19.3.2010   

DA

Den Europæiske Unions Tidende

C 70/13

1.

Den 24. juni 2009 vedtog Kommissionen en lovgivningspakke om oprettelse af et agentur for den operationelle forvaltning af store it-systemer inden for området frihed, sikkerhed og retfærdighed. Pakken består af et forslag til Europa-Parlamentets og Rådets forordning om oprettelse af agenturet og et forslag til Rådets afgørelse om overdragelse til agenturet af opgaver vedrørende den operationelle forvaltning af SIS II og VIS inden for rammerne af afsnit VI i EU-traktaten (3). De to forslag er yderligere forklaret i en meddelelse, der er vedtaget samme dag (4). Den 11. august 2009 blev forslagene og meddelelsen sendt til EDPS med henblik på en udtalelse sammen med konsekvensanalysen og resuméet af konsekvensanalysen (5).

2.

Retsgrundlaget for den foreslåede forordning er afsnit IV i EF-traktaten. Da anvendelsen af SIS II og VIS med henblik på politisamarbejdet og det retlige samarbejde i straffesager på nuværende tidspunkt bygger på afsnit VI i EU-traktaten, er den foreslåede forordning suppleret med et forslag til Rådets afgørelse, der bygger på afsnit VI i EU-traktaten.

3.

De respektive retsakter om oprettelse af SIS II, VIS og Eurodac fastsætter, at Kommissionen har ansvaret for den operationelle forvaltning af de tre systemer (6). For SIS II's og VIS' vedkommende er dette kun meningen i en overgangsperiode, hvorefter en forvaltningsmyndighed skal have ansvaret for den operationelle forvaltning. I en fælles erklæring af 7. juni 2007 opfordrede Europa-Parlamentet og Rådet Kommissionen til på grundlag af en konsekvensanalyse, der indeholder en analyse af alternativerne, at forelægge de forslag til lovgivning, der er nødvendige for at pålægge et agentur den langsigtede operationelle forvaltning af SIS II og VIS (7). Denne opfordring har ført til de nuværende forslag.

4.

Det agentur, der oprettes ved den foreslåede forordning, vil således have ansvaret for den operationelle forvaltning af SIS II og VIS, men også for Eurodac og muligvis andre store it-systemer. Omtalen af »andre store it-systemer« vil blive behandlet i punkt 28-31 i denne udtalelse. I henhold til præamblen til den foreslåede forordning er begrundelsen for at placere tre store it-systemer og muligvis andre systemer under agenturets ledelse at opnå stordriftsfordele, skabe en kritisk masse og sikre den størst mulige udnyttelse af kapitalen og de menneskelige ressourcer (8).

5.

Den foreslåede forordning indfører et reguleringsagentur, der har retlig, administrativ og finansiel autonomi og har status som juridisk person. Agenturet skal udføre de opgaver, der er tillagt forvaltningsmyndigheden (eller Kommissionen) som beskrevet i retsakterne om oprettelse af SIS II, VIS og Eurodac. Agenturet skal endvidere overvåge udviklingen inden for forskning og på specifik anmodning fra Kommissionen gennemføre pilotordninger for udviklingen og/eller den operationelle forvaltning af store it-systemer inden for rammerne af afsnit IV i EF-traktaten og muligvis også det bredere område frihed, sikkerhed og retfærdighed (jf. punkt 28-31).

6.

Agenturets ledelses- og forvaltningsstruktur skal bestå af en bestyrelse sammensat af en repræsentant for hver medlemsstat og to repræsentanter for Kommissionen, en administrerende direktør udpeget af bestyrelsen samt rådgivende grupper, der skal yde bestyrelsen ekspertise vedrørende de respektive it-systemer. I øjeblikket opererer forslaget med tre rådgivende grupper for SIS II, VIS og Eurodac.

7.

Den foreslåede rådsafgørelse overdrager agenturet de opgaver, som Rådets afgørelse 2007/533/RIA om SIS II og Rådets afgørelse 2008/633/RIA om VIS (9) pålægger forvaltningsmyndigheden. Den tildeler endvidere Europol observatørstatus på møder i agenturets bestyrelse, når et spørgsmål vedrørende SIS II eller VIS er på dagsordenen. Europol kan også udpege en repræsentant til de rådgivende grupper for SIS II og VIS (10). Eurojust har ligeledes observatørstatus og kan udpege en repræsentant, men kun i relation til SIS II.

8.

EDPS hilser det velkommen, at han er blevet hørt om dette spørgsmål, og anbefaler, at der henvises til denne høring i forslagets betragtninger, som det normalt sker i retsakter, hvor EDPS er blevet hørt i overensstemmelse med forordning (EF) nr. 45/2001.

9.

Inden forslaget blev vedtaget, blev EDPS hørt uformelt. EDPS hilste denne uformelle høring velkommen og er glad for at konstatere, at der i det endelige forslag er taget hensyn til de fleste af hans bemærkninger.

10.

EDPS følger selvsagt nøje udviklingen i forbindelse med oprettelsen af agenturet, der skal have ansvaret for driften af og sikkerheden for databaser som SIS II, VIS og Eurodac, der indeholder store mængder personoplysninger. Som det vil blive yderligere belyst i denne udtalelse, er EDPS ikke modstander af, at et sådant agentur oprettes, når blot der i oprettelsesakten eller -akterne tages tilstrækkelig højde for visse mulige risici, der kan have stor betydning for enkeltpersoners privatliv.

11.

Inden der redegøres nærmere for dette synspunkt i del III og del IV, vil EDPS først i del II analysere, hvordan Lissabontraktaten, der trådte i kraft den 1. december 2009, påvirker de nuværende forslag. I del V vil EDPS kommentere flere specifikke bestemmelser i begge forslag.

12.

Den Europæiske Unions retlige struktur har ændret sig betydeligt med Lissabontraktatens ikrafttræden den 1. december 2009. Navnlig inden for området frihed, sikkerhed og retfærdighed er EU's kompetence blevet udvidet, og lovgivningsprocedurerne er blevet tilpasset. EDPS har analyseret traktatændringernes virkninger på de nuværende forslag.

13.

De retsgrundlag, der er nævnt i den foreslåede forordning, er artikel 62, nr. 2), litra a), artikel 62, nr. 2), litra b), nr. ii), artikel 63, nr. 1), litra a), artikel 63, nr. 3), litra b), og artikel 66 i EF-traktaten. Teksten til disse artikler kan i vid udstrækning genfindes i artikel 77, stk. 1, litra b), artikel 77, stk. 2, litra b), a) og e), artikel 79, stk. 2, litra c), og artikel 74 i TEUF. Den lovgivningsprocedure, der skal følges ved vedtagelsen af foranstaltninger baseret på disse retsgrundlag, vil ikke ændre sig, den fælles beslutningsprocedure fandt anvendelse og vil stadig gøre det, men kaldes nu »den almindelige lovgivningsprocedure«. De ændrede traktaters virkning på den foreslåede forordnings retsgrundlag og lovgivningsprocedure synes derfor at være begrænset.

14.

De artikler, som den foreslåede rådsafgørelse på nuværende tidspunkt bygger på, er artikel 30, stk. 1, litra a) og b), og artikel 34, stk. 2, litra c), i EU-traktaten. I de nye traktater er EU-traktatens artikel 34 blevet ophævet. Artikel 30, stk. 1, litra a), er erstattet af artikel 87, stk. 2, litra a), i TEUF, der skaber grundlaget for foranstaltninger vedrørende indsamling, opbevaring, behandling, analyse og udveksling af relevante oplysninger, der skal vedtages efter den almindelige lovgivningsprocedure. EU-traktatens artikel 30, stk. 1, litra b), der omhandler det operationelle samarbejde mellem de kompetente myndigheder, er erstattet af artikel 87, stk. 3, i TEUF, der foreskriver en særlig lovgivningsprocedure, som indebærer, at Rådet træffer afgørelse med enstemmighed efter høring af Europa-Parlamentet. Da de to lovgivningsprocedurer ikke er forenelige med hinanden, kan artikel 87, stk. 2, litra a), og artikel 87, stk. 3, i TEUF ikke længere udgøre det kombinerede retsgrundlag for rådsafgørelsen. Der må derfor foretages et valg.

15.

EDPS mener, at artikel 87, stk. 2, litra a), i TEUF vil kunne udgøre det eneste retsgrundlag for den foreslåede foranstaltning. Det vil også være den foretrukne løsning, da anvendelse af den almindelige lovgivningsprocedure indebærer fuld inddragelse af Europa-Parlamentet og sikrer forslagets demokratiske legitimitet (11). I den henseende skal det understreges, at forslaget omhandler oprettelse af et agentur, der skal have ansvaret for beskyttelsen af personoplysninger, som beror på en grundlæggende ret, der anerkendes i artikel 16 i TEUF og artikel 8 i charteret om grundlæggende rettigheder, der fik bindende virkning den 1. december 2009.

16.

Hvis artikel 87, stk. 2, litra a), i TEUF vælges som det eneste retsgrundlag, vil Kommissionen endvidere kunne slå de to nuværende forslag sammen til én enkelt retsakt om oprettelse af agenturet, nemlig en forordning, der skal vedtages efter den almindelige lovgivningsprocedure.

17.

EDPS opfordrer under alle omstændigheder Kommissionen til at afklare dette forhold i en kort meddelelse.

18.

Som nævnt i punkt 3 opfordrede Europa-Parlamentet og Rådet Kommissionen til at analysere alternativerne og forelægge de forslag til lovgivning, der er nødvendige for at pålægge et agentur den langsigtede operationelle forvaltning af SIS II og VIS. Eurodac blev tilføjet af Kommissionen. I konsekvensanalysen har Kommissionen undersøgt fem løsninger med hensyn til den operationelle forvaltning af de tre systemer:

Kommissionen har analyseret disse løsninger fra fire forskellige synsvinkler: drift, ledelse samt finansielle aspekter og retlige aspekter.

19.

Som led i den retlige analyse sammenlignede Kommissionen, hvordan disse forskellige strukturer reelt vil sikre de grundlæggende rettigheder og frihedsrettighederne, navnlig beskyttelsen af personoplysninger. Den konkluderede, at løsning 3 og 4 var de foretrukne løsninger i den henseende (12). For så vidt angår de første to løsninger påpegede Kommissionen de mulige vanskeligheder med hensyn til EDPS’ tilsyn, som blev drøftet under udviklingen af SIS II. I relation til de første to løsninger henviste Kommissionen endvidere til det problematiske forhold med hensyn til ansvaret som følge af EF-traktatens artikel 288 (nu artikel 340 i TEUF) i tilfælde af, at der rejses indvendinger mod de operationer, der udføres af nationalt personale.

20.

EDPS er enig med Kommissionen i, at det af hensyn til EDPS’ tilsyn vil være bedst at have en europæisk enhed, der er ansvarlig for den operationelle forvaltning af store it-systemer som SIS II, VIS og Eurodac. Oprettelsen af én enkelt enhed vil ydermere afklare spørgsmål vedrørende ansvaret og den gældende lovgivning. Forordning (EF) nr. 45/2001 vil finde anvendelse på alle aktiviteter udført af en sådan europæisk enhed.

21.

Det næste spørgsmål er imidlertid, hvilken slags europæisk enhed det bør være. Kommissionen diskuterer oprettelsen af et nyt agentur og anvendelsen af to eksisterende enheder, nemlig Frontex og Europol. Der er et stærkt argument imod at lade Frontex eller Europol varetage den operationelle forvaltning af store it-systemer, da de i udførelsen af deres opgaver har deres egen interesse i at anvende personoplysninger. Europols adgang til SIS II og VIS er allerede forudset, og der er i øjeblikket drøftelser i gang om bestemmelser, der skal give Europol adgang til Eurodac (13). EDPS mener, at der bør foretrækkes en løsning, som overlader den kombinerede operationelle forvaltning af store it-systemer som SIS II, VIS og Eurodac til en uafhængig enhed, der ikke har sin egen interesse at varetage som bruger af databasen. Dette reducerer risikoen for misbrug af oplysninger. I den henseende vil EDPS gerne pege på det grundlæggende databeskyttelsesprincip om formålsbegrænsning, hvorefter personoplysninger ikke må anvendes til formål, der er uforenelige med det formål, hvortil oplysningerne oprindelig blev behandlet (14).

22.

En løsning, som Kommissionen ikke kommenterer, er at lade Kommissionen selv stå for den operationelle forvaltning af systemerne uden delegering til det nationale niveau. Tæt herpå ligger den løsning, der består i at oprette et gennemførelsesagentur i stedet for et reguleringsagentur. Selv om der fra et databeskyttelsessynspunkt ikke er noget principielt til hinder for at lade Kommissionen selv varetage opgaven (Kommissionen er ikke selv bruger af disse systemer), ser EDPS praktiske fordele ved et separat agentur. Valget af et reguleringsagentur i stedet for et gennemførelsesagentur kan også hilses velkommen, da det betyder, at agenturet og dets aktivitetsområde ikke oprettes og bestemmes udelukkende på grundlag af en kommissionsafgørelse. Det nuværende agentur vil blive oprettet på grundlag af en forordning, der vedtages efter den almindelige lovgivningsprocedure og derfor er genstand for en demokratisk afgørelse.

23.

EDPS kan se fordelene ved at oprette et uafhængigt reguleringsagentur. EDPS ønsker dog at understrege, at et sådant agentur først bør oprettes, når dets aktivitets- og ansvarsområder er klart afgrænset.

24.

Under den igangværende lovgivningsmæssige og offentlige debat om forslaget er der blevet udtrykt bekymring for, at der eventuelt vil blive oprettet et »big brother-agentur«. Denne udtalelse har med risikoen for opgaveglidning at gøre, men også med spørgsmålet om interoperabilitet mellem de forskellige it-systemer. De to kritikpunkter vil blive behandlet i denne del af udtalelsen.

25.

Men inden da vil EDPS først anføre — som en grundlæggende antagelse — at risikoen for fejl eller uretmæssig brug af personoplysninger kan blive større, når det overlades til samme driftsleder at stå for flere store it-systemer. Det samlede antal store it-systemer, der forvaltes af ét og samme agentur, bør derfor ikke være større, end at databeskyttelsesgarantierne stadig kan sikres tilstrækkeligt. Udgangspunktet bør med andre ord ikke være at bringe så mange store it-systemer som muligt ind under ét enkelt agenturs operationelle forvaltning.

26.

Frygten for opgaveglidning er i denne kontekst udtryk for den tanke, at det nye agentur vil være i stand til på eget initiativ at oprette og/eller kombinere de allerede eksisterende og nye store it-systemer i et omfang, der ikke er forudset på nuværende tidspunkt. EDPS mener, at opgaveglidning i agenturet kan undgås, hvis man for det første i oprettelsesakten begrænser og klart definerer området for agenturets (mulige) aktiviteter, og for det andet sikrer, at enhver udvidelse af dette område baseres på en demokratisk beslutningsprocedure, der normalt vil være den almindelige lovgivningsprocedure

27.

For så vidt angår begrænsning af området for agenturets (mulige) aktiviteter omtaler det nuværende forslag i artikel 1 den operationelle forvaltning af SIS II, VIS og Eurodac samt »udvikling og forvaltning af andre store it-systemer inden for rammerne af afsnit IV i EF-traktaten«. For så vidt angår afgrænsning af området rejser sidste del tre spørgsmål: hvad forstås der ved »udvikling«, hvad forstås der ved »store it-systemer«, og hvad forstås der ved »inden for rammerne af afsnit IV i EF-traktaten«? Disse tre spørgsmål vil blive behandlet nedenfor i omvendt rækkefølge.

28.

Udtrykket »inden for rammerne af afsnit IV i EF-traktaten« lægger en begrænsning på, hvilke store it-systemer der kan henlægges under agenturets ansvar. EDPS bemærker dog, at dette udtryk medfører et mere begrænset område for de mulige aktiviteter end det, der kan udledes af den foreslåede forordnings titel samt betragtning 4 og 10. De nævnte tekster afviger fra artikel 1 i den forstand, at de har et bredere amvendelsesområde: de omtaler »området frihed, sikkerhed og retfærdighed« i stedet for det mere begrænsede kompetenceområde, der er fastlagt i afsnit IV i EF-traktaten (visum, asyl, indvandring og andre politikker i forbindelse med den frie bevægelighed for personer).

29.

Sondringen mellem afsnit IV i EF-traktaten og det bredere begreb området for frihed, sikkerhed og retfærdighed (der også omfatter afsnit IV i EF-traktaten) anerkendes i artikel 6 i den foreslåede forordning, der i stk. 1 omhandler muligheden af, at agenturet gennemfører pilotordninger for udviklingen og/eller den operationelle forvaltning af store it-systemer inden for rammerne af afsnit IV i EF-traktaten, og i stk. 2 muligheden af, at agenturet gennemfører pilotordninger vedrørende andre store it-systemer inden for området frihed, sikkerhed og retfærdighed. Artikel 6, stk. 2, er strengt taget ikke i overensstemmelse med artikel 1 i den foreslåede forordning.

30.

Den indbyrdes modsætning mellem den foreslåede forordnings artikel 1 og titlen samt betragtning 4 og 10 og artikel 6, stk. 2, skal løses. Under henvisning til den grundlæggende antagelse i punkt 25 mener EDPS, at det på nuværende stadium må anbefales at begrænse kompetenceområdet for store it-systemer inden for rammerne af afsnit IV i EF-traktaten. Siden den 1. december 2009, hvor Lissabontraktaten trådte i kraft, indebærer dette en begrænsning til de politikområder, der er nævnt i kapitel 2 i afsnit V i TEUF. Når agenturet har fået erfaring, og der foreligger en positiv evaluering af den måde, det fungerer på (jf. artikel 27 i forslaget og bemærkningerne i punkt 49), kunne henvisningen i artikel 1 måske udvides til at dække hele området frihed, sikkerhed og retfærdighed, når blot en beslutning herom baseres på den almindelige lovgivningsprocedure.

31.

Hvis lovgiveren imidlertid skulle beslutte sig for et anvendelsesområde som det, der kan udledes af titlen og betragtning 4 og 10, bør et andet spørgsmål vedrørende artikel 6, stk. 2, afklares. I modsætning til artikel 6, stk. 1, specificeres det ikke i stk. 2, at gennemførelsen af pilotordningen er for udviklingen og/eller den operationelle forvaltning af store it-systemer. Den bevidste forskel mellem de to stykker og det manglende ekstra sætningsled i stk. 2 rejser spørgsmålet, hvad Kommissionen faktisk har forsøgt at fastsætte. Betyder det, at de i stk. 1 omhandlede pilotordninger bør omfatte en vurdering af agenturets eventuelle udvikling og operationelle forvaltning, og at en sådan vurdering ikke indgår i pilotordningerne i stk. 2? I så fald bør det afklares bedre i teksten, fordi en udeladelse af denne præcisering ikke udelukker agenturets gennemførelse og operationelle forvaltning af sådanne systemer. Hvis Kommissionen mente noget andet, bør det også afklares.

32.

Det kan diskuteres, hvad der forstås ved begrebet »store it-systemer«. Der er ikke altid en fælles forståelse af, hvilke systemer der skal anses for store it-systemer, og hvilke, der ikke skal. Fortolkningen af begrebet har stor betydning for området for agenturets mulige fremtidige aktiviteter. De tre store it-systemer, der er udtrykkeligt nævnt i forslaget, har som fælles kendetegn lagring af data i en centraliseret database, som Kommissionen (i øjeblikket) har ansvaret for. Det står ikke klart, om agenturets mulige fremtidige aktiviteter er begrænset til store it-systemer med dette kendetegn, eller om de måske også kan omfatte decentraliserede systemer, hvorved Kommissionens ansvar kun omfatter udviklingen og vedligeholdelsen af den fælles infrastruktur for et sådant system som f.eks. Prümsystemet og det europæiske informationssystem vedrørende strafferegistre (ECRIS) (15). For at undgå eventuelle fremtidige misforståelser opfordrer EDPS lovgiveren til at præcisere begrebet store it-systemer i relation til oprettelsen af agenturet.

33.

Foruden den operationelle forvaltning af store it-systemer skal agenturet også varetage de opgaver, der er omhandlet i artikel 5 (overvågning af udviklingen inden for forskning) og i artikel 6 (pilotordninger). Det første indebærer overvågning af relevant forskning og rapportering herom til Kommissionen. Aktiviteterne i forbindelse med pilotordningerne er gennemførelse af pilotordninger for udviklingen og/eller den operationelle forvaltning af store it-systemer (se dog bemærkningerne i punkt 31). Artikel 6 definerer, hvad der skal forstås ved »udvikling«. Anvendelsen af ordet i artikel 1 giver anledning til den tanke, at agenturet vil kunne være ansvarlig for udvikling af store it-systemer på eget initiativ. Dette udelukkes imidlertid af affattelsen af artikel 6, stk. 1 og 2. Det anføres klart, at agenturet kan gøre dette »på specifik og præcis anmodning fra Kommissionen«. Med andre ord ligger initiativet for udvikling af nye store it-systemer hos Kommissionen. Enhver beslutning om faktisk at oprette et nyt stort it-system bør naturligvis baseres på lovgivningsproceduren i TEUF. For at skærpe ordlyden af artikel 6 i den foreslåede forordning endnu mere kunne lovgiveren beslutte at indsætte ordet »kun« i begyndelsen af artikel 6, stk. 1 og 2.

34.

Risikoen for opgaveglidning kan som nævnt undgås, hvis man for det første i oprettelsesakten begrænser og klart definerer området for agenturets (mulige) aktiviteter, og for det andet sikrer, at enhver udvidelse af dette område baseres på en demokratisk beslutningsprocedure, der normalt vil være den almindelige lovgivningsprocedure Den nuværende tekst indeholder allerede præciseringer, der begrænser risikoen for opgaveglidning.

35.

Der er dog nogle uklarheder tilbage med hensyn til det præcise område for det nye agenturs mulige aktiviteter. Lovgiveren bør for det første præcisere og bevidst beslutte, om aktivitetsområdet er begrænset til kapitel 2 i afsnit V i TEUF, eller om det eventuelt bør dække alle store it-systemer, der udvikles inden for området frihed, sikkerhed og retfærdighed. Lovgiveren bør for det andet præcisere begrebet store it-systemer inden for denne ramme og gøre det klart, om det er begrænset til store it-systemer, der er kendetegnet ved lagring af data i en centraliseret database, som Kommissionen eller agenturet har ansvaret for. For det tredje vil teksten til artikel 6, selv om denne artikel allerede forhindrer agenturet i at udvikle nye it-systemer på eget initiativ, kunne skærpes endnu mere ved tilføjelse af ordet »kun« i stk. 1 og 2, hvis sidstnævnte bibeholdes.

36.

Begrebet »interoperabilitet« er ikke helt entydigt. EDPS kom frem til denne konklusion i sine bemærkninger af 10. marts 2006 om meddelelsen fra Kommissionen om kompatibilitet mellem europæiske databaser (16). For det nye agenturs vedkommende må begrebet interoperabilitet forstås således, at det indebærer risiko for, at der vil blive anvendt samme slags teknologi for alle store it-systemer, når de anbringes under ét agenturs operationelle forvaltning, og at systemerne derfor let kan kobles sammen. Generelt tilslutter EDPS sig dette kritikpunkt. I sine bemærkninger af 10. marts 2006 udtalte EDPS, at når det bliver teknisk muligt at sammenkoble forskellige store it-systemer, opstår der et kraftigt incitament til faktisk at gøre det. Det er en vægtig grund til endnu en gang at understrege vigtigheden af databeskyttelsesreglerne. EDPS understregede derfor, at der kun kan være tale om at muliggøre interoperabilitet mellem store it-systemer med fuld respekt for databeskyttelsesprincipperne og navnlig med fuld respekt for det tidligere nævnte princip om formålsbegrænsning (jf. punkt 21).

37.

Den mulige tilskyndelse til at gøre store it-systemer interoperable, hvis der anvendes teknologi, som let kan sammenkobles, hænger imidlertid ikke nødvendigvis sammen med oprettelsen af et nyt agentur. Også uden et sådant agentur vil systemer kunne udvikles på måder, der ligner hinanden, hvorved der kan opstå interoperabilitet.

38.

Uanset hvilken operationel forvaltningsstruktur der vælges, må interoperabilitet kun gøres mulig, hvis det er i overensstemmelse med databeskyttelsesreglerne, og hvis den faktiske beslutning om at gøre det baseres på en almindelig lovgivningsprocedure. Det fremgår klart af den foreslåede forordning, at beslutningen om at gøre store it-systemer interoperable ikke er en beslutning, som agenturet kan træffe (jf. også analysen i punkt 33). For at udtrykke det endnu stærkere, som det også fremgår af Kommissionens meddelelse om europæiske agenturer af 11. marts 2008, er det ikke tilladt Kommissionen at delegere beføjelsen til at vedtage en sådan generel forskrift til et agentur (17). Så længe en sådan beslutning ikke træffes, er agenturet tvunget til at indføre passende sikkerhedsforanstaltninger for at hindre enhver mulig sammenkobling af de store it-systemer, det forvalter (for så vidt angår sikkerhedsforanstaltninger henvises også til punkt 46 og 47).

39.

Interoperabilitet (påtænkt eller eventuelt påtænkt i fremtiden) vil kunne indgå i Kommissionens anmodning til agenturet om at gennemføre en pilotordning for udviklingen af nye store it-systemer som beskrevet i artikel 6 i den foreslåede forordning. Det giver anledning til at spørge, hvilken procedure Kommissionen vil følge, når den anmoder agenturet om en sådan pilotordning. Kommissionens anmodning bør under alle omstændigheder mindst være baseret på en indledende vurdering af, om det store it-system som sådan og interoperabiliteten i særdeleshed vil være i overensstemmelse med databeskyttelseskravene og mere generelt med retsgrundlagene for oprettelse af disse systemer. Endvidere vil obligatorisk høring af Europa-Parlamentet og EDPS kunne indgå i den procedure, der fører frem til anmodningen. Kommissionens konkrete anmodning til agenturet bør under alle omstændigheder gøres tilgængelig for alle relevante aktører, herunder Parlamentet og EDPS. EDPS henstiller til lovgiveren at præcisere denne procedure.

40.

Det foreslås i forordningen, at der oprettes et selvstændig reguleringsagentur med status som juridisk person. Det fremgår af betragtning 6 i den foreslåede forordning, at der bør oprettes et sådant agentur, da forvaltningsmyndigheden bør have retlig, administrativ og finansiel autonomi. Som allerede nævnt i punkt 20 afklarer oprettelsen af én enkelt enhed spørgsmål vedrørende ansvaret og den gældende lovgivning.

41.

Artikel 25 i den foreslåede forordning bekræfter, at det nye agenturs behandling af oplysninger er underlagt forordning (EF) nr. 45/2001. Betragtning 16 fremhæver endvidere, at dette betyder, at EDPS har beføjelse til hos agenturet at få adgang til alle de oplysninger, som er nødvendige for den tilsynsførendes undersøgelser.

42.

Det glæder EDPS at se, at det således understreges, at forordning (EF) nr. 45/2001 finder anvendelse på det nye agenturs aktiviteter. I den foreslåede rådsafgørelse er der ikke nogen henvisning til forordning (EF) nr. 45/2001, selv om det står klart, at agenturet også vil være bundet af nævnte forordnings bestemmelser, når databasen anvendes til aktiviteter, der falder ind under politisamarbejdet og det retlige samarbejde i straffesager. Nu hvor Lissabontraktaten er trådt i kraft, og for så vidt lovgiveren beslutter at bibeholde opdelingen i to retsakter (jf. bemærkningerne i del II), er der ingen grund til, at der ikke også i rådsafgørelsens betragtninger og/eller bestemmelser skulle henvises til forordning (EF) nr. 45/2001.

43.

Det glæder også EDPS at se, at udpegelse af en databeskyttelsesansvarlig er udtrykkeligt omhandlet i artikel 9, stk. 1, litra o), i den foreslåede forordning. EDPS vil gerne understrege vigtigheden af, at der udpeges en databeskyttelsesansvarlig på et tidligt tidspunkt, jf. EDPS’ positionspapir om databeskyttelsesansvarlige (18).

44.

På grundlag af forordning (EF) nr. 45/2001 og via retsakterne om oprettelse af it-systemerne har EDPS tilsynsbeføjelser over agenturet. Disse beføjelser, der er anført i artikel 47 i forordning (EF) nr. 45/2001, gøres fortrinsvis gældende, når der er sket en overtrædelse af databeskyttelsesreglerne. EDPS interesserer sig for at blive regelmæssigt informeret, ikke blot efterfølgende, men også på forhånd, om agenturets aktiviteter. EDPS har nu fundet frem til en praksis sammen med Kommissionen, der tilgodeser hans hensyn. EDPS udtrykker håbet om, at han også vil opnå et sådant tilfredsstillende samarbejde med det nyoprettede agentur. På denne baggrund anbefaler EDPS, at lovgiveren sætter EDPS på listen over modtagere af det årlige arbejdsprogram og den årlige aktivitetsrapport, jf. artikel 9, stk. 1, litra i) og j), i den foreslåede forordning.

45.

Artikel 9, stk. 1, litra r), i den foreslåede forordning omhandler EDPS’ rapport om revisionen, jf. artikel 45 i forordning (EF) nr. 1987/2006 om SIS II og artikel 42, stk. 2, i forordning (EF) nr. 767/2008 om VIS. Den nuværende ordlyd giver (på engelsk) indtryk af, at agenturet er fuldstændig frit stillet med hensyn til, hvordan revisionen skal følges op, herunder muligheden af ikke at følge anbefalingerne heri overhovedet. Selv om agenturet kan fremsætte bemærkninger til rapporten og frit kan beslutte, hvordan EDPS’ anbefalinger skal gennemføres, er det ikke en mulighed helt at undlade at følge dem. EDPS foreslår derfor enten at udelade artiklen eller at ændre »og beslutte, hvordan revisionen skal følges op« til »og beslutte, hvordan anbefalingerne kan gennemføres på den mest hensigtsmæssige måde i forlængelse af revisionen«.

46.

Ifølge den foreslåede forordning skal den administrerende direktør forelægge et udkast til de nødvendige sikkerhedsforanstaltninger, herunder en sikkerhedsplan, for bestyrelsen med henblik på vedtagelse (jf. artikel 14, stk. 6, litra g), og artikel 9, stk. 1, litra n)). Sikkerhed er også nævnt i artikel 26, der omhandler sikkerhedsregler for beskyttelse af klassificerede oplysninger og ikke-klassificerede følsomme oplysninger. Der henvises til Kommissionens afgørelse 2001/844/EF, EKSF, Euratom (19) af 29. november 2001 og i stk. 2 til sikkerhedsprincipperne for behandling af ikke-klassificerede følsomme oplysninger, således som Europa-Kommissionen har vedtaget og gennemført dem. Foruden de bemærkninger, der følger i punkt 47, anbefaler EDPS, at lovgiveren også indsætter en henvisning til specifik dokumentation i stk. 2, da stykket er ret vagt i sin nuværende affattelse.

47.

EDPS vil gerne pointere, at de retsakter, der ligger til grund for SIS II, VIS og Eurodac, indeholder detaljerede bestemmelser om sikkerhed. Det er ikke indlysende, at disse specifikke regler helt svarer til eller er fuldt forenelige med de i artikel 26 omhandlede regler. Da sikkerhedsplanen bør sikre det højeste sikkerhedsniveau, anbefaler EDPS, at lovgiveren ændrer artikel 26 til en bredere bestemmelse, der behandler spørgsmålet om sikkerhedsregler mere generelt og indeholder henvisninger til de relevante bestemmelser i retsakterne om de store it-systemer. Forinden bør der foretages en vurdering af, i hvilket omfang de omhandlede regler svarer til eller er forenelige med hinanden. Der bør endvidere etableres en forbindelse mellem denne bredere bestemmelse og artikel 14, stk. 6, litra g), og artikel 9, stk. 1, litra n), der omhandler udarbejdelse og vedtagelse af sikkerhedsforanstaltninger og en sikkerhedsplan.

48.

EDPS er klar over, at beslutningen om agenturets hjemsted, jf. artikel 7, stk. 4, i vid udstrækning er politisk. Alligevel anbefaler EDPS på baggrund af artikel 19, der omhandler hjemstedsaftalen, at valget af hjemsted baseres på objektive kriterier, som f.eks. de lokaler, der stilles til rådighed, og som bør være én enkelt bygning udelukkende forbeholdt agenturet, og mulighederne for at garantere bygningens sikkerhed.

49.

Artikel 27 i den foreslåede forordning fastsætter, at inden tre år, efter at agenturet har indledt sin virksomhed, og derefter hvert femte år lader bestyrelsen foretage en uafhængig, ekstern evaluering på grundlag af det kommissorium, som er fastlagt af bestyrelsen efter samråd med Kommissionen. For at sikre, at databeskyttelse indgår i dette kommissorium, anbefaler EDPS, at lovgiveren udtrykkeligt henviser hertil i stk. 1. Endvidere opfordrer EDPS til, at lovgiveren på ikke-udtømmende vis specifikt anfører de i stk. 2 omhandlede aktører, heriblandt EDPS. EDPS anbefaler, at lovgiveren også indsætter EDPS på listen over de institutioner, der modtager de i stk. 3 omhandlede dokumenter.

50.

Indledningsvis påpeger EDPS, at det er umuligt at basere den foreslåede rådsafgørelse på de to artikler i TEUF, der viderefører de artikler i EU-traktaten, som forslaget på nuværende tidspunkt er baseret på. EDPS opfordrer Kommissionen til at afklare situationen og overveje dels at anvende den artikel som retsgrundlag, der tillægger Europa-Parlamentet mest magt, dels at slå de to forslag sammen til én forordning.

51.

EDPS har analyseret de forskellige løsninger for den operationelle forvaltning af SIS II, VIS og Eurodac og ser fordelene ved at oprette et reguleringsagentur for den operationelle forvaltning af visse store it-systemer. EDPS understreger imidlertid, at et sådant agentur kun bør oprettes, hvis dets aktivitets- og ansvarsområder er klart afgrænset.

52.

EDPS har gennemgået to generelle kritikpunkter vedrørende oprettelsen af et agentur med relevans for databeskyttelse: risikoen for opgaveglidning og konsekvenserne for systemernes interoperabilitet.

53.

EDPS mener, at risikoen for opgaveglidning kan undgås, hvis man for det første i oprettelsesakten begrænser og klart definerer området for agenturets (mulige) aktiviteter, og for det andet sikrer, at enhver udvidelse af dette område baseres på en demokratisk beslutningsprocedure. EDPS bemærker, at de nuværende forslag allerede indeholder sådanne præciseringer, men at der stadig er nogle uklarheder tilbage. EDPS anbefaler derfor, at lovgiveren:

54.

Generelt er EDPS bekymret over uklarheder med hensyn til udviklingen inden for eventuel interoperabilitet mellem store it-systemer. EDPS finder dog ikke oprettelsen af agenturet den mest truende faktor i den henseende. EDPS har bemærket, at agenturet ikke på eget initiativ vil kunne træffe beslutninger om interoperabilitet. EDPS opfordrer til, at lovgiveren i forbindelse med de foreslåede pilotordninger præciserer, hvilken procedure Kommissionen bør følge, inden den anmoder om en pilotordning. Ifølge EDPS bør en sådan procedure omfatte en vurdering, eventuelt med obligatorisk høring af Europa-Parlamentet og EDPS, af, hvordan det initiativ, der udvikles i forlængelse af en sådan anmodning, vil kunne påvirke databeskyttelsen.

55.

EDPS fremsætter endvidere følgende specifikke anbefalinger: