ud indførelsen af et generelt gennemsigtighedsprincip og anvendelsen af teknologier til øgning af gennemsigtigheden samt udviklingen af standardmeddelelser om beskyttelse af privatlivets fred; understreger, at der skal foreligge oplysninger om databehandling i et klart, letforståeligt sprog og i en form, der er letforståelig og tilgængelig;
16. understreger desuden vigtigheden af at forbedre midlerne til udøvelse af og bevidstheden om rettighederne til adgang, rettelse, sletning og blokering af data samt præcisering af den såkaldte »ret til at blive glemt«(9) og til at gør brug af dataportabilitet(10) og samtidig sikre, at den fulde tekniske og organisatoriske gennemførlighed udvikles og er på plads, så disse rettigheder kan udøves; understreger, at enkeltpersoner skal have tilstrækkelig kontrol med deres onlinedata, så de kan anvende internettet på en ansvarlig made;
17. understreger, at borgerne gratis skal kunne udøve deres datarettigheder; opfordrer virksomheder til at afholde sig fra ethvert forsøg på at skabe unødige barrierer for retten til at få adgang til, ændre eller slette personoplysninger; understreger, at registrerede til enhver tid skal kunne vide, hvilke data der er lagret af hvem, hvornår, til hvilket formål, for hvilken tidsperiode, og hvordan de bliver behandlet; understreger, at registrerede skal kunne få data slettet, rettet eller blokeret på en ubureaukratisk måde, og at de skal informeres om ethvert misbrug af data eller brud på datasikkerheden; kræver ligeledes, at disse oplysninger fremlægges efter anmodning fra den pågældende person og også slettes senest, når denne person anmoder herom; fremhæver behovet for, at de registrerede gives klar information om tilstrækkeligheden af databeskyttelsen i tredjelande; understreger, at retten til adgang ikke blot indebærer fuld adgang til behandlede data om en selv samt deres kilde og modtagere, men også tydelig information om logikken i enhver automatisk behandling; påpeger endvidere, at sidstnævnte vil få endnu større betydning med profilanalyse og dataminering;
18. påpeger, at profilering er et vigtigt fænomen i den digitale verden, ikke mindst på grund af den stigende betydning af sociale netværk og integrerede internetbaserede forretningsmodeller; opfordrer derfor Kommissionen til at medtage bestemmelser om profilering, idet udtrykkene »profil« og »profilering« klart defineres;
19. gentager, at det er nødvendigt at øge de registeransvarliges forpligtelser til at informere de registrerede og glæder sig over meddelelsens fokus på informationskampagner rettet mod offentligheden i almindelighed og mod unge mennesker i særdeleshed; understreger, at det er nødvendigt at behandle sårbare personer, navnlig børn og ældre mennesker, specifikt; tilskynder de forskellige aktører til at gennemføre sådanne oplysningskampagner, og støtter Kommissionens forslag om at medfinansiere foranstaltninger til bevidstgørelse om databeskyttelse over EU-budgettet; opfordrer til, at oplysninger om fysiske og juridiske personers rettigheder og forpligtelser vedrørende indsamling, behandling, lagring og videresendelse af personoplysninger udbredes effektivt i hver enkelt medlemsstat;
20. minder om nødvendigheden af i særlig grad at beskytte sårbare personer, herunder specielt børn, især ved at indføre et højt databeskyttelsesniveau som standardparameter og iværksætte behørige og specifikke foranstaltninger til beskyttelse af deres personoplysninger;
21. understreger betydningen af, at der findes en lovgivning om databeskyttelse, som erkender behovet for specifikt at beskytte børn og mindreårige - bl.a. i lyset af børns øgede adgang til internettet og digitalt indhold - og understreger, at mediekendskab skal være en del af den formelle uddannelse med henblik på at undervise børn og mindreårige i, hvordan man handler ansvarligt i et online-miljø; mener, at der med henblik herpå bør lægges særlig vægt på bestemmelser om indsamling og viderebehandling af børns data, styrkelse af princippet om formålsbegrænsning i forhold til børns data og på, hvordan børns samtykke er opnået samt om beskyttelse mod adfærdsbaseret annoncering(11);
