Faktablade om Den Europæiske Union
Europa-Parlamentet
Udfyld dette felt

Beskyttelse af personoplysninger

Beskyttelsen af personoplysninger og respekten for privatlivets fred er europæiske grundlæggende rettigheder. Europa-Parlamentet har altid understreget, at det er absolut nødvendigt, at der opnås en balance mellem styrkelsen af den offentlige sikkerhed og beskyttelsen af menneskerettighederne, herunder databeskyttelse og privatlivets fred. EU's nye databeskyttelsesregler, der styrker borgernes rettigheder og forenkler reglerne for virksomheder i den digitale tidsalder, trådte i kraft i maj 2018. Forskning udført for Europa-Parlamentet viser, at EU-lovgivningen om regulering af datastrømme bidrager med 51,6 mia. EUR årligt til BNP i Den Europæiske Union. Forskning udført for Europa-Parlamentets Undersøgelsesudvalg til at efterforske brugen af Pegasus-spyware og tilsvarende overvågningsspyware (PEGA-udvalget) bekræfter betydningen af databeskyttelse for at forsvare demokratiet og de individuelle frihedsrettigheder i EU.

Retsgrundlag

Artikel 16 i traktaten om Den Europæiske Unions funktionsmåde (TEUF).

Artikel 7 og 8 i EU's charter om grundlæggende rettigheder.

Mål

Unionen skal sikre, at den grundlæggende ret til databeskyttelse, som er indeholdt i EU's charter om grundlæggende rettigheder, anvendes på konsekvent vis. I lyset af den eksponentielle vækst i mængden af dataoverførsler – hvor EU, USA og Canada udgør den største del af denne vækst – er det nødvendigt at styrke EU's holdning til beskyttelse af personoplysninger i forbindelse med alle EU-politikker.

Resultater

A. Institutionelle rammer

1. Lissabontraktaten

Forud for Lissabontraktatens ikrafttræden var lovgivningen inden for databeskyttelse på området med frihed, sikkerhed og retfærdighed opdelt mellem den første søjle (databeskyttelse til private og kommercielle formål, under anvendelse af fællesskabsmetoden) og den tredje søjle (databeskyttelse med henblik på retshåndhævelse, på mellemstatsligt plan). Som følge heraf fulgte beslutningsprocesserne inden for de to områder forskellige regler. Søjlestrukturen blev afskaffet med Lissabontraktaten, som har skabt et stærkere grundlag for udviklingen af klarere og mere effektive databeskyttelsesstrukturer og samtidig har tillagt Europa-Parlamentet nye beføjelser, der gør det til medlovgiver. Artikel 16 i TEUF foreskriver, at Parlamentet og Rådet fastsætter regler for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger foretaget af Unionens institutioner, organer, kontorer og agenturer samt af medlemsstaterne under udøvelse af aktiviteter, der er omfattet af EU-retten.

2. De strategiske retningslinjer på området med frihed, sikkerhed og retfærdighed

Efter Tammerfors- og Haagprogrammerne (fra henholdsvis oktober 1999 og november 2004) godkendte Det Europæiske Råd i december 2009 Stockholmprogrammet, som er det flerårige program for området med frihed, sikkerhed og retfærdighed for perioden 2010-2014. Det Europæiske Råd opstillede i sine konklusioner fra juni 2014 de strategiske retningslinjer for lovgivningsmæssig og operationel planlægning for de kommende år inden for området med frihed, sikkerhed og retfærdighed, jf. artikel 68 i TEUF. Et af de centrale mål er at beskytte personoplysninger i EU bedre.

B. De primære lovinstrumenter vedrørende databeskyttelse

1. Den Europæiske Unions charter om grundlæggende rettigheder

I artikel 7 og 8 i EU's charter om grundlæggende rettigheder anerkendes respekten for privatlivets fred og beskyttelsen af personoplysninger som nært forbundne, men særskilte grundlæggende rettigheder.

