EU-note - 2011-12 - E 28: Nye regler for databeskyttelse i EU

SammenfatningKommissionen har fremlagt en lovpakke om databeskyttelse, som har tilformål at skabe balance mellem beskyttelse af EU-borgernes persondataog udnyttelsen af de nye digitale muligheder.Pakken omfatter dels et forslag, der regulerer behandlingen af personop-lysninger i den private og offentlige sektor, dels et forslag om behandlingaf personoplysninger hos politi og anklagemyndigheder.Det sidstnævnte forslag er omfattet af retsforbeholdet.Forslagene blev i 2011 udvalgt til nærhedstjek i overensstemmelse medEuropaudvalget beretning om nærhedskontrollenFolketinget skal have afsluttet sit nærhedstjek af forslaget senest den10. april 2012.

Europa-Kommissionen har den 25. januar 2012 fremlagt en lovpakke omdatabeskyttelse, som indeholder en meddelelse, en rapport samt to forslag tilhhv. forordning og et direktiv om databeskyttelse i EU.-Forordningsforslagetregulerer behandlingen af personoplysninger iden private og offentlige sektor. Forslaget sigter mod at regulere be-handlingen af internetbrugeres personoplysninger, for eksempel i for-1hold til nye digitale og sociale medier . Forslaget afløser det gælden-de databeskyttelsesdirektiv.Direktivforslagetregulerer den behandling af personoplysninger (op-lysninger om vidner, tiltalte mv.), som finder sted hos nationale politi-og anklagemyndigheder. Det kan f.eks. være i forbindelse med efter-2forskning af strafbare forhold og internationalt politisamarbejde .

Forslagene er blandt de lovgivningsforslag, som Folketingets Europaudvalg i2011 udvalgte fra Kommissionens arbejdsprogram for 2010 med henblik på atundersøge om de overholder nærhedsprincippet. Forslagene er valgt, fordi deer politisk væsentlige forslag på områder med delt kompetence mellem EU ogmedlemsstaterne.Folketinget har i alt 8 uger til at behandle forslagene fra de foreligger i allesprogversioner. Det betyder, at Folketinget skal have afsluttet sit nærhedstjekaf forslagenesenest den 10. april 2012.

Hvilke regler om databeskyttelse gælder i dag?Det gældende direktiv om beskyttelse af personoplysninger er fra 1995 , ogforfølger et dobbelt formål, nemlig på den ene side at beskytte borgernesgrundlæggende ret til databeskyttelse og på den anden side at garantere friudveksling af personoplysninger mellem EU-landene.På området for retlige og indre anliggender er direktivet blevet suppleret med4rammeafgørelse 2008/977/RIA , som er det generelle EU-instrumenttil beskyttelse af personoplysninger i forbindelse med politimæssigt og retligt3

KOM (2012) 11.KOM (2012) 10.3Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiskepersoner i forbindelse med behandling af personoplysninger og om fri udveksling af sådanneoplysninger.4Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplys-ninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager.

samarbejde i straffesager. Eftersom rammeafgørelsen er en mellemstatsligretsakt inden for RIA-samarbejdet er den også bindende for Danmark.Hvorfor er der behov for nye regler om databeskyttelse?Kommissionen anfører, at direktivet om databeskyttelse efterhånden har 17 årpå bagen og blev til i en tid, hvor internettet først lige var opfundet. Derforsikrer de eksisterende regler ifølge Kommissionen ikke den nødvendige gradaf harmonisering og den fornødne gennemslagskraft med henblik på at sikreborgernes ret til databeskyttelse.Samtidig vurderer Kommissionen, at en væsentlig årsag til, at mange borgereer tilbageholdende med at handle over internettet, er usikkerheden om, hvadder sker med deres persondata. Dermed er en meget central målsætning mednye regler om databeskyttelse at få gang i internethandlen på tværs af græn-serne. Derfor ønsker Kommissionen en grundlæggende reform af databe-skyttelsesreglerne.

Forslaget til forordning om behandling af personoplysninger i den private ogoffentlige sektor (den generelle forordning om databeskyttelse), skal afløsedet gældende databeskyttelsesdirektiv fra 1995. I forhold til den eksisterendelovgivning indeholder forordningen en række væsentlige ændringer.-Forordning afløser direktiv

Ved at lade direktivet afløse af en forordning vil den nye regulering finde di-rekte anvendelse i alle EU-lande kort efter vedtagelsen, da den ikke først skalgennemføres i EU-landenes lovgivning. Dermed bliver reguleringen i EU-landene også at mere ensartet, da forordninger sætter snævrere grænser formedlemsstaternes handlerum.-Borgerne skal sikres ”retten til at blive glemt” i onlinemiljøet

Kommissionen vil give borgere øgetkontrol over deres egne personoplys-ninger.I den forbindelse stiller forslaget krav om, at samtykke til virksomhe-ders brug af personoplysninger skal gives udtrykkeligt i form af en erklæringeller lign.Internetbrugerne skal have en reel ret til at blive glemt i onlinemiljøet. Derforlægger forslaget op til, at man som internetbruger skal kunne kræve, at éns

For at borgerne bedre kan udøve deres rettigheder lægger forslaget op til atstyrke de nationaledatabeskyttelsesmyndigheders uafhængighed ogbeføjelser.Dette skal give myndighederne de fornødne instrumenter til effek-tiv håndtering af klager og de rette beføjelser til at udføre effektive undersø-gelser, træffe bindende afgørelser og pålægge effektive og afskrækkendesanktioner.Kommissionen lægger også op til at styrke de administrative instrumenter ogretsmidler til brug i tilfælde af overtrædelse af databeskyttelsesrettighederne.Især skal ”kvalificerede foreninger” (interesseorganisationer) kunne indbringesager for domstolene på vegne af borgere.-Bedre datasikkerhed for at beskytte privatlivets fred

Forslaget lægger også op til at skærpe datasikkerheden ved at tilskynde tilbrug af teknologier, der kan forbedre beskyttelsen af privatlivets fred(dvs. teknologier, der beskytter private oplysninger ved at minimere opbeva-ringen af personoplysninger), herunder standardindstillinger, der begunstigerprivatlivets fred, og certificeringsordninger vedrørende privatlivets fredEndelig pålægges den registeransvarlige en generel pligt til inden for 24 timerat underrette både databeskyttelsesmyndighederne og de berørte borgere ombrud på datasikkerheden.

Forslaget lægger op til at øge registerføreres ansvar, især ved at kræve, at deregisteransvarlige udpeger en databeskyttelsesansvarlig i virksomheder medover 250 ansatte og i virksomheder, som er involveret i behandlingen, som pågrund af dens art, omfang eller formål indebærer særlige risici, hvad angårenkeltpersoners rettigheder og friheder ("risikobehæftet behandling").Der foreslås indført et princip om "Privacy by Design" (privatlivsbeskyttelseindbygget i it-arkitekturen) for at sikre, at der tages hensyn til databeskyttelsenallerede i planlægningsfasen til nye procedurer og systemer.-Bøder til virksomheder ved overtrædelse

Nærhedstjek af forordningsforslagetDet centrale spørgsmål, som Folketinget skal vurdere i forbindelse med sitnærhedstjek af forslaget til den generelle forordning om databeskyttelse måvære, om man i tilstrækkelig grad gennem national lovgivning vil kunne reali-sere forslagets mål om at beskytte personoplysninger gennem sikre ensartetkontrol med behandlingen af personoplysninger og ensartede sanktioner i allemedlemsstater samt et effektivt samarbejde mellem tilsynsmyndighederne ide forskellige lande. Eller om der på grund af forslagets omfang eller virknin-ger er behov for fælles EU-regler for at nå målene.-Kommissionens nærhedstjek af forslaget

Kommissionen begrunder bl.a. forordningsforslagets overholdelse af nær-hedsprincippet med, at retten til beskyttelse af personoplysninger er udtrykke-ligt fastsat i EU-charteret om grundlæggende rettigheder og forudsættersamme databeskyttelsesniveau i hele EU. Desuden videregives personoplys-ninger stadig hurtigere på tværs af nationale grænser, både interne og eks-terne. De praktiske udfordringer i forbindelse med håndhævelsen af lovgiv-ningen om databeskyttelse kræver således et samarbejde mellem landene ogderes myndigheder, som bør organiseres på EU-plan.

Endelig vil den foreslåede forordning være mere effektiv end tilsvarende nati-onal lovgivning.Frankrigs Senat: Forordningsforslag i strid med nærhedsprincippetDet franske senat vedtog den 4. marts 2012 en begrundet udtalelse om for-slaget til generel forordning om databeskyttelse.Senatet begrunder udtalelsen med, at forslaget overdrager alt for vide befø-jelser til Kommissionen til at vedtage delegerede retsakter. Disse bemyndigel-ser går ifølge senatet ud over, hvad Kommissionen ifølge traktaten kan be-myndiges til at vedtage delegerede retsakter om. Som eksempel nævnerSenatet muligheden for at vedtage delegerede retsakter om ”retten til at bliveglemt” (hvor Kommissionen bl.a. kan fastsætte kriterier og krav for anvendel-sen af denne ret i bestemte sektorer). Ifølge Senatet bør sådanne regler fast-sættes direkte af lovgiver (Parlamentet og Rådet). Andre regler bør – ifølgesenatet – overlades til de nationale kontrolmyndigheder.Endvidere er det franske Senat imod forslagets artikel 51. Denne bestemmel-se foreslår – for virksomheden etableret i flere EU-lande - at samle ansvaretfor at kontrollere den registeransvarliges aktiviteter hos tilsynsmyndigheden idet EU-land, hvor hovedvirksomheden er beliggende. Denne bestemmelseforhindrer de berørte borgere i at få deres klager behandlet af tilsynsmyndig-heden i det land de er bosiddende i.En række andre parlamenter og kamre – herunder franske Nationalforsamling– har været stærkt kritiske over for forslaget. To udvalg i tyske Forbundsråd eri færd med at behandle forslaget, og overvejer, om man skal vedtage en be-grundet udtalelse.

Kommissionens direktivforslag går ud på at fastlægge de generelle databe-skyttelsesprincipper for politimæssigt og retligt samarbejde i straffesager.Formålet med dette forslag er at højne beskyttelsesniveauet for personoplys-ninger i politi- og straffesager og lette udvekslingen af personoplysninger mel-lem EU-landenes myndigheder.-Mindstekrav til begrænsninger af regler om databeskyttelse

I den forbindelse lægger Kommissionen op til at fastsætte harmoniseredeminimumskriterier og -betingelser for eventuelle begrænsninger af de almin-delige regler om databeskyttelse. Dette drejer sig især borgeres ret til at bliveinformeret, når politi- og retsmyndigheder behandler eller har adgang til derespersonoplysninger. Disse begrænsninger er nødvendige af hensyn til en ef-fektiv forebyggelse, efterforskning, opdagelse eller retsforfølgning af straffe-lovsovertrædelserForslaget lægger også op til at indføre specifikke regler, som dækker rets-håndhævelsesaktiviteternes særlige karakter, herunder en sondring mellemforskellige kategorier af registrerede, hvis rettigheder kan variere (f.eks. vidnerog mistænkte).-Danmark står uden for direktivet

Nærhedstjek af direktivforslagetI forhold til direktivforslaget om databeskyttelse i politi- og straffesager vil Fol-ketinget i forbindelse med sit nærhedstjek skulle vurdere, om man i tilstrække-lig grad gennem national lovgivning vil kunne realisere forslagets formål om atsikre et ensartet og højt niveau for databeskyttelse ved at øge den gensidigetillid mellem politi- og retsmyndighederne i de forskellige lande og fremme friudveksling af data og samarbejde mellem politi- og retsmyndigheder. Eller omder på grund af forslagets omfang eller virkninger er behov for fælles EU-regler for at nå målene.-Kommissionens nærhedstjek af forslaget

Kommissionen begrunder bl.a. forslagets overholdelse af nærhedsprincippetmed, at retten til beskyttelse af personoplysninger er udtrykkeligt fastsat i EU-charteret om grundlæggende rettigheder og forudsætter samme beskyttel-sesniveau i hele EU. Endvidere videregives personoplysninger stadig hurtige-re på tværs af nationale grænser, både interne og eksterne. Der er desudenen række praktiske udfordringer i forbindelse med håndhævelsen af lovgiv-ningen om databeskyttelse og et behov for samarbejde mellem medlemssta-terne og deres myndigheder, som bør organiseres på EU-plan for at sikre enensartet anvendelse af EU-retten.Endelig er der et specifikt behov for at skabe en harmoniseret og sammen-hængende ramme, som muliggør nem udveksling af personoplysninger på

Afsluttende bemærkningerDet skal afslutningsvis bemærkes, at Folketinget også har mulighed for overfor Kommissionen – såvel inden for som efter 8-ugers fristen for nærhedskon-5trollen – at komme med bemærkninger til forslagets indhold.Det skal blot fremgå klart af Folketingets udtalelse, at Folketingets bemærk-ninger knytter sig til forslagets indhold og ikke til nærhedsprincippet.