22. støtter endvidere en yderligere tydeliggørelse og styrkelse af garantierne for behandlingen af følsomme data, og opfordrer til at overveje nødvendigheden af at beskæftige sig med nye kategorier, som f.eks. genetiske og biometriske data, navnlig på baggrund af den tekniske (f.eks. cloud computing) og den sociale udvikling;
23. understreger, at personlige oplysninger vedrørende brugerens erhverv ikke bør offentliggøres til dennes arbejdsgiver eller videregives til tredjemand uden den berørte persons forudgående tilladelse;
Yderligere styrkelse af det indre markeds dimension og sikring af bedre gennemførelse af databeskyttelsesbestemmelserne
24. påpeger, at databeskyttelse bør spille en endnu større rolle på det indre marked, og understreger, at en effektiv beskyttelse af privatlivets fred er afgørende for at vinde den enkeltes tillid, hvilket er nødvendigt for at udnytte det fulde vækstpotentiale på det digitale indre marked; minder Kommissionen om, at fælles principper og regler både for varer og tjenesteydelser er nødvendige for etableringen af et digitalt indre marked, eftersom tjenesteydelser udgør en væsentlig del af det digitale marked;
25. gentager sin opfordring til Kommissionen om at præcisere reglerne for lovvalg i sager om beskyttelse af personoplysninger;
26. anser det for nødvendigt at styrke de registeransvarliges forpligtelser til at sikre overholdelse af databeskyttelseslovgivningen ved at have bl.a. proaktive mekanismer og procedurer, og glæder sig over de andre forslag i Kommissionens meddelelse;
27. minder i denne forbindelse om, at der må tages særlig hensyn til registeransvarlige, som har tavshedspligt, og at det bør overvejes at etablere særlige strukturer for kontrol med databeskyttelsen i disses tilfælde;
28. glæder sig over og støtter Kommissionens overvejelser om at indføre et ansvarlighedsprincip, da det er meget vigtigt at sikre, at registeransvarlige lever op til deres ansvar; opfordrer samtidig Kommissionen til nøje at undersøge, hvordan et sådant princip kan gennemføres i praksis og vurdere konsekvenserne heraf;
29. glæder sig over muligheden for at gøre det obligatorisk at udpege databeskyttelsesansvarlige, da erfaringerne i medlemsstater, der allerede har sådanne ansvarlige, viser, at dette koncept er en succes; påpeger imidlertid, at dette aspekt for så vidt angår små- og mikrovirksomheder må behandles omhyggeligt med henblik på at undgå, at de pålægges for store omkostninger eller byrder;
30. glæder sig i denne forbindelse også over de bestræbelser, der gøres på at forenkle og harmonisere det nuværende anmeldelsessystem;
31. mener, at det er af afgørende betydning, at der er mulighed for at gøre konsekvensanalyser vedrørende beskyttelse af privatlivets fred obligatoriske med henblik på at identificere risici for privatlivets fred, forudse problemer og tilvejebringe proaktive løsninger;
32. anser det for at være af altafgørende betydning, at de registreredes rettigheder kan håndhæves; bemærker, at der kan indføres class action-retssager (gruppesøgsmål) som et instrument, hvormed enkeltpersoner kollektivt kan forsvare deres datarettigheder og kræve erstatning for skader, der er forvoldt i forbindelse med brud på datasikkerheden; bemærker dog, at dette tiltag skal være underlagt begrænsninger for at undgå misbrug; anmoder Kommissionen om at præcisere forbindelsen mellem dens meddelelse om databeskyttelse og den igangværende offentlige høring om kollektive klageordninger; opfordrer derfor til at indføre en kollektiv klagemekanisme for brud på databeskyttelsesreglerne med henblik på at give registrerede mulighed for at få skadeserstatning;
33. understreger nødvendigheden af en korrekt harmoniseret håndhævelse i hele EU; opfordrer Kommissionen til i sit lovforslag at fastsætte strenge sanktioner, der har en afskrækkende virkning, herunder strafferetlige sanktioner for fejlagtig anvendelse og misbrug af personoplysninger;
