21.7.2007   

SV

Europeiska unionens officiella tidning

C 169/2

1.

I februari 2007 tog 15 medlemsstater ett initiativ inför antagandet av rådets beslut om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (3). Initiativet gäller behandling av personuppgifter. Det är Europeiska datatillsynsmannens uppgift att yttra sig om detta initiativ i enlighet med det uppdrag han tilldelats, särskilt i artikel 41 i förordning (EG) nr 45/2001. Europeiska datatillsynsmannen avger sitt yttrande på eget initiativ eftersom ingen begäran om rådgivning har lämnats (4). Enligt datatillsynsmannen bör detta yttrande nämnas i ingressen till rådets beslut (5).

2.

Bakgrunden till detta initiativ är unik när det gäller samarbetet inom tredje pelaren. Syftet med initiativet är att se till att de väsentliga delarna av Prümfördraget, som sju medlemsstater undertecknade den 27 maj 2005 (6), blir tillämpliga på alla medlemsstater. Några av dessa sju medlemsstater har redan ratificerat de väsentliga delarna, medan ratificeringen pågår i andra av dessa medlemsstater. Det står därför klart att avsikten inte är att ändra sakinnehållet i dessa väsentliga delar (7).

3.

Enligt skälen måste initiativet ses som ett genomförande av principen om tillgänglighet som lades fram i Haagprogrammet från 2004 som en innovativ strategi för gränsöverskridande utbyte av information om brottsbekämpning (8). Initiativet läggs fram som ett alternativ till förslaget till rådets rambeslut om utbyte av uppgifter enligt principen om tillgänglighet, som datatillsynsmannen yttrade sig om den 28 februari 2006 (9), men som inte diskuterades i rådet för antagande.

4.

Ansatsen i initiativet är helt annorlunda än i det ovannämnda förslaget till rådets rambeslut. Medan förslaget föreskriver direkt tillgång till tillgänglig information, syftar initiativet till indirekt tillgång genom referensuppgifter. Enligt initiativet är medlemsstaterna dessutom skyldiga att samla in och lagra vissa uppgifter, även om de ännu inte är tillgängliga inom det nationella rättsväsendet.

5.

Ett viktigt inslag i initiativet är utbytet av biometriska uppgifter mellan medlemsstaternas polismyndigheter och rättsliga myndigheter, särskilt uppgifter från databaser över DNA-analyser och automatiska identifieringssystem för fingeravtryck (10).

6.

Kapitel 6 i initiativet har rubriken ”Allmänna bestämmelser om dataskydd”. Detta kapitel innehåller ett antal dataskyddsåtgärder som är anpassade till den särskilda typ av uppgiftsutbyte som regleras (11). Kapitel 6 hänvisar också till Europarådets konvention nr 108 (12) och därmed sammanhängande dokument från Europarådet som en allmän ram för dataskydd i det fall att rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete inte antas (13).

7.

Detta yttrande kommer att beakta initiativets unika karaktär, närmare bestämt att det inte innehåller några större ändringar av sakinnehållet i bestämmelserna. Datatillsynsmannen kommer därför att inrikta sig på ett antal mer allmänna frågor som rör initiativet och dess bakgrund. Syftet med de ändringar som datatillsynsmannen föreslår är huvudsakligen att förbättra texten utan att ändra själva systemet för informationsutbyte.

8.

Den första frågan gäller tillvägagångssättet. Initiativet innebär att ett fåtal medlemsstater fastställer de politiska valen för alla medlemsstaterna på ett område som omfattas av bestämmelser i EU-fördraget, särskilt avdelning VI i EU-fördraget (tredje pelaren). Förfarandena i avdelning IV för ett närmare samarbete har inte följts.

9.

Den andra frågan gäller principen om tillgänglighet. Även om initiativet måste ses som ett genomförande av denna princip leder det inte till tillgänglighet i sig utan utgör enbart ett ytterligare steg mot tillgänglighet av information om brottsbekämpning över medlemsstaternas gränser. Det ingår i en strategi för att gradvis underlätta utbytet av information om brottsbekämpning.

10.

Den tredje frågan gäller proportionalitet. Det är svårt att bedöma om bestämmelserna i initiativet till rådets beslut kan motiveras av behovet att bekämpa terrorism och gränsöverskridande brottslighet. Europeiska datatillsynsmannen erinrar om att Prümfördraget har upprättats som ett ”laboratorium” för gränsöverskridande informationsutbyte, särskilt databaser över DNA-analyser och fingeravtryck. Initiativet läggs emellertid fram innan experimenten med utbytet har genomförts i praktiken (14).

11.

Den fjärde frågan rör användningen av biometriska uppgifter. Enligt initiativet skall databaser över DNA-analyser och fingeravtryck samlas in, lagras och (i begränsad omfattning) utbytas. Användningen av dessa biometriska uppgifter för brottsbekämpning utgör en särskild risk för de personer som berörs av uppgifterna och kräver extra skyddsåtgärder för att värna om deras rättigheter.

12.

Den femte frågan uppkommer eftersom rådets beslut bör bygga på en lämplig allmän ram för dataskydd inom den tredje pelaren, och en sådan existerar ännu inte på EU-nivå. I detta yttrande kommer Europeiska datatillsynsmannen att belysa vikten av en sådan allmän ram som en nödvändig förutsättning för utbyte av personuppgifter mellan brottsbekämpande myndigheter enligt det föreliggande initiativet.

13.

Av lättförklariga skäl jämförs Prümfördraget ofta med Schengenavtalet från 1985 och Schengenkonventionen från 1990. I stort sett samma länder deltar, innehållet är likartat och det finns en nära koppling till samarbetet inom EU (15). Det finns dock en grundläggande skillnad i förhållande till Schengen. Det finns nu en europeisk rättslig ram som gör det möjligt för Europeiska unionen att reglera dessa frågor, och det fanns faktiska planer på att använda den för de (viktigaste av de) frågor som tas upp i Prümfördraget. Närmare bestämt höll kommissionen på att utarbeta ett förslag till rådets rambeslut när Prümfördraget ingicks (16).

14.

De berörda medlemsstaterna valde emellertid ett multilateralt fördrag för att på så sätt undvika den besvärliga vägen med lagstiftning på tredje pelarens område genom enhällighet. De undvek vidare de materiella och förfarandemässiga kraven förknippade med ett närmare samarbete enligt artiklarna 40, 40a, 43 och 43a i EU-fördraget (17). Detta är extra viktigt, eftersom förfarandet med ett närmare samarbete är obligatoriskt om minst åtta medlemsstater deltar. Det är emellertid endast sju medlemsstater som har undertecknat Prümfördraget, men de har därefter uppmuntrat andra medlemsstater att ansluta sig. Av ovannämnda skäl skulle man kunna hävda att Prümfördraget strider mot Europeiska unionens lagstiftning. Detta argument är emellertid huvudsakligen av teoretisk karaktär inom tredje pelaren, där kommissionen har begränsade befogenheter att se till att medlemsstaterna följer Europeiska unionens lagstiftning och där EG-domstolen, liksom övriga domstolar, har begränsade befogenheter.

15.

I den rådande situationen har femton medlemsstater tagit initiativ till att ersätta Prümfördraget med ett rådsbeslut. Även om möjligheten att ändra bestämmelsernas sakinnehåll inte är – eller kan vara – formellt utesluten, är det tydligt att de medlemsstater som lagt fram initiativet inte har för avsikt att tillåta några innehållsmässiga ändringar. Detta följer av att de sju ”Prüm-länderna” just har genomfört Prümfördraget i sin nationella lagstiftning (eller befinner sig i ett framskridet stadium av genomförandet) och därför inte önskar göra ytterligare ändringar i sina nationella bestämmelser. Detta framgår av hur rådets tyska ordförandeskap agerar. Tidsplanen för antagandet är exempelvis mycket snäv, och initiativet kommer inte att behandlas i någon rådsarbetsgrupp utan endast i artikel 36-kommittén (den samordnande kommittén för högre tjänstemän vilken grundar sig på artikel 36 i EU-fördraget).

16.

Övriga medlemsstater får därför i praktiken inget att säga till om när det gäller valet av regler utan kan endast välja mellan att deltaga eller ej. Eftersom den tredje pelaren kräver enhällighet, kan resultatet, om en medlemsstat förkastar texten, bli att övriga medlemsstater går vidare på grundval av förfarandet med ett närmare samarbete.

17.

Denna bakgrund påverkar även initiativets demokratiska legitimitet, eftersom Europaparlamentets yttrande enligt artikel 39 i EU-fördraget knappast kan få några följder för valet av regler. Likaledes kan yttrandet endast ha en begränsad effekt.

18.

Europeiska datatillsynsmannen menar att det är olyckligt att man har tillämpat detta förfarande. Det förnekar behovet av en demokratisk och transparent lagstiftningsprocess, eftersom det inte ens respekterar de redan mycket begränsade prerogativen inom den tredje pelaren. I detta skede konstaterar Europeiska datatillsynsmannen att detta förfarande har valts, och föreliggande yttrande kommer därför huvudsakligen att inriktas på initiativets sakinnehåll.

19.

Europeiska datatillsynsmannen har slutligen noterat att initiativet avser ett instrument i form av ett rådsbeslut och inte ett rådets rambeslut, även om initiativet rör tillnärmningen av medlemsstaternas lagar och andra författningar. Valet av instrument kan bero på möjligheten att med kvalificerad majoritet anta genomförandebestämmelser i fråga om rådsbeslut i enlighet med artikel 34.2 c i EU-fördraget. Artikel 34 i initiativet behandlar dessa genomförandeåtgärder.

20.

Europeiska datatillsynsmannen rekommenderar att följande mening läggs till artikel 34 i initiativet till rådsbeslut: ”Rådet skall höra Europeiska datatillsynsmannen före antagandet av en sådan genomförandebestämmelse.” Anledningen till denna ändring är uppenbar. I de flesta fall påverkar genomförandebestämmelser behandlingen av personuppgifter. Om kommissionen inte tar initiativ till sådana bestämmelser, är artikel 28.2 i förordning (EG) nr 45/2001 dessutom inte tillämplig.

21.

Det bör här noteras att de sju medlemsstater som har undertecknat Prümfördraget även den 5 december 2006 ingick ett genomförandeavtal med de nödvändiga bestämmelserna för det administrativa och tekniska genomförandet och dito tillämpning av fördraget. (18) Man kan förmoda att genomförandeavtalet kommer att utgöra mallen för genomförandebestämmelserna enligt artikel 34 i initiativet till rådsbeslut. Detta yttrande kommer att hänvisa till genomförandeavtalet i den mån detta kan bidra till en bättre förståelse av själva initiativet.

22.

Principen om tillgänglighet kan ses som ett viktigt medel för uppnåendet av ett område med frihet, säkerhet och rättvisa utan inre gränser. Ett fritt informationsutbyte mellan brottsbekämpande myndigheter är ett viktigt steg på vägen när det gäller att komma till rätta med territoriella begränsningar vid brottsbekämpning, vilka är ett resultat av kvarvarande inre gränser för utredningar.

23.

Enligt Haagprogrammet innebär principen inom unionen ”… att en tjänsteman i ett brottsbekämpande organ i en medlemsstat som behöver information för att utföra sina uppgifter skall kunna få denna information från en annan medlemsstat och att det brottsbekämpande organ i den andra medlemsstaten som innehar informationen skall göra den tillgänglig för det angivna syftet …”. I programmet betonas vidare att metoderna ”för informationsutbyte bör bygga på full användning av ny teknik och måste anpassas till varje typ av information, i förekommande fall genom ömsesidig tillgång till eller kompatibilitet med nationella databaser, eller direkt (online-)tillgång …”.

24.

Mot bakgrund av detta utgör initiativet endast ett litet steg. Det är mycket mindre ambitiöst än kommissionens förslag till rådets rambeslut om utbyte av uppgifter enligt principen om tillgänglighet. Initiativet kan betecknas som ett steg mot tillgänglighet men innebär inte stricto sensu ett genomförande av principen om tillgänglighet. Det kompletterar andra åtgärder som syftar till att underlätta utbytet av brottsbekämpningsrelaterad information, såsom rådets rambeslut 2006/960/RIF av den 18 december 2006 om förenklat informations- och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater (19), som måste säkerställa att information och underrättelser på begäran vidarebefordras till andra medlemsstaters myndigheter.

25.

I sitt yttrande om kommissionens förslag förordade Europeiska datatillsynsmannen att principen om tillgänglighet bör genomföras i form av en mer försiktig successiv strategi, som innebär att de typer av uppgifter som lämnas ut i enlighet med principen om tillgänglighet bör vara begränsade och att endast indirekt åtkomst via registerdata bör tillåtas (20). Med en sådan successiv strategi kan berörda parter övervaka hur effektivt utbytet av brottningsbekämpningsrelaterad information är samt vad följderna blir för skyddet av medborgarnas personuppgifter.

26.

Dessa synpunkter äger fortfarande giltighet i dag. Europeiska datatillsynsmannen noterar med tillfredsställelse att det aktuella initiativet innehåller en mer försiktig successiv strategi för genomförandet av principen om tillgänglighet.

27.

Denna strategi illustreras av artiklarna 5 och 10, som rör översändandet av övriga personuppgifter (och ytterligare information) med anledning av en konstaterad överensstämmelse mellan DNA-profiler respektive fingeravtryck. Båda fallen skall regleras av den nationella lagstiftningen i den medlemsstat som är föremål för förfrågan, inbegripet bestämmelserna för rättslig hjälp. Dessa båda artiklar har begränsad rättsverkan. De utgör en bestämmelse om rättskonflikt (är av förklarande slag och ändrar inte den nuvarande situationen) men de genomför inte principen om tillgänglighet (21).

28.

Ett effektivt utbyte av brottsbekämpningsrelaterad information är en nyckelfråga inom polissamarbetet och det rättsliga samarbetet. Att information är tillgänglig över de nationella gränserna är avgörande för uppnåendet av ett område med frihet, säkerhet och rättvisa utan inre gränser. Det krävs adekvata rättsliga ramar för att underlätta detta utbyte.

29.

En annan fråga att ta ställning till är huruvida bestämmelserna i det aktuella initiativet är motiverade med tanke på nödvändigheten att bekämpa terrorism och gränsöverskridande brottslighet, eller med andra ord huruvida de är nödvändiga och proportionella.

30.

För det första har man på unionsnivå antagit ett antal bestämmelser för att underlätta utbytet av brottbekämpningsrelaterad information. I vissa fall innebär dessa bestämmelser inrättandet av en centraliserad organisation, såsom Europol eller Eurojust, eller ett centraliserat informationssystem, såsom Schengens informationssystem. Andra bestämmelser avser i likhet med det aktuella initiativet ett direkt utbyte medlemsstaterna emellan. På senare tid har rådets rambeslut 2006/960/RIF antagits som ett instrument vars syfte är att underlätta utbytet av brottbekämpningsrelaterad information.

31.

Nya rättsakter om polissamarbete och rättsligt samarbete bör i allmänhet antas först efter en utvärdering av redan befintliga lagstiftningsåtgärder, vilken leder till slutsatsen att de befintliga åtgärderna inte är tillräckliga. Skälen i ingressen till detta initiativ tyder inte på att det har genomförts någon fullständig utvärdering av de befintliga åtgärderna. Rådets rambeslut 2006/960/RIF nämns och det anges att ny teknik bör användas fullt ut och att ömsesidig tillgång till nationella databaser bör förenklas. Exakt information bör utbytas snabbt och effektivt. Det är allt. Det finns till exempel ingen hänvisning till informationsutbytet mellan medlemsstaterna via Schengens informationssystem, vilket är ett väsentligt instrument för informationsutbytet mellan medlemsstaterna.

32.

Europeiska datatillsynsmannen beklagar att det aktuella initiativet har lagts fram utan någon ordentlig utvärdering av de befintliga åtgärderna för utbyte av information om brottsbekämpning och uppmanar rådet att ta med en sådan utvärdering i antagningsförfarandet.

33.

För det andra har Prümfördraget, som tidigare sagts, upprättats som ett ”laboratorium” för gränsöverskridande utbyte av uppgifter, särskilt DNA och fingeravtryck. Det har gjort det möjligt för de berörda medlemsstaterna att experimentera med detta utbyte. När detta initiativ till rådets beslut lades fram hade experimenten inte genomförts i praktiken i större skala, bortsett från ett första utbyte mellan Tyskland och Österrike (22).

34.

Europeiska datatillsynsmannen är inte övertygad om att de första resultaten av detta begränsade utbyte – under en kort period och endast två berörda medlemsstater, hur intressanta de än är – kan användas som tillräcklig empirisk grund för att göra systemet tillämpligt för alla medlemsstaterna.

35.

Det är skillnad i skala om man inrättar ett system för informationsutbyte mellan några få medlemsstater, som redan har erfarenhet av DNA-databaser, eller om man inrättar ett system för hela EU, vilket också omfattar medlemsstater som helt saknar erfarenhet. Den lilla skalan möjliggör dessutom nära kontakter mellan de berörda medlemsstaterna; dessa kontakter kan också utnyttjas för att övervaka riskerna för skyddet av personuppgifter för de berörda personerna. Vidare är den lilla skalan mycket lättare att övervaka. Även om själva Prümfördraget skulle vara nödvändigt och proportionellt så innebär detta inte i sig att det aktuella initiativet bör bedömas på samma sätt.

36.

För det tredje, vilket kommer att visas längre fram i detta yttrande, råder det stora skillnader mellan medlemsstaternas nationella lagstiftning om insamling och användning av biometriska uppgifter i brottsbekämpningssyfte. Nationell praxis är inte heller harmoniserad. I detta sammanhang bör det också noteras att en harmoniserad rättslig ram för uppgiftsskydd inom tredje pelaren ännu inte har antagits.

37.

Initiativet innebär inte någon harmonisering av väsentliga inslag i insamlingen och utbytet av de olika typer av uppgifter som ingår i initiativet. Syftena med insamling och utbyte preciseras till exempel inte i initiativet. Är bestämmelserna om DNA-profiler tillämpliga på alla brott eller kan en medlemsstat begränsa tillämpningen av dem till grövre brottslighet? Det framgår inte heller klart av initiativet vilken krets av registrerade personer som berörs av insamlingen och utbytet. Innehåller databaserna endast (biometriskt) material som avser misstänkta och/eller dömda personer eller innehåller de också material som avser andra registrerade personer, exempelvis vittnen eller andra personer som råkade befinna sig i närheten av en brottsplats? Europeiska datatillsynsmannen anser att ett minimum av harmonisering av dessa viktiga faktorer skulle vara att föredra, också för att garantera att nödvändighets- och proportionalitetsprinciperna följs.

38.

Europeiska datatillsynsmannen drar följande slutsats. Det finns tydliga indikationer på att det aktuella initiativet sannolikt kan bli ett användbart instrument för polissamarbetet. Denna indikation är ändå starkare mot bakgrund av de första erfarenheterna av Prümfördraget i Tyskland och Österrike. Det är emellertid inte lätt att undersöka nödvändigheten och proportionaliteten av initiativet. Europeiska datatillsynsmannen beklagar att det aktuella initiativet läggs fram utan någon ordentlig konsekvensbedömning där de synpunkter som framförts i denna del av yttrandet beaktas. Han uppmanar rådet att ta med en sådan bedömning i antagningsförfarandet och att som en del av denna bedömning undersöka andra politiska alternativ – som eventuellt är mindre integritetskränkande (23).

39.

Europeiska datatillsynsmannen föreslår också att en utvärderingsklausul skall tas med i kapitel 7 i initiativet (”Genomförande- och slutbestämmelser”). En sådan utvärderingsklausul kan ha följande lydelse: ”Kommissionen skall, senast tre år efter det att rådets beslut har fått verkan, till Europaparlamentet och rådet överlämna en utvärdering av tillämpningen av detta rådsbeslut för att avgöra om det är nödvändigt att ändra bestämmelserna i det.”

40.

En sådan utvärderingsklausul är ett särskilt lämpligt instrument i detta sammanhang när det aktuella initiativets nödvändighet och proportionalitet inte (ännu) är klart fastställda och när ett system för informationsutbyte införs i hela EU, på grundval av begränsade erfarenheter.

41.

I kapitel 2, elektronisk tillgång och begäran om uppföljning, skiljs mellan tre typer av uppgifter: DNA-profiler, fingeravtryck och uppgifter ur fordonsregister. Denna skillnad leder till två allmänna synpunkter.

42.

För det första måste det noteras att alla uppgifter som behandlas inom ramen för rådets beslut, med undantag för de uppgifter som avses i artikel 13 (24), är personuppgifter i den mening som avses i direktiv 95/46/EG (25) och andra gemenskapsrättsakter. Enligt artikel 2 a i direktivet avses med ”personuppgifter” varje upplysning som avser en identifierad eller identifierbar fysisk person. En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet. I förslaget till rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete som – när det väl antagits – skulle vara tillämpligt på utbytet av uppgifter enligt det aktuella initiativet används samma definition. Europeiska datatillsynsmannen beklagar att initiativet inte innehåller någon definition av personuppgifter och föreslår att en sådan definition skall införas i artikel 24 i syfte att uppnå rättslig klarhet.

43.

Enligt den definition som nämns i föregående punkt råder det under alla omständigheter inget tvivel om att också databaser som endast innehåller DNA-profiler och referensuppgifter från DNA-analysregister och från identifieringssystem för fingeravtryck helt eller till övervägande del betraktas som personuppgiftsregister.

44.

För det andra skiljer sig syftet med uppgiftsutbytet åt mellan de tre typerna av personuppgifter, DNA-profiler, fingeravtryck och uppgifter ur fordonsregister. När det gäller DNA skall medlemsstaterna inrätta och upprätthålla nationella databaser över DNA-analyser för undersökning av brott (artikel 2.1), när det gäller fingeravtryck skall de garantera att referensuppgifterna för de i brottsförebyggande och brottsundersökande syfte inrättade nationella systemen för automatisk identifiering av fingeravtryck hålls tillgängliga (artikel 8) och när det gäller uppgifter ur fordonsregister skall uppgiftsutbytet inte endast omfatta bekämpning och undersökning av brott utan också av vissa andra överträdelser – som inte är brott – samt upprätthållande av allmän ordning och säkerhet (artikel 12.1).

45.

Utbytet av och tillgången till uppgifter om DNA och fingeravtryck omfattas också av striktare garantier än utbytet av och tillgången till uppgifter ur fordonsregister. När det gäller uppgifter om DNA och fingeravtryck begränsas tillgången först till referensuppgifter från vilka den registrerade personen inte kan identifieras direkt. I initiativet fastställs principen om uppdelning i två olika databaser av biometriska uppgifter å ena sidan och identifieringsuppgifter å andra sidan. Det är möjligt att få tillgång till den andra databasen endast efter en ”träff” i den första. En sådan uppdelning av databaserna förekommer inte för uppgifter i fordonsregister, där en automatisk och direkt tillgång ges och där det inte krävs någon dubbel databas.

46.

Datatillsynsmannen stöder denna gradering och anser den vara ett användbart instrument för att skydda den person som berörs av uppgifterna. Ju känsligare uppgifterna är, desto mer begränsade de ändamål för vilka de kan användas och desto mer begränsad tillgång. När det gäller det särskilda fallet med DNA-uppgifter, vilka potentiellt sett är de känsligaste personuppgifter som omfattas av initiativet, kan uppgifterna endast utbytas för straffrättsliga ändamål och inte för polisiärt arbete i förebyggande syfte. Profiler får dessutom endast tas från den icke-kodande delen av DNA-molekylen.

47.

När det gäller DNA-uppgifter hänvisas det till tidigare yttranden från datatillsynsmannen (26). Det är av avgörande betydelse att begreppet DNA-uppgifter klart definieras och att det görs åtskillnad mellan DNA-profiler och DNA-uppgifter som kan ge information om genetiska särdrag och/eller hälsotillståndet för en person. Även vetenskapliga framsteg måste beaktas: vad som vid ett tillfälle anses vara en oskyldig DNA-profil kan i ett senare skede komma att avslöja mycket mer information än vad som förväntas eller behövs.

48.

I initiativet har tillgången begränsats till DNA-profiler som fastställts utifrån den icke-kodande delen av DNA-molekylen. I texten saknas dock klara definitioner av DNA-profiler och ett förfarande för att i enlighet med de senaste vetenskapliga rönen fastställa sådana gemensamma definitioner. I genomförandeavtalet till Prümfördraget (27) definieras den icke-kodade delen på följande sätt: ”kromosomzoner som inte innehåller något genetiskt uttryck”, dvs. som inte är kända för att ge någon information om särskilda ärftliga egenskaper. Datatillsynsmannen föreslår att det i själva initiativet skall föras in en definition av den icke-kodande delen samt ett förfarande för att säkerställa att inga ytterligare uppgifter – varken nu eller i framtiden – kan erhållas från den icke-kodande delen.

49.

I initiativet utgår man ifrån att jämförelse av DNA-profiler är det viktigaste instrumentet i polissamarbetet. Av detta skäl måste alla medlemsstater upprätta DNA-databaser för straffrättsliga ändamål. Med beaktande av kostnaderna för dessa databaser och riskerna ur ett dataskyddsperspektiv krävs det en djupgående förhandsbedömning av instrumentets effektivitet. Det räcker inte med de begränsade erfarenheterna av utbytet av DNA-uppgifter mellan Tyskland och Österrike.

50.

Datatillsynsmannen noterar i detta sammanhang att alla medlemsstater enligt initiativet är skyldiga att upprätta nationella register över DNA-analyser. Det är viktigt att framhålla att flera medlemsstater redan har väletablerade nationella DNA-databaser medan andra medlemsstater har ringa eller ingen erfarenhet på detta område. Den mest utvecklade databasen i Europa (och i världen) är DNA-databasen i Storbritannien. Den innehåller fler än 3 miljoner registreringar vilket gör den till den största samlingen av DNA-profiler. Databasen omfattar personer som har dömts för brott eller som har arresterats samt personer som frivilligt har lämnat DNA-prover för elimineringsändamål (28). Situationen är annorlunda i andra länder. I Tyskland t.ex. lagras endast profiler för personer som har dömts för allvarliga brott. Man kan t.o.m. förmoda att insamling av DNA-uppgifter för bredare ändamål i Tyskland inte skulle vara förenligt med författningsdomstolens rättspraxis (29).

51.

Datatillsynsmannen beklagar det faktum att det i initiativet inte preciseras vilka kategorier av personer som skall föras in i DNA-databaserna. En sådan precisering skulle inte enbart harmonisera bestämmelserna på detta område – vilket skulle kunna förbättra det gränsöverskridande samarbetets effektivitet – utan även öka proportionaliteten för insamling och utbytet av dessa personuppgifter, under förutsättning att personkategorierna skulle vara begränsade.

52.

En närstående fråga som överlåtits till medlemsstatens nationella lagstiftning är den tid som uppgifter får lagras i registret över DNA-analyser. I nationell lagstiftning kan det fastställas att profiler som skapas i dessa register får lagras så länge som den registrerade personen lever, oavsett resultatet av ett straffrättsligt förfarande, medan det även skulle kunna fastställas att profilerna skall lagras såvida inte personen inte åtalas och därför inte döms av en domstol eller att behovet för fortsatt lagring regelbundet skall ses över (30).

53.

Datatillsynsmannen pekar slutligen på artikel 7 om insamling av molekylärgenetiskt material och översändande av DNA-profiler. Någon liknande bestämmelse avses inte för fingeravtryck. Enligt bestämmelsen är en medlemsstat, på en annan medlemsstats begäran och i samband med en pågående utredning eller straffrättsligt förfarande, skyldig att samla in och undersöka molekylärgenetiskt material hos en person och därefter, på vissa villkor, förelägga den andra medlemsstaten DNA-profilen. Denna bestämmelse går tämligen långt. Enligt bestämmelsen är en medlemsstat skyldig att aktivt samla in (och undersöka) biometriskt material hos en person, under förutsättning att sådan insamling och undersökning är tillåten i den ansökande medlemsstaten (villkor b).

54.

Bestämmelsen går inte bara långt utan den är dessutom vag. Å ena sidan finns det inte någon begränsning till allvarligare brott eller ens till personer som misstänks för brott, och å andra sidan måste kraven i den anmodade medlemsstatens nationella lagstiftning vara uppfyllda (villkor c) utan angivelse av vad dessa krav skulle kunna syfta på. Enligt datatillsynsmannen krävs det att denna artikel ytterligare klargörs, helst genom att texten i artikeln preciseras. Under alla omständigheter krävs det enligt proportionalitetsprincipen en mer begränsad tolkning av denna artikel.

55.

I denna del av yttrandet kommer följande frågor att diskuteras när det gäller dataskydd:

56.

Datatillsynsmannen noterar inledningsvis att artikel 1 i initiativet där syftet och tillämpningsområdet beskrivs inte innehåller någon hänvisning till kapitel 6 trots att rådets beslut innehåller ett kapitel om dataskydd. Datatillsynsmannen rekommenderar därför att en sådan hänvisning läggs till i texten.

57.

I likhet med vad som sagts vid flera tidigare tillfällen (31) anser datatillsynsmannen att det är av avgörande vikt att särskilda rättsliga instrument för att underlätta utbyte av brottsbekämpningsinformation – såsom det här initiativet till rådets beslut – inte antas innan rådet har antagit en ram för dataskydd där en lämplig dataskyddsnivå säkerställs i enlighet med datatillsynsmannens slutsatser i sina två yttranden om kommissionens förslag till rådets rambeslut om dataskydd i den tredje pelaren. (32)

58.

En rättslig ram för dataskydd är en förutsättning för de brottsbekämpande myndigheternas utbyte av personuppgifter, vilket också krävs enligt artikel 30.1 b i EU-fördraget och erkänns i flera av EU:s policydokument. I praktiken antas dock lagstiftning om underlättat utbyte av uppgifter innan ett adekvat dataskydd kan garanteras. Ordningen borde vara den omvända.

59.

En omvänd ordning är även viktigt på grund av att de mer detaljerade bestämmelserna i det här initiativet skulle kunna strida mot det kommande rambeslut om dataskydd i tredje pelaren som fortfarande diskuteras. Det vore även ineffektivt att börja genomföra dataskyddsbestämmelserna i detta initiativ – vilket inbegriper antagande av dataskyddsnormer och administrativa förfaranden samt utseende av de behöriga myndigheterna – innan rambeslutet om dataskydd antas, vilket kan innehålla andra krav och således föranleda ändringar av nyligen antagna nationella bestämmelser.

60.

I artikel 25.1 i det här initiativet hänvisas det nu till Europarådets konvention 108, dess tilläggsprotokoll av den 8 november 2001 samt rekommendation R (87) 15 om användningen av personuppgifter inom polissektorn. Genom dessa instrument som har antagits av Europarådet bör ett minimiskydd för personuppgifter kunna säkerställas. Såsom datatillsynsmannen påpekat tidigare (33) innehåller den konvention av vilken alla medlemsstater är bundna, inte tillräckligt precisa bestämmelser, vilket erkändes redan när direktiv 95/46/EG antogs. Rekommendationen är inte bindande till sin natur.

61.

För det första syftar bestämmelserna i kapitel 6 i initiativet till att bygga vidare på en allmän ram för dataskydd (se artikel 25 i initiativet). Bestämmelserna måste uppfattas som en lex specialis som gäller uppgifter som tillhandahålls i enlighet med detta rådsbeslut. Tyvärr är den allmänna ram som Europarådets konvention 108 och anknytande handlingar utgör inte tillfredsställande. Avsikten i sig visar dock att det finns ett behov av att det fastställs en lämplig allmän ram i ett rambeslut från rådet. Men detta är inte den enda motiveringen till behovet av en sådan ram.

62.

För det andra omfattar initiativet endast en del av behandlingen av personuppgifter för brottsbekämpningssyften och utbytet av sådana uppgifter mellan medlemsstaterna. Det ligger i sakens natur att kapitel 6 i initiativet är begränsat till att gälla behandling i samband med sådant informationsutbyte som avses i initiativet. Allt annat utbyte av annan polisiär och rättslig information inom initiativets tillämpningsområde, särskilt information som inte har något samband med DNA-profiler, fingeravtryck och uppgifter om fordonsregistrering, är således undantaget. Ytterligare ett exempel på den partiella täckningen för kapitel 6 i initiativet gäller tillgången för brottsbekämpningssyften till uppgifter som har samlats in av privata företag, eftersom initiativet avser utbyte av information mellan myndigheter som är ansvariga för förebyggande och utredning av brott (artikel 1 i initiativet).

63.

För det tredje, när det gäller tillämpningen av bestämmelserna i kapitel 6, är texten till initiativet tvetydig och saknar därför juridisk klarhet. I enlighet med artikel 24.2 i initiativet skall dessa bestämmelser tillämpas på uppgifter som översänds eller har översänts enligt detta rådsbeslut. Enligt datatillsynsmannen garanterar denna formulering att direkt tillgång till DNA-profiler, fingeravtryck och fordonsregistrering ingår, liksom den specifika situationen enligt artikel 7 i initiativet (34). Vidare är det ställt bortom allt tvivel att även översändande av personuppgifter enligt artikel 14 (betydande evenemang) och enligt artikel 16 (för att bekämpa terroristbrott) ingår.

64.

Det är dock inte klart huruvida kapitel 6 endast gäller personuppgifter som utbyts eller har utbytts mellan medlemsstaterna eller om det även gäller insamling och behandling av DNA-material och fingeravtryck i en medlemsstat enligt artiklarna 2 och 8 i initiativet. Med andra ord: gäller kapitel 6 personuppgifter som har insamlats enligt rådsbeslutet men (ännu) inte översänts till myndigheterna i andra medlemsstater? Vidare är det oklart om översändandet av ytterligare personuppgifter till följd av överensstämmelse mellan DNA-profiler eller fingeravtryck ingår, eftersom det å ena sidan fastställs i skäl 11 att översändande av ytterligare uppgifter (genom förfaranden för ömsesidigt bistånd) faller inom räckvidden för rådets beslut, medan det å andra sidan betonas i artiklarna 5 och 10 att sådant översändande omfattas av nationell lagstiftning. Slutligen måste det påpekas att artikel 24.2 innehåller ett undantag från att kapitel 6 tillämpas. Bestämmelserna skall tillämpas ”om inte något annat följer av de föregående kapitlen”. Enligt datatillsynsmannen saknar detta förbehåll konkret värde – han kunde inte upptäcka några motstridiga bestämmelser i de föregående kapitlen – men förbehållet kan icke desto mindre öka tvetydigheten i texten när det gäller tillämpligheten av kapitel 6.

65.

Datatillsynsmannen rekommenderar att det i artikel 24.2 anges att kapitel 6 skall tillämpas på insamling och behandling av DNA-material och fingeravtryck i en medlemsstat och att även översändandet av ytterligare personuppgifter inom ramen för detta beslut ingår. Vidare bör förbehållet ”om inte något annat följer av de föregående kapitlen” strykas. Dessa klargöranden garanterar att bestämmelserna i kapitel 6 får konkreta följder.

66.

För det fjärde är bestämmelserna om dataskydd i kapitel 6 i sig, i den utsträckning som de bygger på det traditionella begreppet ömsesidig rättslig hjälp i brottmål, en illustration av att det behövs en allmän ram. Informationsutbyte förutsätter ett minimum av harmoniserade grundläggande regler om dataskydd eller åtminstone ömsesidigt erkännande av nationell lagstiftning, för att undvika att effektiviteten i samarbetet påverkas negativt av olikheter mellan medlemsstaternas lagstiftning.

67.

Fastän det i initiativet föreskrivs harmonisering i några viktiga frågor som gäller dataskyddslagstiftning harmoniserar bestämmelserna om dataskydd i kapitel 6 inte nationell lagstiftning i andra viktiga frågor och inte heller föreskrivs ömsesidigt erkännande. I stället bygger de på en samtidig tillämpning av två (eller flera) rättssystem: översändande av uppgifter är ofta bara tillåtet om lagarna i både den översändande medlemsstaten och den mottagande medlemsstaten tillämpas. Med andra ord, i de frågor när initiativet inte bidrar till ett område av frihet, säkerhet och rättvisa utan inre gränser utan tillämpar det traditionella systemet med ömsesidig rättslig hjälp i brottmål som bygger på nationell suveränitet (35).

68.

Enligt datatillsynsmannen underlättar inte detta innehåll i kapitel 6 utbytet av personuppgifter utan ökar komplexiteten, med hänsyn till att initiativet syftar till att göra systemet i Prümfördraget tillämpligt i alla 27 medlemsstaterna och eftersom en allmän gemensam ram för dataskydd inte har antagits. Till exempel tillåts enligt artikel 26.1 behandling av personuppgifter för andra syften endast om det är tillåtet enligt nationell lagstiftning i både den översändande och den mottagande medlemsstaten. Ett annat exempel är artikel 28.3 där det fastställs att personuppgifter som inte borde ha översänts (eller mottagits) skall utplånas. Men hur skall den mottagande medlemsstaten veta att dessa uppgifter inte översänts korrekt enligt lagstiftningen i den översändande medlemsstaten? Detta kan leda till svåra frågor när dessa ärenden kommer upp som fall inför nationella domstolar.

69.

För det femte är denna gemensamma ram för dataskydd desto viktigare eftersom det finns stora skillnader mellan medlemsstaternas lagstiftning, såväl i konkret straffrätt som i lagstiftning om rättsligt förfarande i brottmål. Förutom följderna för samarbetet mellan medlemsstaternas myndigheter påverkar dessa skillnader direkt de personer som berörs av uppgifterna i de fall när uppgifterna angående dem utbyts mellan myndigheterna i två eller flera medlemsstater. Till exempel är kanske deras faktiska rätt att överklaga inför domstol inte densamma i samtliga medlemsstater.

70.

Avslutningsvis harmoniserar förslaget några inslag i utbytet av uppgifter mellan behöriga myndigheter och inbegriper av detta skäl ett kapitel om dataskydd, men det är långt ifrån en harmonisering av alla dataskyddsgarantier. Bestämmelserna är varken övergripande (som en allmän ram, lex generalis, bör vara) eller fullständiga (eftersom viktiga inslag saknas vilket framgår i punkt 75).

71.

Det är uppenbart att det krävs en allmän gemensam ram utanför initiativets räckvidd. Medborgaren har rätt att förlita sig på en miniminivå av harmonisering av dataskydd oberoende av var i Europeiska unionen som uppgifter avseende honom/henne behandlas i brottsförebyggande syfte.

72.

Men en sådan gemensam ram behövs även inom initiativets tillämpningsområde. Initiativet behandlar bl.a. insamling, bearbetning och utbyte av potentiellt känsliga biometriska uppgifter som DNA-material. Cirkeln av registrerade personer som kan inkluderas i detta system är vidare inte begränsad till uppgifter om sådana personer som misstänks (eller har dömts) för särskilda brott. Under sådana förhållanden bör man ännu mer förlita sig på ett klart och adekvat dataskyddssystem.

73.

Det måste i detta sammanhang upprepas att initiativets och kapitel 6 tillämpningsområde inte är klart definierat. Detta gör det av rättssäkerhetsskäl viktigt att personuppgifterna är väl skyddade, oberoende av om och i vilka situationer de faller inom tillämpningsområdet. Av samma skäl bör konsekvens mellan tillämpliga bestämmelser inom och utanför tillämpningsområdet garanteras.

74.

Bestämmelserna om dataskydd i kapitel 6 i föreliggande initiativ är tillämpliga på uppgifter som tillhandahålls eller har tillhandahållits enligt beslutet. De behandlar ett antal viktiga frågor och har noga utarbetats som särskilda bestämmelser som lagts till en allmän ram för dataskydd. Datatillsynsmannen finner att bestämmelserna allmänt ger ett i sak lämpligt skydd.

75.

Förutom det som tidigare har sagts om arten av bestämmelserna i kapitel 6 har datatillsynsmannen emellertid fastställt några andra brister i bestämmelserna i kapitel 6 (36):

76.

Datatillsynsmannen rekommenderar rådet att behandla dessa brister, antingen genom att ändra initiativets text och/eller genom att föra in dessa delar i ett rådsbeslut om dataskydd inom tredje pelaren. Datatillsynsmannen anser att det första alternativet inte nödvändigtvis leder till en ändring av själva systemet för informationsutbyte och att det inte strider mot de 15 medlemsstatsinitiativtagarnas avsikt att inte ändra Prümfördragets väsentliga delar.

77.

I detta yttrande beaktas initiativets unika karaktär, närmare bestämt det faktum att det inte föreskrivs några större ändringar av sakinnehållet i bestämmelserna. De ändringar som datatillsynsmannen föreslår tjänar huvudsakligen till att förbättra texten utan att ändra själva systemet för informationsutbyte.

78.

Datatillsynsmannen välkomnar att det i initiativet används en mer försiktig, successiv strategi för att tillämpa tillgänglighetsprincipen. Han beklagar emellertid att initiativet inte harmoniserar väsentliga delar av insamlingen och utbytet av olika slags uppgifter, också för att säkerställa att nödvändighets- och proportionalitetsprinciperna efterlevs.

79.

Datatillsynsmannen beklagar att initiativet tas utan någon egentlig konsekvensanalys och uppmanar rådet att inkludera en sådan i antagningsförfarandet samt att som en del av denna analys behandla andra – eventuellt mindre privatlivskränkande – policyalternativ.

80.

Datatillsynsmannen stöder den metod i initiativet som rör de olika slagen av personuppgifter – ju känsligare uppgifter, desto mer begränsade syften för vilka de kan användas och desto mer begränsad tillgång.

81.

Datatillsynsmannen beklagar att det i initiativet inte anges vilka kategorier av personer som skall ingå i DNA-databaserna och att lagringperioden inte begränsas.

82.

Rådets beslut bör inte antas av rådet före antagandet av rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, som ger en lämplig skyddsnivå.

83.

Dataskyddsbestämmelserna i kapitel 6 i initiativet underlättar inte utbytet av personuppgifter, utan försvårar det, i den mån de bygger på det traditionella begreppet ”ömsesidig rättslig hjälp i brottmål”.

84.

Datatillsynsmannen rekommenderar att initiativet ändras på följande sätt:

85.

Mer generellt rekommenderar datatillsynsmannen rådet att åtgärda bristerna i initiativet, genom att ändra i texten och/eller genom att föra in dessa delar i ett rambeslut från rådet om dataskydd inom den tredje pelaren. Datatillsynsmannen menar att det första alternativet (som avser det som tas upp i föregående punkt) inte nödvändigtvis medför någon ändring av själva systemet för informationsutbyte och inte går emot avsikten hos de 15 medlemsstater som lade fram initiativet, nämligen att inte ändra de viktigare delarna i Prümfördraget.

86.

Detta yttrande bör slutligen omnämnas i ingressen till rådets beslut.