29.11.2005   

SV

Europeiska unionens officiella tidning

C 298/1

1.

Datatillsynsmannen välkomnar begäran om samråd på grundval av artikel 28.2 i förordning (EG) nr 45/2001. Med tanke på att artikel 28.2 i förordning (EG) nr 45/2001 är bindande, bör detta yttrande dock nämnas i direktivets ingress.

2.

Datatillsynsmannen inser vikten av att medlemsstaternas brottsbekämpande organ förfogar över alla nödvändiga rättsinstrument, särskilt i kampen mot terrorism och andra allvarliga brott. Adekvat tillgång till vissa trafik- och lokaliseringsuppgifter för allmänna elektroniska tjänster kan vara ett avgörande redskap för de brottsbekämpande organen och kan bidra till människors fysiska säkerhet. Vidare bör det noteras att detta inte automatiskt innebär att de nya instrument som planeras i detta förslag är nödvändiga.

3.

Det är också uppenbart att förslaget i betydande grad inverkar på skyddet av personuppgifter. Om man betraktar förslaget enbart ur ett uppgiftsskyddsperspektiv, bör trafik- och lokaliseringsuppgifter över huvud taget inte bevaras i brottsbekämpande syfte. Det är av uppgiftsskyddsskäl som det i direktiv 2002/58/EG fastställs som en rättsprincip att trafikuppgifter skall utplånas när lagring inte längre behövs för ändamål som har med själva kommunikationen att göra (bl.a. faktureringsändamål). Undantag från denna rättsprincip omfattas av stränga villkor.

4.

I detta yttrande kommer datatillsynsmannen att betona förslagets inverkan på skyddet av personuppgifter. Han kommer dessutom att ta hänsyn till att förslaget, trots dess betydelse för brottsbekämpningen, inte får leda till att människor berövas sin grundläggande rätt till integritetsskydd.

5.

Yttrandet från datatillsynsmannen måste betraktas mot bakgrund av dessa hänsynstaganden. Datatillsynsmannen eftersträvar ett balanserat synsätt, där nödvändigheten och proportionaliteten av en inskränkning av uppgiftsskyddet har central betydelse.

6.

När det gäller själva förslaget, måste det ses som en reaktion på initiativet från Frankrike, Irland, Sverige och Förenade kungariket till ett rambeslut om bevarande av uppgifter som har behandlats och lagrats i samband med tillhandahållande av allmänt tillgängliga elektroniska kommunikationstjänster eller uppgifter i allmänna kommunikationsnät för förebyggande, utredning, upptäckt och lagföring av brott och straffbara gärningar, inklusive terrorism (”utkastet till rambeslut”), vilket avvisades av Europaparlamentet (vid samrådsförfarandet).

7.

Datatillsynsmannen har inte hörts angående utkastet till rambeslut och har inte heller lämnat något yttrande på eget initiativ. Han avser än så länge inte att lämna ett yttrande om utkastet till rambeslut, men kommer i detta yttrande att hänvisa till detta utkast till beslut när han anser det lämpligt.

8.

Datatillsynsmannen fäster synnerlig vikt vid att förslaget respekterar de grundläggande rättigheterna. En lagstiftningsåtgärd som kommer att skada det skydd som garanteras genom gemenskapsrätten, och mer specifikt genom rättspraxis vid EG-domstolen och Europeiska domstolen för de mänskliga rättigheterna (”Europadomstolen”), är inte bara oacceptabel utan också olaglig. Samhällsförhållandena kan ha ändrats på grund av terroristattacker, men detta får inte äventyra en hög skyddsstandard i den gällande lagstiftningen. Skyddet ges enligt lag, oberoende av brottsbekämpningens aktuella behov. Vidare ger rättspraxis möjlighet till undantag, om det är nödvändigt i ett demokratiskt samhälle.

9.

Förslaget har direkt inverkan på det skydd som ges genom artikel 8 i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (”Europa-konventionen”). I rättspraxis vid Europeiska domstolen för de mänskliga rättigheterna fastställs följande:

10.

I artikel 6.2 i EU-fördraget föreskrivs att unionen skall respektera de grundläggande rättigheterna, såsom de garanteras i Europakonventionen. I punkt 9 påvisades att, enligt Europadomstolens rättspraxis, skyldigheten att bevara uppgifter omfattas av artikel 8 i Europakonventionen och att det krävs en tungt vägande motivering som respekterar kriteriet i Dudgeon-domen. Det måste styrkas att skyldigheten att bevara uppgifter till alla delar är nödvändig och proportionell.

11.

Förslaget har dessutom stor inverkan på de principer om uppgiftsskydd som erkänns i gemenskapsrätten.

12.

Slutligen har både skyddet för privatlivet och skyddet av personuppgifter erkänts i stadgan om de grundläggande rättigheterna, vilket har nämnts i motiveringen.

13.

Förslagets inverkan på skyddet av personuppgifter kräver en noggrann analys. Vid denna analys kommer datatillsynsmannen att ta hänsyn till ovannämnda faktorer och dra slutsatsen att det behövs fler skyddsåtgärder. En enkel hänvisning till den befintliga rättsliga ramen för uppgiftsskydd (särskilt direktiven 95/46/EG och 2002/58/EG) räcker inte.

14.

Datatillsynsmannen erinrar om slutsatsen av den 9 november 2004 om utkastet till rambeslut från arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter som inrättats i enlighet med artikel 29. Arbetsgruppen hävdade att obligatoriskt bevarande av trafikuppgifter enligt villkoren i utkastet till rambeslut inte kan godtas. Slutsatsen grundades bland annat på att behovet av bevarande av uppgifter för att upprätthålla den allmänna ordningen inte var styrkt, eftersom en undersökning visade att större delen av de trafikuppgifter som efterfrågades inom brottsbekämpningen inte var äldre än sex månader.

15.

Datatillsynsmannen anser att de ovannämnda överläggningarna i arbetsgruppen bör vara utgångspunkten för en bedömning av förslaget. Resultatet av överläggningarna kan dock inte rätt och slätt överföras till det här förslaget. Hänsyn måste tas till att omständigheterna kan förändras. Enligt datatillsynsmannen kan följande händelseutveckling vara av betydelse för bedömningen:

16.

För det första har vissa sifferuppgifter lagts fram för att påvisa att trafikuppgifter som är upp till ett år gamla efterfrågas inom brottsbekämpningen. Både kommissionen och rådets ordförandeskap fäster vikt vid en utredning från den brittiska polisen (8) som visar att uppgifter som är mellan sex månader och ett år gamla har använts i komplicerade utredningar av allvarliga brott, även om 85 % av de trafikuppgifter som efterfrågades av polisen var mindre än sex månader gamla. Det gavs även några exempel på fall. Lagringstiden i förslaget – ett år för telefonuppgifter – återspeglar dessa metoder inom brottsbekämpningen.

17.

Datatillsynsmannen är inte övertygad om att dessa sifferuppgifter styrker att det är nödvändigt att bevara trafikuppgifter i upp till ett år. Att tillgången till trafik- och/eller lokaliserings-uppgifter i vissa fall har bidragit till att lösa brott innebär inte automatiskt att dessa uppgifter behövs (generellt) som ett redskap för brottsbekämpning. Sifferuppgifterna kan dock inte ignoreras. De utgör åtminstone ett allvarligt försök att påvisa nödvändigheten av bevarandet. Dessutom visar de tydligt att en lagringstid på över ett år inte krävs med utgångspunkt från nuvarande brottsbekämpningsmetoder.

18.

För det andra utnyttjas inte alltid de befintliga möjligheterna enligt direktiv 2002/58/EG för leverantörerna att bevara trafikuppgifter för faktureringsändamål, eftersom det blir allt vanligare att bevarande av uppgifter för faktureringsändamål inte alls äger rum (förbetalda kort för mobilkommunikation, abonnemang till fastställd taxa, osv.). I dessa fall – som i praktiken har blivit vanligare – lagras trafik- och lokaliseringsuppgifter inte alls utan utplånas omedelbart efter kommunikationen. Detsamma gäller misslyckade uppringningar. Detta kan påverka brottsbekämpningens effektivitet.

19.

Denna utveckling inom telekommunikationstjänsterna kan dessutom leda till störningar i den inre marknadens funktion, bland annat på grund av att lagstiftningsåtgärder (inom kort) kommer att antas i medlemsstaterna i enlighet med artikel 15 i direktiv 2002/58/EG. Exempelvis offentliggjorde den italienska regeringen nyligen ett lagdekret enligt vilket leverantörerna är skyldiga att lagra telefonuppgifter under fyra år. Denna skyldighet kommer att medföra betydande kostnader i vissa medlemsstater, bland annat Italien.

20.

För det tredje har de brottsbekämpande myndigheternas arbetsmetoder också utvecklats: proaktiva utredningar och användning av teknikstöd har fått större betydelse. Utvecklingen kräver att myndigheterna förfogar över lämpliga och noggrant utformade redskap för att de skall kunna utföra sitt arbete med vederbörlig respekt för principerna om uppgiftsskydd. Ett av de redskap som medlemsstaternas myndigheter vanligen förfogar över är säkrande av uppgifter, eller frysning av kommunikationsuppgifter på begäran vid en konkret utredning. Man har uppgett att detta redskap, som i sig har mindre inverkan på dessa principer än det redskap som nu föreslås (bevarande av uppgifter), kanske inte alltid räcker till, särskilt inte för att spåra personer som är inblandade i terrorism eller andra allvarliga brott, men som inte tidigare har misstänkts för någon brottslig verksamhet. Det behövs dock ytterligare belägg för att fastställa om så verkligen är fallet.

21.

För det fjärde har oron för terroristattacker ökat. Datatillsynsmannen delar den åsikt som har framförts i samband med förslagen om bevarande av uppgifter, nämligen att den fysiska säkerheten i sig är av allt överskuggande betydelse. Samhället måste skyddas. Av denna anledning är regeringarna skyldiga att i händelse av attacker mot samhället visa att de allvarligt beaktar detta behov av skydd och utreda om de måste reagera genom att införa nya lagstiftningsåtgärder. Naturligtvis stöder regeringarna fullt ut statsmakternas uppgift – både på nationell nivå och EU-nivå – att skydda samhället och visa att de gör allt som behövs för att erbjuda skydd och även antar nya, legitima och effektiva åtgärder till följd av sina utredningar.

22.

Datatillsynsmannen inser att omständigheterna förändras, men är ännu inte övertygad om att det är nödvändigt att bevara trafik- och lokaliseringsuppgifter för brottsbekämpande ändamål, vilket fastslås i förslaget. Han understryker vikten av den rättsliga princip som fastställs genom direktiv 2002/58/EG att trafikuppgifter skall utplånas när lagring inte längre behövs för ändamål som inte har med själva kommunikationen att göra. De sifferuppgifter som har lämnats styrker inte att den befintliga rättsliga ramen inte tillhandahåller de instrument som behövs för att skydda den fysiska säkerheten, och inte heller att medlemsstaterna fullt ut tillämpar sin behörighet enligt EG-rätten att samarbeta på det sätt som de har rätt att göra inom den befintliga rättsliga ramen (men utan de resultat som är nödvändiga).

23.

Om Europaparlamentet och rådet – efter en noggrann avvägning mellan de intressen som står på spel – finner att nödvändigheten av att bevara trafik- och lokaliseringsuppgifter är tillräckligt styrkt, anser datatillsynsmannen dock att bevarandet endast kan motiveras enligt gemenskapsrätten om proportionalitetsprincipen respekteras och lämpliga skyddsåtgärder vidtas i enlighet med detta yttrande.

24.

Den föreslagna nya lagstiftningsåtgärdens proportionalitet beror av sakinnehållet i de bestämmelser den innehåller: Innehåller den ett lämpligt och proportionerligt svar på samhällets behov?

25.

Det första övervägandet avser förslagets lämplighet: Kan man förvänta sig att förslaget ökar EU-invånarnas fysiska säkerhet? En anledning till att betvivla lämpligheten som ofta nämns i den offentliga debatten är att trafik- och lokaliseringsuppgifter inte alltid är kopplade till en viss person, varför kännedom om ett telefonnummer (eller IP-nummer) inte nödvändigtvis avslöjar en persons identitet. Ett annat och ännu allvarligare skäl till tvivel är om gigantiska databaser verkligen gör det möjligt för de brottsbekämpande organen att lätt finna vad de söker i ett specifikt fall.

26.

Datatillsynsmannen anser att enbart bevarande av trafik- och lokaliseringsuppgifter i sig inte är ett lämpligt eller effektivt svar. Det behövs ytterligare åtgärder för att se till att myndigheterna har riktad och snabb tillgång till de uppgifter som behövs i ett specifikt fall. Bevarandet av uppgifter är bara lämpligt och effektivt om det finns effektiva sökmotorer.

27.

Det andra övervägandet avser frågan om svaret är proportionerligt. För att vara proportionerligt bör förslaget

28.

Datatillsynsmannen betonar vikten av dessa strikta begränsningar med lämpliga skyddsåtgärder för att tillgången skall begränsas. På grund av vikten av de tre faktorer som nämndes i punkt 27 anser han att medlemsstaterna med avseende på dessa tre faktorer inte får vidta kompletterande nationella åtgärder som äventyrar proportionaliteten. Detta behov av harmonisering kommer att utvecklas närmare i avsnitt IV.

29.

En följd av förslaget kommer att bli att leverantörerna kommer att förfoga över databaser där ett stort antal trafik- och lokaliseringsuppgifter lagras.

30.

För det första måste det säkerställas i förslaget att tillgången till och vidareanvändningen av dessa uppgifter begränsas enbart till särskilda omständigheter och för ett begränsat antal särskilda ändamål.

31.

För det andra måste databaserna skyddas på lämpligt sätt (datasäkerhet). Det måste därför garanteras att uppgifterna utplånas effektivt när bevarandetiden har löpt ut. Det bör inte förekomma någon ”dumpning av uppgifter” eller utnyttjande av uppgifter. Kort uttryckt, detta kräver hög datasäkerhet och lämpliga tekniska och organisatoriska säkerhetsåtgärder.

32.

Hög datasäkerhet är ännu viktigare på grund av att det faktum att det finns uppgifter kan leda till ansökningar om tillgång och användning från åtminstone tre grupper av berörda aktörer:

33.

När det gäller underrättelsetjänsternas tillgång noterar datatillsynsmannen att interventioner inom tredje och första pelaren enligt artikel 33 i EU-fördraget och artikel 64 i EG-fördraget inte skall påverka medlemsstaternas ansvar för att upprätthålla lag och ordning och skydda den inre säkerheten. Datatillsynsmannen anser att det följer av dessa bestämmelser att Europeiska unionen saknar behörighet att kontrollera säkerhets- eller underrättelsetjänsters tillgång till de uppgifter som leverantörerna bevarar. Dessa myndigheters tillgång till leverantörernas trafik- och lokaliseringsuppgifter eller vidareanvändningen av den information som de förvärvar påverkas med andra ord inte av Europeiska unionens lagstiftning. Detta är en faktor som måste beaktas vid bedömningen av förslaget. Det är medlemsstaterna som bör vidta nödvändiga åtgärder för att reglera underrättelsetjänsternas tillgång.

34.

För det tredje har de effekter som beskrivs i de föregående punkterna möjliga konsekvenser för de registrerade. Det behövs ytterligare skyddsåtgärder för att se till att dessa enkelt och snabbt kan utöva sina rättigheter i egenskap av registrerade. Datatillsynsmannen påpekar att det är nödvändigt med en effektiv kontroll av tillgången och vidareanvändningen, helst genom medlemsstaternas rättsliga myndigheter. Skyddsåtgärderna bör också gälla om myndigheter i andra medlemsstater får tillgång till och vidareanvänder trafikuppgifter.

35.

I detta sammanhang hänvisar datatillsynsmannen till initiativ till en ny rättslig ram för tillämpligt dataskydd för brottsbekämpning (inom EU-fördragets tredje pelare). Han anser att en sådan rättslig ram kräver ytterligare skyddsåtgärder och inte kan begränsas till ett bekräftande av de allmänna principerna om skydd av personuppgifter inom första pelaren (9).

36.

För det fjärde finns det ett direkt samband mellan säkerhetsåtgärdernas lämplighet och kostnaderna för dessa. En adekvat lag om bevarande av uppgifter måste därför innehålla incitament för leverantörerna att investera i den tekniska infrastrukturen. Sådan stimulans kan innebära att leverantörerna kompenseras för den extra kostnaden för lämpliga säkerhetsåtgärder.

37.

38.

Förslaget grundas på EG-fördraget, särskilt artikel 95, och syftar enligt artikel 1 till att harmonisera leverantörernas skyldigheter när det gäller behandling och bevarande av trafik- och lokaliseringsuppgifter. Det anges att uppgifterna endast skall tillhandahållas de behöriga nationella myndigheterna i enskilda fall som avser brott, men den mer exakta definitionen av syftet samt tillgången till och vidareanvändningen av uppgifterna överlåts till medlemsstaterna att avgöra, med förbehåll för skyddsåtgärderna i den befintliga gemenskapsramen för skydd av personuppgifter.

39.

I detta avseende har förslaget en mer begränsad räckvidd än utkastet till rambeslut som grundas på artikel 31.1 c i EU-fördraget och som innehåller kompletterande bestämmelser om tillgången till bevarade uppgifter och om ansökningar om tillgång från andra medlemsstater. I motiveringen försvaras denna begränsning av förslagets räckvidd. Det anges att tillgång till och utbyte av information mellan berörda brottsbekämpande organ är en fråga som inte omfattas av EG-fördragets räckvidd.

40.

Datatillsynsmannen låter sig inte övertygas av detta påstående i motiveringen. En intervention från gemenskapens sida som grundas på artikel 95 i EG-fördraget (inre marknaden) måste som främsta syfte ha att undanröja handelshinder. Enligt domstolens rättspraxis måste en sådan intervention vara verkligt lämplig för att bidra till undanröjandet av sådana hinder. Gemenskapslagstiftaren måste dock i sin intervention se till att de grundläggande rättigheterna respekteras (artikel 6.2 i EU-fördraget; se avsnitt II i detta yttrande). Det oaktat kan ett fastställande på gemenskapsnivå av regler för bevarande av uppgifter i den inre marknadens intresse kräva att Europeiska gemenskapen även behandlar frågan om respekten för de grundläggande rättigheterna. Om gemenskapslagstiftaren inte kan fastställa regler för tillgång till och användning av uppgifter kan han inte fullgöra sin skyldighet enligt artikel 6 i EU-fördraget, eftersom de senare reglerna är oundgängliga för att garantera att uppgifter bevaras med vederbörlig respekt för de grundläggande rättigheterna. Med andra ord går det, enligt datatillsynsmannens mening, inte att skilja reglerna om tillgång, användning och utbyte av uppgifter från själva skyldigheten att bevara uppgifterna.

41.

När det gäller fastställandet av behöriga myndigheter erkänner datatillsynsmannen att ansvaret vilar på medlemsstaterna. Detta gäller även organisationen av brottsbekämpningen och det rättsliga skyddet. En gemenskapsakt kan dock införa villkor för medlemsstaterna när det gäller fastställandet av behöriga myndigheter, domstolskontroll eller medborgarnas tillgång till domstolsprövning. Dessa bestämmelser säkerställer att det finns lämpliga mekanismer på nationell nivå för att garantera att rättsakten har full verkan och dessutom fullt ut är förenlig med uppgiftsskyddslagstiftningen.

42.

Datatillsynsmannen tar upp en annan fråga med anknytning till den rättsliga grunden. Det är gemenskapslagstiftarens sak att välja den lämpliga rättsliga grunden och således det lämpliga lagstiftningsförfarandet. Detta val går utöver datatillsynsmannens uppdrag. Mot bakgrund av de viktiga grundläggande frågor som står på spel, framför datatillsynsmannen dock i den aktuella situationen stark preferens för medbeslutandeförfarandet. Endast detta förfarande är en öppen beslutsprocess med fullständigt deltagande av de tre berörda institutionerna och med vederbörlig respekt för de principer som unionen grundas på.

43.

I förslaget till direktiv harmoniseras de typer av uppgifter som skall bevaras, tidsgränserna för hur länge uppgifterna bör bevaras samt de ändamål för vilka uppgifter får lämnas till de behöriga myndigheterna. Enligt förslaget skall dessa faktorer harmoniseras fullt ut. Det har i detta avseende en helt annan karaktär än utkastet till rambeslut, där minimiregler föreskrivs.

44.

Datatillsynsmannen betonar att det är nödvändigt att harmonisera dessa faktorer fullt ut med tanke på den inre marknadens funktion och brottsbekämpningens behov samt – sist men inte minst – Europakonventionen samt principerna om uppgiftsskydd.

45.

Harmoniseringen av skyldigheterna att bevara uppgifter motiverar valet av rättslig grund för förslaget (artikel 95 i EG-fördraget) när det gäller den inre marknadens funktion. Att medge väsentliga skillnader mellan medlemsstaternas lagar skulle inte avlägsna de befintliga störningarna på den inre marknaden för elektronisk kommunikation som bland annat beror på (det nära förestående) antagandet av lagstiftningsåtgärder i medlemsstaterna enligt artikel 15 i direktiv 2002/58/EG (se punkt 19 i detta yttrande).

46.

Detta är så mycket viktigare eftersom mer än en medlemsstats jurisdiktion är relevant för en betydande mängd elektronisk kommunikation. Belysande exempel är telefonsamtal över gränserna, roaming, gränspassage under pågående mobilkommunikation och användning av leverantörer i andra medlemsstater än personens bosättningsland.

47.

Vidare skulle avsaknad av harmonisering i detta sammanhang inverka menligt på brottsbekämpningens behov eftersom de behöriga myndigheterna måste uppfylla skiljaktiga rättsliga krav. Detta kan hindra informationsutbytet mellan medlemsstaternas myndigheter.

48.

Slutligen understryker datatillsynsmannen – med hänvisning till sitt ansvar enligt artikel 41 i förordning (EG) nr45/2001 – att fullständig harmonisering av förslagets huvudinslag är oumbärlig för att efterleva Europakonventionen och principerna om uppgiftsskydd. Alla lagstiftningsåtgärder som inför skyldighet att bevara trafik- och lokaliseringsuppgifter måste tydligt begränsa det antal uppgifter som skall bevaras, lagringstiderna och (syftet med) tillgången till och vidareanvändningen av uppgifterna för att kunna godtas från uppgiftsskyddssynpunkt och för att uppfylla kraven på nödvändighet och proportionalitet.

49.

Artikel 3 är den viktigaste bestämmelsen i förslaget. I artikel 3.1 införs skyldigheten att bevara trafik- och lokaliseringsuppgifter, medan principen om begränsning av syftet tillämpas i artikel 3.2. I artikel 3.2 fastställs tre viktiga begränsningar. De bevarade uppgifterna skall endast tillhandahållas

Artikel 3.2 hänvisar till medlemsstaternas nationella lagstiftning när det gäller specificering av ytterligare begränsningar.

50.

Datatillsynsmannen välkomnar artikel 3.2 som en viktig bestämmelse men anser att begränsningarna inte är tillräckligt exakta, att tillgången och vidareanvändningen uttryckligen bör regleras i direktivet och att det behövs ytterligare skyddsåtgärder. Som nämndes i avsnitt III i detta yttrande är datatillsynsmannen inte övertygad om att det faktum att (exakta) bestämmelser inte har införts när det gäller tillgång och vidareanvändning av trafik- och lokaliseringsuppgifterna är en oundviklig följd av förslagets rättsliga grund (artikel 95 i EG-fördraget). Detta föranleder följande kommentarer.

51.

För det första: Det anges inte särskilt att andra berörda aktörer, som t.ex. leverantören, inte har tillgång till uppgifterna. Enligt artikel 6 i direktiv 2002/58/EG får leverantörerna endast behandla trafikuppgifter fram till utgången av den period under vilken uppgifterna bevaras för faktureringsändamål. Enligt datatillsynsmannen är det inte motiverat att leverantörerna eller andra berörda parter har annan tillgång till uppgifter än den tillgång som anges i direktiv 2002/58/EG och enligt villkoren i det direktivet.

52.

Datatillsynsmannen rekommenderar att en bestämmelse införs i texten för att säkerställa att inga andra än de behöriga myndigheterna får tillgång till uppgifterna. Bestämmelsen kan formuleras på följande sätt: ”tillgång till uppgifterna och/eller behandling av dessa får endast ske för det syfte som anges i artikel 3.2” eller ”leverantörerna skall fullt ut garantera att tillgång endast medges de berörda myndigheterna”.

53.

För det andra: Begränsningen till särskilda fall tycks förhindra rutinmässig tillgång för ”fishing operations” eller datautvinning. Det bör dock närmare anges i förslaget att uppgifter endast kan tillhandahållas om det är nödvändigt med avseende på ett specifikt brott.

54.

För det tredje: Datatillsynsmannen välkomnar att syftet med tillgången begränsas till allvarliga brott som terrorism och organiserad brottslighet. I andra, mindre allvarliga fall kommer tillgång till trafik- och lokaliseringsuppgifter knappast att vara proportionerlig. Datatillsynsmannen är dock tveksam till om denna begränsning är tillräckligt exakt, särskilt om tillgång begärs i fråga om andra allvarliga brott än terrorism och organiserad brottslighet. Praxis i medlemsstaterna kommer att skifta. Datatillsynsmannen betonade i avsnitt IV i yttrandet att fullständig harmonisering av huvudinslagen i förslaget är nödvändig. Han rekommenderar därför att bestämmelsen begränsas till vissa allvarliga brott.

55.

För det fjärde: I motsats till utkastet till rambeslut innehåller förslaget ingen bestämmelse om tillgång. Datatillsynsmannen anser att man i förslaget inte bör bortse från tillgången till och vidareanvändningen av uppgifter. De utgör en oavskiljbar del av ämnet (se avsnitt III i detta yttrande).

56.

Datatillsynsmannen rekommenderar att en eller flera artiklar om de behöriga myndigheternas tillgång till trafik- och lokaliseringsuppgifter och vidareanvändningen av uppgifter införs i förslaget. Syftet med dessa artiklar skulle vara att se till att uppgifterna endast används för de syften som avses i artikel 3.2, att myndigheterna garanterar de mottagna uppgifternas kvalitet, konfidentialitet och säkerhet och att uppgifterna utplånas när de inte längre behövs för förhindrande, utredning, upptäckt och lagföring av ett specifikt brott. Dessutom bör det fastställas att tillgång i särskilda fall bör stå under domstolskontroll i medlemsstaterna.

57.

För det femte: Förslaget innehåller inga ytterligare åtgärder för uppgiftsskydd. I skälen hänvisas det bara till skyddsåtgärder i den befintliga lagstiftningen, närmare bestämt i direktiven 95/46/EG och 2002/58/EG. Datatillsynsmannen motsätter sig denna begränsade syn på uppgiftsskydd, i trots av att (ytterligare) skyddsåtgärder är särskilt viktiga (se avsnitt II i detta yttrande).

58.

Datatillsynsmannen rekommenderar därför att ett avsnitt om uppgiftsskydd införs. I denna punkt kan de ovannämnda rekommendationerna om artikel 3.2 infogas, samt andra bestämmelser om uppgiftsskydd, exempelvis bestämmelser om de registrerades utövande av sina rättigheter (se avsnitt II i detta yttrande), uppgiftskvalitet och uppgiftssäkerhet samt trafik- och lokaliseringsuppgifter avseende personer som inte misstänks för brott.

59.

Rent allmänt välkomnar datatillsynsmannen artikeln och bilagan av följande skäl:

60.

Datatillsynsmannen rekommenderar följande ändringar:

61.

Datatillsynsmannen välkomnar att lagringstiderna i förslaget är betydligt kortare än de tider som anges i utkastet till rambeslut.

62.

Det bör i texten klargöras att

63.

Denna artikel hör nära samman med artikel 3.2 och innehåller en viktig bestämmelse som kan säkerställa att tillgång i särskilda fall kan begränsas till uppgifter som uttryckligen är nödvändiga. I artikel 8 och artikel 3.2 är det underförstått att leverantörerna överför de begärda uppgifterna till myndigheterna och att de senare inte har direkt tillgång till databaserna. Datatillsynsmannen rekommenderar att denna förutsättning uttryckligen anges i texten.

64.

Bestämmelsen bör preciseras genom att det anges att

65.

Skyldigheten för leverantörerna att tillhandahålla statistik på årsbasis hjälper gemenskapsinstitutionerna att övervaka effektiviteten i genomförandet och tillämpningen av det aktuella förslaget. Det behövs adekvat information.

66.

Enligt datatillsynsmannens mening ger denna skyldighet verkan åt principen om öppenhet. Europas medborgare har rätt att veta hur effektivt bevarandet av uppgifter är. Därför bör leverantören dessutom vara skyldig att hålla register och genomföra systematisk (egen)kontroll så att de nationella dataskyddsmyndigheterna kan kontrollera hur reglerna om uppgiftsskydd tillämpas i praktiken (11). Förslaget bör ändras i det avseendet.

67.

Som nämndes i avsnitt II finns det ett direkt samband mellan säkerhetsåtgärdernas lämplighet och kostnaderna för dessa, eller med andra ord mellan säkerhet och kostnader. Datatillsynsmannen anser därför att artikel 10 – där ersättning för styrkta extrakostnader föreskrivs – är en viktig bestämmelse som kan ge leverantörerna incitament att investera i den tekniska infrastrukturen.

68.

Enligt beräkningarna i den konsekvensanalys som kommissionen har överlämnat till datatillsynsmannen är kostnaderna för bevarande av uppgifter avsevärda. För en stor leverantör av nät och tjänster skulle kostnaderna uppgå till över 150 miljoner euro för en bevarandetid av 12 månader, med årliga driftskostnader på cirka 50 miljoner Euro (12). Det finns dock inga sifferuppgifter om kostnaderna för kompletterande säkerhetsåtgärder som dyra sökmotorer (se kommentaren till artikel 6) eller om de (beräknade) ekonomiska konsekvenserna av full ersättning för leverantörernas extrakostnader.

69.

Enligt datatillsynsmannens mening behövs det mer exakta sifferuppgifter för att man skall kunna bedöma förslaget i dess helhet. Han föreslår att förslagets ekonomiska konsekvenser klargörs i motiveringen.

70.

När det gäller själva artikel 10 bör sambandet mellan säkerhetsåtgärdernas lämplighet och kostnaderna klargöras i bestämmelsen. Vidare bör förslaget ange miniminivåer för de säkerhetsåtgärder som leverantörerna skall vidta, för att få rätt till ersättning från en medlemsstat. Datatillsynsmannen anser att fastställandet av nivåerna inte helt kan överlåtas till medlemsstaterna. Detta kan äventyra den harmoniseringsgrad som anges i direktivet. Dessutom bör hänsyn tas till att de ekonomiska konsekvenserna av ersättningen skall bäras av medlemsstaterna.

71.

Förhållandet till artikel 15.1 i direktiv 2002/58/EG bör klargöras eftersom detta förslag berövar den bestämmelsen mycket av dess innehåll. Hänvisningarna i artikel 15.1 i direktiv 2002/58/EG till artiklarna 6 och 9 (i samma direktiv) bör strykas eller åtminstone ändras för att klargöra att medlemsstaterna inte längre har behörighet att anta lagstiftning avseende brott som går längre än detta förslag. All tvetydighet om deras kvarstående behörighet – exempelvis när det gäller bevarande av uppgifter avseende brott ”som inte är allvarliga” – måste avlägsnas.

72.

Datatillsynsmannen välkomnar att förslaget innehåller en artikel om utvärdering av direktivet inom tre år efter ikraftträdandet. En utvärdering är mycket viktig mot bakgrund av tveksamheten när det gäller förslagets nödvändighet och dess proportionalitet.

73.

Datatillsynsmannen tillråder härvidlag att skyldigheten skärps genom införande av följande faktorer:

74.

Datatillsynsmannen fäster synnerlig vikt vid att förslaget respekterar de grundläggande rättigheterna. En lagstiftningsåtgärd som kommer att inverka menligt på det skydd som garanteras genom gemenskapsrätten, och mer specifikt genom rättspraxis vid EG-domstolen och Europeiska domstolen för de mänskliga rättigheterna, är inte bara oacceptabel utan också olaglig.

75.

Det måste styrkas att skyldigheten att bevara uppgifter till alla delar är nödvändig och proportionell.

76.

När det gäller nödvändigheten: Datatillsynsmannen inser att omständigheterna förändras, men är ännu inte övertygad om att det är nödvändigt att bevara trafik- och lokaliseringsuppgifter för brottsbekämpande ändamål, vilket fastslås i förslaget.

77.

Trots detta lägger datatillsynsmannen i detta yttrande fram sin åsikt om förslagets proportionalitet. För det första anser han att enbart bevarande av trafik- och lokaliseringsuppgifter i sig inte är ett lämpligt eller effektivt svar. Det behövs ytterligare åtgärder för att se till att myndigheterna har riktad och snabb tillgång till de uppgifter som behövs i ett specifikt fall. För det andra bör förslaget

78.

Datatillsynsmannen betonar vikten av att det i det i förslaget föreskrivs fullständig harmonisering av huvudinslagen i förslaget, särskilt vilka typer av uppgifter som skall bevaras, tidsgränserna för bevarande av uppgifterna samt (syftet med) tillgången och vidareanvändningen av uppgifterna.

79.

Det behövs ytterligare klargöranden av vissa punkter, exempelvis för att säkerställa adekvat utplåning av uppgifterna när lagringstiden har löpt ut och för att effektivt förhindra att olika grupper av berörda aktörer får tillgång till uppgifterna och använder dem.

80.

Datatillsynsmannen anser att följande punkter är väsentliga för att förslaget skall kunna godtas från uppgiftsskyddssynpunkt:

81.

Artikel 3.2:

82.

Artiklarna 4 och 5:

83.

Artikel 7, närmare uppgift i texten om att

84.

Artikel 8, närmare uppgift i texten om att

85.

Artikel 9:

86.

Artikel 10:

87.

Artikel 11:

88.

Ändring av bestämmelsen om utvärdering i artikel 12: