29.11.2005   

DA

Den Europæiske Unions Tidende

C 298/1

1.

Den tilsynsførende glæder sig over at blive hørt på grundlag af artikel 28, stk. 2, i forordning (EF) nr. 45/2001. Men det er klart, at denne udtalelse skal nævnes i direktivets præambel, da artikel 28, stk. 2, i forordning (EF) nr. 45/2001 er bindende.

2.

Den tilsynsførende erkender, at det er vigtigt for medlemsstaternes retshåndhævende myndigheder at have alle de nødvendige juridiske instrumenter til deres rådighed, navnlig i bekæmpelsen af terrorisme og anden grov kriminalitet. Tilstrækkelig adgang til visse trafik- og lokaliseringsdata hos offentlige elektroniske tjenester kan være et afgørende instrument for de retshåndhævende myndigheder og kan bidrage til personers fysiske sikkerhed. Samtidig gøres der opmærksom på, at dette ikke automatisk indebærer, at de nye instrumenter, der er omhandlet i forslaget, er nødvendige.

3.

Det er også klart, at forslaget har en betydelig indvirkning på beskyttelsen af personoplysninger. Hvis man udelukkende betragter forslaget ud fra et databeskyttelsessynspunkt, bør trafik- og lokaliseringsdata slet ikke opbevares med henblik på retshåndhævelse. Det er af hensyn til databeskyttelsen, at direktiv 2002/58/EF fastsætter som retsprincip, at trafikdata skal slettes, så snart lagring ikke længere er nødvendig i forbindelse med selve kommunikationen (bl.a. med henblik på debitering). Fravigelse af dette princip er underlagt strenge betingelser.

4.

I denne udtalelse vil den tilsynsførende fremhæve forslagets indvirkning på beskyttelsen af personoplysninger. Den tilsynsførende vil desuden tage hensyn til, at forslaget, uanset dets betydning for retshåndhævelse, ikke må medføre, at personer fratages deres grundlæggende ret til beskyttelse af privatlivets fred.

5.

Denne udtalelse fra den tilsynsførende skal ses i lyset af disse betragtninger. Den tilsynsførende vil anvende en afbalanceret tilgang, hvori behovet for og proportionaliteten i et indgreb i databeskyttelsen spiller en central rolle.

6.

For så vidt angår selve forslaget skal det ses som en reaktion på initiativet fra Den Franske Republik, Irland, Kongeriget Sverige og Det Forenede Kongerige til en rammeafgørelse om opbevaring af data, der behandles og lagres i forbindelse med levering af offentligt tilgængelige elektroniske kommunikationstjenester, og af data, der findes i offentlige kommunikationsnet, med henblik på at forebygge, efterforske, afsløre og strafforfølge kriminalitet og strafbare handlinger, herunder terrorisme (»udkastet til rammeafgørelse«), som Europa-Parlamentet har forkastet (under høringsproceduren).

7.

Den tilsynsførende er ikke blevet hørt om udkastet til rammeafgørelse og har heller ikke afgivet udtalelse på eget initiativ. Den tilsynsførende agter ikke at afgive udtalelse om udkastet til rammeafgørelse på nuværende tidspunkt, men vil i nærværende udtalelse henvise til dette udkast, når han finder det hensigtsmæssigt.

8.

Den tilsynsførende finder det afgørende, at forslaget respekterer de grundlæggende rettigheder. En lovgivning, der ville skade den beskyttelse, som er sikret ved fællesskabsretten og mere specifikt ved Domstolens og Den Europæiske Menneskerettighedsdomstols retspraksis, er ikke alene uacceptabel, men også ulovlig. Forholdene i samfundet kan have ændret sig på grund af terrorangreb, men dette må ikke medføre, at høje beskyttelsesstandarder i retsstaten anfægtes. Beskyttelsen er lovfæstet uanset de reelle behov for retshåndhævelse. Desuden giver retspraksis mulighed for undtagelser, hvis de er nødvendige i et demokratisk samfund.

9.

Forslaget har direkte indvirkning på beskyttelsen i henhold til artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (EMRK). Følgende fremgår af Den Europæiske Menneskerettighedsdomstols retspraksis:

10.

Det hedder i artikel 6, stk. 2, i EU-traktaten, at Unionen respekterer de grundlæggende rettigheder, således som de garanteres ved EMRK. Det fremgår af punkt 9, at pligten til at opbevare data i henhold til Den Europæiske Menneskerettighedsdomstols retspraksis falder ind under artikel 8 i EMRK, og at der kræves en stærk begrundelse, som opfylder kriteriet i Dudgeon-dommen. Behovet for og proportionaliteten i pligten til at opbevare — samtlige — data skal godtgøres.