34. tilskynder Kommissionen til at indføre et system for generel underretningspligt ved persondatasikkerhedsbrud og udvide det til andre sektorer end telesektoren og samtidig sikre, at a) det ikke bliver en rutineadvarsel for alle mulige former for brud, men hovedsagelig dem, der kan have en negativ indvirkning på enkeltpersoner, og at b) alle brud uden undtagelse registreres og er tilgængelige for databeskyttelsesmyndigheder eller andre relevante myndigheder med henblik på tilsyn og evaluering for derved at sikre alle mennesker lige vilkår og et ensartet beskyttelsesniveau;
35. betragter koncepterne »privacy by design« og »privacy by default« som en styrkelse af databeskyttelsen og støtter deres konkrete anvendelse og videre udvikling samt behovet for at fremme anvendelsen af teknologier, der kan forbedre beskyttelsen af privatlivets fred; understreger, at gennemførelsen af enhver form for »privacy by design« skal ske på grundlag af velfunderede og konkrete kriterier og definitioner for at beskytte brugernes ret til beskyttelse af privatlivets fred og persondata, samt sikre retssikkerhed, åbenhed, lige vilkår og fri bevægelighed; mener, at »privacy by design« bør baseres på princippet om dataminimering, hvilket betyder, at alle produkter, tjenesteydelser og systemer skal fremstilles, så de kun indsamler, anvender og videregiver de personoplysninger, der er absolut nødvendige, for at de kan fungere;
36. bemærker, at udviklingen og den bredere anvendelse af cloud computing skaber nye udfordringer med hensyn til privatlivets fred og beskyttelse af personoplysninger; opfordrer derfor til en præcisering af mulighederne for registeransvarlige, databehandlere og værter, således at det tilsvarende retlige ansvar bedre kan fordeles, og de registrerede ved, hvor deres data lagres, hvem der har adgang til deres data, hvem der bestemmer, hvad personoplysningerne skal anvendes til, samt hvilke backup- og genopretningsprocedurer der foreligger;
37. opfordrer derfor Kommissionen til i forbindelse med revisionen af direktiv 95/46/EF at tage behørig højde for databeskyttelsesspørgsmål vedrørende »cloud computing« og sikre, at databeskyttelsesbestemmelserne gælder for alle interesserede parter, herunder telekommunikationsoperatører og ikke-telekommunikationsoperatører;
38. opfordrer Kommissionen til at ansvarliggøre alle internetoperatører påtager sig deres ansvar for personoplysninger, og kræver især, at reklamevirksomhederne og redaktørerne klart informerer brugerne forud for enhver indsamling af oplysninger om dem;
39. glæder sig over den nyligt undertegnede rammeaftale om konsekvensanalyser med hensyn til privatlivets fred og databeskyttelse for radiofrekvensidentifikation-applikationer (RFID), der har til formål at sikre forbrugernes privatliv, inden RFID-etiketter indføres på markedet;
40. støtter bestræbelserne på yderligere at fremme selvreguleringsinitiativer - såsom adfærdskodekser - og overvejelsen om at indføre frivillige EU-certificeringsordninger som supplerende tiltag til lovgivningsforanstaltninger, men fastholder, at EU's databeskyttelsesordning er baseret på lovgivning, der fastsætter garantier på højt niveau; opfordrer Kommissionen til at foretage en konsekvensanalyse af selvregulerende initiativer som redskaber til bedre håndhævelse af reglerne om databeskyttelse;
41. mener, at det skal sikres, at enhver certificerings- eller forseglingsordning baseres på integritet og troværdighed, er teknologineutral, global genkendelig og overkommelig med henblik på ikke at skabe hindringer for adgangen;
42. støtter yderligere præcisering, styrkelse og harmonisering af de nationale databeskyttelsesmyndigheders status og kompetence og af en undersøgelse af veje til at sikre mere konsekvent anvendelse af EU's databeskyttelsesbestemmelser på hele det indre marked; understreger endvidere betydningen af at sikre sammenhæng mellem de beføjelser, som Den Europæiske Tilsynsførende for Databeskyttelse, de nationale databeskyttelsesmyndigheder og Artikel 29-Gruppen råder over;
43. understreger i denne sammenhæng, at Artikel 29-Gruppens rolle og beføjelser bør styrkes for at forbedre koordinationen og samarbejdet mellem medlemsstaternes databeskyttelsesmyndigheder, navnlig med henblik på behovet for at sikre en ensartet anvendelse af databeskyttelsesreglerne;
44. opfordrer Kommissionen til i den nye retlige ramme at præcisere det væsentlige begreb om de nationale databeskyttelsesmyndigheders uafhængighed i den betydning, at der ikke er nogen form for ekstern indflydelse(12); understreger, at de nationale databeskyttelsesmyndigheder bør gives de nødvendige midler og harmoniserede undersøgelses- og sanktionsbeføjelser;
Styrkelse af databeskyttelsens globale dimension
45. opfordrer Kommissionen til at rationalisere og styrke de nuværende procedurer til international datatransfer - juridisk bindende aftaler og bindende virksomhedsregler - og til på grundlag af ovennævnte principper om beskyttelse af personoplysninger at definere de ambitiøse centrale EU-databeskyttelsesaspekter til anvendelse i internationale aftaler; understreger, at bestemmelserne i EU's aftaler med tredjelande om beskyttelse af personoplysninger bør yde europæiske borgere det samme databeskyttelsesniveau som det, der ydes inden for EU;
46. mener, at Kommissionens procedure til vurdering af hensigtsmæssigheden vil have gavn af præcisering og af en strengere gennemførelse, håndhævelse og overvågning, og at de krav og kriterier, der anvendes ved vurderingerne af databeskyttelsesniveauet i et tredjeland eller en international organisation, bør fastlægges klarere under hensyntagen til de nye trusler mod privatlivets fred og personoplysninger;
47. opfordrer Kommissionen til nøje at vurdere effektiviteten og den korrekte anvendelse af safe harbor-principperne;
48. glæder sig over Kommissionens holdning vedrørende gensidighed for beskyttelsesniveauer for registrerede personer, hvis personoplysninger videregives til eller opbevares i tredjelande; opfordrer Kommissionen til at træffe afgørende foranstaltninger for at udvide det reguleringsmæssige samarbejde med tredjelande med det formål at tydeliggøre de gældende regler og konvergensen mellem EU's og tredjelandes lovgivning om databeskyttelse; opfordrer Kommissionen til at sætte dette punkt på den prioriterede dagsorden for det genstartede Transatlantiske Økonomiske Råd;
49. støtter Kommissionens bestræbelser på at intensivere samarbejdet med tredjelande og internationale organisationer som De Forenede Nationer, Europarådet og OECD samt med standardiseringsorganisationer som Den Europæiske Standardiseringsorganisation (CEN), Den Internationale Standardiseringsorganisation (ISO), World Wide Web Consortium (W3C) samt Internet Engineering Task Force (IETF); tilskynder til at udvikle internationale standarder(13) og samtidig sikre, at der er sammenhæng mellem initiativer til internationale standarder og igangværende revisioner i EU, OECD og Europarådet;
o o o
50. pålægger sin formand at sende denne beslutning til Rådet og Kommissionen.
3071. samling i Rådet (Retlige og Indre Anliggender) i Bruxelles den 24. og 25. februar 2011, ses på: http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/jha/119461.pdf
For eksempel: Europa-Parlamentets holdning af 23. september 2008 om udkast til Rådets rammeafgørelse om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (EUT C 8 E af 14.1.2010, s. 138); Europa-Parlamentets henstilling til Rådet af 26. marts 2009 om styrkelse af sikkerheden og de grundlæggende frihedsrettigheder på internettet (EUT C 117 E af 6.5.2010, s. 206); Europa-Parlamentets beslutning af 25. november 2009 om meddelelsen fra Kommissionen til Europa-Parlamentet og Rådet - Et område med frihed, sikkerhed og retfærdighed i borgernes tjeneste - Stockholmprogrammet (EUT C 285 E af 21.10.2010, s. 12).
Portabilitet af personoplysninger fremmer, at både det indre marked og internettet med dets karakteristiske åbenhed og sammenkoblinger fungerer korrekt.
Jf. Madriderklæringen: »Global Privacy Standards for a Global World«, oktober 2009, og resolution om internationale standarder, vedtaget af den 32. internationale konference for databeskyttelsesmyndigheder, som fandt sted i Jerusalem den 27.-29. oktober 2010.