ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE
|
|
- Jens Nygaard
- 6 år siden
- Visninger:
Transkript
1 ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00066/10/DA WP 175 Udtalelse nr. 5/2010 om industriens forslag til en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse i forbindelse med RFID-anvendelser Vedtaget den 13. juli 2010 Gruppen, der er nedsat under artikel 29 i direktiv 95/46/EF, er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred, hvis opgaver er fastsat i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Gruppens sekretariat varetages af Europa-Kommissionens Direktorat C (Grundlæggende rettigheder og Unionsborgerskab) under Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed (1049 Bruxelles, Belgien, kontor nr. LX-46 01/190). Websted:
2 Indholdsfortegnelse 1 Baggrund Indledning RFID og databeskyttelse Målsætningerne for rammen for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse Resumé af den foreslåede ramme Analyse Risikovurdering RFID-brikker, som bæres af personer RFID i detailsektoren Supplerende bemærkninger Konklusion
3 1 Baggrund 1.1 Indledning Den 12. maj 2010 kom Europa-Kommissionen med en henstilling om gennemførelse af principperne om beskyttelse af personoplysninger og privatlivets fred i forbindelse med anvendelse af radiofrekvensbaseret identifikation 1. Det fremgår af punkt 4 i denne henstilling, at "medlemsstaterne bør sikre, at erhvervslivet i samarbejde med relevante parter fra civilsamfundet opstiller en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse. Denne ramme bør forelægges for Artikel 29-Gruppen vedrørende Beskyttelse af Personoplysninger til godkendelse senest 12 måneder efter denne henstillings offentliggørelse i Den Europæiske Unions Tidende" (understregning tilføjet). Når denne ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse er opstillet, bør medlemsstaterne ifølge henstillingen sikre, at RFID-operatører gennemfører en konsekvensvurdering vedrørende privatlivs- og databeskyttelse i forbindelse med RFID-anvendelser, inden anvendelserne indføres. Medlemsstaterne bør også sikre, at RFID-operatørerne stiller konsekvensvurderingen til rådighed for den kompetente myndighed (dvs. databeskyttelsesmyndigheden (DPA)). I juli 2009 påbegyndte en uformel "RFID-arbejdsgruppe" ledet af repræsentanter for industrien arbejdet med at opstille en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse og afholdt i den forbindelse regelmæssige møder med interessenter, herunder forbrugersammenslutninger, standardiseringsorganer og universitetsforskere. Den 31. marts 2010 fremsatte repræsentanterne for industrien et forslag til en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse for Artikel 29-gruppen med henblik på godkendelse. Denne udtalelse er gruppens formelle reaktion på forslaget. I det følgende henviser "RFID-henstillingen" til Europa-Kommissionens henstilling af 12. maj 2009 om gennemførelse af principperne om beskyttelse af personoplysninger og privatlivets fred i forbindelse med anvendelse af radiofrekvensbaseret identifikation. "Den foreslåede ramme " eller blot "rammen" henviser til den ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse i forbindelse med RFID-anvendelse, som blev forelagt Artikel 29-gruppen den 31. marts 2010, og som er vedlagt som bilag til denne udtalelse. 1.2 RFID og databeskyttelse Gruppen vedtog i januar 2005 et arbejdsdokument 2 om databeskyttelsesspørgsmål i forbindelse med RFID-teknologi (WP 105). I dokumentet anerkendes de åbenlyse fordele ved RFID-teknologi, men samtidig fremhæves nogle potentielle bekymringer for databeskyttelsen, som navnlig skyldes erhvervslivets og statens mulighed for at anvende RFID-teknologi til at snage i enkeltpersoners privatliv
4 Det bemærkes i dokumentet, at muligheden for i al hemmelighed at indsamle forskellige oplysninger om en bestemt person, spore enkeltpersoner, når de færdes på offentlige steder (lufthavne, togstationer og forretninger), forbedre forbrugerprofiler ved at overvåge forbrugernes adfærd i forretninger, aflæse detaljer om tøj og tilbehør, som kunderne bærer, og om medicin, som de har på sig, alt sammen er eksempler på anvendelser af RFID-teknologi, som giver anledning til bekymring for beskyttelsen af privatlivets fred. Arbejdsdokumentet blev efterfølgende sendt i offentlig høring. Resultatet af høringen blev sammenfattet i et dokument (WP 111) 3, som Artikel 29-gruppen offentliggjorde i september Resultatet viste, at de fleste universiteter, tænketanke, enkeltpersoner og virksomheder, der leverer sikkerhedsløsninger, antydede, at der er et behov for en form for ekstra vejledning fra Artikel 29-gruppens side, og nogle forslog at indarbejde specifikke bestemmelser om RFID i databeskyttelsesdirektivet. Industrien var derimod tilhænger af selvregulering. I lyset heraf og i samråd med interessenter, herunder repræsentanter for RFID-industrien og databeskyttelses- og forbrugerrettighedsorganisationer, tog Europa-Kommissionen initiativ til at udarbejde en henstilling 4 om gennemførelse af principperne om beskyttelse af personoplysninger og privatlivets fred i forbindelse med anvendelse af radiofrekvensbaseret identifikation, som har til formål at opstille "retningslinjer for medlemsstaterne for, hvordan RFID-anvendelser udformes og anvendes på en lovlig samt etisk og socialt acceptabel måde, med respekt for retten til privatlivets fred og garanti for, at personoplysninger beskyttes". Denne henstilling, som blev offentliggjort i maj 2009, indeholder et effektivt nyt tiltag, nemlig et krav om, at RFID-operatører skal gennemføre en "konsekvensvurdering vedrørende privatlivs- og databeskyttelse", inden en RFID-anvendelse indføres, og stille resultaterne af konsekvensvurderingen til rådighed for den kompetente myndighed. Denne nye tilgang, som er et supplement til de eksisterende bestemmelser i databeskyttelsesdirektivet og e-databeskyttelsesdirektivet, giver industrien mulighed for at vise, at selvregulering kan anvendes som et fleksibelt og effektivt ekstra værktøj ved siden af EUlovgivningen i forbindelse med den hurtige teknologiske udvikling. Gruppen er tilhænger af 5 at gennemføre konsekvensvurderinger vedrørende privatlivs- og databeskyttelse, navnlig i forbindelse med bestemte former for databehandling, som anses for at indebære særlige risici for de registreredes rettigheder og friheder. Den mener også, at denne tilgangs succes eller fiasko sandsynligvis enten vil bane vejen for anvendelse af konsekvensvurderinger vedrørende privatlivs- og databeskyttelse på andre områder eller vil afstedkomme en mere lovgivningsmæssig tilgang. RFID-henstillingen har også til formål at sikre "oplysninger og åbenhed omkring brug af RFID", navnlig gennem udviklingen af "et fælles europæisk kendemærke, der udformes af de europæiske standardiseringsorganisationer med bistand fra de berørte parter", der skal "informere den enkelte om tilstedeværelsen af RFID-læsere/-skrivere". Dette initiativ har gruppens fulde opbakning "Results of the Public Consultation on Article 29 Working Document 105 on Data Protection Issues Related to RFID Technology", Se "The Future of Privacy: Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data, WP 168, 4
5 Selv om der i RFID-henstillingen henvises direkte til direktiv 95/46/EF, følges den terminologi, der sædvanligvis anvendes i databeskyttelseslovgivningen, i visse tilfælde ikke. Det gælder navnlig, når der henvises til "personer", "enkeltpersoner" og "brugere". For at undgå tvetydighed vil ordet "person" i denne udtalelse blive anvendt til at henvise til en fysisk person i overensstemmelse med artikel 2 i direktiv 95/46/EF, mens ordene "bruger" og "enkeltperson" vil bevare den betydning, som de har i RFIDhenstillingen. Ordet "person" kan navnlig anvendes til at henvise bredt til både "brugere" og "enkeltpersoner", hvilket er ellers forskellige kategorier af personer i henhold til definitionerne i punkt 3 i RFID-henstillingen, som også anvendes i den foreslåede ramme. Desuden vil der af hensyn til overensstemmelsen med RFID-henstillingen i denne udtalelse blive henvist til "RFID-operatører" i stedet for "registeransvarlige", selv om disse termer ikke er fuldstændig ækvivalente. I november 2009 ændrede de europæiske lovgivere e-databeskyttelsesdirektivet 6 og henviste direkte til RFID-teknologi. I betragtning 56 i direktiv 2000/136/EF anerkender de, at "hvis sådanne teknologier får stor udbredelse, kan de give et stort økonomisk og samfundsmæssigt udbytte og dermed yde et væsentligt bidrag til det indre marked, hvis borgerne kan acceptere, at de bruges", men samtidig, at "for at opnå dette mål er det nødvendigt at sørge for, at alle det enkelte menneskes grundlæggende rettigheder beskyttes, herunder retten til privatlivets fred og til beskyttelse af persondata". Desuden tilføjede de, at "når sådanne anordninger forbindes med offentligt tilgængelige elektroniske kommunikationsnet eller indgår som grundlæggende infrastruktur i elektroniske kommunikationstjenester, bør de relevante bestemmelser i direktiv 2002/58/EF (direktivet om databeskyttelse inden for elektronisk kommunikation), herunder bestemmelserne om sikkerhed, trafikdata og lokaliseringsdata samt om kommunikationshemmelighed, finde anvendelse". E-databeskyttelsesdirektivets anvendelsesområde (fastlagt i artikel 3) blev som følge heraf ændret med henblik på at omfatte "offentlige kommunikationsnet med dataindsamlings- og identifikationsudstyr". 1.3 Målsætningerne for rammen for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse Med RFID-henstillingen etablerede Europa-Kommissionen en proces for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse, der skal sikre flere fordele: Det forventes for det første, at en konsekvensvurdering vedrørende privatlivs- og databeskyttelse vil fremme "konstruktivt bestemt informationssikkerhed og privatlivsbeskyttelse", idet de registeransvarlige får bedre mulighed for at tage hånd om privatlivs- og databeskyttelsen, inden et produkt eller en tjenesteydelse tages i anvendelse. Dette er ikke kun til gavn for enkeltpersoner, men også for de registeransvarlige, idet de undgår de betydelige omkostninger (og ofte utilfredsstillende løsninger), der ofte opstår, når privatlivsbeskyttende anordninger "påføres" et produkt, der allerede er i anvendelse. 6 Europa-Parlamentets og Rådets direktiv 2009/136/EF af 25. november 2009 om ændring af direktiv 2002/22/EF om forsyningspligt og brugerrettigheder i forbindelse med elektroniske kommunikationsnet og -tjenester, direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor og forordning (EF) nr. 2006/2004 om samarbejde mellem nationale myndigheder med ansvar for håndhævelse af lovgivning om forbrugerbeskyttelse. 5
6 For det andet forventes det, at en konsekvensvurdering vedrørende privatlivs- og databeskyttelse vil hjælpe de registeransvarlige med på udførlig vis at tage hånd om privatlivs- og databeskyttelsesrisici. En konsekvensvurdering vedrørende privatlivs- og databeskyttelse er et af de redskaber, som kan gøre det lettere at vurdere trusler mod privatlivets fred og finde frem til tekniske og organisatoriske foranstaltninger, der kan beskytte personoplysninger mod ubeføjet udbredelse eller ikke-autoriseret adgang og opfylde andre sikkerhedsforpligtelser i artikel 17 i databeskyttelsesdirektivet og artikel 4 i direktiv 2002/58, som ændret. Processen giver også mulighed for at forbedre retssikkerheden og undgå, at offentligheden mister tilliden, hvilket ellers kunne belaste den registeransvarlige i tilfælde af, at databeskyttelsesspørgsmål ikke løses på en hensigtsmæssig måde. Endelig kan konsekvensvurderinger vedrørende privatlivs- og databeskyttelse være med til at give registeransvarlige og databeskyttelsesmyndigheder større indsigt i visse aspekter af privatlivs- og databeskyttelse i forbindelse med RFID-anvendelser. Gennemførelsen af en konsekvensvurdering vedrørende privatlivs- og databeskyttelse forventes også gøre de registeransvarlige bedre i stand til at forstå og gennemføre principperne i direktiv 95/46/EF, det nyligt ændrede direktiv 2002/58/EF og RFID-henstillingen. Oplysninger fra konsekvensvurderinger vedrørende privatlivs- og databeskyttelse kan muligvis også hjælpe databeskyttelsesmyndighederne med at finde frem til bedste praksis for industriens indførelse af databeskyttelse, og i de medlemsstater, hvor der stilles krav om forudgående kontrol af (visse eller alle) RFID-anvendelser, kan de muligvis forenkle processen for både databeskyttelsesmyndighederne og de registeransvarlige 7. Gruppen betragter desuden udviklingen af konsekvensvurderinger vedrørende privatlivs- og databeskyttelse som en medvirkende faktor til forbedring af den europæiske RFID-industris konkurrenceevne, idet der skabes innovative tilgange til håndtering af data- og privatlivsbeskyttelsesspørgsmål gennem teknologier som anonymisering af data, delvis deaktivering af RFID-brikker, lettere kryptering osv. Selv om den ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse, der er påtænkt i henstillingen, har til formål at fremme "konstruktivt bestemt informationssikkerhed og privatlivsbeskyttelse" ved at fokusere på RFID-anvendelser før deres indførelse, er mange eksisterende RFID-anvendelser allerede indført. Gruppen håber, at interessenterne vil drage fordel af denne erfaring og benytte lejligheden til at udvikle vurderingsværktøjer, der kan bruges i forbindelse med eksisterende RFID-anvendelser. 1.4 Resumé af den foreslåede ramme I den foreslåede ramme inddeles RFID-anvendelser først i fire mulige niveauer. "Niveau 0-anvendelser" dækker i bund og grund RFID-anvendelser, der ikke vedrører behandling af personoplysninger, og hvor 7 Det fremgår i den forbindelse af punkt 5, litra d), i RFID-henstillingen, at operatører uanset deres forpligtelser i henhold til direktiv 95/46/EF bør stille vurderingen til rådighed for den kompetente myndighed, mindst seks uger før anvendelsen indføres. Den måde, hvorpå vurderingen stilles til rådighed (f.eks. efter anmodning eller uanmodet), vil blive afgjort af de nationale databeskyttelsesmyndigheder. Der kan navnlig tages hensyn til de risici, der er forbundet med anvendelsen, samt andre faktorer såsom tilstedeværelsen af en person med ansvar for beskyttelse af personoplysninger. 6
7 RFID-brikker kun håndteres af brugere. Disse anvendelser er undtaget fra kravet om gennemførelse af en konsekvensvurdering vedrørende privatlivs- og databeskyttelse. Selv om ordet "bruger" potentielt kan dække ansatte, kan definitionen af niveau 0 ikke forstås således, at en RFID-applikation, der har til formål at overvåge ansatte, er omfattet, eftersom denne type overvågning ville kræve, at personoplysninger blev lagret et sted i applikationen. Gruppen er derfor enig i, at undtagelsen af "niveau 0-anvendelser" fra processen for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse ikke kan forventes at skade målene for databeskyttelse og privatlivets fred. Niveau 1-anvendelser dækker anvendelser, hvor ingen personoplysninger behandles, selv om RFIDbrikkerne bæres af enkeltpersoner. Niveau 2-anvendelser er anvendelser, hvor personoplysninger behandles, men hvor selve brikkerne ikke indeholder personoplysninger. Til sidst er der niveau 3- anvendelser, som er anvendelser, hvor brikkerne indeholder personoplysninger. Som fremhævet nedenfor i afsnit 2.4 er anvendelsen af begrebet "personoplysninger" temmelig uklar i den foreslåede ramme, når der henvises til oplysninger indeholdt i brikken. Hvis RFID-anvendelsens niveau fastsættes til 1 eller derover, har RFID-operatøren pligt til at gennemføre en firdelt analyse af anvendelsen, hvor detaljeringsniveauet står i forhold til de påviste privatlivs- og databeskyttelsesproblemer. I første del beskrives RFID-anvendelsen. I anden del kan kontrol- og sikkerhedsforanstaltninger fremhæves. Den tredje del vedrører brugeroplysning og -rettigheder. I den sidste del af den foreslåede ramme for konsekvensvurderinger vedrørende privatlivsog databeskyttelse skal RFID-operatøren konkludere, hvorvidt RFID-anvendelsen er klar til indførelse. RFID-operatøren udarbejder på baggrund af processen for konsekvensvurderinger vedrørende privatlivsog databeskyttelse en rapport, som skal stilles til rådighed for den kompetente myndighed. Forfatterne til den foreslåede ramme forestiller sig, at industrien i forbindelse med visse sektorspecifikke behov kan omdanne rammen til specifikke "skabeloner" for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse og på den måde lette gennemførelsen. Rapporten om konsekvensvurderingen vil således bygge på den sektorspecifikke skabelon i stedet for på den mere generelle ramme. 2 Analyse Gruppen anerkender det omfattende arbejde, som koncipisterne af den foreslåede ramme har udført, og tilslutter sig hovedmålsætningerne i de indledende afsnit. Selv om det samlede udkast til den foreslåede ramme ikke giver anledning til specifikke problemer, påpeger gruppen tre alvorlige forhold vedrørende indholdet, som giver anledning til bekymring, og fremsætter også nogle bemærkninger, som er nærmere beskrevet nedenfor. 2.1 Risikovurdering I det indledende afsnit i den foreslåede ramme anføres det klart, at processen for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse har til formål at afdække de trusler mod privatlivets fred, der er forbundet med en RFID-anvendelse, og evaluere de skridt, der er taget for at imødegå disse risici. Dette centrale princip i processen for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse indgår imidlertid ikke i selve indholdet i den foreslåede ramme. 7
8 Selv om den foreslåede ramme indeholder spredte henvisninger til risikovurdering (hovedsageligt i de indledende afsnit), pålægges en RFID-operatør intetsteds direkte at fastslå eller afdække de trusler mod privatlivets fred, der er forbundet med en RFID-anvendelse. Heraf følger, at det ikke er muligt at evaluere de skridt, der er taget for at imødegå disse risici. I henhold til den foreslåede ramme skal RFIDoperatøren i stedet blot udarbejde en liste over de forskellige beskyttelses- og kontrolforanstaltninger, som er blevet indført for at beskytte privatlivets fred og personoplysninger i forbindelse med RFIDanvendelsen. Dette kan ikke betragtes som en tilfredsstillende måde at give RFID-operatøren eller den kompetente myndighed en rimelig sikkerhed for, at de foreslåede foranstaltninger er tilstrækkelige eller står i forhold til risiciene, eftersom disse risici i første omgang ikke er blevet fastslået. Gruppen finder det dybt beklageligt, at koncipisterne af den foreslåede ramme ikke har taget højde for dette. En ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse bør pr. definition indeholde et forslag til en generel metode, hvor risikovurderingen indgår som et væsentligt element. RFID-industrien gennemfører allerede risikovurderinger som led i en metodisk tilgang i forbindelse med forvaltning af informationssikkerhed som fastlagt i ISO/IEC og andre nationale og internationale standarder. Det er gruppens overbevisning, at RFID-industrien kunne bygge videre på erfaringen fra den traditionelle forvaltning af informationssikkerhed og på den måde forbedre den foreslåede ramme med en relevant risikovurderingsstrategi. Det ville, som det navnlig fremgår af afsnit 2.2, 2.3 og 2.4 i denne udtalelse, også få betydning for andre specifikke elementer i den foreslåede ramme. Desuden anføres det i betragtning 17 i RFID-henstillingen, at udformningen af rammen for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse "bør tage udgangspunkt i eksisterende praksis og erfaringer fra medlemsstaterne, tredjelande og det arbejde, der udføres af Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA)". Det giver koncipisterne af den foreslåede ramme et legitimt grundlag for at tage nøje hensyn til den udtalelse, som ENISA for nylig vedtog om rammen for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse 9, og for at anmode EU-agenturet om yderligere rådgivning om indførelsen af en risikovurderingsstrategi i forbindelse med RFID. ENISA har specifikt påtaget sig 10 den opgave at identificere og vurdere begyndende og fremtidige risici ved et bestemt IoT/RFID-scenario, navnlig i forbindelse med ENISA's rolle i denne situation som fastlagt i Europa-Kommissionens meddelelse "Tingenes internet en EU-handlingsplan" 11. Gruppen opfordrer på det kraftigste industrien til at udnytte denne mulighed Se ISO/IEC 27001:2005, Informationsteknologi Sikkerhedsteknikker Ledelsessystemer for Informationssikkerhed (ISMS) Krav. ENISA Opinion on the Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications, juli 2010, Se eksempelvis ENISA's rapport "Flying Enabling automated air travel by identifying and addressing the challenges of IoT & RFID technology". Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Europæiske Økonomiske og Sociale Udvalg og Regionsudvalget: Tingenes internet en EU-handlingsplan, KOM(2009) 278 af
9 2.2 RFID-brikker, som bæres af personer En af de tre største bekymringer vedrørende privatlivets fred, som er fremhævet i arbejdsdokumentet om databeskyttelsesspørgsmål i forbindelse med RFID-teknologi (WP 105) 12, opstår i forbindelse med brug af RFID-teknologi, som indebærer sporing af enkeltpersoner og adgang til personoplysninger. RFIDmærket udstyr, der bæres af en person, indeholder entydige identifikatorer, som vil kunne fjernaflæses. Disse entydige identifikatorer kan dermed anvendes til at genkende denne bestemte person over tid og gør således vedkommende "identificerbar". Det kan i nogle tilfælde være hensigtsmæssigt, især hvis RFID-mærket udstyr er specifikt udviklet til at fungere som en adgangskontrolmekanisme (f.eks. en badge). I andre tilfælde er der imidlertid en risiko for, at en person uden vidende vil blive sporet 13 af en tredjemand. Som det fremhæves i udtalelse nr. 4/2007 om begrebet personoplysninger (WP 136) 14, falder en entydig identifikator, der er tilknyttet en person, ind under definitionen af personoplysninger i direktiv 95/46/EF, uanset om personens "sociale identitet" (navn, adresse osv.) forbliver ukendt (dvs. personen "kan identificeres", men "identificeres" ikke nødvendigvis). Det entydige nummer i en brik kan desuden også anvendes til på afstand at identificere, hvilke genstande en person bærer på sig, og vil dermed kunne afsløre oplysninger om social status, sundhedstilstand o.a. Selv i de tilfælde, hvor en brik udelukkende indeholder et nummer, der er entydigt i en bestemt sammenhæng, og ingen øvrige personoplysninger, skal der således tages hånd om eventuelle privatlivsog sikkerhedsspørgsmål, hvis brikken skal bæres af personer. Gruppen glæder sig over, at industrien erkender dette problem i rammen for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse og kræver, at der gennemføres en konsekvensvurdering, når RFID-brikker er beregnet til personer ("niveau 1-anvendelser"). På trods heraf går bekymringen desværre ikke igen i den foreslåede ramme, og RFID-operatørerne opfordres heller ikke direkte til at vurdere privatlivs- og databeskyttelsesspørgsmål, som kunne opstå, når brikker bæres af enkeltpersoner i hverdagen. Det er ikke tilstrækkeligt at vurdere, om RFID-anvendelsen indebærer overvågning af, hvor personer eller brugere befinder sig 15. Det er også helt afgørende at analysere risikoen for ikke-autoriseret overvågning uden for anvendelsens perimeter. Rammen beskriver heller ikke, hvilke skridt der skal tages for at imødegå sådanne risici. Gruppen opfordrer industrien til at tage fuldt hensyn til dette problem ved klart at nævne det i rammen som led i en revideret risikovurderingsstrategi. 2.3 RFID i detailsektoren Et af de primære anvendelsesområder, hvor brikker kunne ende med at blive båret af personer, er detailsektoren. I RFID-henstillingen anerkendes det, at denne sektor er meget vigtig, og den er behandlet i specifikke punkter Se fodnote 2. Se eksemplerne i WP 105, afsnit Se afsnit i den foreslåede ramme. 9
10 Det fremgår direkte af punkt 11 i RFID-henstillingen, at "detailhandlere bør deaktivere eller fjerne de RFID-brikker, der benyttes i deres RFID-anvendelser, ved salgsstedet, medmindre forbrugerne [ ] giver deres samtykke til, at RFID-brikkerne forbliver aktive". Punkt 12 indeholder en undtagelse til denne regel, eftersom "punkt 11 [ ] ikke [bør] finde anvendelse, hvis konsekvensvurderingen vedrørende privatlivs- og databeskyttelse konkluderer, at RFID-brikker, der anvendes i et detailhandelsprodukt, og som ikke deaktiveres eller fjernes ved salgsstedet, ikke udgør en sandsynlig trussel mod privatlivets fred eller beskyttelsen af personoplysninger". Det betyder, at deaktiveringen ved salgsstedet er den almindelige praksis, medmindre andet konkluderes i konsekvensvurderingen vedrørende privatlivs- og databeskyttelse. Som det imidlertid fremgår af afsnit D i den foreslåede ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse, er der kun to mulige konklusioner på en rapport om en konsekvensvurdering vedrørende privatlivs- og databeskyttelse, nemlig at RFID-anvendelsen enten er klar til indførelse eller ikke er klar til indførelse. En RFID-operatør gives således ikke mulighed for at tage stilling til brugen af brikker uden for salgsstedet i forbindelse med detailanvendelser, sådan som det kræves i RFID-henstillingen. Gruppen bemærker, at det i forbindelse med visse anvendelser kan berettiges eller være nødvendigt, at visse brikker af særlige årsager forbliver aktive uden for detailsalgsstedet. Da dette forhold imidlertid ikke tages i betragtning i den foreslåede ramme, synes det at antyde, at alle brikker vil blive deaktiveret ved salgsstedet. Gruppen bemærker mere generelt, at de to muligheder, der gives i afsnit D i rammen for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse, synes at være unødvendigt restriktive for RFID-operatørerne og RFID-industrien som helhed. En given anvendelse vurderes måske at være "klar til indførelse på visse betingelser", og disse betingelser vil skulle præciseres i konklusionen i rapporten om konsekvensvurderingen vedrørende privatlivs- og databeskyttelse. Gruppen opfordrer koncipisterne af den foreslåede ramme til at afklare spørgsmålet om deaktivering af brikker i detailsektoren. Det skal være et direkte krav i den foreslåede ramme, at en RFID-operatør tager stilling til punkt 12 i RFID-henstillingen i den rapport om konsekvensvurderingen vedrørende privatlivs- og databeskyttelse, der skal udarbejdes (med hensyn til anvendelser i detailsektoren). En revideret risikovurderingsstrategi bør mere generelt sikre de rigtige værktøjer, som gør det muligt at nå frem til en konklusion vedrørende betingelserne for indførelse af en RFID-anvendelse. 2.4 Supplerende bemærkninger Som det understreges ovenfor under afsnit 2.2, indeholder brikken pr. definition personoplysninger, hvis brikken bæres af en person (enten en bruger eller en enkeltperson), og hvis brikken indeholder et entydigt id 16. Definitionerne af "niveau 1-anvendelser" og "niveau 0-anvendelser" i afsnit 1.5 er derfor strengt taget modstridende. Det er i de fleste tilfælde nemlig ikke muligt at sige, at RFID-anvendelsen ikke vedrører behandling af personoplysninger, hvis brikkerne bæres af enkeltpersoner eller brugere. I henhold til disse definitioner vil de fleste anvendelser derfor falde ind under niveau 2-anvendelser. Der vil kun være tale om niveau 0- eller niveau 1-anvendelse i de sjældne tilfælde, hvor brikker bæres af personer, men alligevel ikke har et entydigt nummer. 16 "Brik-id" henviser her generelt til ethvert entydigt identifikationsnummer (eller serienummer), som kan aflæses i en RFID-brik, og som gør det muligt på entydig vis at karakterisere en RFID-brik i en bestemt sammenhæng. 10
11 Gruppen antager ikke, at koncipisterne af rammen havde til hensigt at begrænse anvendelsesområdet for niveau 0- og niveau 1-anvendelser i den grad, eller at deres definitioner skulle omfatte anvendelser, hvor kun én type personoplysninger behandles, nemlig det entydige id i brikken. Definitionerne af alle niveauerne kunne let gøres klarere, så enhver tvetydighed fjernes. En behørig fastlæggelse af en risikovurderingsbaseret metode kunne under alle omstændigheder også resultere i en omformulering af disse definitioner. Gruppen noterer, at der i rammen henvises til brikker, som brugere eller enkeltpersoner "er i besiddelse af". Dette udtryk er for restriktivt og bør erstattes med "bæres", som på langt mere passende vis dækker de forhåndenværende risikoscenarier. Det er gruppens opfattelse, at den proces for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse, der foreslås i rammen, bør omfatte en høringsperiode. Det vil dreje sig om at høre interesserede parter (grupper, foreninger, sammenslutninger osv.), som kan blive berørt af RFIDanvendelsen, og udveksle synspunkter, forslag og forbedringer, som vil gøre det muligt at indføre anvendelsen på en åben måde, der tager hensyn til privatlivets fred og er til fordel for både RFIDoperatøren og de berørte brugere eller enkeltpersoner. En sådan høringsperiode vil uden tvivl bidrage til at sikre "oplysninger og åbenhed omkring brug af RFID" og de "oplysningsforanstaltninger", der var tiltænkt i RFID-henstillingen. Gruppen understreger også, at særlige kategorier af oplysninger 17 kræver, at bestemte betingelser er opfyldt, for at sikre en retmæssig og tryg behandling. Rammen bør også indeholde flere retningslinjer for RFID-operatøren vedrørende de specifikke problemer, der er forbundet med behandlingen af særlige kategorier af oplysninger. Fastlæggelsen af brugen af særlige kategorier af oplysninger bør også indgå i enhver risikovurderingsproces. Rammen bør også indeholde retningslinjer for RFID-operatører for, hvornår i et RFID-produkts udviklingscyklus det er mest hensigtsmæssigt at gennemføre en konsekvensvurdering vedrørende privatlivs- og databeskyttelse, samt betingelserne herfor med henblik på for alvor at fremme den konstruktivt bestemte informationssikkerhed og privatlivsbeskyttelse, der støttes i henstillingen. 3 Konklusion På grund af de problemer, der er fremhævet i denne udtalelse, særlig den foreslåede rammes mangel på en klar og sammenhængende tilgang til konsekvensvurderinger vedrørende privatlivs- og databeskyttelse, kan gruppen ikke støtte det foreslåede dokument i dets nuværende form. Det bør understreges, at fastlæggelsen af en egentlig risikovurderingsproces uden tvivl kan lette håndteringen af de fleste af de problemer, der er blevet påpeget i denne udtalelse. Hvis en RFID-operatør pålægges at gennemføre en risikovurdering, vil vedkommende især finde frem til risici, der er forbundet med uautoriseret overvågning af RFID-brikker, som bæres af personer. Det kunne inden for detailsektoren desuden være en hjælp at benytte et klart eksempel for at vise, at visse RFID-brikker (til et bestemt anvendelsesformål), som "ikke deaktiveres eller fjernes ved salgsstedet, ikke udgør en sandsynlig trussel mod privatlivets fred eller beskyttelsen af personoplysninger". 17 Artikel 8 i direktiv 95/46/EF. 11
12 Gruppen har tillid til, at industrien kan foreslå en forbedret ramme baseret på de bemærkninger, som er blevet fremsat i denne udtalelse, og er opsat på at iværksætte ethvert relevant tiltag for yderligere at forbedre den foreslåede ramme og sikre dens hurtige godkendelse. Udfærdiget i Bruxelles, den 13. juli På gruppens vegne Jacob Kohnstamm Formand 12
ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE
ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00327/11/DA WP 180 Udtalelse 9/2011 om industriens reviderede forslag til en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse i forbindelse
Læs mereArtikel 29-gruppen vedrørende databeskyttelse
Artikel 29-gruppen vedrørende databeskyttelse 00065/2010/DA WP 174 Udtalelse nr. 4/2010 om FEDMA's europæiske adfærdskodeks for brug af personoplysninger i forbindelse med direkte markedsføring vedtaget
Læs mereEuropaudvalget 2007 KOM (2007) 0698 Offentligt
Europaudvalget 2007 KOM (2007) 0698 Offentligt KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 29.7.2009 KOM(2009) 421 endelig 2007/0248 (COD) KOMMISSIONENS UDTALELSE i henhold til EF-traktatens
Læs mereEU Kommisionens RFID henstilling.
Vi har behov for en proaktiv europæisk tilgang, så vi kan drage nytte af RFID teknologiens fordele, samtidigt med at vi giver borgere, forbrugere og virksomheder valgmulighed, gennemsigtighed og kontrol.
Læs mereResumé af udtalelse om forslaget til omarbejdning af direktivet om videreanvendelse af den offentlige sektors informationer (PSI)
Resumé af udtalelse om forslaget til omarbejdning af direktivet om videreanvendelse af den offentlige sektors informationer (PSI) [Udtalelsen findes i sin helhed på engelsk, fransk og tysk på den tilsynsførendes
Læs mereDEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE
15.5.2012 Den Europæiske Unions Tidende C 139/1 I (Beslutninger og resolutioner, henstillinger og udtalelser) UDTALELSER DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE Udtalelse fra Den Europæiske Tilsynsførende
Læs mereEUROPA-PARLAMENTET. Retsudvalget UDKAST TIL UDTALELSE. til Udvalget om det Indre Marked og Forbrugerbeskyttelse
EUROPA-PARLAMENTET 2004 Retsudvalget 2009 2007/0248(COD) 19.3.2008 UDKAST TIL UDTALELSE fra Retsudvalget til Udvalget om det Indre Marked og Forbrugerbeskyttelse om forslag til Europa-Parlamentets og Rådets
Læs mereARTIKEL 29-Gruppen vedrørende Databeskyttelse
ARTIKEL 29-Gruppen vedrørende Databeskyttelse 1112/05/DA WP 103 Udtalelse 1/2005 om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR- og API-oplysninger Vedtaget
Læs mereKOMMISSIONENS HENSTILLING. af
EUROPA- KOMMISSIONEN Bruxelles, den 3.10.2017 C(2017) 6560 final KOMMISSIONENS HENSTILLING af 3.10.2017 om gennemførelsen af bestemmelserne i Schengengrænsekodeksen om midlertidig genindførelse af grænsekontrol
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 7.6.2018 C(2018) 3568 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 7.6.2018 om ændring af delegeret forordning (EU) 2015/2446 for så vidt angår betingelserne
Læs mere(EØS-relevant tekst) Artikel 1. Kontaktpunkter
L 148/16 10.6.2017 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2017/981 af 7. juni 2017 om gennemførelsesmæssige tekniske standarder for standardformularer, -modeller og -procedurer for høring af andre
Læs mereARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse
ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE 5058/00/DA/endelig WP 33 Artikel 29-gruppen vedrørende databeskyttelse Udtalelse 5/2000 om Brugen af offentlige registre til reverse- eller flerkriterie-søgetjenester
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU)
L 125/4 KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2019/758 af 31. januar 2019 om supplerende regler til Europa-Parlamentets og Rådets direktiv (EU) 2015/849 for så vidt angår reguleringsmæssige tekniske
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 23.6.2017 C(2017) 4250 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 23.6.2017 om supplerende regler til Europa-Parlamentets og Rådets direktiv (EU) 2015/2366
Læs mereKOMMISSIONENS GENNEMFØRELSESFORORDNING (EU)
30.6.2016 L 173/47 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2016/1055 af 29. juni 2016 om gennemførelsesmæssige tekniske standarder for så vidt angår de tekniske metoder til passende offentliggørelse
Læs mereUdtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne
ARTIKEL 29-Databeskyttelsesgruppen 02318/09/DA WP167 Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne Vedtaget den 1. december
Læs mereUDKAST TIL BETÆNKNING
EUROPA-PARLAMENTET 2009-2014 Udvalget om det Indre Marked og Forbrugerbeskyttelse 24.9.2013 2013/2116(INI) UDKAST TIL BETÆNKNING om anvendelsen af direktivet om urimelig handelspraksis 2005/29/EF (2013/2116(INI))
Læs mereDEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE
11.9.2008 C 233/1 I (Beslutninger og resolutioner, henstillinger og udtalelser) UDTALELSER DEN EUROPÆISKE TILSYNSFØRENDE FOR TABESKYTTELSE Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse
Læs mereKOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 29.7.2019 C(2019) 5807 final KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af 29.7.2019 om anerkendelse af, at Japans retlige og tilsynsmæssige rammer er ækvivalente
Læs mereForholdet mellem direktiv 98/34/EF og forordningen om gensidig anerkendelse
EUROPA-KOMMISSIONEN GENERALDIREKTORATET FOR ERHVERV OG INDUSTRI Vejledning 1 Bruxelles, den 1. februar 2010 - Forholdet mellem direktiv 98/34/EF og forordningen om gensidig anerkendelse 1. INDLEDNING Dette
Læs mere9901/17 ht/jb/ef 1 DGD 2A
Rådet for Den Europæiske Union Bruxelles, den 1. juni 2017 (OR. en) Interinstitutionel sag: 2015/0287 (COD) 9901/17 NOTE fra: til: Formandskabet Rådet Tidl. dok. nr.: 9641/17 + ADD 1 Komm. dok. nr.: 15251/15
Læs mereDEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE
10.2.2012 Den Europæiske Unions Tidende C 37/1 I (Beslutninger og resolutioner, henstillinger og udtalelser) UDTALELSER DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE Udtalelse fra Den Europæiske Tilsynsførende
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mere5726/17 js/js/sl 1 DG D 1 A
Rådet for Den Europæiske Union Bruxelles, den 27. januar 2017 (OR. en) Interinstitutionel sag: 2016/0352 (NLE) 5726/17 SCH-EVAL 32 COMIX 67 RESULTAT AF DRØFTELSERNE fra: Generalsekretariatet for Rådet
Læs merePUBLIC LIMITE DA RÅDET FOR DEN EUROPÆISKE UNION. Bruxelles, den 28. november 2012 (29.11) (OR. en) 16217/1/12 REV 1
Conseil UE RÅDET FOR DEN EUROPÆISKE UNION Bruxelles, den 28. november 2012 (29.11) (OR. en) Interinstitutionel sag: 2012/0207 (NLE) 16217/1/12 REV 1 LIMITE PUBLIC TELECOM 214 AUDIO 117 MI 730 RELEX 1040
Læs mereDen registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.
Ansvarsfordeling Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse
Læs mereRådet for Den Europæiske Union Bruxelles, den 10. marts 2017 (OR. en)
Conseil UE Rådet for Den Europæiske Union Bruxelles, den 10. marts 2017 (OR. en) Interinstitutionel sag: 2016/0406 (CNS) 7118/17 LIMITE PUBLIC FISC 61 ECOFIN 187 NOTE fra: til: Generalsekretariatet for
Læs mere1. Den 1. december 2016 vedtog Kommissionen en "pakke om momsregler for e-handel", der består af ændringer til:
Rådet for Den Europæiske Union Bruxelles, den 30. november 2017 (OR. en) Interinstitutionel sag: 2016/0370 (CNS) 2016/0372 (NLE) 2016/0371 (CNS) 14769/1/17 REV 1 FISC 299 ECOFIN 998 UD 284 I/A-PUNKTSNOTE
Læs mereKOMMISSIONENS GENNEMFØRELSESFORORDNING (EU)
17.6.2016 L 160/23 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2016/959 af 17. maj 2016 om gennemførelsesmæssige tekniske standarder for markedssonderinger for så vidt angår de systemer og indberetningsmodeller,
Læs mereForslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING
EUROPA- KOMMISSIONEN Bruxelles, den 21.12.2016 COM(2016) 818 final 2016/0411 (COD) Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om ændring af forordning (EF) nr. 1008/2008 om fælles regler for
Læs mere(EØS-relevant tekst) (1) Ved forordning (EU) 2015/2283 er der fastsat bestemmelser om markedsføring og anvendelse af nye fødevarer i Unionen.
30.12.2017 L 351/55 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2017/2468 af 20. december 2017 om administrative og videnskabelige krav til traditionelle fødevarer fra tredjelande, jf. Europa- Parlamentets
Læs mereKOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 29.7.2019 C(2019) 5806 final KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af 29.7.2019 om ophævelse af gennemførelsesafgørelse 2014/246/EU om anerkendelse af, at Argentinas
Læs mere(EØS-relevant tekst) (2014/287/EU)
17.5.2014 L 147/79 KOMMISSIONENS GENNEMFØRELSESAFGØRELSE af 10. marts 2014 om fastsættelse af kriterier for etablering og evaluering af europæiske netværk af referencecentre og deres medlemmer og for lettelse
Læs mere(EØS-relevant tekst) (6) For at sikre en effektiv behandling bør de krævede oplysninger forelægges i elektronisk format.
L 137/10 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2016/824 af 25. maj 2016 om gennemførelsesmæssige tekniske standarder for indholdet af og formatet for beskrivelsen af multilaterale handelsfaciliteters
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 4.3.2019 C(2019) 1616 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 4.3.2019 om ændring af bilag VIII og IX til direktiv 2012/27/EU om indholdet af de omfattende
Læs mereDEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE
3.9.2013 Den Europæiske Unions Tidende C 253/3 DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE Resumé af udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om Kommissionens meddelelse om
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 14.3.2019 C(2019) 2031 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 14.3.2019 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 305/2011
Læs mereRetningslinje om dataansvarlig/databehandler
N. Zahles Skole Nørre Voldgade 5 1358 København K Danmark Retningslinje om dataansvarlig/databehandler t: + 45 33 69 79 00 e: kontakt@zahles.dk Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet
Læs mereUDKAST TIL BETÆNKNING
EUROPA-PARLAMENTET 2009-2014 Udvalget om Miljø, Folkesundhed og Fødevaresikkerhed 2013/2061(INI) 5.9.2013 UDKAST TIL BETÆNKNING om handlingsplan for e-sundhed 2012-2020 et innovativt sundhedsvæsen i det
Læs mereDIREKTIVER. under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 113,
27.12.2018 L 329/3 DIREKTIVER RÅDETS DIREKTIV (EU) 2018/2057 af 20. december 2018 om ændring af direktiv 2006/112/EF om det fælles merværdiafgiftssystem, for så vidt angår en midlertidig anvendelse af
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 3.10.2016 C(2016) 6265 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 3.10.2016 om den fælles overvågnings- og evalueringsramme som omhandlet i Europa- Parlamentets
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 29.9.2017 C(2017) 6474 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 29.9.2017 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2016/1011
Læs mereRAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
EUROPA- KOMMISSIONEN Bruxelles, den 30.3.2015 COM(2015) 138 final RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET om udøvelse af de delegerede beføjelser, der tillægges Kommissionen i henhold
Læs mereRetningslinje om ansvarsfordeling - dataansvarlig vs. databehandler
Retningslinje om ansvarsfordeling - dataansvarlig vs. databehandler Anvendelsesområde Retningslinje om ansvarsfordeling er udarbejdet i overensstemmelse med kravene i Europa- Parlamentets og Rådets forordning
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 14.3.2019 C(2019) 1997 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 14.3.2019 om supplerende regler til Europa-Parlamentets og Rådets direktiv (EU) 2015/2366
Læs mere12852/18 HOU/ks ECOMP.2.B. Rådet for Den Europæiske Union Bruxelles, den 22. november 2018 (OR. en) 12852/18. Interinstitutionel sag: 2016/0406 (CNS)
Rådet for Den Europæiske Union Bruxelles, den 22. november 2018 (OR. en) Interinstitutionel sag: 2016/0406 (CNS) 12852/18 FISC 400 ECOFIN 884 LOVGIVNINGSMÆSSIGE RETSAKTER OG ANDRE INSTRUMENTER Vedr.: RÅDETS
Læs mereRådet for Den Europæiske Union Bruxelles, den 24. november 2016 (OR. en)
Rådet for Den Europæiske Union Bruxelles, den 24. november 2016 (OR. en) Interinstitutionel sag: 2016/0209 (CNS) 13885/16 FISC 181 ECOFIN 984 LOVGIVNINGSMÆSSIGE RETSAKTER OG ANDRE INSTRUMENTER Vedr.: RÅDETS
Læs mereC 101/20 Den Europæiske Unions Tidende
C 101/20 Den Europæiske Unions Tidende 1.4.2011 Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til Europa- Parlamentets og Rådets forordning om Det Europæiske Agentur for
Læs mereBekendtgørelse om rammerne for informationssikkerhed og beredskab 1)
(Gældende) Udskriftsdato: 14. januar 2015 Ministerium: Erhvervs- og Vækstministeriet Journalnummer: Ministeriet for Videnskab, Teknologi og Udvikling, IT- og Telestyrelsen, j.nr. 09-076167 Senere ændringer
Læs mereKOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 29.7.2019 C(2019) 5801 final KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af 29.7.2019 om ophævelse af gennemførelsesafgørelse 2012/630/EU om anerkendelse af, at Canadas
Læs mereKOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 20.12.2017 C(2017) 8871 final KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) / af 20.12.2017 om administrative og videnskabelige krav til traditionelle fødevarer fra tredjelande,
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 1.3.2016 C(2016) 1224 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 1.3.2016 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 596/2014
Læs mereEUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 98/27/EF af 19. maj 1998 om søgsmål med påstand om forbud på området beskyttelse af forbrugernes interesser
L 166/51 EUROPA-PARLAMENTETS OG RÅDETS DIREKTIV 98/27/EF af 19. maj 1998 om søgsmål med påstand om forbud på området beskyttelse af forbrugernes interesser EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE
Læs mereDEN FÆLLES KONTROLINSTANS FOR EUROPOL. Udtalelse fra den fælles kontrolinstans om databeskyttelsesniveauet i Australien (Udtalelse 05/35)
THE JOINT SUPERVISORY BODY OF EUROPOL DEN FÆLLES KONTROLINSTANS FOR EUROPOL Udtalelse fra den fælles kontrolinstans om databeskyttelsesniveauet i Australien (Udtalelse 05/35) DEN FÆLLES KONTROLINSTANS
Læs mereUDKAST TIL UDTALELSE
EUROPA-PARLAMENTET 2014-2019 Udvalget om Landbrug og Udvikling af Landdistrikter 27.3.2015 2014/0256(COD) UDKAST TIL UDTALELSE fra Udvalget om Landbrug og Udvikling af Landdistrikter til Udvalget om Miljø,
Læs mereKOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU)
L 53/14 KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) 2015/296 af 24. februar 2015 om fastlæggelse af de proceduremæssige ordninger for samarbejde mellem medlemsstaterne om elektronisk identifikation i henhold
Læs mereOpgørelse for I. Indledning
Opgørelse for 2010 I. Indledning Dette er den fjerde offentlige opgørelse fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) over dennes rådgivning om forslag til lovgivning og dertil knyttede
Læs mereARBEJDSDOKUMENT FRA KOMMISSIONENS TJENESTEGRENE RESUME AF KONSEKVENSANALYSEN. Ledsagedokument til
EUROPA- KOMMISSIONEN Bruxelles, den 5.4.2018 SWD(2018) 87 final ARBEJDSDOKUMENT FRA KOMMISSIONENS TJENESTEGRENE RESUME AF KONSEKVENSANALYSEN Ledsagedokument til Forslag om ændring af direktiv 2004/37/EF
Læs mereDEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE
3.7.2009 Den Europæiske Unions Tidende C 151/11 UDTALELSER DEN EUROPÆISKE TILSYNSFØRENDE FOR TABESKYTTELSE Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) om forslaget til Rådets
Læs mereDEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE
26.7.2014 DA Den Europæiske Unions Tidende C 244/15 DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE Resumé af udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om lovgivningspakken vedrørende
Læs mereBilaget blev første gang offentliggjort i december 2006 og er derefter sædvanligvis blevet ajourført tre gange årligt 2.
Opgørelse for 2011 I. Indledning Dette er den femte offentlige opgørelse fra Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) over dennes rådgivning om forslag til lovgivning og dertil knyttede
Læs mereMEDDELELSE TIL MEDLEMMERNE
EUROPA-PARLAMENTET 2009-2014 Retsudvalget 26.4.2012 MEDDELELSE TIL MEDLEMMERNE (0046/2012) Om: Begrundet udtalelse fra det tyske Forbundsråd om forslag til Europa-Parlamentets og Rådets forordning om beskyttelse
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 16.1.2019 C(2019) 111 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 16.1.2019 om fastsættelse af nærmere bestemmelser i henhold til Rådets direktiv 91/477/EØF
Læs mere10/01/2012 ESMA/2011/188
Retningslinjer og henstillinger Samarbejde, herunder delegation, mellem ESMA, de kompetente myndigheder og de kompetente sektormyndigheder i henhold til forordning (EU) nr. 513/2011 om kreditvurderingsbureauer
Læs mereRådet for Den Europæiske Union Bruxelles, den 18. juni 2015 (OR. en)
Rådet for Den Europæiske Union Bruxelles, den 18. juni 2015 (OR. en) Interinstitutionel sag: 2015/0065 (CNS) 8214/2/15 REV 2 FISC 34 ECOFIN 259 LOVGIVNINGSMÆSSIGE RETSAKTER OG ANDRE INSTRUMENTER Vedr.:
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 27.10.2017 C(2017) 7136 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 27.10.2017 om ændring af delegeret forordning (EU) 2016/1675, idet Etiopien indsættes i skemaet
Læs mereRådet for Den Europæiske Union Bruxelles, den 19. september 2017 (OR. en)
Rådet for Den Europæiske Union Bruxelles, den 19. september 2017 (OR. en) Interinstitutionel sag: 2017/0182 (NLE) 11946/17 UD 195 CID 2 TRANS 349 LOVGIVNINGSMÆSSIGE RETSAKTER OG ANDRE INSTRUMENTER Vedr.:
Læs mereRÅDETS DIREKTIV 98/59/EF af 20. juli 1998 om tilnærmelse af medlemsstaternes lovgivninger vedrørende kollektive afskedigelser
L 225/16 DA De Europæiske Fællesskabers Tidende 12. 8. 98 RÅDETS DIREKTIV 98/59/EF af 20. juli 1998 om tilnærmelse af medlemsstaternes lovgivninger vedrørende kollektive afskedigelser RÅDET FOR DEN EUROPÆISKE
Læs merePersondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018
Persondatareguleringen Hvorfor, hvornår, systemet og lidt om maj 2018 Hvorfor? I er så meget i et brændpunkt for persondataretten, at vi er nødt til at stige op i helikopteren. Hvad tænker EU? Hvad tænker
Læs mereSide 3: Vejledende oversigt: de foreslåede artikler vedrørende medlemskab af Unionen i forhold til de eksisterende traktater
DET EUROPÆISKE KONVENT SEKRETARIATET Bruxelles, den 2. april 2003 (03.04) (OR. fr) CONV 648/03 NOTE fra: til: Vedr.: præsidiet konventet Afsnit X: Medlemskab af Unionen Dokumentets indhold: Side 2: De
Læs mereEUROPA-PARLAMENTET. Mødedokument
EUROPA-PARLAMENTET 1999 Mødedokument 2004 C5-0638/2001 2001/0018(COD) DA 10/12/2001 Fælles holdning vedtaget af Rådet den 6. december 2001 med henblik på vedtagelse af Europa- Parlamentets og Rådets direktiv
Læs mereRådet for Den Europæiske Union Bruxelles, den 30. januar 2017 (OR. en)
Rådet for Den Europæiske Union Bruxelles, den 30. januar 2017 (OR. en) 5774/17 FØLGESKRIVELSE fra: modtaget: 26. januar 2017 til: Komm. dok. nr.: Vedr.: MI 81 ENT 28 COMPET 57 DELACT 18 Jordi AYET PUIGARNAU,
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU)
17.6.2016 L 160/29 KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2016/960 af 17. maj 2016 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 596/2014 for så vidt angår reguleringsmæssige
Læs mereDET EUROPÆISKE UDVALG FOR SYSTEMISKE RISICI
3.4.2014 DA Den Europæiske Unions Tidende C 98/3 DET EUROPÆISKE UDVALG FOR SYSTEMISKE RISICI DET EUROPÆISKE UDVALG FOR SYSTEMISKE RISICIS AFGØRELSE af 27. januar 2014 om en koordineringsramme for de kompetente
Læs mereForslag til RÅDETS FORORDNING
EUROPA- KOMMISSIONEN Bruxelles, den 19.1.2017 COM(2017) 23 final 2017/0010 (NLE) Forslag til RÅDETS FORORDNING om ændring af bilag III til Europa-Parlamentets og Rådets direktiv 2008/98/EF for så vidt
Læs mereRådet for Den Europæiske Union Bruxelles, den 14. september 2017 (OR. en)
Rådet for Den Europæiske Union Bruxelles, den 14. september 2017 (OR. en) 11563/17 API 95 INF 139 JUR 376 LOVGIVNINGSMÆSSIGE RETSAKTER OG ANDRE INSTRUMENTER Vedr.: RÅDETS AFGØRELSE om Rådets åbne datapolitik
Læs mereKOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 29.7.2019 C(2019) 5802 final KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af 29.7.2019 om ophævelse af gennemførelsesafgørelse 2014/248/EU om anerkendelse af, at Singapores
Læs mereKOMMISSIONENS FORORDNING (EU)
L 320/8 Den Europæiske Unions Tidende 17.11.2012 KOMMISSIONENS FORORDNING (EU) Nr. 1078/2012 af 16. november 2012 om en fælles sikkerhedsmetode for overvågning, der skal anvendes af jernbanevirksomheder
Læs mereDEN EUROPÆISKE UNION
DEN EUROPÆISKE UNION EUROPA-PARLAMENTET RÅDET Bruxelles, den 14. marts 2014 (OR. en) 2012/0184 (COD) 2012/0185 (COD) 2012/0186 (COD) PE-CONS 11/14 TRANS 18 CODEC 113 LOVGIVNINGSMÆSSIGE RETSAKTER OG ANDRE
Læs mereForslag til RÅDETS DIREKTIV
EUROPA- KOMMISSIONEN Bruxelles, den 14.12.2015 COM(2015) 646 final 2015/0296 (CNS) Forslag til RÅDETS DIREKTIV om ændring af direktiv 2006/112/EF om det fælles merværdiafgiftssystem for så vidt angår varigheden
Læs mereDEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE
30.11.2010 Den Europæiske Unions Tidende C 323/1 I (Beslutninger og resolutioner, henstillinger og udtalelser) UDTALELSER DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE Udtalelse fra Den Europæiske
Læs mereUDTALELSE nr. 02/2006 FRA DET EUROPÆISKE LUFTFARTSSIKKERHEDSAGENTUR
UDTALELSE nr. 02/2006 FRA DET EUROPÆISKE LUFTFARTSSIKKERHEDSAGENTUR om muligheden for at ændre artikel 7, stk. 3, litra c), i Kommissionens forordning (EF) nr. 2042/2003 om vedvarende luftdygtighed af
Læs mereDEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE
30.11.2018 DA Den Europæiske Unions Tidende C 432/17 DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE Resumé af udtalelsen fra Den Europæiske Tilsynsførende for Databeskyttelse om lovgivningspakken»en
Læs mereMandat for Arbejdsgruppen vedrørende Komplementær Kompetence
DET EUROPÆISKE KONVENT SEKRETARIATET Bruxelles, den 31. maj 2002 (03.06) (OR. en) CONV 75/02 NOTE fra: til: Vedr.: Henning Christophersen konventet Mandat for Arbejdsgruppen vedrørende Komplementær Kompetence
Læs mere9324/17 ht/lma/bh 1 DG E2B
Rådet for Den Europæiske Union Bruxelles, den 19. maj 2017 (OR. en) Interinstitutionel sag: 2017/0003 (COD) 9324/17 NOTE fra: til: formandskabet De Faste Repræsentanters Komité/Rådet TELECOM 127 COMPET
Læs mereRådet for Den Europæiske Union Bruxelles, den 9. februar 2017 (OR. en)
Rådet for Den Europæiske Union Bruxelles, den 9. februar 2017 (OR. en) 6170/17 RESULTAT AF DRØFTELSERNE fra: til: Generalsekretariatet for Rådet delegationerne COHOM 16 CONUN 54 SOC 81 FREMP 11 Tidl. dok.
Læs mereEuropaudvalget 2008 KOM (2008) 0410 Offentligt
Europaudvalget 2008 KOM (2008) 0410 Offentligt KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 30.6.2008 KOM(2008) 410 endelig Forslag til RÅDETS FORORD I G om afslutning af den fornyede "ny
Læs mereMEDDELELSE TIL MEDLEMMERNE
EUROPA-PARLAMENTET 2009-2014 Udvalget for Andragender 28.11.2014 MEDDELELSE TIL MEDLEMMERNE Om: Andragende nr. 0824/2008 af Kroum Kroumov, bulgarsk statsborger, og 16 medunderskrivere, om anmodning om
Læs mereEUROPA- KOMMISSIONEN. BILAG TIL EASA s UDTALELSE 06/2013. KOMMISSIONENS FORORDNING (EU) nr.../.. af XXX
EUROPA- KOMMISSIONEN Bruxelles, XXX [...](2013) XXX udkast BILAG TIL EASA s UDTALELSE 06/2013 KOMMISSIONENS FORORDNING (EU) nr..../.. af XXX om ændring af Kommissionens forordning (EF) nr. 2042/2003 om
Læs mereEuropaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt
Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Bilag til brev til Europaudvalget af 19. november 2008 19. november 2008 Martin Salamon Dok. 66500/ps Telekom-pakken Rådet har indledt
Læs mereForslag til EUROPA-PARLAMENTETS OG RÅDETS AFGØRELSE
EUROPA- KOMMISSIONEN Bruxelles, den 17.5.2018 COM(2018) 275 final 2018/0130 (COD) Forslag til EUROPA-PARLAMENTETS OG RÅDETS AFGØRELSE om ændring af Rådets direktiv 96/53/EF for så vidt angår fristen for
Læs mereEuropaudvalget 2006 KOM (2006) 0397 Offentligt
Europaudvalget 2006 KOM (2006) 0397 Offentligt KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 10.1.2008 KOM(2007) 871 endelig 2006/0129 (COD) MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET
Læs mere(Ikke-lovgivningsmæssige retsakter) FORORDNINGER
16.4.2018 L 96/1 II (Ikke-lovgivningsmæssige retsakter) FORORDNINGER KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2018/573 af 15. december 2017 om nøgleelementerne i aftaler om lagring af data, der indgås
Læs mereRAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET
Europaudvalget 2019 KOM (2019) 0270 Offentligt EUROPA- KOMMISSIONEN Bruxelles, den 21.6.2019 COM(2019) 270 final RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET om bestemmelserne i Europa-Parlamentets
Læs mereKOMMISSIONENS DELEGEREDE FORORDNING (EU) / af
EUROPA- KOMMISSIONEN Bruxelles, den 13.6.2016 C(2016) 3544 final KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af 13.6.2016 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014
Læs mereKOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER MEDDELELSE FRA KOMMISSIONEN TIL RÅDET. Rapport om anvendelsen af forordning nr. 139/2004 {SEC(2009)808}
KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 18.6.2009 KOM(2009) 281 endelig MEDDELELSE FRA KOMMISSIONEN TIL RÅDET Rapport om anvendelsen af forordning nr. 139/2004 {SEC(2009)808} MEDDELELSE
Læs mereKommissionens afgørelse i sag DK/2011/1251: Terminering af sms i individuelle mobilnet Nærmere oplysninger om priskontrolforanstaltningen
EUROPA-KOMMISSIONEN Bruxelles, den 13/10/2011 K(2011) 7433 SG-Greffe (2011) D/16990 IT- og Telestyrelsen Holsteinsgade 63 DK-2100 København Ø Danmark Att.: Jørgen Abild Andersen Direktør Fax: + 45 35 45
Læs mere(Ikke-lovgivningsmæssige retsakter) FORORDNINGER
27.1.2010 Den Europæiske Unions Tidende L 23/1 II (Ikke-lovgivningsmæssige retsakter) FORORDNINGER KOMMISSIONENS FORORDNING (EU) Nr. 72/2010 af 26. januar 2010 om fastlæggelse af procedurer for gennemførelse
Læs mereMEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET. i henhold til artikel 294, stk. 6, i traktaten om Den Europæiske Unions funktionsmåde.
EUROPA- KOMMISSIONEN Bruxelles, den 24.10.2016 COM(2016) 689 final 2013/0028 (COD) MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET i henhold til artikel 294, stk. 6, i traktaten om Den Europæiske Unions
Læs mereDen Europæiske Unions Tidende L 295/7
14.11.2007 Den Europæiske Unions Tidende L 295/7 KOMMISSIONENS FORORDNING (EF) Nr. 1330/2007 af 24. september 2007 om nærmere regler for videregivelse af oplysninger om hændelser inden for civil luftfart
Læs mere