17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/1

1.

Den 22. april 2009 vedtog Kommissionen et forslag til Rådets forordning om ændring af forordning (EF) nr. 881/2002 om indførelse af visse specifikke restriktive foranstaltninger mod visse personer og enheder, der har tilknytning til Usama bin Laden, Al-Qaida-organisationen og Taliban (i det følgende benævnt »forslaget«). Samme dag blev forslaget af Kommissionen sendt til EDPS med henblik på en udtalelse i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001. EDPS minder om, at han den 9. marts 2009 fremsatte uformelle bemærkninger til et udkast til forslag, og at der er taget hensyn til disse bemærkninger i forslaget.

2.

Den tilsynsførende hilser det velkommen, at han er blevet hørt, og at der henvises til denne høring i forslagets betragtninger på samme måde som i en række andre retsakter, hvor den tilsynsførende er blevet hørt i overensstemmelse med forordning (EF) nr. 45/2001.

3.

Forslaget ændrer forordning (EF) nr. 881/2002, der er et af de instrumenter, som Fællesskabet har vedtaget med henblik på at bekæmpe terrorisme ved at træffe restriktive foranstaltninger, navnlig indefrysning af midler, over for fysiske og juridiske personer, der mistænkes for at have tilknytning til terrororganisationer. Formålet med forslaget er især at sætte ind i forhold til den seneste udvikling i Domstolens retspraksis, navnlig Kadi-sagen (1), ved at fastlægge »en procedure, som respekterer de grundlæggende rettigheder og vil blive fulgt for personer og enheder, der er opført for første gang på FN's liste« (punkt 4 i begrundelsen).

4.

Medens Domstolens domme specifikt skulle fokusere på overholdelsen af den grundlæggende ret til forsvar og navnlig retten til at blive hørt, har retspraksis på området videre konsekvenser og kan sammenfattes således: EU's standarder for beskyttelse af de grundlæggende rettigheder skal overholdes, uanset om de restriktive foranstaltninger er truffet på EU-plan eller stammer fra internationale organisationer som f.eks. FN (2).

5.

EU's grundlæggende rettigheder omfatter også retten til beskyttelse af personoplysninger, hvilket Domstolen har anerkendt som et af de principper, der er knæsat i EU-traktatens artikel 6, stk. 2, og som er yderligere bekræftet i Den Europæiske Unions charter om grundlæggende rettigheder, artikel 8.

6.

I den forbindelse ser EDPS med tilfredshed ikke blot på Domstolens seneste retspraksis, men også på, at Kommissionen agter at følge den ved at forbedre proceduren for opførelse på listen og ved eksplicit at tage hensyn til retten til beskyttelse af personoplysninger. EDPS anerkender fuldt ud målet om bekæmpelse af terrorisme gennem behandling og udveksling af personoplysninger, men er samtidig af den faste overbevisning, at beskyttelse af personoplysninger er en afgørende faktor, når det drejer sig om at garantere legitimiteten og effektiviteten af de restriktive foranstaltninger, Kommissionen træffer. Disse foranstaltninger bygger på behandling af personoplysninger, der i sig selv — uanset indefrysningen af midler — nødvendigvis er omfattet af regler om og garantier for databeskyttelse. Det er derfor ekstremt vigtigt at sørge for, at de regler, der finder anvendelse i forbindelse med behandling af oplysninger om personer, der står opført på listen, er klare og opfylder de retssikkerhedsmæssige hensyn, jf. punkt 8 i begrundelsen.

7.

Dette er så meget desto vigtigere i forbindelse med Lissabontraktatens ikrafttræden, der ikke blot giver Den Europæiske Unions charter om grundlæggende rettigheder bindende virkning, men også i artikel 16 i EUF-traktaten og artikel 39 i EU-traktaten stadfæster behovet for databeskyttelsesregler og -garantier på alle Den Europæiske Unions aktivitetsområder. Ydermere vil Domstolen få fuld kompetence til selv på FUSP-området at vurdere legaliteten, herunder især for så vidt angår grundlæggende rettigheder, af afgørelser om restriktive foranstaltninger over for fysiske eller juridiske personer (EUF-traktatens artikel 275).

8.

EDPS hilser det velkommen, at der i præamblen henvises til, at forordningen skal anvendes i overensstemmelse med den grundlæggende ret til beskyttelse af personoplysninger (betragtning 10), og at der skal træffes passende specifikke sikkerhedsforanstaltninger, når Kommissionen behandler oplysninger om straffelovsovertrædelser, der er begået af fysiske personer, der er opført på listen, og om straffedomme eller sikkerhedsforanstaltninger, der omhandler sådanne personer.

9.

EDPS er desuden tilfreds med, at forslaget eksplicit i betragtning 12 anerkender gældende databeskyttelsesregler, navnlig i forordning (EF) nr. 45/2001, i forbindelse med behandling af personoplysninger på dette område. I artikel 3 i forordning (EF) nr. 45/2001 hedder det nemlig, at denne forordning anvendes »på behandling af personoplysninger, som finder sted i samtlige fællesskabsinstitutioner og -organer, i det omfang denne behandling er iværksat som led i udøvelsen af aktiviteter, der helt eller delvis hører under fællesskabsrettens anvendelsesområde«. I den forbindelse er forordning (EF) nr. 881/2002, selv om den er knyttet til fælles holdning 2002/402/FUSP og FN's aktiviteter på området, baseret på traktaten om oprettelse af Det Europæiske Fællesskab.

10.

Som en generel betragtning vil EDPS gerne påpege, at forordning (EF) nr. 45/2001 pålægger de registeransvarlige en række forpligtelser — bl.a. vedrørende oplysningernes pålidelighed, lovligheden af behandlingen, underretning, behandlingssikkerhed — og giver de registrerede rettigheder — bl.a. vedrørende indsigt, berigtigelse, blokering, sletning, underretning af tredjemand og klager — der finder anvendelse, medmindre der er fastsat undtagelser og begrænsninger i henhold til artikel 20. Under alle omstændigheder bør disse begrænsninger af den grundlæggende ret til databeskyttelse opfylde nogle forholdsmæssige krav, dvs. at de både i indhold og varighed bør begrænses til, hvad der er nødvendigt for at beskytte offentlighedens interesser, således som Domstolens retspraksis har bekræftet det, også for så vidt angår restriktive foranstaltninger. Dette er særlig vigtigt, fordi disse rettigheder og forpligtelser samt behovet for uafhængigt tilsyn i forbindelse med behandling af personoplysninger udgør kernen i den grundlæggende ret til databeskyttelse, hvilket eksplicit er fremhævet i artikel 8 i EU's charter om grundlæggende rettigheder.

11.

EDPS ser endvidere med tilfredshed på, at forslaget implicit eller eksplicit omhandler nogle af disse rettigheder og forpligtelser, men vil alligevel gerne påpege, at forslaget ikke kan fortolkes på en måde, der udelukker eller begrænser gyldigheden af de forpligtelser og de af de registreredes rettigheder, der ikke er nævnt heri.

12.

På den baggrund vil EDPS i det følgende fortsætte gennemgangen af bestemmelserne i forslaget i forhold til de mest relevante databeskyttelsesprincipper og komme med en række anbefalinger til forbedringer og råd om, hvordan man kan medtage visse andre spørgsmål, der på nuværende tidspunkt ikke er omhandlet, men som kan formodes at opstå i tilknytning til anvendelsen af databeskyttelsesprincipperne. I visse tilfælde vil det være ønskeligt med flere detaljer om anvendelsen af databeskyttelsesforpligtelser og -rettigheder i forbindelse med restriktive foranstaltninger.

13.

Disse bemærkninger kan kun afspejle, hvor afgørende en faktor beskyttelse af personoplysninger er med henblik på at sikre lovligheden og effektiviteten af restriktive foranstaltninger, som Kommissionen træffer, og går ikke ind i eller berører andre substansspørgsmål, der måtte opstå i tilknytning til opførelse på en liste under anvendelse af andre regler.

14.

Artikel 7a omhandler procedurerne for, hvordan fysiske eller juridiske personer opføres på eller fjernes fra listen, medens artikel 7c fastlægger en specifik procedure for personer, der blev opført på listen inden den 3. september 2008.

15.

EDPS ser med tilfredshed på disse bestemmelser, fordi de styrker respekten for de grundlæggende rettigheder ved at give de berørte personer mulighed for at blive orienteret om begrundelsen for, hvorfor de er opført på listerne, og mulighed for at tilkendegive deres holdning til spørgsmålet. Desuden fastlægges det i stk. 4, at fjernelse fra listen på FN-niveau automatisk medfører fjernelse fra listen på EU-niveau, hvilket stemmer overens med databeskyttelsesprincippet om, at personoplysninger skal ajourføres, jf. artikel 4, stk. 1, litra d), i forordning (EF) nr. 45/2001.

16.

EDPS understreger imidlertid, at disse bestemmelser ikke udelukker, at der kan gælde lignende forpligtelser i kraft af forordning (EF) nr. 45/2001, såsom oplysningspligt over for den registrerede i henhold til artikel 11 og navnlig artikel 12, der omhandler oplysningspligt, når oplysningerne ikke er indhentet hos den registrerede, pligten til i henhold til artikel 14 omgående at berigtige urigtige eller ufuldstændige oplysninger, og pligten til i henhold til artikel 17 at underrette tredjemand, til hvem personoplysninger er videregivet, om enhver berigtigelse eller sletning af oplysninger — f.eks. fjernelse fra listen — medmindre dette viser sig umuligt eller kræver en uforholdsmæssigt stor indsats.

17.

Der kan naturligvis som allerede nævnt under punkt 10 i medfør af artikel 20 i forordning nr. 45/2001 foretages de undtagelser og begrænsninger i forhold til disse bestemmelser, der måtte vise sig at være nødvendige. Eksempelvis vil det for at bibeholde den overraskende effekt være nødvendigt at vente med at underrette de involverede personer om en afgørelse om, at de opføres på listen, og deres midler indefryses. Set i lyset heraf anbefaler EDPS lovgiveren at overveje, om det er nødvendigt eksplicit i forslaget at tydeliggøre, hvilke undtagelser fra databeskyttelsesprincipperne der anses for at være nødvendige, f.eks. behovet for at udskyde oplysningspligten i medfør af artikel 12, indtil der er truffet en foreløbig afgørelse.

18.

I den foreslåede artikel 7d hedder det i stk. 1, at såfremt FN eller en medlemsstat forelægger klassificeret information, behandler Kommissionen en sådan information i henhold til Kommissionens interne sikkerhedsbestemmelser (afgørelse 2001/844/EF, EKSF, Euratom (3)) og, når dette er relevant, aftalen mellem Den Europæiske Union og den pågældende medlemsstat om klassificerede oplysningers sikkerhed. I stk. 2 er det angivet, at dokumenter, der er klassificeret på et niveau svarende til »EU Top Secret«, »EU Secret« eller »EU Confidential«, ikke videregives uden ophavsmandens samtykke.

19.

Denne artikel rejser to spørgsmål, hvoraf det første omhandler bestemmelsens betydning for den registreredes ret til indsigt i egne personoplysninger i henhold til artikel 13 i forordning (EF) nr. 45/2001, og det andet EDPS′og Domstolens mulighed for med henblik på korrekt udførelse af deres respektive opgaver at få indsigt i personoplysninger, der er indeholdt i klassificeret information.

20.

De omtalte sikkerhedsregler og aftalerne mellem EU og den forelæggende medlemsstat regulerer, hvordan der kan gives adgang til klassificerede oplysninger. Kun personer, der opfylder »need to know«-princippet, hvilket betyder, at de har behov for at få adgang til for at kunne varetage deres funktion eller udføre deres opgave, kan få adgang til sådanne oplysninger (4). Hvad angår oplysninger, der er klassificeret på de niveauer, der er nævnt i forslagets artikel 7d, stk. 2, skal disse personer desuden sikkerhedsgodkendes.

21.

Kommissionens interne sikkerhedsregler skal læses i sammenhæng med forordning (EF) nr. 1049/2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter, hvorved enhver gives ret til indsigt i oplysninger fra de tre største EU-institutioner. Artikel 9 i denne forordning omhandler behandling af følsomme dokumenter og henviser til de tre ovennævnte klassifikationskategorier. Ifølge stk. 3 må følsomme dokumenter kun gøres offentligt tilgængelige med samtykke fra den, fra hvem dokumentet hidrører, hvilket også fastslås i det foreslåede stk. 2 i artikel 7d.

22.

Kommissionens interne sikkerhedsregler stemmer overens med retten til aktindsigt for så vidt angår dokumenter. Dette gør sig imidlertid ikke gældende for specifikke indsigtsrettigheder, såsom registreredes ret til at få indsigt i deres egne personoplysninger i henhold til forordning (EF) nr. 45/2001, artikel 13. De interne sikkerhedsregler omhandler ikke hverken databeskyttelsesbestemmelser eller de registreredes rettigheder som sådan. Den situation, hvor en registreret anmoder om indsigt i personoplysninger i et klassificeret dokument, er ikke nævnt i Kommissionens interne sikkerhedsregler. Det samme gælder de aftaler om sikkerheden af klassificerede oplysninger, der er indgået med individuelle stater.

23.

I henhold til forordning (EF) nr. 45/2001, artikel 13, har den registrerede indtil tre måneder efter modtagelsen af anmodningen til enhver tid ret til hos den registeransvarlige uden begrænsning og vederlagsfrit bl.a. at få oplyst i letforståelig form, hvilke personoplysninger der er genstand for behandling (jf. litra c).

24.

EDPS forstår fuldt ud, at der i forbindelse med restriktive foranstaltninger over for visse personer eller enheder, hvor formålet er at forebygge terrorhandlinger, er vægtige grunde til ikke at videregive klassificerede (person)oplysninger til den registrerede. Denne begrænsning er som nævnt i punkt 10 hjemlet i forordning (EF) nr. 45/2001, artikel 20. EDPS ønsker imidlertid at understrege det krav om nødvendighed, der er fastsat i denne artikel og den procedure, der er fastlagt i forordningens artikel 20, stk. 3 og 4.

25.

Ifølge artikel 20 skal begrænsningen af de nævnte bestemmelser ske som en nødvendig foranstaltning af hensyn til et af de nævnte formål. Eftersom hverken Kommissionens interne sikkerhedsregler eller aftalerne med de enkelte stater omhandler spørgsmålet om registreredes aktindsigt, og forslagets artikel 7d, stk. 2, indeholder et ufravigeligt krav om samtykke fra ophavsmanden, før klassificerede dokumenter kan videregives, findes det ikke godtgjort, at en begrænsning af retten til at få indsigt kun finder sted, når det er nødvendigt. Bestemmelsen indeholder ikke nogen væsentlige kriterier og lader ethvert skøn være op til den, fra hvem oplysningerne hidrører, hvilket også indbefatter parter, der ikke er underlagt EU-ret og EU's standarder for beskyttelse af de grundlæggende rettigheder.

26.

Artikel 20, stk. 3 og 4, omhandler bestemmelserne for, hvornår en begrænsning kan finde anvendelse. Ifølge stk. 3 skal den involverede institution underrette den registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om vedkommendes ret til at henvende sig til EDPS. Stk. 4 indeholder en yderligere bestemmelse, der specifikt vedrører en begrænsning af indsigtsretten. Ifølge den skal EDPS, når han undersøger en klage på grundlag af stk. 3, kun underrette den registrerede om, hvorvidt oplysningerne er behandlet korrekt, og, hvis dette ikke er tilfældet, hvorvidt de nødvendige korrektioner er foretaget. (5) Det foreliggende forslag om ændring af forordning (EF) nr. 881/2002 bør sikre, at disse regler kan overholdes. Dette punkt hænger nøje sammen med det andet spørgsmål, som forslagets artikel 7d giver anledning til.

27.

Kravet i artikel 7d, stk. 2, om, at klassificerede oplysninger kun må videregives med ophavsmandens samtykke, kan også påvirke uafhængigheden af EDPS′ tilsyn. I forbindelse med anvendelsen af forordning (EF) nr. 45/2001 er behandlingen af personoplysninger underlagt de klagemuligheder, der findes i artikel 32, og de håndhævelsesbeføjelser, EDPS har i medfør af artikel 47. Især sidstnævnte artikel giver EDPS beføjelser til hos en registeransvarlig eller en fællesskabsinstitution eller et fællesskabsorgan at få adgang til alle personoplysninger og til alle informationer, der er nødvendige for hans undersøgelser (jf. forordning (EF) nr. 45/2001, artikel 47, stk. 2, litra b)). Det er muligt, at EDPS inden for rammerne af det foreliggende forslag kan bruge disse beføjelser med henblik på udførelse af sit hverv i henhold til forordning (EF) nr. 45/2001, artikel 20, stk. 4. Den nuværende formulering af artikel 7d betyder imidlertid, at udøvelsen af denne beføjelse helt og holdent afhænger af et skøn foretaget af ophavsmanden til de pågældende oplysninger.

28.

Den nuværende affattelse af artikel 7d vil derfor være i strid med bestemmelserne i forordning (EF) nr. 45/2001. EDPS ønsker i den forbindelse at understrege, at der i forordning (EF) nr. 45/2001, artikel 20, ikke åbner mulighed for at foretage den begrænsning af EDPS's hverv og beføjelser, der er omhandlet i artikel 46 og 47.

29.

Ud over de klagemuligheder, der findes ved uafhængige databeskyttelsesmyndigheder, giver databeskyttelseslovgivningen også mulighed for at anlægge sag ved en domstol (jf. direktiv 95/46, artikel 22, og forordning (EF) nr. 45/2001, artikel 32). På den baggrund vil EDPS gerne påpege, at den nuværende affattelse af artikel 7d, stk. 2, også kan berøre effektiviteten af en sådan domstolsprøvelse, idet den kan få indvirkning på Domstolens mulighed for at vurdere, om der er skabt en rimelig balance mellem nødvendigheden af at bekæmpe international terrorisme og beskyttelsen af de grundlæggende rettigheder. Som Retten i Første Instans bemærkede det i sin afgørelse af 4. december 2008 kan det med henblik herpå være nødvendigt for Domstolen at få adgang til klassificerede oplysninger (6).

30.

På baggrund af ovenstående opfordrer EDPS kraftigt lovgiveren til at ændre artikel 7d, så det sikres, 1) at kravet om nødvendighed i artikel 20 i forordning (EF) nr. 45/2001 opfyldes i tilfælde, hvor Kommissionen nægter den registrerede adgang til egne personoplysninger i klassificerede dokumenter, 2) at det sikres, at reglerne i artikel 20, stk. 3 og 4, overholdes, og 3) at EDPS′ beføjelser i henhold til artikel 47 respekteres fuldt ud.

31.

Et første skridt i den retning vil være at begrænse anvendelsesområdet for artikel 7d, stk. 2, ved at ændre udtrykket »videregives« til »gøres offentligt tilgængelige«. En sådan ændring vil også have juridisk konsekvens, idet bestemmelsen som nævnt ovenfor stammer fra forordning (EF) nr. 1049/2001, artikel 9, stk. 3, der kun omhandler offentlig adgang til dokumenter. Ovennævnte ændring vil i vidt omfang løse de ovenfor gennemgåede problemer: indskrænkningen af de registreredes ret til aktindsigt vil ikke længere alene bero på et skøn foretaget af den part, som oplysningerne hidrører fra, og EDPS′ og Domstolens mulighed for at få adgang til sådanne oplysninger med henblik på udførelse af deres respektive opgaver vil heller ikke være begrænset.

32.

Men så længe Kommissionens interne regler og aftaler om informationssikkerhed ikke eksplicit omhandler spørgsmålet om registreredes ret til aktindsigt og samtidig sikrer, at kravet om nødvendighed i forordning (EF) nr. 45/2001, artikel 20, er opfyldt, er der fortsat et problem. Hvor EDPS (og Domstolen) kan få adgang på grundlag af »need-to-know«-princippet efter sikkerhedsgodkendelse af de personer, der helt konkret behandler oplysningerne, er det tvivlsomt, om denne mulighed også eksisterer for den registrerede. EDPS opfordrer derfor kraftigt Kommissionen til at sikre, at retten til indsigt i personoplysninger i klassificerede dokumenter kun begrænses, hvis det er nødvendigt.

33.

Artikel 7e definerer med høj detaljeringsgrad både Kommissionens opgaver vedrørende behandling af personoplysninger (stk. 1), og de personoplysninger, der vil blive behandlet (stk. 2-4). I stk. 5 udpeges et kontor i Kommissionen som registeransvarlig, jf. forordning (EF) nr. 45/2001, artikel 2, litra d).

34.

EDPS ser med tilfredshed på artikel 7e, stk. 1, eftersom det tager sigte på at skabe et retsgrundlag for behandling af personoplysninger, i henhold til forordning (EF) nr. 45/2001, artikel 5. Der er ingen tvivl om, at alle former for behandling af personoplysninger bør ske på grundlag af en af de retlige grunde, der er anført i denne artikel. I den sammenhæng erkender EDPS, at litra a): »nødvendig af hensyn til udførelsen af en opgave i samfundets interesse (…)« og b): »nødvendig for at overholde en retlig forpligtelse, som påhviler den registeransvarlige« kunne være særlig relevante i forbindelse med restriktive foranstaltninger.

35.

EDPS minder imidlertid om, at personoplysninger i overensstemmelse med forordning (EF) nr. 45/2001, artikel 4, skal være »tilstrækkelige og relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles (…)«, og at Kommissionen derfor bør sikre, at de indsamlede personoplysninger er nødvendige med henblik på at indføre de restriktive foranstaltninger, der er påtænkt med forordningsforslaget.

36.

EDPS anbefaler i den forbindelse, at artikel 7e, stk. 1, affattes således: »Kommissionen behandler de personoplysninger, der er nødvendige for at kunne udføre sine opgaver i henhold til forordningen«.

37.

Endvidere bør relevansen af de kategorier af oplysninger, der anvendes i forbindelse med restriktive foranstaltninger — herunder almene identifikationselementer (f.eks. skatteregistreringsnummer og socialsikringsnummer) og »stilling eller erhverv« — kontrolleres nøje såvel generelt som i det enkelte tilfælde, navnlig i tilfælde af, at disse oplysninger omfatter særlige kategorier af information og kræver, at der tages specifikke sikkerhedshensyn.

38.

På den baggrund er EDPS tilfreds med det princip, der er fastlagt i stk. 3, hvorved for- og efternavn på forældrene til en fysisk person kan anføres i bilaget, hvis det er nødvendigt i en konkret sag med det ene formål at bekræfte identiteten af den pågældende fysiske person. Denne bestemmelse afspejler fint databeskyttelsesprincippet om formålsbegrænsning, som bør være tilstrækkeligt specificeret og finde anvendelse for så vidt angår hele artiklen. EDPS anbefaler derfor, at princippet eksplicit anvendes på alle oplysningskategorier, således at artikel 7e, stk. 2, affattes således: »Bilag I omfatter udelukkende oplysninger, der er nødvendige for at bekræfte identiteten af den pågældende fysiske person, der er opført på listen, og under alle omstændigheder højst følgende oplysninger«.

39.

EDPS ser desuden med tilfredshed på stk. 4, hvori det bestemmes, at specifikke kategorier af personoplysninger, f.eks. vedrørende straffelovsovertrædelser, straffedomme eller sikkerhedsforanstaltninger, kun må behandles i specifikke tilfælde under forudsætning af fornødne, specifikke garantier, og at disse hverken må offentliggøres eller udveksles.

40.

Med hensyn til stk. 5 påskønner EDPS, at udpegelsen af en registeransvarlig i bilag II til forordning (EF) nr. 881/2002 vil øge de registeransvarliges synlighed og rolle som kontaktpunkt og dermed gøre det lettere for de registrerede at udøve deres rettigheder i henhold til forordning (EF) nr. 45/2001. EDPS minder imidlertid om, at det også er nødvendigt at sikre, at den registeransvarlige er i stand til effektivt at sikre ikke blot, at de registrerede kan udøve deres rettigheder, men også at alle andre forpligtelser i medfør af forordning (EF) nr. 45/2001 overholdes. Med henblik på dette kunne Kommissionen overveje at tydeliggøre dette punkt i forslaget ved f.eks. i stk. 5 udtrykkeligt at nævne, at den registeransvarlige skal sikre, at forpligtelser i henhold til forordning (EF) nr. 45/2001 overholdes.

41.

Et vigtigt spørgsmål, der ikke eksplicit er omfattet af forslaget, men som implicit ligger i proceduren for opførelse på listen, er, hvorvidt personoplysninger, der behandles af fællesskabsinstitutionerne, kan udveksles med FN og/eller tredjelande, og i så fald på hvilke betingelser.

42.

I den forbindelse henleder EDPS opmærksomheden på forordning (EF) nr. 45/2001, artikel 9, der indeholder betingelserne for videregivelse af personoplysninger til modtagere, som ikke er fællesskabsorganer, og som ikke er undergivet direktiv 95/46/EF. Her findes en bred vifte af løsninger, der omfatter alt fra samtykke fra den registrerede (stk. 6, litra a)), og fremførelse af et retskrav (stk. 6, litra d)) — hvilket kunne være nyttigt, hvis oplysningerne stammer fra den person, der er opført på listen, med henblik på at få foretaget en fornyet vurdering af opførelsen — til tilstedeværelsen inden for FN af mekanismer til sikring af en tilstrækkelig beskyttelse af personoplysninger, der videregives fra EU.

43.

EDPS minder om, at de forskellige påtænkte behandlinger bør stemme overens med denne ordning, så der sikres en tilstrækkelig beskyttelse af personoplysninger, der udveksles med tredjelande og internationale organisationer, og at der eventuelt i den forbindelse er behov for nærmere detaljer i forslaget og arrangementer med FN.

44.

Artikel 6 i forslaget fritager fysiske og juridiske personer, der gennemfører restriktive foranstaltninger, for ansvar, medmindre der er tale om forsømmelighed. EDPS ønsker i den forbindelse at påpege, at denne artikel ikke giver mulighed for fritagelse for ansvar uden for kontraktforhold i henhold til artikel 32, stk. 4, i forordning (EF) nr. 45/2001 og artikel 23 i direktiv 95/46, hvis gældende databeskyttelseslovgivning overtrædes i forbindelse med behandling af personoplysninger. I den sammenhæng baseres de restriktive foranstaltninger på behandling og offentliggørelse af personoplysninger, der i tilfælde af retsstridig adfærd — uanset hvilke restriktive foranstaltninger der er truffet — i sig selv kan give anledning til erstatning for økonomisk skade, jf. afgørelse truffet af Domstolen (7).

45.

Det bemærkes, at det kan være nødvendigt for EDPS at foretage forudgående kontrol i overensstemmelse med forordning (EF) nr. 45/2001, artikel 27, i det omfang forslaget medfører behandling af særlige kategorier af oplysninger (mistanke om strafbare forhold, domfældelser i straffesager og andre retsfølger af strafbare handlinger), og behandling, som tager sigte på at udelukke personer fra at udøve deres ejendomsret i fuldt omfang.

46.

EDPS forventer i henhold til forordning (EF) nr. 45/2001, artikel 28, at blive hørt i forbindelse med lovgivningsforslag og administrative foranstaltninger vedrørende behandling af personoplysninger, der måtte blive forelagt for så vidt angår restriktive foranstaltninger over for formodede terrorister.

47.

EDPS hilser det velkommen, at Kommissionen med sit forslag agter at tage Domstolens seneste retspraksis til følge ved at forbedre proceduren for opførelse på listen og eksplicit tage hensyn til retten til beskyttelse af personoplysninger, der er en altafgørende faktor, når det drejer sig om at garantere legitimiteten og effektiviteten af de restriktive foranstaltninger, som Kommissionen træffer.

48.

EDPS hilser det velkommen, at det i præamblen nævnes, at forordningen skal anvendes i henhold til den grundlæggende ret til beskyttelse af personoplysninger, og at forslaget eksplicit i betragtning 12 anerkender gældende databeskyttelsesregler, navnlig i forordning (EF) nr. 45/2001, i forbindelse med behandling af personoplysninger på dette område.

49.

Overordnet vil EDPS gerne understrege, at forordning (EF) nr. 45/2001 fastsætter en række forpligtelser for såvel registeransvarlige som registrerede, som også finder anvendelse, selv om de ikke eksplicit er nævnt i forslaget. Det vil imidlertid i visse tilfælde være ønskeligt med flere detaljer om anvendelsen — og eventuelle undtagelser og begrænsninger — af databeskyttelsesforpligtelser og -rettigheder i forbindelse med restriktive foranstaltninger.

50.

EDPS ser med tilfredshed på artikel 7a og 7c, fordi de styrker respekten for de grundlæggende rettigheder ved at give de berørte personer mulighed for at blive orienteret om begrundelsen for, hvorfor de er opført på listen. EDPS understreger dog, at disse bestemmelser ikke udelukker lignende forpligtelser i medfør af forordning (EF) nr. 45/2001. Med henblik på dette henstiller EDPS til lovgiveren at overveje, om det er nødvendigt eksplicit at tydeliggøre i forslaget, hvilke undtagelser fra databeskyttelsesprincipperne der anses for at være nødvendige, f.eks. behovet for at udskyde oplysningspligten i medfør af artikel 12, indtil der er truffet en foreløbig afgørelse.

51.

EDPS finder, at artikel 7d ved at lade offentliggørelse af fortrolige dokumenter afhænge af samtykke fra ophavsmanden muligvis kan tilsidesætte den registreredes ret til indsigt i egne personoplysninger i henhold til forordning (EF) nr. 45/2001, artikel 13, og EDPS′ og Domstolens mulighed for med henblik på korrekt udførelse af deres respektive opgaver at få adgang til personoplysning i klassificerede dokumenter. I den forbindelse opfordrer EDPS kraftigt lovgiver til at ændre denne bestemmelse, navnlig ved at ændre udtrykket »videregives« til »gøres offentligt tilgængelige«.

52.

EDPS hilser artikel 7e velkommen, eftersom den tager sigte på at skabe et retsgrundlag for behandling af personoplysninger i henhold til forordning (EF) nr. 45/2001, artikel 5. Han anbefaler dog en række ændringer, så det sikres, at de behandlede oplysninger anvendes til specifikke formål og er relevante, samt at den registeransvarliges rolle er på linje med forordning (EF) nr. 45/2001.

53.

EDPS minder om, at eventuel videregivelse til tredjelande og internationale organisationer skal stemme overens med forordning (EF) nr. 45/2001, artikel 9, med henblik på at sikre en tilstrækkelig beskyttelse af disse oplysninger. I den sammenhæng vil der muligvis være behov for nærmere detaljer i forslaget og arrangementer med FN.

54.

EDPS bemærker endvidere, at forslaget ikke berører det erstatningsansvar, der eventuelt kan blive tale om i tilfælde af ulovlig behandling og offentliggørelse af personoplysninger, at forudgående kontrol i henhold til forordning (EF) nr. 45/2001, artikel 27, kan være nødvendig, og at han forventer at blive hørt for så vidt angår øvrige lovgivningsforslag og administrative foranstaltninger på dette område.