29.12.2010   

SV

Europeiska unionens officiella tidning

C 355/1

1.

Ökande ansträngningar att förbättra det straffrättsliga samarbetet har gjorts under de senaste åren. Detta område, som nu har en viktig position i Stockholmsprogrammet (4), kännetecknas av att de personuppgifter som berörs är av särskilt känslig natur och av de följder behandling av personuppgifter i detta sammanhang kan ha för de registrerade.

2.

Därför har Europeiska datatillsynsmannen (EDPS) ägnat särskilt uppmärksamhet åt denna fråga (5) och avser genom detta yttrande att än en gång understryka behovet av skydd för grundläggande rättigheter som en hörnsten när det gäller området med frihet, säkerhet och rättvisa, såsom anges i Stockholmsprogrammet.

3.

Detta yttrande är en reaktion på två initiativ till direktiv från ett antal medlemsstater, i enlighet med artikel 76 i EUF-fördraget, nämligen

4.

Rådgivning om dessa initiativ omfattas av datatillsynsmannen ansvarsområde i enlighet med artikel 41 i förordning (EG) nr 45/2001 när det gäller att ge råd till EU-institutioner och EU-organ i alla frågor som rör behandling av personuppgifter. Detta yttrande innehåller därför synpunkter på initiativen i den mån dessa gäller behandling av personuppgifter. Europeiska datatillsynsmannen avger detta yttrande på eget initiativ eftersom ingen begäran om rådgivning har lämnats (8).

5.

Datatillsynsmannen påminner om att kommissionen i enlighet med artikel 28.2 i förordning (EG) nr 45/2001 ska samråda med datatillsynsmannen när kommissionen antar ett lagförslag som rör skyddet av enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter. Denna skyldighet gäller inte i strikt mening för initiativ från medlemsstaterna, men sedan Lissabonfördraget trädde i kraft gäller det ordinarie lagstiftningsförfarandet även området polisiärt och straffrättsligt samarbete, med ett särskilt undantag i enlighet med artikel 76 i EUF-fördraget, nämligen att en fjärdedel av medlemsstaterna kan ta initiativ till EU-åtgärder. Enligt Lissabonfördraget ska dessa initiativ i möjligaste mån vara anpassade till kommissionens förslag, och skyddsregler som rör förfarandet ska om möjligt tillämpas. Därför åtföljs dessa initiativ av en konsekvensbedömning.

6.

Det är mot denna bakgrund som datatillsynsmannen dels beklagar att han inte rådfrågades när initiativen lades fram, dels rekommenderar rådet att inrätta ett förfarande inom vilket samråd med datatillsynsmannen äger rum när medlemsstaterna lägger fram ett initiativ som rör behandlingen av personuppgifter.

7.

Trots att de båda initiativen har olika syften – dvs. att förbättra skyddet för brottsoffer respektive samarbetet över gränserna i straffrättsliga frågor genom gränsöverskridande inhämtning av bevis – finns det viktiga likheter mellan dem:

Därför anser datatillsynsmannen att det är lämpligt att granska initiativen tillsammans.

8.

Det ska i detta sammanhang nämnas att Europeiska kommissionen nyligen har tagit upp frågan om insamling av bevis i syfte att överlämna dessa till behöriga myndigheter i andra medlemsstater (vilket är det särskilda ändamålet med EIO-initiativet). En grönbok (11) (vars samrådsfas nu är slut (12)) offentliggjordes av kommissionen i slutet av 2009. Kommissionens syfte, som kan härledas från Handlingsplan för att genomföra Stockholmsprogrammet  (13), var att 2011 lämna ett lagstiftningsförslag om ett övergripande system för bevisupptagning i brottmål som grundar sig på principen om ömsesidigt erkännande och omfattar alla typer av bevisning (14).

9.

Ovannämnda initiativ ligger i linje med trenden för EU:s åtgärder under de senaste åren när det gäller ett område med frihet, säkerhet och rättvisa. Sedan september 2001 har insamling och delning av information inom Europeiska unionen (och med tredje länder) ökat betydligt, också tack vare utvecklingen av informations- och kommunikationsteknik (IKT) och ett antal EU-rättsakter som har främjat denna utveckling. Även EPO- och EIO-initiativen syftar till att förbättra utbytet av information om fysiska personer inom ett område med frihet, säkerhet och rättvisa.

10.

EPO-initiativet – som bygger på artikel 82.1 d i EUF-fördraget – har tyngdpunkten på skyddet av brottsoffer, särskilt kvinnor, och syftar till att garantera ett effektivt skydd för offer inom Europeiska unionen. För att uppnå detta mål tillåter EPO-initiativet en utvidgning av de skyddsåtgärder som räknas upp i artikel 2.2 i initiativet och som antagits enligt en medlemsstats lagstiftning (den utfärdande staten) till en annan medlemsstat till vilken den skyddade personen flyttar (den verkställande staten) utan att offret behöver inleda nya förfaranden eller på nytt lägga fram bevis i den verkställande staten.

11.

De skyddsåtgärder som (på offrets begäran) ålagts den person som är orsak till fara syftar därför till att skydda offrets liv, fysiska och psykiska integritet, frihet eller sexuella integritet inom EU, oberoende av nationella gränser, och syftar till att förebygga nya brott mot samma offer.

12.

En europeisk skyddsorder ska utfärdas på offrets begäran i den utfärdande (medlems)staten av rättslig (eller motsvarande) myndighet. Processen består av följande steg:

13.

För att detta mål ska kunna uppnås måste administrativa åtgärder införas. Dessa kommer delvis att omfatta utbytet av personuppgifter mellan utfärdande och verkställande medlemsstater om den berörda personen (offret) och den person som orsakar fara. Utbytet av personuppgifter omfattas av följande bestämmelser:

14.

Den information som nämns i föregående stycke måste utan tvekan anses omfattas av dataskyddslagstiftningens breda definition av personuppgifter, ”varje upplysning som avser en identifierad eller identifierbar fysisk person” (15), som förklaras mer ingående av EU:s artikel 29-arbetsgrupp. EPO-initiativet gäller information om en enskild person (offret eller den person som orsakar fara) eller information som används eller sannolikt kommer att användas för att utvärdera, hantera på ett visst sätt eller påverka en enskild persons status (särskilt den person som orsakar fara) (16).

15.

EIO-initiativet – som bygger på artikel 82.1 a i EUF-fördraget – kräver att medlemsstaterna samlar in, lagrar och överför bevisning, även om denna ännu inte finns tillgänglig inom det nationella rättssystemet. Initiativet går därför utöver den princip om tillgänglighet som lades fram i Haagprogrammet från 2004 som en innovativ strategi för gränsöverskridande utbyte av information om brottsbekämpning (17). Initiativet går också längre än rådets rambeslut 2008/978/RIF av den 18 december 2008 om en europeisk bevisinhämtningsorder som endast gäller (given) bevisning som redan finns (18).

16.

En europeisk utredningsorder ska utfärdas för att en eller flera specifika utredningsåtgärder ska utföras i den verkställande staten i syfte att samla in bevisning (även sådan som inte föreligger när ordern utfärdas) och överföra denna bevisning (artikel 12). Utredningsordern gäller nästan alla utredningsåtgärder (se skälen 6 och 7 i initiativet).

17.

Syftet med EIO-initiativet är att skapa ett enda, effektivt och flexibelt instrument för att erhålla bevisning som finns i en annan medlemsstat inom ramen för brottmål, i stället för det mer komplexa nuvarande rättsliga instrument som används av rättsliga myndigheter (och som bygger dels på ömsesidigt rättsligt bistånd, dels på ömsesidigt erkännande) (19).

18.

Det är uppenbart att bevisning som samlats in med hjälp av en utredningsorder (se även bilaga A till initiativet) kan innehålla personuppgifter, såsom i fallet med uppgifter om bankkonton (artikel 23), information om banktransaktioner (artikel 24) och övervakning av banktransaktioner (artikel 25), eller skulle kunna omfatta överföring av personuppgifter (såsom i fallet med video- eller telefonkonferenser, i enlighet med artiklarna 21 och 22).

19.

Av dessa skäl har EIO-initiativet en betydande inverkan på rätten till skydd av personuppgifter. Även med tanke på att genomförandedatum för rambeslut 2008/978/RIF ännu inte har passerat (och att det därför är svårt att bedöma rättsaktens effektivitet och behovet av ytterligare rättsliga åtgärder) (20) påminner datatillsynsmannen om behovet av återkommande kontroll av effektiviteten och proportionaliteten av rättsliga åtgärder som antas inom området med frihet, säkerhet och rättvisa, i ljuset av dataskyddsprinciperna (21). Datatillsynsmannen rekommenderar därför att en utvärderingsklausul läggs till i EIO-initiativet som kräver att medlemsstaterna regelbundet rapporterar om rättsaktens tillämpning och att kommissionen sammanställer dessa rapporter och i relevanta fall lägger fram lämpliga ändringsförslag.

20.

Såsom beskrivs ovan i punkterna 13, 14 och 18 står det klart att personuppgifter enligt förslagen till direktiv kommer att behandlas och utbytas av behöriga myndigheter i de olika medlemsstaterna. Under dessa omständigheter skyddas den registrerade av den grundläggande rätt till skydd av personuppgifter som fastställs i artikel 16 i EFU-fördraget och artikel 8 i EU-stadgan om de grundläggande rättigheterna.

21.

Trots detta uppskattas risken för inkräktande på grundläggande rättigheter i den detaljerade redogörelse som åtföljer EPO-initiativet till ”0” (noll) (22), och i den konsekvensanalys som ingår i den detaljerade redogörelse som åtföljer EIO-initiativet tas dataskyddsfrågor inte upp (23).

22.

Datatillsynsmannen beklagar dessa slutsatser och understryker vikten av dataskydd i det särskilda sammanhang i vilket personuppgifterna behandlas, nämligen

23.

Detta sammanhang innebär att uppgiftsbehandling får särskilt stor effekt och väsentligt kan påverka de registrerades grundläggande rättigheter, inklusive rätten till skydd av personuppgifter.

24.

På grund av ovannämnda överväganden undrar datatillsynsmannen varför initiativen varken tar upp skyddet av personuppgifter (förutom hänvisningen till den sekretess som gäller för aktörer som medverkar i en utredning i artikel 18 i EIO-initiativet) eller uttryckligen hänvisar till rambeslut 2008/977/RIF. Detta rambeslut skulle faktiskt vara tillämpligt på den behandling som avses i de båda initiativen (se artikel 1.2 a).

25.

Därför välkomnar datatillsynsmannen att en hänvisning till rambeslut 2008/997/RIF har införts (25) under det förberedande arbetet i rådet med EPO-initiativet och är övertygad om att Europaparlamentet kommer att bekräfta denna ändring av de ursprungliga initiativen (26).

26.

Datatillsynsmannen beklagar att inget motsvarande skäl har införts i EIO-initiativet, som innefattar ett mycket intensivare utbyte av personuppgifter. Datatillsynsmannen välkomnar i detta sammanhang att Europeiska kommissionen i sina kommentarer till EIO-initiativet föreslår att en hänvisning (både i skälen och i själva förslaget) införs till tillämpligheten av rambeslut 2008/977/RIF (27).

27.

Därför, och utan att det påverkar avsnitt II nedan, bör båda initiativen inkludera en särskild bestämmelse som klargör att rambeslut 2008/977/RIF gäller för databehandling i enlighet med initiativen.

28.

Båda initiativen ger än en gång anledning att ta upp det grundläggande problemet med ofullständig och oenhetlig tillämpning av dataskyddsprinciper inom området straffrättsligt samarbete (28).

29.

Datatillsynsmannen är medveten om vikten av att förbättra det rättsliga samarbetet mellan medlemsstaterna, även inom det område som omfattas av EPO- och EIO-initiativen (29). Datatillsynsmannen ser vidare fördelarna med och behovet av att dela information, men vill understryka att behandling av sådana uppgifter måste ske i enlighet med – bland annat (30) – EU:s regler om dataskydd. Detta är ännu mer uppenbart med tanke på att Lissabonfördraget inför artikel 16 i EUF-fördraget och gör artikel 8 i Europeiska unionens stadga om grundläggande rättigheter bindande.

30.

Situationer som innefattar gränsöverskridande informationsutbyte inom EU förtjänar särskild uppmärksamhet eftersom behandling av personuppgifter i mer än ett rättssystem ökar riskerna för berörda personers rättigheter och intressen. Personuppgifter kommer att behandlas i flera rättssystem där de rättsliga kraven och de tekniska ramarna inte nödvändigtvis är desamma.

31.

Detta leder vidare till rättosäkerhet för de registrerade: parter från andra medlemsstater kan vara inblandade, de nationella lagarna i olika medlemsstater kan vara tillämpliga och kan skilja sig från de lagar de registrerade är vana vid eller kan gälla i ett rättssystem som är obekant för den registrerade. Detta kräver större ansträngningar för att säkerställa efterlevnad av de bestämmelser som härrör från EU-lagstiftningen om dataskydd (31).

32.

Enligt datatillsynsmannens mening är det endast ett första steg att klargöra att rambeslut 2008/977/RIF är tillämpligt, så som föreslås i punkt 27.

33.

De särskilda utmaningarna när det gäller effektivt skydd inom området straffrättsligt samarbete i kombination med ett inte helt tillfredsställande rambeslut 2008/977/RIF (se punkterna 52–56 ovan) kan kräva mer detaljerade bestämmelser om dataskydd, när särskilda rättsliga EU-instrument kräver utbyte av personuppgifter.

34.

Ett effektivt skydd av personuppgifter (såsom belyses i punkt 29) är inte bara viktigt för de registrerade utan bidrar också till att det rättsliga samarbetet som sådant blir framgångsrikt. Villigheten att utbyta dessa uppgifter med myndigheter i andra medlemsstater kommer faktiskt att öka om en myndighet kan känna sig säker på graden av skydd, riktighet och tillförlighet när det gäller personuppgifter i andra medlemsstater (32). Sammanfattningsvis kan en (hög) gemensam standard för dataskyddet inom detta känsliga område främja ömsesidig tillit och ömsesidigt förtroende mellan medlemsstaterna, stärka det rättsliga samarbete som bygger på ömsesidigt erkännande och därigenom förbättra datakvaliteten vid utbyte av information.

35.

I detta speciella sammanhang rekommenderar datatillsynsmannen att särskilda dataskyddsgarantier inkluderas i EPO- och EIO-initiativen, utöver den allmänna hänvisningen till rambeslut 2008/977/RIF (såsom föreslås i punkt 27).

36.

Vissa av dessa garantier är av mer allmän karaktär och är avsedda att inkluderas i båda initiativen, särskilt de garantier som syftar till att förbättra såväl uppgifternas riktighet som säkerheten och sekretessen. Andra garantier gäller särskilda bestämmelser i antingen EPO- eller EIO-initiativet.

37.

I de situationer där data i enlighet med initiativen utbyts mellan medlemsstaterna ska särskild tonvikt läggas på att garantera informationens riktighet. I detta avseende välkomnar datatillsynsmannen att EPO-initiativets artikel 14 innehåller klara skyldigheter för den utfärdande statens behöriga myndighet att underrätta den behöriga myndigheten i den verkställande staten om ändringar av skyddsordern eller om att skyddsordern har återkallats eller löpt ut.

38.

Datatillsynsmannen noterar också att behovet av översättning kan påverka informationens riktighet, särskilt eftersom initiativen gäller specifika rättsliga instrument som kan ha olika innebörd på olika språk och i olika rättssystem. I detta sammanhang välkomnar datatillsynsmannen att EPO-initiativet tar upp frågan om översättningar (artikel 16) men föreslår också att motsvarande bestämmelse inkluderas i EIO-initiativet.

39.

Den ökning av gränsöverskridande samarbete som skulle följa om de två initiativen antogs kräver noggrant övervägande av säkerhetsaspekterna av gränsöverskridande överföring av personuppgifter i samband med verkställande av europeiska personskyddsorder eller europeiska utredningsorder (33). Detta är nödvändigt, inte bara för att uppfylla de säkerhetskrav för behandling av personuppgifter som anges i artikel 22 i rambeslut 2008/977/RIF, utan också för att garantera sekretessen dels för utredningar och berörda brottmål i enlighet med artikel 18 i EIO-initiativet, dels generellt för personuppgifter i samband med gränsöverskridande utbyte av information, i enlighet med artikel 21 i rambeslut 2008/977/RIF.

40.

Datatillsynsmannen betonar behovet av säkra telekommunikationssystem för överföringsförfaranden. Han välkomnar därför bestämmelsen om att det europeiska rättsliga nätverket (34) ska användas som verktyg för att säkerställa att skyddsorder och utredningsorder ställs korrekt till de behöriga nationella myndigheterna för att förhindra eller minimera risken för att fel myndigheter blir delaktiga i utbytet av personuppgifter (se artiklarna 7.2 och 7.3 i EPO-initiativet och artiklarna 6.3 och 6.4 i EIO-initiativet).

41.

Initiativen ska därför innehålla bestämmelser om att medlemsstaterna ska se till att

42.

Vidare rekommenderar datatillsynsmannen att bestämmelser införs som säkerställer att väsentliga dataskyddsprinciper följs vid behandling av personuppgifter och att det finns nödvändiga interna mekanismer för att visa att externa intressenter tillmötesgås. Sådana bestämmelser skulle vara instrument som gör registeransvariga ansvariga (enligt den princip om ansvarighet som diskuteras inom ramen för den pågående översynen av den rättsliga ramen för dataskyddet (35)). Detta innebär att registeransvariga är skyldiga att vidta nödvändiga åtgärder för att säkerställa efterlevnad. Bestämmelserna bör innefatta

43.

Med tanke på de särskilt integritetskränkande egenskaperna hos vissa utredningsåtgärder uppmanar datatillsynsmannen till grundlig eftertanke om huruvida det ska vara tillåtet att i domstol ta upp bevisning som samlats in för andra ändamål än att förhindra, eftersöka, upptäcka och beivra straffbelagda brott eller tillämpa straffrättsliga påföljder och utöva rätten till försvar. Särskilt användning av bevisning som erhållits i enlighet med artikel 11.1 d i rambeslut 2008/977/RIF ska övervägas noga (36).

44.

Ett undantag från tillämpning av bestämmelserna i artikel 11.1 d bör därför inkluderas i EIO-initiativet, där det anges att bevisning som samlats in enligt EIO inte får användas för andra ändamål än att förhindra, eftersöka, upptäcka och beivra straffbelagda brott eller tillämpa straffrättsliga påföljder och utöva rätten till försvar.

45.

När det gäller EPO-initiativet erkänner datatillsynsmannen att de personuppgifter som utväxlas mellan de behöriga myndigheterna och som förtecknas i bilaga I till initiativet (gällande både offret och den person som orsakar fara) är tillräckliga, relevanta och inte alltför omfattande i förhållande till det syfte för vilket de insamlas och behandlas.

46.

Det framgår dock inte tillräckligt tydligt av initiativet – särskilt i artikel 8.1 b – vilka personuppgifter om offret som den behöriga myndigheten i den verkställande staten kommer att förmedla till den person som orsakar fara.

47.

Datatillsynsmannen menar att det är lämpligt att överväga omständigheterna och innehållet i de skyddsåtgärder som utfärdas av den rättsliga myndigheten i den utfärdande medlemsstaten innan den person som orsakar fara underrättas. Denna person bör därför endast få de av offrets personuppgifter (vilka i vissa fall kan innefatta kontaktuppgifter) som är strikt nödvändiga för att skyddsåtgärden ska kunna genomföras fullt ut.

48.

Datatillsynsmannen är medveten om att tillhandahållande av kontaktuppgifter (t.ex. telefonnummer, offrets adress samt andra platser där offret vistas regelbundet, bland annat arbetsplatsen eller barns skolor) faktiskt kan äventyra offrets fysiska och psykiska välbefinnande och även påverka hans eller hennes rätt till privatliv och skydd av personuppgifter. Å andra sidan kan en indikation om relevanta adresser i vissa fall krävas för att varna den person som orsakar fara för platser som han eller hon inte får besöka. Detta krävs för att göra det möjligt för personen att följa personskyddsordern och förhindra eventuella påföljder för överträdelse av denna. Beroende på omständigheterna kan identifiering av den eller de platser krävas som den person som orsakar fara inte får besöka, för att hans eller hennes rörelsefrihet inte ska begränsas i onödan.

49.

Med tanke på dessa överväganden betonar datatillsynsmannen att denna aspekt är viktig och rekommenderar att EPO-initiativet tydligt anger att den person som orsakar fara bör få tillgång endast till de av offrets personuppgifter (vilka i vissa fall kan innefatta kontaktuppgifter) som är strikt nödvändiga för att skyddsåtgärden ska kunna genomföras fullt ut, allt efter de omständigheter som gäller i ärendet (37).

50.

Slutligen ber datatillsynsmannen om ett förtydligande av uttrycket elektroniska medel i skäl 10 i EPO-initiativet. Särskilt bör det klargöras om personuppgifter behandlas med användning av elektroniska medel och, i så fall, vilka garantier som ges.

51.

Rambeslut 2008/977/RIF gäller för alla utbyten av personuppgifter i enlighet med EPO- och EIO-initiativen.

52.

Datatillsynsmannen har visserligen vidgått att rambeslut 2008/977/RIF – när detta genomförts av medlemsstaterna – är ett viktigt steg framåt när det gäller dataskyddet inom det polisiära och rättsliga samarbetet (38), men rambeslutet i sig är inte helt tillfredsställande (39). Det viktigaste olösta problemet gäller dess begränsade omfattning. Rambeslutet är begränsat till utbyten av personuppgifter inom det polisiära och rättsliga området mellan myndigheter och system i olika medlemsstater och på EU-nivå (40).

53.

Även om detta problem inte kan lösas inom ramen för EPO- och EIO-initiativen understryker datatillsynsmannen än en gång att bristen på en (hög) gemensam standard för dataskyddet inom det rättsliga samarbetet skulle kunna innebära att en rättslig myndighet på nationell nivå eller EU-nivå vid hantering av en brottsundersökning som innehåller information som härrör från andra medlemsstater (inklusive exempelvis bevisning som samlats in på grundval av en europeisk utredningsorder) skulle vara tvungen att tillämpa olika databehandlingsregler: den självständiga nationella rättsordningen (som måste följa Europarådets konvention nr 108) för uppgifter som har sitt ursprung i medlemsstaten själv och tillämpningsföreskrifterna för rambeslut 2008/977/RIF för uppgifter som har sitt ursprung i andra medlemsstater. Olika uppgifter kan därmed omfattas av olika regelverk.

54.

Konsekvenserna av att tillämpa en ”dubbel” dataskyddsstandard för varje brottsutredning med gränsöverskridande inslag är relevant i daglig praxis (exempelvis för bevarande av information fastställd genom tillämpliga lagar för vart och ett av de överförande organen; ytterligare behandlingsbegränsningar som krävs av vart och ett av de överförande organen; vid begäran från ett tredje land skulle varje överförande organ behöva ge sitt samtycke i enlighet med sin egen utvärdering av tillräcklighet och/eller internationella åtaganden; skillnader i regleringen av den registrerades rätt till åtkomst). Dessutom skulle medborgarnas skydd och rättigheter variera och vara föremål för olika breda undantag beroende på i vilken medlemsstat behandlingen sker (41).

55.

Datatillsynsmannen tar därför tillfället i akt att upprepa sina synpunkter när det gäller behovet av en heltäckande rättslig ram för dataskydd som omfattar alla EU:s behörighetsområden, inklusive det polisiära och rättsliga området, och ska tillämpas på både personuppgifter som överförs eller görs tillgängliga av andra medlemsstaters behöriga myndigheter och på behandling inom området med frihet, säkerhet och rättvisa (42).

56.

Slutligen noterar datatillsynsmannen att dataskyddsreglerna bör gälla alla sektorer och användning av data för alla ändamål (43). Självfallet ska vederbörligen motiverade och tydligt beskrivna undantag vara möjliga, särskilt när det gäller personuppgifter som behandlas för brottsbekämpningsändamål (44). Brister i skyddet av personuppgifter strider mot EU:s gällande (förnyade) rättsliga ram. Artikel 3.2 i direktiv 95/46/EG – som undantar det polisiära och rättsliga området – överensstämmer inte med den filosofi som kommer till uttryck i artikel 16 i EUF-fördraget. Vidare åtgärdas dessa brister inte i tillräcklig grad av Europarådets konvention nr 108 (45), som är bindande för alla medlemsstater.

57.

Datatillsynsmannen rekommenderar följande både när det gäller EPO- och EIO-initiativet:

58.

När det gäller EPO-initiativet rekommenderar datatillsynsmannen att

59.

När det gäller EIO-initiativet rekommenderar datatillsynsmannen att

60.

Vidare, och mer generellt, vill datatillsynsmannen