6.8.2008   

DA

Den Europæiske Unions Tidende

C 200/1

1.

Den 18. oktober 2007 forelagde Europa-Kommissionen et forslag (i det følgende benævnt »forslaget«) for Europa-Parlamentet og Rådet om ændring af forordning (EF) nr. 2252/2004 (1). Den Europæiske Tilsynsførende for Databeskyttelse (i det følgende benævnt »den tilsynsførende«) blev ikke hørt om dette forslag, selv om Kommissionen i henhold til artikel 28, stk. 2, i forordning (EF) nr. 45/2001 skal høre den tilsynsførende, når den vedtager et forslag til retsakt vedrørende beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger.

2.

Den tilsynsførende beklager, at Kommissionen ikke overholdt sin retlige forpligtelse til at høre ham og forventer at blive hørt i fremtiden om forslag, der henhører under artikel 28, stk. 2. Den tilsynsførende har besluttet at afgive en udtalelse på eget initiativ. I betragtning af, at artikel 28, stk. 2, i forordning (EF) nr. 45/2001 har obligatorisk karakter, bør denne udtalelse nævnes i præamblen til teksten.

3.

Baggrunden for forslaget er følgende: Rådet vedtog den 13. december 2004 forordning (EF) nr. 2252/2004 om standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder, med henblik på at indføre biometriske oplysninger i pas. Biometriske oplysninger har sammen med sikkerhedselementer til formål at styrke forbindelsen mellem passet og indehaveren af dette dokument. Den 28. februar 2005 vedtog Kommissionen første del af de tekniske specifikationer, der vedrører lagring af indehaverens ansigtsbillede i en kontaktløs chip (2). Den 28. juni 2006 vedtog Kommissionen en anden beslutning (3) om supplerende lagring af to fingeraftryk i passets chip.

4.

Med henblik på at harmonisere undtagelserne for biometriske pas er der i forslaget tilføjet følgende foranstaltninger: børn under seks år er undtaget fra forpligtelsen til at afgive fingeraftryk, og personer, for hvem det er fysisk umuligt at afgive fingeraftryk, bør også undtages for dette krav.

5.

Endvidere indfører forslaget »en person — et pas«-forpligtelsen, der beskrives som en yderligere sikkerhedsforanstaltning og en ekstra beskyttelse for børn.

6.

Den tilsynsførende hilser velkommen, at Kommissionen har taget hensyn til spørgsmålet om tilbagefaldsprocedurer, som er nævnt i hans tidligere udtalelser, jf. begrundelsen for forslaget.

7.

Den tilsynsførende beklager, at Kommissionen ikke har gennemført en konsekvensanalyse af dette forslag. Det er derfor uklart, hvordan Kommissionen har kunnet foretage en korrekt vurdering af forslagets nødvendighed og proportionalitet i henseende til databeskyttelse uden at gøre brug af en streng konsekvensanalyse. En sådan analyse bør ikke kun omfatte de omkostninger, som de nye foranstaltninger medfører, men kunne drage nytte af tilsvarende spørgsmål, der allerede er taget op i forbindelse med andre spørgsmål, bl.a. spørgsmålet om revision af de fælles konsulære instrukser (4). Den manglende konsekvensanalyse understreger også behovet for at tage den aldersgrænse, der er anført i forslaget, op til revision, jf. den nærmere redegørelse i afsnit 2.1 i denne udtalelse.

8.

Den tilsynsførende har ved flere lejligheder anerkendt fordelene ved at bruge biometriske oplysninger, men også understreget, at disse fordele afhænger af, at der anvendes strenge sikkerhedsforanstaltninger. Den tilsynsførende foreslog i sin udtalelse om SIS II (5) en ikke-udtømmende liste over fælles forpligtelser eller krav, som skal overholdes ved anvendelse af biometriske oplysninger i et system. Disse elementer vil bidrage til at forhindre, at indehaveren af passet kommer til at bøde for systemets mangler, såsom følgerne af fejlagtig identifikation eller manglende registrering.

9.

Den tilsynsførende støtter stærkt Kommissionens forslag om at indføre undtagelser fra kravet om at afgive fingeraftryk på grund af personens alder eller dennes manglende evne til at afgive fingeraftryk. Disse undtagelser er en del af de tilbagefaldsprocedurer, som bør gennemføres. Den tilsynsførende hilser også velkommen, at Kommissionen har bestræbt sig på at vedtage en sammenhængende strategi i forskellige instrumenter, der vedrører tilsvarende spørgsmål, hvilket kan ses af, at Kommissionen også har foreslået en undtagelse i forslaget om revision af de fælles konsulære instrukser.

10.

Den tilsynsførende finder dog fortsat disse undtagelser utilfredsstillende, da de ikke tager hensyn til de mulige og relevante spørgsmål, der følger af biometriske systemers iboende mangler, navnlig dem, der vedrører børn og ældre.

11.

Kommissionen henviser i begrundelsen til forslaget til pilotprojekter i nogle medlemsstater, som har vist, at fingeraftryk af »børn under seks år tilsyneladende ikke er af tilstrækkelig høj kvalitet til, at man kan foretage en en-til-en-identitetskontrol«. Der er kun få eller ingen oplysninger til rådighed om disse pilotprojekter og de omstændigheder, hvorunder de blev gennemført; det er hidtil hverken blevet forklaret eller defineret, hvad der menes med »tilstrækkelig høj kvalitet«.

12.

Ifølge den tilsynsførende bør aldersgrænsen for børn, der afgiver fingeraftryk, fastsættes ved en konsekvent og indgående undersøgelse, der på korrekt vis skal indkredse nøjagtigheden af systemerne under reelle forhold, og som skal afspejle mangfoldigheden af de behandlede oplysninger. Pilotprojekterne som sådan giver ikke tilstrækkelige oplysninger, som fællesskabslovgiverens grundlæggende valg kan baseres på.

13.

Den tilsynsførende har i sin udtalelse (6) om forslaget til Rådets forordning om ændring af de fælles konsulære instrukser allerede fremhævet nødvendigheden af en sådan undersøgelse forud for enhver fastsættelse af en aldersgrænse. Hverken den videnskabelige litteratur, der er til rådighed, eller den tidligere konsekvensanalyse, som Kommissionen har gennemført i forbindelse med forslaget om visuminformationssystemet (7), har givet afgørende dokumentation, som en aldersgrænse for børn kan baseres på.

14.

Den tilsynsførende anbefaler derfor, at den aldersgrænse, der er valgt i forslaget, betragtes som foreløbig. Efter tre år bør aldersgrænsen tages op til revision på grundlag af en omfattende og tilbundsgående undersøgelse. I betragtning af biometriske datas følsomhed og biometriske systemers konkurrencedimension foreslår den tilsynsførende, at denne undersøgelse forvaltes af én enkelt EU-institution, der råder over klar ekspertise og prøvefaciliteter på dette område (8). Alle relevante interessenter — fra industrien til medlemsstaterne — bør opfordres til at bidrage til undersøgelsen.

15.

Inden aldersgrænsen fastlægges klart ved denne undersøgelse, og for at undgå gennemførelse på et usikkert grundlag, anbefaler den tilsynsførende, at den grænse, der anvendes, svarer til dem, der allerede er vedtaget for store befolkninger i forordningen om Eurodac-systemet (9) i forbindelse med asylansøgere (aldersgrænsen for anvendelse af børns fingeraftryk er 14 år) eller US Visit-programmet (10) (også en aldersgrænse på 14 år). Disse grænser kan endog være lidt lavere, da anvendelsen af biometriske oplysninger er strengt knyttet til en kontrolproces (en-til-en-tjek) i henhold til artikel 4, stk. 3, i forordning (EF) nr. 2252/2004. Der forekommer sædvanligvis færre fejl i forbindelse med en sådan proces sammenlignet med en identifikationsproces (en-til-en-sammenligning), hvor fejlprocenten er højere.

16.

Fingeraftrykssystemernes mangler vedrører ikke kun børn, men også ældre. Det er blevet godtgjort, at fingeraftryks nøjagtighed og brugbarhed mindskes med alderen (11), og bekvemmeligheds- og ergonomiaspekter er også særdeles relevante. Med udgangspunkt i begrundelsen for aldersgrænsen for børn anbefaler den tilsynsførende, at der som en yderligere undtagelse indføres en aldersgrænse for ældre, der kan baseres på tilsvarende erfaringer, som allerede er gjort (US Visit-programmet har en aldersgrænse på 79 år). Kvaliteten af ældres fingeraftryk med henblik på registrerings- og matchingprocesser skal også indgå i den undersøgelse, som er foreslået i det foregående.

17.

Endelig minder den tilsynsførende om, at disse undtagelser på ingen måde må stemple eller diskriminere de personer, der undtages på grund af deres alder, ud fra et forsigtighedsprincip, eller fordi deres fingeraftryk er klart ulæselige.

18.

Som der er redegjort for på Organisationen for International Civil Luftfarts (ICAO) websted, er anbefalingen vedrørende begrebet »et pas — en person« (12) hovedsagelig udformet som en mulig løsning på problemet med manglende standarder for familiepas og fremkomsten af maskinlæsbare pas. Den tilsynsførende anerkender, at en yderligere fordel ved dette begreb kan være, at det bidrager til bekæmpelsen af børnehandel. Hovedformålet med passet er dog at gøre det lettere for europæiske borgere at rejse og ikke at bekæmpe bortførelse af børn, hvortil der er udviklet supplerende konkrete og effektive foranstaltninger.

19.

Ifølge en undersøgelse, som er gennemført for nylig (13), er mindreårige, som rejser alene, mest udsat for handel eller bortførelse. Det er klart, at for denne kategori indebærer det en yderligere beskyttelse at have et personligt rejsedokument. Der skal dog understreges, at børn under seks år ifølge Den Internationale Luftfartssammenslutning (IATA) ikke har lov til at rejse uden den person, som har forældremyndigheden.

20.

I begrundelsen til forslaget illustrerer Kommissionen behovet for denne sikkerhedsforanstaltning med et eksempel med en forælder og børn, der er registreret i samme pas, og den omstændighed, at børnenes biometriske oplysninger ikke vil blive lagret i chippen, men kun forælderens. Det skal understreges, at for børn under den aldersgrænse, som Kommissionen har foreslået, vil biometriske oplysninger ikke blive lagret i passet under nogen omstændigheder. I dette tilfælde synes den byrde, som ekstraomkostningerne og proceduren udgør for forældrene, samt den supplerende indsamling af personoplysninger om børnene at være for stor i betragtning af de mulige ekstra fordele, som dette princip giver.

21.

Det skal ligeledes understreges, at hvis det bliver teknisk muligt at give adgang til eller registrere oplysninger (ved at udstede et biometrisk pas til børn, som er undtaget), bliver det i mange tilfælde et kraftigt incitament til faktisk at få adgang til eller indsamle disse oplysninger. Man kan trygt gå ud fra, at tekniske midler vil blive anvendt, når de er til rådighed; med andre ord er det nogle gange midlet, der helliger målet, og ikke omvendt. Dette kan føre til efterfølgende krav om at slække på de retlige bestemmelser (og lavere aldersgrænse) for at gøre det lettere at udnytte disse tekniske muligheder. Retlige ændringer kan så kun bekræfte en praksis, som allerede anvendes.

22.

Den tilsynsførende anbefaler, at princippet om »en person — et pas« kun finder anvendelse på børn over den aldersgrænse, som Kommissionen har foreslået, eller den aldersgrænse, der vil blive revideret eller bekræftet ved den tidligere nævnte undersøgelse.

23.

Udstedelse af pas i EU-medlemsstaterne følger disse medlemsstaters nationale lovgivning. Den nationale lovgivning kræver fremlæggelse af forskellige dokumenter såsom fødselsattest, nationalitetsattest, »familiebog«, tilladelse fra forældrene, kørekort, faktura fra en forsyningsvirksomhed osv. Disse dokumenter kaldes sædvanligvis for de underliggende dokumenter, da pas udstedes på grundlag af disse.

24.

Der er store forskelle mellem EU-medlemsstaternes lovgivning i den henseende. Den måde, hvorpå de underliggende dokumenter udfærdiges i medlemsstaterne, samt de dokumenter, der kræves for udstedelse af et pas, vidner om meget forskelligartede situationer og procedurer, som nødvendigvis vil forringe kvaliteten af oplysningerne i pas og endog øge risikoen for identitetsmisbrug.

25.

Da underliggende dokumenter sædvanligvis er omfattet af færre sikkerhedselementer, er det mere sandsynligt, at de bliver forfalsket eller efterlignet, i modsætning til et forbedret pas med biometriske oplysninger, som er beskyttet af PKI-systemer.

26.

Den tilsynsførende hilser også Kommissionens mål om at forbedre passets sikkerhedsforanstaltninger velkommen, men vil dog gerne understrege, at passet kun er et led i en sikkerhedskæde, der starter med disse underliggende dokumenter og ender ved grænsekontrolstederne, og at denne kæde ikke er mere sikker end det svageste led. Den tilsynsførende anbefaler, at Kommissionen foreslår supplerende foranstaltninger til harmonisering af, hvordan de underliggende dokumenter udstedes, og hvilke af dem der kræves til et pas.

27.

Ifølge en indgående undersøgelse (14), som Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger (Artikel 29-Gruppen) har foretaget efter anmodning fra Europa-Parlamentets Udvalg om Borgernes Rettigheder og Retlige og Indre anliggender, og som koncentrerede sig om praksis med hensyn til gennemførelsen af forordning (EF) nr. 2252/2004, har flere medlemsstater planer om at oprette en central database til lagring af biometriske oplysninger i pas. Selv om det er muligt for medlemsstaterne kun at gennemføre en procedure for kontrol af biometriske oplysninger ved hjælp af en central database, jf. den strenge begrænsning i forordningen, medfører denne mulighed yderligere risici for beskyttelsen af personoplysninger, f.eks. udvikling af yderligere mål, der er ikke er fastsat i forordningen, eller endog »fiskeri efter oplysninger« i databasen, som vil være vanskelig at bekæmpe (15).

28.

Den tilsynsførende anbefaler, at Kommissionen foreslår yderligere harmoniseringsforanstaltninger, så der kun indføres decentral lagring (i passets trådløse chip) for så vidt angår biometriske oplysninger, der er indsamlet med henblik på EU-medlemsstaternes pas.

29.

Kommissionens beslutning K(2006) 2909 (16) af 28. juni 2006 fastlagde kun formatet for og kvaliteten af de fingeraftryksbilleder, der skal behandles, samt den måde, hvorpå de skal beskyttes (udvidet adgangskontrol). Forslaget nævner ikke noget om den mulige procentdel af manglende registreringer eller satserne vedrørende matchingprocesserne. I forslaget er der dog fastsat en tilbagefaldsprocedure for små børn (aldersgrænse), men tærsklen for, hvornår finderaftryk ikke er gode nok til at blive registreret, er ikke defineret.

30.

Med hensyn til matchingprocessen fastsætter forslaget heller ikke, hvilken procentsats for forkerte afvisninger der skal anvendes ved grænsen, og hvordan børn, der klart er blevet afvist på et forkert grundlag, skal behandles. Denne mangel på ensartede satser kan føre til forskellig behandling af EU-borgeres biometriske oplysninger afhængigt af, hvilken grænse personen vælger for sin indrejse til Schengenområdet, og kan således resultere i manglende ligebehandling af EU-borgere i henseende til de biometriske systemers residualrisiko. Da processen er en en-til-en-kontrol, anerkender den tilsynsførende, at procentsatsen for forkerte afvisninger vil være lavere end den, der anvendes i forbindelse med en identifikationsproces, hvorfor der vil være færre tilfælde at behandle. Der skal dog også fastsættes tilbagefaldsprocedurer for disse personer på en harmoniseret og tilfredsstillende måde.

31.

Den tilsynsførende anbefaler, at Kommissionen foreslår fælles satser for registrerings- og matchingprocesser suppleret med tilbagefaldsprocedurer i samarbejde med medlemsstaternes myndigheder.

32.

De foreslåede ændringer af de eksisterende standarder for sikkerhedselementer og biometriske identifikatorer i pas og rejsedokumenter, som medlemsstaterne udsteder, giver anledning til de samme spørgsmål, som dem, der er taget op i tidligere udtalelser, selv om den tilsynsførende hilser velkommen, at der nu er taget hensyn til nødvendigheden af tilbagefaldsprocedurer.

33.

Den tilsynsførende ser også med tilfredshed på indførelsen af undtagelser på grund af den pågældende persons alder eller evne til at afgive fingeraftryk samt bestræbelserne på at indføre en sammenhængende strategi i forskellige instrumenter, der beskæftiger sig med tilsvarende spørgsmål.

34.

Den tilsynsførende finder dog fortsat disse undtagelser utilfredsstillende, da de ikke tager hensyn til de mulige og relevante spørgsmål, der følger af biometriske systemers iboende mangler, navnlig dem, der vedrører børn og ældre.

35.

Aldersgrænsen for børn bør fastsættes ved en konsekvent og indgående undersøgelse, der på korrekt vis skal indkredse nøjagtigheden af systemerne under reelle forhold, og skal afspejle mangfoldigheden af de behandlede oplysninger. Denne undersøgelse bør udføres af en EU-institution med klar ekspertise og passende faciliteter på områder.

36.

Inden aldersgrænsen fastlægges ved en undersøgelse, og for at undgå gennemførelse på et usikkert grundlag, bør den foreløbige aldersgrænse svare til dem, der allerede er fastsat for store befolkninger, enten i Eurodac-systemet eller US Visit-programmet (14 år), eller være lidt lavere, eftersom det kun drejer sig om en kontrolproces.

37.

En aldersgrænse for ældre, der kan baseres på tilsvarende erfaringer (US Visit: 79 år), bør indføres som en supplerende undtagelse. Sådanne undtagelser bør under ingen omstændigheder stemple eller diskriminere de berørte personer.

38.

Princippet om »en person — et pas« bør kun anvendes på børn over den relevante aldersgrænse.

39.

På grund af de eksisterende forskelle i de nationale lovgivninger med hensyn til de dokumenter, der kræves for udstedelse af pas, bør Kommissionen foreslå supplerende foranstaltninger til harmonisering af udstedelsen og anvendelsen af sådanne underliggende dokumenter.

40.

Kommissionen bør også foreslå yderligere harmoniseringsforanstaltninger, så kun decentral lagring af biometriske oplysninger, som er indsamlet med henblik på medlemsstaternes pas, gennemføres.

41.

Endelig bør Kommissionen foreslå fælles satser for registrerings- og matchingprocesser suppleret med tilbagefaldsprocedurer i samarbejde med medlemsstaternes myndigheder.