ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD

Transkript

1 ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD 11118/02/SV/slutlig WP 65 Arbetsdokument om svarta listor Antaget den 3 oktober 2002 Arbetsgruppen har inrättats genom artikel 29 i direktiv 95/46/EG. Arbetsgruppen är EU:s oberoende rådgivande instans för uppgiftsskydd och skydd för privatlivet. Dess arbetsuppgifter framgår av artikel 30 i direktiv 95/46/EG och artikel 14 i direktiv 97/66/EG. Gruppens sekretariat finns hos: Europeiska kommissionen, GD Inre marknaden, Direktorat E Fri rörlighet för information. Datasäkerhet. B-1049 Bryssel Belgien Kontor C100-6/136 Direktanknytning (32-2) , växel: , fax: (32-2) Internet:

2 SVARTA LISTOR ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER inrättad genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober , har antagit detta arbetsdokument med beaktande av artiklarna 29, 30.1 a och 30.3 i detta direktiv, och med beaktande av sin arbetsordning, särskilt artiklarna 12 och 14 i denna. Arbetsgruppen erinrar för det första om att den enskildes rätt till skydd för sina personuppgifter är en grundläggande rättighet som fastställs i artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna. Denna rättighet är även inskriven i Europeiska unionens stadga om de grundläggande rättigheterna och utvecklas närmare i direktiven 95/46/EG och 97/66/EG om skydd av personuppgifter. Den grundläggande rättigheten till skydd av personuppgifter är en fristående rättighet som är oberoende av rätten till privatliv eller rätten till kommunikationshemlighet. I praktiken utgör denna rättighet därmed både en startpunkt och en förnyelse för våra samhällen. Eftersom man måste göra den rätta avvägningen mellan denna och andra grundläggande rättigheter å ena sidan, och andra legitima allmänna och privata intressen med återverkningar för enskilda och det allmänna å den andra i kombination med de omfattande och betydelsefulla tekniska framsteg som vi nu bevittnar och som gör det möjligt att sprida, lagra och behandla ofantliga mängder information på kort tid och till en försumbar kostnad är det nödvändigt att behandla en mycket viktig aspekt på ställningen för ett stort antal medborgare i situationer som kan ge upphov till konflikter (nästan alla oönskade) i affärsmässiga, finansiella, yrkesmässiga eller privata förbindelser. Att föra in enskilda personer i databaser, så att de kan identifieras med en viss situation eller vissa fakta, utgör ett intrång. Detta fenomen blir allt vanligare och går för närvarande under benämningen svarta listor. Av flera anledningar är de svåra att definiera, för även om man bortser från svårigheten att göra en enhetlig bestämning av begreppet svarta listor och deras karaktär, måste man också beakta de skillnader som beror på olika lagar och skiljaktiga rättsliga och konstitutionella traditioner i varje medlemsstat 2. 1 Europeiska gemenskapernas officiella tidning L 281, , s. 31, finns tillgänglig på: 2 Det bör även påpekas att lagstiftning till skydd av personuppgifter även är tillämplig på juridiska personer i vissa medlemsstater. 2

3 Om vi ser mera allmänt på vad som skulle kunna vara en grundläggande definition kan man säga att en svart lista innebär att man samlar in och sprider specifika uppgifter om en specifik grupp av personer och som sammanställs enligt specifika kriterier, beroende på vilken sorts svart lista det handlar om. I allmänhet får detta ogynnsamma och menliga följder för de enskilda personer som förs upp på en sådan lista och kan diskriminera en grupp av personer genom att avstänga dem från en viss tjänst eller skada deras anseende. Varje åtgärd eller serie av åtgärder som rör personuppgifter, oavsett om de databehandlas eller inte, definieras som behandling av personuppgifter enligt direktiv 95/46/EG och omfattas således av de nationella bestämmelserna för genomförande av detta direktiv i respektive medlemsstat. För att dessa så kallade svarta listor skall anses lagliga måste de därför omfattas av de principer som gör att uppgiftsbehandling kan tillåtas enligt detta direktiv samt upprätthålla de rättigheter som detta ger medborgarna, såvida de inte faller under något av de undantag som anges i direktivet. Detta dokument har utarbetats på grundval av information som lämnats av tillsynsmyndigheterna i Europeiska unionens medlemsstater, efter internt samråd mellan ledamöterna av artikel 29-arbetsgruppen då man identifierade de viktigaste kategorierna eller slagen av svarta listor och deras mest utmärkande egenskaper. Samrådet visade att vissa slag av reglerade svarta listor är vanligt förekommande. Det rör sig om skuldsättnings- och brottsregister eller register för att förebygga bedrägerier och de har samtliga någon form av rättslig grund i det nationella regelverket. Det finns även andra slag av svarta listor, mindre vanliga än de ovannämnda, och de bestämmelser som reglerar dem är långt ifrån enhetliga. De viktigaste rör administrativa överträdelser, yrkesmässiga försummelser, anställningsregister eller register som innehåller uppgifter om visst individuellt uppträdande som i vissa sociala kretsar anses otillbörligt. Gäldenärsregister och soliditets- och kreditupplysningstjänster Detta slags register är kanske den svarta lista som har störst betydelse för många medborgare och finns i varje medlemsstat. Behandling av personuppgifter är i allmänhet det som ger upphov till det största antalet klagomål till europeiska tillsynsmyndigheter för dataskydd. Det första som bör sägas om dessa register är att varje medlemsstat har olika bestämmelser. I vissa fall ingår dessa i den lagstiftning som genomför direktiv 95/46/EG, medan de i andra återfinns i bestämmelserna för affärs- eller finanssektorn. Syftet med detta dokument är inte att fastställa eller bedöma om dessa register är lagliga, de har ju som sagt en rättslig grund i respektive medlemsstat, utan att försöka analysera hur bestämmelserna utnyttjas och hanteras i praktiken. Denna typ av register upprättas genom att enskilda företag samarbetar, i allmänhet genom ett centralt organ, för att samla kunduppgifter som har direkt och signifikant betydelse för affärsvillkor eller villkor för tjänster. De lagar som reglerar dessa förteckningar grundar sig på företagens behov av information som gör det möjligt för dem att göra en riskbedömning när de går med på att tillhandahålla en tjänst eller leverera varor på kredit och har således en stabiliserande och reglerande funktion på affärstransaktioner. 3

4 En tydlig åtskillnad bör göras mellan de register som betecknas som soliditets- och kreditupplysningar och de som skall tillhandahålla uppgifter om brott mot ekonomiska skyldigheter. De förstnämnda är till för att bedöma en persons ekonomiska och finansiella förmåga att ikläda sig ett framtida kreditåtagande. De senare lagrar uppgifter om uppfyllelse av eller brott mot tidigare ekonomiska skyldigheter i syfte att fastställa huruvida en enskild person eventuellt inte har uppfyllt tidigare åtaganden, vilket självfallet skulle vara förenat med en negativ värdering för framtida krediter. När det gäller register med positiva uppgifter om en persons betalningar (som är förbjudna i vissa medlemsstater, eftersom det faktum att en gäldenär uppfyller sina åtaganden inte utgör någon som helst risk för det finansiella systemets stabilitet och eftersom denna information i princip inte heller är nödvändig för att parterna skall kunna träffa avtal) bör gemensamma register med sådana uppgifter ha stöd i lagstiftning som medger detta (till exempel för att behöriga finansmyndigheter skall kunna bedöma den allmänna risk som finansföretag åtar sig) eller i den registrerades frivilliga, entydiga, specifika och informerade samtycke. Vi vill ändå nämna den typen av register här, för även om sådana positiva bakgrundsregister inte förs med någon avsikt att stämpla en viss grupp av människor till skillnad från svarta listor, skulle de, om de var vanligt förekommande, få samma effekt genom ett slags positiv diskriminering (alla som är med på listan är bra, alla som inte är med på listan är dåliga, eller åtminstone misstänkta). En åtskillnad bör även göras mellan två slag av register om brott mot ekonomiska skyldigheter: Det första är ett kreditregister, med uppgifter om en viss gäldenärs samtliga betalningar och har sin grund i borgenärens avtalsförhållande med gäldenären. Det andra är ett så kallat gemensamt register, vars registeransvarige är ett organ som tillhandahåller uppgifter om betalningsförmåga och kreditvärdighet, vilka kommer från borgenären. Dessa brukar kallas register över osäkra fordringar. Det vanliga är att flera organ (ibland inom en enda sektor, ibland täcker de ett större område) ingår ett avtal med ett tredje företag där de åtar sig att tillhandahålla uppgifter om kunder som försummar sina lånebetalningar till detta företag. Därefter införlivas dessa uppgifter i det gemensamma gäldenärsregistret, vilket den registeransvarige gör tillgängligt för avtalsparterna, så att de kan använda dem i sina i bedömningar av olika kreditmöjligheter. Detta slags register utgör en verklig svart lista över personer som någon gång har försummat sina tidigare ekonomiska åtaganden och är särskilt relevant eftersom det samlar, centraliserar och tillhandahåller uppgifter till de deltagande enheterna eller företagen. Det tillåtliga i att föra in uppgifter i ett sådant register måste grundas antingen på att det finns särskilda avtalsklausuler som bemyndigar borgenären att lämna ut uppgifter om utestående skulder till ett gemensamt register eller och detta är grundläggande på den registeransvariges berättigade intresse av uppgifter om att någon som ansöker om kredit har försummat att betala tillbaka ett tidigare lån. 4

5 Det är således detta berättigade intresse av det finansiella systemets skydd och stabilitet som motiverar att sådana uppgifter lämnas ut till tredje man. Detta förfaringssätt får dock allvarliga ogynnsamma effekter för den registrerade och måste användas utan att principerna i direktivet förloras ur sikte, och det måste finnas särskilda skyddsåtgärder för att trygga den registrerades legitima rättigheter. För en avvägning mellan dessa olika intressen måste spridning av uppgifter som kan ha ogynnsamma effekter för registrerade omfattas av en serie krav och skyddsåtgärder, som anges i direktivet och i medlemsstaternas lagstiftning. a) För det första måste principerna om uppgifternas kvalitet i direktivets artikel 6 följas. I grund och botten innebär detta att en viss förfallen skuld måste ha förblivit obetald och att den gäldenär som ansvarar för att uppfylla detta åtagande måste ha fått en betalningspåminnelse där han uppmanas betala. Uppgifterna i registret måste vara riktiga och aktuella. Därför är det högst relevant om en notering beträffande en specifik skuld finns kvar eller raderas när skulden har betalats. Man kan se en antydan till ett kriterium i kravet på att begränsa den tid under vilken negativa uppgifter får finnas kvar i dessa register, men det bör betonas att det inte finns någon enhällig åsikt om hur lång denna period bör vara och medlemsstaterna har också löst problemet på olika sätt. I några stater får noteringen inte finnas kvar när skulden har betalats, även om det sker för sent, medan andra stater tillåter att uppgifterna står kvar i registret under en maximiperiod, vars längd skiftar från ett land till ett annat 3. Trots dessa skillnader är det tydligt att principen om att uppgifterna skall hållas aktuella medför en förpliktelse att tydligt markera att skulden har betalats, även om noteringen om utebliven betalning finns kvar efter datum för full återbetalning. b) Eftersom registrerade personer inte själva meddelar att skulden skall föras in i det gemensamma registret, måste de förses med den information som avses i artikel 11 i direktivet så snart deras personuppgifter förs in i det gemensamma registret. För att dessa uppgifter skall vara riktiga måste alla rimliga åtgärder vidtas för att säkerställa att den registrerade blir underrättad. Denna underrättelse tryggar deras rätt att försvara sig och tjänar således till att undvika fel (till exempel när det gäller den registrerades identitet eller skulder som den registrerade inte betalar därför att han bestrider beloppet eller den tillhandahållna tjänsten). c) En annan aspekt av avgörande betydelse är nödvändigheten att garantera medborgarnas samtliga rättigheter att få tillgång till uppgifterna i dessa register och deras rätt att få dem rättade eller raderade om uppgifterna innehåller felaktigheter eller inte borde finnas med i registret. Att hindra eller neka dessa rättigheter (till exempel genom att skicka medborgare från den ena registeransvarige till den andre eller ge dem obegriplig information) är ett oacceptabelt bruk som hindrar nödvändig insyn i hanteringen av dessa register. När en medborgare underrättas om att hans personuppgifter förs in i ett register bör därför en enda kontaktperson utses som kan lämna all relevant information och bemöta registrerade personer som utövar sina rättigheter. 3 Ibland anges även en arkiveringstid i avtalet mellan borgenären och gäldenären, men den får inte överstiga denna maximiperiod. 5

6 d) En annan viktig aspekt av detta slags register gäller databehandlade beslut, som avses i artikel 15 i direktivet. Med tanke på det allmänna bruket av datorprogram för att bedöma enskildas kreditvärdighet ( kreditbedömning ) är det absolut nödvändigt att påminna om de skydd som anges i artikel 15. Dessa skyddsåtgärder stärker en persons rätt att inte bli föremål för sådana beslut på annat sätt än som föreskrivs i lagstiftningen, om inte beslutet fattades på begäran av den registrerade när denne ingick eller fullgjorde ett avtal, eller om det inte finns bestämmelser som gör det möjligt för honom att försvara sina berättigade intressen, till exempel möjligheten att göra sin uppfattning gällande. När det gäller den här typen av beslut bör det även erinras om att artikel 12 i direktivet fastställer medborgarnas rätt att få kännedom om den logik som används när uppgifter behandlas automatiskt för sådana beslut. Lagöverträdelser Enligt artikel 8.5 och 8.6 i direktiv 95/46/EG får behandling av uppgifter om lagöverträdelser eller brottmålsdomar 4 i allmänhet endast utföras under kontroll av en myndighet, om inte medlemsstaterna inför undantag. Dessa undantag måste dock innehålla tillfredsställande skyddsåtgärder så att de inte inverkar på medborgarnas grundläggande rättigheter och skall dessutom anmälas till Europeiska kommissionen. Att det är tillåtet att föra sådana register som innehåller uppgifter om lagöverträdelser har sin grund i myndigheternas förpliktelse att upprätthålla säkerhet och allmän ordning. Denna princip rättfärdigar utan tvivel sådana register, förutsatt att de begränsningar som anges i föregående stycke iakttas, enligt vad som föreskrivs i artikel 7 e i direktivet. De flesta medlemsstater har register med personuppgifter om lagöverträdelser som står under insyn av en myndighet. Trots detta har flera tillsynsmyndigheter upptäckt att sådana register skapas och hanteras privat i deras respektive länder. De har i huvudsak pekat på register som förs av stora snabbköp eller företag för uthyrning av fordon. När tillsynsmyndigheter har upptäckt fall av att personuppgifter om icke önskvärda kunder samlas in och behandlas av snabbköp, stormarknader eller varuhus, har de instruerat den registeransvarige att upphöra med denna verksamhet, eftersom det är otillåtet för privata företag att föra sådana register. Den här typen av registerhantering måste alltid uppfylla direktivets principer om uppgifternas kvalitet, särskilt att uppgifterna skall vara korrekta och aktuella. På samma sätt måste man lägga särskild vikt vid rätten till rutinmässig eller automatisk rättelse och radering av uppgifterna om en registrerad person, så snart den av lagen föreskrivna tiden 4 Artikel 8 i direktiv 95/46/EG: (...) 5. Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller om lämpliga skyddsåtgärder finns i nationell lag med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Ett fullständigt register över brottmålsdomar får dock föras endast under kontroll av en myndighet. Medlemsstaterna får föreskriva att uppgifter som rör administrativa sanktioner eller avgöranden i tvistemål också skall behandlas under kontroll av en myndighet. 6. De undantag från punkt 1 som anges i punkterna 4 och 5 skall anmälas till kommissionen. 6

7 har gått till ända. Man bör därför slå samman de olika mekanismer som gör detta möjligt, för att göra det enklare och snabbare, eftersom personuppgifter som finns kvar i register längre än tillåtet kan få menliga följder. Detta är av särskild betydelse när det gäller friande utslag, ansvarsbegränsning eller avslutande av konkurs. Det kan inte finnas någon mening med att behålla sådana uppgifter. Det bör påpekas att de flesta medlemsstater reglerar dessa frågor i respektive straffrätt, och att kriterierna för detta skiljer sig åt. En annan grundläggande punkt som måste beaktas gäller tillgång till information, det vill säga vilka personer eller institutioner som har rätt att få tillgång till uppgifterna i dessa register. Dessutom måste registrerade personer alltid ha rätt till tillgång till uppgifter om dem i ett register. Denna bestämmelse om tillgång kan ge upphov till tämligen komplicerade och problematiska situationer, till exempel om den registrerade söker arbete och en arbetsgivare som ett led i urvalsprocessen skulle kunna be den sökande att visa upp innehållet i ett intyg från ett straffregister utfärdat av registeransvarig myndighet, i de medlemsstater där detta är tillåtet. Den sökande skulle kunna få fram ett sådant intyg som kan innehålla uppgifter om eventuella brottmålsdomar eller andra säkerhetsåtgärder. Arbetsgivaren får således tillgång till innehållet i vissa uppgifter som inte är direkt rättsligt erkända. Detta hypotetiska fall skulle kunna bli än mer komplicerat i situationer som kan uppstå om arbetsgivaren använder sig av denna information i ett senare skede, eftersom det i princip inte strider mot bestämmelserna i artikel 8.5 i direktivet att bara ta del av de uppgifter som den sökande tillhandahåller under urvalsprocessen, medan varje form av manuell eller automatisk behandling av dessa uppgifter skulle kunna göra det. Bedrägeribekämpning I vissa sektorer av ekonomin, i första hand försäkringssektorn, kan bedrägeriförsök vara så vanliga och ha en sådan betydelse för företagens verksamhet att de har fått företag att inrätta källor för meddelande av uppgifter genom gemensamma register, som kan vara till hjälp för att bekämpa bedrägeriknep och därigenom sänka företagens driftskostnader. Gemensamma eller centraliserade register som matas med uppgifter från företagen 5 används för att tillkännage uppgifter om utbetalningar till kunder som misstänks för bedrägeri eller brott mot de gällande bestämmelserna för sektorn i fråga 6. 5 Se andra stycket i avsnittet om Gäldenärsregister och soliditets- och kreditupplysningstjänster. 6 I några länder centraliserar försäkringsföretag även uppgifter om kunder som anses utgöra särskilda risker, med hjälp av kriterier som antalet skador för en kund under en viss period, utan att alltid ta hänsyn till kundens ansvar för skadan. Försäkringsföretagens försvar är att ett sådant antal skador, även om kunden inte är ansvarig, kan anses utgöra en fingervisning om förmodat bedrägeri. Några dataskyddsmyndigheter har påpekat att vissa aspekter på denna sorts databehandling strider mot lagstiftningen om skydd av personuppgifter, försåvitt den nationella lagstiftningen inte innehåller rättsliga bestämmelser som anger tillräckliga garantier. 7

8 Med tanke på likheterna (centraliserade register, överföring av uppgifter från tredje man, spridning av uppgifter mellan parterna i systemet osv.) är både problemen och de skyddsåtgärder som bör införas liknande de som rör register om brott mot ekonomiska skyldigheter eller register över osäkra fordringar som granskades ovan 7. Den rättsliga ramen för dessa listor måste stämma överens med bestämmelserna om skydd av personuppgifter: utövande av rätten till tillgång, underrättelse till den registrerade att han förts in i registret 8, att uppgifterna bevaras under en period som står i rimlig proportion till de ändamål för vilka de samlas in och en skyldighet att radera uppgifter när de inte längre behövs för de ändamål för vilka de sammanställdes. En annan viktig fråga gäller vikten av att föreskriva mekanismer för att undvika fel när det gäller identifiering av enskilda personer som förs in i ett register (detta är särskilt relevant när det gäller registrerade med vanliga namn), införande av felaktiga skulder (till exempel skulder som är föremål för diskussioner med den registrerade) samt skuldbelopp och misstag vid uppdatering av dessa i händelse av senare betalning osv. 9 Varje fel av detta slag måste omedelbart rättas till så snart det upptäcks, vilket förutsätter att rigorösa kontrollinstrument inrättas. I de flesta länder är register av detta slag privata och när det gäller interna bestämmelser i de olika medlemsstaterna bör det påpekas att registrerade vanligtvis informeras så snart de har förts in i ett register, i enlighet med tillämpliga bestämmelser, även om den information som lämnas till den registrerade inte alltid är fullständig och det ibland kan vara svårt att utöva rätten till tillgång, på grund av de svårigheter den registrerade kan ställas inför. Andra kategorier av svarta listor Vi har kort gått igenom de kategorier av svarta listor som är vanligast förekommande och som är reglerade i medlemsstaterna, och om vilka det därför finns mest information. Det är dock minst lika viktigt att granska en annan typ av listor, som även om den hittills inte har varit så allmänt förekommande och reglerad, inte är mindre viktig med tanke på de oerhörda konsekvenser de kan få för de registrerade personernas liv. Register som förtjänar att framhållas i denna kategori är sådana som innehåller negativa uppgifter om anställda eller arbetssökande eller har att göra med hälsoproblem, socialt eller politiskt uppträdande och yrkesmässiga försummelser. Det rör sig bland annat om de svarta listor som bygger på insamling och spridning av uppgifter som omfattas av ett särskilt skydd, eftersom de har störst betydelse för de registrerades intressen, och det förefaller som att det vanligtvis är dessa som tillsynsmyndigheterna måste befatta sig med. 7 Principerna för tillåtlighet är likartade: att det finns ett allmänintresse att bekämpa bedrägerier, det finansiella systemets stabilitet, att reglera och skydda affärstransaktioner osv. eller att den registeransvarige har ett berättigat intresse, om inte den registrerades intressen eller rättigheter och friheter anses viktigare. 8 Ett sätt att undvika fel och problem skulle kunna vara att fastställa en rimlig period från det den registrerade underrättas tills dess uppgiften verkligen förs in i det gemensamma registret. Detta förfarande skulle även kunna tillämpas på register över brott mot ekonomiska skyldigheter. 9 Detta kan även tillämpas på de kategorier av svarta listor som analyseras i detta arbetsdokument, med hänsyn till de utmärkande egenskaperna för varje kategori. 8

9 Dessa listor regleras av direktiv 95/46/EG, artiklarna 8 10, 13 och I enlighet med direktivet förbjuder de flesta medlemsstaterna behandling av särskilda kategorier av personuppgifter utan den registrerades uttryckliga samtycke. Några stater medger behandling av detta slags uppgifter om det är tillåtet enligt lag eller om berättigade allmänna intressen eller affärsintressen står på spel 12, eftersom direktivet föreskriver att medlemsstater får besluta om andra undantag som ger grund för behandling av särskilt skyddade uppgifter under förutsättning av lämpliga skyddsåtgärder 13. På liknande sätt har några medlemsstater ett uttryckligt förbud i lagen för sammanställande av svarta listor över anställda. I några medlemsstater har domstolarna faktiskt förbjudit sammanställande av register med uppgifter om politiska åsikter, medlemskap i fackförening, etiska frågor eller uppgifter om anställdas hälsa. Det har hänt att domstolar har riktat kritik mot sådana register även då de, i de nämnda fallen, endast skulle skapas inom ett företag. 10 Artikel 8 i direktiv 95/46/EG: 1. Medlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening, samt uppgifter som rör hälsa och sexualliv. 2. Punkt 1 gäller inte om a) den registrerade har lämnat sitt uttryckliga samtycke till en sådan behandling, utom när det enligt medlemsstatens lagstiftning anges att förbudet i punkt 1 inte kan upphävas genom den registrerades samtycke, eller behandlingen är nödvändig för att fullgöra de skyldigheter och särskilda rättigheter som åligger den registeransvarige inom arbetsrätten, i den omfattning detta är tillåtet enligt en nationell lagstiftning som föreskriver lämpliga skyddsåtgärder, eller c) behandlingen är nödvändig för att skydda den registrerades eller någon annan persons grundläggande intressen när den registrerade är fysiskt eller rättsligt förhindrad att ge sitt samtycke, eller, [...]; 3. Punkt 1 gäller inte när behandlingen av uppgifterna är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- eller sjukvård eller när dessa uppgifter behandlas av någon som är yrkesmässigt verksam på hälso- och sjukvårdsområdet och som enligt nationell lagstiftning eller bestämmelser som antagits av behöriga nationella organ är underkastad tystnadsplikt eller av en annan person som är ålagd en liknande tystnadsplikt. 11 Artikel 15 i direktiv 95/46/EG: Databehandlade beslut 1. Medlemsstaterna skall ge varje person rätten att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom, exempelvis hans arbetsprestationer, kreditvärdighet, pålitlighet och uppträdande. 2. Om inte annat följer av övriga bestämmelser i detta direktiv skall medlemsstaterna föreskriva att en person får bli föremål för ett beslut av det slag som avses i punkt 1 om beslutet a) fattas som ett led i ingåendet eller fullgörandet av ett avtal, förutsatt att den registrerades begäran om ingående eller fullgörande av avtalet har bifallits eller att det vidtas lämpliga åtgärder för att skydda hans berättigade intressen, exempelvis möjligheten för honom att göra sin uppfattning gällande, eller b) tillåts i lagstiftning som innehåller bestämmelser till skydd för den registrerades berättigade intressen. 12 Se artikel 8.2 b i direktiv 95/46/EG. 13 Artikel 8.4 i direktiv 95/46/EG: Under förutsättning av lämpliga skyddsåtgärder och av hänsyn till ett viktigt allmänt intresse får medlemsstaterna antingen i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndigheten besluta om andra undantag än de som nämns i punkt 2. 9

10 När det gäller svarta listor som innehåller något annat slag av särskilt skyddade uppgifter, till exempel hälsouppgifter, bör det påpekas att register av detta slag i huvudsak sammanställs i samband med livförsäkringar som erbjuds av företag inom den sektorn. I avsaknad av rättsliga bestämmelser om lämpliga skyddsåtgärder får dessa register endast sammanställas med den registrerades frivilliga, specifika, uttryckliga och väl underbyggda samtycke, vilket han har rätt att återkalla. Även då måste man emellertid ta hänsyn till artikel 6 i direktivet och särskilt att dessa register måste stå i proportion till ändamålet. Det är även nödvändigt att fastställa att det inte finns särskilda bestämmelser i den berörda medlemsstaten som förbjuder detta bruk även när den registrerade har lämnat sitt samtycke. Man bör komma ihåg de begränsningar för databehandlade beslut som föreskrivs i artikel 15 i direktiv 95/46/EG. Ett specifikt exempel på åtgärder som vidtagits med avseende på detta slag av svarta listor är att nationella tillsynsmyndigheter har klandrat gemensamma register, centraliserade av en sammanslutning av försäkringsföretag, som innehöll uppgifter om personer som vägrats teckna livförsäkring på grund av deras hälsoproblem. Tillsynsmyndigheten förordnade att dessa måste raderas eller göras tillåtliga enligt direktivet, eftersom man inte ansåg det tillräckligt att dessa uppgifter skulle vara tillgängliga för respektive företag som hade livförsäkringsavtal med registrerade för vilka avtalsförhållandets karaktär skulle kunna utgöra giltigt skäl för att inneha dessa uppgifter. Svarta listor som innehåller särskilt skyddade uppgifter om vissa aktiviteter med sociala eller politiska återverkningar är endast tillåtna, och existerar faktiskt även i några medlemsstater (förteckningar eller offentliga register över personer vars uppträdande anses farligt), om de rättsliga bestämmelserna för att sammanställa dem även anger skyddsåtgärder och begränsningar för tillgång till uppgifterna. Trots att det råder bred enighet bland tillsynsmyndigheterna om att dessa förteckningar inte är lagenliga, anser några medlemsstater på ett liknande sätt att det finns konflikter mellan rätten till privatliv för de enskilda som figurerar i dessa register och yttrandefriheten för dem som tillhandahåller dessa register. Domstolar har anslutit sig till den senare ståndpunkten i ett antal specifika fall i några medlemsstater och ogillat den i andra. Avsikten med detta dokument är inte att analysera rättsliga beslut eller utfärda ett kategoriskt utslag om hur avvägningen mellan dessa rättigheter bör göras, men det är nödvändigt att erinra om att yttrandefriheten även om den i mycket speciella fall och i kraft av rättsliga och konstitutionella traditioner ges en mycket vid tolkning inte utgör något hinder för att respektera principerna om räckvidd, proportionalitet, aktuella uppgifter samt rätten att få tillgång till uppgifter och att få dem rättade och raderade. Om detta förvägras kommer tillsynsmyndigheterna med all säkerhet att yttra sig. 10

11 SLUTSATSER OCH REKOMMENDATIONER Som sägs i inledningen syftar detta arbetsdokument till att belysa fenomenet med svarta listor inom Europeiska unionen genom att beskriva den befintliga situationen mot bakgrund av den information som lämnats av tillsynsmyndigheterna i Europeiska unionens medlemsstater, efter internt samråd bland ledamöterna av artikel 29- arbetsgruppen. Denna analys leder fram till två grundläggande slutsatser: detta slag av gemensamma register förekommer och har menliga följder och konsekvenser för enskildas privata (och samhälleliga) liv; det finns tydliga skillnader i regleringen och användningen av sådana register i medlemsstaterna. I stort sett är det därför viktigt att betona argumenten för enhetliga, harmoniserade kriterier 14 för den behandling av personuppgifter som kallas för svarta listor, kriterier som föreskriver garantier för att registrerade kan utöva de rättigheter som erkänns i bestämmelserna till skydd för privatliv och personuppgifter. Mot bakgrund av detta dokument är en sådan harmonisering särskilt relevant med avseende på följande frågor. Det är viktigt att fastställa mekanismer som tydligt och öppet definierar det slag av personuppgifter som troligen kommer att behandlas, ändamålet för vilket de behandlas och skyddsåtgärder för de registrerade (dvs. att inrätta kontrollsystem för de uppgifter som behandlas) och de omständigheter och förhandsvillkor som gör sådana register tillåtliga. Detta bör åstadkommas inom ramen för de principer i artikel 7 i direktiv 95/46/EG som gör att uppgiftsbehandling kan tillåtas. Det är också av grundläggande betydelse att uppgifterna uppdateras 15. Det skulle vara mycket användbart att försöka definiera generella parametrar för en standardisering av de tidsperioder under vilka uppgifter i registren får bevaras eller spärras. Bristen på insyn när det gäller direktivets princip om uppgifternas kvalitet kan innebära att de registrerade lämnas helt utan skydd eftersom det saknas mekanismer som kan gottgöra den orsakade skadan (dvs. om uppgifter överförs till tredje man utan den registrerades vetskap). En insats för att uppnå största möjliga harmonisering i denna fråga skulle vara ett steg på vägen för att avskaffa de skiljaktiga kriterier som för närvarande finns i de flesta medlemsstater, och underlätta arbetet för ekonomiska aktörer inom ramen för konkurrenslagstiftningen, i linje med skäl 7 i direktiv 95/46/EG Inom ramen för direktiv 95/46/EG och respektive nationella lagstiftning. Artikel 6.1 d i direktiv 95/46/EG: Principer om uppgifternas kvalitet: 1. Medlemsstaterna skall föreskriva att personuppgifter [...] skall vara riktiga och, om nödvändigt, aktuella. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga eller ofullständiga i förhållande till de ändamål för vilka de samlades in eller för vilka de senare behandlas, utplånas eller rättas, Se Gäldenärsregister och soliditets- och kreditupplysningstjänster ovan. 16 Skillnaden i skyddsnivå mellan medlemsstater vad gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans. Denna skillnad kan därför utgöra ett hinder för att utöva en rad ekonomiska aktiviteter på gemenskapsnivå, snedvrida konkurrensen och 11

12 En annan viktig aspekt är rätten för registrerade att bli informerade om behandling av deras personuppgifter. Brott mot denna väsentliga princip lämnar medborgarna i en utsatt situation, då de själva inte känner till att deras personuppgifter har förts in på en svart lista eftersom uppgifterna samlats in från en annan källa, vilket hindrar dem att effektivt utöva rätten till tillgång, rätten att erhålla rättelse, rätten att få uppgifter raderade och rätten att göra invändningar 17. Vederbörlig reglering av förfarandet för att underrätta registrerade är av avgörande betydelse, bland annat kriterier för att information skall lämnas i god tid och på lämpligt sätt och ett tydligt meddelande om vilka förutsättningar som gäller för spridning av uppgifter till tredje man 18. Man skulle även kunna föreskriva mekanismer som inkluderar information som lämnas till den registrerade när han nekas en viss tjänst och eventuella bestämmelser om senare kontroller av den registrerade (inom ramen för de skyddsåtgärder som avses ovan). Direktivet erkänner faktiskt den registrerades rätt att inte bli föremål för ett beslut som har rättsliga följder för honom eller som märkbart påverkar honom och som enbart grundas på automatisk behandling av uppgifter som är avsedda att bedöma vissa personliga egenskaper hos honom 19. Det finns även skäl för att bedöma argumenten för att inrätta mekanismer som gör det möjligt för den registrerade att ingripa och, om han kan anföra giltiga skäl i en tvist, kräva att lämplig information som intygar hans ståndpunkt förs in i registret. hindra myndigheterna att fullgöra de skyldigheter som åligger dem enligt gemenskapsrätten. Denna skillnad i skyddsnivå beror på olikheter i nationella lagar och andra författningar Artikel 11 i direktiv 95/46/EG: Information när uppgifterna inte har samlats in från den registrerade 1. Om uppgifterna inte har samlats in från den registrerade, skall medlemsstaterna föreskriva att den registeransvarige eller hans företrädare vid tiden för registreringen av personuppgifter eller, om utlämnande till en tredje man kan förutses, inte senare än vid den tidpunkt då uppgifterna först lämnas ut, skall ge den registrerade åtminstone följande information, utom när den registrerade redan känner till informationen: a) Den registeransvariges och dennes eventuella företrädares identitet. b) Ändamålen med behandlingen. c) All ytterligare information, exempelvis de kategorier av uppgifter som behandlingen gäller, mottagarna eller de kategorier som mottar uppgifterna, förekomsten av rättigheter att få tillgång till och att erhålla rättelse av de uppgifter som rör honom, i den utsträckning som den ytterligare informationen med hänsyn till de särskilda omständigheter under vilka uppgifterna samlas in är nödvändig för att tillförsäkra den registrerade en korrekt behandling. 2. Bestämmelserna i punkt 1 skall inte gälla när det särskilt i samband med behandling för statistiska ändamål eller historiska eller vetenskapliga forskningsändamål visar sig omöjligt eller innebära en oproportionerligt stor ansträngning att ge information eller om registrering eller utlämnande uttryckligen föreskrivs i författning. I sådana fall skall medlemsstaterna föreskriva lämpliga skyddsåtgärder. Se detta dokument beträffande Gäldenärsregister och soliditets- och kreditupplysningstjänster. Man bör komma ihåg de fall då uppgifterna har samlats in från den registrerade. Se artikel 11.1 i direktiv 95/46/EG Information när uppgifterna inte har samlats in från den registrerade. Artikel 15 i direktiv 95/46/EG Databehandlade beslut. 12

13 En annan nyckelfråga när det gäller gemensamma och delade centraliserade register är registeransvarigas förpliktelse att införa och genomföra lämpliga tekniska och organisatoriska säkerhetsåtgärder och villkoren för tillgång till sådana register 20. Såsom anförts, och mot bakgrund av att de register med svarta listor som finns i vissa bestämda sektorer som tillhandahåller viktiga tjänster (som finanssektorn och telekommunikationssektorn) berör ett större antal medborgare, önskar därför arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter öka medvetenheten i gemenskapens samtliga institutioner om hur viktigt det är att gå vidare i den riktning som anges i slutsatserna och framhålla behovet av gemensamma kriterier, riktlinjer eller handlingslinjer på detta område, inom ramen för och i enlighet med direktiv 95/46/EG och medlemsstaternas lagar. Utfärdat i Bryssel den 3 oktober 2002 På arbetsgruppens vägnar Ordförande Stefano Rodota 20 Artikel 17 i direktiv 95/46/EG Säkerhet vid behandling. 13