29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/1

1.

I de senere år har man øget bestræbelserne på at forbedre det retlige samarbejde i straffesager. Dette område, som prioriteres højt i Stockholmprogrammet (4), er kendetegnet ved de involverede datas særlige følsomhed og ved den indvirkning, som den tilknyttede databehandling kan have på de registrerede.

2.

Af disse grunde har Den Europæiske Tilsynsførende for Databeskyttelse (den tilsynsførende) været særlig opmærksom på dette emne (5) og ønsker med denne udtalelse igen at understrege behovet for beskyttelse af de grundlæggende rettigheder som en af hjørnestenene inden for området for frihed, sikkerhed og retfærdighed i henhold til Stockholmprogrammet.

3.

Denne udtalelse er en reaktion på en række medlemsstaters initiativer til to direktiver, jf. artikel 76 i TEUF, nemlig:

4.

Rådgivning om disse initiativer henhører under den tilsynsførendes funktion, jf. artikel 41 i forordning (EF) nr. 45/2001 om rådgivning af EU-institutioner og -organer i alle spørgsmål, der vedrører behandling af personoplysninger. Denne udtalelse indeholder derfor kommentarer til initiativerne, i den udstrækning de vedrører behandling af personoplysninger. Eftersom den tilsynsførende ikke er blevet anmodet om rådgivning, er udtalelsen udarbejdet på den tilsynsførendes eget initiativ (8).

5.

Den tilsynsførende minder om, at Kommissionen i henhold til artikel 28, stk. 2, i forordning (EF) nr. 45/2001 er forpligtet til at høre den tilsynsførende i forbindelse med vedtagelse af en retsakt om beskyttelse af personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Hvis initiativet er taget af en række medlemsstater, gælder denne forpligtelse ikke i snæver forstand. Siden Lissabontraktatens ikrafttræden er den almindelige lovgivningsprocedure imidlertid også blevet anvendt på området for politisamarbejde og retligt samarbejde med én bestemt undtagelse, jf. artikel 76 i TEUF, nemlig at en fjerdedel af medlemsstaterne kan tage initiativ til EU-foranstaltninger. I henhold til Lissabontraktaten tilpasses disse initiativer så vidt muligt til Kommissionens forslag, og der skal anvendes proceduremæssige garantier, hvor det er muligt. Derfor ledsages de foreliggende initiativer af en konsekvensanalyse.

6.

Dette er grunden til, at den tilsynsførende ikke blot beklager, at han ikke blev hørt, da initiativerne blev fremlagt, men også anbefaler Rådet at fastlægge en procedure, hvor den tilsynsførende høres i sager, hvis initiativer taget af medlemsstater vedrører behandling af personoplysninger.

7.

Selvom de to initiativer har forskellige formål — nemlig forbedring af beskyttelsen af ofre og grænseoverskridende samarbejde i straffesager gennem grænseoverskridende indsamling af bevismateriale — har de også vigtige lighedspunkter:

Derfor finder den tilsynsførende det passende at undersøge dem samlet.

8.

I den forbindelse bemærkes det, at Europa-Kommissionen for nylig har behandlet spørgsmålet om indsamling af bevismateriale med henblik på at sende det til de kompetente myndigheder i andre medlemsstater (hvilket er formålet med EIO-initiativet). Faktisk offentliggjorde Kommissionen en grønbog  (11) i slutningen af 2009 — hvis høringsfase nu er afsluttet (12) — og i den sammenhæng havde Kommissionen til hensigt (afledt af »Handlingsplan om gennemførelse af Stockholmprogrammet« (13)) at fremlægge et forslag til retsakt om etablering af et omfattende system til bevismateriale i straffesager, der er baseret på princippet om gensidig anerkendelse, og som vil dække alle typer bevismateriale i 2011 (14).

9.

Førnævnte initiativer er på linje med de foranstaltninger, som EU har truffet inden for området for frihed, sikkerhed og retfærdighed i de senere år. Siden september 2001 har der været en væsentlig stigning i indsamlingen og udvekslingen af oplysninger i EU (og med tredjelande), bl.a. takket være udviklingen inden for ikt og en række EU-retsakter. EPO- og EIO-initiativet har også til formål at forbedre udvekslingen af oplysninger vedrørende fysiske personer inden for området for frihed, sikkerhed og retfærdighed.

10.

EPO-initiativet — der bygger på artikel 82, stk. 1, litra d), i TEUF — fokuserer på beskyttelsen af ofre for strafbare handlinger, især kvinder, og sigter mod at garantere effektiv beskyttelse af disse personer i EU. For at nå dette mål kan de beskyttelsesforanstaltninger, der er fastlagt i initiativets artikel 2, stk. 2, og vedtaget i henhold til lovgivningen i én medlemsstat (»udstedelsesstaten«) i henhold til EPO-initiativet udvides til en anden medlemsstat, som den beskyttede person flytter til (»fuldbyrdelsesstaten«), uden at ofret behøver at indlede en ny retssag eller på ny fremlægge bevismateriale i fuldbyrdelsesstaten.

11.

De beskyttelsesforanstaltninger, som (på ofrets anmodning) pålægges i forhold til den person, der forårsager fare, har derfor til formål at beskytte ofrets liv, fysiske og psykiske integritet, frihed eller seksuelle integritet i EU uanset nationale grænser og at forsøge at forhindre nye forbrydelser mod det samme offer.

12.

På ofrets anmodning skal der udstedes en europæisk beskyttelsesordre af en hvilken som helst retslig (eller lignende) myndighed i udstedelsesstaten. Proceduren består af følgende trin:

13.

For at opnå denne målsætning skal der træffes en række administrative foranstaltninger. Disse vil til dels dække udvekslingen af personoplysninger vedrørende ofret og den person, der forårsager fare, mellem udstedelsesstaten og fuldbyrdelsesstaten. Udvekslingen af personoplysninger er omfattet af følgende bestemmelser:

14.

De oplysninger, der er beskrevet i det foregående afsnit, er helt klart personoplysninger, der i databeskyttelseslovgivningen defineres bredt som »oplysninger vedrørende en identificeret eller identificerbar fysisk person« (15) og forklares yderligere af Artikel 29-Gruppen. EPO-initiativet vedrører oplysninger om en person (ofret eller den person, der forårsager fare) eller oplysninger, der anvendes eller sandsynligvis vil blive anvendt til at evaluere en person (navnlig den person, der forårsager fare), behandle ham eller hende på en bestemt måde eller påvirke vedkommendes status (16).

15.

I henhold til EIO-initiativet — der bygger på artikel 82, stk. 1, litra a), i TEUF — skal medlemsstaterne indsamle, opbevare og fremsende bevismateriale, selv om dette endnu ikke er tilgængeligt i den nationale jurisdiktion. Initiativet rækker derfor ud over princippet om tilgængelighed, der blev præsenteret i Haagprogrammet fra 2004 som en innovativ tilgang til grænseoverskridende udveksling af retshåndhævelsesoplysninger (17). Initiativet rækker også ud over Rådets rammeafgørelse 2008/978/RIA af 18. december 2008 om en europæisk bevissikringskendelse, der kun gælder bevismateriale, som allerede findes (18).

16.

Der skal udstedes en europæisk efterforskningskendelse, således at en eller flere specifikke efterforskningsforanstaltninger kan udføres i udstedelsesstaten med henblik på indsamling og overførsel af bevismateriale (der muligvis ikke findes, når kendelsen udstedes) (artikel 12). Dette gælder for næsten alle efterforskningsforanstaltninger (se betragtning 6 og 7 i initiativet).

17.

Formålet med EIO-initiativet er at skabe et enkelt, effektivt og fleksibelt instrument til indhentning af bevismateriale fra en anden medlemsstat i en straffesag i stedet for den nuværende, mere komplekse retsakt, der anvendes af de retslige myndigheder (baseret på gensidig retshjælp på den ene side og gensidig anerkendelse på den anden) (19).

18.

Det er tydeligt, at bevismateriale, der indsamles på baggrund af en europæisk efterforskningskendelse (se også bilag A til initiativet), kan indeholde personoplysninger, som det er tilfældet med oplysninger om bankkonti (artikel 23), oplysninger om banktransaktioner (artikel 24) og overvågning af banktransaktioner (artikel 25), eller kan vedrøre formidling af personoplysninger (som i forbindelse med video- eller telefonkonferencer, jf. artikel 21 og 22).

19.

Dette er grunden til, at EIO-initiativet har stor betydning for retten til beskyttelse af personoplysninger. I betragtning af, at fristen for gennemførelse af rammeafgørelse 2008/978/RIA endnu ikke er udløbet (og det derfor er vanskeligt at vurdere instrumentets effektivitet og behovet for yderligere lovforanstaltninger) (20), minder den tilsynsførende om behovet for en periodisk kontrol, i lyset af databeskyttelsesprincipperne, af effektiviteten og proportionaliteten af de lovforanstaltninger, der er vedtaget inden for området for frihed, sikkerhed og retfærdighed (21). Den tilsynsførende anbefaler derfor, at der indføjes en evalueringsbestemmelse i EIO-initiativet med et krav om, at medlemsstaterne regelmæssigt aflægger rapport om anvendelsen af instrumentet, og at Kommissionen sammenfatter disse rapporter og om nødvendigt fremlægger passende ændringsforslag.

20.

Som forklaret ovenfor i punkt 13, 14 og 18 er det tydeligt, at de kompetente myndigheder i de enkelte medlemsstater i henhold til de foreslåede direktiver vil behandle og udveksle personoplysninger. Under disse omstændigheder er den registrerede beskyttet af den grundlæggende ret til databeskyttelse, jf. artikel 16 i TEUF og artikel 8 i EU's charter om grundlæggende rettigheder.

21.

På trods heraf er den skønnede »risiko for at gribe ind i de grundlæggende rettigheder« i den »detaljerede redegørelse«, der ledsager EPO-initiativet, fastsat til »0« (nul) (22), og i konsekvensanalysen i den »detaljerede redegørelse«, der ledsager EIO-initiativet, er der ikke taget hensyn til databeskyttelsesspørgsmål (23).

22.

Den tilsynsførende beklager disse konklusioner og understreger vigtigheden af databeskyttelse i situationer, der involverer behandling af personoplysninger, nemlig:

23.

I disse tilfælde har databehandling særlig betydning og kan have væsentlig indvirkning på den registreredes grundlæggende rettigheder, herunder retten til beskyttelse af personoplysninger.

24.

I lyset af ovennævnte overvejelser undrer den tilsynsførende sig over, hvorfor initiativerne hverken berører spørgsmålet om beskyttelse af personoplysninger (bortset fra henvisningen til den tavshedspligt, der pålægges aktørerne i en efterforskning i henhold til artikel 18 i EIO-initiativet), eller indeholder henvisninger til rammeafgørelse 2008/977/RIA. Denne rammeafgørelse ville faktisk kunne finde anvendelse på den behandling af personoplysninger, der er nævnt i de to initiativer (se artikel 1, stk. 2, litra a)).

25.

Derfor glæder den tilsynsførende sig over, at man under det forberedende arbejde med EPO-initiativet i Rådet har medtaget en henvisning til rammeafgørelse 2008/977/RIA (25), og er sikker på, at Europa-Parlamentet vil vedtage denne ændring af de oprindelige initiativer (26).

26.

Den tilsynsførende beklager, at en lignende betragtning ikke er medtaget i EIO-initiativet, der indebærer en meget mere omfattende udveksling af personoplysninger. Den tilsynsførende glæder sig i den forbindelse over, at Europa-Kommissionen i sine bemærkninger til EIO-initiativet foreslår, at der skal medtages en henvisning (både i betragtningen og i selve forslaget) til anvendelsen af rammeafgørelse 2008/977/RIA (27).

27.

