21.7.2007   

DA

Den Europæiske Unions Tidende

C 169/2

1.

I februar 2007 tog 15 medlemsstater et initiativ med henblik på vedtagelse af Rådets afgørelse om intensivering af det grænseoverskridende samarbejde, navnlig om bekæmpelse af terrorisme og grænseoverskridende kriminalitet (3). Initiativet handler om behandling af personoplysninger. Den Europæiske Tilsynsførende for Databeskyttelse har til opgave at rådgive om dette initiativ, da det falder ind under grænserne for de opgaver, han har fået pålagt, navnlig i artikel 41 i forordning (EF) nr. 45/2001. Den tilsynsførende udsteder denne udtalelse ex officio, da denne ikke har modtaget nogen anmodning om rådgivning (4). Den tilsynsførende finder, at denne udtalelse bør nævnes i præamblen til Rådets afgørelse (5).

2.

Baggrunden for dette initiativ er unikt inden for samarbejdet under tredje søjle. Formålet med initiativet er at anvende de væsentligste dele af Prüm-aftalen, der blev undertegnet den 27. maj 2005 af syv medlemsstater (6), på alle medlemsstater. Disse væsentlige dele er allerede blevet ratificeret af nogle af disse syv medlemsstater, medens andre af disse medlemsstater er i gang med ratificeringsprocessen. Det er derfor helt klart ikke hensigten, at substansen i disse væsentlige dele skal ændres (7).

3.

I henhold til betragtningerne skal initiativet ses som gennemførelse af tilgængelighedsprincippet, der blev præsenteret i Haag-programmet af 2004 som en nyskabende tilgang til grænseoverskridende udveksling af retshåndhævelsesoplysninger (8). Initiativet er fremlagt som et alternativ til forslaget til Rådets rammeafgørelse om udveksling af oplysninger efter tilgængelighedsprincippet, som den tilsynsførende afgav udtalelse om den 28. februar 2006 (9), og som ikke blev drøftet i Rådet med henblik på vedtagelse.

4.

Initiativet indeholder en fundamentalt anderledes tilgang end ovennævnte forslag til Rådets rammeafgørelse. Hvor dette forslag indebærer direkte adgang til tilgængelig information, tilsigter initiativet indirekte adgang via referencedata. Initiativet kræver endvidere, at medlemsstaterne indhenter og opbevarer visse oplysninger, også selv om disse endnu ikke er tilgængelige i den nationale jurisdiktion.

5.

Initiativet fokuserer i væsentlig grad på udveksling af biometriske oplysninger mellem politi- og retsmyndigheder i medlemsstaterne, navnlig data fra dna-analysedatabaser og elektroniske fingeraftryksinformationssystemer (systemer med fingeraftryk) (10).

6.

Initiativet indeholder et kapitel 6 med titlen »Almindelige bestemmelser om databeskyttelse«. Dette kapitel indeholder en række databeskyttelsesordninger, som er skræddersyet til den særlige karakter af den udveksling af oplysninger, det regulerer (11). Kapitel 6 henviser også til Europarådets konvention nr. 108 (12) og beslægtede dokumenter fra Europarådet som en generel ramme for databeskyttelse, så længe Rådets rammeafgørelse om beskyttelse af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde ikke er vedtaget (13).

7.

Denne udtalelse vil tage hensyn til initiativets unikke art, navnlig den kendsgerning, at der ikke påtænkes væsentlige ændringer af bestemmelsernes substans. Den tilsynsførende vil derfor fokusere på nogle mere generelle spørgsmål i forbindelse med initiativet og dets kontekst. De ændringer, som den tilsynsførende foreslår, tjener først og fremmest til at forbedre teksten uden at ændre selve informationsudvekslingssystemet.

8.

Det første spørgsmål er af proceduremæssig art. Initiativet indebærer, at et lille antal af medlemsstaterne fastlægger de politiske valg for alle medlemsstaterne på et område, der hører ind under bestemmelserne i EU-traktaten, navnlig EU-traktatens afsnit VI (tredje søjle). Procedurerne i afsnit VI om forstærket samarbejde er ikke fulgt.

9.

Det andet spørgsmål vedrører tilgængelighedsprincippet. Selv om initiativet skal ses som en gennemførelse af dette princip, fører det ikke til tilgængelighed som sådan, men er kun et skridt på vejen hen imod tilgængelighed for retshåndhævelsesoplysninger på tværs af medlemsstaternes grænser. Det er en del af en fragmentarisk tilgang med det formål at lette udvekslingen af retshåndhævelsesoplysninger.

10.

Det tredje spørgsmål kan afgrænses til spørgsmålet om proportionalitet. Det er vanskeligt at afgøre, om bestemmelserne i initiativet til Rådets afgørelse kan retfærdiggøres af behovet for at bekæmpe terrorisme og grænseoverskridende kriminalitet. Den tilsynsførende minder om, at Prüm-aftalen er udarbejdet som et »laboratorium« for grænseoverskridende udveksling af oplysninger, navnlig dna-analysedatabaser og fingeraftryk. Det foreliggende initiativ er imidlertid forelagt før forsøgene med udveksling rent faktisk er sat i værk (14).

11.

Det fjerde spørgsmål vedrører anvendelsen af biometriske data. Initiativet kræver indsamling, opbevaring og (begrænset) udveksling af dna-analysedatabaser og fingeraftryk. Anvendelsen af disse biometriske data i forbindelse med retshåndhævelse udgør særlige risici for de registrerede og kræver ekstra garantier til beskyttelse af deres rettigheder.

12.

Det femte spørgsmål udspringer af, at Rådets afgørelse skulle bygge på passende generelle rammer for databeskyttelse i tredje søjle, som endnu ikke er på plads på EU-plan. I denne udtalelse vil den tilsynsførende illustrere betydningen af en sådan generel ramme som en absolut betingelse for, at de retshåndhævende myndigheder kan udveksle personoplysninger på basis af dette initiativ.

13.

Prüm-aftalen sammenlignes ofte, af indlysende grunde, med Schengen-aftalen af 1985 og Schengen-konventionen af 1990. Det er næsten de samme lande, der er involveret, sagens kerne er af samme art, og der er en tæt forbindelse med samarbejde inden for EU (15). Der er imidlertid en grundlæggende forskel i forhold til Schengen. Nu er der en europæisk retlig ramme, der sætter Den Europæiske Union i stand til at regulere de pågældende spørgsmål, og der var faktiske planer om at gøre brug af den med henblik på de (væsentligste) spørgsmål, der omhandles i Prüm-aftalen. Mere præcist var Kommissionen på tidspunktet for indgåelsen af Prüm-aftalen i gang med at udarbejde et forslag til Rådets rammeafgørelse (16).

14.

De berørte medlemsstater valgte ikke desto mindre en multilateral aftale, der gjorde dem i stand til at undgå den omstændelige vej over tredje søjle-lovgivning med enstemmighed. De undgik ligeledes de indholdsmæssige og proceduremæssige krav til forstærket samarbejde, der er omhandlet i EU-traktatens artikel 40, 40 A, 43 og 43 A (17). Dette er så meget desto mere vigtigt, eftersom proceduren med forstærket samarbejde var frivillig, hvis mindst otte medlemmer deltog. Der er imidlertid kun syv medlemsstater, der har undertegnet Prüm-aftalen, og de opfordrede efterfølgende andre medlemsstater til at deltage. Man kunne af ovennævnte grunde fremsætte det argument, at Prüm-aftalen er et brud på Den Europæiske Unions love. Dette argument er imidlertid hovedsagelig af teoretisk art i forbindelse med tredje søjle, hvor Kommissionen har begrænsede beføjelser til at sikre medlemsstaternes overensstemmelse med Den Europæiske Unions love, og hvor både Domstolen og andre retter har begrænset kompetence.

15.

I nærværende situation har 15 medlemsstater taget initiativ til at erstatte Prüm-aftalen med en rådsafgørelse. Selv om muligheden af at ændre i substansen i bestemmelserne formelt set ikke er udelukket og ikke kan udelukkes, er det helt klart målet for de medlemsstater, der har forelagt initiativet, ikke at tillade nogen væsentlige ændringer. Dette mål kan udledes af den kendsgerning, at de syv »Prüm-lande« simpelthen har gennemført Prüm-aftalen i national lovgivning (eller er kommet langt med gennemførelsesfasen) og ikke ønsker at ændre deres nationale bestemmelser igen. Målet kan illustreres ved den fremgangsmåde, det tyske formandskab for Rådet anvender. For eksempel er tidsplanen for vedtagelsen meget stram, og initiativet vil ikke blive behandlet i nogen rådsgruppe, men kun i Artikel 36-Udvalget (et koordinerende udvalg bestående af højtstående embedsmænd og baseret på artikel 36 i TEU).

16.

Som resultat heraf nægtes de øvrige medlemsstater reel indflydelse på valget af regler. De kan kun vælge mellem at deltage eller ikke at deltage. Eftersom tredje søjle kræver enstemmighed, kan det medføre, at hvis én medlemsstat går imod teksten, fortsætter de øvrige medlemsstater på basis af proceduren om forstærket samarbejde.

17.

Denne baggrund berører også initiativets demokratiske legitimitet, eftersom Europa-Parlamentets udtalelse i henhold til artikel 39 i TEU næppe vil kunne få nogen konsekvenser for valget af regler. På samme måde vil denne udtalelse kun få begrænset effekt.

18.

Efter den tilsynsførendes opfattelse er det uheldigt, at denne procedure er fulgt. Den fornægter alle behov for demokratiske og gennemsigtige lovgivningsprocedurer, da den ikke en gang respekterer de allerede meget begrænsede prærogativer under tredje søjle. På dette stadium erkender den tilsynsførende, at det er en kendsgerning, at denne procedure er blevet valgt, og vil derfor herefter hovedsagelig koncentrere sig om substansen i initiativet.

19.

Endelig har den tilsynsførende bemærket, at initiativet lægger op til en rådsafgørelse og ikke en rådsrammeafgørelse, selv om formålet med initiativet vedrører indbyrdes tilnærmelse af medlemsstaternes love og administrative bestemmelser. Dette valg af instrument kunne hænge sammen med muligheden for at træffe gennemførelsesforanstaltninger med kvalificeret flertal i tilfælde af rådsafgørelser i medfør af TEU's artikel 34, stk. 2, litra c). Artikel 34 i initiativet handler om disse gennemførelsesforanstaltninger.

20.

Den tilsynsførende anbefaler at tilføje følgende punktum i artikel 34 i initiativet til Rådets afgørelse: »Rådet hører den tilsynsførende inden vedtagelsen af gennemførelsesforanstaltningerne.« Grunden til denne ændring er indlysende. Gennemførelsesforanstaltninger vil meget ofte vedrøre behandlingen af personoplysninger. Herudover gælder det, at hvis Kommissionen ikke tager initiativ til sådanne foranstaltninger, finder artikel 28, stk. 2, i forordning (EF) nr. 45/2001 ikke anvendelse.

21.

I denne forbindelse skal det bemærkes, at de syv medlemsstater, der har undertegnet Prüm-aftalen, den 6. december 2006 endvidere indgik en gennemførelsesaftale med de nødvendige bestemmelser til administrativ og teknisk gennemførelse og anvendelse af aftalen (18). Det kan antages, at denne gennemførelsesaftale vil tjene som model for gennemførelsesforanstaltningerne i henhold til artikel 34 i initiativet til Rådets afgørelse. Nærværende udtalelse vil henvise til denne gennemførelsesaftale, for så vidt dette vil kunne bidrage til en bedre forståelse af selve initiativet.

22.

Tilgængelighedsprincippet kan ses som et vigtigt middel til at virkeliggøre et område med frihed, sikkerhed og retfærdighed uden indre grænser. Fri informationsudveksling mellem de retshåndhævende myndigheder er et vigtigt skridt i tacklingen af de geografiske begrænsninger i bekæmpelsen af kriminalitet som følge af de indre grænser, der fortsat findes for efterforskning.

23.

Dette princip betyder i henhold til Haag-programmet, »at en retshåndhævelsesperson i en medlemsstat, som har brug for oplysninger for at kunne varetage sine opgaver, overalt i EU kan indhente disse i en anden medlemsstat, og at den retshåndhævende myndighed i den anden medlemsstat, der ligger inde med disse oplysninger, udleverer dem til det angivne formål (...)«. Det fremhæves desuden i programmet, at »metoderne til udveksling af oplysninger skal gøre fuld brug af ny teknologi og skal være tilpasset hver enkelt type information, hvor det er relevant gennem gensidig adgang til eller interoperabilitet mellem nationale databaser eller direkte (online) adgang«.

24.

Set på denne baggrund udgør initiativet kun et lille skridt. Det er langt mindre ambitiøst end Kommissionens forslag til Rådets rammeafgørelse om udveksling af oplysninger efter tilgængelighedsprincippet. Initiativet kan ses som et skridt hen imod tilgængelighed, men gennemfører ikke i snæver forstand tilgængelighedsprincippet. Det supplerer andre foranstaltninger, der tager sigte på at lette udvekslingen af retshåndhævelsesoplysninger, som f.eks. Rådets rammeafgørelse 2006/960/RIA af 18. december 2006 om forenkling af udvekslingen af oplysninger og efterretninger mellem medlemsstaternes retshåndhævende myndigheder (19), som skal sikre, at oplysninger og efterretninger meddeles til andre medlemsstaters myndigheder efter anmodning.

25.

Den tilsynsførende gik i sin udtalelse om Kommissionens forslag ind for, at tilgængelighedsprincippet skulle gennemføres ved hjælp af en mere forsigtig, gradueret tilgang. Med denne tilgang bør de typer oplysninger, der udveksles efter tilgængelighedsprincippet, være begrænsede, og der bør kun tillades indirekte adgang via indeksdata (20). En sådan gradueret tilgang gør det muligt for de interesserede parter at overvåge, hvor effektiv udvekslingen af retshåndhævelsesoplysninger er, samt følgerne med hensyn til beskyttelse af borgernes personoplysninger.

26.

Disse bemærkninger gælder også i den foreliggende situation. Den tilsynsførende ser med tilfredshed på, at det foreliggende initiativ følger den mere forsigtige, graduerede tilgang som en metode til at gennemføre tilgængelighedsprincippet.

27.

Initiativets artikel 5 og 10 kan ses som et eksempel på denne tilgang. De omhandler levering af yderligere personoplysninger (og andre oplysninger) efter konstatering af overensstemmelse mellem dna-profiler eller fingeraftryk. I begge tilfælde finder den anmodede medlemsstats nationale lovgivning, herunder bestemmelserne om retshjælp, anvendelse. De to artiklers retsvirkning er begrænset. De udgør en lovvalgsregel (af deklaratorisk art og ændrer ikke den aktuelle situation), men de gennemfører ikke tilgængelighedsprincippet (21).

28.

Effektiv udveksling af retshåndhævelsesoplysninger er et centralt spørgsmål i politisamarbejdet og det retlige samarbejde. Det er vigtigt for udviklingen af et område med frihed, sikkerhed og retfærdighed uden indre grænser, at der er adgang til oplysninger på tværs af landegrænserne. Der er brug for en passende retlig ramme for at gøre udvekslingen lettere.

29.

Et helt andet spørgsmål er at afgøre, om bestemmelserne i det foreliggende initiativ kan retfærdiggøres af behovet for at bekæmpe terrorisme og grænseoverskridende kriminalitet, eller sagt på en anden måde, om de er nødvendige og forholdsmæssige.

30.

For det første er der på EU-plan vedtaget en række foranstaltninger for at gøre det lettere at udveksle retshåndhævelsesoplysninger. I nogle tilfælde omfatter disse foranstaltninger etablering af en central organisation, f.eks. Europol eller Eurojust, eller et centralt informationssystem som Schengen-informationssystemet. Andre foranstaltninger vedrører direkte udveksling mellem medlemsstaterne som i det foreliggende initiativ. Det er først for nylig, at Rådets rammeafgørelse 2006/960/RIA er blevet vedtaget som et instrument, der skal forenkle udvekslingen af retshåndhævelsesoplysninger.

31.

Som hovedregel bør nye retsakter om politisamarbejde og retligt samarbejde kun vedtages efter en evaluering af de allerede eksisterende lovgivningsmæssige foranstaltninger, og hvis konklusionen er, at de eksisterende foranstaltninger ikke er tilstrækkelige. Betragtningerne i det foreliggende initiativ giver ikke belæg for, at der er foretaget en tilbundsgående evaluering af de eksisterende foranstaltninger. De nævner Rådets rammeafgørelse 2006/960/RIA og anfører, at der bør gøres fuld brug af ny teknologi, og at den gensidige adgang til de nationale databaser bør lettes. Der bør hurtigt og effektivt kunne udveksles nøjagtige oplysninger. Det er alt. Der nævnes for eksempel ikke noget om udveksling af oplysninger mellem medlemsstaterne gennem Schengen-informationssystemet, som er et centralt redskab for udvekslingen af oplysninger mellem medlemsstaterne.

32.

Den tilsynsførende beklager, at det foreliggende initiativ er blevet fremlagt uden nogen egentlig evaluering af de eksisterende foranstaltninger vedrørende udveksling af retshåndhævelsesoplysninger, og opfordrer Rådet til at inddrage en sådan evaluering i vedtagelsesproceduren.

33.

For det andet er Prüm-aftalen som allerede nævnt oprettet som et »laboratorium« for grænseoverskridende udveksling af oplysninger, navnlig dna og fingeraftryk. Den har givet de berørte medlemsstater mulighed for at eksperimentere med denne udveksling. På det tidspunkt, hvor det foreliggende initiativ til Rådes afgørelse blev fremlagt, var eksperimenterne reelt ikke iværksat i større målestok, bortset fra en første udveksling mellem Tyskland og Østrig (22).

34.

Den tilsynsførende er ikke overbevist om, at de første resultater af denne begrænsede udveksling — over en kort periode og med kun to involverede medlemsstater, uanset hvor interessante de end måtte være — kan anvendes som tilstrækkeligt erfaringsgrundlag til at udvide systemet til at omfatte samtlige medlemsstater.

35.

Der er betydelig forskel på, om der etableres et system for udveksling af oplysninger mellem nogle få medlemsstater, som allerede har erfaring med dna-databaser, eller der etableres et EU-dækkende system, herunder med medlemsstater helt uden erfaring. Desuden giver den lille målestok mulighed for tætte kontakter mellem de involverede medlemsstater. Disse kontakter kunne også anvendes til at holde øje med farerne med hensyn til beskyttelse af de berørte personers personoplysninger. Desuden er det meget lettere at føre tilsyn med en lille målestok. Selv om Prüm-aftalen som sådan vil kunne være nødvendig og proportionel, betyder dette derfor ikke i sig selv, at det foreliggende initiativ bør evalueres på samme måde.

36.

For det tredje, som der vil blive redegjort for længere nede i denne udtalelse, er der store forskelle mellem medlemsstaternes nationale lovgivninger om indsamling og anvendelse af biometriske oplysninger i retshåndhævelsesøjemed. Desuden er deres nationale praksis ikke harmoniseret. Det skal i denne forbindelse også nævnes, at der endnu ikke er vedtaget nogen harmoniseret retlig ramme for databeskyttelse under tredje søjle.

37.

Initiativet harmoniserer ikke væsentlige elementer i forbindelse med indsamling og udveksling af de forskellige former for oplysninger, som initiativet omfatter. For eksempel er initiativet ikke præcist med hensyn til formålet med indsamling og udveksling. Gælder bestemmelserne om dna-profiler for alle strafbare handlinger, eller kan en medlemsstat begrænse anvendelsen til alvorligere kriminalitet? Initiativet er ikke tydeligt med hensyn til den kreds af registrerede, der berøres af indsamlingen og udvekslingen. Indeholder databaserne kun (biometrisk) materiale fra mistænkte og/eller dømte, eller indeholder de også materiale fra andre registrerede, såsom vidner eller andre, der tilfældigvis befandt sig i nærheden af et gerningssted? Efter den tilsynsførendes opfattelse ville et minimum af harmonisering af disse væsentlige elementer have været at foretrække, også med henblik på at sikre overholdelse af principperne om nødvendighed og proportionalitet.

38.

Den tilsynsførende konkluderer følgende: Det fremgår klart, at det foreliggende initiativ sandsynligvis vil kunne blive et nyttigt redskab for politisamarbejdet. Det fremgår endnu tydeligere på baggrund af de første erfaringer med Prüm-aftalen i Tyskland og Østrig. Det er imidlertid ikke let at konstatere, om der foreligger nødvendighed og proportionalitet i forbindelse med det foreliggende initiativ. Den tilsynsførende beklager, at det foreliggende initiativ er blevet taget uden nogen egentlig konsekvensanalyse under hensyntagen til de bemærkninger, der fremsættes i denne del af udtalelsen. Den tilsynsførende opfordrer Rådet til at tage en sådan analyse med i vedtagelsesproceduren og som led i analysen undersøge andre løsningsmodeller, der om muligt griber mindre ind i privatlivets fred (23).

39.

Den tilsynsførende foreslår desuden, at der indsættes en evalueringsklausul i initiativets kapitel 7 (»Gennemførelsesbestemmelser og afsluttende bestemmelser«). En sådan evalueringsklausul kunne affattes således: »Senest tre år efter, at denne rådsafgørelse får virkning, forelægger Kommissionen Europa-Parlamentet og Rådet en evaluering af denne rådsafgørelses anvendelse med henblik på at fastslå, om det er nødvendigt at ændre afgørelsens bestemmelser«.

40.

En sådan evalueringsklausul er et særlig nyttigt redskab i denne sammenhæng, hvor initiativets nødvendighed og proportionalitet (endnu) ikke fremgår klart, og hvor der indføres et EU-dækkende system for udveksling af oplysninger på grundlag af begrænsede erfaringer.

41.

Kapitel 2 om online-adgang og anmodninger om opfølgning sondrer mellem tre typer oplysninger: dna-profiler, fingeraftryk og oplysninger i køretøjsregistre. Denne sondring giver anledning til to generelle bemærkninger.

42.

Det skal for det første bemærkes, at alle oplysninger, der behandles i henhold til denne rådsafgørelse, bortset fra de oplysninger, der henvises til i artikel 13 (24), er personoplysninger som omhandlet i direktiv 95/46/EF (25) og andre fællesskabsretsakter. I henhold til direktivets artikel 2, litra a), forstås ved »personoplysninger« enhver form for information om en identificeret eller identificerbar fysisk person; ved identificerbar person forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for denne persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet. Forslaget til Rådets rammeafgørelse om beskyttelse af personoplysninger, der behandles i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager, der, når det er vedtaget, kommer til at gælde for udveksling af oplysninger i henhold til det foreliggende initiativ, anvender den samme definition. Den tilsynsførende beklager, at initiativet ikke indeholder nogen definition af personoplysninger, og foreslår af hensyn til den juridiske klarhed, at der indsættes en sådan definition i artikel 24.

43.

Under alle omstændigheder er det i henhold til den definition, der er nævnt i det foregående punkt, hævet over enhver tvivl, at også databaser, der kun indeholder dna-profiler og referencedata fra dna-analysedatabaser og fra fingeraftryksidentifikationssystemer, helt eller i overvejende grad anses for at være samlinger af personoplysninger.

44.

For det andet er formålet med informationsudvekslingen forskelligt for de tre typer personoplysninger: dna-profiler, fingeraftryk og oplysninger i køretøjsregistre. For dna's vedkommende, opretter og forvalter medlemsstaterne nationale dna-analysedatabaser med henblik på efterforskning af strafbare handlinger (artikel 2, stk. 1), for fingeraftryks vedkommende sikrer de, at referencedata fra databasen for de nationale elektroniske fingeraftryksidentifikationssystemer, som er oprettet til forebyggelse og efterforskning af strafbare handlinger, er tilgængelige (artikel 8), og for oplysninger i køretøjsregistres vedkommende omfatter udvekslingen ikke blot forebyggelse og efterforskning af strafbare handlinger, men også visse overtrædelser, der ikke er straffelovsovertrædelser, samt opretholdelse af den offentlige orden og sikkerhed (artikel 12, stk. 1).

45.

På tilsvarende måde er der strengere sikkerhedskrav i forbindelse med udveksling af og adgang til dna- og fingeraftryksoplysninger end i forbindelse med udveksling af og adgang til oplysninger i køretøjsregistre. For dna's og fingeraftryksoplysningers vedkommende er adgangen i første omgang begrænset til referencedata, ud fra hvilke den registrerede ikke kan identificeres direkte. Initiativet fastslår princippet om at holde biometriske oplysninger og identificerende oplysninger i tekstform adskilt i to forskellige databaser. Der gives kun adgang til den anden database, hvis der er »hit« i den første database. En sådan adskillelse mellem databaserne findes ikke for oplysninger i køretøjsregistre, hvor der gives automatisk og direkte adgang, og der kræves ingen dobbelt database.

46.

Den tilsynsførende går ind for denne graduering og finder, at den er et nyttigt redskab til at beskytte den registrerede: jo mere følsomme oplysningerne er, desto mere begrænsede er de formål, de kan anvendes til, og desto mere begrænset er adgangen. I det specifikke tilfælde med dna, der er de potentielt mest følsomme oplysninger, som initiativet omfatter, kan der kun udveksles oplysninger med henblik på retsforfølgning i straffesager, og ikke i forbindelse med forebyggende politiarbejde. Desuden kan der kun tages profiler af den ikke-kodende del af dna.

47.

For så vidt angår dna-data kan der henvises til tidligere udtalelser fra den tilsynsførende (26). Det er afgørende, at begrebet dna-data defineres klart, og at der sondres mellem dna-profiler og dna-data, der kan give oplysninger om en persons genetiske kendetegn og/eller helbred. Der skal også tages hensyn til de videnskabelige fremskridt: det, der på et vist tidspunkt betragtes som en uskyldig dna-profil, kan på et senere stadium afsløre langt flere oplysninger end forventet og påkrævet.

48.

Initiativet fastsætter, at tilgængeligheden kun omfatter dna-profiler fastlagt på grundlag af den ikke-kodende del af dna. Imidlertid mangler der i teksten til initiativet præcise definitioner af dna-profiler og en procedure til at fastlægge sådanne fælles definitioner i overensstemmelse med det aktuelle videnskabelige niveau. Gennemførelsesaftalen til Prüm-aftalen (27) indeholder følgende definition af den ikke-kodende del: kromosomområder uden genetisk ekspression, dvs. som ikke vides at give oplysninger om særlige arvelige kendetegn. Den tilsynsførende foreslår, at der i selve initiativet indsættes en definition af den ikke-kodende del, og at der etableres en procedure til at sikre, at der rent faktisk hverken nu eller senere kan afsløres flere oplysninger fra den ikke-kodende del.

49.

Initiativet bygger på den antagelse, at matchende dna-profiler er det centrale redskab i politisamarbejdet. Derfor skal samtlige medlemsstater oprette dna-databaser til strafferetlige formål. Under hensyntagen til omkostningerne ved disse databaser og faremomenterne vedrørende databeskyttelse er det nødvendigt med en grundig forhåndsvurdering af instrumentets effektivitet. De begrænsede erfaringer med udveksling af dna-data mellem Tyskland og Østrig er ikke tilstrækkelige.

50.

Den tilsynsførende noterer sig i den forbindelse, at initiativet pålægger alle medlemsstater at oprette nationale dna-analysedatabaser. Det er vigtigt at understrege, at en række medlemsstater allerede har veletablerede nationale dna-databaser, hvorimod andre medlemsstater har mindre eller slet ingen erfaring på dette område. Den mest udbyggede database i Europa (og i verden) er dna-databasen i Det Forenede Kongerige. Den omfatter mere end 3 mio. indlæsninger, hvilket gør den til den mest omfattende samling af dna-profiler. Databasen omfatter personer, der er dømt for strafbare forhold, samt personer, der har været anholdt, og personer, der frivilligt har afgivet prøver med henblik på udelukkelse (28). Situationen er anderledes i andre lande. For eksempel opbevares der i Tyskland kun profiler for personer, der er dømt for alvorlige strafbare forhold. Det kan tilmed antages, at indsamling af dna til bredere formål i Tyskland ikke ville være forenelig med forfatningsdomstolens retspraksis (29).

51.

Den tilsynsførende beklager, at initiativet ikke indeholder nogen nærmere angivelse af de personkategorier, som dna-databaserne skal omfatte. En sådan angivelse ville ikke alene harmonisere de nationale bestemmelser på dette område — hvilket ville bidrage til at gøre det grænseoverskridende samarbejde mere effektivt -, men ville også øge proportionaliteten i forbindelse med indsamling og udveksling af sådanne personoplysninger, forudsat at personkategorierne begrænses.

52.

Et beslægtet spørgsmål, der overlades til medlemsstaternes nationale retsforskrifter, er, hvor længe oplysningerne skal opbevares i dna-analysedatabaserne. Det kan i de nationale retsforskrifter bestemmes, at de profiler, der oprettes i de pågældende databaser, opbevares i resten af den registreredes levetid uanset resultatet af den retslige procedure, men det kan også bestemmes, at profilernes opbevares, medmindre den pågældende ikke er blevet sigtet og derfor ikke dømt ved en domstol, eller at der regelmæssigt tages stilling til behovet for fortsat opbevaring (30).

53.

Endelig skal den tilsynsførende henlede opmærksomheden på artikel 7 om udtagelse af cellemateriale og udlevering af dna-profiler. Der er ikke medtaget nogen tilsvarende bestemmelse for fingeraftryk. Ifølge denne bestemmelse skal en medlemsstat efter anmodning fra en anden medlemsstat som led i en igangværende efterforskning eller strafferetlig procedure udtage og undersøge cellemateriale fra en person og derefter udlevere dna-profilen til den pågældende anden medlemsstat på visse betingelser. Denne artikel er ganske vidtgående. Den kræver, at en medlemsstat aktivt skal udtage (og undersøge) biometrisk materiale fra en person, forudsat at en sådan udtagelse og undersøgelse ville være tilladt i den anmodende stat (betingelse b).

54.

Bestemmelsen er ikke alene vidtgående, men også uafgrænset. På den ene side er den ikke begrænset til alvorlige forbrydelser og heller ikke til kriminalitetsmistænkte, og på den anden side skal kravene i den anmodede medlemsstats lovgivning være opfyldt (betingelse c), men det er ikke oplyst, hvad disse krav kan gå ud på. Efter den tilsynsførendes opfattelse er det nødvendigt at præcisere denne artikel nærmere, helst ved at udspecificere den. Under alle omstændigheder kræver proportionalitetsprincippet en mere begrænset fortolkning af denne artikel.

55.

Denne del af udtalelsen beskæftiger sig med følgende spørgsmål vedrørende databeskyttelse:

56.

Den tilsynsførende noterer sig indledningsvis, at kapitel 1 i initiativet, der beskriver formål og anvendelsesområde, ikke indeholder en henvisning til kapitel 6, selv om Rådets afgørelser indeholder et kapitel om databeskyttelse. Den tilsynsførende anbefaler derfor, at der tilføjes en henvisning til teksten.

57.

Som anført i flere andre forbindelser (31) er det vigtigt for den tilsynsførende, at bestemte retsakter om lettelse af udveksling af retshåndhævelsesinformation — ligesom det foreliggende initiativ til Rådets afgørelse — ikke vedtages, før Rådet har vedtaget en ramme for databeskyttelse, som sikrer et tilstrækkeligt databeskyttelsesniveau i overensstemmelse med den tilsynsførendes konklusioner i de to udtalelser om Kommissionens forslag til Rådets rammeafgørelse om databeskyttelse under tredje søjle (32).

58.

En retlig ramme for databeskyttelse er en absolut betingelse for, at de retshåndhævende myndigheder kan udveksle personoplysninger, sådan som det kræves i EU-traktatens artikel 30, stk. 1, litra b), og er fastslået i flere EU-politikdokumenter. I praksis vedtages lovgivning om lettelse af udvekslingen af oplysninger dog, inden der er garanteret et passende databeskyttelsesniveau. Der bør byttes om på denne rækkefølge.

59.

Det er også vigtigt at bytte om på rækkefølgen, fordi de mere detaljerede regler om databeskyttelse i det foreliggende initiativ kan komme i konflikt med den kommende rammeafgørelse om databeskyttelse under tredje søjle, der i øjeblikket er til drøftelse. Det er heller ikke effektivt at påbegynde gennemførelsen af databeskyttelsesbestemmelserne i dette initiativ — der omfatter vedtagelse af standarder for databeskyttelse og administrative procedurer samt udpegning af kompetente myndigheder — før der er vedtaget en rammeafgørelse om databeskyttelse, som måske vil indeholde forskellige krav og dermed kræve ændring af de netop vedtagne nationale bestemmelser.

60.

Artikel 25, stk. 1, i det foreliggende initiativ henviser nu til Europarådets konvention 108, tillægsprotokollen hertil af 8. november 2001 og anbefaling R(87)15 om politiets brug af personoplysninger. Disse instrumenter, som er vedtaget af Europarådet, skulle sikre et minimumsniveau for beskyttelse af personoplysninger. Som den tilsynsførende tidligere har udtalt (33), er konventionen, som alle medlemsstater er bundet af, imidlertid ikke tilstrækkelig præcis, hvilket allerede blev erkendt ved vedtagelsen af direktiv 95/46/EF. Anbefalingen er i sagens natur ikke bindende.

61.

For det første er hensigten med bestemmelserne i kapitel 6 i initiativet at opbygge en generel ramme for databeskyttelse (jf. artikel 25 i initiativet). Bestemmelserne skal betragtes som en særlig lovregel, der gælder for oplysninger, som er meddelt i medfør af denne rådsafgørelse. Desværre er den nuværende generelle ramme i Europarådets konvention 108 og tilhørende dokumenter utilfredsstillende. Selve hensigten viser dog, at der er behov for en passende generel ramme, som er fastsat i en rammeafgørelse vedtaget af Rådet. Dette er imidlertid ikke den eneste grund til, at der er behov for en sådan ramme.

62.

For det andet omfatter initiativet kun en del af behandlingen af personoplysninger i retshåndhævelsesøjemed og af udvekslingen af sådanne oplysninger mellem medlemsstaterne. Kapitel 6 i det foreliggende initiativ omfatter i sagens natur kun behandling i forbindelse med udvikling af oplysninger, som er fastsat i initiativet. Al anden udveksling af politi- eller retsoplysninger inden for rammerne af dette initiativ, navnlig oplysninger, der ikke er knyttet til dna-profiler, fingeraftryk og oplysninger i køretøjsregistre, er således udelukket. Et andet eksempel på, at kapitel 6 i initiativet kun dækker delvist, vedrører adgang i retshåndhævelsesøjemed til oplysninger indsamlet af private virksomheder, eftersom initiativet sigter mod udveksling af oplysninger mellem myndigheder, som har ansvaret for forebyggelse og efterforskning af strafbare handlinger (artikel 1 i initiativet).

63.

For det tredje er teksten til initiativet for så vidt angår anvendelsen af bestemmelserne i kapitel 6 tvetydig og mangler derfor juridisk klarhed. I henhold til artikel 24, stk. 2, i initiativet gælder disse bestemmelser for oplysninger, der leveres eller er leveret i henhold til denne rådsafgørelse. Efter den tilsynsførendes opfattelse sikrer denne ordlyd, at den direkte adgang til dna-profiler, fingeraftryk og data fra køretøjsregistre samt den særlige situation i artikel 7 i initiativet er dækket (34). Det er endvidere hævet over enhver tvivl, at også levering af personoplysninger i henhold til artikel 14 (store arrangementer) og artikel 16 (forebyggelse af terrorforbrydelser) er omfattet.

64.

Det er dog ikke klart, om kapitel 6 kun finder anvendelse på personoplysninger, der udveksles eller er udvekslet mellem medlemsstaterne, eller om det også finder anvendelse på indsamling og behandling af dna-materiale og fingeraftryk i en medlemsstat i medfør af artikel 2 og 8 i initiativet. Med andre ord er det et spørgsmål om kapitel 6 finder anvendelse på personoplysninger, der er indsamlet i henhold til Rådets afgørelse, men som (endnu) ikke er videregivet til myndighederne i andre medlemsstater. Det er endvidere uklart, om levering af yderligere personoplysninger efter en konstatering af overensstemmelse mellem dna-profiler eller fingeraftryk, er omfattet, da det fremgår af betragtning 11, at levering af supplerende oplysninger (gennem procedurerne for gensidig bistand) falder ind under Rådets afgørelse, mens det fremhæves i artikel 5 og 10, at levering af sådanne oplysninger er omfattet af national ret. Endelig bemærkes det, at artikel 24, stk. 2, indeholder en undtagelse fra anvendelsen af kapitel 6. Bestemmelserne gælder, 'medmindre andet er fastsat i de foregående kapitler'. Ifølge den tilsynsførende er denne bestemmelse uden indholdsmæssig værdi — den tilsynsførende noterede ikke nogen modstridende bestemmelser i de foregående kapitler — men bestemmelsen kan ikke desto mindre gøre teksten endnu mere tvetydig for så vidt angår anvendeligheden af kapitel 6.

65.

Den tilsynsførende anbefaler, at det kommer til at fremgå af artikel 24, stk. 2, at kapitel 6 omfatter indsamling og behandling af dna-materiale og fingeraftryk i en medlemsstat, og at levering af yderligere personoplysninger inden for denne afgørelses anvendelsesområde er omfattet. Endvidere bør bestemmelsen 'medmindre andet er fastsat i de foregående kapitler' udelades. Disse præciseringer vi sikre, at bestemmelserne i kapitel 6 får indholdsmæssige konsekvenser.

66.

For det fjerde viser karakteren af selve bestemmelserne om databeskyttelse i kapitel 6, for så vidt de bygger på det traditionelle begreb gensidig retshjælp i straffesager, at der er behov for en generel ramme. Udveksling af oplysninger forudsætter en minimumsharmonisering af de grundlæggende regler for databeskyttelse eller i det mindste gensidig anerkendelse af de nationale lovgivninger for at undgå, at forskelle mellem medlemsstaternes lovgivninger skader samarbejdets effektiviteten.

67.

Selv om initiativet lægger op til harmonisering af en række vigtige spørgsmål i databeskyttelseslovgivningen, medfører bestemmelserne om databeskyttelse i kapitel 6 hverken en harmonisering af den nationale lovgivning eller gensidig anerkendelse. Tværtimod bygger de på samtidig anvendelse af to (eller flere) retssystemer: det er som oftest kun tilladt at levere oplysninger, hvis loven i både den leverende og den modtagende medlemsstat overholdes. Sagt på en anden måde bidrager initiativet i disse spørgsmål ikke til et område med frihed, sikkerhed og retfærdighed uden indre grænser, men vægter det traditionelle system med gensidig retshjælp i straffesager, der bygger på national suverænitet (35).

68.

Den tilsynsførende mener ikke, at kapitel 6, som det ser ud, letter udvekslingen af personoplysninger, men at det derimod øger kompleksiteten, under hensyn til, at initiativet sigter mod, at systemet i Prüm-aftalen skal kunne anvendes på alle 27 medlemsstater, og eftersom der ikke er vedtaget nogen overordnede fælles rammer for databeskyttelse. F.eks. må personoplysninger i henhold til artikel 26, stk. 1, kun behandles til andre formål, hvis dette er tilladt i henhold til såvel den leverendes som den modtagende medlemsstats nationale lovgivning. Et andet eksempel er artikel 28, stk. 3, hvori det hedder, at leverede personoplysninger slettes, hvis de ikke skulle have været leveret (eller modtaget). Men hvordan kan den modtagende medlemsstat vide, at sådanne oplysninger ikke er lovligt leveret i overensstemmelse med den leverende medlemsstats lovgivning? Dette kan give vanskeligheder, når disse spørgsmål rejses ved de nationale domstole.

69.

For det femte er den fælles databeskyttelsesramme så meget desto vigtigere, fordi der er store forskelle mellem medlemsstaternes lovgivninger for så vidt angår både den materielle og den processuelle strafferet. Ud over de konsekvenser, som dette får for samarbejdet mellem myndighederne i medlemsstaterne, berører disse forskelle også direkte de registrerede i tilfælde, hvor to eller flere medlemsstater udveksler oplysninger om dem. F.eks. er de reelle klagemuligheder ved domstolene måske ikke de samme i alle medlemsstater.

70.

Konklusionen må blive, at forslaget harmoniserer visse elementer af udveksling af oplysninger mellem de kompetente myndigheder og derfor indeholder et kapitel om databeskyttelse, men langt fra harmoniserer alle databeskyttelsesgarantier. Bestemmelserne er hverken omfattende (som generelle rammer, lex generalis, bør være det) eller komplette (eftersom væsentlige elementer mangler, hvilket fremgår af punkt 75).

71.

Det er helt indlysende, at der på det område, der falder uden for initiativet, er behov for en generel fælles databeskyttelsesramme. Borgerne må kunne sætte deres lid til, at der er et minimumsniveau af databeskyttelsesharmonisering, uanset hvor i EU der foregår en behandling af oplysninger om ham i rethåndhævelsesøjemed.

72.

Men også inden for initiativets anvendelsesområde er der behov for en fælles ramme. Initiativet omhandler bl.a. indsamling, behandling og udveksling af potentielt følsomme biometriske oplysninger, som f.eks. dna-materiale. Desuden begrænser kredsen af registrerede, der kan omfattes af dette system, sig ikke til oplysninger om mistænkte (eller dømte) i forbindelse med bestemte strafbare handlinger. Under disse omstændigheder bør man i endnu højere grad kunne sætte sin lid til en tydelig og tilstrækkelig databeskyttelsesordning.

73.

I den sammenhæng må det på ny understreges, at anvendelsesområdet for initiativet og dets kapitel 6 ikke er klart defineret. Dette betyder, at det af hensyn til retssikkerheden er vigtigt, at personoplysninger er ordentligt beskyttet uanset, om og hvornår de ligger inden for anvendelsesområdet. Af samme grund bør det sikres, at der er konsekvens mellem de regler, der finder anvendelse inden for og de regler, der finder anvendelse uden for initiativet.

74.

Bestemmelserne om databeskyttelse i initiativets kapitel 6 gælder for oplysninger, der leveres eller er leveret i henhold til afgørelsen. De omfatter en række vigtige spørgsmål og er blevet omhyggeligt udformet som specifikke bestemmelser på grundlag af en generel databeskyttelsesramme. Den tilsynsførendes konklusion er, at bestemmelserne overordnet og hvad substansen angår giver passende beskyttelse.

75.

Den tilsynsførende har imidlertid ud over, hvad der tidligere er nævnt om arten af bestemmelserne i kapitel 6, også kunnet konstatere visse andre mangler ved bestemmelserne i kapitel 6 (36):

76.

Den tilsynsførende anbefaler Rådet at afhjælpe disse mangler, enten ved en ændring af teksten til initiativet og/eller ved indarbejdelse af disse elementer i Rådets rammeafgørelse om databeskyttelse under tredje søjle. Den tilsynsførende er af den opfattelse, at den første mulighed ikke nødvendigvis betyder, at selve systemet til udveksling af oplysninger skal ændres, og at det derfor ikke strider mod intentionen hos de 15 medlemsstater, der har udarbejdet initiativet om ikke at ændre de væsentlige dele af Prüm-aftalen.

77.

Denne udtalelse tager hensyn til initiativets unikke art, navnlig den kendsgerning, at der ikke påtænkes væsentlige ændringer af bestemmelsernes substans. De ændringer, som den tilsynsførende foreslår, tjener først og fremmest til at forbedre teksten uden at ændre selve systemet til udveksling af oplysninger.

78.

Den tilsynsførende ser med tilfredshed på, at dette initiativ anlægger en mere forsigtig og gradvis linje i forbindelse med gennemførelse af tilgængelighedsprincippet. Han beklager imidlertid, at initiativet ikke harmoniserer væsentlige elementer i forbindelse med indsamling og udveksling af de forskellige former for oplysninger, så det også sikres, at nødvendigheds- og proportionalitetsprincipperne overholdes.

79.

Den tilsynsførende beklager, at dette initiativ er taget, uden at der er foretaget en egentlig konsekvensanalyse, og opfordrer Rådet til at tage en sådan analyse med i vedtagelsesproceduren og som led i analysen undersøge andre løsningsmodeller, der om muligt griber mindre ind i privatlivets fred.

80.

Den tilsynsførende støtter den tilgang, der følges i initiativet, vedrørende forskellige typer personoplysninger: jo mere følsomme oplysningerne er, desto mere begrænsede er de formål, de kan anvendes til, og desto mere begrænset er adgangen.

81.

Den tilsynsførende beklager, at initiativet ikke indeholder nogen nærmere angivelse af, hvilke personkategorier dna-databaserne skal omfatte, og at det ikke begrænser lagringsperioden.

82.

Rådet bør ikke vedtage afgørelsen, før Rådets rammeafgørelse om beskyttelse af personoplysninger, der behandles i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager, er vedtaget og giver et passende beskyttelsesniveau.

83.

Bestemmelserne om databeskyttelse i initiativets kapitel 6 letter ikke udvekslingen af personoplysninger, men øger udvekslingens kompleksitet, for så vidt de bygger på det traditionelle begreb gensidig retshjælp i straffesager.

84.

Den tilsynsførende anbefaler følgende ændringer af teksten til initiativet:

85.

På det mere overordnede plan anbefaler den tilsynsførende Rådet at afhjælpe disse mangler ved en ændring af teksten til initiativet og/eller ved indarbejdelse af disse elementer i Rådets rammeafgørelse om databeskyttelse under tredje søjle. Den tilsynsførende er af den opfattelse, at den første mulighed (der vedrører de elementer, der blev nævnt i det foregående punkt) ikke nødvendigvis betyder, at selve systemet til udveksling af oplysninger skal ændres, og at det derfor ikke strider mod intentionen hos de 15 medlemsstater, der har udarbejdet initiativet om ikke at ændre de væsentlige dele af Prüm-aftalen.

86.

Endelig finder den tilsynsførende, at denne udtalelse bør nævnes i præamblen til Rådets afgørelse.