2 Nærmere om direktivet
Artikkel 1
Etter artikkel 1 nr. 1 skal medlemsstatene i samsvar med direktivet sikre vern av fysiske personers grunnleggende rettigheter og friheter ved behandling av personopplysninger. Vernet av retten til privatlivets fred fremheves særskilt. Et hovedformål med direktivet er samtidig å sikre fri utveksling av personopplysninger i det indre marked. I nr. 2 heter det derfor at medlemsstatene ikke kan innskrenke eller forby fri utveksling av personopplysninger seg imellom med begrunnelse i det vernet som er fastsatt i nr. 1.
Direktivets regler gjelder bare for opplysninger om fysiske personer, jf. nr. 1. Det er likevel ikke noe til hinder for å ha nasjonale regler som også omfatter juridiske personer.
Artikkel 2
Artikkel 2 definerer begreper som benyttes i direktivet. Med personopplysning forstås i direktivet enhver opplysning om identifiserte eller identifiserbare fysiske personer, jf. bokstav a. En person er identifiserbar når vedkommende kan identifiseres direkte eller indirekte på bakgrunn av opplysninger om f. eks. personens fødselsnummer eller opplysninger om spesielle kjennetegn ved ham eller henne. Etter punkt 26 i direktivets fortale bør man ved vurderingen av om en person er identifiserbar, ta i betraktning alle de hjelpemidler som det er rimelig å ta i bruk for å identifisere en aktuell person.
I bokstav b defineres hva som skal forstås med behandling av personopplysninger. Behandlingsbegrepet omfatter enhver bruk av personopplysninger, som f. eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
Enhver samling av personopplysninger som er strukturert på en slik måte at opplysninger om den enkelte er tilgjengelige etter bestemte kriterier, vil være et personregister i direktivets forstand, jf. bokstav c.
Den behandlingsansvarlige er den som alene eller sammen med andre bestemmer hvordan og for hvilke formål personopplysningene skal behandles, jf. bokstav d.
En databehandler er i henhold til bokstav e den som behandler personopplysninger på vegne av den behandlingsansvarlige.
I bokstavene f og g defineres hvem som anses som tredjeperson og mottaker i direktivets forstand.
Bokstav h stiller som et krav til den registrertes samtykke at det bygger på en frivillig, spesifikk og informert viljesytring fra den registrerte om at han eller hun godtar behandling av personopplysninger om seg selv. Det refereres til den registrertes samtykke bl. a. i artikkel 7 bokstav a, artikkel 8 nr. 2 bokstav a og artikkel 26 nr. 1 bokstav a.
Artikkel 3
Artikkel 3 angir direktivets saklige virkeområde. I nr. 1 går det frem at direktivet får anvendelse på enhver behandling av personopplysninger som helt eller delvis utføres ved hjelp av elektroniske hjelpemidler og på manuell behandling av personopplysninger der disse inngår eller skal inngå i et register. Direktivet gjelder ikke behandling av personopplysninger i forbindelse med utøvelse av virksomhet som faller utenfor fellesskapsrettens område, og ikke under noen omstendighet behandling som gjelder offentlig sikkerhet, forsvar, statens sikkerhet og statens virksomhet på det strafferettslige området, jf. nr. 2 første strekpunkt. Direktivet gjelder heller ikke for behandling av personopplysninger som ledd i rent personlige eller familiemessige aktiviteter, jf. nr. 2 annet strekpunkt. Føring og bruk av lister med bekjentes navn og adresse i privat øyemed, privat korrespondanse osv. vil derved falle utenfor direktivets anvendelsesområde. Det samme gjelder føring av elektronisk dagbok.
Artikkel 4
Artikkel 4 angir forholdet mellom direktivet og nasjonal lovgivning. Hovedregelen er at behandling av personopplysninger innenfor fellesskapet skal følge reglene om personvern i den staten der den behandlingsansvarlige er etablert, jf. nr. 1 bokstav a. En behandlingsansvarlig vil være etablert på en stats område dersom vedkommendes virksomhet innebærer at det faktisk utøves en virksomhet innenfor en fast struktur, jf. punkt 19 i fortalen. En behandlingsansvarlig som f. eks. har opprettet filial eller datterselskap, vil være å anse som etablert i vedkommende stat. For behandlingsansvarlige som ikke har etableringssted på fellesskapets territorium, men som benytter hjelpemidler som er plassert innenfor dette området, skal den statens lov gjelde hvor utstyret er plassert, med mindre hjelpemidlene bare benyttes til transitt, jf. bokstav c. De nasjonale tilsynsmyndighetene skal etter artikkel 28 ha kontrollmyndighet over all behandling av personopplysninger som foregår i egen stat, f. eks. innsamling av personopplysninger som foretas i staten.
Artikkel 6
Artikkel 6 oppstiller enkelte grunnleggende prinsipper for opplysningenes kvalitet og krav til behandling av personopplysninger, som skal sikre den enkeltes personvern. Bl. a. gis det regler om at personopplysninger bare kan samles inn til uttrykkelig angitte formål og at opplysningene ikke senere må behandles på en måte som er uforenlig med de opprinnelige formålene, jf. bokstav b. Medlemsstatene skal gi regler som sikrer at kravene etterleves. Med hjemmel i artikkel 13 kan det på nærmere bestemte vilkår fastsettes visse unntak fra grunnkravene.
Artikkel 7
Bestemmelsen oppstiller uttømmende vilkår for at behandling av personopplysninger kan finne sted. Personopplysninger kan behandles når den registrerte har gitt sitt utvetydige samtykke, jf. bokstav a, eller når behandlingen er nødvendig for å vareta nærmere definerte interesser, jf. bokstav b-f. Vilkårene er grunnbetingelser for i det hele tatt å kunne behandle personopplysninger. Vilkårene er alternative, slik at det er tilstrekkelig for å kunne behandle opplysningene at ett av dem er oppfylt.
Artikkel 8
Artikkel 8 nr. 1 oppstiller i utgangspunktet et forbud mot å behandle elektronisk eller som en del av et manuelt personregister visse typer personopplysninger som er særlig følsomme (sensitive personopplysninger). I nr. 2-5 åpnes det for å fastsette nærmere bestemte unntak fra forbudet. Unntaksreglene er å anse som uttømmende regler for når sensitive personopplysninger kan behandles.
Etter nr. 7 skal medlemsstatene bestemme på hvilke vilkår man skal kunne behandle f. eks. et personnummer.
Artikkel 9
Etter artikkel 9 skal det gjøres unntak fra de fleste av de alminnelige reglene i direktivet for behandling av personopplysninger som utelukkende finner sted i journalistisk øyemed eller i forbindelse med kunstnerisk eller litterær virksomhet, i den grad dette er nødvendig for å forene retten til privatlivets fred med reglene om ytringsfrihet. Det kan likevel ikke gjøres unntak fra direktivets alminnelige bestemmelser i kapittel I, reglene om klageadgang, ansvar og sanksjoner i kapittel III og kapittel V om atferdsregler (bransjevise atferdsnormer). Med bakgrunn i forarbeider til direktivet må det legges til grunn at unntak må bygge på proporsjonalitetsprinsippet, i den forstand at det bare kan gjøres unntak fra direktivbestemmelser som kan true ytringsfriheten, og bare så langt det er nødvendig for å oppnå en tilfredsstillende balanse mellom hensynene til personvern og ytringsfrihet (jf. Kommisjonens rekommandasjon 1/97). Av punkt 37 i fortalen går det fram at behovet for unntak bl. a. skal vurderes i forhold til retten til å motta og gi opplysninger etter artikkel 10 i den europeiske menneskerettighetskonvensjonen (EMK).
Artikkel 10 og 11
Artiklene inneholder regler om opplysningsplikt for den behandlingsansvarlige, både når personopplysninger samles inn direkte fra den registrerte, og når personopplysninger hentes fra andre kilder enn den registrerte selv. Ved innsamling av opplysninger fra den registrerte har den behandlingsansvarlige plikt til å gi informasjon om hvem som er behandlingsansvarlig og formålet med behandlingen, jf. artikkel 10. I tillegg skal det gis opplysninger som er nødvendige for å sikre en rimelig behandling av den registrerte. Som eksempel nevnes informasjon om mottakere av de opplysningene som samles inn, om det er obligatorisk å svare på spørsmål, og om det er noen rett til innsyn i og adgang til å få rettet opplysninger om den registrerte. Det gjelder unntak fra opplysningsplikten for informasjon som den registrerte allerede er kjent med. I tillegg kan det i medhold av artikkel 13 gjøres unntak når det er nødvendig av hensyn til f. eks. rikets sikkerhet eller rettslig forfølgning av straffbare handlinger.
Artikkel 11 i direktivet pålegger den behandlingsansvarlige en opplysningsplikt overfor den registrerte i de tilfellene der det er andre enn den registrerte selv som er kilden til opplysningene. Det er i hovedsak de samme opplysningene som skal gis etter denne bestemmelsen som etter artikkel 10. På samme måte som i artikkel 10 er det ikke nødvendig å varsle den registrerte om forhold som den registrerte allerede kjenner til. I medhold av artikkel 11 nr. 2 er det heller ingen plikt til å varsle når registrering eller utlevering av personopplysninger uttrykkelig er fastsatt ved lov. Det åpnes også for en mer skjønnsmessig adgang til å gjøre unntak dersom det er umulig eller uforholdsmessig vanskelig å gi informasjon om innhentingen av opplysninger til den registrerte. På samme måte som når det gjelder artikkel 10, kan det i tillegg gjøres slike unntak som fremgår av artikkel 13.
Artikkel 12
Artikkelen gir den registrerte rett til å få innsyn i opplysninger. Enhver registert har rett til å få opplyst hos den behandlingsansvarlige om det behandles personopplysninger om en selv, om formålet med behandlingen, hvilke opplysningstyper som brukes, kilden for og mottakerne av opplysningene, samt i visse tilfeller «logikken» bak disse behandlingene, jf. bokstav a. Ulike unntak fra denne innsynsretten er hjemlet i artikkel 13. Den som ikke er registrert i vedkommende register, kan ikke kreve innsyn etter denne bestemmelsen, men kan få tilgang til mer generelle opplysninger fra den offentlige fortegnelsen hos tilsynsmyndigheten eller gjennom den oversikten som enkelte behandlingsansvarlige er pålagt å ha, jf. artikkel 21 nr. 2 og 3. Retten til å kreve innsyn skal kunne utøves uhindret, med rimelige mellomrom og uten ugrunnet opphold eller urimelige kostnader. Direktivet likestiller innsyn i manuelle personregistre og i opplysninger som behandles elektronisk.
Etter bokstav b har den registrerte rett til å få rettet, slettet eller sperret mangelfulle opplysninger. Som eksempel på mangler som kan kreves rettet, nevner direktivet ufullstendige og unøyaktige opplysninger. Bestemmelsen må også ses i sammenheng med artikkel 6 bokstav d som stiller krav bl. a. til personopplysningenes kvalitet. Bokstav c gir den enkelte rett til å kreve at den behandlingsansvarlige underretter dem som opplysningene måtte være utlevert til, om at opplysningene er slettet, rettet eller sperret. Dette gjelder likevel ikke dersom en slik underretning er umulig eller uforholdsmessig vanskelig å gjennomføre.
Artikkel 13
Nr. 1 åpner for at den enkelte medlemsstat under visse forutsetninger kan gjøre unntak fra artikkel 6, 10-12 og 21. Begrensningene må gjøres ved lov, og må være nødvendige av hensyn til et av de forhold som nevnes i bokstav a - g. I bokstav a - d omtales forhold som i utgangspunktet faller utenfor direktivets virkeområde etter artikkel 3. Unntakene vil imidlertid kunne få betydning for behandlinger som i utgangspunktet faller innenfor direktivets virkeområde, men som også kan ha sider mot forsvaret, statens sikkerhet osv. Bokstav g gir en mer skjønnsmessig adgang til å gjøre unntak når det er nødvendig for å verne den registrertes interesser eller andres rettigheter og friheter. I punkt 42 i fortalen nevnes som eksempel at det kan fastsettes at den registrerte bare kan få tilgang til opplysninger av medisinsk art gjennom en person som har sitt yrke innenfor helsevesenet. Også den behandlingsansvarliges behov kan begrunne unntak ut fra denne bestemmelsen, jf. punkt 41 i fortalen.
Nr. 2 inneholder en unntaksregel fra retten til å kreve innsyn etter artikkel 12 i opplysninger som skal benyttes for forskning eller statistikk. Det er en forutsetning at opplysningene ikke skal anvendes til å treffe tiltak eller avgjørelser rettet mot bestemte personer og at det ikke skal være noen risiko for krenkelse av privatlivets fred.
Artikkel 14
Bokstav a inneholder en bestemmelse som på nærmere angitte vilkår gir den enkelte rett til å motsette seg at visse særlige kategorier av personopplysninger blir behandlet. Den registrerte skal kunne gjøre innsigelser mot at det behandles personopplysninger som nevnt i artikkel 7 bokstav e og f dersom det foreligger tungtveiende grunner knyttet til den registrertes særlige situasjon. Det er anledning til å begrense denne retten i nasjonal lovgivning.
Bokstav b oppstiller en rett til å motsette seg persondatabehandlinger som er ledd i markedsføring. Den registrerte kan enten nekte behandling av personopplysninger om vedkommende med henblikk på markedsføring eller kreve varsel før personopplysninger videreformidles for markedsføringsformål. Medlemsstatene pålegges å iverksette de tiltakene som er nødvendige for at rettighetene i forhold til markedsføring blir kjent blant de registrerte.
Artikkel 15
Nr. 1 oppstiller en rett for den enkelte til å nekte å la seg undergi avgjørelser som har rettsvirkninger for ham eller henne eller som berører vedkommende i vesentlig grad og som i sin helhet er truffet på grunnlag av elektronisk behandling av opplysninger med sikte på å vurdere visse personlige forhold. Avgjørelser som er grunnet på en vurdering av arbeidsinnsats, kredittverdighet, pålitelighet og atferd er av de typene som omfattes av bestemmelsen. Det er et vilkår for å kreve manuell behandling at personopplysningsbehandlingen utelukkende skjer ved edb. Fra utgangspunktet om å kunne nekte å bli underlagt fullt ut automatiserte avgjørelser oppstiller nr. 2 unntak, bl. a. der den helt automatiserte avgjørelsen skjer som ledd i inngåelsen eller oppfyllelsen av en kontrakt og den registrerte selv har anmodet om inngåelsen eller oppfyllelsen av kontrakten. Unntaket knyttet til kontrakt gjelder bare dersom anmodningen er blitt etterkommet.
Artikkel 17
Nr. 1 pålegger medlemsstatene å gi regler om den behandlingsansvarliges plikt til å iverksette tekniske og organisatoriske tiltak for å beskytte personopplysninger. Tiltakene skal sikre et tilstrekkelig sikkerhetsnivå i forhold til den risikoen behandlingen innebærer og arten av de opplysninger som behandles. Den behandlingsansvarlige plikter også å velge en databehandler som kan tilby tilstrekkelig garanti for at de tekniske og organisatoriske sikkerhetstiltakene blir iverksatt og overholdt, jf. nr. 2 og 3.
Artikkel 18 - 20
Direktivet etablerer en tilsynsordning der hovedregelen er meldeplikt til tilsynsmyndigheten for all elektronisk behandling av personopplysninger, jf. artikkel 18 nr. 1. Medlemsstatene kan selv bestemme om enkelte eller alle manuelle behandlinger skal være underlagt meldeplikt eller en forenklet form for meldeplikt, jf. artikkel 18 nr. 5. For personopplysningsbehandlinger som kan innebære særlige farer for de registrertes friheter og rettigheter, krever artikkel 20 i direktivet at det skal foretas en forhåndskontroll. Det er opp til medlemsstatene å fastsette hvilke behandlinger som antas å innebære en slik risiko at man i medhold av denne bestemmelsen f. eks. kan pålegge konsesjonsplikt. Av punkt 54 i fortalen går det frem at antallet slike behandlinger bør være svært begrenset sett i forhold til det totale antallet behandlinger av personopplysninger i samfunnet. Det vil først og fremst være behandlingens art, dens formål og omfang som vil være av betydning for om den kan underlegges forhåndskontroll, jf. punkt 53. Som eksempel nevnes behandlinger som har som formål å utelukke personer fra å utøve en rett, motta en ytelse eller oppnå en kontrakt.
Artikkel 18 nr. 2, 3 og 4 åpner for på nærmere bestemte vilkår å gi regler om forenklet meldeplikt eller om fritak fra meldeplikten. Unntaket i nr. 3 om lovbestemte registre beregnet på å informere offentligheten vil omfatte registre som f. eks. Løsøreregisteret og Elektronisk grunnbok.
Artikkel 19 oppstiller krav til hva en melding skal inneholde. Det skal bl. a. opplyses om hva opplysningene skal brukes til, hvilke typer opplysninger som vil bli benyttet og hvilke mottakere eller grupper av mottakere som eventuelt vil få utlevert opplysningene.
Artikkel 21
Medlemsstatene skal sikre at behandlingene er offentlig tilgjengelige, bl. a. gjennom å gi regler om at tilsynsmyndigheten skal føre et register over behandlinger som er innmeldt etter artikkel 18. Registeret skal minst inneholde de opplysningene som nevnes i artikkel 19 nr. 1 bokstav a-e, og skal være tilgjengelig for enhver som måtte ønske innsyn i det. For de behandlingene som er unntatt fra meldeplikt, og som derved ikke vil bli samlet i det offentlige registeret, pålegger nr. 3 de behandlingsansvarlige å utarbeide en offentlig tilgjengelig oversikt som i hovedsak skal inneholde de samme opplysninger som den offentlige fortegnelsen over meldepliktige behandlinger. Det kan gjøres unntak for lovbestemte registre som er beregnet på å informere offentligheten.
Artikkel 22-24
Direktivets bestemmelser om klageadgang, ansvar og sanksjoner oppstiller visse generelle krav, men overlater til medlemsstatene å utforme detaljene i gjennomføringen. Artikkel 22 pålegger medlemsstatene å sikre at de som mener at deres rettigheter etter nasjonal personopplysningslovgivning er krenket, skal kunne bringe saken inn for domstolene. Bestemmelsen er ikke til hinder for at det kan fastsettes egne regler om administrativ klageadgang.
Artikkel 23 nr. 1 pålegger medlemsstatene å gi regler om at enhver som har lidt skade som følge av ulovlig behandling av personopplysninger, skal ha rett til erstatning fra den behandlingsansvarlige for den skaden som er voldt. Nr. 2 åpner samtidig for at den behandlingsansvarlige helt eller delvis kan fritas for ansvar dersom han godtgjør at han ikke kan lastes for den hendelsen som forårsaket skaden. Det er naturlig å oppfatte direktivet slik at det oppstiller en erstatningsplikt bygget på et skyldansvar med omvendt bevisbyrde. Det synes å være et åpent tolkingsspørsmål om direktivbestemmelsen også omfatter erstatning for skade som ikke resulterer i økonomisk tap (oppreisning). I medhold av enkelte forarbeider til direktivet kan det hevdes at artikkel 23 forplikter til å innføre en regel som gir rett til å kreve erstatning for ikke-økonomisk tap (jf. COM (90) 314 final-SYN 287, 13.9.90 s. 40 og COM (92) 422 final-SYN 287, 15.10.92 s. 83).
Artikkel 24 pålegger medlemsstatene å fastsette sanksjoner for overtredelse av de nasjonale bestemmelser som gis til gjennomføring av direktivet. Bestemmelsen har som formål å sikre at direktivet gjennomføres i fullt omfang, men den enkelte stat står relativt fritt til selv å avgjøre hvilke sanksjoner som bør benyttes.
Artikkel 25-26
Direktivet skiller mellom overføring av personopplysninger til medlemsstatene og til tredjestater. Det skal være fri utveksling av personopplysninger mellom medlemsstatene, jf. artikkel 1 nr. 2, mens det for overføring av personopplysninger til tredjestat oppstilles ulike grunnprinsipper som skal sikre at opplysninger som hovedregel bare overføres til stater som har et tilstrekkelig vernenivå når det gjelder personvern, jf. artikkel 25. Artikkel 26 inneholder unntak fra hovedregelen om overføring til tredjestat og oppstiller i nr. 1 bokstav a til f og nr. 2 alternative vilkår som kan berettige overføring av personopplysninger til tredjestat som ikke har et tilstrekkelig vernenivå. Overføring kan bl. a. skje når det er nødvendig av hensyn til å få gjennomført en kontrakt/kontraktsinngåelse der den registrerte er part, eller når det er påkrevd av hensyn til den registrertes vitale interesser. Overføring kan også tillates når det er nødvendig eller fastsatt i lov for å verne viktige samfunnsinteresser, eller for at et rettskrav skal kunne fastlegges, gjøres gjeldende eller forsvares.
Direktivet etablerer særlige prosedyrer for å sikre en enhetlig praktisering av overføringsreglene. Kommisjonen og medlemsstatene skal holde hverandre orientert om tredjestater som de finner ikke har et tilstrekkelig vernenivå, jf. artikkel 25 nr. 3. Kommisjonen kan etter å ha innhentet råd fra en komité der alle medlemsstatene er representert, konstatere at en tredjestat ikke har tilstrekkelig vernenivå, men kan deretter inngå forhandlinger med vedkommende stat for å forsøke å avhjelpe den situasjonen som er oppstått etter en slik konstatering, jf. artikkel 25 nr. 5. Medlemsstatene er forpliktet til å sette i verk nødvendige tiltak for å hindre overføring av personopplysninger til de statene som Kommisjonen konstaterer ikke har et tilfredsstillende vernenivå, jf. artikkel 25 nr. 4. Dersom Kommisjonen etter forhandlinger fastslår at vedkommende stats vernenivå likevel er tilfredsstillende, må medlemsstatene legge dette til grunn for fremtidige behandlinger, jf. artikkel 25 nr. 6. Medlemsstatene skal underrette Kommisjonen og de øvrige medlemsstatene når de overfører opplysninger til tredjestater i medhold av unntaksregelen i artikkel 26 nr. 2. Dersom en medlemsstat eller Kommisjonen har innsigelser mot overføringen, kan Kommisjonen etter tilsvarende prosedyrer som i artikkel 25 fastsette hensiktsmessige tiltak som medlemsstatene må etterkomme, jf. artikkel 26 nr. 3. For gjennomføring av disse bestemmelsene innenfor EØS-området vises til punkt 3 om EØS-komiteens beslutning.
Artikkel 27
Medlemsstatene og Kommisjonen skal oppmuntre til utarbeidelse av såkalte atferdsregler (bransjevise atferdsnormer) som er retningslinjer for behandling av personopplysninger som virksomheter eller bransjerepresentanter selv utarbeider på frivillig basis og som fungerer som et slags internt reglement. Etter nr. 2 skal det være anledning til å forelegge forslag til atferdsregler for tilsynsmyndigheten til vurdering.
Artikkel 28
Hver medlemsstat skal utpeke minst én offentlig tilsynsmyndighet som skal påse at reglene som gis for å gjennomføre direktivet overholdes. Tilsynsmyndigheten skal utøve sine oppgaver i full uavhengighet, jf. nr. 1, og tillegges i nr. 3 en rekke ulike oppgaver. Ettersom direktivet legger opp til at tilsynsmyndigheten skal være et forvaltningsorgan, er det naturlig å tolke det slik at kravet til uavhengighet relaterer seg til den utøvende statsmakt, dvs regjeringen. Det er under utføringen av tilsynsoppgaver at tilsynsmyndigheten skal være uavhengig av regjeringen, og uavhengigheten skal være faglig og ikke administrativ. Medlemsstatene skal sørge for at tilsynsmyndighetene blir hørt når det utarbeides lover og forskrifter om personvern i forbindelse med behandling av personopplysninger, jf. nr. 2. Enhver skal kunne rette en anmodning til tilsynsmyndigheten om vern av sine rettigheter i forbindelse med behandling av personopplysninger, jf. nr. 4. Tilsynsmyndigheten skal med jevne mellomrom utarbeide offentlige rapporter om sin tilsynsvirksomhet, jf. nr. 5. De nasjonale tilsynsmyndighetene skal samarbeide med hverandre, jf. nr. 6, og det skal fastsettes regler som pålegger tilsynsmyndighetens medlemmer taushetsplikt om fortrolige opplysninger som de har hatt tilgang til, jf. nr. 7.
Artikkel 29-31
Det skal nedsettes en uavhengig arbeidsgruppe for personvern i forbindelse med behandlingen av personopplysninger, bestående av én representant fra tilsynsmyndighetene i hver medlemsstat, i tillegg til representanter fra EUs egne organer, jf. artikkel 29. Gruppen skal gi Kommisjonen råd i spørsmål som gjelder personvern ved behandling av personopplysninger, jf. artikkel 30 nr. 1. Gruppen har også som en sentral funksjon å bidra til ensartet anvendelse av de nasjonale reglene som gis for å gjennomføre direktivet, jf. artikkel 30 nr. 1 og 2. Arbeidsgruppen skal utarbeide en offentlig årsberetning, jf. nr. 6.
I henhold til artikkel 31 skal Kommisjonen også bistås av en komité med representanter for medlemsstatene, jf. nr. 1. Etter nr. 2 skal komiteen få fremlagt for uttalelse utkast til tiltak som skal treffes, f. eks. om å nekte overføring til tredjestat etter artikkel 25 nr. 4. Uttalelsen skal avgis med det flertall som er fastsatt i traktatens artikkel 148 nr. 2. Kommisjonen skal vedta tiltak som skal iverksettes umiddelbart. Hvis tiltakene ikke er i samsvar med uttalelsen fra komiteen, skal Rådet underrettes om dette. Iverksettelsen skal utsettes i tre måneder og Rådet kan med kvalifisert flertall treffe en annen beslutning innen denne fristen.
Om norsk deltakelse i arbeidsgruppen og komiteen vises til punkt 3 om EØS-komiteens beslutning.
Artikkel 32
Fristen for å implementere direktivet i medlemsstatene løp ut 24. oktober 1998.