17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/1

1.

Den 22. april 2009 vedtog Kommissionen et forslag til Rådets forordning om ændring af forordning (EF) nr. 881/2002 om indførelse af visse specifikke restriktive foranstaltninger mod visse personer og enheder, der har tilknytning til Usama bin Laden, Al-Qaida-organisationen og Taliban (i det følgende benævnt »forslaget«). Samme dag blev forslaget af Kommissionen sendt til EDPS med henblik på en udtalelse i overensstemmelse med artikel 28, stk. 2, i forordning (EF) nr. 45/2001. EDPS minder om, at han den 9. marts 2009 fremsatte uformelle bemærkninger til et udkast til forslag, og at der er taget hensyn til disse bemærkninger i forslaget.

2.

Den tilsynsførende hilser det velkommen, at han er blevet hørt, og at der henvises til denne høring i forslagets betragtninger på samme måde som i en række andre retsakter, hvor den tilsynsførende er blevet hørt i overensstemmelse med forordning (EF) nr. 45/2001.

3.

Forslaget ændrer forordning (EF) nr. 881/2002, der er et af de instrumenter, som Fællesskabet har vedtaget med henblik på at bekæmpe terrorisme ved at træffe restriktive foranstaltninger, navnlig indefrysning af midler, over for fysiske og juridiske personer, der mistænkes for at have tilknytning til terrororganisationer. Formålet med forslaget er især at sætte ind i forhold til den seneste udvikling i Domstolens retspraksis, navnlig Kadi-sagen (1), ved at fastlægge »en procedure, som respekterer de grundlæggende rettigheder og vil blive fulgt for personer og enheder, der er opført for første gang på FN's liste« (punkt 4 i begrundelsen).

4.

Medens Domstolens domme specifikt skulle fokusere på overholdelsen af den grundlæggende ret til forsvar og navnlig retten til at blive hørt, har retspraksis på området videre konsekvenser og kan sammenfattes således: EU's standarder for beskyttelse af de grundlæggende rettigheder skal overholdes, uanset om de restriktive foranstaltninger er truffet på EU-plan eller stammer fra internationale organisationer som f.eks. FN (2).

5.

EU's grundlæggende rettigheder omfatter også retten til beskyttelse af personoplysninger, hvilket Domstolen har anerkendt som et af de principper, der er knæsat i EU-traktatens artikel 6, stk. 2, og som er yderligere bekræftet i Den Europæiske Unions charter om grundlæggende rettigheder, artikel 8.

6.

I den forbindelse ser EDPS med tilfredshed ikke blot på Domstolens seneste retspraksis, men også på, at Kommissionen agter at følge den ved at forbedre proceduren for opførelse på listen og ved eksplicit at tage hensyn til retten til beskyttelse af personoplysninger. EDPS anerkender fuldt ud målet om bekæmpelse af terrorisme gennem behandling og udveksling af personoplysninger, men er samtidig af den faste overbevisning, at beskyttelse af personoplysninger er en afgørende faktor, når det drejer sig om at garantere legitimiteten og effektiviteten af de restriktive foranstaltninger, Kommissionen træffer. Disse foranstaltninger bygger på behandling af personoplysninger, der i sig selv — uanset indefrysningen af midler — nødvendigvis er omfattet af regler om og garantier for databeskyttelse. Det er derfor ekstremt vigtigt at sørge for, at de regler, der finder anvendelse i forbindelse med behandling af oplysninger om personer, der står opført på listen, er klare og opfylder de retssikkerhedsmæssige hensyn, jf. punkt 8 i begrundelsen.

7.

Dette er så meget desto vigtigere i forbindelse med Lissabontraktatens ikrafttræden, der ikke blot giver Den Europæiske Unions charter om grundlæggende rettigheder bindende virkning, men også i artikel 16 i EUF-traktaten og artikel 39 i EU-traktaten stadfæster behovet for databeskyttelsesregler og -garantier på alle Den Europæiske Unions aktivitetsområder. Ydermere vil Domstolen få fuld kompetence til selv på FUSP-området at vurdere legaliteten, herunder især for så vidt angår grundlæggende rettigheder, af afgørelser om restriktive foranstaltninger over for fysiske eller juridiske personer (EUF-traktatens artikel 275).

8.

EDPS hilser det velkommen, at der i præamblen henvises til, at forordningen skal anvendes i overensstemmelse med den grundlæggende ret til beskyttelse af personoplysninger (betragtning 10), og at der skal træffes passende specifikke sikkerhedsforanstaltninger, når Kommissionen behandler oplysninger om straffelovsovertrædelser, der er begået af fysiske personer, der er opført på listen, og om straffedomme eller sikkerhedsforanstaltninger, der omhandler sådanne personer.

9.

EDPS er desuden tilfreds med, at forslaget eksplicit i betragtning 12 anerkender gældende databeskyttelsesregler, navnlig i forordning (EF) nr. 45/2001, i forbindelse med behandling af personoplysninger på dette område. I artikel 3 i forordning (EF) nr. 45/2001 hedder det nemlig, at denne forordning anvendes »på behandling af personoplysninger, som finder sted i samtlige fællesskabsinstitutioner og -organer, i det omfang denne behandling er iværksat som led i udøvelsen af aktiviteter, der helt eller delvis hører under fællesskabsrettens anvendelsesområde«. I den forbindelse er forordning (EF) nr. 881/2002, selv om den er knyttet til fælles holdning 2002/402/FUSP og FN's aktiviteter på området, baseret på traktaten om oprettelse af Det Europæiske Fællesskab.

10.

Som en generel betragtning vil EDPS gerne påpege, at forordning (EF) nr. 45/2001 pålægger de registeransvarlige en række forpligtelser — bl.a. vedrørende oplysningernes pålidelighed, lovligheden af behandlingen, underretning, behandlingssikkerhed — og giver de registrerede rettigheder — bl.a. vedrørende indsigt, berigtigelse, blokering, sletning, underretning af tredjemand og klager — der finder anvendelse, medmindre der er fastsat undtagelser og begrænsninger i henhold til artikel 20. Under alle omstændigheder bør disse begrænsninger af den grundlæggende ret til databeskyttelse opfylde nogle forholdsmæssige krav, dvs. at de både i indhold og varighed bør begrænses til, hvad der er nødvendigt for at beskytte offentlighedens interesser, således som Domstolens retspraksis har bekræftet det, også for så vidt angår restriktive foranstaltninger. Dette er særlig vigtigt, fordi disse rettigheder og forpligtelser samt behovet for uafhængigt tilsyn i forbindelse med behandling af personoplysninger udgør kernen i den grundlæggende ret til databeskyttelse, hvilket eksplicit er fremhævet i artikel 8 i EU's charter om grundlæggende rettigheder.

11.

EDPS ser endvidere med tilfredshed på, at forslaget implicit eller eksplicit omhandler nogle af disse rettigheder og forpligtelser, men vil alligevel gerne påpege, at forslaget ikke kan fortolkes på en måde, der udelukker eller begrænser gyldigheden af de forpligtelser og de af de registreredes rettigheder, der ikke er nævnt heri.

12.

På den baggrund vil EDPS i det følgende fortsætte gennemgangen af bestemmelserne i forslaget i forhold til de mest relevante databeskyttelsesprincipper og komme med en række anbefalinger til forbedringer og råd om, hvordan man kan medtage visse andre spørgsmål, der på nuværende tidspunkt ikke er omhandlet, men som kan formodes at opstå i tilknytning til anvendelsen af databeskyttelsesprincipperne. I visse tilfælde vil det være ønskeligt med flere detaljer om anvendelsen af databeskyttelsesforpligtelser og -rettigheder i forbindelse med restriktive foranstaltninger.

13.

Disse bemærkninger kan kun afspejle, hvor afgørende en faktor beskyttelse af personoplysninger er med henblik på at sikre lovligheden og effektiviteten af restriktive foranstaltninger, som Kommissionen træffer, og går ikke ind i eller berører andre substansspørgsmål, der måtte opstå i tilknytning til opførelse på en liste under anvendelse af andre regler.

14.

Artikel 7a omhandler procedurerne for, hvordan fysiske eller juridiske personer opføres på eller fjernes fra listen, medens artikel 7c fastlægger en specifik procedure for personer, der blev opført på listen inden den 3. september 2008.

15.

EDPS ser med tilfredshed på disse bestemmelser, fordi de styrker respekten for de grundlæggende rettigheder ved at give de berørte personer mulighed for at blive orienteret om begrundelsen for, hvorfor de er opført på listerne, og mulighed for at tilkendegive deres holdning til spørgsmålet. Desuden fastlægges det i stk. 4, at fjernelse fra listen på FN-niveau automatisk medfører fjernelse fra listen på EU-niveau, hvilket stemmer overens med databeskyttelsesprincippet om, at personoplysninger skal ajourføres, jf. artikel 4, stk. 1, litra d), i forordning (EF) nr. 45/2001.

16.

EDPS understreger imidlertid, at disse bestemmelser ikke udelukker, at der kan gælde lignende forpligtelser i kraft af forordning (EF) nr. 45/2001, såsom oplysningspligt over for den registrerede i henhold til artikel 11 og navnlig artikel 12, der omhandler oplysningspligt, når oplysningerne ikke er indhentet hos den registrerede, pligten til i henhold til artikel 14 omgående at berigtige urigtige eller ufuldstændige oplysninger, og pligten til i henhold til artikel 17 at underrette tredjemand, til hvem personoplysninger er videregivet, om enhver berigtigelse eller sletning af oplysninger — f.eks. fjernelse fra listen — medmindre dette viser sig umuligt eller kræver en uforholdsmæssigt stor indsats.

17.

Der kan naturligvis som allerede nævnt under punkt 10 i medfør af artikel 20 i forordning nr. 45/2001 foretages de undtagelser og begrænsninger i forhold til disse bestemmelser, der måtte vise sig at være nødvendige. Eksempelvis vil det for at bibeholde den overraskende effekt være nødvendigt at vente med at underrette de involverede personer om en afgørelse om, at de opføres på listen, og deres midler indefryses. Set i lyset heraf anbefaler EDPS lovgiveren at overveje, om det er nødvendigt eksplicit i forslaget at tydeliggøre, hvilke undtagelser fra databeskyttelsesprincipperne der anses for at være nødvendige, f.eks. behovet for at udskyde oplysningspligten i medfør af artikel 12, indtil der er truffet en foreløbig afgørelse.

18.

I den foreslåede artikel 7d hedder det i stk. 1, at såfremt FN eller en medlemsstat forelægger klassificeret information, behandler Kommissionen en sådan information i henhold til Kommissionens interne sikkerhedsbestemmelser (afgørelse 2001/844/EF, EKSF, Euratom (3)) og, når dette er relevant, aftalen mellem Den Europæiske Union og den pågældende medlemsstat om klassificerede oplysningers sikkerhed. I stk. 2 er det angivet, at dokumenter, der er klassificeret på et niveau svarende til »EU Top Secret«, »EU Secret« eller »EU Confidential«, ikke videregives uden ophavsmandens samtykke.

19.

Denne artikel rejser to spørgsmål, hvoraf det første omhandler bestemmelsens betydning for den registreredes ret til indsigt i egne personoplysninger i henhold til artikel 13 i forordning (EF) nr. 45/2001, og det andet EDPS′og Domstolens mulighed for med henblik på korrekt udførelse af deres respektive opgaver at få indsigt i personoplysninger, der er indeholdt i klassificeret information.

20.

De omtalte sikkerhedsregler og aftalerne mellem EU og den forelæggende medlemsstat regulerer, hvordan der kan gives adgang til klassificerede oplysninger. Kun personer, der opfylder »need to know«-princippet, hvilket betyder, at de har behov for at få adgang til for at kunne varetage deres funktion eller udføre deres opgave, kan få adgang til sådanne oplysninger (4). Hvad angår oplysninger, der er klassificeret på de niveauer, der er nævnt i forslagets artikel 7d, stk. 2, skal disse personer desuden sikkerhedsgodkendes.

21.

Kommissionens interne sikkerhedsregler skal læses i sammenhæng med forordning (EF) nr. 1049/2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter, hvorved enhver gives ret til indsigt i oplysninger fra de tre største EU-institutioner. Artikel 9 i denne forordning omhandler behandling af følsomme dokumenter og henviser til de tre ovennævnte klassifikationskategorier. Ifølge stk. 3 må følsomme dokumenter kun gøres offentligt tilgængelige med samtykke fra den, fra hvem dokumentet hidrører, hvilket også fastslås i det foreslåede stk. 2 i artikel 7d.

22.

Kommissionens interne sikkerhedsregler stemmer overens med retten til aktindsigt for så vidt angår dokumenter. Dette gør sig imidlertid ikke gældende for specifikke indsigtsrettigheder, såsom registreredes ret til at få indsigt i deres egne personoplysninger i henhold til forordning (EF) nr. 45/2001, artikel 13. De interne sikkerhedsregler omhandler ikke hverken databeskyttelsesbestemmelser eller de registreredes rettigheder som sådan. Den situation, hvor en registreret anmoder om indsigt i personoplysninger i et klassificeret dokument, er ikke nævnt i Kommissionens interne sikkerhedsregler. Det samme gælder de aftaler om sikkerheden af klassificerede oplysninger, der er indgået med individuelle stater.

23.

I henhold til forordning (EF) nr. 45/2001, artikel 13, har den registrerede indtil tre måneder efter modtagelsen af anmodningen til enhver tid ret til hos den registeransvarlige uden begrænsning og vederlagsfrit bl.a. at få oplyst i letforståelig form, hvilke personoplysninger der er genstand for behandling (jf. litra c).

24.

EDPS forstår fuldt ud, at der i forbindelse med restriktive foranstaltninger over for visse personer eller enheder, hvor formålet er at forebygge terrorhandlinger, er vægtige grunde til ikke at videregive klassificerede (person)oplysninger til den registrerede. Denne begrænsning er som nævnt i punkt 10 hjemlet i forordning (EF) nr. 45/2001, artikel 20. EDPS ønsker imidlertid at understrege det krav om nødvendighed, der er fastsat i denne artikel og den procedure, der er fastlagt i forordningens artikel 20, stk. 3 og 4.

25.

Ifølge artikel 20 skal begrænsningen af de nævnte bestemmelser ske som en nødvendig foranstaltning af hensyn til et af de nævnte formål. Eftersom hverken Kommissionens interne sikkerhedsregler eller aftalerne med de enkelte stater omhandler spørgsmålet om registreredes aktindsigt, og forslagets artikel 7d, stk. 2, indeholder et ufravigeligt krav om samtykke fra ophavsmanden, før klassificerede dokumenter kan videregives, findes det ikke godtgjort, at en begrænsning af retten til at få indsigt kun finder sted, når det er nødvendigt. Bestemmelsen indeholder ikke nogen væsentlige kriterier og lader ethvert skøn være op til den, fra hvem oplysningerne hidrører, hvilket også indbefatter parter, der ikke er underlagt EU-ret og EU's standarder for beskyttelse af de grundlæggende rettigheder.

26.

Artikel 20, stk. 3 og 4, omhandler bestemmelserne for, hvornår en begrænsning kan finde anvendelse. Ifølge stk. 3 skal den involverede institution underrette den registrerede om de vigtigste bevæggrunde, der ligger til grund for anvendelsen af begrænsningen, og om vedkommendes ret til at henvende sig til EDPS. Stk. 4 indeholder en yderligere bestemmelse, der specifikt vedrører en begrænsning af indsigtsretten. Ifølge den skal EDPS, når han undersøger en klage på grundlag af stk. 3, kun underrette den registrerede om, hvorvidt oplysningerne er behandlet korrekt, og, hvis dette ikke er tilfældet, hvorvidt de nødvendige korrektioner er foretaget. (5) Det foreliggende forslag om ændring af forordning (EF) nr. 881/2002 bør sikre, at disse regler kan overholdes. Dette punkt hænger nøje sammen med det andet spørgsmål, som forslagets artikel 7d giver anledning til.

27.

Kravet i artikel 7d, stk. 2, om, at klassificerede oplysninger kun må videregives med ophavsmandens samtykke, kan også påvirke uafhængigheden af EDPS′ tilsyn. I forbindelse med anvendelsen af forordning (EF) nr. 45/2001 er behandlingen af personoplysninger underlagt de klagemuligheder, der findes i artikel 32, og de håndhævelsesbeføjelser, EDPS har i medfør af artikel 47. Især sidstnævnte artikel giver EDPS beføjelser til hos en registeransvarlig eller en fællesskabsinstitution eller et fællesskabsorgan at få adgang til alle personoplysninger og til alle informationer, der er nødvendige for hans undersøgelser (jf. forordning (EF) nr. 45/2001, artikel 47, stk. 2, litra b)). Det er muligt, at EDPS inden for rammerne af det foreliggende forslag kan bruge disse beføjelser med henblik på udførelse af sit hverv i henhold til forordning (EF) nr. 45/2001, artikel 20, stk. 4. Den nuværende formulering af artikel 7d betyder imidlertid, at udøvelsen af denne beføjelse helt og holdent afhænger af et skøn foretaget af ophavsmanden til de pågældende oplysninger.

28.

Den nuværende affattelse af artikel 7d vil derfor være i strid med bestemmelserne i forordning (EF) nr. 45/2001. EDPS ønsker i den forbindelse at understrege, at der i forordning (EF) nr. 45/2001, artikel 20, ikke åbner mulighed for at foretage den begrænsning af EDPS's hverv og beføjelser, der er omhandlet i artikel 46 og 47.

29.

Ud over de klagemuligheder, der findes ved uafhængige databeskyttelsesmyndigheder, giver databeskyttelseslovgivningen også mulighed for at anlægge sag ved en domstol (jf. direktiv 95/46, artikel 22, og forordning (EF) nr. 45/2001, artikel 32). På den baggrund vil EDPS gerne påpege, at den nuværende affattelse af artikel 7d, stk. 2, også kan berøre effektiviteten af en sådan domstolsprøvelse, idet den kan få indvirkning på Domstolens mulighed for at vurdere, om der er skabt en rimelig balance mellem nødvendigheden af at bekæmpe international terrorisme og beskyttelsen af de grundlæggende rettigheder. Som Retten i Første Instans bemærkede det i sin afgørelse af 4. december 2008 kan det med henblik herpå være nødvendigt for Domstolen at få adgang til klassificerede oplysninger (6).

30.

På baggrund af ovenstående opfordrer EDPS kraftigt lovgiveren til at ændre artikel 7d, så det sikres, 1) at kravet om nødvendighed i artikel 20 i forordning (EF) nr. 45/2001 opfyldes i tilfælde, hvor Kommissionen nægter den registrerede adgang til egne personoplysninger i klassificerede dokumenter, 2) at det sikres, at reglerne i artikel 20, stk. 3 og 4, overholdes, og 3) at EDPS′ beføjelser i henhold til artikel 47 respekteres fuldt ud.

31.

Et første skridt i den retning vil være at begrænse anvendelsesområdet for artikel 7d, stk. 2, ved at ændre udtrykket »videregives« til »gøres offentligt tilgængelige«. En sådan ændring vil også have juridisk konsekvens, idet bestemmelsen som nævnt ovenfor stammer fra forordning (EF) nr. 1049/2001, artikel 9, stk. 3, der kun omhandler offentlig adgang til dokumenter. Ovennævnte ændring vil i vidt omfang løse de ovenfor gennemgåede problemer: indskrænkningen af de registreredes ret til aktindsigt vil ikke længere alene bero på et skøn foretaget af den part, som oplysningerne hidrører fra, og EDPS′ og Domstolens mulighed for at få adgang til sådanne oplysninger med henblik på udførelse af deres respektive opgaver vil heller ikke være begrænset.

32.

Men så længe Kommissionens interne regler og aftaler om informationssikkerhed ikke eksplicit omhandler spørgsmålet om registreredes ret til aktindsigt og samtidig sikrer, at kravet om nødvendighed i forordning (EF) nr. 45/2001, artikel 20, er opfyldt, er der fortsat et problem. Hvor EDPS (og Domstolen) kan få adgang på grundlag af »need-to-know«-princippet efter sikkerhedsgodkendelse af de personer, der helt konkret behandler oplysningerne, er det tvivlsomt, om denne mulighed også eksisterer for den registrerede. EDPS opfordrer derfor kraftigt Kommissionen til at sikre, at retten til indsigt i personoplysninger i klassificerede dokumenter kun begrænses, hvis det er nødvendigt.

33.

Artikel 7e definerer med høj detaljeringsgrad både Kommissionens opgaver vedrørende behandling af personoplysninger (stk. 1), og de personoplysninger, der vil blive behandlet (stk. 2-4). I stk. 5 udpeges et kontor i Kommissionen som registeransvarlig, jf. forordning (EF) nr. 45/2001, artikel 2, litra d).

34.

EDPS ser med tilfredshed på artikel 7e, stk. 1, eftersom det tager sigte på at skabe et retsgrundlag for behandling af personoplysninger, i henhold til forordning (EF) nr. 45/2001, artikel 5. Der er ingen tvivl om, at alle former for behandling af personoplysninger bør ske på grundlag af en af de retlige grunde, der er anført i denne artikel. I den sammenhæng erkender EDPS, at litra a): »nødvendig af hensyn til udførelsen af en opgave i samfundets interesse (…)« og b): »nødvendig for at overholde en retlig forpligtelse, som påhviler den registeransvarlige« kunne være særlig relevante i forbindelse med restriktive foranstaltninger.

35.

EDPS minder imidlertid om, at personoplysninger i overensstemmelse med forordning (EF) nr. 45/2001, artikel 4, skal være »tilstrækkelige og relevante og ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles (…)«, og at Kommissionen derfor bør sikre, at de indsamlede personoplysninger er nødvendige med henblik på at indføre de restriktive foranstaltninger, der er påtænkt med forordningsforslaget.

36.

EDPS anbefaler i den forbindelse, at artikel 7e, stk. 1, affattes således: »Kommissionen behandler de personoplysninger, der er nødvendige for at kunne udføre sine opgaver i henhold til forordningen«.

37.

Endvidere bør relevansen af de kategorier af oplysninger, der anvendes i forbindelse med restriktive foranstaltninger — herunder almene identifikationselementer (f.eks. skatteregistreringsnummer og socialsikringsnummer) og »stilling eller erhverv« — kontrolleres nøje såvel generelt som i det enkelte tilfælde, navnlig i tilfælde af, at disse oplysninger omfatter særlige kategorier af information og kræver, at der tages specifikke sikkerhedshensyn.

38.

På den baggrund er EDPS tilfreds med det princip, der er fastlagt i stk. 3, hvorved for- og efternavn på forældrene til en fysisk person kan anføres i bilaget, hvis det er nødvendigt i en konkret sag med det ene formål at bekræfte identiteten af den pågældende fysiske person. Denne bestemmelse afspejler fint databeskyttelsesprincippet om formålsbegrænsning, som bør være tilstrækkeligt specificeret og finde anvendelse for så vidt angår hele artiklen. EDPS anbefaler derfor, at princippet eksplicit anvendes på alle oplysningskategorier, således at artikel 7e, stk. 2, affattes således: »Bilag I omfatter udelukkende oplysninger, der er nødvendige for at bekræfte identiteten af den pågældende fysiske person, der er opført på listen, og under alle omstændigheder højst følgende oplysninger«.

39.

EDPS ser desuden med tilfredshed på stk. 4, hvori det bestemmes, at specifikke kategorier af personoplysninger, f.eks. vedrørende straffelovsovertrædelser, straffedomme eller sikkerhedsforanstaltninger, kun må behandles i specifikke tilfælde under forudsætning af fornødne, specifikke garantier, og at disse hverken må offentliggøres eller udveksles.

40.

Med hensyn til stk. 5 påskønner EDPS, at udpegelsen af en registeransvarlig i bilag II til forordning (EF) nr. 881/2002 vil øge de registeransvarliges synlighed og rolle som kontaktpunkt og dermed gøre det lettere for de registrerede at udøve deres rettigheder i henhold til forordning (EF) nr. 45/2001. EDPS minder imidlertid om, at det også er nødvendigt at sikre, at den registeransvarlige er i stand til effektivt at sikre ikke blot, at de registrerede kan udøve deres rettigheder, men også at alle andre forpligtelser i medfør af forordning (EF) nr. 45/2001 overholdes. Med henblik på dette kunne Kommissionen overveje at tydeliggøre dette punkt i forslaget ved f.eks. i stk. 5 udtrykkeligt at nævne, at den registeransvarlige skal sikre, at forpligtelser i henhold til forordning (EF) nr. 45/2001 overholdes.

41.

Et vigtigt spørgsmål, der ikke eksplicit er omfattet af forslaget, men som implicit ligger i proceduren for opførelse på listen, er, hvorvidt personoplysninger, der behandles af fællesskabsinstitutionerne, kan udveksles med FN og/eller tredjelande, og i så fald på hvilke betingelser.

42.

I den forbindelse henleder EDPS opmærksomheden på forordning (EF) nr. 45/2001, artikel 9, der indeholder betingelserne for videregivelse af personoplysninger til modtagere, som ikke er fællesskabsorganer, og som ikke er undergivet direktiv 95/46/EF. Her findes en bred vifte af løsninger, der omfatter alt fra samtykke fra den registrerede (stk. 6, litra a)), og fremførelse af et retskrav (stk. 6, litra d)) — hvilket kunne være nyttigt, hvis oplysningerne stammer fra den person, der er opført på listen, med henblik på at få foretaget en fornyet vurdering af opførelsen — til tilstedeværelsen inden for FN af mekanismer til sikring af en tilstrækkelig beskyttelse af personoplysninger, der videregives fra EU.

43.

EDPS minder om, at de forskellige påtænkte behandlinger bør stemme overens med denne ordning, så der sikres en tilstrækkelig beskyttelse af personoplysninger, der udveksles med tredjelande og internationale organisationer, og at der eventuelt i den forbindelse er behov for nærmere detaljer i forslaget og arrangementer med FN.

44.

Artikel 6 i forslaget fritager fysiske og juridiske personer, der gennemfører restriktive foranstaltninger, for ansvar, medmindre der er tale om forsømmelighed. EDPS ønsker i den forbindelse at påpege, at denne artikel ikke giver mulighed for fritagelse for ansvar uden for kontraktforhold i henhold til artikel 32, stk. 4, i forordning (EF) nr. 45/2001 og artikel 23 i direktiv 95/46, hvis gældende databeskyttelseslovgivning overtrædes i forbindelse med behandling af personoplysninger. I den sammenhæng baseres de restriktive foranstaltninger på behandling og offentliggørelse af personoplysninger, der i tilfælde af retsstridig adfærd — uanset hvilke restriktive foranstaltninger der er truffet — i sig selv kan give anledning til erstatning for økonomisk skade, jf. afgørelse truffet af Domstolen (7).

45.

Det bemærkes, at det kan være nødvendigt for EDPS at foretage forudgående kontrol i overensstemmelse med forordning (EF) nr. 45/2001, artikel 27, i det omfang forslaget medfører behandling af særlige kategorier af oplysninger (mistanke om strafbare forhold, domfældelser i straffesager og andre retsfølger af strafbare handlinger), og behandling, som tager sigte på at udelukke personer fra at udøve deres ejendomsret i fuldt omfang.

46.

EDPS forventer i henhold til forordning (EF) nr. 45/2001, artikel 28, at blive hørt i forbindelse med lovgivningsforslag og administrative foranstaltninger vedrørende behandling af personoplysninger, der måtte blive forelagt for så vidt angår restriktive foranstaltninger over for formodede terrorister.

47.

EDPS hilser det velkommen, at Kommissionen med sit forslag agter at tage Domstolens seneste retspraksis til følge ved at forbedre proceduren for opførelse på listen og eksplicit tage hensyn til retten til beskyttelse af personoplysninger, der er en altafgørende faktor, når det drejer sig om at garantere legitimiteten og effektiviteten af de restriktive foranstaltninger, som Kommissionen træffer.

48.

EDPS hilser det velkommen, at det i præamblen nævnes, at forordningen skal anvendes i henhold til den grundlæggende ret til beskyttelse af personoplysninger, og at forslaget eksplicit i betragtning 12 anerkender gældende databeskyttelsesregler, navnlig i forordning (EF) nr. 45/2001, i forbindelse med behandling af personoplysninger på dette område.

49.

Overordnet vil EDPS gerne understrege, at forordning (EF) nr. 45/2001 fastsætter en række forpligtelser for såvel registeransvarlige som registrerede, som også finder anvendelse, selv om de ikke eksplicit er nævnt i forslaget. Det vil imidlertid i visse tilfælde være ønskeligt med flere detaljer om anvendelsen — og eventuelle undtagelser og begrænsninger — af databeskyttelsesforpligtelser og -rettigheder i forbindelse med restriktive foranstaltninger.

50.

EDPS ser med tilfredshed på artikel 7a og 7c, fordi de styrker respekten for de grundlæggende rettigheder ved at give de berørte personer mulighed for at blive orienteret om begrundelsen for, hvorfor de er opført på listen. EDPS understreger dog, at disse bestemmelser ikke udelukker lignende forpligtelser i medfør af forordning (EF) nr. 45/2001. Med henblik på dette henstiller EDPS til lovgiveren at overveje, om det er nødvendigt eksplicit at tydeliggøre i forslaget, hvilke undtagelser fra databeskyttelsesprincipperne der anses for at være nødvendige, f.eks. behovet for at udskyde oplysningspligten i medfør af artikel 12, indtil der er truffet en foreløbig afgørelse.

51.

EDPS finder, at artikel 7d ved at lade offentliggørelse af fortrolige dokumenter afhænge af samtykke fra ophavsmanden muligvis kan tilsidesætte den registreredes ret til indsigt i egne personoplysninger i henhold til forordning (EF) nr. 45/2001, artikel 13, og EDPS′ og Domstolens mulighed for med henblik på korrekt udførelse af deres respektive opgaver at få adgang til personoplysning i klassificerede dokumenter. I den forbindelse opfordrer EDPS kraftigt lovgiver til at ændre denne bestemmelse, navnlig ved at ændre udtrykket »videregives« til »gøres offentligt tilgængelige«.

52.

EDPS hilser artikel 7e velkommen, eftersom den tager sigte på at skabe et retsgrundlag for behandling af personoplysninger i henhold til forordning (EF) nr. 45/2001, artikel 5. Han anbefaler dog en række ændringer, så det sikres, at de behandlede oplysninger anvendes til specifikke formål og er relevante, samt at den registeransvarliges rolle er på linje med forordning (EF) nr. 45/2001.

53.

EDPS minder om, at eventuel videregivelse til tredjelande og internationale organisationer skal stemme overens med forordning (EF) nr. 45/2001, artikel 9, med henblik på at sikre en tilstrækkelig beskyttelse af disse oplysninger. I den sammenhæng vil der muligvis være behov for nærmere detaljer i forslaget og arrangementer med FN.

54.

EDPS bemærker endvidere, at forslaget ikke berører det erstatningsansvar, der eventuelt kan blive tale om i tilfælde af ulovlig behandling og offentliggørelse af personoplysninger, at forudgående kontrol i henhold til forordning (EF) nr. 45/2001, artikel 27, kan være nødvendig, og at han forventer at blive hørt for så vidt angår øvrige lovgivningsforslag og administrative foranstaltninger på dette område.

17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/8

1.

Den 10. juni 2009 vedtog Kommissionen sin meddelelse til Europa-Parlamentet og Rådet om et område med frihed, sikkerhed og retfærdighed i borgernes tjeneste (1). I overensstemmelse med artikel 41 i forordning (EF) nr. 45/2001 forelægger EDPS hermed sin udtalelse.

2.

Kommissionen havde inden vedtagelsen af meddelelsen ved skrivelse af 19. maj 2009 uformelt hørt EDPS derom. EDPS svarede på denne høring den 20. maj 2009 ved at fremsende uformelle bemærkninger med det formål yderligere at forbedre meddelelsesteksten. Endvidere har EDPS aktivt bidraget til skrivelsen af 14. januar 2009 fra Gruppen vedrørende Politi og Retsvæsen om det flerårige program for området med frihed, sikkerhed og retfærdighed (2).

3.

I meddelelsen (punkt 1) fremhæves det, at »EU bør have et nyt flerårigt program, der ved at bygge på de fremskridt, der er sket, og drage lære af de nuværende svagheder går fremtiden i møde med en række ambitiøse mål. Dette nye program bør foretage en prioritering for de næste fem år«. Dette flerårige program (allerede kendt som »Stockholmprogrammet«) vil være opfølgningen af Tammerfors- og Haagprogrammerne, der politisk udgjorde en vigtig tilskyndelse til området med frihed, sikkerhed og retfærdighed.

4.

Det er meningen, at meddelelsen skal danne grundlag for dette nye flerårige program. EDPS noterer sig i denne forbindelse, at selv om de flerårige programmer ikke i sig selv er bindende instrumenter, har de en betydelig indvirkning på den politik, som institutionerne vil udvikle på det pågældende område, da mange af de konkrete lovgivningsmæssige og ikke-lovgivningsmæssige tiltag vil være en følge af programmet.

5.

Meddelelsen skal ses i dette perspektiv. Den udgør næste skridt i en debat, der mere eller mindre begyndte med to rapporter, der blev forelagt i juni 2008 af den såkaldte »Fremtidsgruppe« nedsat af formandskabet for Rådet for at udforme idéer: »Frihed, sikkerhed, privatlivets fred — europæiske indre anliggender i en åben verden« (3) og »Foreslåede løsninger for det fremtidige EU-program for retlige anliggender« (4).

6.

Den foreliggende udtalelse er ikke kun en reaktion på meddelelsen, men den er også et bidrag fra EDPS til den mere generelle debat om fremtiden for området med frihed, sikkerhed og retfærdighed, der skal udmøntes i et nyt strategisk arbejdsprogram (Stockholmprogrammet) som bebudet af det svenske formandskab for EU (5). Denne udtalelse vil også behandle nogle af følgerne af Lissabon-traktatens eventuelle ikrafttræden.

7.

Efter en præcisering af udtalelsens væsentligste perspektiver i del III gives der en generel vurdering af meddelelsen i del IV.

8.

I del V behandles spørgsmålet om, hvordan man kan tilgodese behovet for fortsat beskyttelse af privatlivets fred og personoplysninger i en kontekst af stigende udveksling af personoplysninger. Der sættes fokus på meddelelsens punkt 2.3 vedrørende beskyttelse af personoplysninger og af privatlivets fred og mere generelt på behovet for supplerende tiltag, eventuelt i form af retsakter, for at forbedre rammen for databeskyttelse.

9.

I del VI drøftes behovene og mulighederne for lagring af, adgang til og udveksling af oplysninger som instrumenter til retshåndhævelse eller, som det hedder i meddelelsen, til »et Europa, der beskytter«. Punkt 4 i meddelelsen indeholder en række mål vedrørende informa-tion og teknologiske værktøjer, især punkt 4.1.2 (Udnyttelse af informationen), 4.1.3 (Mobilisering af de nødvendige teknologiske værktøjer) og 4.2.3.2 (Informationssystemerne). Udviklingen af en europæisk informationsmodel (i punkt 4.1.2) kan ses som det mest udfordrende forslag i denne forbindelse. EDPS's udtalelse analyserer dette forslag grundigt.

10.

Del VII berører kort et bestemt emne inden for områderne frihed, sikkerhed og retfærdighed, der er relevante for databeskyttelse, nemlig adgang til retlig prøvelse og e-justice.

11.

I denne udtalelse er behovet for beskyttelse af de grundlæggende rettigheder hovedvinklen i analysen af meddelelsen og mere generelt fremtiden for området med frihed, sikkerhed og retfærdighed, som udformet i et nyt flerårigt program. Den vil endvidere basere sig på bidragene fra EDPS til udviklingen af EU's politik på dette område, hovedsagelig i dennes høringsrolle. EDPS har indtil videre vedtaget mere end 30 udtalelser og bemærkninger om initiativer, der stammer fra Haagprogrammet, og som alle kan findes på den tilsynsførendes websted.

12.

EDPS vil i sin vurdering af meddelelsen især tage hensyn til følgende fire perspektiver, som er relevante for fremtiden for området med frihed, sikkerhed og retfærdighed. Alle disse perspektiver spiller også en central rolle i meddelelsen.

13.

Det første perspektiv er den eksponentielle vækst i digital information om borgerne som følge af informations- og kommunikationsteknologier, der er under stadig udvikling (6). Samfundet bevæger sig i retning af, hvad der ofte kaldes »et overvågningssamfund«, hvor enhver transaktion og næsten enhver af borgernes bevægelser kan forventes at blive registreret digitalt. De såkaldte »tingenes internet« og »intelligente omgivelser« er allerede under hastig udvikling via anvendelsen af RFID-brikker. Menneskekroppens digitaliserede karakteristika (biometriske identifikatorer) anvendes i stadig større grad. Dette fører til en til stadighed mere forbundet verden, hvor de offentlige sikkerhedsorganisationer kan få adgang til umådeligt store mængder potentielt nyttige oplysninger, der direkte kan påvirke de pågældende personers liv.

14.

Det andet perspektiv er internationalisering. På den ene side er dataudveksling i den digitale tidsalder ikke begrænset af Den Europæiske Unions eksterne grænser, mens der på den anden side er et stadigt stigende behov for internationalt samarbejde inden for alle EU's aktiviteter på området med frihed, sikkerhed og retfærdighed: bekæmpelse af terrorisme, politisamarbejde og retligt samarbejde, civilret og grænsekontrol er blot nogle eksempler.

15.

Det tredje perspektiv er anvendelse af data til retshåndhævelsesformål: den seneste tids trusler mod samfundet, uanset om de har været terrorismerelaterede eller ej, har ført til (krav om), at de retshåndhævende myndigheder får flere muligheder for at indsamle, lagre og udveksle personoplysninger. I mange tilfælde er private aktivt involveret, som det blandt andet fremgår af direktivet om lagring af data (7) og de forskellige instrumenter vedrørende PNR (8).

16.

Det fjerde perspektiv er fri bevægelighed. Den gradvise udvikling af et område med frihed, sikkerhed og retfærdighed gør det nødvendigt, at interne grænser og eventuelle hindringer for den frie bevægelighed inden for området i endnu højere grad. Nye instrumenter på dette område bør under alle omstændigheder ikke genindføre hindringer. Fri bevægelighed omfatter i den aktuelle kontekst dels fri bevægelighed for personer og dels fri bevægelighed for (person)oplysninger.

17.

Disse fire perspektiver viser, at den kontekst, hvori oplysninger anvendes, er under hastig forandring. I en sådan kontekst kan der ikke være tvivl om betydningen af en stærk mekanisme til beskyttelse af borgernes grundlæggende rettigheder og især beskyttelse af privatlivets fred og databeskyttelse. Af disse grunde vælger EDPS behovet for beskyttelse som hovedvinklen for sin analyse som nævnt i punkt 11.

18.

Det er formålet med meddelelsen og Stockholmprogrammet at præcisere EU's hensigter for de kommende fem år, eventuelt med virkninger på endnu længere sigt. EDPS noterer sig, at meddelelsen er udfærdiget på en såkaldt »Lissabonneutral« måde. EDPS forstår fuldt ud, hvorfor Kommissionen har anvendt denne tilgang, men beklager, at meddelelsen ikke fuldt ud kan udnytte de yderligere fordele, som Lissabontraktaten tilbyder. Der vil i denne udtalelse blive lagt mere vægt på mulighederne i forbindelse med Lissabontraktaten.

19.

Meddelelsen bygger på resultaterne af EU's tiltag inden for området med frihed, sikkerhed og retfærdighed i de seneste år. Disse resultater kan karakteriseres som hændelsesstyrede med vægt på foranstaltninger, der udvider retshåndhævelsesmyndighedernes beføjelser, og som er indgribende over for borgerne. Det er i særdeleshed tilfældet for de områder, hvor personoplysninger i vid udstrækning anvendes og udveksles, og som derfor er af afgørende betydning for databeskyttelse. Resultaterne er hændelsesstyrede, eftersom eksterne hændelser, såsom 11. september og bombeattentaterne i Madrid og London, gav en vigtig tilskyndelse til lovgivningsmæssige aktiviteter. For eksempel kan overførslen af oplysninger om passagerer til USA betragtes som en følge af 11. september (9), mens bombeattentaterne i London førte til direktiv 2006/24/EF om lagring af data (10). Der blev lagt vægt på mere indgribende foranstaltninger, da EU-lovgiveren fokuserede på foranstaltninger, der letter anvendelsen og udvekslingen af data, mens drøftelserne om foranstaltninger, der tager sigte på at sikre beskyttelsen af personoplysninger, var mindre presserende. Den væsentligste beskyttende foranstaltning, der blev vedtaget efter tre års drøftelser i Rådet, er Rådets rammeafgørelse 2008/977/RIA om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager (11). Resultatet var Rådets rammeafgørelse, der ikke er fuldt tilfredsstillende (jf. punkt 29-30).

20.

Erfaringerne i de seneste år viser, at der er behov for at overveje følgerne for de retshåndhævende myndigheder og for de europæiske borgere, inden der vedtages nye instrumenter. Disse overvejelser bør tage behørigt hensyn til omkostningerne for privatlivets fred og effektiviteten af retshåndhævelsen, for det første når der foreslås og drøftes nye instrumenter, men også efter at disse instrumenter er gennemført, ved hjælp af regelmæssige evalueringer. Sådanne overvejelser er også af afgørende betydning, inden et nyt flerårigt program skal fastlægge de vigtigste initiativer for den nærmeste fremtid.

21.

EDPS glæder sig over, at det i meddelelsen anerkendes, at beskyttelse af grundlæggende rettigheder, og navnlig beskyttelse af personoplysninger, er et af de centrale spørgsmål i forbindelse med fremtiden for området med frihed, sikkerhed og retfærdighed. I punkt 2 i meddelelsen karakteriseres EU som et unikt område for beskyttelse af grundlæggende rettigheder baseret på fælles værdier. Det er også positivt, at tiltrædelsen af den europæiske menneskerettighedskonvention nævnes som en prioriteret retningslinje — endda den første prioriterede retningslinje i meddelelsen. Tiltrædelse er et vigtigt skridt fremad for at sikre et harmonisk og sammenhængende system for beskyttelse af de grundlæggende rettigheder. Sidst, men ikke mindst, har databeskyttelse fået en fremtrædende plads i meddelelsen.

22.

Dette fokus i meddelelsen viser, at man klart har til hensigt at sikre beskyttelsen af borgernes rettigheder og — herved — anlægger en mere afbalanceret tilgang. Regeringerne har brug for passende instrumenter til at garantere borgernes sikkerhed, men inden for vort europæiske samfund skal de fuldt ud respektere borgernes grundlæggende rettigheder. At handle i borgernes tjeneste (12) kræver en Europæisk Union, der værner om denne balance.

23.

EDPS er af den opfattelse, at meddelelsen tager meget hensyn til behovet for denne balance, herunder behovet for at beskytte personoplysninger. Det erkendes, at der skal lægges vægt på andre aspekter. Dette er vigtigt, eftersom politikkerne på området med frihed, sikkerhed og retfærdighed ikke bør fremme en gradvis bevægelse hen imod et overvågningssamfund. EDPS forventer, at Rådet anlægger den samme tilgang i Stockholmprogrammet, også ved at anerkende retningslinjerne i punkt 25 nedenfor.

24.

Dette er så meget desto mere vigtigt, som området med frihed, sikkerhed og retfærdighed er et område, der »præger borgernes levevilkår, navnlig det private rum for så vidt angår deres eget ansvar og personlige og sociale sikkerhed, der er beskyttet af de grundlæggende rettigheder«, hvilket for nylig blev fremhævet af den tyske forfatningsret i dom af 30. juni 2009 vedrørende Lissabontraktaten (13).

25.

EDPS understreger følgende i forbindelse med et sådant område:

26.

EDPS tilslutter sig den strategiske tilgang med hensyn til at give databeskyttelse en fremtrædende plads i meddelelsen. Mange initiativer inden for området med frihed, sikkerhed og retfærdighed hviler på anvendelsen af personoplysninger, og god databeskyttelse er afgørende for deres vellykkede gennemførelse. Respekt for privatlivets fred og databeskyttelse er ikke kun en retlig forpligtelse, der i stigende grad anerkendes på EU-plan, men det er også et spørgsmål, der er af afgørende betydning for de europæiske borgere, som det fremgår af resultaterne fra Eurobarometer (15). Endvidere er det også afgørende at begrænse adgangen til personoplysninger for at sikre de retshåndhævende myndigheders tillid.

27.

I punkt 2.3 i meddelelsen hedder det, at der bør indføres en omfattende databeskyttelsesordning på samtlige EU's kompetenceområder (16). EDPS støtter fuldt ud dette mål uafhængigt af Lissabontraktatens ikrafttræden. Han noterer sig også, at en sådan ordning ikke nødvendigvis indebærer én retlig ramme, der gælder for al databehandling. I henhold til de nuværende traktater er mulighederne for at vedtage én omfattende retlig ramme, der gælder for al databehandling, begrænset på grund af søjlestrukturen og på grund af, at — i det mindste under første søjle — beskyttelse af oplysninger, der behandles af europæiske institutioner, finder sted på et særskilt retsgrundlag (EF-traktatens artikel 286). EDPS påpeger imidlertid, at der kan gennemføres nogle forbedringer ved fuldt ud at udnytte de muligheder, som de nuværende traktater indeholder, og som allerede er fremhævet af Kommissionen i meddelelsen om »Gennemførelsen af Haag-programmet: vejen frem« (17). Efter Lissabontraktatens ikrafttræden vil EU-traktatens artikel 16 indeholde det nødvendige retsgrundlag for én omfattende retlig ramme, der gælder for al databehandling.

28.

EDPS noterer sig, at det — under alle omstændigheder — er afgørende at sikre konsekvens inden for den retlige ramme for databeskyttelse, hvor det er nødvendigt gennem harmonisering og konsolidering af de forskellige retsakter, der finder anvendelse på området med frihed, sikkerhed og retfærdighed.

29.

Der blev for nylig taget et første skridt gennem vedtagelsen af Rådets rammeafgørelse 2008/977/RIA (18). Denne retsakt kan imidlertid ikke betragtes som en omfattende ramme, dybest set fordi dens bestemmelser ikke er almengyldige. De gælder ikke for interne situationer, hvor personoplysninger stammer fra den medlemsstat, der anvender dem. En sådan begrænsning vil nødvendigvis mindske den merværdi, der er forbundet med Rådets rammeafgørelse, medmindre samtlige medlemsstater beslutter at medtage interne situationer i den nationale gennemførelseslovgivning, hvilket ikke er sandsynligt.

30.

En anden grund til, at EDPS finder, at Rådets rammeafgørelse 2008/977/RIA i det lange løb ikke indeholder en tilfredsstillende databeskyttelsesramme for så vidt angår området med frihed, sikkerhed og retfærdighed, er, at flere væsentlige bestemmelser ikke er i overensstemmelse med direktiv 95/46/EF. I henhold til de nuværende traktater kan der tages et yderligere skridt ved at udvide anvendelsesområdet og tilpasse Rådets rammeafgørelse til direktiv 95/46/EF.

31.

Der kunne sættes yderligere skub i virkeliggørelsen af en omfattende databeskyttelsesordning ved at skabe en klar vision på lang sigt. Denne vision kunne indeholde en global og sammenhængende tilgang til definering af indsamling og udveksling af oplysninger — samt anvendelse af eksisterende databaser — sammen med databeskyttelsesgarantier. Visionen bør forhindre overflødig overlapning af instrumenter (og dermed af behandlingen af personoplysninger). Den bør også fremme EU-politikkernes sammenhæng på dette område samt tilliden til, hvordan de offentlige myndigheder håndterer oplysninger om borgerne. EDPS anbefaler, at Rådet fremhæver behovet for en klar vision på lang sigt i Stockholmprogrammet.

32.

EDPS anbefaler ligeledes, at de foranstaltninger, der allerede er vedtaget på dette område, og deres konkrete gennemførelse og effektivitet skal evalueres og ses i det rette perspektiv. Denne evaluering bør tage behørigt hensyn til omkostningerne for privatlivets fred og effektiviteten af retshåndhævelsen. Hvis disse evalueringer skulle vise, at visse foranstaltninger ikke giver de forventede resultater eller ikke står i rimeligt forhold til de mål, der forfølges, bør følgende skridt tages op til overvejelse:

EDPS anbefaler, at der i Stockholmprogrammet henvises til et system for evaluering af eksisterende foranstaltninger.

33.

Sidst men ikke mindst bør der lægges særlig vægt på en bedre gennemførelse af eksisterende garantier i overensstemmelse med Kommissionens meddelelse om opfølgning på arbejdsprogrammet for en bedre gennemførelse af databeskyttelsesdirektivet (19) og de forslag, som EDPS fremsatte i sin udtalelse om den pågældende meddelelse (20). Desværre har Kommissionen under tredje søjle ikke mulighed for at indlede overtrædelsesprocedurer.

34.

Lissabontraktaten åbner mulighed for en egentlig omfattende databeskyttelsesramme. I henhold til artikel 16, stk. 2, i traktaten om Den Europæiske Unions funktionsmåde skal Rådet og Europa-Parlamentet fastsætte regler for databeskyttelse i forbindelse med behandling af personoplysninger foretaget af Unionens institutioner, organer, kontorer og agenturer samt af medlemsstaterne under udøvelse af aktiviteter, der er omfattet af EU-retten, og af private parter.

35.

EDPS forstår den vægt, der i meddelelsen lægges på en omfattende databeskyttelsesordning som Kommissionens ambition i forbindelse med at foreslå en retlig ramme, der gælder for alle behandlingsaktiviteter. Han tilslutter sig fuldt ud denne ambition, der styrker systemets sammenhæng, sikrer retssikkerheden og herved forbedrer beskyttelsen. Dette ville især i fremtiden forhindre vanskelighederne med at finde frem til en skillelinje mellem søjlerne, når oplysninger, der er indsamlet i den private sektor i kommercielt øjemed, senere hen anvendes til retshåndhævelsesformål. Denne skillelinje mellem søjlerne afspejler ikke fuldstændigt virkeligheden, hvilket fremgår af de vigtige domme, som Domstolen har afsagt i forbindelse med PNR (21) og lagring af data (22).

36.

EDPS foreslår at fremhæve denne begrundelse for en omfattende databeskyttelsesordning i Stockholmprogrammet. Dette viser, at en sådan ordning ikke blot drejer sig om en præference, men om en nødvendighed, der finder sin begrundelse i den skiftende praksis for så vidt angår anvendelse af oplysninger. Han anbefaler, at det i Stockholmprogrammet som en prioritet anføres, at der er behov for en ny retlig ramme, blandt andet ved at erstatte Rådets rammeafgørelse 2008/977/RIA.

37.

EDPS understreger, at begrebet omfattende databeskyttelsesordning baseret på en generel retlig ramme, ikke udelukker vedtagelsen af supplerende regler for databeskyttelse for politiet og retsvæsenet. Disse supplerende regler vil kunne tage hensyn til retshåndhævelsens specifikke behov, som omhandlet i erklæring 21, der er knyttet som bilag til Lissabontraktaten (23).

38.

I meddelelsen noteres det, at den teknologiske udvikling medfører forandringer i kommunikationen mellem individer og offentlige og private organisationer. På den baggrund er det ifølge Kommissionen nødvendigt at gentage en række grundlæggende databeskyttelsesprincipper.

39.

EDPS ser med tilfredshed på disse hensigter i meddelelsen. En evaluering af effektiviteten af disse principper på baggrund af de teknologiske forandringer er særdeles nyttig. Det er først og fremmest vigtigt at notere, at en gentagelse og bekræftelse af databeskyttelsesprincipper ikke altid skal hænge direkte sammen med den teknologiske udvikling. Der vil også kunne være behov herfor i lyset af andre perspektiver, nævnt i del III ovenfor, nemlig internationalisering, stigende anvendelse af data til retshåndhævelse og fri bevægelighed.

40.

Endvidere er EDPS af den opfattelse, at denne evaluering kan medtages i den offentlige høring, som Kommissionen bebudede på konferencen »Personal data — more use, more protection?«, der fandt sted den 19.-20. maj 2009. Denne offentlige høring vil kunne udgøre et værdifuldt bidrag (24). EDPS foreslår, at Rådet i teksten til Stockholmprogrammet og Kommissionen i sine offentlige erklæringer vedrørende høringen fremhæver forbindelsen mellem de hensigter, der er omhandlet i punkt 2.3 i meddelelsen, og den offentlige høring vedrørende fremtiden for databeskyttelse.

41.

Til illustration af hvad en sådan evaluering vil kunne omfatte, anføres følgende punkter:

42.

Denne evaluering bør endvidere fokusere på mulighederne for at forbedre effektiviteten af databeskyttelsesprincippernes anvendelse. I den forbindelse kunne det være nyttigt at koncentrere sig om de instrumenter, der kan styrke de registeransvarliges ansvar. Disse instrumenter skal give mulighed for fuld ansvarliggørelse af de registeransvarlige for så vidt angår datahåndtering. »Data governance« er et nyttigt begreb i denne forbindelse. Dette omfatter alle retlige, tekniske og organisatoriske midler, som organisationer anvender for at sikre fuldt ansvar for den måde, som oplysningerne håndteres på, såsom planlægning og kontrol, anvendelse af forsvarlig teknologi, passende uddannelse af personale, kontrol af overensstemmelse, osv.

43.

EDPS glæder sig over, at punkt 2.3 i meddelelsen omhandler certificering af teknologi, der er »privatlivsvenlig«. Derudover kunne der henvises til »indbygget databeskyttelse« (»privacy by design«) og behovet for at indkredse »bedste tilgængelige teknikker«, der er i overensstemmelse med EU's databeskyttelsesramme.

44.

EDPS mener, at »indbygget databeskyttelse« og teknologier, der tilgodeser hensynet til privatlivet, kunne være nyttige redskaber til en bedre beskyttelse samt en mere effektiv anvendelse af oplysninger. EDPS foreslår to veje fremad — der ikke udelukker hinanden:

EDPS foreslår, at disse mulige veje fremad nævnes i Stockholmprogrammet.

45.

Et andet emne, der er nævnt i meddelelsen, er udviklingen af og arbejdet hen mod interna-tionale standarder for databeskyttelse. For øjeblikket finder der mange aktiviteter sted med henblik på at indføre gennemførlige standarder for global anvendelse, for eksempel i forbindelse med den internationale konference for databeskyttelsesmyndigheder og -ansvarlige. I den nærmeste fremtid kunne dette føre til en international aftale. EDPS foreslår, at Stockholmprogrammet støtter disse aktiviteter.

46.

I meddelelsen omhandles også indgåelse af bilaterale aftaler, der er baseret på de fremskridt, der er allerede er gjort sammen med USA. EDPS er enig i, at der er behov for en klar retlig ramme for videregivelse af data til tredjelande, og hilser derfor det fælles arbejde velkommen, som EU's og USA's myndigheder har udført i Kontaktgruppen på Højt Plan om et eventuelt transatlantisk databeskyttelsesinstrument, men ønsker samtidig mere klarhed og opmærksomhed om bestemte spørgsmål (27). På den baggrund er det også interessant at notere sig idéerne i rapporten om indre anliggender til et Euro-atlantisk samarbejdsområde vedrørende frihed, sikkerhed og retfærdighed, som EU i henhold til rapporten skal tage stilling til senest i 2014. Et sådant område vil ikke være muligt uden passende databeskyttelsesgarantier.

47.

Ifølge EDPS bør de europæiske standarder for databeskyttelse, der er baseret på Europarådets konvention nr. 108 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (28), og Domstolens og Menneskerettighedsdomstolens retspraksis, bestemme beskyttelsesniveauet i en generel aftale med USA om databeskyttelse og dataudveksling. En sådan generel aftale kunne danne grundlaget for særlige ordninger for udveksling af personoplysninger. Dette er endnu vigtigere i lyset af, at det i henhold til punkt 4.2.1 i meddelelsen er hensigten, at Den Europæiske Union, hvor det er nødvendigt, bør indgå aftaler om politisamarbejde.

48.

EDPS forstår fuldt ud, at der er behov for at styrke det internationale samarbejde, i nogle tilfælde også med lande, der ikke beskytter de grundlæggende rettigheder. Det er imidlertid (29) af afgørende betydning, at der tages hensyn til, at dette internationale samarbejde sandsynligvis vil medføre en stor stigning i indsamling og international videregivelse af oplysninger. Det er derfor afgørende, at principperne om retfærdig og lovlig behandling — såvel som principperne om behørig behandling i almindelighed — kommer til at gælde for indsamling og videregivelse af personoplysninger på tværs af EU's ydre grænser, og at personoplysninger kun overføres til tredjelande eller internationale organer eller organisationer, hvis de berørte tredjeparter garanterer et passende beskyttelsesniveau eller giver andre passende garantier.

49.

Afslutningsvis anbefaler EDPS, at man i Stockholmprogrammet fremhæver betydningen af generelle aftaler med USA og andre tredjelande om databeskyttelse og dataudveksling på grundlag af det beskyttelsesniveau, der er garanteret inden for EU's område. Set ud fra et bredere perspektiv peger EDPS på betydningen af, at respekten for de grundlæggende rettigheder aktivt fremmes, og især for databeskyttelse, i forbindelse med tredjelande og med internationale organisationer (30). Endvidere kunne man i Stockholmprogrammet omtale det generelle begreb om, at udveksling af personoplysninger med tredjelande fordrer et tilstrækkeligt beskyttelsesniveau eller andre passende garantier i de pågældende tredjelande.

50.

Bedre udveksling af oplysninger er et væsentligt mål for Den Europæiske Union på området med frihed, sikkerhed og retfærdighed. I punkt 4.1.2 i meddelelsen understreges det, at sikkerheden i Den Europæiske Union hviler på stærke mekanismer for informationsudveksling mellem de nationale myndigheder og de europæiske aktører. Denne betoning af informationsudveksling er logisk i betragtning af, at der ikke findes en europæisk politistyrke, et europæisk strafferetligt system og en europæisk grænsekontrol. Foranstaltninger vedrørende oplysninger er derfor væsentlige bidrag fra Den Europæiske Union, der giver medlemsstaternes myndigheder mulighed for at tackle grænseoverskridende kriminalitet på en effektiv måde og for effektivt at beskytte de ydre grænser. De bidrager imidlertid ikke kun til borgernes sikkerhed men også til deres frihed — fri bevægelighed for personer blev nævnt tidligere som et perspektiv i denne udtalelse — og til retfærdighed.

51.

Det er netop af disse grunde, at tilgængelighedsprincippet blev indført i Haagprogrammet. Det indebærer, at oplysninger, der er nødvendige for at bekæmpe kriminalitet, uden hindringer bør kunne passere de indre grænser i EU. Nye erfaringer viser, at det var vanskeligt at gennemføre dette princip i lovgivningsforanstaltninger. Kommissionens forslag til Rådets rammeafgørelse om udveksling af oplysninger efter tilgængelighedsprincippet af 12. oktober 2005 (31) blev ikke accepteret i Rådet. Medlemsstaterne var ikke rede til fuldt ud at acceptere konsekvenserne af tilgængelighedsprincippet. Der blev i stedet vedtaget mere begrænsede instrumenter (32) såsom Rådets afgørelse 2008/615/RIA af 23. juni 2008 om intensivering af det grænseoverskridende samarbejde, navnlig om bekæmpelse af terrorisme og grænseoverskridende kriminalitet (»Prümaftalen«) (33).

52.

Tilgængelighedsprincippet var et centralt aspekt af Haagprogrammet, men Kommissionen synes nu at have en mere beskeden tilgang. Den påtænker at stimulere udvekslingen af oplysninger mellem medlemsstaternes myndigheder yderligere ved at indføre den europæiske informationsmodel. Det svenske EU-formandskabs går i samme retning (34). Den vil forelægge et forslag til en strategi for informationsudveksling. Rådet har allerede indledt arbejdet med dette ambitiøse projekt vedrørende en EU-informationsstyringsstrategi, der er tæt knyttet til den europæiske informationsmodel. EDPS noterer sig denne udvikling med stor interesse og fremhæver den vægt, der bør lægges på databeskyttelseselementerne i disse projekter.

53.

Det skal som udgangspunkt fremhæves, at fremtiden for området med frihed, sikkerhed og retfærdighed ikke bør være »teknologidrevet« i den forstand, at de næsten ubegrænsede muligheder, som de nye teknologier tilbyder, altid bør kontrolleres på baggrund af de relevante databeskyttelsesprincipper og kun anvendes, hvis de overholder disse principper.

54.

EDPS noterer sig, at informationsmodellen præsenteres i meddelelsen ikke kun som en teknisk model: en styrket strategisk analysekapacitet og en bedre indsamling og behandling af operationelle oplysninger. Det anerkendes også, at politikrelaterede aspekter — såsom kriterier for indsamling, videregivelse og behandling af oplysninger — bør tages i betragtning, samtidig med at databeskyttelsesprincipperne overholdes.

55.

Informationsteknologi og retlige betingelser er — og vil fortsat være — af afgørende betydning. EDPS ser med tilfredshed på meddelelsen, der tager udgangspunkt i den antagelse, at tekniske betragtninger ikke kan ligge til grund for en europæisk informationsmodel. Det er afgørende, at oplysningerne udelukkende indsamles, videregives og behandles på grundlag af konkrete behov for sikkerhed og under hensyntagen til databeskyttelsesprincipperne. EDPS tilslutter sig også helt behovet for at fastlægge en opfølgningsmekanisme for vurdering af, hvordan informationsudvekslingen fungerer. Han foreslår, at Rådet uddyber disse elementer i Stockholmprogrammet.

56.

I den forbindelse understreger EDPS, at databeskyttelse, der tager sigte på at beskytte borgerne, ikke bør ses som en hæmsko for effektiv datahåndtering. Den tilvejebringer vigtige redskaber til forbedring af lagring af, adgang til og udveksling af oplysninger. Den registreredes ret til at blive orienteret om, hvilke oplysninger vedrørende den registrerede selv der behandles, og til at foretage berigtigelse af ukorrekte oplysninger kan også styrke rigtigheden af oplysninger i datahåndteringssystemerne.

57.

Databeskyttelseslovgivningen har i det væsentlige følgende konsekvenser: hvis der er brug for data til et specifikt og legitimt formål, kan de anvendes; hvis der ikke er brug for dem til et veldefineret formål, bør personoplysninger ikke anvendes. I det første tilfælde kan der være brug for supplerende foranstaltninger til at sørge for passende garantier.

58.

EDPS forholder sig imidlertid kritisk til meddelelsens omtale af »kortlægning af fremtidige behov« som en del af informationsmodellen. Han fremhæver, at også i fremtiden bør princippet om formålsbegrænsning være en rettesnor, når der udvikles informationssystemer (35). En af de væsentligste garantier, som databeskyttelsessystemet yder borgerne, er følgende: den pågældende skal på forhånd være bekendt med, til hvilket formål oplysninger vedrørende den pågældende indsamles, og at de udelukkende vil blive brugt til det formål, også i fremtiden. Denne garanti er endog nedfældet i artikel 8 i EU's charter om grundlæggende rettigheder. Princippet om formålsbegrænsning giver mulighed for undtagelser hvilket især er relevant på området med frihed, sikkerhed og retfærdighed men disse undtagelser bør ikke bestemme udviklingen af et system.

59.

Valg af den rette arkitektur for udveksling af oplysninger er udgangspunktet for det hele. I meddelelsen (punkt 4.1.3) anerkendes betydningen af en egentlig informationsarkitektur, men desværre kun i forbindelse med samkøring.

60.

EDPS understreger et andet aspekt: inden for den europæiske informationsmodel bør databeskyttelseskravene være en integreret del af al systemudvikling og bør ikke blot betragtes som en nødvendig betingelse for et systems lovlighed (36). Man bør anvende begreberne »indbygget databeskyttelse«, og der er behov for at indkredse »bedste tilgængelige teknikker« (37) som omhandlet i punkt 43 ovenfor. Den europæiske informationsmodel bør være baseret på disse begreber. Dette betyder mere konkret, at informationssystemer, der er udformet med henblik på den offentlige sikkerhed, altid bør være udviklet i overensstemmelse med principperne for »indbygget databeskyttelse«. EDPS anbefaler, at Rådet medtager disse elementer i Stockholmprogrammet.

61.

EDPS understreger, at samkøring ikke er et rent teknisk spørgsmål, men at det også har konsekvenser for beskyttelse af borgerne, navnlig databeskyttelse. Set fra et databeskyttelsesperspektiv indebærer samkøring af systemer, hvis det udføres godt, klare fordele med hensyn til at undgå dobbelt lagring. Det er imidlertid også indlysende, at det, at adgang til eller udveksling af data gøres teknisk muligt, i mange tilfælde bliver et kraftigt incitament til rent faktisk at konsultere eller udveksle disse data. Med andre ord indebærer samkøring særlige risici ved sammenkobling mellem databaser med forskellige formål (38). Det kan påvirke databasernes strenge formålsbegrænsninger.

62.

Kort sagt er den kendsgerning, at det er teknisk muligt at udveksle digital information mellem databaser, der kan samkøres, eller at flette disse databaser ikke en begrundelse for en undtagelse fra princippet om formålsbegrænsning. Samkøring bør i konkrete tilfælde være baseret på klare og omhyggelige politiske valg. EDPS foreslår, at dette begreb præciseres i Stockholmprogrammet.

63.

Meddelelsen omhandler ikke udtrykkeligt en af de vigtigste tendenser i de seneste år, nemlig anvendelse af data, der er indsamlet i den private sektor i kommercielt øjemed, til retshåndhævelsesformål. Denne tendens vedrører ikke kun trafikdata i forbindelse med elektronisk kommunikation og passageroplysninger for personer, der flyver til (visse) tredjelande (39), men fokuserer også på den finansielle sektor. Et eksempel er Europa-Parlamentets og Rådets direktiv 2005/60/EF af 26. oktober 2005 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvaskning af penge og finansiering af terrorisme (40). Et andet velkendt og meget omtalt eksempel vedrører behandling af personoplysninger i Society for Worldwide Interbank Financial Telecommunication (SWIFT) (41) for så vidt angår data, der er nødvendige for det amerikanske finansministeriums program til sporing af finansiering af terrorisme.

64.

EDPS mener, at disse tendenser kræver særlig opmærksomhed i Stockholmprogrammet. De kan betragtes som undtagelser fra princippet om formålsbegrænsning og griber ofte meget ind i privatlivets fred, eftersom anvendelsen af disse data kan afsløre meget om enkeltpersoners adfærd. I hvert tilfælde, hvor der foreslås sådanne foranstaltninger, skal der være meget stærke beviser for, at en sådan indgribende foranstaltning er nødvendig. Hvis der forelægges sådanne beviser, skal det sikres, at personernes rettigheder beskyttes fuldt ud.

65.

Ifølge EDPS bør der kun være mulighed for at anvende personoplysninger, der er indsamlet i kommercielt øjemed, til retshåndhævelsesformål på strenge betingelser, som f.eks.:

66.

I løbet af de seneste år er antallet af informationssystemer baseret på EU-lovgivning vokset i betydelig grad inden for området med frihed, sikkerhed og retfærdighed. Sommetider træffes der afgørelser for at indføre et system, der medfører central lagring af data på europæisk plan, til andre tider omhandler lovgivningen kun udveksling af oplysninger mellem nationale databaser. Schengeninformationssystemet er formodentligt det bedste eksempel på et system med central lagring. Rådets afgørelse 2008/615/RIA (Prümaftalen) (44) er set fra et databeskyttelsesperspektiv det væsentligste eksempel på et system uden central lagring, da det forudser en omfattende udveksling af biometriske data mellem medlemsstaternes myndigheder.

67.

Meddelelsen belyser, at denne tendens med at indføre nye systemer vil fortsætte. Et første eksempel, der er taget fra punkt 4.2.2, er et informationssystem, der udvider det europæiske informationssystem vedrørende strafferegistre (ECRIS) til at omfatte tredjelandsstatsborgere. Kommissionen har allerede bestilt en undersøgelse vedrørende det europæiske register over dømte statsborgere fra tredjelande (European Index for Convicted Third Country Nationals — EICTCN), hvilket eventuelt vil føre til en central database. Et andet eksempel er udvekslingen af oplysninger om personer i forbindelse med insolvensregistre i andre medlemsstater inden for rammerne af e-justice (punkt 3.4.1 i meddelelsen) uden central lagring.

68.

Et decentralt system vil have visse fordele set fra et databeskyttelsesperspektiv. Herved undgås det, at medlemsstatens myndighed og det centrale system foretager dobbelt lagring, ansvaret for dataene er klart, eftersom medlemsstatens myndighed er den registeransvarlige, og retsvæsenets og databeskyttelsesmyndighedernes kontrol kan finde sted på medlemsstatsplan. Men dette system har også svagheder, når data udveksles med andre jurisdiktioner, for eksempel når det skal sikres, at oplysninger ajourføres både i oprindelseslandet og i bestemmelseslandet, og med hensyn til at sikre effektiv kontrol på begge sider. Det er endnu vanskeligere at sikre ansvaret for det tekniske system for udvekslingen. Disse svagheder kan klares ved at vælge et centralt system, hvor de europæiske organer har et ansvar i det mindste for dele af systemet (som f.eks. den tekniske infrastruktur).

69.

I den forbindelse ville det være nyttigt at opstille vægtige kriterier for valget mellem centrale og decentrale systemer, idet der sikres klare og omhyggelige politiske valg i de konkrete tilfælde. Disse kriterier kan bidrage til systemernes funktion samt til beskyttelsen af borgernes data. EDPS foreslår at anføre, at det er hensigten at opstille sådanne kriterier i Stockholmprogrammet.

70.

I punkt 4.2.3.2 i meddelelsen drøftes i korte træk fremtiden for storstilede informationssystemer med særlig vægt på Schengeninformationssystemet (SIS) og visuminformationssystemet (VIS).

71.

Punkt 4.2.3.2 omhandler også indførelsen af et system for elektronisk registrering af indrejse til og udrejse fra EU-medlemsstaternes område samt programmer for registrerede rejsende. Kommissionen har allerede på et tidligere tidspunkt omtalt dette system som led i »grænsepakken« på foranledning af næstformand Franco Frattini (45). I sine indledende bemærkninger (46) var EDPS forholdsvis kritisk over for dette forslag, da behovet for et sådant indgribende system oven i de eksisterende storstilede systemer ikke var tilstrækkeligt påvist. EDPS har ikke noteret, at der er yderligere dokumentation for behovet for et sådant system, og foreslår derfor Rådet, at det ikke nævner denne idé i Stockholmprogrammet.

72.

I den forbindelse ønsker EDPS at henvise til sine udtalelser om forskellige initiativer vedrørende EU's informationsudveksling (47), hvori han fremsatte en lang række forslag og bemærkninger om den indvirkning på databeskyttelse, som anvendelsen af store databaser på EU-plan har. Blandt andre spørgsmål lagde han særlig vægt på behovet for stærke og skræddersyede garantier, der bør være indført, samt konsekvensanalysers proportionalitet og nødvendighed, inden der foreslås eller iværksættes foranstaltninger på dette område. EDPS er altid gået ind for en balance, der sikrer beskyttelse af rettigheder og data, mellem på den ene side sikkerhedskrav og på den anden side beskyttelse af de personers privatliv, som er omfattet af systemerne. Han indtog samme holdning, da han var tilsynsførende for de centrale del af systemerne.

73.

Endvidere benytter EDPS denne lejlighed til at fremhæve behovet for en konsekvent tilgang til EU's informationsudveksling som helhed for så vidt angår konsekvens vedrørende retlige og tekniske aspekter samt tilsynsaspekter mellem de systemer, der allerede er indført, og dem, der er under udvikling. Nu til dags er der mere end nogensinde et klart behov for en modig og omfattende vision om, hvordan EU's informationsudveksling og fremtiden for storstilede informationssystemer bør se ud. Det vil kun være muligt at tage et elektronisk system for indrejse til og udrejse fra medlemsstaternes område op til overvejelse på grundlag af en sådan vision.

74.

EDPS foreslår, at der i Stockholmprogrammet henvises til, at det er hensigten at udvikle en sådan vision, der også bør afspejle Lissabontraktatens eventuelle ikrafttræden og dens indvirkning på de systemer, der er baseret på retsgrundlag under første og tredje søjle.

75.

Endelig omhandler meddelelsen oprettelsen af et nyt agentur, der ifølge meddelelsen også bør være kompetent med hensyn til det elektroniske system for indrejse og udrejse. I mellemtiden har Kommissionen vedtaget et forslag om oprettelsen af et sådant agentur (48). EDPS støtter i princippet dette forslag, da det kan medvirke til, at disse systemer, herunder databeskyttelse, fungerer mere effektivt. Han vil forelægge en udtalelse om dette forslag, når tiden er inde.

76.

Europols rolle omtales flere steder i meddelelsen, hvilket understreger, at Europol skal spille en central rolle i forbindelse med koordinering, informationsudveksling og uddannelse af fagfolk, og at dette er et prioriteret område. Ligeledes henvises der i punkt 4.2.2 i meddelelsen til ændringerne for nylig af de retlige rammer for samarbejdet mellem Eurojust og Europol, og det oplyses, at Eurojust bør styrkes yderligere, navnlig for så vidt angår efterforskning af grænseoverskridende organiseret kriminalitet. EDPS støtter fuldt disse mål under forudsætning af, at databeskyttelsesgarantier respekteres på passende måde.

77.

I den forbindelse ser EDPS med tilfredshed på det nye udkast til aftale, som man for nylig nåede frem til mellem Europol og Eurojust (49), og som tager sigte på at forbedre og styrke det gensidige samarbejde mellem de to organer og sørge for effektiv informationsudveksling mellem dem. Dette er et arbejde, hvor effektiv og velfungerende databeskyttelse spiller en afgørende rolle.

78.

EDPS noterer, at meddelelsen ikke behandler spørgsmålet om den stigende anvendelse af biometriske data i Den Europæiske Unions forskellige retsakter vedrørende anvendelse af informationsudveksling, herunder instrumenter, der indfører storstilede informationssystemer. Dette er beklageligt i betragtning af, at det er et emne, der er meget vigtigt og følsomt set i lyset af databeskyttelse og beskyttelse af privatlivets fred.

79.

Selv om EDPS erkender de generelle fordele ved at anvende biometriske data, har han til stadighed understreget de omfattende virkninger af at anvende disse data på personers rettigheder og foreslået, at der indarbejdes strenge beskyttelsesforanstaltninger i forbindelse med anvendelsen af biometriske data i hvert enkelt system. Den Europæiske Menneskerettighedsdomstols dom for nylig i sagen S. og Marper mod Det Forenede Kongerige  (50) giver nyttige oplysninger i denne forbindelse, navnlig vedrørende begrundelsen og grænserne for anvendelsen af biometriske data. Især anvendelsen af dna-oplysninger kan afsløre følsomme oplysninger om enkeltpersoner, idet det også tages i betragtning, at de tekniske muligheder for at udtrække oplysninger fra dna stadig udvides. I tilfælde af storstilet anvendelse af biometriske data i informationssystemer er der også et problem på grund af, at der i sagens natur er unøjagtigheder i forbindelse med indsamling og sammenligning af biometriske data. Af disse grund bør EU-lovgiveren være tilbageholdende med at anvende disse data.

80.

Et andet tilbagevendende spørgsmål i de seneste år har været anvendelsen af fingeraftryk fra børn og ældre på grund af de biometriske systemers iboende mangler for så vidt angår disse aldersgrupper. EDPS har anmodet om en tilbundsgående undersøgelse for at bestemme systemernes nøjagtighed ordentligt (51). Han har foreslået en aldersgrænse på 14 år for børn, medmindre andet fremgår af denne undersøgelse. EDPS anbefaler, at dette spørgsmål nævnes i Stockholmprogrammet.

81.

Når dette er sagt, forslår EDPS, at det ville være nyttigt at opstille vægtige kriterier for anvendelsen af biometriske data. Disse kriterier bør sikre, at dataene kun anvendes, når det er nødvendigt, passende og står i rimeligt forhold til formålet, og når lovgiveren har godtgjort, at der er tale om udtrykkeligt angivne og legitime formål. For at være mere præcis bør biometriske data og især dna-oplysninger ikke anvendes, hvis den samme virkning kan opnås ved at anvende andre mindre følsomme oplysninger.

82.

Teknologi vil også blive brugt som et redskab til bedre retligt samarbejde. I punkt 3.4.1 i meddelelsen anføres det, at e-justice gør det lettere for borgerne at indbringe sager for domstolene. Det består af en portal med information og videokonferencer som led i den juridiske procedure. Det giver endvidere mulighed for at iværksætte juridiske procedurer online, og i forbindelse hermed påtænkes det at sammenkoble nationale registre, som f.eks. insolvensregistre. EDPS noterer sig, at meddelelsen ikke omhandler nye initiativer vedrørende e-justice, men konsoliderer de tiltag, der allerede er iværksat. EDPS er involveret i nogle af disse tiltag som en opfølgning af den udtalelse, han afgav den 19. december 2008 om Kommissionens meddelelse »På vej mod en EU-strategi for e-justice« (52).

83.

E-justice er et ambitiøst projekt, der kræver fuld støtte. Det kan på effektiv vis forbedre retsvæsenet i Europa og den retlige beskyttelse af borgerne. Det er et væsentligt skridt hen imod et europæisk område med retfærdighed. På baggrund af denne positive vurdering kan der fremsættes nogle bemærkninger:

84.

EDPS tilslutter sig den vægt, der i meddelelsen lægges på beskyttelse af grundlæggende rettigheder, og navnlig beskyttelse af personoplysninger, som et af de centrale spørgsmål i forbindelse med fremtiden for området med frihed, sikkerhed og retfærdighed. Efter EDPS's opfattelse fremmer meddelelsen med rette en balance mellem behovene for passende instrumenter til at garantere borgerne sikkerhed og beskyttelsen af deres grundlæggende rettigheder. Det erkendes, at der bør lægges mere vægt på beskyttelsen af personoplysninger.

85.

EDPS støtter fuldt ud punkt 2.3 i meddelelsen, hvori der opfordres til, at der indføres en omfattende databeskyttelsesordning på samtlige EU's kompetenceområder uafhængigt af Lissabontraktatens ikrafttræden. Han anbefaler i denne forbindelse:

86.

EDPS udtrykker tilfredshed med, at Kommissionen har til hensigt at bekræfte databeskyttelsesprincipperne, der skal knyttes til den offentlige høring bebudet af Kommissionen på konferencen »Personal data — more use, more protection?«, der fandt sted den 19.-20. maj 2009. Med hensyn til substansen fremhæver EDPS betydningen af princippet om formålsbegrænsning som en hjørnesten i databeskyttelseslovgivningen og af at fokusere på mulighederne for at forbedre effektiviteten af databeskyttelsesprincippernes anvendelse ved hjælp af instrumenter, der kan styrke de registeransvarliges ansvar.

87.

»Indbygget databeskyttelse« og teknologier, der tilgodeser hensynet til privatlivet, kunne fremmes ved

88.

Med hensyn til de eksterne aspekter af databeskyttelse anbefaler EDPS:

89.

EDPS noterer sig med stor interesse udviklingen hen imod en EU-informationsstyringsstrategi og en europæisk informationsmodel og fremhæver, at der i disse projekter bør lægges vægt på databeskyttelseselementer, der skal uddybes i Stockholmprogrammet. Arkitekturen for udveksling af oplysninger bør bygge på »indbygget databeskyttelse« og »bedste tilgængelige teknikker«.

90.

Den kendsgerning, at det er teknisk muligt at udveksle digital information mellem databaser, der kan samkøres, eller at flette disse databaser er ikke en begrundelse for en undtagelse fra princippet om formålsbegrænsning. Samkøring bør i konkrete tilfælde være baseret på klare og omhyggelige politiske valg. EDPS foreslår, at dette begreb præciseres i Stockholmprogrammet.

91.

Anvendelse af personoplysninger, der er indsamlet i kommercielt øjemed, til retshåndhævelsesformål bør ifølge EDPS kun være muligt på strenge betingelser, der er præcisereret i punkt 65 i denne udtalelse.

92.

Andre forslag med hensyn til anvendelsen af personoplysninger omfatter:

93.

EDPS støtter e-justice og har fremsat nogle bemærkninger om, hvordan projektet kan forbedres (jf.punkt 83).

17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/21

17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/23

17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/24

17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/30

17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/35

17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/40

1.

Den 9. november 2009 modtog Kommissionen i overensstemmelse med artikel 4 i Rådets forordning (EF) nr. 139/2004 (1) anmeldelse af en planlagt fusion, hvorved Eurotank Belgium B.V. (»Eurotank«, Belgien), der i sidste instans kontrolleres af Vitol Holding B.V. (»Vitol«, Nederlandene), gennem opkøb af aktier erhverver kontrol over hele Petroplus Refining Antwerp N.V. (»Petroplus«, Belgien) og Petroplus Refining Antwerp Bitumen N.V. (»Petroplus Bitumen«, Belgien), jf. forordningens artikel 3, stk. 1, litra b).

2.

De deltagende virksomheder er aktive på følgende områder:

3.

Efter en foreløbig gennemgang af sagen finder Kommissionen, at den anmeldte fusion muligvis falder ind under forordning (EF) nr. 139/2004. Den har dog endnu ikke taget endelig stilling hertil. Det bemærkes, at denne sag eventuelt vil blive behandlet efter den forenklede procedure i overensstemmelse med Kommissionens meddelelse om en forenklet procedure til behandling af visse fusioner efter Rådets forordning (EF) nr. 139/2004 (2).

4.

Kommissionen opfordrer hermed alle interesserede til at fremsætte deres eventuelle bemærkninger til den planlagte fusion.

Bemærkningerne skal være Kommissionen i hænde senest ti dage efter offentliggørelsen af denne meddelelse og kan med angivelse af sag COMP/M.5686 — Vitol Holding/Petroplus Refining Antwerp/Petroplus Refining Antwerp Bitumen sendes til Kommissionen pr. fax (+32 22964301 eller 22967244) eller pr. brev til følgende adresse:

17.11.2009   

DA

Den Europæiske Unions Tidende

C 276/41

1.

Der skal indledes en procedure for udstedelse af tilladelse til prospektering og efterforskning af olie- og naturgasforekomster i blok 1-18 »Trakiya«, der har et areal på 940,12 km2, og koordinaterne 1-10 som præciseret i bilaget.

2.

Den i punkt 1 omhandlede tilladelse skal udstedes på grundlag af en udbudsprocedure.

3.

Tilladelsen til prospektering og efterforskning skal dække en periode på fem år fra det tidspunkt, hvor aftalen om prospektering og efterforskning trådte i kraft. Denne periode kan forlænges i henhold til artikel 31, stk. 3, i lov om naturressourcer i undergrunden.

4.

Udbudsproceduren, hvorved det afgøres, hvem der skal have den i punkt 1 nævnte tilladelse, skal indledes på 150. dagen for offentliggørelsen af denne beslutning i Den Europæiske Unions Tidende i ministeriet for økonomi, energi og turisme på følgende adresse: ul. Triaditsa 8, Sofia.

5.

Fristen for erhvervelse af udbudsmaterialet er kl. 17.00 på 120. dagen for offentliggørelsen af denne beslutning i Den Europæiske Unions Tidende.

6.

Fristen for at indgive ansøgninger om at deltage i udbuddet er kl. 17.00 på 130. dagen for offentliggørelsen af denne beslutning i Den Europæiske Unions Tidende.

7.

Fristen for at afgive bud i overensstemmelse med udbudsmaterialet er kl. 17.00 på 144. dagen for offentliggørelsen af denne beslutning i Den Europæiske Unions Tidende.

8.

Udbudsproceduren er skriftlig.

9.

Prisen for udbudsmaterialet fastsættes til 500 BGN. Udbudsmaterialet erhverves i ministeriet for økonomi, energi og turisme, kontor 802, på følgende adresse: ul. Triaditsa 8, Sofia, inden for den i punkt 5 nævnte frist.

10.

Ansøgere, der ønsker at deltage i udbudsproceduren, skal opfylde kravene i artikel 23, stk. 1, i lov om naturressourcer i undergrunden.

11.

Buddene skal vurderes på grundlag af forslagene til arbejdsprogrammer, de ressourcer, der er afsat til miljøbeskyttelse og uddannelse, bonusser samt ledelseskapacitet og finansiel kapacitet i henhold til udbudsmaterialet.

12.

Den sikkerhed, der skal stilles for at deltage i udbudsproceduren, fastsættes til 10 000 BGN. Den skal inden for den i punkt 6 nævnte frist indbetales på den bankkonto for ministeriet for økonomi, energi og turisme, der er angivet i udbudsmaterialet.

13.

Ansøgere, som ikke antages til udbudsproceduren, får tilbagebetalt deres sikkerhed inden for 14 dage efter at have modtaget oplysningen om, at de ikke er blevet antaget.

14.

Den tilbudsgiver, der antages, fortaber sin sikkerhed, og de øvrige tilbudsgivere får tilbagebetalt deres sikkerhed inden for 14 dage efter offentliggørelsen i statstidende af ministerrådets beslutning om at udstede tilladelse til prospektering og efterforskning.

15.

Ansøgninger om at deltage i udbudsproceduren og bud i henhold til udbudsproceduren skal indgives til ministeriet for økonomi, energi og turisme på følgende adresse: ul. Triaditsa 8, Sofia. De skal i overensstemmelse med artikel 46 i lov om naturressourcer i undergrunden være affattet på bulgarsk.

16.

Buddene skal være i overensstemmelse med de krav og betingelser, der er angivet i udbudsmaterialet.

17.

Udbudsproceduren skal også gennemføres, hvis kun en enkelt ansøger antages.

18.

Ministeriet for økonomi, energi og turisme:

18.1.

sender denne beslutning til offentliggørelse i Den Europæiske Unions Tidende, det bulgarske statstidende og på ministerrådets websted

18.2.

tilrettelægger udbudsproceduren.

19.

Klager over denne beslutning indbringes for den øverste forvaltningsdomstol senest 14 dage efter offentliggørelsen i Den Europæiske Unions Tidende.