11.

Desuden indvirker forslaget kraftigt på de databeskyttelsesprincipper, der er anerkendt i fællesskabsretten, på følgende områder:

12.

Endelig er både beskyttelse af privatlivets fred og beskyttelse af personoplysninger anerkendt i charteret om grundlæggende rettigheder som nævnt i begrundelsen.

13.

Forslagets indvirkning på beskyttelsen af personoplysninger skal analyseres indgående. I denne analyse vil den tilsynsførende tage hensyn til ovennævnte elementer og vil konkludere, at der er behov for flere garantier. En henvisning til det gældende lovgrundlag vedrørende databeskyttelse (navnlig direktiv 95/46/EF og 2002/58/EF) er ikke nok.

14.

Den tilsynsførende minder om Databeskyttelsesgruppens konklusion af 9. november 2004 om udkastet til rammeafgørelse. Gruppen erklærede, at obligatorisk opbevaring af trafikdata på de betingelser, der er fastsat i udkastet til rammeafgørelse, ikke er acceptabel. Denne konklusion byggede bl.a. på, at det ikke var godtgjort, at der er behov for at opbevare data af hensyn til ordre public, da en analyse viste, at de fleste af de trafikdata, som retshåndhævende myndigheder har bedt om, ikke har været mere end et halvt år gamle.

15.

Den tilsynsførende mener, at Databeskyttelsesgruppens betragtninger bør være udgangspunktet for vurderingen af forslaget. Resultaterne af disse betragtninger kan dog ikke bare omsættes i forslaget. Der skal tages hensyn til, at forholdene kan ændre sig. Den tilsynsførende mener, at den udvikling, der beskrives i det følgende, kunne være relevant for vurderingen.

16.

For det første er der blevet fremlagt nogle tal for at påvise, at retshåndhævende myndigheder i praksis beder om trafikdata, der er op til et år gamle. Kommissionen og Rådets formandskab lægger vægt på en undersøgelse foretaget af Det Forenede Kongeriges politi (8), der viser, at 85 % af de trafikdata, som politiet har bedt om, ganske vist var under et halvt år gamle, men at data, der er et halvt til et helt år gamle, er blevet anvendt i komplicerede efterforskninger af grovere kriminalitet. Der er også blevet givet nogle eksempler på sager. Opbevaringsperioden i forslaget — et år for telefondata — afspejler denne retshåndhævelsespraksis.

17.

Den tilsynsførende er ikke overbevist om, at disse tal taler for, at trafikdata skal opbevares i op til et år. Det forhold, at adgangen til trafik- og/eller lokaliseringsdata i nogle tilfælde var medvirkende til, at en forbrydelse blev opklaret, betyder ikke automatisk, at disse data (generelt) er nødvendige som et redskab i retshåndhævelsen. Man bør dog ikke ignorere disse tal. De er i det mindste et seriøst forsøg på at påvise behovet for opbevaring. Desuden fremgår det klart af tallene, at en opbevaringsperiode på over et år ikke er nødvendig med den nuværende retshåndhævelsespraksis.

18.

For det andet benytter udbyderne ikke altid de muligheder, de har i henhold til direktiv 2002/58/EF for at opbevare trafikdata med henblik på debitering, da der i et stigende antal tilfælde slet ikke sker dataopbevaring med henblik på debitering (taletidskort til mobilkommunikation, fastprisabonnementer osv.). I disse tilfælde — som i praksis er blevet hyppigere — vil trafik- og lokaliseringsdata slet ikke blive lagret, men slettet straks efter kommunikationen. Det samme gælder for opkald, der ikke går igennem. Dette kan have indflydelse på retshåndhævelsens effektivitet.

19.

Desuden kan denne udvikling i teletjenester føre til forstyrrelser i det indre markeds funktion, bl.a. på grund af (den nært forestående) vedtagelse af lovgivning i medlemsstaterne i henhold til artikel 15 i direktiv 2002/58/EF. F.eks. offentliggjorde den italienske regering for nylig et dekret, hvorefter udbydere skal lagre telefondata i fire år. Denne pligt vil medføre betydelige udgifter i visse medlemsstater, f.eks. Italien.

20.

For det tredje har de retshåndhævende myndigheders arbejdsmetoder også udviklet sig, idet proaktiv efterforskning og brugen af tekniske hjælpemidler har fået større betydning. Denne udvikling betyder, at myndighederne skal råde over tilstrækkelige og præcist formulerede redskaber, således at de kan udføre deres arbejde under behørig hensyntagen til databeskyttelsesprincipperne. Et af de redskaber, myndighederne i medlemsstaterne som regel råder over, er hastesikring af data eller fastfrysning af kommunikationsdata efter anmodning i en konkret efterforskning. Det er blevet anført, at dette redskab, der i sig selv har mindre indvirkning på principperne end det, der nu foreslås (dataopbevaring), måske ikke altid er nok, især ikke til at spore personer, der er indblandet i terrorisme eller anden grov kriminalitet, og som ikke tidligere har været mistænkt for kriminel virksomhed. Der skal dog fremlægges flere beviser, før man kan afgøre, om det virkelig er tilfældet.

21.

For det fjerde er bekymringen for terrorangreb blevet større. Den tilsynsførende er enig i det synspunkt, der er fremført i forbindelse med forslagene om dataopbevaring, at fysisk sikkerhed i sig selv er af altovervejende betydning. Samfundet skal beskyttes. Derfor er regeringerne nødt til i tilfælde af angreb på samfundet at vise, at de tager seriøst hensyn til dette behov for beskyttelse, og til at undersøge, om de skal reagere ved at indføre ny lovgivning. Det er klart, at den tilsynsførende fuldt ud støtter regeringernes opgaver — både på nationalt og på europæisk plan — med at beskytte samfundet og vise, at de gør alt, hvad der er nødvendigt for at yde beskyttelse, herunder vedtagelse af nye, legitime og effektive foranstaltninger på baggrund af deres undersøgelser.

22.

Den tilsynsførende erkender, at forholdene ændrer sig, men er endnu ikke overbevist om, at det er nødvendigt at opbevare trafik- og lokaliseringsdata med henblik på retshåndhævelse som fastsat i forslaget. Han understreger betydningen af retsprincippet i direktiv 2002/58/EF om, at trafikdata skal slettes, så snart lagring ikke længere er nødvendig til formål, der ikke har forbindelse med selve kommunikationen. Desuden beviser de fremlagte tal ikke, at det nuværende lovgrundlag ikke sikrer de instrumenter, der er nødvendige for at beskytte den fysiske sikkerhed, eller at medlemsstaterne fuldt ud anvender deres beføjelser i henhold til europæisk ret til at samarbejde, således som de er fastsat i det nuværende lovgrundlag (men uden de nødvendige resultater).

23.

Hvis Europa-Parlamentet og Rådet — efter en omhyggelig afvejning af de interesser, der er på spil — imidlertid drager den konklusion, at behovet for opbevaring af trafik- og lokaliseringsdata er tilstrækkeligt påvist, mener den tilsynsførende, at opbevaringen kun kan forsvares i henhold til fællesskabsretten, hvis proportionalitetsprincippet respekteres, og der gives tilstrækkelige garantier i overensstemmelse med denne udtalelse.

24.

Proportionaliteten i forslaget til ny lovgivning afhænger af substansen i de bestemmelser, den indeholder: Indeholder den tilstrækkelige bestemmelser, der står i et rimeligt forhold til samfundets behov?

25.

Den første betragtning vedrører forslagets tilstrækkelighed: Kan man forvente, at forslaget øger EU-borgernes fysiske sikkerhed? En grund til at betvivle tilstrækkeligheden, som ofte nævnes i den offentlige debat, er, at trafik- og lokaliseringsdata ikke altid er knyttet til en bestemt person, således at viden om et telefonnummer (eller et IP-nummer) ikke nødvendigvis afslører en persons identitet. En anden — og endnu mere alvorlig — grund til tvivl er, om retshåndhævende myndigheder har mulighed for let at finde, hvad de skal bruge i en bestemt sag, hvis databaserne bliver gigantiske.

26.

Den tilsynsførende mener, at opbevaring af trafik- og lokaliseringsdata ikke i sig selv er et tilstrækkeligt eller effektivt tiltag. Der er behov for yderligere foranstaltninger for at sikre, at myndighederne har en målrettet og hurtig adgang til de data, som de har brug for i en bestemt sag. Opbevaring af data er kun tilstrækkelig og effektiv, hvis der findes effektive søgemaskiner.

27.

Den anden betragtning er, om bestemmelserne står i et rimeligt forhold til behovene. For at dette er tilfældet, skal forslaget

28.

Den tilsynsførende understreger betydningen af disse strenge begrænsninger med tilstrækkelige garantier med henblik på begrænset adgang. Han mener, at under hensyn til betydningen af de tre elementer, der er nævnt i punkt 27, må medlemsstaterne ikke træffe yderligere nationale foranstaltninger med hensyn til disse tre elementer, der anfægter proportionaliteten. Dette behov for harmonisering behandles i afsnit IV.

29.

Forslagets virkning bliver, at udbyderne kommer til at råde over databaser, hvor en stor mængde trafik- og lokaliseringsdata oplagres.

30.

For det første skal forslaget sikre, at adgangen til og den videre anvendelse af disse data begrænses til kun at være mulig under bestemte omstændigheder og til et begrænset antal bestemte formål.

31.

For det andet skal databaserne være tilstrækkeligt beskyttet (datasikkerhed). Med henblik herpå skal det sikres, at dataene slettes effektivt, når opbevaringsperioderne udløber. Der må ikke ske »datadumping« eller dataudnyttelse. Dette kræver kort sagt en høj datasikkerhed og tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger.

32.

En høj datasikkerhed er så meget vigtigere, som der kunne komme anmodninger om adgang og anvendelse fra mindst følgende tre grupper interessenter, blot fordi dataene findes:

33.

Med hensyn til adgang for efterretningstjenester gør den tilsynsførende opmærksom på, at tiltag under søjle 3 og søjle 1 i henhold til artikel 33 i TEU og artikel 64 i TEF ikke er til hinder for, at medlemsstaterne kan udøve deres beføjelser med hensyn til opretholdelse af lov og orden og beskyttelse af den indre sikkerhed. Den tilsynsførende mener, at disse bestemmelser har den virkning, at Den Europæiske Union ikke har kompetence til at styre sikkerheds- eller efterretningstjenesters adgang til de data, som udbyderne opbevarer. Med andre ord er hverken disse tjenesters adgang til udbyderens trafik- og lokaliseringsdata eller den videre anvendelse af de oplysninger, som disse tjenester skaffer, berørt af EU-lovgivningen. Det er et element, der skal tages i betragtning i vurderingen af forslaget. Det er medlemsstaterne, der skal træffe de nødvendige foranstaltninger til at regulere efterretningstjenesters adgang.

34.

For det tredje kan de virkninger, der er beskrevet i punkt 33, have potentielle følger for den registrerede. Der er behov for yderligere garantier for at sikre, at han nemt og hurtigt kan udøve sine rettigheder som registreret. Den tilsynsførende gør opmærksom på, at der skal indføres en effektiv kontrol med adgang og videre anvendelse, der helst skal foretages af retsmyndigheder i medlemsstaterne. Garantierne skal også gælde for myndigheder i andre medlemsstater i forbindelse med deres adgang til og videre anvendelse af trafikdata.

35.

I den forbindelse henviser den tilsynsførende til initiativer til et nyt lovgrundlag vedrørende databeskyttelse, der skal gælde i forbindelse med retshåndhævelse (under søjle 3 i TEU). Han mener, at dette lovgrundlag kræver yderligere garantier og ikke kun må have form af en fornyet bekræftelse af de generelle databeskyttelsesprincipper under søjle 1 (9).

36.

For det fjerde er der en direkte forbindelse mellem tilstrækkelige sikkerhedsforanstaltninger og udgifterne hertil. En tilstrækkelig lovgivning om dataopbevaring skal derfor indeholde incitamenter for udbyderne til at investere i den tekniske infrastruktur. Et sådant incitament kunne være, at udbyderne får deres ekstraudgifter til tilstrækkelige sikkerhedsforanstaltninger godtgjort.

37.

Tilstrækkelige sikkerhedsforanstaltninger kan sammenfattes således:

38.

Forslaget er baseret på EF-traktaten, særlig artikel 95, og har i henhold til artikel 1 til formål at harmonisere udbydernes forpligtelser i forbindelse med behandlingen og opbevaringen af trafik- og lokaliseringsdata. Det bestemmer, at dataene kun udleveres til de kompetente nationale myndigheder i enkelttilfælde, der vedrører lovovertrædelser, men det overlades til medlemsstaterne at fastlægge formålet og tage stilling til adgangen til og den videre anvendelse af dataene, dog med de garantier, der findes i det gældende EF-lovgrundlag vedrørende databeskyttelse.

39.

I den henseende har forslaget et mere begrænset anvendelsesområde end udkastet til rammeafgørelse, der er baseret på artikel 31, stk. 1, litra c), i TEU, og som indeholder yderligere bestemmelser om adgangen til de opbevarede data og om anmodninger om adgang fra andre medlemsstater. Begrundelsen indeholder en forklaring på denne begrænsning af forslagets anvendelsesområde. Det anføres, at adgang til og udveksling af oplysninger mellem de relevante retshåndhævende myndigheder er et spørgsmål, der falder uden for EF-traktatens anvendelsesområde.

40.

Den tilsynsførende finder ikke denne forklaring i begrundelsen overbevisende. Et tiltag fra Fællesskabets side på grundlag af artikel 95 i TEF (det indre marked) skal have til hovedformål at fjerne handelshindringer. I henhold til Domstolens retspraksis skal et sådant tiltag være virkelig velegnet til at bidrage til fjernelse af sådanne hindringer. Fællesskabslovgiveren skal dog respektere de grundlæggende rettigheder i sit tiltag (artikel 6, stk. 2, i TEU; se afsnit II i denne udtalelse). En indførelse af regler om dataopbevaring på fællesskabsplan af hensyn til det indre marked kan alligevel medføre, at der også tages hensyn til respekten for de grundlæggende rettigheder på fællesskabsplan. Hvis fællesskabslovgiveren ikke kunne fastsætte regler om adgang til og anvendelse af data, kunne pligten i henhold til artikel 6 i TEU ikke opfyldes, da disse regler er uundværlige for at sikre, at data opbevares med behørig respekt for de grundlæggende rettigheder. Med andre ord mener den tilsynsførende, at reglerne om adgang til og anvendelse og udveksling af data er uløseligt forbundet med selve pligten til at opbevare dataene.

41.

Med hensyn til fastlæggelse af kompetente myndigheder erkender den tilsynsførende, at det er medlemsstaternes ansvar. Det samme gælder tilrettelæggelsen af retshåndhævelse og domstolsbeskyttelse. En fællesskabsretsakt kan dog pålægge medlemsstaterne betingelser for udpegelsen af kompetente myndigheder, domstolskontrollen eller borgernes adgang til klage og domstolsprøvelse. Disse bestemmelser sikrer, at der findes passende ordninger på nationalt plan til at sikre, at retsakten bliver helt effektiv, bl.a. at databeskyttelseslovgivningen overholdes fuldt ud.

42.

Den tilsynsførende rejser et andet punkt vedrørende retsgrundlaget. Det er op til fællesskabslovgiveren at vælge et passende retsgrundlag og dermed en passende lovgivningsprocedure. Dette valg falder uden for den tilsynsførendes opgave. På baggrund af de vigtige fundamentale spørgsmål, der er på spil, foretrækker den tilsynsførende dog i den nuværende situation langt den fælles beslutningsprocedure. Kun denne procedure udgør en gennemsigtig beslutningsproces med fuld deltagelse af de tre berørte institutioner og med behørig respekt for de principper, som EU bygger på.

43.

Direktivforslaget harmoniserer de typer data, der skal opbevares, opbevaringsperioderne samt de formål, hvortil dataene kan udleveres til de kompetente myndigheder. Forslaget tager sigte på fuld harmonisering af disse elementer. Det er i den henseende fundamentalt forskelligt fra udkastet til rammeafgørelse, som indeholder minimumsregler.

44.

Den tilsynsførende understreger, at der skal ske fuld harmonisering af disse elementer af hensyn til det indre markeds funktion, retshåndhævelsesbehovene og — sidst men ikke mindst — EMRK og databeskyttelsesprincipperne.

45.

Med hensyn til det indre markeds funktion er en harmonisering af forpligtelserne til at opbevare data begrundelsen for valget af retsgrundlag for forslaget (artikel 95 i TEF). Hvis der tillades væsentlige forskelle mellem medlemsstaternes love, vil man ikke fjerne de nuværende forstyrrelser på det indre marked for elektronisk kommunikation, der bl.a. skyldes (den nært forestående) vedtagelse af lovgivning i medlemsstaterne i henhold til artikel 15 i direktiv 2002/58/EF (se punkt 19 i denne udtalelse).

46.

Dette er så meget vigtigere, som mere end én medlemsstats kompetence er relevant i forbindelse med store dele af den elektroniske kommunikation. Eksempler herpå er telefonsamtaler over grænserne, roaming, grænsepassage under mobilkommunikation og brugen af en udbyder i en anden medlemsstat end den pågældendes bopælsland.

47.

Desuden ville manglende harmonisering i denne forbindelse gå ud over retshåndhævelsesbehovene, da de kompetente myndigheder skal opfylde forskellige retskrav. Dette kunne hindre informationsudvekslingen mellem medlemsstaternes myndigheder.

48.

Endelig understreger den tilsynsførende — med henvisning til sin opgave i henhold til artikel 41 i forordning (EF) nr. 45/2001 — at en harmonisering af hovedelementerne i forslaget er nødvendig for at overholde EMRK og databeskyttelsesprincipperne. En lovgivning, hvorefter trafik- og lokaliseringsdata skal opbevares, skal klart begrænse antallet af data, der skal opbevares, opbevaringsperioderne og (formålet med) adgangen til og videre anvendelse af dataene for at være acceptabel ud fra et databeskyttelsessynspunkt og skal opfylde kravene om nødvendighed og proportionalitet.

49.

Artikel 3 er forslagets centrale bestemmelse. Artikel 3, stk. 1, indfører pligten til at opbevare trafik- og lokaliseringsdata, medens stk. 2 gennemfører princippet om formålsbegrænsning. Artikel 3, stk. 2, fastsætter tre vigtige begrænsninger. De opbevarede data må kun udleveres

Artikel 3, stk. 2, henviser til medlemsstaternes nationale lovgivning med hensyn til fastsættelse af nærmere begrænsninger.

50.

Den tilsynsførende ser med tilfredshed på artikel 3, stk. 2, som en vigtig bestemmelse, men mener ikke, at begrænsningerne er præcise nok, da direktivet bør indeholde udtrykkelige bestemmelser om adgang og videre anvendelse, og der er behov for yderligere garantier. Som nævnt i afsnit III i denne udtalelse er den tilsynsførende ikke overbevist om, at manglende (præcise) bestemmelser om adgangen til og den videre anvendelse af trafik- og lokaliseringsdata er en uundgåelig følge af forslagets retsgrundlag (artikel 95 i TEF). Dette giver anledning til følgende bemærkninger:

51.

For det første er det ikke fastsat, at andre interessenter, som udbyderen selv, ikke har adgang til dataene. I henhold til artikel 6 i direktiv 2002/58/EF må udbydere kun behandle trafikdata indtil udløbet af fristen for opbevaring med henblik på debitering. Den tilsynsførende mener ikke, at der er nogen begrundelse for, at udbyderne eller andre interesserede parter skal have anden adgang end den, der er fastsat i direktiv 2002/58/EF, og på direktivets betingelser.

52.

Den tilsynsførende anbefaler, at der tilføjes en bestemmelse i teksten for at sikre, at ikke andre end de kompetente myndigheder har adgang til dataene. Denne bestemmelse kunne affattes således: »Der gives kun mulighed for adgang til og/eller behandling af dataene til det formål, der er nævnt i artikel 3, stk. 2« eller »Udbyderne skal effektivt sikre, at kun de kompetente myndigheder får adgang«.

53.

For det andet synes begrænsningen til bestemte tilfælde at forhindre rutineadgang med henblik på »fiskeekspeditioner« eller »data mining«. Forslaget bør dog bestemme, at data kun kan udleveres, hvis det er nødvendigt i forbindelse med en specifik lovovertrædelse.

54.

For det tredje er den tilsynsførende godt tilfreds med, at formålet med adgang er begrænset til grov kriminalitet såsom terrorisme og organiseret kriminalitet. I andre mindre alvorlige tilfælde vil det ofte være urimeligt at give adgang til trafik- og lokaliseringsdata. Den tilsynsførende tvivler dog på, at denne begrænsning er præcis nok, især når der anmodes om adgang i forbindelse med andre former for grov kriminalitet end terrorisme og organiseret kriminalitet. Praksis i medlemsstaterne vil være forskellig. Den tilsynsførende understreger i afsnit IV i denne udtalelse, at der skal ske fuld harmonisering af forslagets hovedelementer. Den tilsynsførende anbefaler derfor, at udlevering kun skal ske i forbindelse med visse former for grov kriminalitet.

55.

For det fjerde indeholder forslaget i modsætning til udkastet til rammeafgørelse ikke nogen bestemmelse om adgang. Den tilsynsførende mener, at adgang til og videre anvendelse af dataene skal være omhandlet i direktivet. De er uløseligt forbundet med emnet (se afsnit III i denne udtalelse).

56.

Den tilsynsførende anbefaler, at der i forslaget tilføjes en eller flere artikler om de kompetente myndigheders adgang til trafik- og lokaliseringsdata og om videre anvendelse af dataene. Formålet med disse artikler skulle være at sikre, at dataene kun anvendes til de formål, der er nævnt i artikel 3, stk. 2, at myndighederne varetager de modtagne datas kvalitet, hemmelighed og sikkerhed, og at dataene slettes, når de ikke længere skal bruges til forebyggelse, efterforskning, afsløring og strafforfølgning af de specifikke lovovertrædelser. Desuden bør det fastsættes, at adgang i bestemte tilfælde skal være underlagt domstolskontrol i medlemsstaterne.

57.

For det femte indeholder forslaget ikke yderligere garantier for databeskyttelse. I betragtningerne henvises der blot til garantier i den gældende lovgivning, særlig direktiv 95/46/EF og direktiv 2002/58/EF. Den tilsynsførende finder denne begrænsede tilgang til databeskyttelse forkert i betragtning af, at (yderligere) garantier er af særlig vigtighed (se afsnit II i denne udtalelse).

58.

Derfor anbefaler den tilsynsførende, at der medtages et stykke om databeskyttelse. I dette stykke kunne ovenstående anbefalinger vedrørende artikel 3, stk. 2, indsættes sammen med andre bestemmelser om databeskyttelse såsom bestemmelser vedrørende den registreredes udøvelse af sine rettigheder (se afsnit II i denne udtalelse), datakvalitet og ‐sikkerhed og trafik- og lokaliseringsdata vedrørende personer, der ikke er mistænkt for lovovertrædelser.

59.

Generelt er den tilsynsførende godt tilfreds med artiklen og bilaget på grund af

60.

Den tilsynsførende anbefaler følgende ændringer:

61.

Den tilsynsførende ser med tilfredshed på, at opbevaringsperioderne i forslaget er betydeligt kortere end perioderne i udkastet til rammeafgørelse.

62.

Det bør fremgå klart af teksten,

63.

Denne artikel er nært knyttet til artikel 3, stk. 2, og indeholder en vigtig bestemmelse, der kan sikre, at adgang i bestemte tilfælde kan begrænses til de data, der specifikt er behov for. Artikel 8 og artikel 3, stk. 2, forudsætter, at udbyderne sender de nødvendige data til myndighederne, og at disse ikke har direkte adgang til databaserne. Den tilsynsførende anbefaler, at denne forudsætning angives eksplicit i teksten.

64.

Bestemmelsen bør gøres mere specifik ved at angive,

65.

Udbydernes pligt til at fremlægge statistikker en gang om året hjælper EF-institutionerne med at overvåge, om forslaget gennemføres og anvendes effektivt. Der er behov for tilstrækkelige oplysninger.

66.

Den tilsynsførende mener, at denne pligt er en udmøntning af princippet om åbenhed. Den europæiske borger har ret til at vide, hvor effektiv dataopbevaringen er. Derfor bør udbyderen desuden have pligt til at føre logføringslister og til at foretage systematisk (egen-)kontrol, således at de nationale databeskyttelsesmyndigheder kan kontrollere databeskyttelsesreglernes anvendelse i praksis (11). Forslaget bør ændres i den retning.

67.

Som nævnt i afsnit II er der en direkte forbindelse mellem tilstrækkelige sikkerhedsforanstaltninger og udgifterne hertil, med andre ord mellem sikkerhed og udgifter. Den tilsynsførende betragter derfor artikel 10 — der indeholder bestemmelser om godtgørelse af dokumenterede ekstraudgifter — som en vigtig bestemmelse, der kunne virke som et incitament for udbyderne til at investere i den tekniske infrastruktur.

68.

Ifølge beregningerne i den konsekvensanalyse, som Kommissionen har forelagt for den tilsynsførende, er udgifterne til dataopbevaring betydelige. For en stor net- og tjenesteudbyder ville udgifterne være på over 150 mio. EUR for en opbevaringsperiode på et år med årlige driftsudgifter på omkring 50 mio. EUR. (12) Der foreligger dog ingen tal for udgifterne til yderligere sikkerhedsforanstaltninger såsom dyre søgemaskiner (se bemærkningen til artikel 6) eller for de (anslåede) finansielle følger af fuld godtgørelse af udbydernes ekstraudgifter.

69.

Den tilsynsførende mener, at der er brug for mere præcise tal for at kunne vurdere forslaget i dets fulde omfang. Han foreslår, at forslagets finansielle følger angives nærmere i begrundelsen.

70.

Med hensyn til bestemmelsen i selve artikel 10 bør forbindelsen mellem tilstrækkelige sikkerhedsforanstaltninger og udgifterne fremgå klart af bestemmelsens tekst. Desuden bør forslaget indeholde minimumsstandarder for de sikkerhedsforanstaltninger, som udbyderne skal træffe, for at de kan få godtgjort udgifterne af en medlemsstat. Den tilsynsførende mener, at fastsættelsen af disse standarder ikke fuldstændigt kan overlades til medlemsstaterne. Det kunne skade det harmoniseringsniveau, som direktivet tilsigter. Desuden bør der tages hensyn til, at medlemsstaterne bærer de økonomiske følger af godtgørelsen.

71.

Forbindelsen til artikel 15, stk. 1, i direktiv 2002/58/EF bør fremgå klarere, da forslaget fratager denne bestemmelse en stor del af dens indhold. Henvisningerne i artikel 15, stk. 1, i direktiv 2002/58/EF til artikel 6 og 9 (i samme direktiv) bør udgå eller i hvert fald ændres, således at det er tydeligt, at medlemsstaterne ikke længere er kompetente til at vedtage anden lovgivning vedrørende lovovertrædelser end omhandlet i forslaget. Tvetydighed med hensyn til, hvilken kompetence de stadig har — f.eks. med hensyn til opbevaring af data i forbindelse med »ikke-grov« kriminalitet — skal fjernes.

72.

Den tilsynsførende er godt tilfreds med, at forslaget indeholder en artikel om, at direktivet skal evalueres inden tre år efter dets ikrafttræden. En evaluering er så meget vigtigere, som der kan være tvivl om forslagets nødvendighed og dets proportionalitet.

73.

Derfor tilråder den tilsynsførende, at der fastsættes en endnu strengere pligt, der indeholder følgende elementer:

74.

Den tilsynsførende finder det afgørende, at forslaget respekterer de grundlæggende rettigheder. En lovgivning, der ville skade den beskyttelse, som er sikret ved fællesskabsretten og mere specifikt ved Domstolens og Den Europæiske Menneskerettighedsdomstols retspraksis, er ikke alene uacceptabel, men også ulovlig.

75.

Behovet for og proportionaliteten i pligten til at opbevare — samtlige — data skal godtgøres.

76.

Med hensyn til nødvendigheden: Den tilsynsførende erkender, at forholdene ændrer sig, men er endnu ikke overbevist om, at det er nødvendigt at opbevare trafik- og lokaliseringsdata med henblik på retshåndhævelse som fastsat i forslaget.

77.

Den tilsynsførende tilkendegiver ikke desto mindre sin mening om forslagets proportionalitet i denne udtalelse. Det betyder for det første, at opbevaring af trafik- og lokaliseringsdata ikke i sig selv er et tilstrækkeligt eller effektivt tiltag. Der er behov for yderligere foranstaltninger for at sikre, at myndighederne har en målrettet og hurtig adgang til de data, de har brug for i en bestemt sag. For det andet skal forslaget

78.

Den tilsynsførende understreger betydningen af, at forslagets tekst tager sigte på fuld harmonisering af forslagets hovedelementer, især de typer data, der skal opbevares, opbevaringsperioderne samt (formålene med) adgangen til og videre anvendelse af dataene.

79.

Nogle punkter skal klarlægges nærmere, f.eks. for at sikre, at data slettes på en tilstrækkelig måde, når opbevaringsperioden udløber, og for effektivt at forebygge forskellige grupper af interessenters adgang og anvendelse.

80.

Den tilsynsførende finder følgende punkter afgørende for, at forslaget kan accepteres fra et databeskyttelsessynspunkt:

81.

Artikel 3, stk. 2:

82.

Artikel 4 og 5:

83.

Artikel 7: Det bør fremgå klart af teksten,

84.

Artikel 8: Det bør fremgå klart af teksten,

85.

Artikel 9:

86.

Artikel 10:

87.

Artikel 11:

88.

Artikel 12: Bestemmelsen om evaluering ændres således: