This document is an excerpt from the EUR-Lex website
Document 52006XX1027(02)
Opinion of the European Data Protection Supervisor on the Proposal for a Council Decision establishing the European Police Office (Europol) — COM(2006) 817 final
Yttrande från Europeiska datatillsynsmannen om förslaget till rådets beslut om inrättande av Europeiska polisbyrån (Europol), (KOM(2006) 817 slutlig)
Yttrande från Europeiska datatillsynsmannen om förslaget till rådets beslut om inrättande av Europeiska polisbyrån (Europol), (KOM(2006) 817 slutlig)
EUT C 255, 27.10.2007, p. 13–21
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
27.10.2007 |
SV |
Europeiska unionens officiella tidning |
C 255/13 |
Yttrande från Europeiska datatillsynsmannen om förslaget till rådets beslut om inrättande av Europeiska polisbyrån (Europol), (KOM(2006) 817 slutlig)
(2007/C 255/02)
EUROPEISKA DATATILLSYNSMANNEN HAR ANTAGIT DETTA YTTRANDE
med beaktande av fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 286,
med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna, särskilt artikel 8,
med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (1),
med beaktande av Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (2), särskilt artikel 41,
med beaktande av den begäran om ett yttrande i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 som översändes till datatillsynsmannen den 20 december 2006.
HÄRIGENOM FRAMFÖRS FÖLJANDE.
I. INLEDANDE KOMMENTARER
Samråd med datatillsynsmannen
1. |
Kommissionen överlämnade förslaget till rådets beslut om inrättande av Europeiska polisbyrån (Europol) till datatillsynsmannen för rådgivning i enlighet med artikel 28.2 i förordning (EG) nr 45/2001. Enligt datatillsynsmannen bör detta yttrande nämnas i ingressen till rambeslutet (3). |
Förslagets betydelse
2. |
Förslaget syftar inte till någon stor förändring av Europols mandat eller verksamhet, utan huvudsyftet är att ge Europol en ny och mer flexibel rättslig grund. Europol inrättades 1995 på grundval av en konvention mellan medlemsstaterna i enlighet med artikel K.6 i EU-fördraget (nu artikel 34) (4). Nackdelen med sådana konventioner när det gäller flexibilitet och effektivitet är att de måste ratificeras av alla medlemsstater, och de senaste erfarenheterna visar att detta kan ta flera år. Såsom anges i motiveringen till förslaget hade de tre ändringsprotokollen till Europolkonventionen, vilka antogs 2000, 2002 och 2003, ännu inte trätt i kraft i slutet av 2006 (5). |
3. |
Förslaget innehåller emellertid även materiella ändringar för att ytterligare förbättra Europols sätt att fungera. Det utökar Europols mandat och innehåller flera nya bestämmelser som syftar till att underlätta Europols arbete. Ur detta perspektiv blir utbytet av uppgifter mellan Europol och andra (exempelvis Europeiska gemenskapens/Europeiska unionens organ, medlemsstaternas myndigheter och tredjeländer) en viktigare fråga. Enligt förslaget skall Europol göra sitt yttersta för att säkerställa interoperabiliteten mellan Europols databehandlingssystem och databehandlingssystemen i medlemsstaterna och hos Europeiska gemenskapens/Europeiska unionens organ (artikel 10.5 i förslaget). Dessutom skall nationella enheter ha direkt åtkomst till Europols system. |
4. |
Europols ställning som organ enligt avdelning VI i fördraget om Europeiska unionen (tredje pelaren) får konsekvenser för den tillämpliga dataskyddslagstiftningen eftersom förordning (EG) nr 45/2001 endast gäller databehandling som utförs vid utövandet av verksamhet som omfattas av gemenskapslagstiftningen och därför i princip inte är tillämplig på databehandling vid Europol. Kapitel V i förslaget innehåller särskilda bestämmelser om dataskydd och datasäkerhet som kan anses vara lex specialis där det föreskrivs ytterligare regler utöver en lex generalis, en allmän rättslig ram för dataskydd. Denna allmänna rättsliga ram för tredje pelaren har emellertid ännu inte antagits (se vidare punkterna 37–40). |
5. |
Slutligen måste det påpekas att vissa andra ändringar innebär att Europols ställning kommer att anpassas till andra EU-organ, som inrättats enligt fördraget om upprättandet av Europeiska gemenskapen. Även om detta inte ändrar Europols ställning i grunden kan det ses som ett första, positivt steg. Europol kommer att finansieras genom gemenskapsbudgeten och Europols anställda kommer att omfattas av gemenskapernas tjänsteföreskrifter. Detta innebär ökad kontroll för Europaparlamentet (till följd av dess ställning i budgetförfarandet) och för EG-domstolen (i tvister om budgeten och frågor som rör anställda). Datatillsynsmannen kommer att ha behörighet i fråga om behandlingen av personuppgifter som rör gemenskapens anställda (se vidare punkt 47). |
Frågor som tas upp i detta yttrande
6. |
Detta yttrande kommer i tur och ordning att ta upp de materiella ändringarna (nämnda i punkt 3), tillämplig dataskyddslagstiftning (punkt 4) och de ökande likheterna mellan Europol och gemenskapsorganen (punkt 5). |
7. |
Yttrandet kommer särskilt att inriktas på den allt större betydelsen av uppgiftsutbytet mellan Europol och andra EU-organ, som datatillsynsmannen i de flesta fall har tillsyn över. I detta sammanhang kan särskilt nämnas artiklarna 22, 25 och 48 i förslaget. Denna frågas komplexitet leder till farhågor både när det gäller principen om ändamålsbegränsning och när det gäller tillämplig dataskyddslagstiftning och tillsyn i de fall då olika tillsynsorgan har behörighet att utöva tillsyn över de olika EU-organen, beroende på vilken pelare de grundar sig på. En annan källa till oro gäller interoperabiliteten mellan Europols informationssystem och andra informationssystem. |
II. FÖRSLAGET I DESS SAMMANHANG
8. |
Lagstiftningen på detta område undergår snabb förändring. |
9. |
För det första är det föreliggande förslaget ett av flera lagstiftningsinitiativ på området för polissamarbete och rättsligt samarbete som syftar till att underlätta möjligheterna till lagring och utbyte av personuppgifter för brottsbekämpningsändamål. Några av dessa förslag har antagits av rådet – exempelvis rådets rambeslut av den 18 december 2006 om informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater – (6), medan andra fortfarande är under behandling. |
10. |
Den vägledande principen för dessa lagstiftningsinitiativ är principen om tillgänglighet, som infördes som en viktig ny rättsprincip i Haagprogrammet i november 2004. Den innebär att uppgifter som är nödvändiga för att bekämpa brottslighet bör passera EU:s inre gränser utan hinder. |
11. |
Principen om tillgänglighet är inte i sig tillräcklig. Det krävs ytterligare lagstiftningsåtgärder för att göra det möjligt för de polisiära och rättsliga myndigheterna att utbyta uppgifter på ett effektivt sätt. I vissa fall innefattar det instrument som valts för att underlätta detta utbyte inrättande eller förbättring av ett informationssystem på europeisk nivå. Europols informationssystem är ett sådant system. Datatillsynsmannen har tagit upp grundläggande frågor i samband med sådana system när det gäller Schengens informationssystem och kommer även att ta upp några av dessa frågor med avseende detta förslag. Sådana frågor är bl.a. villkoren för åtkomst till systemet, sammankoppling och interoperabilitet samt tillämpliga bestämmelser om dataskydd och tillsyn (7). |
12. |
Vidare bör förslaget analyseras mot bakgrund av den senaste utvecklingen, exempelvis det initiativ som det tyska ordförandeskapet för Europeiska unionen lagt fram om att införliva Prümfördraget med EU:s regelverk. |
13. |
För det andra har ramen för dataskyddet inom den tredje pelaren – en förutsättning för utbyte av personuppgifter – (såsom nämnts tidigare) ännu inte antagits. Tvärtom har förhandlingarna i rådet om förslaget till rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete visat sig vara ganska besvärliga. Rådets tyska ordförandeskap har meddelat att en ny text (8) kommer att föreslås, med ett antal väsentliga skillnader jämfört med upplägget i kommissionens förslag. |
14. |
För det tredje har förslaget ett direkt samband med utvecklingen beträffande fördraget om upprättande av en konstitution för Europa. Det är meningen att artikel III-276 i det konstitutionella fördraget skall vara ett viktigt steg i en process där, å ena sidan, Europols roll och uppgifter successivt utökas och, å andra sidan, Europol gradvis införlivas i den europeiska institutionella ramen. Som anges i motiveringen till förslaget ger denna artikel uttryck för den vision om Europols framtid som man kom fram till. En del av denna vision finns med i förslaget, med beaktande av den osäkerhet som råder om huruvida och när bestämmelserna i det konstitutionella fördraget kommer att träda i kraft. |
III. MATERIELLA ÄNDRINGAR
Europols befogenheter och uppgifter
15. |
Artiklarna 4 och 5 samt bilaga I i förslaget fastställer Europols mandat. Mandatet utökas nu till att även gälla brottslighet som inte i strikt mening är kopplad till organiserad brottslighet och som omfattar samma förteckning över allvarliga brott som ingår i rådets rambeslut om den europeiska arresteringsordern (9). En andra utökning av Europols roll är att dess databaser nu kommer att innehålla uppgifter och underrättelser som lämnats av privata enheter. |
16. |
Denna första utökning är ett logiskt steg i utvecklingen av polissamarbetet i straffrättsliga ärenden. Datatillsynsmannen är medveten om att detta leder till bättre harmonisering av de rättsliga instrument som syftar till att underlätta polissamarbetet. Harmonisering är fördelaktigt inte bara för att det förbättrar förutsättningarna för ett gott samarbete utan också för att det leder till ökad rättssäkerhet för medborgarna och möjliggör effektivare kontroll av polissamarbetet, eftersom alla de olika instrumenten omfattar samma brottskategorier. Datatillsynsmannen förutsätter att denna utökning av mandatet föreslås med beaktande av proportionalitetsprincipen. |
17. |
När det gäller den andra utvidgningen överensstämmer detta med den senaste tendensen i polissamarbetet enligt vilken användning av uppgifter som samlats in av privata företag för brottsbekämpning blir allt vanligare. Datatillsynsmannen inser att det kan finnas ett behov av sådan användning. Det kan i synnerhet vara nödvändigt för bekämpning av terrorism och annan allvarlig brottslighet att de brottsbekämpande organen har tillgång till alla relevanta uppgifter, inbegripet uppgifter som innehas av privata parter (10). Arten av uppgifter och underrättelser från privata parter kräver dock ytterligare skyddsåtgärder, bl.a. för att säkerställa att uppgifterna är tillförlitliga eftersom det gäller personuppgifter som samlats in för kommersiella ändamål inom ramen för affärsverksamhet. Det bör även säkerställas att uppgifterna har samlats in och behandlats på laglig sätt innan de överlämnas Europol, i enlighet med den nationella lagstiftningen för genomförande av direktiv 95/46/EG och att Europol endast ges tillträde enligt väl fastställda villkor och begränsningar: tillträde bör endast beviljas från fall till fall, för särskilda ändamål och under medlemsstaternas rättsliga kontroll (11). Datatillsynsmannen föreslår därför att sådana villkor och begränsningar skall föras in i texten till beslutet. |
Artikel 10 om informationsbehandling
18. |
I artikel 6 i Europolkonventionen fastställs ett restriktivt tillvägagångssätt när det gäller Europols behandling av insamlade uppgifter. Behandlingen är begränsad till tre inslag: Europols informationssystem, ett arbetsregister för analysändamål och ett indexsystem. I artikel 10.1 i förslaget ersätts detta tillvägagångssätt med en allmän bestämmelse där Europol tillåts behandla information och underrättelser i den utsträckning detta är nödvändigt för att Europol skall kunna uppnå sina mål. Det anges dock i artikel 10.3 i förslaget att behandling av personuppgifter i andra system än Europols informationssystem eller analysregister skall omfattas av villkor som rådet skall fastställa efter att ha hört Europaparlamentet. Enligt datatillsynsmannen är bestämmelsen formulerad på ett tillräckligt klart sätt för att skydda rättmätiga intressen hos de personer som berörs av uppgifterna. Det bör i artikel 10.3 läggas till att dataskyddsmyndigheter skall höras innan rådet antar ett sådant beslut som avses i punkt 55. |
19. |
I artikel 10.2 förefaller möjligheten för Europol att ”behandla uppgifter i syfte att fastställa om sådana uppgifter är relevanta för Europols arbetsuppgifter” strida mot proportionalitetsprincipen. Formuleringen är inte tillräckligt precis och medför en risk för att uppgifter behandlas för en rad odefinierade ändamål. |
20. |
Datatillsynsmannen inser behovet av att kunna behandla personuppgifter i ett skede när deras relevans för att utföra en uppgift inom Europol ännu inte har fastställts. Det bör dock säkerställas att behandlingen av personuppgifter vars ändamålsenlighet ännu inte har utvärderats strikt begränsas till utvärderingen av deras ändamålsenlighet, att utvärderingen genomförs inom en rimlig tidsperiod och, om ändamålsenligheten inte kontrolleras, att uppgifterna inte behandlas för brottsbekämpningsändamål. En annan lösning skulle inte enbart inkräkta på de registrerades rättigheter utan även utgöra ett hinder för brottsbekämpningen. För att iaktta proportionalitetsprincipen föreslår datatillsynsmannen därför att det läggs till en bestämmelse i artikel 10.2 där det fastställs en skyldighet att lagra uppgifter i separata databaser till dess att ändamålsenligheten för en viss uppgift för Europol fastställts. Den tidsperiod under vilken uppgifterna får behandlas måste dessutom strikt begränsas och under inga omständigheter överskrida 6 månader (12). |
21. |
Enligt artikel 10.5 i förslaget skall Europol skall göra sitt yttersta för att säkerställa driftskompatibilitet (interoperabilitet) med databehandlingssystemen i medlemsstaterna och de system som används av organ med anknytning till gemenskapen eller unionen. Detta tillvägagångssätt vänder på tillvägagångssättet i Europolkonventionen (artikel 6.2) med ett förbud mot en samkörning med andra system för automatiserad databehandling. |
22. |
I sina kommentarer till kommissionens meddelande om interoperabilitet mellan EU:s databaser (13) motsätter sig datatillsynsmannen åsikten att interoperabilitet i första hand är ett tekniskt begrepp. Om databaserna ur teknisk synvinkel skulle bli interoperabla – vilket innebär att tillgång till och utbyte av uppgifter skulle bli möjligt – skulle det uppstå påtryckningar för att faktiskt få utnyttja denna möjlighet. Detta medför särskilda risker i förhållande till principen om ändamålsbegränsning eftersom uppgifter lätt kan användas för andra ändamål än för insamlingsändamålet. Datatillsynsmannen insisterar på att strikta villkor och garantier tillämpas om samkörning med en databas verkligen skulle genomföras. |
23. |
Datatillsynsmannen rekommenderar därför att det läggs till en bestämmelse i förslaget med ett krav på att driftskompatibilitet endast skall vara tillåtet efter ett beslut där villkoren och garantierna för denna driftskompatibilitet fastställs, särskilt när det gäller behoven av denna driftskompatibilitet och de ändamål för vilka personuppgifterna kommer att användas. Detta beslut bör antas efter samråd med datatillsynsmannen och gemensamma tillsynsmyndigheten. En sådan bestämmelse skulle kunna kopplas till artikel 22 i förslaget om förbindelser med andra organ och byråer. |
Artikel 11: Europols informationssystem
24. |
När det gäller artikel 11.1 noterar datatillsynsmannen att den nuvarande begränsningen av en nationell enhets tillgång till personuppgifter i fråga om tänkbara brottslingar som (ännu) inte begått någon brottslig handling har utgått. Begränsningen finns nu i artikel 7.1 i konventionen, där den direkta tillgången av personuppgifter begränsas till uppgifter om de berörda personernas identitet. |
25. |
Datatillsynsmannen anser att det inte finns någonting som motiverar denna väsentliga ändring. Tvärtom ligger de särskilda skyddsåtgärderna för denna kategori av personer helt i linje med kommissionens förslag till rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Datatillsynsmannen rekommenderar att det inrättas fler skyddsåtgärder när det gäller tillgång till personuppgifter för dessa personer som (ännu) inte har begått något brott och under alla omständigheter att det skydd som inrättats genom Europolkonventionen inte försvagas. |
Artikel 20: Tidsfrister för lagring
26. |
Enligt den ändrade texten till artikel 21.3 i Europolkonventionen (14) skall nödvändigheten av att bevara personuppgifter för sådana personer som avses i artikel 10.1 undersökas på nytt varje år och denna undersökning skall noteras. I artikel 20.1 i förslaget krävs det dock endast en översyn inom tre år efter uppgifternas införande. Datatillsynsmannen är inte övertygad om att denna kompletterande flexibilitet är nödvändig och rekommenderar därför att det införs en skyldighet till årlig översyn i förslaget. Det är ännu viktigare att ändra själva förslaget eftersom det bör innehålla en skyldighet att se över lagringen regelbundet och inte bara en gång efter tre år. |
Artikel 21: Tillgång till nationella och internationella databaser
27. |
Artikel 21 innehåller en allmän bestämmelse som ger Europol rätt till datoriserad tillgång till och inhämtande av uppgifter från andra nationella eller internationella informationssystem. Detta tillträde bör endast godkännas från fall till fall och på stränga villkor. I artikel 21 tillåts dock ett alltför brett tillträde som inte är nödvändigt för att Europol skall kunna utföra sina uppgifter. I detta sammanhang hänvisar datatillsynsmannen till sitt yttrande av den 20 januari 2006 om tillträde till VIS för medlemsstatsmyndigheter med ansvar för inre säkerhet (15). Datatillsynsmannen rekommenderar att texten ändras i enlighet med detta. |
28. |
Det är viktigt att komma ihåg att denna bestämmelse, när det gäller tillträde till nationella databaser, går längre än överföring av uppgifter mellan Europol och de nationella enheterna, vilket bland annat behandlas i artikel 12.4 i förslaget. Detta tillträde kommer inte endast att omfattas av bestämmelserna i det här rådsbeslutet utan även att regleras av nationell lagstiftning om tillgång till och användning av uppgifter. Datatillsynsmannen välkomnar att det i artikel 21 anges att de striktare bestämmelserna skall gälla. Betydelsen av överföringen av personuppgifter mellan Europol och de nationella databaserna, inbegripet Europols tillträde till dessa nationella databaser, utgör dessutom ytterligare ett skäl till att anta ett rambeslut från rådet om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, där det erbjuds en tillräcklig skyddsnivå. |
Artikel 24: Överföring av uppgifter till utomstående instanser
29. |
I artikel 24.1 fastställs två villkor för överföring av uppgifter till offentliga myndigheter i tredjeländer och till internationella organisationer: a) överföringen får endast äga rum om detta i ett enskilt fall är nödvändigt för att bekämpa brottslighet och b) på grundval av ett internationellt avtal där en tillräcklig skyddsnivå för uppgifterna säkerställs av denna utomstående instans. I artikel 24.2 ges en möjlighet till undantag i exceptionella fall, med beaktande av den dataskyddsnivå som gäller för den mottagande instansen. Datatillsynsmannen inser behovet av dessa undantag och betonar nödvändigheten av en strikt tillämpning i fråga om dessa, med en bedömning i varje enskilt fall i mycket exceptionella situationer. Detta återspeglas i texten till artikel 24.2 på ett tillfredsställande sätt. |
Artikel 29: Rätt att få tillgång till personuppgifter
30. |
I artikel 29 behandlas rätt att få tillgång till personuppgifter. Detta är en av den registrerades grundläggande rättigheter, som har fastställts i artikel 8.2 i Europeiska unionens stadga om de grundläggande rättigheterna och även i Europarådets konvention 108 av den 28 januari 1981 och Europarådets rekommendation R(87) 15 av den 17 september 1987. Denna rättighet utgör en del av principen om rättvis och laglig behandling av personuppgifter och är avsedd att skydda den registrerades väsentliga intressen. Villkoren i artikel 29 begränsar dock denna rättighet på ett sätt som inte är godtagbart mot bakgrund av det ovan sagda. |
31. |
För det första fastställs det i artikel 29.3 att denna begäran om tillgång – gjord i en medlemsstat i enlighet med artikel 29.2 – skall behandlas i enlighet med artikel 29 och med lagstiftningen och förfarandena i den medlemsstat där begäran lämnades in. Följaktligen skulle den nationella lagstiftningen kunna begränsa räckvidden för och innehållet i rätten till tillgång och det skulle kunna åläggas formella restriktioner. Detta skulle kunna få otillfredsställande resultat. Begäran om tillgång till personuppgifter kan exempelvis också göras av personer vars personuppgifter inte behandlas av Europol. Det är mycket viktigt att rätten till tillgång utvidgas till att även omfatta dessa fall. Det måste därför säkerställas att nationell lagstiftning som ytterligare begränsar rätten till tillträde inte skall gälla. |
32. |
Enligt datatillsynsmannen bör hänvisningen till nationell lagstiftning i artikel 29.3 strykas och ersättas av harmoniserade regler om räckvidd, innehåll och förfarande, helst i rådets rambeslut om skydd av personuppgifter eller, i förekommande fall, i rådets beslut. |
33. |
Artikel 29.4 innehåller dessutom en förteckning över grunderna för att vägra tillgång till personuppgifter, om den registrerade begär tillgång till personuppgifter som rör honom/henne och som behandlas av Europol. Enligt artikel 29.4 skall tillgång vägras om denna tillgång skulle skada vissa särskilda intressen. Denna lydelse är mycket vidare än den i artikel 19.3 i Europolkonventionen, där tillgång endast får vägras ”i den mån det är nödvändigt för att”. |
34. |
Datatillsynsmannen rekommenderar att den striktare lydelsen i Europolkonventionen skall behållas. Det måste även säkerställas att den registeransvarige är skyldig att ange skälen till vägran på ett sådant sätt att det är möjligt att effektivt kontrollera tillämpningen av detta undantag. Denna princip är uttryckligen fastställd i Europarådets rekommendation R(87) 15 av den 17 september 1987. Lydelsen i kommissionens förslag kan inte godtas eftersom den inte gör rättvisa åt den grundläggande arten hos rätt till tillgång. Undantag från denna rätt kan endast godtas om detta är nödvändigt för att skydda andra grundläggande intressen, dvs. om tillgång skulle undergräva dessa andra intressen. |
35. |
Sist men inte minst är rätten till tillgång strängt begränsad genom den samrådsmekanism som anges i artikel 29.5. Denna mekanism gör tillgång avhängig av samråd med alla behöriga berörda myndigheter och, när det gäller analysregister, också av konsensus från Europol och samtliga medlemsstater som deltar i analysen eller direkt berörs. Denna mekanism kullkastar i själva verket den grundläggande karaktären på rätten till tillgång. Tillgång bör ges som en allmän princip och kan begränsas endast under särskilda förhållanden. Enligt texten till förslaget kan tillgång däremot ges endast efter det att samråd skett och konsensus har nåtts. |
IV. TILLÄMPLIGHETEN AV EN ALLMÄN RAM FÖR DATASKYDD
Allmän punkt
36. |
Europol skall vara ett av Europeiska unionens organ, inte en gemenskapsinstitution eller ett gemenskapsorgan enligt vad som avses i artikel 3 i förordning (EG) nr 45/2001. Förordningen är därför som regel inte tillämplig på Europols behandling av personuppgifter, utom i särskilda situationer. I kapitel V i förslaget införs därför en form av dataskydd sui generis, som också bygger på en tillämplig allmän rättslig ram för dataskydd. |
En allmän rättslig ram för dataskydd inom tredje pelaren
37. |
I förslaget erkänns behovet av en allmän rättslig ram för dataskydd. Enligt artikel 26 i förslaget skall Europol som en lex generalis tillämpa principerna i rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete. Denna hänvisning till rådets (föreslagna) rambeslut ersätter hänvisningen i Europolkonventionens artikel 14.3 till Europarådets konvention 108 av den 28 januari 1981 och rekommendation nr R (87) 15 från Europarådets ministerkommitté av den 17 september 1987. |
38. |
Datatillsynsmannen välkomnar förslagets artikel 26. Denna bestämmelse är mycket viktig både för dataskyddets effektivitet och för enhetligheten eftersom det underlättar utbytet av personuppgifter, något som även främjar brottsbekämpningen. Kompatibiliteten mellan de två instrumenten bör dock garanteras, något som inte är självklart eftersom
Beroende på resultatet av rådets förhandlingar om detta rambeslut, som antagligen bygger på det tyska förslaget, kan ytterligare skyddsåtgärder behövas i det nuvarande förslaget. Denna punkt måste bedömas i ett senare skede, när man tydligare kan bedöma resultatet av förhandlingarna om rådets rambeslut. |
39. |
Datatillsynsmannen betonar att det här rådsbeslutet inte bör antas innan rådet antar en ram för dataskydd, som garanterar en lämplig nivå på dataskydd i enlighet med datatillsynsmannens slutsatser i hans två yttranden om kommissionens förslag till rådets rambeslut (16). |
40. |
I detta sammanhang understryker datatillsynsmannen två specifika delar i kommissionens förslag till rådets rambeslut, som är särskilt lämpade för att stärka det skydd som erbjuds de registrerade vid Europolbehandling av deras uppgifter. Först och främst öppnar förslaget för möjligheter att skilja på databehandling enligt graden av exakthet och tillförlitlighet. Uppgifter som bygger på åsikter skiljs från uppgifter som bygger på fakta. En sådan tydlig åtskillnad mellan ”mjukdata” och ”hårddata” är en viktig metod för överensstämmelse med principen om datakvalitet. Dessutom anges i förslaget skillnad mellan uppgifterna för personer av olika kategorier, på grundval av deras tänkbara inblandning i ett brott. |
Förordning (EG) nr 45/2001
41. |
Detta innebär att förordning (EG) nr 45/2001 är tillämplig på Europols verksamhet. Denna förordning 45/2001 gäller först och främst Europols personal, vilken tas upp i punkt 47. För det andra, och det är ämnet för del IV av detta yttrande, gäller förordningen uppgiftsutbyte med gemenskapens organ, åtminstone i den mån uppgifter skickas av dessa organ till Europol. Viktiga exempel på gemenskapsorgan är de organ som nämns i förslagets artikel 22.1. |
42. |
Man kan vänta sig att dessa organ kommer att uppmanas skicka personuppgifter till Europol ganska regelbundet. När gemenskapens institutioner och organ gör detta tvingas de fullgöra de skyldigheter som anges i förordning 45/2001, särskilt beträffande de situationer då personuppgifter får behandlas (artikel 5 i förordningen), förhandskontroller (artikel 27) och samråd med den europeiska datatillsynsmannen (artikel 28). Detta väcker frågor om tillämpligheten av artiklarna 7, 8 och 9 i förordning 45/2001. Eftersom Europol inte är något av ”gemenskapens institutioner och organ” och inte faller under direktiv 95/46/EG kan det mycket väl omfattas av artikel 9. I så fall skall bedömningen av om skyddet från Europol är adekvat ske enligt artikel 9.2 i förordning 45/2001 på samma sätt som andra internationella organisationer eller tredjeländer. Denna lösning skulle skapa osäkerhet och inte heller överensstämma med förslagets grundidé om att föra Europols ställning mer i linje med institutioner och organ under EG-fördraget. En bättre lösning skulle vara att behandla Europol som ett gemenskapsorgan i den mån det behandlar uppgifter från gemenskapsorgan. Datatillsynsmannen föreslår tillägg av en punkt till artikel 22 med följande lydelse: ”När personuppgifter förs över av gemenskapens institutioner och organ, skall Europol betraktas som ett gemenskapsorgan i enlighet med artikel 7 i förordning nr 45/2001.” |
Uppgiftsutbyte med OLAF
43. |
Särskild uppmärksamhet måste ägnas åt utbyte av personuppgifter med Europeiska byrån för bedrägeribekämpning (OLAF). För närvarande sker informationsutbyte mellan Europol och OLAF på grundval av ett administrativt avtal mellan de två organen. I detta avtal föreskrivs utbyte av strategisk och teknisk information, men där ingår inte utbyte av personuppgifter. |
44. |
Förslaget till rådets beslut är av annan karaktär. I artikel 22.3 föreskrivs informationsutbyte, även personuppgifter, på samma sätt som uppgiftsutbyte sker mellan OLAF och medlemsstaternas myndigheter (17). Syftet med detta utbyte är begränsat till bedrägeri, bestickning, mutbrott och penningtvätt. Såväl OLAF som Europol skall, i varje enskilt fall, beakta kraven på förundersökningssekretess och dataskydd. För OLAF betyder detta att den skyddsnivå som anges i förordning 45/2001 alltid måste iakttas. |
45. |
I artikel 48 i förslaget anges också att förordning (EG) nr 1073/1999 (18) skall tillämpas på Europol. OLAF skall ha behörighet att genomföra administrativa utredningar inom Europol och skall därför ha rätt till omedelbar och oanmäld tillgång till all information som innehas av Europol (19). Enligt Europeiska datatillsynsmannen är inte räckvidden för denna bestämmelse tydlig:
|
46. |
Bestämmelsen omfattar dock inte och bör inte omfatta utredningar av oegentligheter utanför Europol om vilka uppgifter som behandlats av Europol skulle kunna ge ytterligare klarhet. Bestämmelserna om informationsutbyte, även personuppgifter, enligt artikel 22.3 skulle vara tillräckliga i dessa fall. Datatillsynsmannen rekommenderar att man i detta sammanhang klargör räckvidden för förslagets artikel 48. |
V. ATT FÅ EUROPOL I LINJE MED EUROPEISKA UNIONENS ANDRA ORGAN SOM INRÄTTATS ENLIGT EG-FÖRDRAGET
Europols personal
47. |
Europols personal kommer att omfattas av tjänsteföreskrifterna. När det gäller databehandling rörande Europols personal, bör såväl de materiella reglerna som de som gäller tillsyn i förordning 45/2001 tillämpas, av skäl som gäller enhetlighet och icke-diskriminering. I förslagets 12:e skäl nämns förordningens tillämplighet på behandlingen av personuppgifter, särskilt när det gäller personuppgifter som rör Europolpersonal. Enligt datatillsynsmannen räcker det inte med att klargöra detta i skälen. Skäl i en gemenskapsrättsakt är inte bindande och skall inte innehålla normativa bestämmelser (20). För att till fullo säkerställa tillämpningen av förordning 45/2001 bör en punkt läggas till i texten till själva beslutet – till exempel i artikel 38 – där det anges att förordning 45/2001 skall tillämpas på behandlingen av personuppgifter som gäller Europols personal. |
Tillsyn av Europols databehandling
48. |
Förslaget syftar inte till en grundläggande ändring av tillsynssystemet för Europol med en central roll för det gemensamma tillsynsorganet. Enligt den föreslagna rättsliga ramen kommer tillsynsorganet att inrättas i enlighet med artikel 33 i förslaget. Vissa ändringar i Europols ställning och verksamhet kommer dock att leda till ett begränsat engagemang från datatillsynsmannens sida, vid sidan av dennes uppgifter beträffande Europols personal. Av det skälet anges i förslagets artikel 33.6 att det gemensamma tillsynsorganet måste samarbeta med Europeiska datatillsynsmannen, och även med andra tillsynsmyndigheter. Denna bestämmelse speglar Europeiska datatillsynsmannens skyldighet att samarbeta med det gemensamma tillsynsorganet enligt artikel 46.f ii i förordning 45/2001. Datatillsynsmannen välkomnar denna bestämmelse som ett användbart instrument som gynnar ett konsekvent förhållningssätt till uppgifter för tillsyn inom EU, oavsett pelare. |
49. |
Såsom tidigare sagts förutses inte i det här förslaget någon grundläggande ändring av tillsynssystemet. Förslagets vidare kontext kan dock kräva ett mer grundläggande övervägande av det kommande systemet för tillsyn av Europol. En utveckling på två speciella sätt kan nämnas. För det första anges i artiklarna 44–47 i förordning (EG) nr 1987/2006 (21) en ny tillsynsstruktur för SIS II. För det andra meddelade det tyska ordförandeskapet i anslutning till rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete att man överväger en ny struktur för tillsyn av de europeiska informationssystemen inom den tredje pelaren, även Europol. |
50. |
Enligt datatillsynsmannen är det inte rätt tillfälle att i detta yttrande diskutera grundläggande ändringar i tillsynssystemet. Tillsynssystemet för SIS II som ett system i nätverk har sin grund i första pelaren och skulle inte vara lämpligt för Europol som ett organ inom tredje pelaren som medför begränsade befogenheter för gemenskapens institutioner, särskilt kommissionen och domstolen. Utan garantier inom tredje pelaren kommer ett särskilt tillsynssystem fortfarande att behövas. Exempelvis behandlas i artikel 31 överklaganden från enskilda personer. Dessutom är de idéer om en ny struktur för tillsynen över de europeiska informationssystemen som det tyska ordförandeskapet har tillkännagett fortfarande i sin linda. Slutligen fungerar det nuvarande systemet bra. |
51. |
Datatillsynsmannen vill därför koncentrera sina kommentarer till datatillsynsmannens roll när det gäller utbyte av personuppgifter mellan Europol och andra organ på EU-nivå. Bestämmelserna som rör detta utbyte är ett viktigt nytt inslag i förslaget. I artikel 22.1 nämns Frontex, Europeiska centralbanken, ECNN (22) och OLAF. Alla dessa organ omfattas av datatillsynsmannens tillsyn. I artikel 22.2 anges att Europol får ingå samarbetsavtal med de organ som får införa utbyte av personuppgifter. Vad OLAF anbelangar kan detta utbyte t.o.m. äga rum utan samarbetsavtal (artikel 22.3). Även artikel 48 i förslaget – redan diskuterad i punkterna 45–46 – är av betydelse i detta sammanhang. |
52. |
Det bör säkerställas att datatillsynsmannen kan utöva de befogenheter som tilldelas honom enligt förordning (EG) nr 45/2001 med avseende på uppgifter som överlämnas av gemenskapsorgan. Detta är desto viktigare då det gäller överföring av personuppgifter där Europol kommer att anses som ett gemenskapsorgan enligt lydelsen i artikel 7 i förordning (EG) nr 45/2001, såsom tidigare har förslagits. Detta gör det nära samarbetet med den gemensamma tillsynsmyndigheten enligt artikel 33 ännu viktigare. |
53. |
Datatillsynsmannen har ytterligare två rekommendationer att ge beträffande berörda personers rätt till dessa uppgifter:
|
54. |
På grund av ovanstående överväganden bör datatillsynsmannen ha ett nära samarbete med den gemensamma tillsynsmyndigheten, åtminstone så snart överenskommelserna om att utbyta uppgifter med gemenskapsorganen kommer att bli giltiga. Detta är ett av de viktigaste områden där de ömsesidiga skyldigheterna att samarbeta kommer att få verkan. |
Samråd med dataskyddsmyndigheterna
55. |
I artikel 10.3 föreskrivs ett rådsbeslut för fastställande av villkoren för Europols upprättande av vissa system för behandling av personuppgifter. Datatillsynsmannen rekommenderar tillägg av en skyldighet att samråda med datatillsynsmannen och den gemensamma tillsynsmyndigheten innan ett sådant beslut antas. |
56. |
Artikel 22 handlar om Europols förbindelser med andra organ och byråer med anknytning till gemenskapen eller unionen. De samarbetsförbindelser som nämns i denna artikel får genomföras med hjälp av samarbetsavtal och får röra utbyte av personuppgifter. Av det skälet bör datatillsynsmannen och den gemensamma tillsynsmyndigheten höras om antagandet av avtalen enligt artikel 22, i den mån dessa avtal är relevanta för skyddet av personuppgifter som behandlas av gemenskapens institutioner och organ. Datatillsynsmannen rekommenderar att förslaget ändras i enlighet med detta. |
57. |
I artikel 25.2 anges att det skall fastställas tillämpningsföreskrifter för utbytet med andra organ och byråer med anknytning till gemenskapen eller unionen. Datatillsynsmannen rekommenderar att samråd sker inte bara med den gemensamma tillsynsmyndigheten utan även med datatillsynsmannen, innan sådana föreskrifter antas, i överensstämmelse med bruket enligt den gemenskapslagstiftning som säger att gemenskapens organ skall samråda med datatillsynsmannen enligt artikel 28.1 i förordning (EG) nr 45/2001. |
Uppgiftsskyddsombud
58. |
Datatillsynsmannen välkomnar artikel 27 som innehåller en bestämmelse om ett uppgiftsskyddsombud, som bl.a. har till uppgift att på ett oberoende sätt säkerställa att behandlingen av personuppgifter är lagenlig och att bestämmelserna om behandling av personuppgifter följs. Denna uppgift har framgångsrikt införts på gemenskapsnivå genom förordning (EG) nr 45/2001 inom gemenskapens institutioner och organ. Även inom Europol utförs uppgiftsskyddsombudets uppgift men hittills utan adekvat rättslig grund. |
59. |
För att uppgiftsskyddsombudets verksamhet skall bli framgångsrik är det viktigt att denna persons oberoende verkligen garanteras genom lagstiftning. Av detta skäl innehåller artikel 24 i förordning (EG) nr 45/2001 flera bestämmelser i vilka detta mål tryggas. Uppgiftsskyddsombudet utnämns för en viss tid och kan endast entledigas under mycket exceptionella omständigheter. Ombudet kommer att förses med den personal och budget som krävs. Han/hon får inte ta emot instruktioner vid utförandet av sina uppgifter. |
60. |
Tyvärr finns inte dessa bestämmelser med i det nuvarande förslaget, utom bestämmelsen om att inte ta emot instruktioner. Datatillsynsmannen rekommenderar därför bestämt att de garantier som rör uppgiftsskyddsombudets oberoende införs, t.ex. de särskilda garantierna för utnämning och entledigande av uppgiftsskyddsombudet samt för denna persons oberoende visavi styrelsen. Dessa bestämmelser är nödvändiga för att säkerställa uppgiftsskyddsombudets oberoende. Dessutom skulle dessa bestämmelser få till effekt att Europols uppgiftsskyddsombuds ställning mera står i överensstämmelse med den ställning som uppgiftsskyddsombud inom gemenskapsinstitutionerna har. Slutligen betonar datatillsynsmannen att artikel 27.5 i förslaget, där Europols styrelse uppmanas att anta tillämpningsföreskrifter för vissa aspekter av uppgiftsskyddsombudets verksamhet, genom sin karaktär inte är lämplig som garant för ombudets oberoende. Man måste komma ihåg att oberoende framför allt krävs visavi Europols styrelse. |
61. |
Det finns ytterligare ett skäl till att harmonisera bestämmelsen om uppgiftsskyddsombudet i rådets beslut med artikel 24 i förordning (EG) nr 45/2001. För personuppgifter om Europols personal (se punkt 47) gäller denna förordning, vilket betyder att Europols uppgiftsskyddsombud för dessa frågor kommer att omfattas av förordningen. Ett uppgiftsskyddsombud bör under alla förhållanden utnämnas i enlighet med förordningens krav. |
62. |
Vidare rekommenderar datatillsynsmannen att systemet med förhandskontroll, såsom föreskrivs i artikel 27 i förordning (EG) nr 45/2001 för gemenskapens organ, tillämpas på Europol. Systemet med förhandskontroll har visat sig vara ett effektivt instrument och spelar en viktig roll för dataskyddet inom gemenskapens institutioner och organ. |
63. |
Det skulle slutligen vara värdefullt för Europols uppgiftsskyddsombud att delta i det befintliga nätet av uppgiftsskyddsombud inom första pelaren, även bortsett från uppgiftsskyddsombudets verksamhet avseende Europols personal. Detta skulle vidare säkerställa en metod för dataskyddsfrågor som är gemensam med den metod som används av gemenskapens organ och helt och hållet stämma överens med det mål som anges i förslagets skäl nummer 16, nämligen samarbete med de europeiska organ och byråer som säkerställer en adekvat dataskyddsnivå i överensstämmelse med förordning (EG) nr 45/2001. Datatillsynsmannen rekommenderar att en mening läggs till i skälen till förslagen där syftet med denna gemensamma metod fastställs. En sådan mening skulle kunna lyda på följande sätt: ”Uppgiftsskyddsombudet kommer vid utförandet av sina uppgifter att samarbeta med de uppgiftsskyddsombud som har utnämnts enligt gemenskapsrätten”. |
VI. SLUTSATSER
64. |
Datatillsynsmannen förstår behovet av en ny och mer flexibel rättslig grund för Europol men ägnar särskild uppmärksamhet åt ändringarna i sak, den tillämpliga lagstiftningen om dataskydd och de växande likheterna mellan Europol och gemenskapens organ. |
65. |
Beträffande ändringarna i sak rekommenderar datatillsynsmannen följande:
|
66. |
Det aktuella rådsbeslutet bör inte antas innan rådet har antagit en ram för dataskydd som garanterar en lämplig dataskyddsnivå i överensstämmelse med datatillsynsmannens slutsatser i dennes två yttranden om kommissionens förslag till rådets rambeslut. Uppgifter som grundar sig på åsikter bör skiljas från uppgifter grundade på fakta. Det bör göras åtskillnad mellan de uppgifter om personkategorier som grundar sig på dessa personers eventuella inblandning i brott. |
67. |
Datatillsynsmannen föreslår tillägg av en punkt i artikel 22 med följande lydelse: ”Om personuppgifter överförs av gemenskapens institutioner eller organ, skall Europol betraktas som ett gemenskapsorgan såsom avses i artikel 7 i förordning (EG) nr 45/2001”. |
68. |
Artikel 48 i förslaget om utredningar av OLAF bör inte omfatta utredningar om oegentligheter utanför Europol, över vilka sådana uppgifter som behandlats av Europol skulle kunna sprida ytterligare ljus. Datatillsynsmannen rekommenderar ett klargörande av räckvidden för artikel 48 i förslaget. |
69. |
För att helt och fullt säkerställa tillämpningen av förordning (EG) nr 45/2001 bör en punkt läggas till i beslutet, i vilken det anges att förordning (EG) nr 45/2001 skall vara tillämplig på behandling av personuppgifter om Europols personal. |
70. |
Räckvidden för två bestämmelser om berörda personers rättigheter (artiklarna 30.2 och 32.2) bör utvidgas till att omfatta uppgifter som överlämnas av ett gemenskapsorgan som övervakas av datatillsynsmannen för att säkerställa att Europol och detta gemenskapsorgan reagerar på samma sätt. |
71. |
Artiklarna 10.3, 22 och 25.2 bör innehålla en (tydligare) bestämmelse om samråd med dataskyddsmyndigheter. |
72. |
Datatillsynsmannen rekommenderar bestämt att de garantier som rör uppgiftsskyddsombudets oberoende, t.ex. de särskilda garantierna i samband med denna persons utnämning och entledigande samt hans/hennes oberoende visavi styrelsen, införs i enlighet med förordning (EG) nr 45/2001. |
Utfärdat i Bryssel den 16 februari 2007
Peter HUSTINX
Europeiska datatillsynsmannen
(1) EGT L 281, 23.11.1995, s. 31
(3) I enlighet med kommissionens praxis i andra (aktuella) ärenden. Se bl.a. yttrandet från Europeiska datatillsynsmannen av den 12 december 2006 om förslag till ändring av budgetförordningen för Europeiska gemenskapernas allmänna budget och dess genomförandebestämmelser (KOM(2006) 213 slutlig och SEK(2006) 866 slutlig), offentliggjort på www.edps.europa.eu.
(4) EGT C 316, s. 1.
(5) De väntas träda i kraft i mars/april 2007.
(6) Rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater (EUT L 386,29.12.2006, s. 89).
(7) Detta är ett urval av de viktiga frågor som nämns i datatillsynsmannens yttrande om SIS II, baserat på deras relevans för detta förslag. Se yttrande av den 19 oktober 2005 om tre förslag om andra generationen av Schengens informationssystem (SIS II), (KOM(2005) 230 slutlig, KOM(2005) 236 slutlig och KOM(2005) 237 slutlig), (EUT C 91, 19.4.2006, s. 38).
(8) Denna text kommer troligen att läggas fram senast i mars 2007.
(9) Rådets rambeslut av den 13 juni 2002 om en europeisk arresteringsorder och överlämnande mellan medlemsstaterna, (EGT L 190, 18.7.2002, s. 1).
(10) Jämför i detta avseende yttrandet av den 26 september 2005 om förslaget till Europaparlamentets och rådets direktiv om bevarande av uppgifter som behandlats i samband med tillhandahållande av allmänna elektroniska kommunikationstjänster och om ändring av direktiv 2002/58/EG (KOM(2005) 438 slutlig), (EUT C 298, 29.11.2005, s. 1).
(11) Jämför även liknande rekommendationer i yttrandet av den 19 december 2005 om förslaget till rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (KOM(2005) 475 slutlig), (EUT C 47, 25.2.2006, s. 27).
(12) Detta är den längsta lagringsperiod som fastställs i artikel 6a i Europolkonventionen efter införandet av de tre protokoll som avses i punkt 2.
(13) Kommentarer av den 10 mars 2006, offentliggjorda på Europeiska datatillsynsmannens webbplats.
(14) Enligt Europolkonventionen efter införandet av de tre protokoll som avses i punkt 2.
(15) Yttrande av den 20 januari 2006 om förslaget till rådets beslut om möjlighet till sökningar i informationssystemet för viseringar (VIS) för medlemsstatsmyndigheter med ansvar för inre säkerhet och för Europol för att förebygga, upptäcka och utreda terroristbrott och andra grova brott (KOM(2005) 600 slutlig), (EUT C 97, 25.4.2006, s. 6.
(16) Yttrande av den 19 december 2005, EUT [2006] C 47 och ett andra yttrande av den 29 november 2006, ännu inte offentliggjort i EUT (finns att tillgå på www.edps.europa.eu).
(17) På grundval av artikel 7 i andra protokollet till konventionen om skydd av Europeiska gemenskapernas finansiella intressen, (EUT C 221, 19.7.1997, s. 12).
(18) Europaparlamentets och rådets förordning (EG) nr 1073/1999 av den 25 maj 1999 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (OLAF) (EGT L 136, 31.5.1999, s. 1).
(19) Se artiklarna 1.3 och 4.2 i förordningen.
(20) Se t.ex. det interinstitutionella avtalet av den 22 december 1998 om gemensamma riktlinjer för gemenskapslagstiftningens redaktionella kvalitet (EGT C 73, 17.3.1999, s. 1), riktlinje 10.
(21) Europaparlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II), (EUT L 381, 28.12.2006, s. 4).
(22) Europeiska centrumet för kontroll av narkotika och narkotikamissbruk.