Lagar & Förordningar

Lagar & Förordningar är en kostnadsfri rättsdatabas från Norstedts Juridik där alla Sveriges författningar och EU-rättsliga dokument finns samlade. Nu kan organisationer och företag prova den mer omfattande juridiska informationstjänsten JUNO - gratis i 14 dagar - läs mer om erbjudandet och vad du kan få tillgång till här.

Dokumentet som PDF i original:

52011XX0723(01).pdf

23.7.2011   

SV

Europeiska unionens officiella tidning

C 217/18


Yttrande från Europeiska datatillsynsmannen om kommissionens beslut 2011/141/EU om ändring av beslut 2007/76/EG om systemet för konsumentskyddssamarbete (CPCS) och om kommissionens rekommendation 2011/136/EU om riktlinjer för tillämpningen av reglerna för uppgiftsskydd i CPCS

2011/C 217/06

EUROPEISKA DATATILLSYNSMANNEN HAR AVGETT DETTA YTTRANDE

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 16,

med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna, särskilt artiklarna 7 och 8,

med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1),

med beaktande av begäran om ett yttrande i enlighet med artikel 28.2 i Europaparlamentets och rådets förordning (EG) nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (2).

HÄRIGENOM FRAMFÖRS FÖLJANDE.

I.   INLEDNING

1.

Den 1 mars 2011 antog Europeiska kommissionen ett beslut om ändring av kommissionens beslut 2007/76/EG beträffande CPCS (andra ändringen beträffande konsumentskyddssamarbetet) (3). Samma datum antog kommissionen också en rekommendation om riktlinjer för tillämpningen av reglerna för uppgiftsskydd i CPCS (riktlinjerna för uppgiftsskydd i konsumentskyddssamarbetet) (4). Båda handlingarna skickades till Europeiska datatillsynsmannen för samråd enligt artikel 28.2 i förordning (EG) nr 45/2001.

2.

CPCS är ett informationstekniksystem som har utvecklats och används av kommissionen i enlighet med förordning (EG) nr 2006/2004 om konsumentskyddssamarbete (förordningen om konsumentskyddssamarbete). CPCS underlättar samarbetet mellan ”behöriga myndigheter” i EU-medlemsstaterna och kommissionen inom konsumentskydd när det gäller överträdelse av en på förhand bestämd lista med EU-direktiv och EU-förordningar. För att omfattas av tillämpningsområdet för förordningen om konsumentskyddssamarbete ska överträdelserna ha gränsöverskridande karaktär och skada ”konsumenternas kollektiva intressen”.

3.

Inom ramen för samarbetet utbyter användarna av CPCS information och personuppgifter. Dessa personuppgifter kan avse direktörer eller anställda hos en handlare eller leverantör som misstänks för en överträdelse, handlaren eller leverantören själv (om denna är en enskild person) och tredje part såsom konsumenter eller klagande.

4.

Systemet är konstruerat för att vara såväl ett säkert kommunikationsverktyg mellan de behöriga myndigheterna som en databas. CPCS används av de behöriga myndigheterna för att begära information som hjälp för att undersöka ett fall (5) eller begära bistånd med tillsynsåtgärder (6) (”framställningar om ömsesidigt bistånd”). Dessutom kan behöriga myndigheter också skicka ett varningsmeddelande (”anmälan”) för att informera andra behöriga myndigheter och kommissionen om en överträdelse eller en misstänkt överträdelse. (7) CPCS innehåller dessutom ytterligare funktioner, bland annat ett anmälningssystem (8) och ett forum för utbyte av uppgifter som inte rör enskilda ärenden.

5.

I detta yttrande tar Europeiska datatillsynsmannen upp ett antal frågor som rör den rättsliga ramen för CPCS och inriktar sig i första hand på den nyligen antagna ändringen beträffande konsumentskyddssamarbetet. Europeiska datatillsynsmannen bedömer också de resultat som hittills har nåtts och belyser vissa återstående problem och frågor för framtiden. Han kommenterar också vissa bestämmelser i riktlinjerna för uppgiftsskydd i konsumentskyddssamarbetet.

6.

Parallellt med detta yttrande (som antas enligt artikel 28.2 i förordning (EG) nr 45/2001) avger Europeiska datatillsynsmannen också ett yttrande i samband med förhandskontroll vid utövandet av sina tillsynsbefogenheter (enligt artikel 27 i samma förordning) (yttrande i samband med förhandskontroll). Yttrandet i samband med förhandskontroll innehåller en mer ingående beskrivning av CPCS och behandlingen av personuppgifter i detta. I yttrandet i samband med förhandskontroll inriktar sig Europeiska datatillsynsmannen på rekommendationer om särskilda åtgärder som bör vidtas på praktisk, teknisk och organisatorisk nivå för att förbättra efterlevnaden av uppgiftsskyddet i CPCS. Med tanke på att riktlinjerna för uppgiftsskydd i konsumentskyddssamarbetet också har nära samband med dessa särskilda åtgärder kommenteras också utvalda bestämmelser i riktlinjerna i yttrandet i samband med förhandskontroll.

II.   RÄTTSLIG RAM FÖR CPCS

7.

Europeiska datatillsynsmannen välkomnar att CPCS har en väletablerad rättslig grund, i synnerhet en förordning som har antagits av rådet och parlamentet. Europeiska datatillsynsmannen välkomnar dessutom att den rättsliga grunden med tiden har kompletterats för att ge ytterligare information och behandla frågor om uppgiftsskydd. Europeiska datatillsynsmannen välkomnar särskilt att kommissionens beslut 2007/76/EG av den 22 december 2006 om tillämpning av förordningen om konsumentskyddssamarbete (beslutet om tillämpning av förordningen om konsumentskyddssamarbete) antagits och därefter ändrats ytterligare den 17 mars 2008 och nyligen den 1 mars 2011 genom andra ändringen beträffande konsumentskyddssamarbetet. Han välkomnar också att kommissionen antagit riktlinjerna för uppgiftsskydd i konsumentskyddssamarbetet och speciellt tagit upp uppgiftsskyddsfrågor.

8.

Även om Europeiska datatillsynsmannen beklagar att han inte rådfrågades när förordningen om konsumentskyddssamarbete och beslutet om tillämpning av förordningen om konsumentskyddssamarbete först antogs välkomnar han att kommissionen rådfrågade honom när de båda ändringarna av beslutet om tillämpningen av förordningen om konsumentskyddssamarbete antogs och beträffande riktlinjerna för uppgiftsskydd i konsumentskyddssamarbetet. Europeiska datatillsynsmannen välkomnar också att kommissionen tidigare också rådfrågade artikel 29-gruppen för skydd av personuppgifter (WP29), som den 21 september 2007 avgav sitt yttrande nr 6/2007 (WP 139). Slutligen välkomnar Europeiska datatillsynsmannen det faktum att hänvisningar görs till dessa samråd i skälen i riktlinjerna för uppgiftsskydd i konsumentskyddssamarbetet.

9.

Europeiska datatillsynsmannen konstaterar i) att kommissionen noga övervägt de rekommendationer som Europeiska datatillsynsmannen lämnat i tidigare informellt utbyte och rekommendationerna från artikel 29-gruppen för skydd av personuppgifter vilka uttrycktes i yttrande nr 6/2007 och ii) att många av dessa rekommendationer följts vid den fortsatta utvecklingen av den rättsliga ramen för CPCS och/eller på praktisk, teknisk och organisatorisk nivå. Hans kommentarer i detta yttrande och i yttrandet beträffande förhandskontroll bör också ses mot denna positiva bakgrund.

III.   UPPGIFTSSKYDDSFRÅGOR MED HÄNSYN TILL ANDRA ÄNDRINGEN BETRÄFFANDE KONSUMENTSKYDDSSAMARBETET

3.1   Lagring av personuppgifter i CPCS

3.1.1   Inledning

10.

Som en inledande anmärkning vill Europeiska datatillsynsmannen påpeka att frågan om avslutning av ärenden och lagringstider inte behandlats tillräckligt och ingående i förordningen om konsumentskyddssamarbete (9).

11.

I förordningen om konsumentskyddssamarbete finns faktiskt bara två uttryckliga regler för utplåning av uppgifter och ingen regel för avslutning av ärenden (10). För det första krävs det enligt förordningen att om en anmälan ”visar sig vara ogrundad” ska den behöriga myndigheten dra tillbaka den, och kommissionen ska utan dröjsmål utplåna informationen i databasen. För det andra krävs det enligt förordningen att när en behörig myndighet i enlighet med artikel 8.6 i förordningen om konsumentskyddssamarbete anmäler att en överträdelse har upphört ska de lagrade uppgifterna utplånas fem år efter anmälan.

12.

Syftet med fem års lagringstid anges inte i förordningen om konsumentskyddssamarbete, och det lämnas inga ytterligare uppgifter om hur och när det ska bedömas huruvida en anmälan ska anses vara ”ogrundad”. Det framgår dessutom inte av förordningen om konsumentskyddssamarbete hur länge informationen ska finnas kvar i databasen i ärenden som inte omfattas av de båda uttryckliga reglerna som nämnts ovan (i förordningen anges till exempel inte hur länge framställningar om ömsesidigt bistånd ska finnas kvar i databasen om de inte har lett till någon framgångsrik tillsynsåtgärd som skulle ha stoppat överträdelsen).

13.

Europeiska datatillsynsmannen välkomnar att man genom det ändrade beslutet om tillämpning av förordningen om konsumentskyddssamarbete och riktlinjerna för uppgiftsskydd i konsumentskyddssamarbetet försöker göra ytterligare klarlägganden. Europeiska datatillsynsmannen hyser ändå oro över flera aspekter beträffande reglerna för avslutning av ärenden och datalagring i CPCS, vilket diskuteras nedan i avsnitten 3.1.2 till 3.1.4.

14.

Europeiska datatillsynsmannen rekommenderar att dessa problem tas upp vid nästa översyn av den rättsliga ramen för CPCS genom en ytterligare ändring av beslutet om tillämpning av förordningen om konsumentskyddssamarbete, eller helst genom en ändring av själva förordningen om konsumentskyddssamarbete.

15.

Tills sådana rättsliga åtgärder blir möjliga rekommenderar Europeiska datatillsynsmannen att frågorna om lagringstider tas upp på praktisk, teknisk och organisatorisk nivå och att de också tydligt betonas i ”Consumer Protection Cooperation Network: Operating Guidelines” (närverket för konsumentskyddssamarbete: riktlinjer för verksamheten) som anges i avsnitt 3.1.2. nedan.

3.1.2   Avslutning av ärenden i rätt tid

16.

I andra ändringen beträffande konsumentskyddssamarbetet anges ingen tidpunkt då ett ärende med en framställning om ömsesidigt bistånd (begäran om upplysningar eller begäran om tillsynsåtgärder) måste avslutas.

17.

I yttrandet beträffande förhandskontroll konstaterar Europeiska datatillsynsmannen ett antal praktiska åtgärder som kommissionen för närvarande vidtar för att vilande ärenden säkert ska avslutas i rätt tid.

18.

I detta yttrande rekommenderar Europeiska datatillsynsmannen att tidsfrister fastställs för begäran om upplysningar och begäran om tillsynsåtgärder. Dessa bör anges i det rättsliga ramverket nästa gång det ses över. Tidsfristerna bör knytas både till typen av ärende och till den faktiska åtgärden. Samtidigt bör reglerna också vara flexibla, så att de behöriga myndigheterna kan förlänga behandlingen av ett ärende av synnerliga skäl, för att säkerställa att ärenden inte avslutas för tidigt även om ett komplext ärende tar längre tid än genomsnittet att avsluta.

19.

För att göra detta rekommenderar Europeiska datatillsynsmannen att man som utgångspunkt använder dokumentet ”Consumer Protection Cooperation Network: Operation Guidelines” som godkändes av kommittén för konsumentskyddssamarbete den 6 december 2010. I punkt 2.7 under rubriken ”phases and time-lines in a CPC case” i riktlinjerna för verksamheten diskuteras typiska fall, och det föreskrivs att begäran om upplysningar i normala ska behandlas inom en till tre månader. Begäran om tillsynsåtgärder ska enligt riktlinjerna för verksamheten i normala fall kunna behandlas inom sex till nio månader (utom i samband med förelägganden eller i samband med överklagande av förvaltningsbeslut, där ett år eller mer är mera realistiskt).

3.1.3   Anmälningar

20.

Genom andra ändringen beträffande konsumentskyddssamarbetet lades ett nytt stycke till i punkt 2.2.2 i bilagan till beslutet om tillämpning av förordningen om konsumentskyddssamarbete enligt vilket det krävs att ”motiverade” anmälningar ska avlägsnas från databasen fem år efter det att de gjorts (när det gäller anmälningar som ”saknar grund” krävdes det redan enligt de tidigare bestämmelserna att de skulle utplånas så snart som ”en anmälan visar sig vara ogrundad”).

21.

För att sätta in denna nya bestämmelse i ett sammanhang betonar Europeiska datatillsynsmannen att en av de frågor som han prioriterar är att se till att personuppgifter inte finns kvar längre än nödvändigt i CPCS-databasen. Detta är en känslig fråga särskilt när det gäller anmälningar (vilka har ett större antal mottagare än bilateralt utbyte) och, i fråga om anmälningar, särskilt när det gäller anmälningar som avser misstänkta överträdelser. Avsaknaden av en klar tidsgräns för oavslutade anmälningar innebär i praktiken att vissa anmälningar förblir oavslutade under orimligt lång tid (så länge som det inte tydligt styrkts att de är ogrundade). Sådana åtgärder som baseras på obekräftade misstankar skulle innebära ett avsevärt hot mot den grundläggande rätten till uppgiftsskydd och mot andra grundläggande rättigheter såsom principen om oskuldspresumtion.

22.

Mot denna bakgrund välkomnar Europeiska datatillsynsmannen att en lagringstid har fastställts för anmälningar. Europeiska datatillsynsmannen anser emellertid att kommissionen inte har lagt fram godtagbara motiveringar för att visa att en lagringstid på fem år skulle vara proportionell. Europeiska datatillsynsmannen rekommenderar att kommissionen gör en proportionalitetsbedömning och en ny bedömning av hur lång lagringstiden för anmälningar ska vara. I princip ska alla rapporterade anmälningar raderas mycket tidigare från databasen såvida inte en anmälan av en överträdelse eller en misstänkt överträdelse har lett till en framställning om ömsesidigt bistånd och den gränsöverskridande undersökningen eller tillsynsåtgärden fortfarande pågår. Lagringstiden ska vara tillräckligt lång för att var och en av de myndigheter som får meddelandet ska kunna avgöra huruvida den önskar genomföra ytterligare undersökningar eller tillsynsåtgärder och huruvida den önskar sända en framställning om ömsesidigt bistånd via CPCS. Den ska dock vara tillräckligt kort för att minimera risken för att anmälningarna missbrukas för svartlistning eller datautvinning.

23.

Mot den bakgrunden rekommenderar Europeiska datatillsynsmannen att kommissionen gör en översyn av den rättsliga ramen för att säkerställa att anmälningar utplånas senast sex månader efter det att de överförts till systemet, såvida inte en annan, lämpligare lagringstid kan motiveras.

24.

Detta bör i synnerhet bidra till att oskyldiga som misstänks inte ”svartlistas” eller ”förblir misstänkta” under onödigt lång tid i de fall då misstanken inte har bekräftats (eller utretts ytterligare), vilket inte skulle vara förenligt med artikel 6 e i direktiv 95/46/EG.

25.

Denna begränsning är också nödvändig för att säkerställa principen om uppgiftskvalitet (se artikel 6 d i direktiv 95/46/EG) och andra viktiga rättsliga principer. Detta leder inte bara till ett mer tillfredsställande skydd för enskilda individer, utan det gör det samtidigt också möjligt för tjänstemän som ansvarar för tillsyn att på ett effektivare sätt inrikta brottsbekämpningen på mer allvarliga fall.

3.1.4   Lagringstid för avslutade framställningar om ömsesidigt bistånd

26.

Genom andra ändringen beträffande konsumentskyddssamarbetet lades ett nytt stycke till i punkt 2.15 i bilagan till beslutet om tillämpning av förordningen enligt vilket krävs att ”övrig information i anslutning till en begäran om ömsesidigt bistånd enligt artikel 6 i [förordningen om konsumentskyddssamarbete] ska avlägsnas från databasen fem år efter det att ärendet har avslutats”.

27.

Enligt den befintliga texten och den ändrade punkten 2.15 ska allt informationsutbyte enligt artikel 6 lagras i fem år efter det att ärendet har avslutats med undantag av de fall

då felaktiga uppgifter har utplånats,

då informationsutbytet inte har lett till en anmälan eller en begäran om tillsynsåtgärder, eller

då det har fastställts att ingen överträdelse har ägt rum i den mening som avses i förordningen om konsumentskyddssamarbete.

28.

Såsom förklarats i yttrandet beträffande förhandskontroll har det visat sig att den ”normala” lagringstiden som tillämpas i CPCS efter det att ett ärende har avslutats (utom i särskilda undantagsfall) faktiskt är fem år både för begäran om upplysningar och begäran om tillsynsåtgärder.

29.

Texten i beslutet om tillämpning av förordningen om konsumentskyddssamarbete, vilken ändrats genom andra ändringen beträffande konsumentskyddssamarbetet, överensstämmer inte helt med förordningen om konsumentskyddssamarbete. I synnerhet görs det i artikel 10.2 i förordningen om konsumentskyddssamarbete åtskillnad mellan å ena sidan information som utbyts och som leder till en framgångsrik tillsynsåtgärd (det vill säga fall där överträdelsen har upphört till följd av de tillsynsåtgärder som har vidtagits) och å andra sidan information som inte har lett till någon framgångsrik tillsynsåtgärd. I det förra fallet föreskrivs en lagringstid på fem år efter det att ärendet har avslutats. För det senare fallet finns inga speciella bestämmelser (förutom att ogrundade anmälningar ska dras tillbaka och utplånas).

30.

Endast om tillsynsåtgärder har vidtagits och dessa lett till att överträdelsen har upphört krävs det med andra ord enligt förordningen om konsumentskyddssamarbete en lagringstid på fem år efter det att ärendet avslutats.

31.

Även om Europeiska datatillsynsmannen hyser tvivel beträffande syftet med och proportionaliteten i fråga om lagring av data i fem år efter det att ärendet har avslutats (se hans kommentarer i avsnitt 3.1.4 nedan) finns det ur uppgiftsskyddssynpunkt en viss logik i att åtskillnad görs mellan ärenden som resulterat i en framgångsrik tillsynsåtgärd och ärenden för vilka så inte är fallet. Speciellt om data lagras under lång tid i samband med enbart misstankar är det mer sannolikt att de är felaktiga och det finns också risk för att andra viktiga rättsliga principer åsidosätts. Man kan därför generellt hävda att det är mer sannolikt att lagring av sådana uppgifter under lång tid ger upphov till uppgiftsskyddsfrågor än lagring av uppgifter beträffande faktiska förseelser som har styrkts på ett tillfredsställande sätt och lett till en tillsynsåtgärd.

32.

Till skillnad från förordningen om konsumentskyddssamarbete tillåter det ändrade beslutet om tillämpning av förordningen om konsumentskyddssamarbete åtminstone i vissa fall att en lagringstid på fem år ska gälla också för information som inte lett till framgångsrika tillsynsåtgärder.

33.

Enligt beslutet om tillämpning av förordningen om konsumentskyddssamarbete ligger till exempel en begäran om information som lett till en anmälan, men inte till någon tillsynsåtgärd, kvar i systemet i fem år efter det att ”ärendet har avslutats”.

34.

Man har således något olika synsätt i förordningen om konsumentskyddssamarbete och i beslutet om tillämpning av förordningen om konsumentskyddssamarbete. Även om beslutet om tillämpning av förordningen om konsumentskyddssamarbete i viss mån avspeglar bestämmelserna i förordningen om konsumentskyddssamarbete inför det också ytterligare viktiga regler för lagringstid. Även om det i och för sig är välkommet att reglerna klargörs ifrågasätter Europeiska datatillsynsmannen huruvida det är lagligt att fastställa längre lagringstider i de fall då detta inte redan krävts i förordningen om konsumentskyddssamarbete. Härigenom skulle den grundläggande rätten till uppgiftsskydd inskränkas ytterligare genom att lagstiftning som står i strid med förordningen om konsumentskyddssamarbete och tillämpliga bestämmelser om uppgiftsskydd införs.

35.

Mot bakgrund av ovanstående rekommenderar Europeiska datatillsynsmannen att kommissionen ser över den rättsliga ramen och på nytt bedömer huruvida lagringstiden på fem år ska gälla för andra ärenden än de ärenden där en framgångsrik tillsynsåtgärd har vidtagits i enlighet med förordningen om konsumentskyddssamarbete.

36.

Europeiska datatillsynsmannen välkomnar dessutom att syftet med lagring av uppgifter efter det att ett ärende har avslutats anges i riktlinjerna för uppgiftsskydd, vilket är en viktig fråga som inte tas upp i förordningen om konsumentskyddssamarbete eller i andra ändringen beträffande konsumentskyddssamarbetet. I synnerhet anges det i riktlinjerna för uppgiftsskydd att ”under bevarandeperioden får godkända tjänstemän som ansvarar för tillsyn och arbetar vid en behörig myndighet som ursprungligen handlade ärendet läsa informationen för att se om det finns kopplingar till upprepade överträdelser, vilket bidrar till bättre och effektivare tillsyn” (11).

37.

Även om detta klarläggande är välkommet i avsaknad av ytterligare motivering av att denna åtkomst är nödvändig är Europeiska datatillsynsmannen dock inte övertygad om att detta syfte är proportionerligt och tillräckligt för att motivera en lagringstid på fem år. Europeiska datatillsynsmannen rekommenderar därför att kommissionen

ytterligare klargör vad som är syftet med fem års datalagringstid,

undersöker huruvida samma mål skulle kunna uppnås med en kortare lagringstid, och

undersöker huruvida all information som för närvarande föreskrivs behöver finnas kvar eller om en del av informationen skulle vara tillräcklig (det bör till exempel övervägas om det skulle vara tillräckligt att bara behålla anmälningar enligt artikel 8.6, och det bör också särskilt undersökas huruvida det är nödvändigt att ha kvar direktörernas namn eller bilagor som kan innehålla ytterligare personuppgifter; det bör också göras åtskillnad mellan uppgifter i samband med misstänkta överträdelser och i samband med ”styrkta” överträdelser).

3.2   Kommissionens tillgång till uppgifter i CPCS

38.

Europeiska datatillsynsmannen välkomnar att andra ändringen beträffande konsumentskyddssamarbetet (genom att en ny punkt 4.3 läggs till i bilagan till beslutet om tillämpning av förordningen om konsumentskyddssamarbete) klargör kommissionens tillgång till uppgifter i CPCS och att sådan tillgång klart och specifikt begränsas till vad som krävs enligt förordningen om konsumentskyddssamarbete. Europeiska datatillsynsmannen välkomnar i synnerhet att kommissionen inte har getts tillgång till sekretessbelagda meddelanden mellan behöriga myndigheter i medlemsstaterna, såsom framställningar om ömsesidigt bistånd.

39.

Klargörandet och begränsningen är särskilt viktiga med tanke på att oklarheter kan ha lett till en situation där kommissionen skulle ha kunnat få tillgång till information och personuppgifter som endast är avsedda för behöriga myndigheter i medlemsstaterna.

40.

Såsom redovisats i avsnitt 5 i riktlinjerna för uppgiftsskydd ”behöver kommissionen tillgång till informationen för att övervaka tillämpningen av förordningen om konsumentskyddssamarbete och den konsumentskyddslagstiftning som förtecknas i bilagan till förordningen om konsumentskyddssamarbete och för att sammanställa statistiska uppgifter i samband med utförandet av dessa åligganden”.

41.

Detta innebär inte att kommissionen ska ha tillgång till alla uppgifter som utbyts i CPCS mellan medlemsstaterna.

42.

Europeiska datatillsynsmannen vill faktiskt betona att tillgång till databaser som CPCS uppfyller definitionen av behandling av personuppgifter. Enligt artikel 5 a i direktiv (EG) nr 45/2001, som är tillämplig på kommissionens åtkomsträttigheter i CPCS, får institutionerna bara behandla personuppgifter om detta är nödvändigt för att utföra en arbetsuppgift av allmänt intresse och dessutom under förutsättning att behandlingen utförs på grundval av fördragen eller sekundärrätt.

43.

Dessa krav – som följer direkt av rätten till uppgiftsskydd enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna – tolkar Europeiska datatillsynsmannen så, att de innebär att kommissionen bara kan få tillgång till medlemsstaternas informationssystem om detta föreskrivs i särskilda bestämmelser som är baserade på en till fullo lämplig rättslig grund (i normala fall det ordinarie lagstiftningsförfarandet). Rättssäkerhet och öppenhet är de två värden som utgör grundvalen och som förklarar varför en speciell och säker rättslig grund för kommissionens tillgång till uppgifter är en särskilt viktig garanti för att enskildas grundläggande rättigheter säkerställs när det gäller uppgiftsskydd.

44.

Varken den allmänna kontrollrätt som kommissionen har som ”fördragets väktare” eller medlemsstaternas skyldighet att säkerställa lojalt samarbete är tillräckligt preciserade för att ge kommissionen tillgång till databaser med personuppgifter. Lojalt samarbete innebär att medlemsstaterna – under vissa villkor – ska lämna information till kommissionen när de ombeds göra detta eller när det krävs att de lämnar information enligt en viss bestämmelse. Det innebär emellertid inte att kommissionen ska ha tillgång till deras databaser.

45.

I detta sammanhang vill Europeiska datatillsynsmannen också betona att det enligt förordningen om konsumentskyddssamarbete inte är möjligt för kommissionen att få tillgång till information som finns i framställningar om ömsesidigt bistånd och begäran om tillsynsåtgärder. I artiklarna 6 och 8 i förordningen om konsumentskyddssamarbete anges bara den anmodade myndigheten, och inte kommissionen, som mottagare av uppgifterna.

3.3   Särskilda kategorier av uppgifter i CPCS

46.

Europeiska datatillsynsmannen välkomnar att det, genom andra ändringen beträffande konsumentskyddssamarbetet, i punkt 4.4 i bilagan till beslutet om tillämpning av förordningen om konsumentskyddssamarbete har lagts till en bestämmelse avseende behandling av särskilda kategorier av uppgifter i CPCS. Europeiska datatillsynsmannen välkomnar i synnerhet att bestämmelsen begränsar sådan behandling till de fall ”när det krävs” för att uppfylla skyldigheterna i förordningen om konsumentskyddssamarbete och att behandlingen av sådana uppgifter omfattas av det ytterligare villkoret att behandlingen ska vara ”tillåten enligt direktiv 95/46/EG”.

IV.   INBYGGDA SÄKERHETSMEKANISMER OCH ANSVARSSKYLDIGHET

47.

Efter att i del III ha diskuterat de särskilda frågor som har uppkommit genom andra ändringen beträffande konsumentskyddssamarbetet önskar Europeiska datatillsynsmannen i delarna IV till VI göra kommissionen uppmärksam på några andra punkter som bör övervägas för den fortsatta utvecklingen av den rättsliga ramen för CPCS.

4.1   Inbyggda säkerhetsmekanismer

48.

Europeiska datatillsynsmannen har under en tid uppmanat kommissionen och andra EU-institutioner att vidta tekniska och organisatoriska åtgärder där uppgiftsskydd och säkerhet integreras som en grundläggande del av konstruktionen och införandet av deras informationssystem (”säkerhetsmekanismer”) (12).

49.

Även om Europeiska datatillsynsmannen välkomnar och värdesätter att en del åtgärder har vidtagits i denna riktning rekommenderar han att kommissionen gör en ingående bedömning av vilka ytterligare säkerhetsmekanismer som skulle kunna integreras i CPCS-systemet. Bland annat bör om nödvändigt följande övervägas och införas:

lösningar i fråga om säkerhetsmekanismer för vägledning av användarna av systemet, så att de fattar ”lämpliga” beslut om uppgiftsskydd (se avsnitt 3.2 i yttrandet beträffande förhandskontroll),

åtgärder för att underlätta avslutning och utplåning av ärenden i rätt tid (idem, avsnitt 3.3),

förfaranden för att underlätta information och åtkomsträttigheter för registrerade personer (idem, avsnitt 3.5),

tydliga förfaranden för ändringar som utförs direkt på databasnivå, loggning av åtkomst, skälet för åtgärden och godkännande på lämplig nivå (idem, avsnitt 3.6), och

”krypterad” lagring av information i databasen så att IT-operatörer inte kan komma åt den (åtminstone för vissa uppgifter såsom sekretessbelagda bilagor) (idem, avsnitt 3.6).

4.2   Ansvarsskyldighet

50.

I enlighet med principen om ”ansvarsskyldighet” (13) rekommenderar Europeiska datatillsynsmannen dessutom att en tydlig ram för ansvarsskyldighet upprättas som säkerställer och styrker efterlevnaden av uppgiftsskyddet. Man bör

om nödvändigt anta och uppdatera en uppgiftsskyddspolicy för godkännande på högsta ledningsnivå inom GD Hälso- och konsumentfrågor. Denna uppgiftsskyddspolicy bör också innefatta en säkerhetsplan (se avsnitt 3.6 i yttrandet beträffande förhandskontroll) (14).

genomföra periodiskt återkommande granskningar för att bedöma om uppgiftsskyddspolicyn fortfarande är adekvat och efterlevs (inklusive granskning av säkerhetsplanen, idem, avsnitt 3.6),

(åtminstone till en del) offentliggöra resultatet av granskningarna för att lugna intressenterna när det gäller efterlevnaden av uppgiftsskyddet, och

anmäla överträdelser i fråga om personuppgifter och andra säkerhetsincidenter till kommissionens uppgiftsskyddsombud, berörda registrerade personer (och andra intressenter och myndigheter när det är lämpligt) (15).

V.   ÖVERFÖRING AV PERSONUPPGIFTER UTANFÖR EUROPEISKA UNIONEN

5.1   Bilaterala överenskommelser

51.

I artikel 14.2 i förordningen om konsumentskyddssamarbete föreskrivs att information som överförs i enlighet med förordningen om konsumentskyddssamarbete också kan överföras av en behörig myndighet till en myndighet i tredje land i enlighet med ett bilateralt biståndsavtal med tredjelandet förutsatt i) att den behöriga myndighet som ursprungligen överförde informationen har gett sitt medgivande och ii) att överföringen är i överensstämmelse med tillämplig EU-lagstiftning om uppgiftsskydd.

52.

I artiklarna 25 och 26 i direktiv 95/46/EG anges vissa ytterligare villkor för överföring till tredje land. Dessa villkor är avsedda att säkerställa att uppgifterna skyddas utomlands på lämpligt sätt. De innehåller dessutom ett antal undantag. Tillämpningen och tolkningen av dessa bestämmelser i direktiv 95/46/EG kan skilja sig åt från den ena medlemsstaten till den andra.

53.

Mot bakgrund av ovanstående kan Europeiska datatillsynsmannen godta säkerhetsåtgärderna i förordningen om konsumentskyddssamarbete, nämligen att överföring till tredje land både i) kräver medgivande från den behöriga myndighet som ursprungligen överförde informationen och ii) omfattas av tillämplig EU-lagstiftning om uppgiftsskydd.

54.

Europeiska datatillsynsmannen välkomnar också att det i riktlinjerna för uppgiftsskydd rekommenderas att det i alla bilaterala avtal om bistånd anges lämpliga säkerhetsåtgärder för uppgiftsskydd – såvida inte tredjelandet garanterar en lämplig skyddsnivå –, och avtalet ska också – när det krävs – anmälas till de berörda tillsynsmyndigheterna för uppgiftsskydd.

55.

De åtgärder som föreskrivs i förordningen om konsumentskyddssamarbete är ändå inte idealiska. Tillämpningen är komplex: när en behörig myndighet ska bestämma om den ska överföra information till ett tredje land har den inte bara att ta hänsyn till det egna landets bilaterala överenskommelser med tredjelandet, till det egna landetss uppgiftsskyddslagstiftning och till sin egen bedömning av huruvida det är lämpligt att uppgifterna överförs till tredjelandet i fråga enligt det egna landets uppgiftsskyddslagstiftning, utan myndigheten måste också ta hänsyn till om de andra berörda behöriga myndigheterna som bidragit till registret (och det kan finnas flera sådana) har gett sitt samtycke på grundval sin egen uppgiftsskyddslagstiftning.

56.

Ur uppgiftsskyddssynpunkt leder denna komplexitet till osäkerhet beträffande den registrerade personens rättigheter, och i synnerhet osäkerhet om och på vilka villkor hans eller hennes uppgifter överförs utomlands. De registrerade personerna åtnjuter inte heller största möjliga skydd av en väletablerad och harmoniserad europeisk uppgiftsskyddslagstiftning. Ur de behöriga myndigheternas synvinkel hindrar denna komplexitet dessutom samarbetet mellan de behöriga myndigheterna och utgör en administrativ börda.

57.

Mot bakgrund av ovanstående uppmuntrar Europeiska datatillsynsmannen därför att avtal som gäller hela EU sluts, i vilka tillräckliga säkerhetsåtgärder föreskrivs samtidigt som de också bidrar till att undvika att olika kriterier tillämpas och en ökad administrativ börda påläggs de behöriga myndigheterna till följd av av detta.

5.2   Avtal som gäller hela EU

58.

Utöver den möjlighet som anges i artikel 14 för bilateralt samarbete föreskrivs också i artikel 18 om internationella avtal i förordningen om ”konsumentskyddssamarbete att gemenskapen skall samarbeta med tredjeländer och med behöriga internationella organisationer” och att ”bestämmelserna om samarbete, bland annat när det gäller upprättandet av bestämmelser om ömsesidigt bistånd, kan fastställas i avtal mellan gemenskapen och berörda tredjeländer”.

59.

Av de skäl som har angetts i avsnitt 5.1 ovan stöder Europeiska datatillsynsmannen kommissionens initiativ att förhandla om och ingå avtal som gäller hela EU, med tillräckliga säkerhetsåtgärder för uppgiftsskydd och harmoniserade på EU-nivå, för att ersätta de befintliga bilaterala överenskommelserna.

60.

Hans stöd för sådana avtal som gäller hela EU är dock förenat med villkoret att kommissionen och EU-lagstiftarna åtar sig att säkerställa högsta möjliga skydd vid utbyte av personuppgifter med tredje land. Det måste noga övervägas vad internationella samarbetsavtal med tredjeländer innebär ur uppgiftsskyddssynpunkt, tydliga regler måste införas för utbytet och tillräckliga säkerhetsåtgärder för uppgiftsskydd måste införas, på grundval av samråd med Europeiska datatillsynsmannen och, när så är lämpligt, med nationella datatillsynsmyndigheter.

61.

Även om frågan om direkt tillgång till CPCS för myndigheter i tredje land inte tas upp speciellt i artikel 18 i förordningen om konsumentskyddssamarbete kan detta vara tekniskt möjligt. Europeiska datatillsynsmannen vill inte hindra att nya funktioner införs i CPCS, så att behöriga myndigheter i tredje land kan få strikt begränsad och selektiv tillgång via en specialkonstruerad mekanism (kommunikationskanal och gränssnitt). Genom detta skulle samarbetet faktiskt kunna bli mer effektivt.

62.

Sådan direkt åtkomst är ändå förenad med särskilda risker, och därför måste de följder det kan få för uppgiftsskyddet och nödvändiga tekniska och organisatoriska åtgärder och säkerhetsåtgärder undersökas speciellt. Alla sådana tekniska funktioner bör skapas enligt principerna om inbyggda säkerhetsmekanismer som skydd för den personliga integriteten (privacy by design). Säkerheten ska också ges klar prioritet. Slutligen bör Europeiska datatillsynsmannen rådfrågas liksom de nationella datatillsynsmyndigheterna när detta är lämpligt.

VI.   ”RÄTT TILL KONSUMENTDATASKYDD” OCH FÖRSTÄRKT SAMARBETE VIA CPCS MELLAN DATATILLSYNSMYNDIGHETERNA

63.

Under förutsättning att Europeiska datatillsynsmannens rekommendationer (även innefattande yttrandet beträffande förhandskontroll) följs är Europeiska datatillsynsmannen övertygad om att CPCS kan vara ett effektivt verktyg som främjar uppgiftsskyddet vid gränsöverskridande tillsynsåtgärder mot överträdelser av konsumenternas rättigheter på den internationella marknaden.

64.

I och med utvecklingen av e-handeln och konsumenternas ökade användning av elektroniska kommunikationsnät för olika produkter och tjänster kommer allt fler enskildas personuppgifter att behandlas när de agerar som konsumenter. Konsumenterna kan således också i allt större utsträckning råka ut för att deras rättigheter i fråga om uppgiftsskydd kränks. Datatillsynsmyndigheterna måste därför också samarbeta effektivt för att stoppa sådana kränkningar.

65.

Till de vanligaste fallen av kränkning av ”rätten till konsumentdataskydd” hör icke begärd kommersiell kommunikation (skräppost), identitetsstöld, illegal profilanalys, olaglig beteendestyrd annonsering och överträdelser i fråga om personuppgifter (överträdelser av säkerheten).

66.

Med tanke på att antalet gränsöverskridande ärenden förmodligen kommer att öka i informationssamhället uppmanar Europeiska datatillsynsmannen kommissionen att överväga möjliga lagstiftningsåtgärder för att skydda ”rätten till konsumentdataskydd” och för att förstärka det gränsöverskridande samarbetet mellan de behöriga myndigheterna, det vill säga datatillsyns- och konsumentskyddsmyndigheter.

67.

Samtidigt som också andra möjliga alternativ övervägs bör man i synnerhet noga överväga huruvida datatillsynsmyndigheter ska ges specialanpassad tillgång till CPCS, så att de kan samarbeta med varandra och med andra behöriga myndigheter som redan har tillgång till CPCS.

68.

Datatillsynsmyndigheternas åtkomst bör klart begränsas till det som är nödvändigt för att de ska kunna utföra sina arbetsuppgifter inom sina behörighetsområden och i enlighet med identifierade synergieffekter. Det ska naturligtvis också säkerställas att ramen för datatillsynsmyndigheternas medverkan utformas med hänsyn till deras oberoende.

VII.   SAMMANFATTNING

69.

Europeiska datatillsynsmannen välkomnar att CPCS har en rättslig grund enligt vilken också särskilda säkerhetsåtgärder för uppgiftsskydd föreskrivs. Beträffande eventuella återstående uppgiftsskyddsfrågor vill Europeiska datatillsynsmannen påpeka att de rekommendationer som sammanfattas nedan bör övervägas när den rättsliga ramen för CPCS ses över nästa gång.

70.

Under tiden kan ytterligare åtgärder som vidtas på praktisk, teknisk och organisatorisk nivå (vilka rekommenderas i yttrandet beträffande förhandskontroll) vara en tillfällig dellösning för att åtgärda dessa problem. I väntan på ändringar i lagstiftningen kan vissa ändringar också införas via riktlinjerna för verksamheten med CPCS.

71.

När det gäller lagringstiden rekommenderar Europeiska datatillsynsmannen i) att framställningar om ömsesidigt bistånd avslutas inom speciellt fastställda tidsgränser, ii) att anmälningar, såvida inte en undersökning eller tillsynsåtgärd pågår, dras tillbaka och utplånas inom sex månader efter det att de utsänts (såvida inte en lämpligare lagringstid kan motiveras), och iii) att kommissionen klargör och på nytt prövar syftet med att ha kvar alla uppgifter avseende avslutade ärenden i ytterligare fem år och huruvida detta är proportionerligt.

72.

Europeiska datatillsynsmannen välkomnar dessutom att kommissionens tillgång till uppgifter i CPCS klargörs genom andra ändringen beträffande konsumentskyddssamarbetet. Europeiska datatillsynsmannen välkomnar i synnerhet att kommissionen inte har tillgång till sekretessbelagda meddelanden mellan behöriga myndigheter i medlemsstaterna, såsom framställningar om ömsesidigt bistånd.

73.

Europeiska datatillsynsmannen välkomnar också att en bestämmelse avseende behandling av särskilda kategorier av uppgifter i CPCS infördes genom andra ändringen beträffande konsumentskyddssamarbetet.

74.

Som ytterligare punkter rekommenderar Europeiska datatillsynsmannen att kommissionen gör en ny bedömning av vilka ytterligare tekniska och organisatoriska åtgärder som bör vidtas för att säkerställa att personlig integritet och uppgiftsskydd ”byggs in” i systemarkitekturen för CPCS (”säkerhetsmekanismer”) och att det finns lämpliga kontroller, så att bestämmelserna om uppgiftsskydd efterlevs och att detta styrks (”ansvarsskyldighet”).

75.

Om ett avtal mellan Europeiska unionen och ett tredjeland som gäller i hela EU ska slutas med avseende på konsumentskyddssamarbetet måste dessutom följderna av sådana avtal övervägas noga. Klara regler måste införas för utbytet, och lämpliga säkerhetsåtgärder för uppgiftsskydd måste vidtas.

76.

Slutligen rekommenderar Europeiska datatillsynsmannen att kommissionen undersöker de eventuella synergieffekter som skulle uppkomma om datatillsynsmyndigheterna fick möjlighet att ansluta sig till användarna av CPCS för att samarbeta och bidra till att ”rätten till konsumentdataskydd” drivs igenom.

Utfärdat i Bryssel den 5 maj 2011.

Giovanni BUTTARELLI

Biträdande datatillsynsman


(1)  EGT L 281, 23.11.1995, s. 31.

(2)  EGT L 8, 12.1.2001, s. 1.

(3)  Kommissionens beslut av den 1 mars 2011 om ändring av beslut 2007/76/EG om tillämpning av Europaparlamentets och rådets förordning (EG) nr 2006/2004 om samarbete mellan de nationella tillsynsmyndigheter som ansvarar för konsumentskyddslagstiftningen vad gäller ömsesidigt bistånd (20011/141/EU) (EUT L 59, 4.3.2011, s. 63).

(4)  Kommissionens rekommendation av den 1 mars 2011; riktlinjer för tillämpningen av reglerna för uppgiftsskydd i systemet för konsumentskyddssamarbete (CPCS) (2011/136/EU) (EUT L 57, 2.3.2011, s. 44).

(5)  Se artikel 6 i förordningen om konsumentskyddssamarbete beträffande ”utbyte av information på begäran”.

(6)  Se artikel 8 i förordningen om konsumentskyddssamarbete beträffande ”begäran om tillsynsåtgärder”.

(7)  Se artikel 7 i förordningen om konsumentskyddssamarbete beträffande ”utbyte av information utan begäran” (eller, för enkelhetens skull, ”anmälan”).

(8)  Se artiklarna 7.2 och 8.6 i förordningen om konsumentskyddssamarbete.

(9)  Se även yttrande nr 6/2007 från artikel 29-gruppen (till vilket hänvisas i del II ovan).

(10)  Se artikel 10.2 i förordningen om konsumentskyddssamarbete.

(11)  Se avsnitt 8 i riktlinjerna, ”Mer vägledning; Varför är lagringstiden för uppgifter fastställd till fem år?” I riktlinjerna för uppgiftsskydd tilläggs också att ”syftet med lagringstiden är att underlätta samarbetet mellan de offentliga myndigheter som handhar tillsynen över de lagar som skyddar konsumenternas intressen när de handlägger överträdelser i EU, bidra till såväl den inre marknadens funktion som kvalitet och konsekvens vid kontroll av efterlevnaden av de lagar som skyddar konsumenternas intressen, övervaka skyddet av konsumenternas ekonomiska intressen samt bidra till att höja tillsynens kvalitet och konsekvens”.

(12)  Se avsnitt 7 i yttrandet från Europeiska datatillsynsmannen om kommissionens meddelande till Europaparlamentet, rådet , Europeiska ekonomiska och sociala kommittén och regionkommittén – ”Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen”- utfärdat den 14 januari 2011 (http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-01-14_Personal_Data_Protection_EN.pdf).

(13)  Idem.

(14)  Kommissionen bör också överväga att om nödvändigt genomföra åtminstone en partiell uppgiftsskydds- och integritetskonsekvensbedömning med inriktning på lagringstidens syfte och längd och villkoren för denna och eventuellt diskutera andra olösta problem som ännu inte har behandlats ingående.

(15)  Se avsnitt 6.3 i det ovan nämnda yttrandet från Europeiska datatillsynsmannen av den 14 januari 2011.