1.4.2011   

DA

Den Europæiske Unions Tidende

C 101/6

1.

Den 22. november 2010 vedtog Kommissionen en meddelelse med titlen »Strategien for EU's indre sikkerhed i praksis — Fem skridt hen imod et mere sikkert EU« (i det følgende »meddelelsen«) (3). Meddelelsen blev sendt til høring hos den tilsynsførende.

2.

Den tilsynsførende glæder sig over, at han blev hørt af Kommissionen. Allerede før vedtagelsen af meddelelsen fremlagde den tilsynsførende uformelle bemærkninger til udkastet, hvoraf Kommissionen har taget hensyn til nogle i den endelige udgave af meddelelsen.

3.

EU's indre sikkerhedsstrategi (i det følgende ISS), der er emnet for meddelelsen, blev vedtaget den 23. februar 2010 under det spanske formandskab (4). I strategien fastlægges en europæisk sikkerhedsmodel, som bl.a. integrerer retshåndhævelse og retligt samarbejde, grænseforvaltning og civilbeskyttelse med skyldigt hensyn til respekt for fælles europæiske værdier såsom grundlæggende rettigheder. Strategien har to hovedmålsætninger:

4.

ISS er rettet mod de mest presserende trusler og udfordringer for EU's sikkerhed såsom grov og organiseret kriminalitet, terrorisme og internetkriminalitet, forvaltning af EU's ydre grænser og opbygning af modstandskraft over for naturkatastrofer og menneskeskabte katastrofer. Strategien omfatter generelle retningslinjer og principper for, hvordan EU skal reagere over for disse forhold, og Kommissionen opfordres til at stille forslag til tidsbundne aktiviteter til gennemførelse af strategien.

5.

Desuden er det vigtigt i denne sammenhæng at henvise til Rådets (retlige og indre anliggender) nylige konklusioner om fastlæggelse og gennemførelse af en EU-politikcyklus for organiseret og grov international kriminalitet, vedtaget den 8.-9. november 2010 (5) (i det følgende »konklusionerne fra november 2010«). Dette dokument følger efter Rådets konklusion om den indre sikkerheds arkitektur fra 2006 (6), hvori Rådet og Kommissionen opfordres til at fastlægge en omfattende ISS baseret på EU's fælles værdier og principper som fastlagt i EU's charter om grundlæggende rettigheder (7).

6.

Blandt de retningslinjer og mål, der skal danne baggrund for gennemførelsen af ISS, henvises der i konklusionerne fra november 2010 til overvejelser om en proaktiv og efterretningsbaseret strategi, et nøje afgrænset samarbejde mellem Unionens agenturer, herunder yderligere forbedring af deres informationsudveksling og målet om at gøre borgerne mere opmærksomme på betydningen af Unionens arbejde med at beskytte dem. Desuden opfordres Kommissionen i konklusionerne til sammen med eksperter fra de relevante agenturer og medlemsstater at udarbejde en flerårig strategisk plan for hver prioritet, hvori den mest hensigtsmæssige strategi til at håndtere problemet skal fastlægges. Endvidere opfordres Kommissionen til gennem høringer med medlemsstaternes og EU-agenturernes eksperter at udvikle en uafhængig mekanisme, som skal evaluere gennemførelsen af den flerårige strategiske plan. Den tilsynsførende vil vende tilbage til disse områder senere i udtalelsen, da de hænger tæt sammen med eller har stor betydning for beskyttelsen af personoplysninger, privatlivets fred og andre dermed forbundne grundlæggende rettigheder og friheder.

7.

Meddelelsen indeholder forslag til fem strategiske målsætninger, som alle er forbundet med privatlivets fred og databeskyttelse:

8.

I ISS i praksis, som drøftes i meddelelsen, stilles der forslag til en fælles dagsorden for medlemsstaterne, Europa-Parlamentet, Kommissionen, Rådet, agenturer og andre, herunder civilsamfundet og lokale myndigheder, og til, hvordan de alle skal arbejde sammen i de kommende fire år for at nå målene i ISS.

9.

Meddelelsen er baseret på Lissabontraktaten og retningslinjerne i Stockholmprogrammet (og dettes handlingsplan), hvor behovet for en omfattende ISS baseret på respekt for grundlæggende rettigheder, international beskyttelse og retsstatsprincippet understreges i kapitel 4.1. I overensstemmelse med Stockholmprogrammet bør udvikling, overvågning og gennemførelse af den indre sikkerhedsstrategi desuden blive en af de prioriterede opgaver for Den Stående Komité for den Indre Sikkerhed (COSI), der er nedsat under artikel 71 i TEUF. For at sikre en effektiv håndhævelse af ISS bør den også omfatte sikkerhedsaspekterne ved en integreret grænseforvaltning og i givet fald retligt samarbejde i kriminalsager af relevans for operationelt samarbejde om den indre sikkerhed. I denne sammenhæng er det ligeledes vigtigt at nævne, at der i Stockholmprogrammet opfordres til en integreret tilgang til ISS, hvor der også kan tages hensyn til EU's eksterne sikkerhedsstrategi og andre EU-politikker, navnlig vedrørende det indre marked.

10.

I meddelelsen henvises der til forskellige politikområder, der indgår i eller har betydning for en bred forståelse af begrebet »indre sikkerhed« i EU.

11.

Formålet med udtalelsen er ikke at analysere alle politikområder og specifikke emner i meddelelsen, men at:

12.

Det gør den tilsynsførende navnlig ved at belyse forbindelserne mellem ISS og informationsstyringsstrategien og arbejdet med den omfattende databeskyttelsesramme. Desuden vil den tilsynsførende henvise til begreber som: bedste tilgængelige teknikker og »Privacy by design«, konsekvensvurderinger vedrørende privatlivs- og databeskyttelse samt registreredes rettigheder med direkte indvirkning på udformningen og gennemførelsen af ISS. Desuden vil den tilsynsførende fremsætte kommentarer til en række udvalgte politikområder såsom integreret grænseforvaltning, herunder EUROSUR og behandling af personoplysninger i FRONTEX, samt andre områder såsom cyberspace og TFTP.

13.

Forskellige EU-strategier baseret på Lissabontraktaten og Stockholmprogrammet med en direkte eller indirekte indvirkning på databeskyttelse drøftes og foreslås for indeværende på EU-plan. En af dem er ISS, som er tæt forbundet med andre strategier (der enten er behandlet i nylige meddelelser fra Kommissionen eller forventes at blive det i den nærmeste fremtid) såsom EU's informationsstyringsstrategi og den europæiske informationsudvekslingsmodel, strategien for gennemførelsen af EU's charter om grundlæggende rettigheder, den omfattende databeskyttelsesstrategi og EU's terrorbekæmpelsespolitik. I udtalelsen lægger den tilsynsførende særlig vægt på forbindelserne til informationsstyringsstrategien og den omfattende databeskyttelsesramme baseret på artikel 16 i TEUF, som har de mest indlysende politiske forbindelser til ISS i et databeskyttelsesperspektiv.

14.

Alle disse strategier udgør et komplekst puslespil af indbyrdes forbundne politiske retningslinjer, programmer og handlingsplaner, som kræver en omfattende, integreret tilgang på EU-plan.

15.

Mere generelt vil denne tilgang med at »forbinde strategierne«, hvis den kommer til at danne grundlag for fremtidige foranstaltninger, vise, at der er en vision på EU-plan for EU-strategier, og at disse strategier og de nyligt vedtagne meddelelser, som udbygger dem, hænger tæt sammen, hvilket er tilfældet, med Stockholmprogrammet som det fælles referencepunkt for dem alle. Det vil også skabe en positiv synergi mellem forskellige politikker på området frihed, sikkerhed og retfærdighed og vil hindre eventuel overlapning af arbejdet og indsatsen på dette område. Hvad lige så vigtigt er, vil denne tilgang også føre til mere effektiv og sammenhængende anvendelse af databeskyttelsesregler i forbindelse med indbyrdes forbundne strategier.

16.

Den tilsynsførende understreger, at en af søjlerne i ISS er en effektiv informationsstyring i EU, som skal være baseret på principper som nødvendighed og proportionalitet for at begrunde behovet for informationsudveksling.

17.

Som nævnt i den tilsynsførendes udtalelse om meddelelsen om informationsstyring (8) understreger den tilsynsførende, at alle nye retsforskrifter, der letter lagring og udveksling af personoplysninger, kun skal foreslås, såfremt der foreligger konkret dokumentation for, at de er nødvendige (9). Dette lovbestemte krav bør omsættes til en proaktiv politisk tilgang i gennemførelsen af ISS. Behovet for en omfattende tilgang til ISS fører også uundgåeligt til behovet for en vurdering af alle instrumenter og værktøjer, der allerede findes inden for indre sikkerhed, før der stilles forslag til nye.

18.

I denne sammenhæng foreslår den tilsynsførende også en mere hyppig brug af bestemmelser, der muliggør periodisk evaluering af eksisterende instrumenter, såsom bestemmelserne i direktivet om lagring af data, som er under evaluering (10).

19.

I meddelelsen henvises der til beskyttelse af personoplysninger i afsnittet »Sikkerhedspolitikker baseret på fælles værdier«, hvor det hedder, at de redskaber og foranstaltninger, der anvendes til at gennemføre ISS, skal være baseret på fælles værdier, herunder retsstatsprincippet og respekten for de grundlæggende rettigheder fastsat i Den Europæiske Unions charter om grundlæggende rettigheder. I denne sammenhæng hedder det, at »Når det gøres lettere at håndhæve lovgivningen i EU ved hjælp af informationsudveksling, er det nødvendigt, at vi beskytter den enkeltes privatliv og dennes grundlæggende ret til beskyttelse af personoplysninger.«

20.

Den tilsynsførende bifalder denne erklæring. Den kan dog ikke betragtes som en tilstrækkelig behandling af spørgsmålet om databeskyttelse i ISS. Meddelelsen indeholder ikke nærmere om databeskyttelse (11), og der gøres ikke rede for, hvordan man i praksis sikrer respekt for privatlivets fred og beskyttelse af personoplysninger i de foranstaltninger, der gennemfører ISS.

21.

Ifølge den tilsynsførende bør en af målsætningerne for ISS i praksis være beskyttelse i bred forstand, hvilket vil sikre den rette balance mellem på den ene side beskyttelse af borgerne mod de eksisterende trusler og på den anden beskyttelse af deres privatliv og retten til beskyttelse af personoplysninger. Med andre ord skal sikkerhed og privatliv tages lige seriøst i udviklingen af ISS, som skal være i overensstemmelse med Stockholmprogrammet og Rådets konklusioner.

22.

Tilvejebringelse af sikkerhed i fuld respekt for privatlivets fred og databeskyttelse bør med andre ord anføres som en af målsætningerne for EU's indre sikkerhedsstrategi. Dette bør afspejles i alle medlemsstaternes og EU-institutionernes foranstaltninger for at gennemføre strategien.

23.

I denne sammenhæng henviser den tilsynsførende til meddelelse (2010) 609 om en global metode til beskyttelse af personoplysninger i Den Europæiske Union. (12) Den tilsynsførende vil i nær fremtid afgive en udtalelse om denne meddelelse, men understreger her, at en ISS ikke kan være effektiv uden støtte fra en solid databeskyttelsesordning, som supplerer den og skaber grobund for gensidig tillid og større effektivitet.

24.

Det er klart, at nogle af de foranstaltninger, der udløber af ISS-målsætningerne, kan øge risikoen for den enkeltes ret til privatlivets fred og databeskyttelse. Som modvægt til disse risici vil den tilsynsførende specifikt gøre opmærksom på begreber som »Privacy by design«, konsekvensvurderinger vedrørende privatlivs- og databeskyttelse, registreredes rettigheder og bedste tilgængelige teknikker. Der bør tages hensyn til alle disse begreber i gennemførelsen af ISS, da de kan bidrage til mere privatlivsvenlige og databeskyttelsesorienterede politikker på dette område.

25.

Den tilsynsførende har ved adskillige lejligheder og i forskellige udtalelser gjort sig til talsmand for begrebet indbygget databeskyttelse (»Privacy by design« eller »Privacy by default«). Dette begreb er under udvikling for både den private og den offentlige sektor og skal derfor også spille en vigtig rolle i forbindelse med EU's indre sikkerhed og det politimæssige og retlige område (13).

26.

Der står intet i meddelelsen om dette begreb. Den tilsynsførende foreslår, at der henvises til dette begreb i de målrettede foranstaltninger, som skal foreslås til at gennemføre ISS, især i forbindelse med målsætning 4, »Styrke sikkerheden via grænseforvaltning«, hvor der klart henvises til øget brug af ny teknologi til grænseovervågning og grænsekontrol.

27.

Den tilsynsførende tilskynder Kommissionen til som led i det fremtidige arbejde med udformningen og gennemførelsen af ISS på grundlag af meddelelsen at overveje betydningen af en reel konsekvensvurdering vedrørende privatlivs- og databeskyttelse på området frihed, sikkerhed og retfærdighed og især i ISS.

28.

I meddelelsen henvises der til trussels- og risikovurderinger. Dette bifalder den tilsynsførende. Men intetsteds nævnes konsekvensvurderinger vedrørende privatlivs- og databeskyttelse. Den tilsynsførende mener, at arbejdet med gennemførelsen af meddelelsen om ISS er en god lejlighed til at udbygge sådanne konsekvensvurderinger vedrørende privatlivs- og databeskyttelse i forbindelse med den indre sikkerhed. Den tilsynsførende bemærker, at dette aspekt ikke præciseres eller udvikles til et politisk krav, hverken i meddelelsen eller i Kommissionens retningslinjer for konsekvensvurderinger (14).

29.

Den tilsynsførende anbefaler derfor, at der foretages en mere indgående konsekvensvurdering vedrørende privatlivs- og databeskyttelse i gennemførelsen af kommende instrumenter, enten som en særskilt vurdering eller som led i Kommissionens generelle konsekvensvurdering for grundlæggende rettigheder. Denne konsekvensvurdering skal ikke kun afdække generelle principper eller analysere politiske muligheder, sådan som det er tilfældet nu, men også indeholde anbefalinger til specifikke, konkrete sikringsforanstaltninger.

30.

Der bør derfor udvikles specifikke indikatorer og funktioner for at sikre, at alle forslag med indvirkning på privatlivs- og databeskyttelse inden for EU's indre sikkerhed gøres til genstand for indgående overvejelser, herunder om principper som proportionalitet, nødvendighed og formålsbegrænsning.

31.

Desuden kunne det være nyttigt i denne forbindelse at henvise til artikel 4 i Kommissionens henstilling om gennemførelse af principperne om beskyttelse af personoplysninger og privatlivets fred i forbindelse med anvendelse af radiofrekvensbaseret identifikation (RFID-henstillingen) (15), hvor Kommissionen henstiller til medlemsstaterne at sikre, at erhvervslivet i samarbejde med relevante parter fra civilsamfundet opstiller en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse. I Madrid-resolutionen, som databeskyttelseskommissærerne vedtog på den internationale konference i november 2009, tilskyndes der desuden til at gennemføre disse konsekvensvurderinger før indførelsen af nye informationssystemer og -teknologier til behandling af personoplysninger eller betydelige ændringer i eksisterende behandlinger.

32.

Den tilsynsførende bemærker, at Kommissionen i meddelelsen ikke forholder sig specifikt til spørgsmålet om registreredes rettigheder, som er et afgørende element i databeskyttelsen og bør indgå i udformningen af ISS. Det er vigtigt at sikre, at de pågældende personer på tværs af alle forskellige systemer og instrumenter, der vedrører EU's indre sikkerhed, har samme rettigheder med hensyn til, hvordan deres personoplysninger behandles.

33.

I mange af de systemer, der nævnes i meddelelsen, er der indført særlige regler vedrørende registreredes rettigheder (også målrettet personkategorier såsom ofre, mistænkte eller indvandrere), men der er store forskelle mellem systemerne og instrumenterne, uden at der findes nogen god begrundelse herfor.

34.

Den tilsynsførende opfordrer derfor Kommissionen til i nær fremtid at se nærmere på dette spørgsmål om at ensrette registreredes rettigheder i EU i forbindelse med ISS og informationsstyringsstrategien.

35.

Opmærksomheden bør navnlig være rettet mod klage- og retsmidler. ISS bør sikre, at registeransvarlige i tilfælde, hvor en persons rettigheder ikke overholdes fuldt ud, indfører let tilgængelige, effektive og billige klageprocedurer.

36.

Gennemførelsen af ISS vil uundgåeligt bygge på brug af en it-infrastruktur, der understøtter foranstaltningerne i meddelelsen. Bedste tilgængelige teknikker (BAT) kan betragtes som hjælpemidler til at sikre den rette balance mellem at nå målsætningerne for ISS og overholde den enkeltes rettigheder. I denne sammenhæng vil den tilsynsførende gentage sin anbefaling fra tidligere udtalelser (16) om nødvendigheden af, at Kommissionen fastlægger og sammen med interessenter fra erhvervslivet fremmer konkrete foranstaltninger til anvendelse af BAT. En sådan anvendelse er det mest effektive og avancerede stadium i udviklingen af aktiviteter og metoder til at gennemføre dem, hvilket viser, om bestemte teknikker er velegnede til at føre til de forventede resultater på en effektiv måde og i overensstemmelse med EU's rammer for privatlivets fred og databeskyttelse. Denne tilgang er i fuldstændig overensstemmelse med ovennævnte tilgang »privacy by design«.

37.

Hvor det er relevant og muligt, bør der udarbejdes referencedokumenter om BAT, der dels skal tjene som vejledning, dels skabe større retlig sikkerhed for den faktiske gennemførelse af foranstaltningerne under ISS. Dette kan også styrke harmoniseringen af sådanne foranstaltninger i alle medlemsstaterne. Sidst, men ikke mindst vil anvendelsen af BAT, der tager hensyn til privatlivets fred og sikkerhed, lette databeskyttelsesmyndighedernes overvågende funktion, fordi de derved får adgang til tekniske referencer vedtaget af registeransvarlige, der er baseret på hensyn til privatlivets fred og sikkerhed.

38.

Den tilsynsførende understreger også vigtigheden af en korrekt afstemning af ISS og de aktiviteter, der allerede er udført under syvende rammeprogram for forskning og teknologisk udvikling og det generelle program om sikkerhed og beskyttelse af frihedsrettigheder. En fælles vision om at tilvejebringe BAT vil skabe innovation inden for den viden og kapacitet, der er krævet for at beskytte borgerne, samtidig med at de grundlæggende rettigheder overholdes.

39.

Endelig påpeger den tilsynsførende den rolle, som Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) kan spille i udformningen af retningslinjer og vurderingen af den sikkerhedskapacitet, der er nødvendig for at sikre it-systemernes integritet og tilgængelighed, og også i anvendelsen af disse BAT. I den sammenhæng bifalder den tilsynsførende inddragelsen af agenturet som en central aktør i forbedringen i kapaciteten til at håndtere it-angreb og bekæmpelse af internetkriminalitet (17).

40.

I denne sammenhæng er der også behov for en nærmere præcisering af de aktører, der indgår i eller bidrager til ISS arkitektur. I meddelelsen nævnes der forskellige aktører og interessenter såsom borgere, retsvæsen, EU's agenturer, nationale myndigheder, politi og erhvervslivet. Der bør foretages en afklaring af disse aktørers specifikke funktioner og kompetencer i de specifikke foranstaltninger, der gennemføres som led i ISS.

41.

Det fremgår af meddelelsen, at EU med Lissabontraktatens ikrafttræden i højere grad kan udnytte synergierne mellem grænseforvaltningsstrategierne for personer og varer. Hvad angår personers frie bevægelighed, hedder det i meddelelsen, at »EU kan behandle styring af migrationen og bekæmpelse af kriminalitet som to målsætninger for den integrerede grænseforvaltningsstrategi«. Det fremgår af dokumentet, at grænseforvaltning opfattes som et potentielt kraftfuldt middel til at svække grov og organiseret kriminalitet (18).

42.

Den tilsynsførende bemærker også, at der i meddelelsen identificeres tre strategiske forhold: 1) øget brug af ny teknologi til grænsekontrol (anden generation af Schengeninformationssystemet (SIS II), Visuminformationssystemet (VIS), ind- og udrejsesystemet og programmet for registrerede rejsende), 2) øget brug af ny teknologi til grænseovervågning (det europæiske grænseovervågningssystem, EUROSUR) og 3) en øget koordinering mellem medlemsstaterne via Frontex.

43.

Den tilsynsførende ønsker at benytte denne udtalelse til at minde om sine anmodninger fra adskillige tidligere udtalelser om, at der på EU-plan indføres en klar politik for grænseforvaltning, som fuldt ud overholder databeskyttelsesreglerne. Den tilsynsførende mener, at det pågående arbejde med ISS og informationsstyring er en meget god lejlighed til at træffe mere konkrete foranstaltninger for at sikre en sammenhængende politisk tilgang til disse områder.

44.

Den tilsynsførende bemærker, at der i meddelelsen ikke alene henvises til eksisterende storskalasystemer og systemer, der kan tages i brug i den nærmeste fremtid (såsom SIS, SIS II og VIS), men også i samme tråd til systemer, som Kommissionen kan stille forslag til i fremtiden, men som endnu ikke er vedtaget (f.eks. programmet for registrerede rejsende (RTP) og ind- og udrejsesystemet). I denne sammenhæng bør det erindres, at målsætningerne for og legitimiteten af at indføre disse systemer stadig bør afklares og påvises, også i lyset af resultaterne af specifikke konsekvensvurderinger udført af Kommissionen. Sker dette ikke, kan meddelelsen læses som en foregribelse af beslutningstagningsprocessen, og der er følgelig ikke taget hensyn til, at den endelige beslutning om, hvorvidt RTP- og ind- og udrejsesystemer skal indføres i EU, endnu ikke er truffet.

45.

Den tilsynsførende foreslår derfor, at man undgår sådanne foregribelser i det fremtidige arbejde med gennemførelsen af ISS. Som tidligere nævnt bør der først træffes beslutning om at indføre nye storskalasystemer, der griber ind i privatlivets fred, når der er foretaget en tilstrækkelig vurdering af alle eksisterende systemer med skyldigt hensyn til nødvendighed og proportionalitet.

46.

Det fremgår af meddelelsen, at Kommissionen vil fremlægge et lovgivningsforslag for at etablere EUROSUR i 2011 for derved at bidrage til den indre sikkerhed og bekæmpe kriminalitet, og at EUROSUR vil anvende nye teknologier, der er udviklet via EU-finansierede forskningsprojekter og -aktiviteter såsom satellitbilleder til at afsløre og spore mål ved søgrænsen, f.eks. sporing af hurtigtgående fartøjer, der transporterer narkotika til EU.

47.

I denne sammenhæng bemærker den tilsynsførende, at det ikke er klart, om og i bekræftende fald i hvilket omfang det lovgivningsforslag om EUROSUR, som Kommissionen vil fremlægge i 2011, også vil omhandle behandling af personoplysninger i forbindelse med EUROSUR. Dette tager Kommissionen ikke klart stilling til i meddelelsen. Dette spørgsmål er så meget desto mere relevant, da der i meddelelsen sættes klar forbindelse mellem EUROSUR og FRONTEX på taktisk, operativt og strategisk plan (jf. nedenstående bemærkninger om FRONTEX) med en efterfølgende opfordring til et tæt samarbejde mellem de to.

48.

Den tilsynsførende afgav en udtalelse om revisionen af forordningen om FRONTEX den 17. maj 2010 (19), hvor han opfordrer til en reel debat og dybtgående overvejelser om beskyttelse af personoplysninger i forbindelse med styrkelsen af FRONTEX eksisterende opgaver og tildelingen af nye ansvarsområder.

49.

I meddelelsen henvises der til behovet at øge FRONTEX bidrag ved de ydre grænser under målsætning 4, Styrke sikkerheden via grænseforvaltning. Kommissionen skriver i meddelelsen, at Kommissionen på grundlag af erfaringer og i lyset af EU's overordnede strategi for informationsforvaltning finder, at hvis Frontex bliver i stand til i begrænset omfang at behandle og anvende disse oplysninger i overensstemmelse med klart definerede regler for forvaltning af personoplysninger, vil det i væsentlig grad kunne bidrage til at svække kriminelle organisationer. Dette er en ny tilgang sammenlignet med Kommissionens forslag til en revision af FRONTEX-forordningen, som for nærværende drøftes i Europa-Parlamentet og Rådet, hvor der ikke stod noget om behandling af personoplysninger.

50.

På denne baggrund bifalder den tilsynsførende, at meddelelsen giver en vis indikation af, under hvilke omstændigheder en sådan behandling kan vise sig nødvendig (f.eks. risikoanalyse, bedre resultater af fælles operationer eller informationsudveksling med Europol). Mere specifikt forklares det i meddelelsen, at information om kriminelle, der er involveret i smuglernetværk, som FRONTEX støder på, på nuværende tidspunkt ikke kan anvendes til risikoanalyser eller til i højere grad at målrette fremtidige fælles operationer. Derudover når de relevante oplysninger om mistænkte kriminelle ikke frem til de kompetente nationale myndigheder eller Europol med henblik på yderligere efterforskning.

51.

Alligevel bemærker den tilsynsførende, at der i meddelelsen ikke står noget om den igangværende drøftelse af revisionen af de retlige rammer for FRONTEX, der som før nævnt behandler dette spørgsmål for at tilvejebringe lovgivningsmæssige løsninger. Desuden kan meddelelsens ordlyd, hvor FRONTEX rolle i forbindelse med målsætningen om at nedbryde kriminelle organisationer understreges, læses som en udvidelse af FRONTEX mandat. Den tilsynsførende foreslår, at der tages hensyn til dette punkt i både revisionen af FRONTEX-forordningen og gennemførelsen af ISS.

52.

Endvidere gør den tilsynsførende opmærksom på behovet for at sikre, at Europols og FRONTEX opgaver ikke overlapper hinanden. I den sammenhæng glæder det den tilsynsførende, at det i meddelelsen understreges, at det bør undgås, at Frontex og Europols opgaver overlapper hinanden. Dette spørgsmål bør dog også uddybes i både den reviderede FRONTEX-forordning og foranstaltningerne til gennemførelse af ISS, hvor der skabes grundlag for tæt samarbejde mellem FRONTEX og EUROPOL. Dette er særligt vigtigt af hensyn til principperne om formålsbegrænsning og datakvalitet. Denne bemærkning gælder også det fremtidige samarbejde med agenturer såsom Det Europæiske Agentur for Net- og Informationssikkerhed (ENISA) og Det Europæiske Asylstøttekontor.

53.

I meddelelsen henviser Kommissionen ikke specifikt til den øgede brug af biometriske indikatorer på området for frihed, sikkerhed og retfærdighed, herunder i EU-dækkende it-storskalasystemer og andre grænseforvaltningsværktøjer.

54.

Den tilsynsførende benytter derfor lejligheden til at gentage sit forslag (20) om at tage hensyn til dette yderst følsomme aspekt i et databeskyttelsesperspektiv i gennemførelsen af ISS, især i forbindelse med grænseforvaltning.

55.

Den tilsynsførende anbefaler også, at der udvikles en klar, stringent politik for brugen af biometriske data på området frihed, sikkerhed og retfærdighed baseret på en reel vurdering og en ad hoc-evaluering af behovet for at bruge biometriske data i forbindelse med ISS med fuldstændig respekt for så grundlæggende databeskyttelsesprincipper som proportionalitet, nødvendighed og formålsbegrænsning.

56.

Det tilkendegives i meddelelsen, at Kommissionen i 2011 vil udarbejde en strategi for EU for at udtrække og analysere de oplysninger om finansielle transaktioner, der findes på dens eget område. I denne sammenhæng henviser den tilsynsførende til sin udtalelse af 22. juni 2010 om behandling og overførsel af finansielle betalingsdata fra Den Europæiske Union til USA til brug for programmet til sporing af finansiering af terrorismeoplysninger om finansielle transaktioner fra EU til USA (TFTP II) (21). Alle de kritiske bemærkninger i denne udtalelse er lige så valide og gældende for det påtænkte arbejde med EU-dækkende rammer for overførsel af finansielle betalingsdata. De bør derfor indgå i drøftelserne om dette spørgsmål. Særlig opmærksomhed bør rettes mod proportionaliteten ved at udtrække og behandle store mængder data om personer, som ikke er mistænkte, og mod spørgsmålet om effektivt tilsyn udført af uvildige myndigheder og af retsvæsenet.

57.

Den tilsynsførende glæder sig over, at Kommissionen lægger stor vægt på forebyggende foranstaltninger på EU-plan, og finder, at en styrkelse af sikkerheden i it-netværk er en vigtig faktor, som bidrager til et velfungerende informationssamfund. Den tilsynsførende støtter endvidere de specifikke aktiviteter til forbedring af kapaciteten til at håndtere it-angreb, kapacitetsopbygning inden for retshåndhævelse og retsvæsenet og oprettelse af partnerskaber med erhvervslivet for at aktivere borgerne og virksomhederne. ENISA's rolle som »facilitator« for mange af foranstaltningerne under denne målsætning er også velkommen.

58.

ISS i praksis uddyber dog ikke, hvilke retshåndhævelsesforanstaltninger der er påtænkt for cyberspace, hvordan disse aktiviteter kan udgøre en risiko for enkeltstående rettigheder, og hvilke nødvendige sikkerhedsforanstaltninger der skal indføres. EDPS opfordrer til en mere ambitiøs tilgang til passende garantier. Denne tilgang bør følges for at beskytte den enkelte borgers grundlæggende rettigheder, også den borger, der kan være påvirket af foranstaltninger til bekæmpelse af eventuelle kriminelle aktiviteter på dette område.

59.

Den tilsynsførende anmoder om en sammenkædning af de forskellige EU-strategier og -meddelelser i forbindelse med gennemførelsen af ISS. Denne tilgang bør følges op med en konkret handlingsplan understøttet af en reel behovsvurdering, hvis resultat bør være en samlet, integreret og velstruktureret EU-politik for ISS.

60.

Den tilsynsførende benytter sig også af denne lejlighed til at understrege det retlige krav om en reel vurdering af alle eksisterende instrumenter, der skal bruges i forbindelse med ISS og informationsudveksling, før der stilles forslag til nye. I denne sammenhæng anbefales det i høj grad at inddrage bestemmelser med krav om regelmæssige vurderinger af effektiviteten af de relevante instrumenter.

61.

Den tilsynsførende foreslår, at der i udarbejdelsen af den flerårige strategiske plan, som Rådet anmodede om i sine konklusioner fra samlingen i november 2010, tages hensyn til det igangværende arbejde med de omfattende databeskyttelsesrammer på grundlag af artikel 16 i TEUF, navnlig meddelelse (2009) 609.

62.

Den tilsynsførende stiller en række forslag til begreber og koncepter af relevans i et databeskyttelsesperspektiv, som der bør tages hensyn til på ISS-området, såsom Privacy by design, konsekvensvurderinger vedrørende privatlivs- og databeskyttelse og bedste tilgængelige teknikker.

63.

Den tilsynsførende anbefaler, at der foretages en konsekvensvurdering vedrørende privatlivs- og databeskyttelse i gennemførelsen af kommende instrumenter, enten som en særskilt vurdering eller som led i Kommissionens generelle konsekvensvurdering for grundlæggende rettigheder.

64.

Han opfordrer også Kommissionen til at udvikle en mere sammenhængende og konsekvent politik for forudsætningerne for at bruge biometriske data inden for ISS og en større grad af harmonisering af registreredes rettigheder på EU-plan.

65.

Den tilsynsførende har endelig en række bemærkninger til behandling af personoplysninger i forbindelse med grænseforvaltning og især behandling foretaget af FRONTEX og eventuelt i forbindelse med EUROSUR.