Derfor og uanset afsnit III nedenfor skal begge initiativer omfatte en specifik bestemmelse, der tydeliggør, at rammeafgørelse 2008/977/RIA finder anvendelse på den databehandling, der er omfattet af disse initiativer.

28.

Begge initiativer rejser igen det grundlæggende spørgsmål om ufuldstændig og inkonsekvent anvendelse af databeskyttelsesprincipperne i forbindelse med retligt samarbejde i straffesager (28).

29.

Den tilsynsførende anerkender vigtigheden af at forbedre effektiviteten af det retlige samarbejde mellem medlemsstaterne — også på de områder, der dækkes af EPO- og EIO-initiativet (29). Den tilsynsførende ser endvidere en række fordele ved og et behov for at udveksle oplysninger, men ønsker at understrege, at behandlingen af sådanne data bl.a. (30) skal være i overensstemmelse med EU's regler om databeskyttelse. Dette er endnu mere tydeligt i lyset af artikel 16 i TEUF, der blev indført med Lissabontraktaten, og som gør artikel 8 i Den Europæiske Unions charter om grundlæggende rettigheder bindende.

30.

Situationer, der indebærer grænseoverskridende udveksling af oplysninger i EU, kræver særlig opmærksomhed, da behandling af personoplysninger i mere end én jurisdiktion øger risikoen for, at de involverede fysiske personers rettigheder ikke bliver respekteret, og at deres interesser ikke bliver varetaget. Personoplysningerne behandles i flere jurisdiktioner, hvor lovkravene og de tekniske rammer ikke nødvendigvis er ens.

31.

Desuden skaber det retlig usikkerhed for de registrerede. Der kan således være parter fra andre medlemsstater involveret, forskellige medlemsstaters nationale love kan finde anvendelse og kan afvige fra de love, den registrerede er vant til, eller der kan være tale om et retssystem, som er ukendt for den registrerede. Dette kræver en større indsats for at sikre overholdelse af databeskyttelseskravene i EU-lovgivningen (31).

32.

Efter den tilsynsførendes mening er tydeliggørelse af anvendeligheden af rammeafgørelse 2008/977/RIA som foreslået i punkt 27 kun første skridt.

33.

De særlige udfordringer, der er forbundet med effektiv beskyttelse på området for retligt samarbejde i straffesager, kombineret med en ikke helt tilfredsstillende rammeafgørelse 2008/977/RIA (se punkt 52-56), kan skabe behov for særlige bestemmelser om databeskyttelse i situationer, hvor der kræves udveksling af personoplysninger i henhold til bestemte EU-retsakter.

34.

Effektiv beskyttelse af personoplysninger (som beskrevet i punkt 29) er ikke blot vigtigt for de registrerede, men styrker effektiviteten af det retlige samarbejde. Faktisk øges viljen til at udveksle sådanne oplysninger med myndigheder i andre medlemsstater, hvis myndigheden forsikres om beskyttelsen, nøjagtigheden og pålideligheden af personoplysninger i den anden medlemsstat (32) Opnåelse af en (høj) fælles standard for databeskyttelse på dette følsomme område vil kort sagt fremme den gensidige tro og tillid mellem medlemsstaterne og styrke det retlige samarbejde på grundlag af gensidig anerkendelse, hvilket vil forbedre kvaliteten af de oplysninger der udveksles.

35.

I denne forbindelse anbefaler den tilsynsførende — ud over den generelle henvisning til rammeafgørelse 2008/977/RIA (som foreslået i afsnit 27) — at medtage specifikke sikkerhedsforanstaltninger for databeskyttelse i EPO- og EIO-initiativet.

36.

Nogle af disse sikkerhedsforanstaltninger er af mere generel karakter og skal medtages i begge initiativer — især dem, der sigter mod at forbedre dataenes nøjagtighed, sikkerhed og fortrolighed. Andre sikkerhedsforanstaltninger angår specifikke bestemmelser i enten EPO- eller EIO-initiativet.

37.

I de situationer, der beskrives i initiativerne, hvor data udveksles mellem medlemsstater, skal der lægges særlig vægt på at sikre oplysningernes nøjagtighed. Den tilsynsførende glæder sig i den forbindelse over, at den kompetente myndighed i udstedelsesstaten i henhold EPO-initiativets artikel 14 klart er forpligtet til at oplyse den kompetente myndighed i fuldbyrdelsesstaten om ændring, udløb eller tilbagekaldelse af beskyttelsesordren.

38.

Den tilsynsførende bemærker også, at behovet for oversættelse kan have betydning for oplysningernes nøjagtighed, især fordi initiativerne vedrører specifikke retsakter, som kan have forskellig betydning på forskellige sprog og i forskellige retssystemer. I den forbindelse glæder den tilsynsførende sig over, at EPO-initiativet tager fat på spørgsmålet om oversættelser (artikel 16), og foreslår, at en lignende bestemmelse medtages i EIO-initiativet.

39.

Den stigning i det grænseoverskridende samarbejde, der kan blive resultatet af de to initiativer, kræver nøje overvejelser om de sikkerhedsmæssige aspekter ved grænseoverskridende overførsel af personoplysninger i forbindelse med fuldbyrdelse af europæiske beskyttelsesordrer og europæiske efterforskningskendelser (33). Dette er ikke alene nødvendigt for at overholde de sikkerhedsstandarder for behandling af personoplysninger, der er fastlagt i artikel 22 i rammeafgørelse 2008/977/RIA, men også for at sikre fortrolighed omkring efterforskning og straffesager, der er omfattet af artikel 18 i EIO-initiativet. De mere generelle bestemmelser for personoplysninger i forbindelse med grænseoverskridende udveksling er fastlagt i artikel 21 i rammeafgørelse 2008/977/RIA.

40.

Den tilsynsførende understreger behovet for sikre telekommunikationssystemer i forbindelse med overførselsprocedurerne. Han glæder sig derfor over bestemmelsen om brug af Det Europæiske Retlige Netværk (34) som et redskab til at sikre, at europæiske beskyttelsesordrer og europæiske efterforskningskendelser havner hos de kompetente nationale myndigheder, hvorved risikoen for, at de forkerte myndigheder involveres i udvekslingen af personoplysninger, elimineres eller minimeres (se artikel 7, stk. 2 og 3, i EPO-initiativet og artikel 6, stk. 3 og 4, i EIO-initiativet).

41.

Derfor bør initiativerne indeholde bestemmelser, hvori medlemsstaterne pålægges at sikre følgende:

42.

Endvidere anbefaler den tilsynsførende at fastlægge bestemmelser, der sikrer overholdelse af de grundlæggende databeskyttelsesprincipper i forbindelse med behandling af personoplysninger, samt at etablere passende interne mekanismer til påvisning af en sådan overholdelse over for eksterne interessenter. Sådanne bestemmelser ville betyde, at registeransvarlige ville blive pålagt et ansvar (i overensstemmelse med »princippet om ansvarlighed«, der drøftes i forbindelse med den aktuelle gennemgang af rammen for databeskyttelse (35)). Det betyder, at de skal træffe en række nødvendige foranstaltninger for at sikre overholdelse. Disse foranstaltninger bør omfatte:

43.

I betragtning af visse efterforskningsforanstaltningers særlige indgribende karakter opfordrer den tilsynsførende til nøje overvejelser om godkendelse af bevismateriale, der er indsamlet til andre formål end efterforskning, påvisning eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner og udøvelse af retten til forsvar. Anvendelse af bevismateriale, der er indsamlet i henhold til artikel 11, stk. 1, litra d), i rammeafgørelse 2008/977/RIA bør især overvejes nøje (36).

44.

En undtagelse til anvendelsen af bestemmelsen i artikel 11, stk. 1, litra d), bør derfor medtages i EIO-initiativet, hvoraf det skal fremgå, at bevismateriale, som er indsamlet i henhold til en europæisk efterforskningskendelse, ikke må anvendes til andre formål end forebyggelse, efterforskning, påvisning eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner og udøvelse af retten til forsvar.

45.

For så vidt angår EPO-initiativet, anerkender den tilsynsførende, at de personoplysninger, der udveksles mellem de kompetente myndigheder, og som er opført i bilag I til initiativet (både vedrørende ofret og den person, der forårsager fare), er tilstrækkelige, relevante og ikke for omfattende i forhold til de formål, hvortil de indsamles og behandles.

46.

Det fremgår dog ikke tilstrækkeligt tydeligt af initiativet — især artikel 8, stk. 1, litra b) — hvilke personoplysninger vedrørende ofret den kompetente myndighed i fuldbyrdelsesstaten vil videregive til den person, der forårsager fare.

47.

Den tilsynsførende finder det hensigtsmæssigt at overveje omstændighederne omkring og indholdet af de beskyttelsesforanstaltninger, der er truffet af de retslige myndigheder i udstedelsesstaten, før den person, der forårsager fare, underrettes. Sidstnævnte bør derfor kun få udleveret de personoplysninger om ofret (der i visse tilfælde kan omfatte kontaktoplysninger), som er relevante for gennemførelsen af beskyttelsesforanstaltningen.

48.

Den tilsynsførende er opmærksom på, at udlevering af kontaktoplysninger (såsom telefonnumre, ofrets adresse samt andre adresser, der besøges ofte, f.eks. arbejdsplads eller skole) faktisk kan udgøre en fare for ofrets fysiske og psykiske velbefindende og påvirke den pågældendes ret til privatlivets fred og til beskyttelse af personoplysninger. På den anden side kan angivelse af relevante adresser undertiden være nødvendig for at oplyse den person, der forårsager fare, om, hvor han eller hun ikke må opholde sig. Dette sker for at sikre overholdelse af kendelsen og forhindre potentielle straffe for overtrædelse. Endvidere kan det afhængigt af omstændighederne være nødvendigt at angive, hvor den person, der forårsager fare, ikke må opholde sig, for ikke at begrænse den pågældendes ret til fri bevægelighed unødigt.

49.

I lyset af disse overvejelser understreger den tilsynsførende vigtigheden af dette spørgsmål og anbefaler, at det tydeligt fremgår af EPO-initiativet, at den person, der forårsager fare, afhængigt af sagens omstændigheder kun skal have udleveret de personoplysninger om ofret (der i visse tilfælde kan omfatte kontaktoplysninger), som er fuldt ud relevante for gennemførelsen af beskyttelsesforanstaltningen (37).

50.

Endelig anmoder den tilsynsførende om at få præciseret udtrykket »elektroniske midler« i betragtning 10 i EPO-initiativet. Der savnes især en forklaring på, om personoplysninger behandles ved hjælp af »elektroniske midler«, og hvilke garantier der i så fald stilles.

51.

Rammeafgørelse 2008/977/RIA finder anvendelse på al udveksling af personoplysninger i henhold til EPO- og EIO-initiativet.

52.

Selvom den tilsynsførende anerkender, at rammeafgørelse 2008/977/RIA — når den er blevet gennemført af medlemsstaterne — er et vigtigt skridt fremad for databeskyttelse i forbindelse med politisamarbejde og retligt samarbejde (38), er rammeafgørelsen i sig selv ikke fuldt tilfredsstillende (39). Det største uløste problem angår rammeafgørelsens begrænsede omfang. Rammeafgørelsen er begrænset til udveksling af personoplysninger på området for politisamarbejde og retligt samarbejde mellem myndigheder og systemer i forskellige medlemsstater og på EU-plan (40).

53.

Selvom dette problem ikke kan løses inden for rammerne af EPO- og EIO-initiativet, vil den tilsynsførende kraftigt understrege, at manglen på en (høj) fælles standard for databeskyttelse i forbindelse med retligt samarbejde kan betyde, at en retslig myndighed på nationalt plan eller EU-plan i forbindelse med håndtering af en straffesag, der omfatter oplysninger, som stammer fra andre medlemsstater (herunder f.eks. bevismateriale, der er indsamlet på grundlag af en europæisk efterforskningskendelse), er underlagt forskellige databehandlingsbestemmelser: selvstændige nationale bestemmelser (der skal være i overensstemmelse med Europarådets konvention 108) om data, der stammer fra samme medlemsstat, og bestemmelser til gennemførelse af rammeafgørelse 2008/977/RIA om data, der stammer fra andre medlemsstater. Forskellige »oplysninger« kan dermed høre under forskellige lovsystemer.

54.

Konsekvenserne af at anvende en »dobbelt« databeskyttelsesstandard på straffesager med grænseoverskridende elementer er relevante i det daglige arbejde (f.eks. tilbageholdelse af oplysninger, der er fastlagt i den gældende lovgivning for de enkelte videregivende organer; yderligere restriktioner for behandling, som de enkelte videregivende organer anmoder om; i tilfælde af en anmodning fra et tredjeland giver hvert videregivende organ sit samtykke på grundlag af dets egen vurdering af tilstrækkeligheden og/eller internationale forpligtelser og forskelle i reguleringen af den registreredes ret til indsigt). Derudover kan borgernes beskyttelse og rettigheder variere og være underlagt forskellige brede undtagelser, afhængig af hvilken medlemsstat behandlingen finder sted i (41).

55.

Den tilsynsførende benytter derfor lejligheden til at gentage sine udtalelser om behovet for omfattende retlige rammer for databeskyttelse, der dækker alle dele af EU's kompetenceområder, herunder politi og retsvæsen, og som finder anvendelse på både personoplysninger, der videregives eller stilles til rådighed af kompetente myndigheder i andre medlemsstater, og på national behandling inden for området for frihed, sikkerhed og retfærdighed (42).

56.

Endelig konstaterer den tilsynsførende, at databeskyttelsesbestemmelserne bør finde anvendelse på alle sektorer og på brug af data til alle formål (43). Naturligvis skal der være mulighed for behørigt begrundede og klart affattede undtagelser, især med hensyn til personoplysninger, der behandles til retshåndhævelsesformål (44). Manglerne ved beskyttelsen af personoplysninger strider imod EU's aktuelle (fornyede) retlige rammer. Artikel 3, stk. 2, i direktiv 95/46/EF, der udelukker politi og retsvæsen fra direktivets anvendelsesområde, opfylder ikke ånden i artikel 16 i TEUF. Endvidere er disse mangler ikke tilstrækkeligt dækket af Europarådets konvention nr. 108 (45), som alle medlemsstater er bundet af.

57.

Den tilsynsførende anbefaler følgende i forbindelse med både EPO- og EIO- initiativet:

58.

Med hensyn til EPO-initiativet anbefaler den tilsynsførende følgende:

59.

Med hensyn til EIO-initiativet anbefaler den tilsynsførende følgende:

60.

Endvidere og mere generelt:

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/10

1.

Den 15. juni 2010 vedtog Kommissionen et forslag til Rådets afgørelse om indgåelse af aftalen mellem Den Europæiske Union og Amerikas Forenede Stater om behandling og overførsel af finansielle betalingsdata fra Den Europæiske Union til USA til brug for programmet til sporing af finansiering af terrorisme (TFTP II) (herefter benævnt »forslaget«). Forslaget (inklusive teksten til et udkast til aftale med USA) blev forelagt EDPS med henblik på en udtalelse. EDPS hilser det velkommen, at han høres, og henstiller, at der henvises til denne udtalelse i præamblen til forslaget.

2.

Kommissionens forslag er udløst af ændringerne af strukturen i SWIFT (3), der fra 1. januar 2010 sikrer, at meddelelser om finansielle SWIFT-transaktioner, som kun vedrører Det Europæiske Økonomiske Samarbejdsområde og Schweiz, skal forblive i den europæiske zone — i modsætning til den transatlantiske zone — og ikke længere bliver spejlet i det amerikanske operationscenter.

3.

Med det aktuelle forslag påtænker Kommissionen en international aftale mellem EU og USA, som i henhold til artikel 216 (internationale aftaler), 82 (retligt samarbejde) og 87 (politisamarbejde) i traktaten om Den Europæiske Unions funktionsmåde vil kræve, at relevante oplysninger om finansielle transaktioner, der er nødvendige for det amerikanske finansministeriums program til sporing af finansiering af terrorisme, bliver overført til det amerikanske finansministerium.

4.

I fortsættelse af Europa-Parlamentets beslutning af 11. februar 2010 om at nægte at godkende den midlertidige aftale, som blev underskrevet den 30. november 2009, sigter det nye udkast især imod at imødekomme bekymringerne for beskyttelsen af personoplysninger, en grundlæggende ret, som efter Lissabontraktatens ikrafttræden er blevet endnu mere relevant inden for Den Europæiske Unions retlige rammer.

5.

I forslaget fremhæves relevansen af databeskyttelse, idet de relevante artikler i traktaterne og andre internationale instrumenter eksplicit nævnes, og dens karakter af grundlæggende rettighed anerkendes. Dog er der ikke planer om at bruge artikel 16 i TEUF som retsgrundlag til trods for, at det i artikel 1, stk. 1, i den foreslåede aftale understreges, at en høj grad af databeskyttelse er et af hovedformålene. I den forbindelse gentager EDPS, at denne aftale ikke blot vedrører udveksling af personoplysninger, men også beskyttelse af disse oplysninger. Artikel 16 TEUF er derfor ikke mindre relevant som retsgrundlag end artikel 82 og 87 i TEUF vedrørende retligt og politimæssigt samarbejde, der er blevet valgt som retsgrundlag.

6.

Forslaget er omfattet af proceduren i artikel 218, stk. 6, TEUF. Ifølge denne procedure kan Rådet kun vedtage en afgørelse om bemyndigelse til at indgå aftalen efter at have opnået Europa-Parlamentets godkendelse. Dette forslag udgør således en afgørende »testreference« for anvendelsen af de nye Lissabonprocedurer for en international aftale om beskyttelse af personoplysninger. Hvis det sikres, at databeskyttelsesprincipper og -garantier bliver fastlagt tilfredsstillende i denne aftale, vil det bane vejen for succes i andre forhandlinger.

7.

I denne forbindelse understreger EDPS betydningen af forhandlingerne om en aftale mellem Den Europæiske Union og USA om beskyttelse af personoplysninger, når de overføres og behandles med henblik på at forebygge, undersøge, afsløre eller retsforfølge strafferetlige overtrædelser, herunder terrorisme, inden for rammerne af politisamarbejdet og det retlige samarbejde i straffesager. Udkastet til fuldmagt til at indlede disse forhandlinger blev vedtaget af Kommissionen den 26. maj 2010. Ved fremlæggelsen af dette udkast til fuldmagt understregede Kommissionen behovet for en solid aftale om beskyttelse af personoplysninger (4).

8.

På denne baggrund henstiller EDPS, at der til det aktuelle forslag knyttes en stærk forbindelse til forhandlingerne med USA om de generelle transatlantiske databeskyttelsesrammer. Det bør sikres, at disse standarder også skal anvendes på TFTP II-aftalen. EDPS henstiller, at dette krav inkluderes i den nuværende aftale, eller at det i det mindste aftales med USA's regering, at en eventuel fremtidig aftale om databeskyttelse kommer til at dække udvekslinger i henhold til det nuværende forslag.

9.

Endelig bidrager EDPS aktivt til indstillingerne i artikel 29-gruppen vedrørende databeskyttelse og arbejdsgruppen om politimæssigt og retligt samarbejde. Ud over de punkter, der er fremhævet eller bliver fremhævet i disse indstillinger, indeholder denne udtalelse en analyse af det aktuelle forslag med udgangspunkt i EDPS’ tidligere bemærkninger vedrørende både den midlertidige aftale og de igangværende forhandlinger med USA.

10.

EDPS anerkender, at dette forslag omhandler nogle væsentlige forbedringer i forhold til den midlertidige TFTP I-aftale, f.eks.:

11.

I fortsættelse af Europa-Parlamentets og de europæiske databeskyttelsesmyndigheders anmodninger indeholder forslaget endvidere en række bestemmelser (artikel 14-18) om registreredes rettigheder såsom retten til at blive informeret, retten til aktindsigt, retten til berigtigelse, sletning eller blokering samt retten til at opnå erstatning. Imidlertid er det stadig ikke klart, hvordan disse bestemmelser konkret skal håndhæves, og hvilke procedurer ikke-amerikanske borgere eller indbyggere skal følge (jf. nedenfor afsnit II.2.3).

12.

EDPS er helt enig i behovet for at sikre fuld respekt for privatlivets fred og beskyttelse af personoplysninger, jf. forslagets artikel 1, stk. 1. Ud fra den synsvinkel fremhæver EDPS, at der stadig er nogle åbne spørgsmål, som skal besvares, og nogle centrale elementer, der skal forbedres for at opfylde betingelserne i EU's retlige rammer om beskyttelse af personoplysninger.

13.

EDPS er helt klar over, at bekæmpelse af terrorisme og finansiering af terrorisme kan nødvendiggøre begrænsninger i retten til beskyttelse af personoplysninger og også i bestemmelserne om bankhemmelighed. Det er allerede tilfældet i en række af EU's instrumenter (6), som indeholder et vist antal foranstaltninger, der sigter mod at bekæmpe misbrug af det finansielle system til hvidvaskning af penge og finansiering af terrorisme. Disse instrumenter indeholder også specifikke bestemmelser, som åbner mulighed for informationsudveksling med tredjelandes myndigheder samt garantier for beskyttelse af personoplysninger i overensstemmelse med direktiv 95/46/EF.

14.

Endvidere giver aftalen mellem EU og USA om gensidig retshjælp mulighed for udveksling mellem retshåndhævende myndigheder af oplysninger vedrørende bankkonti og finansielle transaktioner, og der fastsættes betingelser og begrænsninger for denne udveksling. Også på internationalt plan danner de såkaldte Egmontprincipper (7) grundlaget for international udveksling af oplysninger om finansielle transaktioner mellem finansielle efterretningsenheder, samtidig med at de fastsætter begrænsninger og garantier for anvendelse af de udvekslede oplysninger. Desuden er der allerede etableret instrumenter for dataudveksling mellem USA og Europol og Eurojust, som sikrer informationsudveksling samtidig med beskyttelse af personoplysninger.

15.

På denne baggrund sætter Kommissionens forslag fokus på nytten af TFTP-programmet, som er etableret af det amerikanske finansministerium, og af den fremtrædende persons rapporter. Imidlertid er den betingelse, der er anført i artikel 8 EMRK som begrundelse for indgreb i privatliv, »nødvendigt« snarere end »nyttigt«.

16.

Ifølge EDPS skal der være tilstrækkeligt bevis for den reelle merværdi af denne aftale under hensyntagen til allerede eksisterende instrumenter, eller med andre ord i hvilken udstrækning er aftalen virkelig nødvendig for at opnå resultater, som ikke kunne opnås ved instrumenter, der griber mindre ind i privatlivets fred såsom dem, der allerede er fastsat gennem EU- og internationale rammer? Ifølge EDPS bør denne merværdi være utvetydigt fastslået som forudsætning for en aftale med USA om udveksling af finansielle oplysninger, også på baggrund af aftalens indgribende karakter (jf. også afsnit 18-22 om proportionalitet).

17.

EDPS er ikke i stand til at vurdere nødvendigheden af denne aftale. Selv om aftalens nødvendighed påvises, fortjener andre punkter dog stadig forhandlernes opmærksomhed.

18.

Proportionalitet er også hovedkriteriet, når mængden af overførte personoplysninger og deres lagringsperiode vurderes. Artikel 4 i forslaget indsnævrer anvendelsesområdet for de amerikanske begæringer. Dog fastsættes det stadig i forslaget, at personoplysninger vil blive overført til de amerikanske myndigheder i store mængder og herefter opbevaret i en periode på i princippet fem år, uanset om de er udtrukket, eller der er en bevist forbindelse med en bestemt undersøgelse eller retsforfølgelse.

19.

Til trods for Europa-Parlamentets og de europæiske databeskyttelsesmyndigheders anmodninger er forslaget stadig baseret på, at personoplysninger vil blive overført til det amerikanske finansministerium i store mængder. I forbindelse med dette punkt er det vigtigt at præcisere, at det forhold, at det nuværende SWIFT-system ikke giver mulighed for en målrettet søgning, ikke kan betragtes som en tilstrækkelig begrundelse for at gøre overførsel af data i store mængder lovlig ifølge EU's databeskyttelseslov.

20.

Derfor mener EDPS, at der bør findes løsninger til at sikre, at overførsler i store mængder erstattes af mekanismer, hvorved oplysninger om finansielle transaktioner kan filtreres i EU og dermed sikre, at kun relevante og nødvendige data sendes til de amerikanske myndigheder. Hvis disse løsninger ikke kan findes omgående, bør der under alle omstændigheder nøje defineres en kort overgangsperiode i aftalen, hvorefter overførsler i store mængder ikke længere vil være tilladt.

21.

Med hensyn til lagringsperioden anerkender EDPS, at forslaget korrekt fastsætter maksimale opbevaringsperioder samt mekanismer til at sikre, at personoplysninger slettes, når de ikke længere er nødvendige. Imidlertid synes bestemmelserne i forslagets artikel 6 om ikke-udtrukne data at gå i den modsatte retning. For det første er begrebet »ikke-udtrukne data« ikke klart og bør derfor præciseres. For det andet er det ikke bevist, hvorfor det er nødvendigt at opbevare ikke-udtrukne data i fem år.

22.

EDPS anerkender fuldt ud behovet for at sikre, at personoplysninger, der er nødvendige til en bestemt efterforskning eller retsforfølgning af sager om terrorbekæmpelse, indhentes, behandles og opbevares så længe, som det er nødvendigt, i nogle tilfælde endda ud over fem år, eftersom det kan være, at der er behov for personoplysningerne til langvarige efterforskninger eller retlige procedurer. Hvis man imidlertid antager, at ikke-udtrukne data er data, som er blevet overført i store mængder, og som hverken er blevet indhentet eller brugt til en bestemt retsforfølgning eller efterforskning, bør den tilladte opbevaringsperiode for disse data være langt mere begrænset. I det lys er det nyttigt at fremhæve, at den tyske forbundsforfatningsdomstol har vurderet, at en lagringsperiode på seks måneder i tilfælde af opbevaring af telekommunikationsdata allerede er meget lang og som følge heraf kræver en tilstrækkelig begrundelse (8). Forfatningsdomstolen syntes at betragte denne seksmåneders periode som maksimal for data, der ikke vedrørte nogen bestemt efterforskning.

23.

Ifølge forhandlingsmandatet bør en offentlig juridisk myndighed have ansvaret for at modtage begæringer fra det amerikanske finansministerium, vurdere, at de er i overensstemmelse med aftalen og, hvor det er hensigtsmæssigt, forlange, at udbyderen overfører data direkte, dvs. på grundlag af et »push«-system. Både Europa-Parlamentet og EDPS så velvilligt på denne metode, som repræsenterer en afgørende garanti — på linje med medlemsstaternes nationale forfatninger og retssystemer — for at sikre lovlige og afbalancerede dataoverførsler samt en uafhængig kontrol.

24.

I henhold til forslaget pålægges denne opgave imidlertid Europol, som er et EU-agentur for forebyggelse og bekæmpelse af organiseret kriminalitet, terrorisme og andre former for grov kriminalitet, der berører to eller flere medlemsstater. (9) Det er indlysende, at Europol ikke er en retlig myndighed.

25.

Endvidere har Europol specifikke interesser i udveksling af personoplysninger på grundlag af den foreslåede aftale. Artikel 10 i forslaget giver Europol beføjelse til at anmode om relevant information opnået gennem TFTP, hvis det har grund til at formode, at en person eller en enhed har forbindelse til terrorisme. Det er svært at forene denne beføjelse for Europol, som kan være vigtig for løsningen af Europols opgave, og som kræver gode relationer til det amerikanske finansministerium, med Europols opgave med at sikre uafhængig kontrol.

26.

Endvidere vil EDPS gerne vide, i hvilken grad de nuværende juridiske rammer — især uden at ændre retsgrundlaget ifølge den almindelige procedure i henhold til Lissabontraktaten — giver Europol opgaver og beføjelser til at gøre en administrativ begæring fra et tredjeland »bindende« (artikel 4, stk. 5) for en privat virksomhed, der således bliver »bemyndiget og forpligtet« til at levere data til det pågældende tredjeland. I den forbindelse skal det bemærkes, at det, som EU-lovgivningen ser ud nu, ikke er klart, om en afgørelse truffet af Europol over for en privat virksomhed vil være underlagt Europadomstolens kontrol.

27.

På baggrund heraf gentager EDPS, at opgaven med at vurdere begæringerne fra det amerikanske finansministerium — også med henblik på at overholde forhandlingsmandatet og det nuværende EU-retsgrundlag — bør pålægges en offentlig juridisk myndighed.

28.

Som allerede nævnt i indledningen til denne udtalelse fastsættes der i forslaget en række rettigheder for registrerede såsom retten til at blive informeret, retten til aktindsigt, retten til berigtigelse, sletning eller blokering samt retten til at opnå erstatning. Det er imidlertid vigtigt på den ene side at forbedre nogle elementer af disse bestemmelser og på den anden at sikre, at de kan håndhæves effektivt.

29.

Med hensyn til retten til at få adgang til egne personoplysninger fastlægges der en række begrænsninger i aftalen. EDPS erkender, at der især i forbindelse med terrorbekæmpelse kan indføres begrænsninger i registreredes rettigheder, forudsat at de er nødvendige. Selv om videreformidling til en person af den pågældendes personoplysninger godt kan være begrænset under de i artikel 15, stk. 2, nævnte omstændigheder, bør det dog præciseres i forslaget, at videreformidling af disse oplysninger til de europæiske nationale databeskyttelsesmyndigheder under alle omstændigheder bør være mulig, så disse myndigheder kan løse deres tilsynsopgave effektivt. Naturligvis vil databeskyttelsesmyndighederne være bundet af tavshedspligt under udøvelsen af deres arbejde og skal ikke videreformidle oplysningerne til den pågældende person, så længe betingelserne for en undtagelse er til stede.

30.

Med hensyn til retten til berigtigelse hedder det i artikel 17, stk. 2, at »Hver part informerer så vidt muligt den anden, hvis den bliver opmærksom på, at væsentlige oplysninger, som den har overført til eller modtaget fra den anden part i medfør af denne aftale, er ukorrekte eller upålidelige«. EDPS mener, at forpligtelsen til at berigtige ukorrekte eller upålidelige oplysninger er en grundlæggende garanti ikke kun for den registrerede, men også for effektiviteten af de retshåndhævende myndigheders indsats. I den forbindelse bør myndigheder, som udveksler oplysninger, iværksætte mekanismer for at sikre, at denne berigtigelse altid er mulig, og ordene »så vidt muligt« bør derfor slettes fra forslaget.

31.

Imidlertid vedrører EDPS’ største bekymring spørgsmålet om, hvorvidt disse rettigheder kan håndhæves. Af hensyn til retssikkerhed og gennemsigtighed bør forslaget på den ene side indeholde nærmere detaljer om, hvilke konkrete procedurer de registrerede kan benytte for at håndhæve de rettigheder, der anerkendes i aftalen, både i EU og i USA.

32.

På den anden side hedder det eksplicit og klart i artikel 20, stk. 1, at aftalen »danner ikke grundlag for og giver ikke nogen rettigheder eller fordele til private eller offentlige personer eller enheder«. EDPS bemærker, at denne bestemmelse synes at annullere eller i det mindste sætte spørgsmålstegn ved den bindende virkning af de bestemmelser i aftalen, der sikrer registreredes rettigheder, som i øjeblikket hverken er anerkendt eller kan håndhæves i henhold til amerikansk lov, især når de registrerede ikke er amerikanske statsborgere eller personer med fast bopæl. F.eks. giver den amerikanske Privacy Act en begrænset ret til aktindsigt i personoplysninger, som er stærkere end den generelle ret til aktindsigt, offentligheden har i henhold til den amerikanske Freedom of Information Act. Dog hedder det klart i den amerikanske Privacy Act, at en begæring om aktindsigt i egne oplysninger kun er mulig for »en amerikansk statsborger eller en udlænding, som lovligt har fået fast ophold«. (10)

33.

EDPS henstiller derfor, at den nuværende formulering af artikel 20, stk. 1, revideres for at sikre, at de rettigheder, forslaget giver, er klart anført og kan håndhæves effektivt, også på amerikansk territorium.

34.

I forslagets artikel 12 fastsættes forskellige niveauer for overvågning af de betingelser og sikkerhedsforanstaltninger, som fastsættes ved aftalen. »Uafhængige overvågere« skal i realtid og med tilbagevirkende kraft overvåge alle søgninger, der iværksættes af det amerikanske finansministerium. Endvidere skal »en uafhængig person, som Europa-Kommissionen har udpeget«, løbende kontrollere det første kontrolniveau, herunder dets uafhængighed. Det bør præciseres, hvilke opgaver denne uafhængige person skal have, hvordan det vil blive garanteret, at den pågældende faktisk kan løse sine opgaver, og hvem han/hun refererer til.

35.

I artikel 13 fastsættes der også en mekanisme til fælles evaluering, som skal foretages efter seks måneder og herefter med regelmæssige mellemrum. Denne fælles evaluering skal foretages af en fælles europæisk-amerikansk delegation, der for EU-delegationens vedkommende skal omfatte repræsentanter for to databeskyttelsesmyndigheder, og der udfærdiges en rapport, som Kommissionen forelægger for Europa-Parlamentet og Rådet.

36.

EDPS fremhæver, at uafhængigt tilsyn er et centralt element i retten til beskyttelse af personoplysninger, som det bekræftes i artikel 16 TEUF og artikel 8 i EU's charter om grundlæggende rettigheder. For nylig opstillede Domstolen strenge kriterier for uafhængighed i sin dom af 9. marts 2010, Kommissionen mod Tyskland (11). Det er indlysende, at de samme strenge kriterier ikke kan pålægges tredjelande, men det er også klart, at der kun kan være tale om en passende beskyttelse af personoplysninger (12), såfremt der er tilstrækkelige garantier for uafhængig kontrol. Det er også en betingelse for internationale aftaler med lande, hvis retssystem ikke finder det nødvendigt at etablere kontrol ved en uafhængig myndighed.

37.

På denne baggrund er det afgørende, at i det mindste de nærmere betingelser for kontrollen og den fælles evaluering samt beføjelserne for de personer, der foretager kontrollen, og garantierne for deres uafhængighed er klart defineret i aftalen i stedet for at være noget, parterne »koordinerer i fællesskab«, eller som fastsættes af parterne på et senere tidspunkt. Navnlig er det vigtigt at sikre, at både den af Europa-Kommissionen udpegede person og repræsentanterne for de europæiske databeskyttelsesmyndigheder kan handle uafhængigt og udføre deres tilsynsopgaver effektivt.

38.

Endvidere bør forslaget ikke kun indeholde datoen for den første fælles evaluering, som skal finde sted efter seks måneder, men også tidslinjen for den følgende evaluering, der f.eks. kan finde sted hvert år derefter. EDPS henstiller også til, at der fastlægges en forbindelse mellem resultatet af disse fælles evalueringer og aftalens varighed.

39.

I den forbindelse understreger EDPS, at en udløbsklausul er ønskelig — også set i lyset af, at der muligvis foreligger mere målrettede løsninger på længere sigt. En udløbsklausul kan også være et godt incitament til at sikre, at der bliver gjort den nødvendige indsats for at udvikle sådanne løsninger, hvilket vil betyde, at der ikke længere er nogen grund til at sende data i store mængder til det amerikanske finansministerium.

40.

Med henblik på at styrke effektiviteten af både kontrollen og den fælles evaluering bør der foreligge information og relevante data om antallet af begæringer om aktindsigt og erstatning, mulig opfølgning (sletning, berigtigelse osv.) samt om antallet af beslutninger om begrænsning af registreredes rettigheder. I forbindelse med evalueringen bør der foreligge og rapporteres information om mængden ikke blot af meddelelser, det amerikanske finansministerium har »fået adgang til«, men også af meddelelser, der er »udleveret« til det amerikanske finansministerium. Det bør specificeres i aftalen.

41.

Endvidere bør de europæiske databeskyttelsesmyndigheders beføjelser og kompetencer ikke på nogen måde begrænses i forslaget. I den sammenhæng bemærker EDPS, at forslaget er et tilbageskridt i forhold til den midlertidige TFTP-aftale. For mens det i præamblen til den foregående aftale hed, at »denne aftale ikke udgør en fravigelse af medlemsstaternes databeskyttelsesmyndigheders eksisterende beføjelser til at beskytte enkeltpersoner med hensyn til behandling af deres personoplysninger«, er der i forslaget nu tale om »kompetente databeskyttelsesmyndigheders tilsyn på en måde, der er i overensstemmelse med denne aftales specifikke bestemmelser«. EDPS henstiller derfor, at det i forslaget klart erklæres, at aftalen ikke udgør en fravigelse fra eller begrænser de europæiske databeskyttelsesmyndigheders beføjelser.

42.

EDPS anerkender, at dette forslag omfatter visse væsentlige forbedringer i forhold til den midlertidige TFTP I-aftale såsom udelukkelse af oplysninger vedrørende det fælles europæiske betalingsområde, en mere begrænset definition af terrorisme og mere detaljerede bestemmelser om registreredes rettigheder.

43.

EDPS bemærker imidlertid, at en væsentlig forudsætning for vurderingen af en ny TFTP-aftales legitimitet bør opfyldes. Ordningens nødvendighed må fastslås i forhold til allerede eksisterende EU- og internationale instrumenter.

44.

Hvis ordningen skulle være nødvendig, fremhæver EDPS, at der stadig er nogle åbne spørgsmål, som skal besvares, og nogle centrale elementer, der skal forbedres for at opfylde betingelserne i EU's retlige rammer om beskyttelse af personoplysninger som f.eks.:

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/16

1.

Den 20. juli 2010 vedtog Kommissionen en meddelelse med titlen »Oversigt over informationsstyring på området frihed, sikkerhed og retfærdighed« (i det følgende benævnt »meddelelsen«) (3). Meddelelsen blev sendt til høring hos den tilsynsførende.

2.

Den tilsynsførende glæder sig over, at han blev hørt af Kommissionen. Allerede før vedtagelsen af meddelelsen fik den tilsynsførende mulighed for at fremsætte uformelle bemærkninger. Der er taget hensyn til mange af disse bemærkninger i den endelige udgave af dokumentet.

3.

Den tilsynsførende bifalder formålet med meddelelsen, der er »for første gang at give et fuldstændigt overblik over instrumenter på EU-niveau, der allerede anvendes, er ved at blive gennemført eller overvejes, og som regulerer indsamling, lagring og grænseoverskridende udveksling af personoplysninger med henblik på retshåndhævelse og migrationsforvaltning« (4). Målet med dokumentet er ligeledes at give borgerne et overblik over, hvilke oplysninger der indsamles, lagres og udveksles om dem, til hvilket formål og af hvem. Endvidere skal meddelelsen ifølge Kommissionen tjene som et gennemsigtigt referenceværktøj for alle interessenter, der ønsker at deltage i debatten om, hvilken retning EU's politik på dette område skal tage. Dette skal således bidrage til skabe en oplyst strategidialog med alle interessenter.

4.

Helt konkret nævnes det i meddelelsen, at målet er at afdække hovedformålet med disse instrumenter, deres struktur, den type personoplysninger, de dækker, »listen over myndigheder med adgang til sådanne oplysninger« (5) og bestemmelser om databeskyttelse og -lagring. Endvidere indeholder bilag I et begrænset antal eksempler på, hvordan instrumenterne fungerer i praksis.

5.

Derudover fastslås de hovedprincipper (»materielle principper« og »procesorienterede principper«), som Kommissionen agter at følge i den fremtidige udvikling af instrumenter til dataindsamling, -lagring og -udveksling. Under materielle principper nævner Kommissionen principper såsom beskyttelse af grundlæggende rettigheder, navnlig retten til respekt for privatlivets fred og beskyttelse af personoplysninger, nødvendighed, nærhedsprincippet og præcis risikostyring. Procesorienterede principper omfatter omkostningseffektivitet, bottom-up-politikudformning, klar ansvarsfordeling og bestemmelser om revision og ophør.

6.

Disse principper vil i henhold til meddelelsen blive brugt i evalueringen af eksisterende instrumenter. Kommissionen forventer, at en sådan principbaseret tilgang til politikudformning og -evaluering vil gøre nuværende og kommende instrumenter mere sammenhængende og effektive på en måde, der fuldt ud overholder borgernes grundlæggende rettigheder.

7.

Den tilsynsførende noterer sig, at meddelelsen er et vigtigt dokument, der giver et godt overblik over eksisterende og (mulige) fremtidige instrumenter til udveksling af oplysninger på området med frihed, sikkerhed og retfærdighed. Den indeholder en uddybning af kapital 4.2.2 (Styring af informationsstrømmen) og 5.1 (Integreret forvaltning af de ydre grænser) i Stockholmprogrammet (6). Meddelelsen kommer til at spille en vigtig rolle i den fremtidige udvikling af dette område. Derfor finder den tilsynsførende det hensigtsmæssigt at kommentere de forskellige elementer i meddelelsen, selvom selve teksten i meddelelsen ikke vil blive ændret.

8.

Den tilsynsførende ønsker at fremsætte et par supplerende punkter, som efter hans mening skal tages i betragtning i videreudviklingen af området med frihed, sikkerhed og retfærdighed. I denne udtalelse præciserer den tilsynsførende en række punkter, som også er beskrevet i den tilsynsførendes udtalelse af 10. juli 2009 om meddelelsen om et område med frihed, sikkerhed og retfærdighed i borgernes tjeneste (7) samt i en række andre udtalelser og kommentarer. Endvidere uddybes synspunkter, der er fremlagt ved tidligere lejligheder. Derudover henviser den tilsynsførende til rapporten om fremtiden for privatlivets fred, som Artikel 29-Gruppen og Gruppen vedrørende Politi og Retsvæsen vedtog den 1. december 2009. Denne rapport, der var et fælles bidrag til Kommissionens høring om de retlige rammer for de grundlæggende rettigheder til beskyttelse af personoplysninger, og som blev støttet af den tilsynsførende, indeholder vigtige retningslinjer for databeskyttelse i fremtiden, der også finder anvendelse på informationsudvekslingen på området for politisamarbejde og retligt samarbejde i straffesager.

9.

Den tilsynsførende glæder sig over meddelelsen, der er en reaktion på Det Europæiske Råds (8) opfordring til at udvikle instrumenter til informationsstyring på EU-plan i overensstemmelse med EU's informationsstyringsstrategi, og til at overveje en europæisk informationsudvekslingsmodel.

10.

Endvidere bemærker den tilsynsførende, at meddelelsen også skal læses som en reaktion på Stockholmprogrammet, der blev nævnt ovenfor, hvori der opfordres til sammenhæng og konsolidering i udviklingen af informationsudveksling vedrørende EU's indre sikkerhed. Mere præcist opfordres Kommissionen i Stockholmprogrammets kapitel 4.2.2 til at vurdere behovet for at udvikle en europæisk model for informationsudveksling baseret på evalueringen af de nuværende instrumenter, herunder Prümrammen og den såkaldte svenske rammeafgørelse. Disse vurderinger vil være bestemmende for, om instrumenterne fungerer som oprindeligt tiltænkt og opfylder målene i strategien for informationsudveksling.

11.

På den baggrund er det relevant at understrege, at der i Stockholmprogrammet henvises til en stærk databeskyttelsesordning som den primære forudsætning for EU's informationsstyringsstrategi. Den store vægt på databeskyttelse er fuldt ud i overensstemmelse med Lissabontraktaten, der som før nævnt indeholder en generel bestemmelse om databeskyttelse, som giver alle — herunder tredjelandsstatsborgere — en ret til databeskyttelse, der kan håndhæves af en dommer, og forpligter Rådet og Europa-Parlamentet til fastlægge omfattende rammer for databeskyttelse.

12.

Den tilsynsførende støtter også kravet i informationsstyringsstrategien om, at alle nye retsforskrifter, der letter lagring og udveksling af personlige oplysninger, kun skal foreslås, såfremt der foreligger konkret dokumentation for, at de er nødvendige. Den tilsynsførende har plæderet for denne tilgang i forskellige udtalelser om lovforslag på området frihed, sikkerhed og retfærdighed, f.eks. vedrørende anden generation af SIS (9), retshåndhævelsesadgang til Eurodac (10), revision af Eurodac- og Dublinforordningen (11), Kommissionens meddelelse om Stockholmprogrammet (12) og PNR-oplysninger (13).

13.

Det er af afgørende betydning at vurdere alle eksisterende instrumenter til informationsudveksling, før der stilles forslag om nye. Dette er så meget desto vigtigere i lyset af, at den nuværende ramme er et komplekst kludetæppe af forskellige instrumenter og systemer, hvoraf nogle først for nylig er blevet indført, hvilket betyder, at det endnu ikke har været muligt at vurdere deres effektivitet, nogle er ved at blive indført, og nogle endnu ikke er vedtaget.

14.

Derfor bemærker den tilsynsførende med tilfredshed, at der i meddelelsen drages en klar forbindelse til andre af Kommissionens initiativer til at gøre status over og evaluere dette område som opfølgning på Stockholmprogrammet.

15.

I denne forbindelse glæder den tilsynsførende sig navnlig over et initiativ vedrørende kortlægning af oplysninger, som Kommissionen iværksatte i januar 2010 og gennemførte i tæt samarbejde med en projektgruppe, som bestod af repræsentanter fra EU- og EFTA-medlemsstaterne, Europol, Eurojust, Frontex og Den Europæiske Tilsynsførende for Databeskyttelse (14). Som nævnt i meddelelsen har Kommissionen til hensigt at fremlægge resultaterne af »informationskortlægningen« for Rådet og Parlamentet allerede i 2010. Næste trin er at fremlægge en meddelelse om den europæiske informationsudvekslingsmodel.

16.

En klar forbindelse mellem meddelelsen og »informationskortlægningen« vil være overordentlig positiv, da der tydeligvis er en forbindelse mellem disse to. Det er naturligvis stadig for tidligt at vurdere, hvad disse øvelser og mere generelt diskussionerne om den europæiske informationsudvekslingsmodel fører til (hidtil har Kommissionen kun præsenteret »kortlægningsøvelsen« for at tage bestik af situationen). Den tilsynsførende vil følge dette arbejde nøje. Allerede på nuværende tidspunkt vil han dog gøre opmærksom på, at det er nødvendigt at skabe synergi og undgå divergerende konklusioner af alle disse initiativer, som Kommissionen har søsat, i forbindelse med drøftelserne om den europæiske informationsudvekslingsmodel.

17.

Den tilsynsførende ønsker at henvise den igangværende gennemgang af databeskyttelsesrammerne og især Kommissionens hensigt om at fremsætte forslag til omfattende rammer for databeskyttelse, herunder politisamarbejde og retligt samarbejde i straffesager.

18.

I den sammenhæng bemærker den tilsynsførende, at Kommissionen under »Beskytte de grundlæggende rettigheder, navnlig retten til respekt for privatliv og beskyttelse af personoplysninger« henviser til artikel 16 i traktaten om Den Europæiske Unions funktionsmåde, der er retsgrundlaget for arbejdet med en så omfattende databeskyttelsesordning. Han bemærker også, at Kommissionen i meddelelsen nævner, at den ikke analyserer specifikke databeskyttelsesbestemmelser i de instrumenter, der er til drøftelse, da Kommissionen på grundlag af førnævnte artikel 16 nu arbejder med en ny omfattende ramme for beskyttelse af personoplysninger i EU. Han håber, at der i den sammenhæng vil blive udarbejdet en grundig oversigt over de eksisterende og muligvis divergerende databeskyttelsesordninger, og at Kommissionen vil basere fremtidige drøftelser på en sådan oversigt.

19.

Sidst, men ikke mindst gør den tilsynsførende opmærksom på, at han ganske vist tilslutter sig målsætningerne og hovedindholdet i meddelelsen, men også, at dette dokument kun bør betragtes som et første skridt i evalueringsprocessen, og at den bør følges op med flere konkrete foranstaltninger, som bør resultere i en omfattende, integreret og velstruktureret EU-politik om informationsudveksling og -styring.

20.

Kommissionen henviser i meddelelsen til princippet om formålsbegrænsning som »et afgørende aspekt for de fleste instrumenter, der omtales i denne meddelelse«.

21.

Det glæder den tilsynsførende, at Kommissionen i meddelelsen lægger vægt på princippet om formålsbegrænsning, der betyder, at formålet med at indsamle personoplysninger skal være klart specificeret senest på tidspunktet for indsamlingen, og at oplysninger ikke må behandles med et formål, der er uforeneligt med det oprindelige formål. Enhver afvigelse fra princippet om formålsbegrænsning bør kun ske undtagelsesvist og kun gennemføres, hvis strenge betingelser er opfyldt, og der er indført de nødvendige juridiske og tekniske sikkerhedsforanstaltninger og andre sikkerhedsforanstaltninger.

22.

Den tilsynsførende beklager dog, at dette grundlæggende databeskyttelsesprincip kun er »et afgørende aspekt for de fleste instrumenter, der omtales i denne meddelelse«. På side 22 i meddelelsen nævntes SIS, SIS II og VIS, og det hedder, at »med undtagelse af disse centraliserede informationssystemer synes formålsbegrænsning at være en afgørende faktor for udviklingen af informationsstyringssystemer på EU-niveau«.

23.

Denne ordlyd kan læses, som om dette princip ikke har været en afgørende faktor i alle situationer og for alle systemer og instrumenter i tilknytning til informationsudveksling i EU. Den tilsynsførende bemærker her, at det er muligt og kan være nødvendigt at gøre undtagelser fra og begrænse dette princip, jf. artikel 13 i direktiv 95/46/EF og artikel 3, stk. 2, i rammeafgørelse 2008/977/RIA (15). Det er dog obligatorisk, at ethvert forslag til et nyt instrument i relation til informationsudveksling kun stilles og vedtages, hvis der er taget behørigt hensyn til princippet om formålsbegrænsning, og at sådanne undtagelser fra og begrænsninger af dette princip vedtages på ad hoc-grundlag og efter en indgående vurdering. Disse betragtninger er også relevante for SIS, SIS II og VIS.

24.

Enhver anden praksis vil være i strid med artikel 8 i EU's charter om grundlæggende rettigheder og EU's lovgivning om databeskyttelse (f.eks. direktiv 95/46/EF, forordning (EF) nr. 45/2001 og rammeafgørelse 2008/977/RIA) og med Den Europæiske Menneskerettighedsdomstols retspraksis. Manglende overholdelse af princippet om formålsbegrænsning kan også føre til såkaldt opgaveglidning mellem disse systemer (16).

25.

På side 25 i meddelelsen nævnes kravene i Den Europæiske Menneskerettighedsdomstols retspraksis vedrørende »proportionalitetstesten«, og det hedder, at »i alle kommende forslag vil Kommissionen vurdere initiativets forventede virkning for borgernes ret til privatlivets fred og beskyttelse af personoplysninger og gøre rede for, hvorfor en sådan virkning er nødvendig, og hvorfor den foreslåede løsning står i et rimeligt forhold til det legitime mål om at opretholde den indre sikkerhed i Den Europæiske Union, forebygge kriminalitet eller forvalte migration«.

26.

Den tilsynsførende glæder sig over ovenstående udtalelse, da også han har insisteret på, at overholdelse af princippet om proportionalitet og nødvendighed bør danne grundlag for alle beslutninger vedrørende eksisterende og nye systemer, der omfatter indsamling og udveksling af personoplysninger. Fremadrettet er det også vigtigt for de pågående overvejelser om, hvordan EU's informationsstyringsstrategi og den europæiske informationsudvekslingsmodel skal se ud.

27.

På denne baggrund glæder det den tilsynsførende, at Kommissionen til forskel fra den ordlyd, som Kommissionen brugte om princippet om formålsbegrænsning (jf. punkt 20-22 i denne udtalelse) med hensyn til nødvendighed forpligter sig til at vurdere alle kommende forslag til politikker, for så vidt angår virkningen på den enkelte borgers ret til privatlivets fred og beskyttelse af personoplysninger.

28.

Når det er sagt, gør den tilsynsførende dog opmærksom på, at alle disse krav vedrørende proportionalitet og nødvendighed er afledt af den eksisterende EU-lovgivning (navnlig chartret om grundlæggende rettigheder, der nu indgår i EU's primære ret) og Den Europæiske Menneskerettighedsdomstols veletablerede retspraksis. Med andre ord indeholder meddelelsen ingen nye elementer. Den tilsynsførende mener tværtimod ikke, at Kommissionen kun skal gentage disse krav, men skal fremsætte forslag til konkrete foranstaltninger og mekanismer, som kan sikre, at både princippet om nødvendighed og om proportionalitet overholdes og gennemføres i praksis i alle forslag, som får en virkning på borgernes rettigheder. Konsekvensvurderingen vedrørende beskyttelse af privatlivets fred, der drøftes i punkt 30-41, kunne være et godt instrument i denne sammenhæng. Denne analyse bør ikke kun dække nye forslag, men også eksisterende systemer og mekanismer.

29.

Den tilsynsførende benytter desuden lejligheden til at understrege, at man i overvejelserne om proportionalitet og nødvendighed i EU's informationsstyringsstrategi bør understrege behovet for at sikre den rette balance mellem databeskyttelse på den ene side og retshåndhævelse på den anden. Denne balance betyder ikke, at databeskyttelse bliver en hæmsko for brugen af de oplysninger, der er nødvendige for at efterforske en forbrydelse. Alle oplysninger, der er nødvendige til dette arbejde, kan bruges i overensstemmelse med databeskyttelsesbestemmelserne (17).

30.

Stockholmprogrammet indeholder et krav om en objektiv, samlet vurdering af alle instrumenter og systemer for informationsudveksling i EU. Den tilsynsførende støtter naturligvis en sådan tilgang.

31.

Meddelelsen forekommer dog ikke at være helt afbalanceret i så henseende. Det ser ud til, at Kommissionen, i det mindste med hensyn til tal og statistikker, prioriterer instrumenter, som har vist sig vellykkede i årenes løb og betragtes som »succeshistorier« (f.eks. antallet af rigtige hits i SIS og Eurodac). Den tilsynsførende betvivler ikke disse systemers generelle succes. Men som eksempel vil han nævne, at aktivitetsrapporterne fra den fælles tilsynsmyndighed for SIS (18) viser, at indberetninger i SIS i et ikke ubetydeligt antal tilfælde var forældede, forkert stavede eller forkerte, hvilket fik (eller kunne få) negative følger for den pågældende borger. Disse oplysninger findes ikke i meddelelsen.

32.

Den tilsynsførende råder Kommissionen til at genoverveje den tilgang, den har valgt i meddelelsen. Den tilsynsførende foreslår, at også fejl og svagheder indgår i det fremtidige arbejde med informationsstyring, f.eks. antallet af personer, der tilbageholdes uberettiget eller på en eller anden måde ulejliges på grund af et forkert hit i systemet, så man sikrer en rimelig balance.

33.

Den tilsynsførende foreslår f.eks. at data fra hits i SIS/Sirene (bilag 1) suppleres med en henvisning til den fælles tilsynsmyndigheds arbejde om indberetningernes pålidelighed og nøjagtighed.

34.

Blandt de procesorienterede principper, der er opregnet på side 26-27, henvises der i meddelelsen til princippet om klar ansvarsfordeling, især i henseende til den indledende udformning af forvaltningsstrukturer. I den sammenhæng nævnes der problemer med SIS II-projektet og det kommende it-agenturs ansvarsområder.

35.

Den tilsynsførende vil benytte lejligheden til at understrege vigtigheden af princippet om »ansvarlighed«, som også bør gennemføres inden for politisamarbejde og retligt samarbejde om straffesager og spille en vigtig rolle i udformningen af den nye og mere udviklede EU-politik om dataudveksling og informationsstyring. Princippet drøftes i forbindelse med de kommende rammer for databeskyttelse på EU-plan som et værktøj til at få registeransvarlige til at reducere risikoen for manglende overholdelse endnu mere ved at gennemføre relevante mekanismer til effektiv databeskyttelse. Ansvarlighed kræver, at registeransvarlige indfører interne mekanismer og kontrolsystemer, der sikrer overholdelse og dokumenterer — f.eks. i form af revisionsrapporter — eksterne interessenters overholdelse, herunder tilsynsmyndighedernes (19). Den tilsynsførende understregede også nødvendigheden af disse foranstaltninger i sine udtalelser om VIS og SIS II i 2005.

36.

Kommissionen nævner begrebet »Privacy by design« på side 25 i meddelelsen (under Materielle principper »Beskytte de grundlæggende rettigheder, navnlig retten til respekt for privatliv og beskyttelse af personoplysninger«). Her hedder, det, at »når der skal udvikles nye instrumenter, der er baseret på brug af informationsteknologi, vil Kommissionen forsøge at følge den tilgang, der kaldes »privacy by design« (indbygget databeskyttelse)«.

37.

Den tilsynsførende glæder sig over, at Kommissionen nævner dette begreb (20), som er under udvikling for både den private og den offentlige sektor generelt og også skal spille en vigtig rolle inden for politi og retsvæsen (21).

38.

Den tilsynsførende er overbevist om, at denne meddelelse er en god lejlighed til at overveje, hvad der skal forstås ved en rigtig »konsekvensvurdering vedrørende privatlivs- og databeskyttelse«.

39.

Den tilsynsførende bemærker, at dette aspekt ikke præciseres eller udvikles til et politisk krav, hverken de generelle retningslinjer som beskrevet i meddelelsen eller i Kommissionens retningslinjer for konsekvensvurderinger (22).

40.

Den tilsynsførende anbefaler derfor, at der foretages en mere indgående konsekvensvurdering vedrørende privatlivs- og databeskyttelse i forbindelse med kommende instrumenter, enten som en særskilt vurdering eller som led i den generelle konsekvensvurdering for grundlæggende rettigheder. Der bør udvikles specifikke indikatorer og funktioner for at sikre, at alle forslag med indvirkning på privatlivs- og databeskyttelse gøres til genstand for indgående overvejelser. Den tilsynsførende foreslår også, at dette spørgsmål indgår i det løbende arbejde med den samlede ramme for databeskyttelse.

41.

Desuden kunne det være nyttigt i denne forbindelse at henvise til artikel 4 i Kommissionens henstilling om gennemførelse af principperne om beskyttelse af personoplysninger og privatlivets fred i forbindelse med anvendelse af radiofrekvensbaseret identifikation (RFID-henstillingen) (23), hvor Kommissionen henstiller til medlemsstaterne at sikre, at erhvervslivet i samarbejde med relevante parter fra civilsamfundet opstiller en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse. I Madrid-resolutionen, som databeskyttelseskommissærerne vedtog på den internationale konference i november 2009, tilskyndes der til at gennemføre disse konsekvensvurderinger før indførelsen af nye informationssystemer og -teknologier til behandling af personoplysninger eller betydelige ændringer i eksisterende behandlinger.

42.

Den tilsynsførende bemærker, at Kommissionen ikke forholder sig specifikt til det vigtige spørgsmål om registreredes rettigheder, som er et afgørende element i databeskyttelsen. Det er vigtigt at sikre, at borgerne på tværs af alle forskellige systemer og instrumenter, der vedrører informationspakken, har samme rettigheder med hensyn til, hvordan deres personoplysninger behandles. Under mange af de systemer, der nævnes i meddelelsen, er der indført særlige regler vedrørende registreredes rettigheder, men der er store forskelle mellem systemer og instrumenter, uden at der findes nogen god begrundelse herfor.

43.

Den tilsynsførende opfordrer derfor Kommissionen til i nær fremtid at se mere indgående på dette spørgsmål om at ensrette registreredes rettigheder i EU.

44.

Selvom Kommissionen henviser til brugen af biometriske indikatorer (24), forholder den sig ikke specifikt til det aktuelle fænomen med øget brug af biometriske data i informationsudveksling i EU, herunder i store it-systemer og andre grænseforvaltningsværktøjer. Ligeledes indeholder meddelelsen heller ingen konkret indikation af, hvordan Kommissionen forventer at behandle dette spørgsmål i fremtiden, og om man arbejder med en samlet politik i henseende til denne stigende tendens. Dette er beklageligt, da spørgsmålet er overordentlig vigtigt og følsomt rent databeskyttelsesmæssigt.

45.

På denne baggrund ønsker den tilsynsførende at nævne, at han ved mange lejligheder, i forskellige fora og udtalelser (25) har understreget de mulige risici i tilknytning til den kraftige indvirkning af brugen af biometriske data på den enkeltes rettigheder. Ved disse lejligheder har han også foreslået at indføre strenge sikkerhedsbetingelser for brugen af biometriske data i bestemte instrumenter og systemer. Den tilsynsførende henledte også opmærksomheden på et problem i forbindelse med den iboende unøjagtighed ved indsamling og sammenligning af biometriske data.

46.

Af disse grunde benytter den tilsynsførende sig af lejligheden til at anmode Kommissionen om at udvikle en klar, stringent politik for brugen af biometriske data på området frihed, sikkerhed og retfærdighed baseret på en reel vurdering og en ad hoc-evaluering af behovet for at bruge biometriske data med fuldstændig respekt for så grundlæggende databeskyttelsesprincipper som proportionalitet, nødvendighed og formålsbegrænsning.

47.

Den tilsynsførende har ved en tidligere lejlighed (26) givet udtryk for en række bekymringer vedrørende kompatibilitet. En af følgerne af interoperabilitet mellem systemer er, at det kan tilskynde til forslag til nye mål for store it-systemer, der går videre end deres oprindelige formål, og/eller til brug af biometriske data som primær nøgle på dette område. Der er behov for specifikke beskyttelsesforanstaltninger og betingelser til forskellige former for interoperabilitet. Den tilsynsførende understregede også i denne forbindelse, at interoperabilitet mellem systemerne skal gennemføres med behørigt hensyn til databeskyttelsesprincipper og navnlig formålsbegrænsningsprincippet.

48.

På denne baggrund bemærker den tilsynsførende, at Kommissionen ikke henviser specifikt til spørgsmålet om interoperabilitet mellem systemer. Den tilsynsførende opfordrer derfor Kommissionen til at udvikle en politik for dette vigtige aspekt af EU's informationsudveksling, som bør indgå i evalueringen.

49.

Meddelelsen indeholder et kapitel med lovgivningsforslag, som Kommissionen skal fremlægge i fremtiden. Bl.a. nævnes et forslag vedrørende personer med status som registreret rejsende (Registered Travellers Programme, RTP) og et forslag til et ind- og udrejsesystem for tredjelandsstatsborgere. Den tilsynsførende vil gerne fremsætte et par bemærkninger til ovennævnte forslag, som Kommissionen, som det fremgår af meddelelsen, allerede har truffet beslutning om.

50.

Som det understreges i udtalelsens punkt 3, er formålet med meddelelsen »for første gang et fuldstændigt overblik over instrumenter på EU-niveau, (…) som regulerer indsamling, lagring og grænseoverskridende udveksling af personoplysninger med henblik på retshåndhævelse og migrationsforvaltning«.

51.

I den sammenhæng vil den tilsynsførende gerne vide, hvad det endelige formål med programmet for registrerede rejsende bliver, og hvordan dette forslag, som Kommissionen drøfter, henhører under retshåndhævelse og migrationsforvaltning. Det fremgår af meddelelsen på side 20, at »dette program ville give visse grupper af hyppigt rejsende tredjelandsstatsborgere mulighed for at indrejse i EU (…) under anvendelse af forenklet kontrol ved automatiske kontrolposter.« Formålet med instrumenterne ser således ud til at være at gøre det lettere at rejse for hyppigt rejsende borgere. Disse instrumenter får derfor ikke nogen (klart eller direkte) forbindelse til retshåndhævelse og migrationsforvaltning.

52.

I forbindelse med det kommende ind- og udrejsesystem (side 20) nævnes problemet med »personer, der bliver længere, end de har tilladelse til«, og at denne kategori af borgere »udgør den største gruppe ulovlige indvandrere i EU«. Sidstnævnte argument fremføres som grunden til, at Kommissionen besluttede at stille forslag til et ind- og udrejsesystem for tredjelandsstatsborgere, der rejser ind i EU med henblik på kortvarige ophold af højst tre måneders varighed.

53.

Desuden hedder det i meddelelsen, at et »sådant system kan omfatte registrering af oplysninger om dato og sted for indrejsen, længden af det tilladte ophold og videresendelse af automatiske advarsler til de kompetente myndigheder, hvis der findes frem til en person, der er blevet længere, end den pågældende har tilladelse til. Baseret på en kontrol af biometriske data vil systemet kunne anvende samme biometriske matchsystem og driftsudstyr som SIS II og VIS«.

54.

Den tilsynsførende finder det vigtigt at præcisere målgruppen af personer, der er blevet længere, end de har tilladelse til, med henvisning til en eksisterende juridisk definition eller underbygge det med pålidelige tal eller statistikker. Dette er så meget desto vigtigere, eftersom alle beregninger af antallet af «personer, der er blevet længere, end de har tilladelse til« i EU for indeværende alene er baseret på skøn. Det bør også afklares, hvilke foranstaltninger der skal træffes over for »personer, der er blevet længere, end de har tilladelse til«, når systemet har identificeret dem, eftersom EU ikke har en klar, sammenhængende politik for personer, som »bliver længere, end de har tilladelse til« i EU.

55.

Formuleringen i meddelelsen tyder desuden på, at Kommissionen allerede har besluttet at indføre systemet, mens det samtidig hedder, at Kommissionen i øjeblikket gennemfører en konsekvensanalyse. Den tilsynsførende understreger, at en beslutning om at indføre et så komplekst system, der samtidig er et angreb på privatlivets fred, kun bør træffes på grundlag af en specifik konsekvensvurdering med konkret dokumentation og information om, hvorfor et sådant system er nødvendigt, og hvorfor der ikke kan findes alternative løsninger baseret på de eksisterende systemer.

56.

Endelig ser det ud til, at Kommissionen forbinder dette kommende system med det biometriske matchsystem og driftsudstyr, der anvendes til SIS II og VIS. Men dette sker, uden at man samtidig nævner, at hverken SIS II eller VIS er taget i brug endnu, og at det nøjagtige tidspunkt for deres ibrugtagning er ukendt på nuværende tidspunkt. Med andre ord bliver ind- og udrejsesystemet dybt afhængigt af biometriske systemer og driftssystemer, som endnu ikke er taget i brug, hvorfor deres resultater og funktioner umuligt kan være blevet vurderet tilstrækkeligt indgående.

57.

I forbindelse med de initiativer, som Kommissionen skal undersøge — dvs. som den endnu ikke har truffet endelig beslutning om — omtales tre initiativer, der er en reaktion på Det Europæiske Råds anmodning i Stockholmprogrammet: et system for sporing af terrorfinansiering inden for EU (svarende til det amerikanske TFTP), et elektronisk system for rejsetilladelser (ESTA) og et europæisk strafferegisterindekssystem (EPRIS).

58.

Den tilsynsførende vil følge disse tre initiativer nøje og fremsætte bemærkninger og forslag, når det er relevant.

59.

Den tilsynsførende bifalder meddelelsen, der giver et fuldstændigt overblik over EU's informationsudvekslingssystemer, både eksisterende og planlagte. Den tilsynsførende har i adskillige udtalelser og kommentarer understreget betydningen af at vurdere alle eksisterende instrumenter til informationsudveksling, før der stilles forslag om nye.

60.

Den tilsynsførende glæder sig også over, at der i meddelelsen henvises til arbejdet med den samlede databeskyttelsesramme på grundlag af artikel 16 i TEUF, som bør indgå i arbejdet med at udvikle en oversigt over EU's informationsstyring.

61.

Den tilsynsførende betragter denne meddelelse som første skridt i evalueringsprocessen. Det bør følges op med en reel vurdering, hvis resultat bør være en samlet, integreret og velstruktureret EU-politik for informationsudveksling og -styring. I den sammenhæng glæder det den tilsynsførende at se, at der er skabt forbindelse til andre af de initiativer, som Kommissionen har truffet som reaktion på Stockholmprogrammet, især den »informationskortlægning«, som Kommissionen foretager i samarbejde med et projektteam.

62.

Den tilsynsførende foreslår, at der også rapporteres om og tages hensyn til fejl og svagheder i det fremtidige arbejde med informationsstyring, f.eks. antallet af personer, der tilbageholdes uberettiget eller på anden måde ulejliges på grund af et forkert hit i systemet.

63.

Princippet om formålsbegrænsning bør betragtes som grundlag for alle instrumenter til informationsudveksling i EU, og der kan kun stilles forslag til nye instrumenter, hvis der er taget behørigt hensyn til princippet om formålsbegrænsning, og dette overholdes i udviklingen. Dette skal være tilfældet gennem hele gennemførelsen.

64.

Den tilsynsførende tilskynder Kommissionen til gennem udvikling af konkrete foranstaltninger og mekanismer at sikre, at principperne om nødvendighed og proportionalitet overholdes og gennemføres i praksis i alle nye forslag, der indvirker på den enkeltes rettigheder. Der er også behov for at vurdere de allerede eksisterende systemer med hensyn til dette spørgsmål.

65.

Den tilsynsførende er overbevist om, at denne meddelelse er en fortræffelig lejlighed til at iværksætte en diskussion om og sikre en mere nøjagtig præcisering af, hvad der skal forstås ved en »konsekvensvurdering vedrørende privatlivs- og databeskyttelse«.

66.

Han opfordrer Kommissionen til at udvikle en mere sammenhængende og konsekvent politik for forudsætningerne for at bruge biometriske data, en politik for systemoperabilitet og harmonisering af registreredes rettigheder på EU-plan.

67.

Den tilsynsførende glæder sig over, at Kommissionen nævner begrebet »privacy by design« (indbygget databeskyttelse), som er under udvikling for både den private og den offentlige sektor generelt og derfor skal spille en vigtig rolle inden for politi og retsvæsen.

68.

Sidst, men ikke mindst gør den tilsynsførende opmærksom på sine bemærkninger og bekymringer vedrørende kapitlet »Lovgivningsforslag, som Kommissionen skal fremlægge« vedrørende ind- og udrejsesystemet og programmet for registrerede rejsende.

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/24

—

under fusioner på Kommissionens websted for konkurrence (http://ec.europa.eu/competition/mergers/cases/). Dette websted giver forskellige muligheder for at finde de konkrete fusionsbeslutninger, idet de er opstillet efter bl.a. virksomhedens navn, sagsnummer, dato og sektor

—

i elektronisk form på EUR-Lex-webstedet (http://eur-lex.europa.eu/da/index.htm) under dokumentnummer 32010M5952. EUR-Lex giver online-adgang til EU-retten.

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/24

—

under fusioner på Kommissionens websted for konkurrence (http://ec.europa.eu/competition/mergers/cases/). Dette websted giver forskellige muligheder for at finde de konkrete fusionsbeslutninger, idet de er opstillet efter bl.a. virksomhedens navn, sagsnummer, dato og sektor

—

i elektronisk form på EUR-Lex-webstedet (http://eur-lex.europa.eu/da/index.htm) under dokumentnummer 32010M6040. EUR-Lex giver online-adgang til EU-retten.

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/25

—

under fusioner på Kommissionens websted for konkurrence (http://ec.europa.eu/competition/mergers/cases/). Dette websted giver forskellige muligheder for at finde de konkrete fusionsbeslutninger, idet de er opstillet efter bl.a. virksomhedens navn, sagsnummer, dato og sektor

—

i elektronisk form på EUR-Lex-webstedet (http://eur-lex.europa.eu/da/index.htm) under dokumentnummer 32010M6072. EUR-Lex giver online-adgang til EU-retten.

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/26

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/27

Občina Benedikt

Čolnikov trg 5

SI-2234 Benedikt

SLOVENIJA

1)

Støtte til investeringer i landbrugsbedrifter med henblik på primærproduktion:

2)

Støtte til bevarelse af traditionelle landskaber og bygninger:

3)

Støtte til jordfordeling:

4)

Støtte til fremme af produktionen af kvalitetslandbrugsprodukter:

5)

Støtte til teknisk bistand i landbrugssektoren:

Občina Piran

Tartinijev trg 2

SI-6330 Piran

SLOVENIJA

Regione del Veneto

Palazzo Balbi

Dorsoduro 3901

30123 Venezia VE

ITALIA

Tlf. +39 412795030

Fax +39 412795085

E-mail: dir.formazione@regione.veneto.it

Provincie Utrecht

Postbus 80300

3508 TH Utrecht

NEDERLAND

1)

Op til 100 % til udgifterne til fjernelse og destruktion af døde dyr, hvor der er forpligtelse til at foretage TSE-tester på de døde dyr.

2)

Op til 100 % af udgifterne til fjernelse og op til 75 % af udgifterne til destruktion:

3)

Op til 61 % af udgifterne til fjernelse og op til 59 % af udgifterne til destruktion:

Lietuvos Respublikos žemės ūkio ministerija

Gedimino pr. 19

LT-01103 Vilnius

LIETUVA/LITHUANIA

Department of Agriculture, Fisheries and Food

Agriculture House

Kildare Street

Dublin 2

IRELAND

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/34

1.

Malta Freeport

2.

Mġarr Yacht Marina

3.

Msida Yacht Marina

4.

Valletta Seaport

1.

Malta International Airport, Luqa

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/35

1.

Der holdes en licitation over nedsættelsen af importtolden for sorghum, henhørende under KN-kode 1007 00 90, fra tredjelande.

2.

Licitationen gennemføres i overensstemmelse med bestemmelserne i Kommissionens forordning (EU) nr. 1262/2010 (1).

1.

Fristen for indgivelse af bud til den første dellicitation udløber den 13. januar 2011 kl. 10:00 belgisk tid.

Fristen for indgivelse af bud til de følgende dellicitationer udløber følgende dage kl. 10:00 belgisk tid:

2.

Denne bekendtgørelse offentliggøres kun ved åbningen af licitationen. Medmindre den ændres eller afløses af en anden bekendtgørelse, gælder denne bekendtgørelse for alle dellicitationer, der iværksættes i løbet af denne licitations gyldighedsperiode.

1.

De skriftligt afgivne bud skal senest være fremme på de i afsnit II angivne datoer og klokkeslæt og enten ved indlevering mod kvittering for modtagelsen eller ad elektronisk vej tilgå en af følgende adresser:

Adresse:

Bud, der ikke indgives elektronisk, skal sendes til den pågældende adresse i forseglet dobbelt kuvert. Den inderste kuvert, der ligeledes skal være forseglet, skal bære påskriften: »Bud i forbindelse med licitation over nedsættelse af importtolden for sorghum — forordning (EU) nr. 1262/2010«.

Indtil den pågældende har fået meddelelse om licitationstilslaget fra vedkommende medlemsstat, er de afgivne bud bindende.

2.

Buddet samt det bevis og den erklæring, der er omhandlet i artikel 7, stk. 3, i Kommissionens forordning (EF) nr. 1296/2008 (2), affattes på det eller et af de officielle sprog i den medlemsstat, hvor den ansvarlige myndighed har modtaget buddet.

a)

retten til i den medlemsstat, hvor buddet er indgivet, at få udstedt en importlicens med angivelse af den nedsættelse af importtolden, der er anført i buddet, og som tildeles for den pågældende mængde

b)

forpligtelsen til i den i litra a) nævnte medlemsstat at anmode om en importlicens for denne mængde.

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/37

1.

Der holdes en licitation over nedsættelsen af importtolden for majs, henhørende under KN-kode 1005 90 00, fra tredjelande.

2.

Licitationen gennemføres i overensstemmelse med bestemmelserne i Kommissionens forordning (EU) nr. 1262/2010 (1).

1.

Fristen for indgivelse af bud til den første dellicitation udløber den 13. januar 2011 kl. 10:00 belgisk tid.

Fristen for indgivelse af bud til de følgende dellicitationer udløber følgende dage kl. 10:00 belgisk tid:

2.

Denne bekendtgørelse offentliggøres kun ved åbningen af licitationen. Medmindre den ændres eller afløses af en anden bekendtgørelse, gælder denne bekendtgørelse for alle dellicitationer, der iværksættes i løbet af denne licitations gyldighedsperiode.

1.

De skriftligt afgivne bud skal senest være fremme på de i afsnit II angivne datoer og klokkeslæt og enten ved indlevering mod kvittering for modtagelsen eller ad elektronisk vej tilgå en af følgende adresser:

Adresse:

Bud, der ikke indgives elektronisk, skal sendes til den pågældende adresse i forseglet dobbelt kuvert. Den inderste kuvert, der ligeledes skal være forseglet, skal bære påskriften: »Bud i forbindelse med licitation over nedsættelse af importtolden for majs — forordning (EU) nr. 1262/2010«.

Indtil den pågældende har fået meddelelse om licitationstilslaget fra vedkommende medlemsstat, er de afgivne bud bindende.

2.

Buddet samt det bevis og den erklæring, der er omhandlet i artikel 7, stk. 3, i Kommissionens forordning (EF) nr. 1296/2008 (2), affattes på det eller et af de officielle sprog i den medlemsstat, hvor den ansvarlige myndighed har modtaget buddet.

a)

retten til i den medlemsstat, hvor buddet er indgivet, at få udstedt en importlicens med angivelse af den nedsættelse af importtolden, der er anført i buddet, og som tildeles for den pågældende mængde

b)

forpligtelsen til i den i litra a) nævnte medlemsstat at anmode om en importlicens for denne mængde.

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/39

1.

Der holdes en licitation over nedsættelsen af importtolden for majs, henhørende under KN-kode 1005 90 00, fra tredjelande.

2.

Licitationen gennemføres i overensstemmelse med bestemmelserne i Kommissionens forordning (EU) nr. 1262/2010 (1).

1.

Fristen for indgivelse af bud til den første dellicitation udløber den 13. januar 2011 kl. 10:00 belgisk tid.

Fristen for indgivelse af bud til de følgende dellicitationer udløber følgende dage kl. 10:00 belgisk tid:

2.

Denne bekendtgørelse offentliggøres kun ved åbningen af licitationen. Medmindre den ændres eller afløses af en anden bekendtgørelse, gælder denne bekendtgørelse for alle dellicitationer, der iværksættes i løbet af denne licitations gyldighedsperiode.

1.

De skriftligt afgivne bud skal senest være fremme på de i afsnit II angivne datoer og klokkeslæt og enten ved indlevering mod kvittering for modtagelsen eller ad elektronisk vej tilgå en af følgende adresser:

Adresse:

Bud, der ikke indgives elektronisk, skal sendes til den pågældende adresse i forseglet dobbelt kuvert. Den inderste kuvert, der ligeledes skal være forseglet, skal bære påskriften: »Bud i forbindelse med licitation over nedsættelse af importtolden for majs — forordning (EU) nr. 1262/2010«.

Indtil den pågældende har fået meddelelse om licitationstilslaget fra vedkommende medlemsstat, er de afgivne bud bindende.

2.

Buddet samt det bevis og den erklæring, der er omhandlet i artikel 7, stk. 3, i Kommissionens forordning (EF) nr. 1296/2008 (2), affattes på det eller et af de officielle sprog i den medlemsstat, hvor den ansvarlige myndighed har modtaget buddet.

a)

retten til i den medlemsstat, hvor buddet er indgivet, at få udstedt en importlicens med angivelse af den nedsættelse af importtolden, der er anført i buddet, og som tildeles for den pågældende mængde

b)

forpligtelsen til i den i litra a) nævnte medlemsstat at anmode om en importlicens for denne mængde.

29.12.2010   

DA

Den Europæiske Unions Tidende

C 355/41

1.

Den 17. december 2010 modtog Kommissionen i overensstemmelse med artikel 4 i Rådets forordning (EF) nr. 139/2004 (1) anmeldelse af en planlagt fusion, hvorved Veolia Eau — Compagnie Génerale des Eaux SCA (»Veolia Eau«, Frankrig), der tilhører koncernen Veolia Environnement, og Electricité de France International SA (»EDFI«, Frankrig), der tilhører koncernen Electricité de France (»EDF«), gennem opkøb af aktier i holdingselskabet for Société d'Energie et d'Eau du Gabon (»SEEG«), Veolia Water India Africa SA (»VWIA«, Frankrig), der i øjeblikket kontrolleres alene af Veolia Eau, erhverver fælles kontrol over Société d'Energie et d'Eau du Gabon (»SEEG«, Gabon), jf. Fusionsforordningens artikel 3, stk. 1, litra b).

2.

De deltagende virksomheder er aktive på følgende områder:

3.

Efter en foreløbig gennemgang af sagen finder Kommissionen, at den anmeldte fusion muligvis falder ind under EF-fusionsforordningen. Den har dog endnu ikke taget endelig stilling hertil. Det bemærkes, at denne sag eventuelt vil blive behandlet efter den forenklede procedure i overensstemmelse med Kommissionens meddelelse om en forenklet procedure til behandling af visse fusioner efter EF-fusionsforordningen (2).

4.

Kommissionen opfordrer hermed alle interesserede til at fremsætte deres eventuelle bemærkninger til den planlagte fusion.

Bemærkningerne skal være Kommissionen i hænde senest ti dage efter offentliggørelsen af denne meddelelse og kan med angivelse af sagsnummer COMP/M.6105 — Veolia/EDF/Société d'Energie et d'Eau du Gabon sendes til Kommissionen pr. fax (+32 22964301), pr. e-mail til COMP-MERGER-REGISTRY@ec.europa.eu eller pr. brev til følgende adresse: