This document is an excerpt from the EUR-Lex website
Document 52022XX0609(01)
Summary of the Opinion of the European Data Protection Supervisor on on the Proposal for a Regulation on automated data exchange for police cooperation (‘Prüm II’) (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2022/C 225/04
Sammanfattning av Europeiska datatillsynsmannens yttrande om förslaget till en förordning om automatiskt utbyte av uppgifter för polissamarbete (”Prüm II”) (Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats www.edps.europa.eu) 2022/C 225/04
Sammanfattning av Europeiska datatillsynsmannens yttrande om förslaget till en förordning om automatiskt utbyte av uppgifter för polissamarbete (”Prüm II”) (Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats www.edps.europa.eu) 2022/C 225/04
EUT C 225, 9.6.2022, p. 6–9
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
9.6.2022 |
SV |
Europeiska unionens officiella tidning |
C 225/6 |
Sammanfattning av Europeiska datatillsynsmannens yttrande om förslaget till en förordning om automatiskt utbyte av uppgifter för polissamarbete (”Prüm II”)
(Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats www.edps.europa.eu)
(2022/C 225/04)
Europeiska kommissionen antog den 8 december 2021 ett förslag till Europaparlamentets och rådets förordning om automatiskt utbyte av uppgifter för polissamarbete (”Prüm II”), och om ändring av rådets beslut 2008/615/RIF och 2008/616/RIF samt Europaparlamentets och rådets förordningar (EU) 2018/1726, 2019/817 och 2019/818 (de s.k. ”Prümbesluten”). Förslaget ingår i ett större lagstiftningspaket, kallat ”EU-koden för polissamarbete”, som även innefattar ett förslag till Europaparlamentets och rådets direktiv om informationsutbyte mellan medlemsstaternas brottsbekämpande myndigheter (föremål för ett separat yttrande från datatillsynsmannen), och förslag till rådets rekommendation om operativt polissamarbete.
Målet med förslaget är att stärka det brottsbekämpande samarbetet och i synnerhet informationsutbytet mellan de behöriga myndigheter som ansvarar för att förebygga, upptäcka och utreda brott, genom att fastställa villkoren och förfarandena för automatisk sökning av DNA-profiler, fingeravtrycksuppgifter, ansiktsbilder, uppgifter ur polisregister och vissa uppgifter ur fordonsregister, liksom utbytet av uppgifter efter en överensstämmelse.
Samtidigt som datatillsynsmannen förstår att de brottsbekämpande myndigheterna måste utnyttja bästa möjliga rättsliga och tekniska verktyg för att kunna upptäcka, utreda och förebygga brott noterar han att avgörande delar av utbytet av uppgifter inte är tydligt angivna i den föreslagna nya Prümramen, såsom de typer av brott som kan motivera en sökförfrågan, och att omfattningen av registrerade som påverkas av det automatiska utbytet av uppgifter inte är tillräckligt tydlig, t.ex. huruvida de databaser som är föremål för en sökförfrågan bara innehåller uppgifter om brottsmisstänkta och/eller brottsdömda, eller även uppgifter om andra registrerade, t.ex. brottsoffer eller vittnen.
Datatillsynsmannen anser i synnerhet att den automatiska sökningen av DNA-profiler och ansiktsbilder bara ska vara möjlig i samband med enskilda utredningar av allvarliga brott, istället för alla brott, enligt förslaget. Vidare finner datatillsynsmannen det nödvändigt att införa gemensamma krav och villkor i förslaget om de uppgifter i de nationella databaserna som görs tillgängliga för automatiska sökningar, där vederbörlig hänsyn tas till skyldigheten enligt artikel 6 i brottsbekämpningsdirektivet 680/2016 att göra en åtskillnad mellan olika kategorier av registrerade (dvs. brottsdömda, brottsmisstänkta, brottsoffer osv.).
Datatillsynsmannen hyser även farhågor om konsekvenserna för de berörda personernas grundläggande rättigheter till följd av den föreslagna automatiska sökningen och utbytet av uppgifter ur polisregister. Han finner att nödvändigheten av den föreslagna automatiska sökningen och utbytet av uppgifter ur polisregister inte är tillräckligt påvisad. Om en sådan åtgärd ändå antas, till och med på frivillig basis, skulle ytterligare starka skyddsåtgärder behövas för att proportionalitetsprincipen ska iakttas. I synnerhet, och med tanke på utmaningarna för uppgiftskvaliteten, bör man i den framtida förordningen bland annat uttryckligen definiera typerna och/eller allvarligheten av brott som kan motivera en automatisk sökförfrågan i de nationella polisregistren.
Vad gäller inkluderingen av Europol i Prümramen finner datatillsynsmannen att hans kommentarer och rekommendationer i yttrande 4/2021 om förslaget till ändring av Europolförordningen fortfarande är fullständigt giltiga i förhållande till Prümsamarbetet, särskilt de som avser den s.k. ”stordatautmaningen”, dvs. byråns behandling av stora och komplexa dataset. Datatillsynsmannen vill påminna om två av de centrala budskapen i yttrandet om Europol, nämligen att ökade befogenheter alltid bör åtföljas av en utökad tillsyn och, lika viktigt, att eventuella tillämpliga undantag i form av dispenser inte bör tillåtas bli regel.
Förslaget möjliggör en komplex uppbyggnad av den automatiska sökningen och utbytet av uppgifter inom Prümramen med tre separata tekniska lösningar, som har utvecklats och underhålls av tre olika enheter. Datatillsynsmannen finner att förslaget bör förtydligas vad gäller ansvaret för personuppgiftsbehandlingen, i synnerhet i Eucaris, som inte bygger på EU:s lagstiftning och är av mellanstatlig art. Dessutom anser datatillsynsmannen, med tanke på personuppgiftsbehandlingens omfattning och känslighet, att den föreslagna övergripande styrningsmodellen för Prümramen inte är lämplig och bör förstärkas ytterligare, t.ex. genom tilldela en central samordningsroll tilldelas en EU-enhet, såsom kommissionen.
I rättssäkerhetens intresse finner datatillsynsmannen dessutom att förhållandet mellan dataskyddsbestämmelserna i förslaget och den befintliga rättsliga ramen om dataskydd i EU, i synnerhet brottsbekämpningsdirektivet och förordning (EU) 2018/1725, uttryckligen bör framgå.
I yttrandet bedöms och ges även rekommendationer om flera andra specifika ämnen, såsom sambandet mellan Prümramen och interoperabilitetsramen, överföringen av uppgifter till tredje länder och internationella organisationer, eller övervakningen av uppgiftsbehandling för Prümsamarbetet.
1. INLEDNING OCH BAKGRUND
1. |
Den 8 december 2021 antog Europeiska kommissionen ett förslag till Europaparlamentets och rådets förordning om automatiskt utbyte av uppgifter för polissamarbete (”Prüm II”), och om ändring av rådets beslut 2008/615/RIF och 2008/616/RIF samt Europaparlamentets och rådets förordningar (EU) 2018/1726, 2019/817 och 2019/818 (nedan kallat förslaget) (1). |
2. |
Förslaget ingår i ett större lagstiftningspaket, kallat ”EU-koden för polissamarbete”, som även innefattar
|
3. |
Enligt kommissionen har EU-koden för polissamarbete som mål att öka det brottsbekämpande samarbetet mellan medlemsstaterna och i synnerhet informationsutbytet mellan de behöriga myndigheterna (4). I förslaget fastställs därför villkoren och förfarandena för automatisk sökning av DNA-profiler, fingeravtrycksuppgifter, ansiktsbilder, uppgifter ur polisregister och vissa uppgifter ur fordonsregister samt utbyte av uppgifter efter en överensstämmelse mellan myndigheter med ansvar för att förebygga, upptäcka och utreda brott. |
4. |
Förslaget, och EU-koden för polissamarbete mer generellt, har kopplats till de politiska målen för flera av EU:s strategiska dokument inom området rättsliga och inrikes frågor, särskilt EU:s strategi för en säkerhetsunion (5), EU:s strategi för att bekämpa organiserad brottslighet 2021–2025 (6) och 2021 års strategi för Schengenområdet (7). Vidare ska förslagen om inrättande av EU-koden för polissamarbete ses mot bakgrund av den pågående reformeringen av Europol samt byråns ökande roll som ett centralt nav för brottsinformation inom unionen, med insamling och behandling av ständigt ökande mängder data (8). |
5. |
Kommissionen samrådde med datatillsynsmannen om förslaget till Prüm II-förordning den 5 januari 2022, i enlighet med artikel 42.1 i förordning (EU) 2018/1725. Kommentarerna och rekommendationerna i detta yttrande avser enbart de bestämmelser i förslaget som är mest relevanta ur ett dataskyddsperspektiv. |
4. SLUTSATSER
73. |
Avgörande delar av utbytet av uppgifter är inte tydligt angivna i den föreslagna nya Prümramen, såsom de typer av brott som kan motivera en sökförfrågan (sökning), särskilt DNA-profiler, dvs. alla brott eller bara mer allvarliga brott. Förslaget är heller inte tydligt vad gäller omfattningen av registrerade som påverkas av det automatiska utbytet av uppgifter, dvs. huruvida de databaser som är föremål för en sökförfrågan bara innehåller uppgifter om brottsmisstänkta och/eller brottsdömda, eller även uppgifter om andra registrerade, t.ex. brottsoffer eller vittnen. |
74. |
För att säkerställa nödvändigheten och proportionaliteten av ingreppet i den grundläggande rätten till skydd för personuppgifter är det, mot bakgrund av artikel 52.1 i stadgan, viktigt att förtydliga åtgärdernas personliga och materiella tillämpningsområde, dvs. de kategorier av registrerade som påverkas direkt, och de objektiva villkor som kan motivera en automatisk sökförfrågan i respektive databas tillhörande andra medlemsstater eller Europol. |
75. |
Datatillsynsmannen anser i synnerhet att den automatiska sökningen av DNA-profiler och ansiktsbilder bara ska vara möjlig i samband med enskilda utredningar av allvarliga brott, och inte av alla brott, enligt förslaget. I linje med skyldigheten enligt artikel 6 brottsbekämpningsdirektivet att göra en åtskillnad mellan olika kategorier av registrerade, bör det i förslaget även anges en begränsning av de kategorier av registrerade vars DNA-profiler och ansiktsbilder, som lagras i de nationella databaserna, bör göras tillgängliga för automatiska sökningar, särskilt med tanke på den naturliga begränsningen av syftet för uppgifter från andra kategorier än brottsdömda eller brottsmisstänkta. |
76. |
Datatillsynsmannen finner att nödvändigheten av den föreslagna automatiska sökningen och utbytet av uppgifter ur polisregister inte är tillräckligt påvisad. Om en sådan åtgärd ändå antas, till och med på frivillig basis, skulle ytterligare starka skyddsåtgärder behövas för att proportionalitetsprincipen ska iakttas. I synnerhet, och med tanke på utmaningarna för uppgiftskvaliteten, som inte kan lösas med enbart tekniska åtgärder såsom pseudonymisering, bör man i den framtida förordningen åtminstone ange typerna och/eller allvarligheten av brott som kan motivera en automatisk sökning i de nationella polisregistren. |
77. |
Vad gäller inkluderingen av Europol i Prümramen finner datatillsynsmannen att hans kommentarer och rekommendationer i yttrande 4/2021 om förslaget till ändring av Europolförordningen fortfarande är fullständigt giltiga i förhållande till Prümsamarbetet, särskilt de som avser byråns behandling av stora dataset. Datatillsynsmannen rekommenderar dessutom ett förtydligande av det personliga tillämpningsområdet, dvs. specificering av de kategorier av registrerade som är föremål för sökförfrågningar enligt artikel 49 och artikel 50, samt anpassning av lagringsperioderna för loggar, för att säkerställa överensstämmelse med Europolförordningen. |
78. |
Förslaget möjliggör en komplex uppbyggnad av den automatiska sökningen och utbytet av uppgifter inom Prümramen med tre separata tekniska lösningar, som har utvecklats och underhålls av tre olika enheter. Vidare bygger en av dem – Eucaris – inte på EU:s lagstiftning utan är av mellanstatlig art. Datatillsynsmannen finner därför att förslaget uttryckligen bör ta upp ansvaret för behandlingen av personuppgifter i Eucaris. Med tanke på personuppgiftsbehandlingens skala och känslighet anser datatillsynsmannen dessutom att den nuvarande övergripande styrningsmodellen för Prümramen inte är lämplig utan bör förstärkas ytterligare, t.ex. genom att en central samordningsroll tilldelas en EU-enhet, såsom kommissionen. |
79. |
En annan viktig del av förslaget, vars konsekvenser för de grundläggande rättigheterna noga måste analyseras, är Prümramens anpassning till interoperabilitetsramen hos EU:s informationssystem inom området rättsliga och inrikes frågor. Datatillsynsmannen uppmanar medlagstiftaren att överväga behovet av kompletterande bestämmelser för detta, t.ex. i en genomförandeakt eller delegerad akt, som skulle ta upp specifika utmaningar såsom kvaliteten och prestandan hos matchningsalgoritmerna för ansiktsbilder. |
80. |
Mot bakgrund av att förslagets rättsliga grund bland annat omfattar artikel 16 i EUF-fördraget rekommenderar datatillsynsmannen, för tydlighetens och säkerhetens skull, att man i förslaget anger att dataskyddsbestämmelserna i kapitel 6 inte ska inverka på tillämpningen av brottsbekämpningsdirektivet och förordning (EU) 2018/1725, vad gäller behandlingen av personuppgifter i samband med brottsbekämpande samarbete enligt Prümramen. |
81. |
Vidare finner datatillsynsmannen att kravet på regelbundna granskningar av behandlingen av personuppgifter i Prüm II-förordningen bör utökas och även bör omfatta behandlingen av personuppgifter på nationell nivå. I detta sammanhang rekommenderar datatillsynsmannen att det i artikel 60.2 i förslaget ges allmänna hänvisningar till datatillsynsmannens befogenheter, i enlighet med artikel 58 i förordning (EU) 2018/1725, och inte bara till vissa av dem. |
Bryssel den 2 mars 2022
Wojciech Rafał WIEWIÓROWSKI
(1) COM(2021) 784 final.
(2) COM(2021) 782 final.
(3) COM(2021) 780 final.
(4) https://ec.europa.eu/home-affairs/news/boosting-police-cooperation-across-borders-enhanced-security-2021-12-08_en
(5) Meddelande från kommissionen om strategin för EU:s säkerhetsunion, COM(2020) 605 final.
(6) Meddelande från kommissionen om EU:s strategi för att bekämpa organiserad brottslighet 2021–2025, COM/2021/170 final.
(7) Meddelande från kommissionen ”En strategi för ett fullt fungerande och motståndskraftigt Schengenområde”, COM/2021/277 final.
(8) Mer information finns i datatillsynsmannen yttrande 4/2021, https://edps.europa.eu/system/files/2021-03/21-03-08_opinion_europol_reform_en.pdf