2. Europarådet

a. Konvention 108 fra 1981

Europarådets konvention 108 af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger var det første juridisk bindende internationale instrument, der blev vedtaget inden for området databeskyttelse. Dens formål er at sikre det enkelte menneske respekt for dettes grundlæggende rettigheder og andre rettigheder, især for retten til privatlivets fred, i forbindelse med elektronisk databehandling af personoplysninger. Protokollen om ændring af konventionen har til formål at udvide dens anvendelsesområde, øge databeskyttelsesniveauet og forbedre dens effektivitet.

b. Den europæiske menneskerettighedskonvention (EMRK)

Artikel 8 i konventionen af 4. november 1950 til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder fastslår, at enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance.

3. De nuværende EU-retlige instrumenter til databeskyttelse

a. Den generelle forordning om databeskyttelse (GDPR)

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) trådte i kraft i maj 2018. Reglerne har til formål at beskytte alle EU-borgere mod krænkelser af privatlivets fred og brud på datasikkerheden i en stadig mere datastyret verden og samtidig skabe klarere og mere konsekvente rammer for virksomhederne. Borgernes rettigheder indebærer, at borgerne skal give et klart og positivt samtykke til, at deres data bliver behandlet, og at de har ret til at modtage klare og forståelige oplysninger herom. Derudover har de ret til at blive glemt, dvs. at en borger kan anmode om, at vedkommendes oplysninger bliver slettet, ret til at overføre data til en anden tjenesteyder (f.eks. når man skifter fra et socialt netværk til et andet) og ret til at få det at vide, når data er blevet hacket. De nye regler gælder for alle virksomheder, der opererer i EU, selv de virksomheder, som har hjemsted uden for EU. Det er desuden muligt at pålægge selskaber, der overtræder reglerne, korrigerende foranstaltninger såsom advarsler og påbud eller bøder. Den 24. juni 2020 fremlagde Europa-Kommissionen en rapport om evalueringen og revisionen af forordningen[1].

b. Direktivet om databeskyttelse på retshåndhævelsesområdet

Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA trådte i kraft i maj 2018. Direktivet beskytter borgernes grundlæggende ret til databeskyttelse, når personoplysninger anvendes af de retshåndhævende myndigheder. Det sikrer, at personoplysninger om ofre, vidner og personer, der mistænkes for forbrydelser, er behørigt beskyttet, og letter det grænseoverskridende samarbejde i kampen mod kriminalitet og terrorisme. Den 25. juli 2022 offentliggjorde Europa-Kommissionen den forsinkede rapport om anvendelsen og funktionen af retshåndhævelsesdirektivet. Den blev efterfulgt af en evalueringsundersøgelse bestilt af Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) med en kritisk vurdering af gennemførelsen af retshåndhævelsesdirektivet[2].

c. Direktivet om databeskyttelse inden for elektronisk kommunikation

Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) blev ændret ved direktiv 2009/136/EF af 25. november 2009. Det rejser det ømtålelige spørgsmål om lagring af data, som gentagne gange er blevet indbragt for EU-Domstolen og har ført til en række afgørelser, senest i 2020, hvor det blev fastslået, at EU-retten er til hinder for en generel og udifferentieret lagring af trafik- og lokaliseringsdata.

Forslaget fra 2017 til Europa-Parlamentets og Rådets forordning om respekt for privatliv og beskyttelse af personoplysninger i forbindelse med elektronisk kommunikation og om ophævelse af direktiv 2002/58/EF (forordning om databeskyttelse inden for elektronisk kommunikation) er genstand for langvarige drøftelser. Europa-Parlamentets eksperter anførte, at Parlamentet bør modsætte sig Rådets forsøg på at udelukke anvendelsen af de europæiske databeskyttelsesprincipper[3].

d. Forordningen om behandling af personoplysninger i Unionens institutioner og organer

Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF trådte i kraft den 11. december 2018.

e. Artikler om databeskyttelse i sektorspecifikke retsakter

Ud over de vigtigste retsakter om databeskyttelse, som er nævnt ovenfor, er der også fastsat specifikke bestemmelser om databeskyttelse i sektorspecifikke retsakter, som f.eks.:

  • Artikel 13 (om beskyttelse af personoplysninger) i Europa-Parlamentets og Rådets direktiv (EU) 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet.
  • Artikel 6 (om databehandling) i Rådets direktiv 2004/82/EF af 29. april 2004 om transportvirksomheders forpligtelse til at fremsende oplysninger om passagerer (API).
  • Den 13. december 2022 vedtog Kommissionen to lovgivningsforslag om indsamling og overførsel af API-oplysninger, der skal erstatte API'en[4]
  • Kapitel VI (om databeskyttelsesgarantier) i Europa-Parlamentets og Rådets forordning (EU) 2016/794 af 11. maj 2016 om Den Europæiske Unions Agentur for Retshåndhævelsessamarbejde (Europol).
  • Kapitel VIII (om databeskyttelse) i Rådets forordning (EU) 2017/1939 af 12. oktober 2017 om gennemførelse af et forstærket samarbejde om oprettelse af Den Europæiske Anklagemyndighed ("EPPO").

4. EU's vigtigste internationale aftaler om dataoverførsel

a. Overførsel af kommercielle data: beslutninger om et tilstrækkeligt beskyttelsesniveau

I henhold til artikel 45 i GDPR har Kommissionen beføjelse til at afgøre, om et land uden for EU tilbyder et tilstrækkeligt databeskyttelsesniveau, det være sig på grundlag af landets nationale lovgivning eller de internationale forpligtelser, det har indgået.

Da dataoverførsler mellem EU og Nordamerika er steget eksponentielt, og USA dominerer private onlinereklamer og overvågning[5], har Parlamentet vedtaget adskillige beslutninger, der giver udtryk for bekymring over transatlantiske datastrømme. Det mente navnlig, at afgørelsen om EU's og USA's værn om privatlivets fred ikke sikrer det tilstrækkelige beskyttelsesniveau, der kræves i henhold til EU-retten, og EU-Domstolen har gentagne gange ugyldiggjort Kommissionens afgørelser om tilstrækkeligheden af beskyttelsesniveauet vedrørende USA (jf. dens afgørelser fra 2015 om safe harbour i Schrems og fra 2020 om EU's og USA's værn om privatlivets fred i Schrems II).

På trods af manglende reform af databeskyttelsesordningen i USA indgik Europa-Kommissionen endnu en aftale med USA og fremlagde et forslag til endnu en databeskyttelsesramme mellem EU og USA. Efter forslag fra LIBE-udvalget vedtog Parlamentet den 11. maj 2023 en beslutning om tilstrækkeligheden af den beskyttelse, der ydes af databeskyttelsesrammen mellem EU og USA, hvori det konkluderede, at databeskyttelsesrammen mellem EU og USA ikke skaber et væsentligt beskyttelsesniveau, og opfordrede Kommissionen til at fortsætte forhandlingerne med sin amerikanske modpart, men til at afstå fra at vedtage konstateringen af et tilstrækkeligt beskyttelsesniveau, indtil alle henstillingerne i Parlamentets beslutning og Det Europæiske Databeskyttelsesråds udtalelse er gennemført fuldt ud.

Kommissionen vedtog sin tredje databeskyttelsesramme mellem EU og USA den 10. juli 2023.

b. Paraplyaftalen mellem EU og USA

Parlamentet var i henhold til godkendelsesproceduren involveret i godkendelsen af aftalen mellem USA og EU om beskyttelse af personoplysninger i forbindelse med forebyggelse, efterforskning, afsløring og retsforfølgning af strafbare handlinger, også kaldet "paraplyaftalen". Formålet med denne aftale er at sikre et højt niveau for beskyttelse af personoplysninger, som overføres inden for rammerne af det transatlantiske samarbejde til retshåndhævelsesformål, navnlig i forbindelse med bekæmpelse af terror og organiseret kriminalitet.

c. Aftaler om passagerlisteoplysninger (PNR-oplysninger) mellem EU og USA, EU og Australien og EU og Canada

EU har indgået bilaterale aftaler om passagerlisteoplysninger (PNR-oplysninger) med USA, Australien og Canada. PNR-oplysninger omfatter de oplysninger, som passagerer afgiver, når de bestiller eller tjekker ind i forbindelse med flyvninger, og data indsamlet af luftfartsselskaber til egen forretningsmæssig brug. PNR-oplysninger kan anvendes af de retshåndhævende myndigheder til at bekæmpe grov kriminalitet og terrorisme.

d. Programmet til sporing af finansiering af terrorisme (TFTP) mellem EU og USA

EU har indgået en bilateral aftale med USA om behandling og overførsel af finansielle betalingsdata fra EU til USA til brug for programmet til sporing af finansiering af terrorisme.

5. Håndtering af databeskyttelsesaspekter i sektorspecifikke beslutninger

Flere af Parlamentets beslutninger om forskellige politikområder omhandler også beskyttelse af personoplysninger for at sikre overensstemmelse med den generelle EU-databeskyttelseslovgivning og beskyttelsen af privatlivets fred i disse specifikke sektorer.

6. EU's tilsynsmyndigheder for databeskyttelse

Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) er en uafhængig tilsynsmyndighed, som sikrer, at EU-institutionerne og -organerne overholder deres forpligtelser vedrørende databeskyttelse. Hovedopgaverne for EDPS er overvågning, rådgivning og samarbejde.

Det Europæiske Databeskyttelsesråd, tidligere kendt som Artikel 29-Gruppen, er et EU-organ med status som juridisk person og har sit eget uafhængige sekretariat. Det Europæiske Databeskyttelsesråd samler EU's nationale tilsynsmyndigheder, EDPS og Kommissionen. Det Europæiske Databeskyttelsesråd har vidtrækkende beføjelser til at afgøre tvister mellem nationale tilsynsmyndigheder og give råd og vejledning om centrale begreber i GDPR og direktivet om databeskyttelse på retshåndhævelsesområdet.

Europa-Parlamentets rolle

Parlamentet har spillet en central rolle i udformningen af EU-lovgivningen inden for beskyttelse af personoplysninger ved at gøre beskyttelsen af privatlivets fred til en politisk prioritering. Desuden har det efter den almindelige lovgivningsprocedure arbejdet på databeskyttelsesreformen på lige fod med Rådet. I 2017 afsluttede det sit arbejde med den sidste væsentlige brik i puslespillet, nemlig den nye forordning om privatlivets fred og elektronisk kommunikation, og venter på, at Rådet endelig afslutter sit arbejde, således at der kan indledes interinstitutionelle forhandlinger.

I en lang række beslutninger har Parlamentet udtrykt tvivl om tilstrækkeligheden af den beskyttelse, der ydes EU-borgere i henhold til safe harbour-ordningen mellem EU og USA og senere EU's og USA's værn om privatlivets fred. Efter Schrems II-sagen førte til ugyldiggørelse af Kommissionens gennemførelsesafgørelse (EU) 2016/1250 om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af EU's og USA's værn om privatlivets fred, på grundlag af bekymring over, at den amerikanske regerings overvågningsbeføjelser ikke var begrænsede, som krævet i EU-retten, og at EU-borgerne ikke havde adgang til effektive retsmidler, vedtog Europa-Parlamentet en beslutning, hvori det beklagede, at Kommissionen havde favoriseret forbindelserne med USA frem for EU-borgernes interesser[6].

Efter indgivelsen af LIBE-udvalgets forslag den 11. maj 2023 vedtog Parlamentet en beslutning om tilstrækkeligheden af den beskyttelse, der ydes af databeskyttelsesrammen mellem EU og USA, hvori det konkluderede, at databeskyttelsesrammen mellem EU og USA ikke skaber et væsentligt beskyttelsesniveau, og opfordrede Kommissionen til at fortsætte forhandlingerne med sin amerikanske modpart, men til at afstå fra at vedtage tilstrækkelighedsvurderingen, indtil alle henstillingerne i beslutningen og Det Europæiske Databeskyttelsesråds udtalelse er gennemført fuldt ud. Kommissionen vedtog sin afgørelse om databeskyttelsesrammen mellem EU og USA den 10. juli 2023.

Europa-Parlamentet har oprettet et undersøgelsesudvalg til at efterforske brugen af Pegasus og tilsvarende overvågningsspyware i EU-medlemsstaterne (PEGA). PEGA-udvalget, hvis formand er Jeroen Lenaers, har grundigt efterforsket brugen af spyware til at overvåge oppositionsmedlemmer, journalister, advokater og civilsamfundsaktivister, samt hvordan disse metoder påvirker de demokratiske processer og individuelle rettigheder i EU. Under dets undersøgelse rådførte PEGA-udvalget sig med førende akademikere, fagfolk og myndigheder i EU og på verdensplan. Parlamentets Temaafdeling udarbejdede rapporter om PEGA's delegationsrejser til Polen, Grækenland og Cypern. PEGA-udvalget stemte den 8. maj 2023 for at godkende sin meget vigtige endelige betænkning med henstillinger om undersøgelsen af påståede overtrædelser og fejl og forsømmelser i gennemførelsen af EU-retten i forbindelse med anvendelsen af Pegasus og tilsvarende overvågningsspyware, som bl.a. omfatter en henstilling om at oprette et EU-teknologilaboratorium til forskning og overvågning af brugen af spyware mod EU-borgere. Parlamentets henstilling til Rådet og Kommissionen efter PEGA-rapporten blev vedtaget på plenarmødet den 15. juni 2023. Kommissionen reagerede imidlertid ikke rettidigt på henstillingen og blokerede pilotprojektet for EU Tech Lab, som MEP'erne havde foreslået.

Parlamentet har bestilt en række forskningsundersøgelser for at få et videnskabeligt grundlag for sine lovgivningsmæssige aktiviteter på forkant med den teknologiske udvikling og databeskyttelse, herunder en undersøgelse om indvirkningen af den generelle forordning om databeskyttelse (GDPR) på kunstig intelligens, en undersøgelse ombiometrisk genkendelse og adfærdsdetektion og en undersøgelse afmetaverset.

Dette faktablad er udarbejdet af Europa-Parlamentets Temaafdeling for Borgernes Rettigheder og Konstitutionelle Anliggender.

 

[1]Kommissionens meddelelse af 24. juni 2020 med titlen "Databeskyttelse som en hjørnesten i borgernes indflydelse og EU's tilgang til den digitale omstilling – to års anvendelse af den generelle forordning om databeskyttelse" (SWD(2020)0115).
[2]P. Vogiatzoglou et al., Assessment of the implementation of the Law Enforcement Directive, Europa-Parlamentet, Generaldirektoratet for Unionens Interne Politikker, Temaafdelingen for Borgernes Rettigheder og Konstitutionelle Anliggender, den 7. december 2022.
[3]G. Sartor et al., The impact of Pegasus on fundamental rights and democratic processes, Europa-Parlamentet, Generaldirektoratet for Unionens Interne Politikker, Temaafdelingen for Borgernes Rettigheder og Konstitutionelle Anliggender, januar 2023, s. 56.
[4]N. Vavoula et al., Advance Passenger Information (API) – An analysis of the European Commission’s proposals to reform the API legal framework, Europa-Parlamentet, Generaldirektoratet for Unionens Interne Politikker, Temaafdelingen for Borgernes Rettigheder og Konstitutionelle Anliggender, den 8. juni 2023.
[5]M. Maciejewski, Metaverse, Europa-Parlamentet, Generaldirektoratet for Unionens Interne Politikker, Temaafdelingen for Borgernes Rettigheder og Konstitutionelle Anliggender, den 26. juni 2023.
[6]Europa-Parlamentets beslutning af 20. maj 2021 om Domstolens dom af 16. juli 2020, Data Protection Commissioner mod Facebook Ireland Limited og Maximillian Schrems ("Schrems II"), sag C-311/18, punkt 28.

Mariusz Maciejewski