8.2.2012   

DA

Den Europæiske Unions Tidende

C 34/1

1.

Den 19. april 2011 vedtog Kommissionen en meddelelse om det åbne internet og netneutraliteten i Europa (4).

2.

Denne udtalelse kan ses som den tilsynsførendes reaktion på denne meddelelse, og sigtet er at bidrage til den igangværende politiske debat i EU om netneutralitet, navnlig aspekter vedrørende databeskyttelse og beskyttelse af privatlivets fred.

3.

Udtalelsen er baseret på den tilsynsførendes svar (5) på Kommissionens offentlige høring om det åbne internet og netneutralitet i Europa, der blev afholdt forud for Kommissionens meddelelse. Den tilsynsførende har også noteret sig det nylige udkast til Rådets konklusioner om netneutraliteten (6).

4.

Netneutralitet er genstand for en aktuel debat om, hvorvidt internetudbyderne (ISP’er (7)) skal have lov til at begrænse, filtrere eller spærre for internetadgangen eller på anden vis påvirke internettets virkemåde. Begrebet netneutralitet bygger på den opfattelse, at oplysninger på internettet skal overføres upartisk og uden hensyntagen til indhold, bestemmelsessted og kilde, og at brugerne skal kunne bestemme, hvilke applikationer, tjenester og hardware de ønsker at benytte. Internetudbyderne kan således ikke efter eget valg opprioritere eller nedsætte hastigheden på adgangen til visse applikationer eller tjenester, f.eks. peer-to-peer (»P2P«) osv (8).

5.

Filtrering, spærring og inspektion af nettrafik rejser en række vigtige spørgsmål, der ofte overses eller køres ud på et sidespor, om kommunikationshemmelighed og fysiske personers ret til beskyttelse af privatlivets fred og personoplysninger, når de bruger internettet. Der kan f.eks. være tale om visse inspektionsteknikker, der indebærer overvågning af kommunikationsindhold, besøgte websteder, sendte og modtagne e-mails, tidspunktet for aktiviteten osv., og som gør det muligt at filtrere kommunikationen.

6.

Internetudbydere, som inspicerer kommunikationsdata, kan bryde kommunikationshemmeligheden, der er en grundlæggende ret sikret i artikel 8 i den europæiske konvention om beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder (»den europæiske menneskerettighedskonvention«) og artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder (»chartret«). Kommunikationshemmeligheden er yderligere beskyttet i afledt EU-lovgivning, nemlig artikel 5 i e-databeskyttelsesdirektivet.

7.

Den tilsynsførende mener, at der i en seriøs politisk debat om netneutralitet skal være fokus på kommunikationshemmeligheden og andre aspekter vedrørende beskyttelse af privatlivets fred og databeskyttelse.

8.

Denne udtalelse bidrager til denne igangværende EU-debat. Den har tre formål:

9.

Den tilsynsførende er opmærksom på, at netneutralitet rejser en række andre spørgsmål, som der redegøres nærmere for nedenfor, såsom spørgsmål vedrørende adgang til oplysninger. Disse spørgsmål behandles kun i det omfang, de er relateret til eller har en direkte indvirkning på databeskyttelsen og beskyttelsen af privatlivets fred.

10.

Udtalelsen er struktureret som følger: Afsnit II indledes med en kort oversigt over internetudbydernes praksis med hensyn til filtrering. I afsnit III redegøres der for EU's retlige ramme for netneutralitet. Afsnit IV indeholder en teknisk beskrivelse efterfulgt af en vurdering af konsekvenserne for privatlivets fred af de anvendte teknikker. I afsnit V analyseres de praktiske aspekter i forbindelse med anvendelsen af den nuværende EU-lovgivning om beskyttelse af privatlivets fred og databeskyttelse. Med udgangspunkt i denne analyse fremsættes der i afsnit VI en række forslag til videreudvikling af politikken, og de områder, hvor det kan være nødvendigt at præcisere og forbedre den retlige ramme, identificeres. Afsnit VII indeholder konklusionerne.

11.

Internetudbyderne har traditionelt kun overvåget og påvirket nettrafikken i begrænset omfang. Internetudbyderne har f.eks. anvendt inspektionsteknikker og begrænset informationsstrømme for at opretholde netsikkerheden, f.eks. for at bekæmpe virus. Internettet er således generelt vokset, samtidig med at dets neutralitet i vidt omfang er blevet beskyttet.

12.

I de senere år har nogle internetudbydere imidlertid ønsket at foretage inspektion af nettrafikken for at differentiere og anvende forskellige politikker på dette område, f.eks. for at spærre for specifikke tjenester eller skabe særlig adgang til andre. Dette kaldes undertiden »trafikstyringspolitikker« (9).

13.

Der er mange årsager til, at internetudbyderne ønsker at inspicere og differentiere trafikken. Trafikstyringspolitikker kan f.eks. anvendes af internetudbyderne til at forvalte trafikken i spidsbelastningsperioder, f.eks. ved at opprioritere nogle former for tidsfølsom trafik såsom videostreaming og nedprioritere andre former for trafik, der måske er mindre tidsfølsomme, f.eks. P2P (10). Internetudbyderne kan desuden på forskellig vis gøre brug af trafikstyring som en potentiel indtægtskilde. Internetudbyderne kan på den ene side pålægge indholdsudbyderne et gebyr, f.eks. de udbydere, hvis tjenester kræver anvendelse af større båndbredde, mod at opprioritere dem (og således stille større hastighed til rådighed). Der vil således være hurtigere adgang til en bestemt tjeneste, f.eks. video on demand, end til en anden tilsvarende tjeneste uden højhastighedstransmission. Abonnenter, der gerne vil betale højere (eller lavere) gebyrer for visse former for differentierede abonnementer, er ligeledes en indtægtskilde. Et abonnement uden adgang til P2P kan f.eks. være billigere end et abonnement med ubegrænset adgang.

14.

Internetudbyderne har deres egne grunde til at anvende trafikstyringspolitikker, men andre parter kan også have en interesse i, at internetudbyderne anvender trafikstyringspolitikker. Hvis internetudbyderne styrer deres net og foretager inspektion af indhold, der fremsendes via disse, vil de sandsynligvis øge deres muligheder for at spore påstået ulovlig anvendelse, f.eks. overtrædelse af ophavsrettigheder eller pornografisk brug.

15.

Denne udvikling har givet anledning til en debat om legitimiteten af denne form for praksis, herunder især om der skal indføres yderligere specifikke lovgivningsmæssige forpligtelser til beskyttelse af netneutraliteten.

16.

Der er en risiko for, at internetudbydernes stigende brug af trafikstyringspolitikker vil begrænse adgangen til oplysninger. Hvis denne praksis blev almindelig, og det ikke var muligt (eller meget dyrt) for brugerne at få adgang til hele internettet, som vi kender det, ville det bringe adgangen til oplysninger og brugerens mulighed for at sende og modtage det indhold, de ønsker, ved hjælp af applikationer eller tjenester efter eget valg, i fare. Et retligt bindende princip om netneutralitet kan løse dette problem.

17.

Dette bringer den tilsynsførende frem til aspekterne ved databeskyttelse og beskyttelse af privatlivets fred i forbindelse med internetudbydernes trafikstyring. Nærmere bestemt:

18.

Indtil 2009 omfattede EU's lovgivningsinstrumenter ikke bestemmelser, der udtrykkeligt forbød internetudbyderne at filtrere, spærre eller pålægge abonnenterne yderligere omkostninger for adgang til tjenester. De omfattede heller ikke bestemmelser, der udtrykkeligt anerkendte denne praksis. Situationen var forbundet med en vis usikkerhed.

19.

Det ændrede sig med telekommunikationspakken fra 2009, der indeholdt bestemmelser til fremme af internettets åbenhed. I artikel 8, stk. 4, i direktivet om fælles rammebestemmelser for elektroniske kommunikationsnet og -tjenester (»rammedirektivet«) pålægges tilsynsmyndighederne bl.a. at fremme slutbrugerens mulighed for at få adgang til indhold, applikationer eller tjenester efter eget valg (12). Denne bestemmelse gælder for nettet som helhed og ikke kun for de enkelte udbydere. I det nylige udkast til Rådets konklusioner understreges det ligeledes, at det er nødvendigt at bevare internettets åbenhed (13).

20.

Forsyningspligtdirektivet (14) indeholder mere konkrete forpligtelser. I artikel 20 og 21 stilles der krav om gennemsigtighed, for så vidt angår begrænsning af adgangen til og/eller anvendelsen af tjenester og applikationer. Der stilles ligeledes krav om et mindstemål af kvalitet.

21.

Med hensyn til internetudbydernes inspektion af den enkelte brugers kommunikation understreges det i betragtning 28 i direktivet om ændring af direktiverne om forsyningspligt og e-databeskyttelse (15), at »afhængigt af den anvendte teknologi og hvilken form for begrænsning der gør sig gældende, kan sådanne begrænsninger kræve brugerens samtykke,« jf. e-databeskyttelsesdirektivet. I betragtning 28 understreges således kravet om samtykke i henhold til artikel 5, stk. 1, i e-databeskyttelsesdirektivet til eventuelle begrænsninger baseret på overvågning af kommunikationsdata. Afsnit IV nedenfor indeholder en grundig analyse af anvendelsen af artikel 5, stk. 1, og den overordnede retlige ramme for databeskyttelse og beskyttelse af privatlivets fred.

22.

Endelig har de nationale tilsynsmyndigheder nu i henhold til artikel 22, stk. 3, i forsyningspligtdirektivet mulighed for at fastsætte mindstekrav til tjenesters kvalitet over for internetudbyderne for at hindre, at tjenesten forringes, og at trafikken over offentlige net hæmmes eller forsinkes.

23.

Der er således på EU-plan et bredt ønske om et åbent internet (se artikel 8, stk. 4, i rammedirektivet). Denne politiske målsætning for nettet som helhed er imidlertid ikke direkte forbundet med forbud og forpligtelser i forhold til de enkelte internetudbydere. En internetudbyder kan med andre ord kun anvende trafikstyringspolitikker, der udelukker adgang til visse applikationer, hvis slutbrugerne er fuldt ud informeret og frivilligt, specifikt og utvetydigt har givet deres samtykke.

24.

Situationen er forskellig i de enkelte medlemsstater. I nogle medlemsstater kan internetudbyderne under særlige betingelser anvende trafikstyringspolitikker, f.eks. for at spærre for applikationer, f.eks. VoIP (internettelefoni) (i forbindelse med i et billigere internetabonnement), såfremt brugeren har givet et frivilligt, specifikt, utvetydigt og informeret samtykke. Andre medlemsstater har valgt at styrke princippet om netneutralitet. I juli 2011 vedtog det nederlandske parlament f.eks. en lov, der generelt forbød udbydere at hindre eller forsinke internetapplikationer eller -tjenester (f.eks. VoIP), medmindre det var nødvendigt for at minimere virkningerne af overbelastning, af integritets- eller sikkerhedsgrunde, for at bekæmpe spam eller i medfør af en retsafgørelse (16).

25.

I sin meddelelse om netneutralitet (17) konkluderede Europa-Kommissionen, at situationen med hensyn til netneutralitet skal overvåges og analyseres yderligere. Kommissionens politik er blevet beskrevet som en politik, hvor man afventer og ser, hvad der sker, inden nye lovgivningstiltag overvejes.

26.

Det understreges i Kommissionens meddelelse, at alle foranstaltninger og yderligere lovgivningstiltag vil blive vurderet grundigt, for så vidt angår aspekterne ved databeskyttelse og beskyttelse af privatlivets fred. Rådet kommer i sit udkast til konklusioner ligeledes ind på en række relevante spørgsmål vedrørende beskyttelse af privatlivets fred og databeskyttelse (18).

27.

Spørgsmålet er, om en afventende politik er tilstrækkelig i relation til databeskyttelse og beskyttelse af privatlivets fred. Selv om den retlige ramme for databeskyttelse og beskyttelse af privatlivets fred indeholder en række beskyttelsesbestemmelser, navnlig baseret på princippet om kommunikationshemmelighed, er det tilsyneladende nødvendigt at overvåge overholdelsen nøje og udstikke retningslinjer for en række aspekter, der ikke er særlig klare. Det skal desuden overvejes, hvordan den retlige ramme kan præciseres og forbedres yderligere i lyset af den teknologiske udvikling. Hvis overvågningen viser, at markedet går i retning af massiv realtidsinspektion af kommunikation, og at der er problemer med overholdelse af lovgivningen, skal der træffes lovgivningsmæssige foranstaltninger. Der fremsættes en række konkrete forslag på dette område i afsnit VI.

28.

Inden der ses nærmere på dette spørgsmål, er det vigtigt at få et bedre overblik over, hvilke inspektionsteknikker internetudbyderne kan anvende til trafikstyring, og hvorledes de kan indvirke på princippet om netneutralitet. Konsekvenserne for databeskyttelsen og beskyttelsen af privatlivets fred af anvendelsen af disse teknikker er meget forskellige afhængigt af den/de anvendte teknikker. Det er nødvendigt at kende denne tekniske baggrund for at forstå og anvende den lovgivning om databeskyttelse, der er beskrevet i afsnit V, korrekt. Det skal imidlertid bemærkes, at der er tale om et komplekst område i konstant udvikling. Beskrivelsen nedenfor tilsigter således ikke at være udtømmende og helt opdateret, men skal blot give de tekniske oplysninger, der er nødvendige for at forstå den juridiske argumentation.

29.

Når en bruger overfører en meddelelse via internettet, opdeles de overførte oplysninger i pakker. Disse pakker overføres via internettet fra afsenderen til modtageren. Den enkelte pakke indeholder bl.a. oplysninger om kilde og bestemmelsessted. Udbyderne kan desuden pakke disse pakker i yderligere lag og protokoller (19), der anvendes til at styre de forskellige trafikstrømme på udbyderens net.

30.

For at vende tilbage til analogien med postbrevet kan anvendelsen af en protokol til overførsel via nettet sammenlignes med at lægge et postbrev i en kuvert med en destinationsadresse, som skal læses af posttjenesten, der herefter udbringer brevet. Posttjenesten kan anvende yderligere protokoller i dets interne forsendelsessystem for at håndtere alle de kuverter, der skal udbringes, med henblik på at sikre, at hver enkelt kuvert når frem til det bestemmelsessted, som afsenderen oprindeligt anførte. I analogi hermed består hver enkelt pakke af to dele. Den første del er IP-payloadet, der omfatter kommunikationens indhold, og som svarer til brevet. Det indeholder oplysninger, der udelukkende er adresseret til modtageren. Den anden del af pakken er IP-headeren, der bl.a. omfatter modtagerens og afsenderens adresse, og som svarer til kuverten. IP-headeren giver internetudbyderne og andre formidlere mulighed for at sende payloadet fra kildeadressen til destinationsadressen.

31.

Internetudbyderne og andre formidlere sikrer, at IP-pakkerne sendes over nettet ved hjælp af knudepunkter, som læser oplysningerne i IP-headeren, holder dem op imod routingtabellerne og herefter fremsender dem til det næste knudepunkt hen imod bestemmelsesstedet. Denne proces gentages på hele nettet ved anvendelse af en »best effort memoryless«-tilgang, da alle de pakker, der når frem til et knudepunkt, behandles neutralt. Når de er blevet fremsendt til det næste knudepunkt, er der ingen grund til at beholde yderligere oplysninger i routeren (20).

32.

Som beskrevet ovenfor læser internetudbyderne IP-headerne med henblik på at sende dem til deres bestemmelsessted. Som anført ovenfor kan analysen af trafikken (IP-headere og IP-payload) imidlertid foretages med andre formål for øje og ved hjælp af forskellige typer teknologier. Som led i den nye udvikling er internetudbyderne f.eks. begyndt at nedsætte hastigheden på visse applikationer, der anvendes af brugerne, f.eks. P2P, eller alternativt øge trafikhastigheden for visse tjenester som video on demand til premium-abonnenter. Selv om alle inspektionsteknikker teknisk set anvendes til at foretage pakkeinspektion, indebærer de forskellige grader af indgriben. Der er to hovedkategorier af inspektionsteknikker. Den ene er kun baseret på IP-headeren, mens den anden også er baseret på IP-payloadet.

Baseret på oplysningerne i IP-headeren. Inspektionen af en IP-pakkeheader afslører en række felter, der giver internetudbyderne mulighed for at anvende en række specifikke trafikstyringspolitikker. Disse teknikker, som udelukkende er baseret på inspektion af IP-headere, behandler data, der i princippet har til formål at dirigere oplysninger til et andet formål (f.eks. differentiering af trafik). Internetudbyderen kan forbinde IP-kildeadressen til en konkret abonnent og anvende en række specifikke politikker, f.eks. sende pakken gennem et hurtigere eller langsommere link. Internetudbyderen kan også bruge IP-destinationsadressen i forbindelse med andre specifikke politikker, f.eks. til at spærre eller filtrere adgangen til visse websteder.

Baseret på en mere dybdegående inspektion. Deep packet inspection giver internetudbyderen mulighed for at få adgang til oplysninger, der udelukkende er adresseret til modtageren af meddelelsen. For at vende tilbage til eksemplet med posttjenesten kan denne tilgang sammenlignes med at åbne kuverten og læse brevet for at foretage en analyse af kommunikationsindholdet (indkapslet i IP-pakkerne) med henblik på at anvende en specifik netpolitik. Der er forskellige inspektionsteknikker, som hver især indebærer forskellige risici for den registrerede.

33.

Inspektionsteknikker baseret på IP-headere, herunder navnlig teknikker baseret på pakkeinspektion, indebærer overvågning og filtrering af disse data og har alvorlige konsekvenser for beskyttelsen af privatlivets fred og databeskyttelsen. De kan også være i strid med retten til kommunikationshemmelighed.

34.

Det har i sig selv alvorlige konsekvenser for beskyttelsen af privatlivets fred og databeskyttelsen at læse den enkeltes kommunikation. Problemet er imidlertid mere alvorligt, da det vil få større konsekvenser for beskyttelsen af privatlivets fred afhængigt af formålet med overvågningen og opfangelsen. At inspicere kommunikation, f.eks. for at sikre, at systemet fungerer efter hensigten, er ikke det samme som at inspicere kommunikation for at anvende politikker, der kan få konsekvenser for den enkelte. Hvis trafik- og udvælgelsespolitikkerne udelukkende har til formål at undgå overbelastning af nettet, vil der normalt ikke være nogen større konsekvenser for beskyttelsen af privatlivets fred. Formålet med trafikstyringspolitikker kan imidlertid være at spærre for visse former for indhold eller påvirke kommunikationen, f.eks. gennem adfærdsbetinget reklame. I disse tilfælde er konsekvenserne mere alvorlige. Det bliver endnu mere kritisk, når man tænker på, at oplysninger af denne art ikke blot indsamles for en lille gruppe af individer, men snarere generelt for alle internetudbyderens kunder (25). Hvis alle internetudbydere begynder at anvende filtreringsteknikker, kan det indebære en generel overvågning af brugen af internettet. Med hensyn til den type af oplysninger, der behandles, er risiciene for privatlivets fred desuden helt klart store, da mange af de oplysninger, der indsamles, vil være meget følsomme, og da de indsamlede oplysninger er tilgængelige for internetudbyderne og for dem, der søger i oplysningerne. Disse oplysninger kan desuden også have meget stor kommerciel værdi. Det indebærer i sig selv en stor risiko for funktionsskred, hvor det oprindelige formål nemt kan udvikle sig til kommerciel eller anden udnyttelse af de indsamlede oplysninger.

35.

Overvågnings-, inspektions- og filtreringsteknikkerne skal anvendes korrekt i overensstemmelse med gældende bestemmelser om databeskyttelse og beskyttelse af privatlivets fred, hvori der er fastsat grænser for, hvad der er tilladt og under hvilke betingelser. Nedenfor gives en oversigt over gældende beskyttelsesbestemmelser i den nuværende EU-lovgivning om databeskyttelse og beskyttelse af privatlivets fred.

36.

EU's retlige ramme for databeskyttelse er teknologineutral. Den indeholder således ikke bestemmelser om specifikke inspektionsteknikker såsom de teknikker, der er beskrevet ovenfor. E-databeskyttelsesdirektivet indeholder bestemmelser om beskyttelse af privatlivets fred i forbindelse med tilvejebringelse af elektroniske kommunikationstjenester via offentlige kommunikationsnet (typisk internetadgang og telefoni) (26), og databeskyttelsesdirektivet regulerer databehandling generelt. I denne retlige ramme pålægges internetudbydere, der behandler og overvåger trafik- og kommunikationsdata, en række forskellige forpligtelser.

37.

I henhold til lovgivningen om databeskyttelse skal der være et passende retligt grundlag for behandling af personoplysninger, i denne forbindelse behandling af trafik- og kommunikationsdata. Ud over dette generelle krav kan der i visse tilfælde være specifikke krav.

38.

I dette tilfælde er den type personoplysninger, der behandles af udbyderne, trafikdata og kommunikationsindhold. Kommunikationsindholdet og trafikdataene er begge beskyttet af retten til brevhemmelighed, der er garanteret i artikel 8 i den europæiske menneskerettighedskonvention og artikel 7 og 8 i chartret. I henhold til artikel 5, stk. 1, i e-databeskyttelsesdirektivet med titlen »Kommunikationshemmelighed« skal medlemsstaterne således sikre kommunikationshemmeligheden ved brug af offentlige kommunikationsnet og offentligt tilgængelige elektroniske kommunikationstjenester, både for så vidt angår selve kommunikationen og de dermed forbundne trafikdata. Det fastslås samtidig i artikel 5, stk. 1, i e-databeskyttelsesdirektivet, at internetudbydere kan få tilladelse til at behandle trafik- og indholdsdata under visse omstændigheder med brugernes samtykke. Det sker ved indførelse af et forbud mod »aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1.» Der redegøres nærmere herfor nedenfor.

39.

Ud over de pågældende brugeres samtykke anføres der andre grundlag i e-databeskyttelsesdirektivet, der kan legitimere tjenesteudbydernes behandling af trafik- og kommunikationsdata. De relevante retlige grundlag for behandling i dette tilfælde er i) levering af tjenesten, ii) beskyttelse af tjenesten og iii) minimering af overbelastningen. En række andre mulige grundlag for legitimering af styringspolitikker baseret på trafik- eller kommunikationsdata drøftes nedenfor under iv).

40.

Som anført i afsnit IV behandler internetudbyderne oplysningerne i IP-headere med henblik på at sende den enkelte IP-pakke til bestemmelsesstedet. I henhold til artikel 6, stk. 1 og stk. 2, i e-databeskyttelsesdirektivet er det tilladt at behandle trafikdata med henblik på overførsel af kommunikation. Internetudbyderne kan således behandle oplysninger, der er nødvendige for levering af tjenesten.

41.

I henhold til artikel 4 i e-databeskyttelsesdirektivet skal en internetudbyder træffe passende foranstaltninger for at beskytte sine tjenester. Filtrering af virus kan indebære behandling af IP-headere og IP-payload. I henhold til artikel 4 i e-databeskyttelsesdirektivet skal internetudbyderne sikre netsikkerheden, og denne bestemmelse legimiterer således inspektionsteknikker baseret på IP-headere og indhold, der udelukkende har dette ene formål. Det betyder i praksis at internetudbyderne inden for rammerne af proportionalitetsprincippet (se afsnit V.3) kan overvåge og filtrere kommunikationsdata med henblik på at bekæmpe virus og sikre netsikkerheden generelt (27).

42.

Rationalet bag dette retlige grundlag er anført i betragtning 22 i e-databeskyttelsesdirektivet, hvori der redegøres for forbuddet mod lagring af kommunikationsdata i artikel 5, stk. 1. Forbuddet omfatter ikke enhver automatisk, midlertidig og kortvarig lagring, når blot lagringen udelukkende sker med henblik på gennemførelse af transmissionen, og oplysningerne ikke lagres længere end det tidsrum, der er nødvendigt for transmissionen og af hensyn til trafikstyringen, og kommunikationshemmeligheden fortsat er garanteret.

43.

I tilfælde af overbelastning er spørgsmålet, om internetudbyderne må overveje at droppe eller forsinke vilkårlig trafik eller snarere forsinke kommunikation, der ikke er tidsfølsom, f.eks. P2P eller e-mailtrafik, således at f.eks. telefontrafik kan passere i en acceptabel kvalitet.

44.

Da det er i samfundets overordnede interesse at sikre et brugbart kommunikationsnet, kan internetudbyderne anføre, at prioritering eller neddrosling af trafik for at forhindre overbelastning er en legitim foranstaltning og en forudsætning for levering af en tilstrækkelig tjeneste. I disse tilfælde og med dette formål er der således et generelt retligt grundlag for behandling af personoplysninger, og det er således ikke nødvendigt at indhente brugernes specifikke samtykke.

45.

Muligheden for at gribe ind på denne måde er imidlertid ikke ubegrænset. Hvis internetudbyderne ønsker at inspicere meddelelser, skal de af fortrolighedshensyn og i fuld overensstemmelse med proportionalitetsprincippet anvende den mindst intrusive tilgængelige metode til opfyldelse af formålet (og således undgå deep packet inspection) og kun så længe som nødvendigt for at forhindre overbelastning.

46.

Internetudbyderne kan også have et ønske om at inspicere trafik- og indholdsdata til andre formål, f.eks. for at tilbyde særlige abonnementer (f.eks. et abonnement, der begrænser adgangen til P2P, eller et abonnement, der øger hastigheden for visse applikationer). Inspektion og yderligere brug af trafik- og kommunikationsdata til andre formål end at levere eller beskytte tjenesten og forhindre overbelastning er kun tilladt under overholdelse af strenge betingelser i overensstemmelse med den retlige ramme.

47.

Den retlige ramme er primært artikel 5, stk. 1, i e-databeskyttelsesdirektivet, der omfatter et forbud mod aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges, uden at de pågældende brugere har indvilget heri. Det betyder i praksis, at de brugere, der er involveret i en kommunikation, skal give samtykke af hensyn til legitimeringen af behandlingen af trafik- og kommunikationsdata i henhold til artikel 5, stk. 1.

48.

Som forklaret ovenfor er anvendelsen af inspektions- og filtreringsteknikker enten baseret på IP-headere, der er trafikdata, eller på deep packet inspection, der også omfatter IP-payload og er kommunikationsdata. Anvendelsen af disse teknikker til andre formål end levering af tjenesten eller beskyttelse af sikkerheden er derfor i princippet forbudt, medmindre der er et legitimt grundlag for behandlingen som f.eks. samtykke (artikel 5, stk. 1). Artikel 5, stk. 1, finder f.eks. anvendelse, når en internetudbyder beslutter at tilbyde kunder en reduceret takst for internetadgang, hvis de pågældende kunder indvilger i at modtage adfærdsbaserede reklamer, og der i denne forbindelse foretages deep packet inspection og således gøres brug af kommunikationsdata. I henhold til artikel 5, stk. 1, skal der således indhentes et frit givet, specifikt og informeret samtykke.

49.

Artikel 6 i e-databeskyttelsesdirektivet med titlen »Trafikdata« indeholder en række specifikke bestemmelser om trafikdata. Det anføres navnlig, at internetudbyderne kan behandle trafikdata med henblik på levering af tillægstjenester (28), hvis abonnenten giver sit samtykke hertil. I denne bestemmelse præciseres kravet om samtykke i artikel 5, stk. 1, i forbindelse med trafikdata.

50.

I praksis er det ikke altid nemt at vurdere, i hvilke tilfælde samtykke f.eks. er påkrævet, og i hvilke tilfælde hensynet til netsikkerheden kan legitimere behandlingen, navnlig hvis inspektionsteknikkerne har to formål (f.eks. at undgå overbelastning og levere tillægstjenester). Det skal understreges, at indhentning af samtykke ikke kan betragtes som en nem og systematisk udvej, der sikrer overholdelsen af principperne om databeskyttelse.

51.

Der er kun få erfaringer med anvendelsen af lovgivningen, herunder navnlig med de forskellige aspekter, der er blevet redegjort for ovenfor. Det er meget vigtigt at udstikke yderligere retningslinjer på dette område, hvilket der redegøres nærmere for i afsnit VI. Der er desuden en række yderligere relevante aspekter vedrørende indhentning af samtykke, som også kræver særlig opmærksomhed. Disse aspekter beskrives nedenfor.

52.

Det samtykke, der kræves i henhold til artikel 5 og 6 i e-databeskyttelsesdirektivet, har samme betydning som den registreredes samtykke, således som defineret og yderligere fastlagt i direktiv 95/46/EF (29). I henhold til artikel 2, litra h), i e-databeskyttelsesdirektivet er »den registreredes samtykke«»enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.« Artikel 29-Gruppen har behandlet spørgsmålet om samtykke og betingelserne for dets gyldighed i sin udtalelse 15/2011 om definitionen af samtykke (30).

53.

Internetudbydere, der skal indhente samtykke forud for inspektion og filtrering af trafik- og indholdsdata, skal derfor sikre, at samtykket er frit givet og specifikt, og det skal være en fuldt informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at personoplysninger, der vedrører den pågældende selv, gøres til genstand for behandling. Dette understreges i betragtning 17 i e-databeskyttelsesdirektivet »(…) Samtykke kan gives ved ethvert passende middel, der muliggør en frit givet, specifik og informeret angivelse af brugerens ønsker, herunder ved at afkrydse en rubrik, når man besøger et internetwebsted.« Nedenfor anføres en række eksempler på, hvad der forstås ved et frivilligt, specifikt og informeret samtykke i denne forbindelse.

54.

Frit givet samtykke. Brugerne bør ikke underlægges begrænsninger, der knytter samtykke til det internetabonnement, de ønsker at tegne.

55.

Den enkelte brugers samtykke ville ikke være frit givet, hvis brugerne var tvunget til at give samtykke til overvågning af deres kommunikationsdata for at få adgang til en kommunikationstjeneste. Det ville navnlig være tilfældet, hvis alle udbydere på et givent marked gjorde brug af trafikstyring til andre formål end beskyttelse af netsikkerheden. Den eneste mulighed ville da være ikke at tegne et internetabonnement overhovedet. Da internettet er blevet et meget vigtigt redskab både til arbejdsformål og fritidsformål, er det ikke et reelt alternativ ikke at tegne et internetabonnement. De enkelte brugere ville således ikke have et reelt valg, dvs. de ville ikke have mulighed for at give frit samtykke (31).

56.

Det er den tilsynsførendes opfattelse, at Kommissionen og de nationale myndigheder helt klart er nødt til at overvåge markedet, navnlig for at vurdere, om dette scenarie — dvs. udbydernes sammenkobling af teletjenester og overvågning af kommunikation — er ved at blive et generelt fænomen. Udbyderne skal tilbyde alternative tjenester, herunder internetabonnement uden trafikstyring, uden yderligere omkostninger for den enkelte bruger.

57.

Specifikt samtykke. Kravet om, at samtykket skal være specifikt, indebærer i denne forbindelse, at internetudbyderne skal indhente samtykke til overvågning af trafik- og kommunikationsdata på en klar og præcis måde. Artikel 29-Gruppen understreger følgende: »For at være specifikt skal samtykket være forståeligt. Der skal således klart og præcist henvises til databehandlingens omfang og konsekvenser. Samtykket kan ikke finde anvendelse på et uafgrænset sæt behandlingsaktiviteter. Det betyder med andre ord, at den sammenhæng, hvori samtykket finder anvendelse, er begrænset.« Det indhentede samtykke er sandsynligvis ikke specifikt, hvis samtykket til inspektion af trafik- og kommunikationsdata er bundet til et generelt samtykke om at abonnere på tjenesten. Samtykkets specifikke karakter kræver derimod, at der anvendes særlige midler til at indhente samtykke, f.eks. en formular vedrørende specifikt samtykke eller en helt særskilt rubrik vedrørende overvågning (i stedet for at inkludere oplysningerne i de generelle aftalebetingelser og stille krav om undertegnelse af aftalen, som den foreligger).

58.

Informeret samtykke. Et samtykke skal være informeret for at være gyldigt. Kravet om forudgående tilvejebringelse af de fornødne oplysninger har ikke kun hjemmel i e-databeskyttelsesdirektivet og databeskyttelsesdirektivet, men også i artikel 20 og 21 i forsyningspligtdirektivet som ændret ved direktiv 2009/136/EF (32). Kravet om oplysninger og samtykke bekræftes udtrykkeligt i betragtning 28 i direktiv 2009/136/EF: »… udbyderne af tjenesten og/eller nettet (bør) under alle omstændigheder give brugerne fuldstændige oplysninger om eventuelle begrænsninger i brugen af elektroniske kommunikationstjenester. Efter udbyderens eget valg bør sådanne oplysninger beskrive den pågældende type indhold, applikation eller tjeneste eller individuelle applikationer og tjenester eller begge dele.« Herefter præciseres følgende: »Afhængigt af den anvendte teknologi og hvilken form for begrænsning der gør sig gældende, kan sådanne begrænsninger kræve brugerens samtykke, jf. direktiv 2002/58/EF.«

59.

I lyset af disse overvågningsteknikkers komplekse karakter er en af de største udfordringer i forbindelse med indhentning af gyldigt samtykke at give brugerne relevant forhåndsinformation. Forbrugerne skal informeres, således at de kan forstå, hvilke oplysninger der behandles, hvordan de anvendes, hvilken indvirkning de har på brugeren, og i hvilket omfang der sker en krænkelse af privatlivets fred ved brug af disse teknikker.

60.

Informationen skal således ikke blot være klar og forståelig for almindelige forbrugere — den skal også være synlig, så de ikke overser den.

61.

Viljetilkendegivelse. I henhold til gældende lovgivning kræver samtykke også, at forbrugeren udfører en bekræftende handling for at tilkendegive sin accept. Stiltiende samtykke opfylder ikke dette krav. Dette understreger også behovet for at anvende særlige midler til at indhente samtykke, der giver internetudbyderne mulighed for at inspicere trafik- og kommunikationsdata med henblik på trafikstyring. I sin nylige udtalelse om samtykke understregede Artikel 29-Gruppen, at der er et krav om samtykkets granularitet med hensyn til databehandlingens forskellige elementer.

62.

Det kunne anføres, at hvis parterne i kommunikationen ikke ønsker, at internetudbyderne opfanger kommunikationen til trafikstyringsformål, kan de altid kryptere kommunikationen. Denne tilgang er nyttig i praktisk henseende, men den kræver en indsats og teknisk viden, og den kan ikke sidestilles med et frit, specifikt og informeret samtykke. Anvendelsen af krypteringsteknikker sikrer ikke fuld kommunikationshemmelighed, da internetudbyderen som minimum vil kunne få adgang til IP-headeroplysningerne for at sende kommunikationen, og udbyderen vil også kunne foretage statistiske analyser.

63.

I henhold til artikel 5, stk. 1, i e-databeskyttelsesdirektivet skal der indhentes samtykke fra de pågældende brugere. I mange tilfælde vil brugeren være den samme person som abonnenten, og der kan således indhentes samtykke på tidspunktet for tegning af abonnement på tjenesten. I andre tilfælde, herunder hvor der er mere end en person involveret, skal brugernes samtykke indhentes særskilt. Det kan rejse en række praktiske spørgsmål, der behandles nærmere nedenfor.

64.

I henhold til artikel 5, stk. 1, kan samtykke anvendes til legitimering af behandlingen. Der skal indhentes samtykke fra alle brugere, der er involveret i en kommunikation. Begrundelsen er, at en kommunikation normalt berører mindst to personer (afsenderen og modtageren). Hvis en internetudbyder f.eks. scanner IP-payloadet i en e-mail, inspicerer denne oplysninger, der vedrører både afsenderen og modtageren af e-mailen.

65.

I forbindelse med overvågning og opfangelse af trafik- og kommunikationsdata (f.eks. webtrafik) skal internetudbyderne blot indhente brugerens, dvs. abonnentens samtykke. Dette skyldes, at den anden part i kommunikationen, i dette tilfælde et besøgt websted, ikke betragtes som den »pågældende bruger« (33). Situationen kan imidlertid være mere kompleks, når en sådan overvågning involverer inspektion af indholdet af e-mails og således personoplysninger om afsenderen og modtageren af e-mailen, der ikke begge har indgået en aftale med den samme internetudbyder. I disse tilfælde vil internetudbyderen behandle personoplysninger (navn, e-mailadresse og potentielt følsomme indholdsdata) vedrørende personer, der ikke er deres kunder. Rent praktisk kan det være vanskeligere at indhente samtykke fra disse personer, da det skal ske med udgangspunkt i de enkelte sager og ikke ved indgåelse af aftalen om teletjenesten. Det vil heller ikke være realistisk at antage, at abonnentens samtykke også blev givet på vegne af andre brugere, hvilket ofte er tilfældet i private husholdninger.

66.

I denne forbindelse mener den tilsynsførende, at internetudbyderne skal overholde eksisterende lovkrav og gennemføre politikker, der ikke involverer overvågning og inspektion af oplysninger. Det er navnlig meget vigtigt i forbindelse med kommunikationstjenester, der involverer tredjeparter, som ikke har mulighed for at give samtykke til overvågningen, navnlig af sendte og modtagne e-mails (dette gælder ikke overvågning til sikkerhedsformål).

67.

Det skal samtidig bemærkes, at den nationale lovgivning til gennemførelse af artikel 5, stk. 1, i e-databeskyttelsesdirektivet ikke altid er tilstrækkelig på dette punkt, og at der generelt synes at være behov for en afklaring af kravene i e-databeskyttelsesdirektivet på dette område. Den tilsynsførende opfordrer derfor Kommissionen til at være mere aktiv på dette område og tage et initiativ, gerne med input fra tilsynsmyndighederne i Artikel 29-Gruppen og andre berørte parter. Om nødvendigt kan der indbringes en sag for Domstolen for at skabe fuld klarhed over betydningen og konsekvenserne af artikel 5, stk. 1.

68.

I artikel 6, litra c), i databeskyttelsesdirektivet fastlægges proportionalitetsprincippet (34), der finder anvendelse på internetudbydere, da de er registeransvarlige i henhold til dette direktiv, når de overvåger og filtrerer data.

69.

I henhold til dette princip må personoplysninger kun behandles, når de er »relevante og tilstrækkelige og (må) ikke omfatte mere end, hvad der kræves til opfyldelse af de formål, hvortil de indsamles, og til de formål, hvortil de senere behandles«. Anvendelsen af dette princip gør det nødvendigt at vurdere, om de anvendte midler til databehandlingen og den anvendte type personoplysninger er passende og med rimelig sandsynlighed vil opfylde formålet. Hvis det konkluderes, at der indsamles flere oplysninger end nødvendigt, er princippet ikke blevet overholdt.

70.

Det skal vurderes fra sag til sag, om de forskellige former for inspektionsteknikker er i overensstemmelse med proportionalitetsprincippet. Det er ikke muligt at drage konklusioner ud fra en generel betragtning. Det er imidlertid muligt at pege på forskellige konkrete aspekter, som skal evalueres i forbindelse med vurderingen af overensstemmelsen med proportionalitetsprincippet.

71.

Mængden af behandlede oplysninger. Overvågning af internetudbydernes kunders kommunikation på de mest dybdegående niveauer vil i de fleste tilfælde være for omfattende og ulovlig. Det forhold, at det kan ske ved anvendelse af midler, der ikke er åbenlyse for de enkelte brugere, og at det kan være vanskeligt for dem at forstå, hvad der sker, svækker beskyttelsen af privatlivets fred. Internetudbyderne skal vurdere, hvilke mindre intrusive midler der er tilgængelige for at opnå det ønskede resultat. Kan det ønskede resultat f.eks. opnås ved overvågning af IP-headere i stedet for deep packet inspection? Selv om der kun anvendes deep packet inspection, er det måske muligt at tilvejebringe de nødvendige oplysninger ved blot at identificere visse protokoller. Det kan også være relevant at anvende databeskyttelsesforanstaltninger, herunder pseudoanonymisering. Resultatet af vurderingen skal bekræfte, at databehandlingen står i rimeligt forhold til formålet.

72.

Behandlingens konsekvenser (direkte forbundet med formålet). Det er ikke i overensstemmelse med proportionalitetsprincippet, hvis internetudbyderne gør brug af trafikstyringspolitikker, der udelukker adgangen til visse tjenester, uden at brugerne får rimelig andel i de fordele, som er forbundet hermed.

73.

Det er også vigtigt at understrege, at proportionalitetsprincippet fortsat finder anvendelse, selv om andre bindende lovkrav er blevet opfyldt, herunder selv om en internetudbyder f.eks. har indhentet samtykke fra den enkelte bruger til at overvåge indhold. Den databehandling, der foretages i forbindelse med overvågning af indhold, kan således stadig være ulovlig, hvis den er i strid med det grundlæggende princip om proportionalitet.

74.

Artikel 4 i e-databeskyttelsesdirektivet pålægger udtrykkeligt internetudbyderne at træffe tekniske og organisatoriske foranstaltninger for at sikre, i) at kun autoriserede personer kan få adgang til personoplysninger til lovlige formål, ii) beskyttelsen af personoplysninger mod hændelig eller ulovlig behandling og iii) gennemførelsen af en sikkerhedspolitik for behandling af personoplysninger. Direktivet giver også de nationale kompetente myndigheder mulighed for at kontrollere disse foranstaltninger.

75.

I henhold til artikel 4, stk. 2 og 3, i e-databeskyttelsesdirektivet skal internetudbyderne i tilfælde af et brud desuden underrette de kompetente nationale myndigheder. De skal ligeledes underrette de berørte abonnenter, hvis bruddet kan få uheldige konsekvenser for dem.

76.

Behandling af personoplysninger i kommunikation til trafikstyringsformål kan give internetudbyderne adgang til data, som er endnu mere følsomme end trafikdata.

77.

Internetudbydernes sikkerhedspolitikker skal derfor omfatte specifikke beskyttelsesforanstaltninger for at sikre, at de trufne foranstaltninger er tilstrækkelige til at imødegå disse risici. De nationale kompetente myndigheder, der kontrollerer disse foranstaltninger, skal samtidig stille strenge krav. Endelig skal det sikres, at der indføres effektive indberetningsprocedurer for at informere registrerede, hvis oplysninger er blevet kompromitteret, og som derfor kan blive negativt berørt.

78.

Inspektionsteknikker baseret på trafikdata og inspektion af IP-payload, dvs. kommunikationsindhold, kan afsløre brugernes internetaktivitet: besøgte websteder og aktiviteter på disse steder, anvendelse af P2P-applikationer, downloadede filer, sendte og modtagne e-mails, afsender, emne og udtryk osv. Internetudbyderne kan have et ønske om at anvende disse oplysninger til at opprioritere nogle former for kommunikation, f.eks. video on demand. De ønsker måske at anvende dem til at identificere virus eller opbygge profiler med henblik på adfærdsbetinget reklame. Disse foranstaltninger er en krænkelse af retten til kommunikationshemmelighed.

79.

Afhængigt af de anvendte teknikker og sagens særlige karakter kan det få større konsekvenser for beskyttelsen af privatlivets fred. Jo dybere opfangelsen og analysen af de indsamlede oplysninger er, desto mere vil disse teknikker være i strid med princippet om kommunikationshemmelighed. Baggrunden for overvågningen og karakteren af de indførte databeskyttelsesforanstaltninger er også af afgørende betydning for vurderingen af, i hvilket omfang retten til beskyttelse af privatlivets fred og personoplysninger er blevet krænket. Spærring og overvågning med henblik på bekæmpelse af skadelig software med strenge begrænsninger, for så vidt angår lagring og anvendelse af de inspicerede data, kan ikke sammenlignes med situationer, hvor oplysningerne logges for at opbygge profiler med henblik på adfærdsbetinget reklame.

80.

Den tilsynsførende mener i princippet, at den eksisterende EU-lovgivning om beskyttelse af privatlivets fred og databeskyttelse i tilstrækkelig grad garanterer, at retten til fortrolighed opretholdes, og at beskyttelsen af privatlivets fred og personoplysninger generelt ikke bringes i fare (35). Internetudbyderne bør ikke anvende sådanne mekanismer, medmindre de har anvendt lovgivningen korrekt. Internetudbyderne bør navnlig tage hensyn til og respektere følgende relevante elementer i lovgivningen:

81.

Den nuværende retlige ramme omfatter en række relevante betingelser og beskyttelsesbestemmelser, men der skal navnlig fokus på, om internetudbyderne rent faktisk opfylder lovkravene, om de giver forbrugerne den nødvendige information, således at de kan træffe meningsfulde beslutninger, og om de overholder proportionalitetsprincippet. På nationalt niveau omfatter de kompetente myndigheder på dette område de nationale telekommunikationsmyndigheder og de nationale databeskyttelsesmyndigheder. På EU-plan omfatter de relevante EU-organer BEREC. Den tilsynsførende kan også spille en rolle i denne forbindelse.

82.

I lyset af den relativt nye mulighed for massiv realtidsinspektion af kommunikation er det nødvendigt at foretage en grundigere analyse og afklare en række aspekter vedrørende anvendelsen af den retlige ramme, der er blevet behandlet i denne udtalelse, ud over at overvåge graden af overholdelse. En række retningslinjer er af særlig relevans på flere områder:

83.

Da dette område henhører under både medlemsstaternes og EU's kompetence, mener den tilsynsførende, at det er afgørende at udveksle synspunkter og erfaringer for at finde frem til en harmoniseret tilgang på ovennævnte område. Den tilsynsførende foreslår i denne forbindelse, at der etableres en platform eller nedsættes en ekspertgruppe med deltagelse af repræsentanter for de nationale tilsynsmyndigheder, Artikel 29-Arbejdsgruppen, den tilsynsførende og BEREC. Det første mål for denne platform skal være at udarbejde retningslinjer, som minimum vedrørende ovennævnte aspekter, for at sikre en solid og harmoniseret tilgang og lige vilkår. Den tilsynsførende opfordrer Kommissionen til at stå for dette initiativ.

84.

Sidst, men ikke mindst, skal de nationale myndigheder samt deres modparter i EU, herunder BEREC og Europa-Kommissionen, holde nøje øje med markedsudviklingen på dette område. I relation til databeskyttelse og beskyttelse af privatlivets fred er et scenarie, hvor internetudbyderne rutinemæssigt anvender trafikstyringspolitikker og tilbyder abonnementer baseret på filtrering af adgang til indhold og applikationer, yderst problematisk. Hvis dette sker en dag, skal der indføres lovgivning for at rette op på denne situation.

85.

Internetudbydernes stigende brug af overvågning og inspektionsteknikker indvirker på netneutraliteten og kommunikationshemmeligheden. Dette rejser alvorlige problemer i relation til beskyttelsen af brugernes privatliv og personoplysninger.

86.

Selv om Kommissionen kortfattet berører disse problemer i sin meddelelse om det åbne internet og netneutraliteten i Europa, er det den tilsynsførendes opfattelse, at der bør gøres en større indsats for at nå frem til en tilfredsstillende politik om den fremtidige udvikling. Den tilsynsførende har derfor med denne udtalelse bidraget til den igangværende politiske debat om netneutralitet, navnlig aspekter vedrørende databeskyttelse og beskyttelse af privatlivets fred.

87.

Den tilsynsførende mener, at de nationale myndigheder og BEREC skal overvåge markedssituationen. Denne overvågning skal give et klart overblik over, om markedet går i retning af massiv realtidsinspektion af kommunikation, og af problemer i forbindelse med overholdelse af lovgivningen.

88.

Overvågningen af markedet bør ledsages af en yderligere analyse af konsekvenserne af ny praksis i relation til databeskyttelsen og beskyttelsen af privatlivets fred på internettet. I denne udtalelse redegøres der for en række områder, som bør afklares. Selv om EU-agenturer og -organer som BEREC, Artikel 29-Gruppen og den tilsynsførende har et godt udgangspunkt for at afklare betingelserne for anvendelse af lovgivningen, mener den tilsynsførende, at det er Kommissionens opgave at koordinere og styre debatten. Med henblik på at sikre denne afklaring opfordrer den tilsynsførende derfor Kommissionen til at tage et initiativ og inddrage alle disse berørte parter i en platform eller en arbejdsgruppe. Der skal bl.a. foretages en yderligere analyse af følgende aspekter:

89.

Afhængigt af resultaterne kan det blive nødvendigt at træffe lovgivningsmæssige foranstaltninger. I så fald skal Kommissionen forelægge forslag til politiske foranstaltninger rettet mod at styrke den retlige ramme og sikre retssikkerheden. De nye foranstaltninger skal afklare de praktiske konsekvenser forbundet med princippet om netneutralitet, hvilket allerede er sket i nogle medlemsstater, og sikre, at brugerne kan træffe et reelt valg, navnlig ved at tvinge internetudbyderne til at tilbyde uovervågede forbindelser.

8.2.2012   

DA

Den Europæiske Unions Tidende

C 34/18

1.

Den 4. maj 2011 offentliggjorde Kommissionen en meddelelse om migration (3) (»meddelelsen«). Den tilsynsførende fremlægger hermed sin udtalelse på eget initiativ efter artikel 41 i forordning (EF) nr. 45/2001.

2.

Den tilsynsførende er ikke blevet hørt før vedtagelsen af meddelelsen. Det er beklageligt, da bemærkninger fremlagt på et tidligere tidspunkt kunne have besvaret nogle af de spørgsmål, der er beskrevet i udtalelsen.

3.

Formålet med meddelelsen er at sætte nylige og fremtidige politiske forslag ind i en ramme, hvor der er taget hensyn til alle relevante aspekter af migration, og at undgå »en kortsigtet løsning, som begrænser sig til grænsekontrol uden at tage højde for problemer af mere langsigtet karakter« (4). Den er skrevet som reaktion på de aktuelle begivenheder i Nordafrika, især konflikten i Libyen.

4.

Emnerne for meddelelsen er derfor humanitær bistand, grænseforvaltning, visa, asyl samt det økonomiske behov for indvandring og integration. Der henvises til en række lovforslag, hvoraf nogle er nye, mens andre allerede er fremlagt. Mange af forslagene handler om grænseforvaltning, som er indgående behandlet i meddelelsen. Nogle af disse ville medføre behandling af personoplysninger i stort omfang.

5.

Meddelelsen er kun den første i en række af meddelelser og forslag, der forventes offentliggjort i nær fremtid, og som hver især handler om bestemte aspekter, der er nævnt i denne meddelelse. I den sammenhæng fremhæver Det Europæiske Råd følgende i sine konklusioner fra den 23.-24. juni 2011 (5): »Denne indsats vil også blive styrket ved, at arbejdet med »intelligente grænser« hurtigt fremskyndes, så det sikres, at nye teknologier udnyttes til at håndtere udfordringerne i forbindelse med grænsekontrol. Der bør navnlig indføres et ind- og udrejsesystem og et program for registrerede rejsende. Det Europæiske Råd udtrykker tilfredshed med den enighed, der er opnået vedrørende agenturet for den operationelle forvaltning af store it-systemer inden for området med frihed, sikkerhed og retfærdighed«.

6.

Selv om databeskyttelse ikke er hovedemnet i meddelelsen, nævnes der flere initiativer og forslag vedrørende grænseforvaltning såsom ind- og udrejsesystemet og programmet for registrerede rejsende, som vil få stor indvirkning på den grundlæggende ret til databeskyttelse. I den sammenhæng understreges det i meddelelsen, at grænsekontrol yder et stort bidrag til bekæmpelsen af kriminalitet, og der henvises til strategien for EU's indre sikkerhed, som Kommissionen offentliggjorde i 2010 (6).

7.

Mange af forslagene og initiativerne vil blive uddybet på et senere tidspunkt. Denne meddelelse giver derfor mulighed for at fremsætte bemærkninger til initiativerne på et tidligt tidspunkt. For de initiativer, der allerede er fremsat forslag til, f.eks. forslaget til forordning om ændring af Frontexforordningen (7), giver denne meddelelse mulighed for at gentage nogle af de vigtigste bemærkninger, som er fremsat ved tidligere lejligheder inden den endelige vedtagelse i Rådet og Europa-Parlamentet.

8.

Formålet med udtalelsen er ikke at analysere alle politikområder og forslag i meddelelsen, men at:

9.

Udtalelsen er derfor opdelt i to hoveddele. Første del er bemærkninger til den generelle tilgang i meddelelsen og indeholder horisontale overvejelser om meddelelsen såsom behovet for evaluering og følgerne af de grundlæggende rettigheder for udformningen af it-systemer. Anden del indeholder bemærkninger til specifikke forslag og initiativer (8).

10.

Den tilsynsførende tilslutter sig meddelelsens formål om at undgå »en kortsigtet løsning, som begrænser sig til grænsekontrol uden at tage højde for problemer af mere langsigtet karakter« (9). En omfattende, effektiv tilgang til migration kan ikke kun bestå af grænsekontrol, men skal også omfatte andre aspekter.

11.

En sådan omfattende tilgang skal overholde indvandreres og flygtninges grundlægende rettigheder, også deres ret til databeskyttelse. Dette er så meget desto vigtigere, da disse grupper ofte befinder sig i en sårbar situation.

12.

I denne sammenhæng nævnes det i meddelelsen, at EU's mål derfor må være på den ene side at fastholde et højt sikkerhedsniveau og på den anden side at gøre grænsepassagen lettere for »de mennesker, der har tilladelse hertil, med fuld respekt for deres grundlæggende rettigheder« (10). Denne formulering kunne give indtryk af, at de grundlæggende rettigheder for personer, der af forskellige grunde ikke bør have indrejsetilladelse, ikke behøver at blive respekteret. Det er efter den tilsynsførendes mening indlysende, at deres rettigheder ikke nødvendigvis omfatter retten til at bosætte sig i EU, i hvilket tilfælde der skal træffes hensigtsmæssige foranstaltninger såsom tilbagesendelsesforanstaltninger, men altid i respekt for de grundlæggende rettigheder.

13.

I henhold til meddelelsen mener Kommissionen, at grænseforvaltningen skal følge en tilgang, der er kraftigt baseret på brug af teknologi. Den ønsker bl.a. øget overvågning ved grænsen (se forslaget til et europæisk grænseovervågningssystem (Eurosur)) (11). Det skal også undersøges, om det er muligt at indføre nye, omfattende it-systemer til behandling af oplysninger om rejsende (et ind- og udrejsesystem og programmet for registrerede rejsende) (12). Endelig skal de eksisterende systemer udvides til også at omfatte nye brugere (f.eks. Eurodac) (13). Dette fokus på teknologi afspejler en generel tendens i de senere år.

14.

Den tilsynsførende har ved mange lejligheder understreget, at eksisterende instrumenter skal evalueres, før der stilles forslag til nye (14). I den sammenhæng minder han om Den Europæiske Menneskerettighedsdomstols (15) og EU-Domstolens (16) retspraksis og påpeger, at indblanding i privatlivets fred skal opfylde kravet om, at dette er »nødvendigt i et demokratisk samfund«, og overholde proportionalitetsprincippet. Begrebet nødvendighed indebærer en strengere bevisbyrde, end hvis det blot drejer sig om »nyttig« (17). Dette betyder, at alle relevante forslag skal ledsages af et klart bevis for deres nødvendighed og proportionalitet.

15.

Et sådant bevis skal være i form af en konsekvensanalyse (18) af følgerne for databeskyttelse baseret på tilstrækkelig dokumentation (19). Selektiv brug af statistik og skøn er ikke nok. Den tilsynsførende er klar over, at det er vanskeligt at indhente oplysninger om f.eks. ulovlig indvandring, men i disse konsekvensanalyser skal der også gøres rede for alternative løsninger på problemerne for at mindske indvirkningen på grundlæggende rettighederfntype (20). Alene det forhold, at teknologiske løsninger er mulige, betyder ikke, at de er nødvendige og proportionale.

16.

Hvis en analyse fører til den konklusion, at der er behov for nye, omfattende it-systemer, skal der tages hensyn til begrebet indbygget databeskyttelse (privacy by design) i udformningen af dem. Registeransvarlige skal kunne bevise, at der er truffet hensigtsmæssige foranstaltninger til sikring af, at kravene om hensyn til privatlivets fred er opfyldt i udformningen af deres systemer. Det vil begrænse de negative følger for privatlivets fred af nye foranstaltninger (eller forøge den positive indvirkning). Denne tilgang har Kommissionen godkendt (21). Gennemførelse af indbygget databeskyttelse i systemer såsom det ind- og udrejsesystem, der er nævnt i meddelelsen, vil betyde, at indhentning af personoplysninger begrænses til det nødvendige minimum, lagringsperioderne begrænses, og behandling af personoplysninger gøres venlig og gennemsigtig over for de registrerede.

17.

Desuden skal princippet om formålsbegrænsning også respekteres. »Funktionsskred« skal undgås. Kommissionen taler f.eks. i meddelelsen om at genindføre initiativet til at give retshåndhævende myndigheder adgang til Eurodac (22), hvilket ser ud til at bekræfte tendensen i retning af at give retshåndhævende myndigheder adgang til EU-dækkende systemer og rejser spørgsmålet om udvidelse af det oprindelige formål med systemet. Retshåndhævende myndigheders adgang til databaser er et område, som kan få alvorlige følger. En database, der betragtes som proportional, når den bruges med et specifikt formål for øje, kan f.eks. blive uproportional, når den senere bruges til andre formål (23).

18.

Følgelig opfordrer den tilsynsførende til, at (eksisterende og nye) forslag, der involverer en begrænsning af den grundlæggende ret til databeskyttelse, bliver ledsaget af et klart bevis for deres nødvendighed (24). Når det endvidere vurderes, at der er behov for omfattende it-systemer, skal der tages behørigt hensyn til princippet om indbygget databeskyttelse i deres udformning. Endvidere bør gennemførte foranstaltninger regelmæssigt evalueres for at afgøre, om de stadig er nødvendige.

19.

I meddelelsen henvises der til at give retshåndhævende myndigheder adgang til Eurodac, idet det anføres, at Eurodac, ud over fortsat at støtte Dublinforordningen, »også opfylder andre behov hos de retshåndhævende myndigheder« (25).

20.

Forslaget fra december 2008 om en reform af Eurodacforordningen (26) indeholdt ingen bestemmelser vedrørende adgang for retshåndhævende myndigheder. Disse bestemmelser kom med i et forslag, som Kommissionen fremsatte i september 2009 (27). I oktober 2010 vedtog Kommissionen et ændret forslag (28), som ikke længere indeholdt bestemmelser om adgang for retshåndhævende myndigheder, hvilket svarede til det oprindelige forslag.

21.

Den tilsynsførende bifaldt i sin udtalelse af 15. december 2010 om Eurodac, at henvisningen til retshåndhævende myndigheders adgang til oplysninger var udeladt (29), og erindrede om, at en sådan brug til et andet formål skal være baseret på, at der er tydelige tegn på en forbindelse mellem asylansøgere og terrorisme og/eller grov kriminalitet. Der skal tages hensyn til asylansøgeres prekære situation i analysen af, om en sådan adgang er nødvendig og rimelig.

22.

Reformen af Eurodacforordningen indgår i etableringen af et europæisk asylsystem, som ifølge Stockholmprogrammet skal være indført senest i 2012 (30). En af de grunde, som Kommissionen angav til at have udeladt retshåndhævende myndigheders adgang til oplysninger i forslaget fra oktober 2010, var, at det ville gøre det lettere at få vedtaget asylpakken i tide, hvis denne kontroversielle foranstaltning ikke var med (31). Dette hænger også sammen med oprettelsen af agenturet til operationel forvaltning af store it-systemer inden for området frihed, sikkerhed og retfærdighed (32).

23.

På denne baggrund og i lyset af ovenstående bemærkninger er det den tilsynsførendes holdning, at der hidtil ikke er fremlagt nye, tilstrækkeligt klare og pålidelige beviser for nødvendigheden af at genindføre bestemmelsen om retshåndhævende myndigheders adgang til Eurodac. Først når der er foretaget en ny konsekvensanalyse, der tager hensyn til privatlivets fred, kan man eventuelt overveje at genindføre en sådan bestemmelse. At give retshåndhævende myndigheder adgang vil desuden kræve omfattende ændringer af Eurodacdatabasen for at kunne håndtere en sådan adgang på en sikker måde. De tekniske og finansielle konsekvenser heraf vil også skulle behandles i en ny konsekvensanalyse (33).

24.

Desuden kan genindførelsen af denne bestemmelse i forslaget få stor indvirkning på tidsplanen for vedtagelsen af asylpakken som helhed. Kommissionen nævner ikke nogen dato for, hvornår et eventuelt nyt forslag kan fremsættes, og den nævner heller ikke noget om, hvorvidt et sådant forslag vil blive ledsaget af en konsekvensanalyse.

25.

Det meddeles også, at Kommissionen vil offentliggøre en meddelelse om intelligente grænser i september 2011 med forslag til initiativ til et ind- og udrejsesystem og et program for registrerede rejsende. Kommissionen erkender, at disse projekter vil forudsætte »betydelige investeringer« for at sikre »høje krav til beskyttelsen af personoplysninger« (34).

26.

Kommissionen begrunder sit forslag til ind- og udrejsesystem med, at man undgår, »at visumindehavere bliver i landet efter visummets udløb, hvilket i modsætning til den almindelige opfattelse er hovedkilden til ulovlig indvandring« (35). Ud over dette argument forklarer Kommissionen ikke formålet med dette system.

27.

Der kan bestemt være positive følger af at reducere antallet af visumindehavere, der bliver i landet efter visummets udløb. Den tilsynsførende forstår, at ind- og udrejsesystemet kan afholde statsborgere fra tredjelande fra at blive ud over visummets løbetid, hvis de ved, at de med stor sandsynlighed automatisk vil blive identificeret efter udløbet af deres visum. Flere spørgsmål er dog fortsat ubesvarede.

28.

Indtil videre findes der ikke nogen konsekvent politik vedrørende dette fænomen i medlemsstaterne. Begrebet »at blive længere, end der er tilladelse til« er generelt ikke særlig veldefineret. En fælles definition af dette begreb vil være et nødvendigt første skridt mod en klar forståelse af spørgsmålet (36).

29.

Desuden er de foreliggende tal indtil videre skøn (37). Problemets omfang skal afklares som en forudsætning for en begrundet vurdering af nødvendighed.

30.

Indberetninger efter artikel 96 i konventionen om gennemførelse af Schengenaftalen er en eksisterende foranstaltning til forebyggelse af, at bestemte personer kommer ind i Schengenområdet. Disse indberetninger kan bruges til at hindre »personer, som bliver længere, end der er tilladelse til«, i at komme tilbage (38). I en nylig meddelelse opfordrede Kommissionen medlemsstaterne til at bruge denne mulighed mest muligt (39). Det tyder på, at foranstaltningen ikke udnyttes fuldt ud på nuværende tidspunkt.

31.

Ind- og udrejsesystemet kommer sandsynligvis også til at blive baseret på biometriske data. Den tilsynsførende anerkender de mulige fordele ved at bruge biometriske data, men føler sig også nødsaget til påpege deres svagheder. Enhver brug af biometriske data skal ledsages af strenge sikkerhedsbetingelser, og der skal tages hensyn til risikoen for at begå fejl (40). I den sammenhæng tilskynder den tilsynsførende til, at der oprettes et sæt minimumskriterier for brug af biometriske data såsom deres pålidelighed, en målrettet konsekvensanalyse af biometriske data, nøjagtighed og en fallback-procedure (41). Desuden er der en del af den omfattede befolkning, hvis fingeraftryk ikke kan læses af et sådant system (42). Hvis ind- og udrejsesystemet skal omfatte biometriske data, skal der findes fallback-procedurer for disse rejsende (43).

32.

Den tilsynsførende gør også opmærksom på erfaringerne med US-VISIT (United States Visitor and Immigrant Status Indicator Technology), et tilsvarende system i USA. Under US-VISIT er de fleste tredjelandsborgere forpligtet til at afgive biometriske data ved indrejse i USA. Dette systems udrejsedel er stadig under udvikling. I 2009 blev der gennemført to pilottest af indsamling af biometriske data til denne del af systemet (44). Homeland Security erkendte, at resultaterne af disse test var ansat for højt på grund af systembegrænsninger relateret til tilfælde, hvor ADIS-registreringer ikke afspejlede den rejsendes ajourførte status på grund af nylige ændringer eller forlængelser af status (45). Disse test screenede også rejsende ud fra forskellige lister, men ingen af de hits, systemet gav, ville have hindret udrejse (46). I alt har Homeland Security brugt omkring 1,3 mia. USD på at udvikle indrejsekomponenten til US-VISIT (47). Dette rejser spørgsmålet om, hvorvidt et indrejsesystem omkostningseffektivt kan mindske antallet af personer, der bliver i landet efter udløb af deres tilladelse.

33.

Kort sagt er der hverken tilstrækkelig klarhed om formålet med et sådant system eller den måde, det udvikles og gennemføres på. Med hensyn til behovet for handling er der ingen klar definition af det centrale begreb »ophold efter udløb af tilladelse«, og følgelig findes der ingen pålidelig statistik over problemets omfang. Med hensyn til, hvad der fremover skal ske, bruges de eksisterende instrumenter til at hindre disse personer i at komme ind i EU igen sandsynligvis ikke i det omfang, de burde. Den biometriske komponent i ind- og udrejsesystemet rejser en række spørgsmål. Med hensyn til systemets gennemførlighed og pris tyder erfaringerne fra USA på, at et ind- og udrejsesystem bliver for dyrt at gennemføre. Disse punkter skaber tvivl om nødvendigheden og omkostningseffektiviteten af et ind- og udrejsesystem.

34.

Kommissionen nævner også indførelse af et program for registrerede rejsende i meddelelsen. Det står ikke helt klart, hvad merværdien ved et sådant system ville være, f.eks. sammenlignet med at bruge visa med en lang gyldighedsperiode til flere indrejser. Målgruppen ville være den samme (hyppigt rejsende). Det forhold, at der stadig er en del »tøven« (48) med at udstede sådanne visa, er ikke i sig selv nok til at berettige forslag til nye foranstaltninger i stedet, hvis de nuværende, hvis de blev brugt i fuldt omfang, ville gøre det muligt at nå de samme mål. I lyset af ovenstående er den tilsynsførende ikke fuldt overbevist om, at systemet virkelig er nødvendigt.

35.

I meddelelsen nævnes også rejsende »i god tro« (side 11), mest i relation til programmet for registrerede rejsende. Denne formulering kan læses, som om den skaber en klasse af rejsende »i ond tro«. Kun rejsende, som træffer supplerende foranstaltninger, der kommer med i programmet for registrerede rejsende, og som fremlægger yderligere personoplysninger, vil blive betragtet som rejsende »i god tro«. Udgangspunktet er ikke længere, at rejsende generelt skal betragtes som personer, der rejser ind i EU i god tro, medmindre specifikke forhold skaber mistanke, men at det er op til de rejsende at bevise deres uskyld ved at afgive yderligere oplysninger om sig selv, også selv om der ikke findes dokumentation. Det betyder, at man ved kun at betegne nogle rejsende som rejsende »i god tro« formoder, at rejsende, som ikke ønsker at afgive yderligere personoplysninger, automatisk bliver betragtet som rejsende »i ond tro«, selv om et sådant afslag på at afgive yderligere oplysninger kan have helt legitime grunde, f.eks. at man ikke er hyppigt rejsende (49).

36.

Kommissionen opfordrer i meddelelsen til »tæt samarbejde mellem agenturer« mellem Europol, Frontex og nationale told- og politimyndigheder (50). Dette samarbejde vil blive understøttet af forslag til bedste praksis, som vil blive fremsat i løbet af 2012. Kommissionen meddelelser også, at der vil blive fremsat et lovforslag i 2011 for at gøre det muligt for de myndigheder i medlemsstaterne, som udfører grænsekontrol, at »udveksle operationelle oplysninger og samarbejde med hinanden og med Frontex« (51). Endelig ajourfører forslaget Frontex' retsregler for at »gøre agenturet mere effektivt med hensyn til dets operationelle kapacitet«, og det er nu til forhandling i Rådet og Europa-Parlamentet (52).

37.

For at sikre konsekvens og skabe merværdi for databeskyttelsen skal de respektive bestemmelser i retsgrundlaget for indgåelse af eventuelle samarbejdsaftaler og udveksling af personoplysninger mellem Frontex og de agenturer, det skal samarbejde med, være sammenhængende og sikre fuldstændigt samarbejde mellem organerne, for så vidt angår overholdelse af bestemmelser om databeskyttelse.

38.

Den tilsynsførende gentager desuden de punkter, han beskrev i sin udtalelse om forslaget til reform af Frontexforordningen (53), særlig behovet for et klart retsgrundlag for behandling af personoplysninger. Hvis Frontex får mandat til at udveksle personoplysninger, bør dette være ledsaget af strenge, klare bestemmelser om de registreredes rettigheder samt andre former for sikkerhedsforanstaltninger. Enhver bestemmelse, der giver Frontex tilladelse til at behandle og/eller udveksle data, skal være præcis og klart afgrænset.

39.

Kommissionen offentliggør også et lovforslag, der fastlægger anvendelsesområde, formål samt tekniske og operationelle rammer for det europæiske grænseovervågningssystem Eurosur i december 2011 (54). Forslaget forventes at sikre »større brug af moderne teknologi både ved lande- og søgrænser« (55) samt udveksling af operationelle oplysninger om hændelser (56). Dette er også relateret til Frontex, da Kommissionen påtænker at fremsætte et andet forslag, der tillader medlemsstaternes myndigheder at foretage grænsekontrol for at udveksle operationelle oplysninger med hinanden og Frontex (57).

40.

Det står ikke klart, om og i hvilket omfang dette ville omfatte behandling af personoplysninger (58). Den tilsynsførende tilskynder Kommissionen til at afklare disse spørgsmål i de kommende forslag.

41.

Det anføres i meddelelsen, at man bør undersøge, om det er muligt at indføre et europæisk system af grænsevagter. Det fremgår ikke klart af teksten, hvordan et sådant system skal udformes. Ifølge teksten betyder det ikke »nødvendigvis« (59) etablering af en centraliseret europæisk administration, hvilket lader stå åbent, at dette kan ske. Hvis der ikke skal etableres en central administration, foreslår Kommissionen bl.a., at den »fælles kapacitet« og det »praktiske samarbejde« skal forbedres (60).

42.

Det står ikke klart, om dette sigter mod en bedre gennemførelse af eksisterende foranstaltninger, eller om det baner vej for nye, endnu ikke offentliggjorte forslag. Da et »praktisk samarbejde« sandsynligvis vil omfatte udveksling af personoplysninger, hvilket nødvendigvis vil skulle have et retsgrundlag, bør dette specificeres i kommende forslag, hvis idéen skal forfølges.

43.

I overensstemmelse med fast retspraksis i EU-Domstolen og Den Europæiske Menneskerettighedsdomstol erindrer den tilsynsførende om kravet om nødvendighed og proportionalitet for alle (eksisterende og nye) forslag, der overtræder den grundlæggende ret til privatlivets fred og databeskyttelse. For hvert forslag skal dets nødvendighed påvises gennem en konsekvensanalyse af følgerne for privatlivets fred.

44.

Princippet om henholdsvis indbygget databeskyttelse og formålsbegrænsning skal overholdes i forslag om udformning af nye, store it-systemer.

45.

Den tilsynsførende opfordrer indtrængende til, at al brug af biometriske data skal ledsages af strenge sikkerhedsforanstaltninger og fallback-procedurer for personer, som ikke kan registreres. Mere generelt betyder det, at der bør fastlægges minimumsbetingelser for brug af biometriske data.

46.

Desuden opfordrer den tilsynsførende indtrængende Kommissionen til at afklare anvendelsesområdet for og indholdet af de forslag, der er nævnt i denne udtalelse. Dette gælder for offentliggjorte lovforslag vedrørende ind- og udrejsesystemet, programmet om registrerede rejsende, Eurosur, Frontex og samarbejde mellem agenturer samt for meddelelsen om intelligente grænser og undersøgelsen af et europæisk system af grænsevagter.

47.

Han opfordrer ligeledes Kommissionen til ikke igen at fremsætte forslaget om adgang for retshåndhævende myndigheder til Eurodac, medmindre en ny konsekvensanalyse tydeligt påviser forslagets nødvendighed, herunder tekniske og finansielle følger for systemet.

48.

Den tilsynsførende vil følge denne udvikling på tæt hold og fremsætte yderligere bemærkninger, hvor dette er relevant. Han er til rådighed for yderligere høringer i ønsket om et godt samarbejde.

8.2.2012   

DA

Den Europæiske Unions Tidende

C 34/27

8.2.2012   

DA

Den Europæiske Unions Tidende

C 34/28

1.

Fælles holdning 2002/402/FUSP (1) opfordrer Unionen til at indefryse midler og andre økonomiske ressourcer, der tilhører medlemmer af Al-Qaida-organisationen samt andre personer, grupper, virksomheder og enheder, der er knyttet til dem, og som er opført på den liste, der er opstillet i medfør af FN’s Sikkerhedsråds resolution UNSCR 1267 (1999) og 1333 (2000), og som ajourføres regelmæssigt af FN’s Sanktionskomité nedsat i medfør af UNSCR 1267 (1999).

Den liste, som FN’s Sanktionskomité har opstillet, omfatter:

Handlinger eller aktiviteter, der viser, at en person, gruppe, virksomhed eller enhed »har tilknytning« til Al-Qaida omfatter:

2.

FN's Sanktionskomité besluttede den 25. januar 2012 at opføre Monir Chouka, Yassin Chouka og Mevlüt Kar på den relevante liste. De kan til enhver tid med den fornødne dokumentation rette en anmodning til FN’s Ombudsperson om, at beslutningen om at optage dem på ovennævnte FN-liste tages op til fornyet overvejelse. Anmodningen stiles til følgende adresse:

For yderligere oplysninger henvises til http://www.un.org/sc/committees/1267/delisting.shtml

3.

På grundlag af den FN-beslutning, der er nævnt under punkt 2, vedtog Kommissionen forordning (EU) nr. 97/2012 (2) om ændring af bilag I til Rådets forordning (EF) nr. 881/2002 om indførelse af visse specifikke restriktive foranstaltninger mod visse personer og enheder, der har tilknytning til Al-Qaida-organisationen (3). Ved den ændring, som foretages i henhold til artikel 7, stk. 1, litra a), og artikel 7a, stk. 1, i forordning (EF) nr. 881/2002, tilføjes Monir Chouka, Yassin Chouka og Mevlüt Kar til listen i bilag I i den pågældende forordning (»bilag I«).

Følgende foranstaltninger i forordning (EF) nr. 881/2002 finder anvendelse på de personer og enheder, som indsættes i bilag I:

4.

Hvis de pågældende parter, der er blevet optaget på listen, fremsætter bemærkninger hertil, foretages der en revurdering, jf. artikel 7a i forordning (EF) nr. 881/2002 (5). De personer og enheder, der indsættes i bilag I ved forordning (EU) nr. 97/2012, kan anmode Kommissionen om at få oplyst, hvad der ligger til grund for opførelsen på listen. En sådan anmodning stiles til:

5.

De pågældende personer og enheder gøres tillige opmærksom på, at forordning (EU) nr. 97/2012 kan indbringes for Den Europæiske Unions Ret, jf. artikel 263, fjerde og sjette afsnit, i traktaten om Den Europæiske Unions funktionsmåde.

6.

For en god ordens skyld gøres de personer og enheder, der er opført i bilag I, opmærksom på, at de har mulighed for at indgive en ansøgning til de kompetente myndigheder i den eller de relevante medlemsstater, der er opført i bilag II til forordning (EF) nr. 881/2002, med henblik på at opnå tilladelse til at anvende indefrosne midler og økonomiske ressourcer i forbindelse med basale behov eller specifikke betalinger, jf. artikel 2a i forordningen.