This document is an excerpt from the EUR-Lex website
Document 52008XX0410(01)
Opinion of the European Data Protection Supervisor on the Initiative of the Federal Republic of Germany, with a view to adopting a Council Decision on the implementation of Decision 2007/…/JHA on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime
Yttrande från Europeiska datatillsynsmannen om Förbundsrepubliken Tysklands initiativ inför antagandet av rådets beslut om genomförande av beslut 2007/…/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet
Yttrande från Europeiska datatillsynsmannen om Förbundsrepubliken Tysklands initiativ inför antagandet av rådets beslut om genomförande av beslut 2007/…/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet
EUT C 89, 10.4.2008, p. 1–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
10.4.2008 |
SV |
Europeiska unionens officiella tidning |
C 89/1 |
Yttrande från Europeiska datatillsynsmannen om Förbundsrepubliken Tysklands initiativ inför antagandet av rådets beslut om genomförande av beslut 2007/…/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet
(2008/C 89/01)
EUROPEISKA DATATILLSYNSMANNEN HAR ANTAGIT DETTA YTTRANDE
med beaktande av fördraget om upprättandet av Europeiska gemenskapen, särskilt artikel 286,
med beaktande av Europeiska unionens stadga om de grundläggande rättigheterna, särskilt artikel 8,
med beaktande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter,
med beaktande av Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter, särskilt artikel 41,
HÄRIGENOM FRAMFÖRS FÖLJANDE:
I. INLEDNING
1. |
Den 9 november 2007 offentliggjordes i Europeiska unionens officiella tidning Förbundsrepubliken Tysklands initiativ inför rådets beslut om genomförande av beslut 2007/…/RIF om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (1) (nedan kallat ”initiativet”). Initiativet kompletteras med en bilaga av den 18 oktober 2007 med ytterligare detaljer om genomförandet av beslut 2007/…/RIF (nedan kallad ”bilagan”) (2). |
2. |
Datatillsynsmannen ombads inte att avge något yttrande om detta initiativ till genomförandebeslut. Han avger därför detta yttrande på eget initiativ, på samma sätt som hans yttrande om initiativet till ett rådsbeslut avgavs den 4 april 2007 (3). |
3. |
Även om en medlemsstat som tar initiativ till en lagstiftningsåtgärd under avdelning VI i EU-fördraget inte har någon rättslig skyldighet att anmoda datatillsyningsmannen att avge ett yttrande, utesluter förfarandet inte heller att en sådan framställan görs. Dessutom rekommenderade datatillsynsmannen i sitt yttrande av den 4 april 2007 att följande mening skulle läggas till i artikel 34 i rådets beslut: ”Rådet ska samråda med datatillsynsmannen innan det beslutar om en sådan genomförandeåtgärd”. Tyvärr har denna rekommendation inte följts, trots den logik som ligger bakom den. Genomförandeåtgärder påverkar i detta fall oftast behandlingen av personuppgifter. Det aktuella initiativet från Förbundsrepubliken Tyskland är en klar illustration av denna logik. |
4. |
Europeiska datatillsynsmannen drar inte någon tungt vägande slutsats av detta resultat. Det stämmer överens med det tillvägagångssätt som rådet valt, nämligen att ändra initiativet så litet som möjligt för att säkerställa fullständig förenlighet med texten till Prümfördraget, som tidigare undertecknats av en rad medlemsstater. Datatillsynsmannen kommer i detta yttrande närmare in på de demokratiska konsekvenser som detta tillvägagångssätt har. |
II. BAKGRUND OCH RÄTTSLIG RAM
5. |
Prümfördraget undertecknades i maj 2005 av sju medlemsstater utanför EU-fördragets ram. Därefter har andra medlemsstater anslutit sig till fördraget. |
6. |
Prümfördraget kompletteras av ett genomförandeavtal, som bygger på artikel 44 i Prümfördraget, och antogs den 5 december 2006. Detta genomförandeavtal är nödvändigt för att Prümfördraget ska fungera såsom avsikten var. |
7. |
De viktigaste delarna av Prümfördraget kommer att integreras i Europeiska unionens rättsliga ram, efter antagande av rådets beslut 2007/…/RIF på initiativ av 15 medlemsstater (nedan kallat ”Prüminitiativet”), om vilket en politisk överenskommelse redan har nåtts i rådet. Denna integrering var redan från början vad de fördragsslutande parterna till EU-fördraget avsåg, vilket bekräftas i förordet till Prümfördraget. |
8. |
Avsikten under det rättsliga förfarande som ledde fram till antagandet av rådets beslut var inte längre att diskutera större frågor utan att nå enighet om Prümfördragets regelverk. Denna avsikt var desto viktigare, då ratificeringen av fördraget – i avvaktan på detta rättsliga förfarande – fortskred i en rad medlemsstater och fördraget trädde i kraft. |
III. SYFTET MED YTTRANDET OCH DESS INRIKTNING
9. |
Detta yttrande kommer att inriktas på utkastet till rådets beslut om genomförandebestämmelserna. De kommentarer som lades fram i det tidigare yttrandet från datatillsynsmannen om rådets beslut om Prüminitiativet har fortsatt giltighet och kommer inte att upprepas, såvida det inte är nödvändigt för att framhäva de frågor som lagstiftaren fortfarande kan ta upp genom genomförandebestämmelserna. |
10. |
Det är i detta sammanhang viktigt att betona att genomförandebestämmelserna är särskilt betydelsefulla, eftersom de utöver vissa administrativa och tekniska bestämmelser preciserar avgörande aspekter och redskap i systemet och dess sätt att fungera. Till exempel fastställs i kapitel 1 i genomförandebestämmelserna definitionerna av de termer som används i rådets beslut om Prümfördraget. Vidare fastställs i genomförandebestämmelserna gemensamma bestämmelser om utbyte av uppgifter (kapitel 2) och därefter de särskilda reglerna vid utbyte av DNA (kapitel 3), fingeravtryck (kapitel 4) och uppgifter ur fordonsregister (kapitel 5). Slutbestämmelserna i kapitel 6 innehåller viktiga bestämmelser om antagandet av ytterligare genomförandebestämmelser i handböcker samt om utvärdering av tillämpningen av beslutet. |
11. |
Vidare kommer bilagan att diskuteras i den mån som den bidrar till eller borde bidra till att fastställa detaljer i det föreslagna systemet och garantier för de registrerade. |
IV. ALLMÄNNA SYNPUNKTER
Begränsat handlingsutrymme
12. |
Datatillsynsmannen konstaterar att den omständigheten att genomförandebestämmelser redan finns och är i kraft för Prümfördraget även i detta fall starkt verkar reducera rådets reella handlingsutrymme. Det framgår således av skäl 3 och artikel 18 i initiativet att både genomförandebeslutet och handböckerna ska bygga på de genomförandebestämmelser som antogs den 5 december 2006 beträffande det administrativa och tekniska genomförandet av Prümfördraget. Därför måste 27 medlemsstater enligt det nuvarande initiativet följa den väg som redan har fastställts av de sju medlemsstater som undertecknade Prümfördraget. |
13. |
Denna strategi är ett hinder för utvecklingen av en verkligt öppen och demokratisk lagstiftningsprocess, eftersom den i betydande omfattning minskar möjligheten till en bred debatt och till beaktande av Europaparlamentets lagstiftande roll och andra institutioners roll som rådgivande organ, såsom Europeiska datatillsynsmannen. Datatillsynsmannen rekommenderar att initiativet och dess bilaga diskuteras öppet och att man därvid effektivt drar nytta av bidragen från samtliga institutionella aktörer, även med tanke på den roll som medlagstiftare som Europaparlamentet kommer att spela på detta område, när reformfördraget – som undertecknades den 13 december i Lissabon – träder i kraft. |
Rättslig ram för uppgiftsskydd och kopplingen till utkastet till rambeslut om uppgiftsskydd inom tredje pelaren
14. |
Den gällande rättsliga ramen för uppgiftsskydd är komplicerad och varierande. I kapitel 6 i Prüminitiativ fastställs visserligen vissa garantier och särskilda bestämmelser om uppgiftsskydd. Dessa särskilda bestämmelser är dock inte tillräckliga i sig, utan behöver, för att kunna fungera baseras på en fullt utvecklad och generell ram för skydd för sådana personuppgifter som behandlas av polismyndigheter och rättsliga myndigheter. Artikel 25 i Prüminitiativ hänvisar för närvarande till Europarådets konvention nr 108. Datatillsynsmannen har emellertid vid upprepade tillfällen understrukit behovet av att ytterligare specificera principerna i konvention nr 108 och därmed säkerställa en uppgiftsskyddsnivå som är hög, harmoniserad och därför skickad att garantera både medborgarnas rättigheter och effektiv i brottsbekämpning i ett område av frihet, säkerhet och rättvisa (4). |
15. |
Kommissionen föreslog därför redan i oktober 2005 ett allmänt instrument, nämligen rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (nedan kallat ”utkast till rambeslut om uppgiftsskydd inom tredje pelaren”). Detta förslag har ännu inte antagits av rådet och är således fortfarande föremål för diskussion och eventuella ändringar och eventuellt ytterligare dröjsmål i fråga om antagande och genomförande. Det står nu emellertid klart att detta rambeslut, i sin nuvarande utformning, endast kommer att gälla personuppgifter som utbyts med andra medlemsstater och inte uppgiftsbehandling på nationell nivå (5). |
16. |
Vidare fastställer den nuvarande texten till utkastet till rambeslut om uppgiftsskydd inom tredje pelaren, trots målsättningen att säkerställa en hög uppgiftsskyddsnivå, endast en minimiharmonisering och -garantier. Det betyder att vissa instrument, t.ex. det nuvarande initiativet, som kunde ha dragit nytta av en enhetlig och generell ram för uppgiftsskydd, nu måste behandla de brister, som utkastet till rambeslut inom tredje pelaren uppvisar. |
17. |
Datatillsynsmannen upprepar därför å ena sidan att rådets beslut om Prüm inte bör träda i kraft förrän medlemsstaterna har genomfört ett generellt rambeslut om uppgiftsskydd inom tredje pelaren. Detta villkor bör specifikt fastställas i initiativet och med förbehåll för lämplig förhandskontroll av att uppgiftsskyddsgarantierna inom systemet med uppgiftsutbyte fungerar tillfredsställande. Det är i detta sammanhang också viktigt att säkerställa att kopplingarna mellan de rättsliga instrumenten är klargjorda i syfte att säkerställa att rambeslutet om uppgiftsskydd inom tredje pelaren fungerar som en lex generalis, samtidigt som andra specifika garantier och skräddarsydda striktare normer i Prüminitiativ kan få tillämpas (6). |
18. |
På andra sidan bör lagstiftaren precisera att särskilda uppgiftsskyddsbestämmelser för DNA, fingeravtryck och uppgifter ur fordonsregistret i kapitel 6 i rådets Prüminitiativ inte bara är tillämpliga på utbyte av dessa uppgifter utan också på insamling, lagring och nationell behandling samt på tillhandahållandet av ytterligare personuppgifter inom ramen för rådets beslut. Denna precisering skulle vara i överensstämmelse med artikel 24.2 i Prüminitiativ samt en logisk konsekvens av medlemsstaternas skyldighet att samla in, lagra och vidarebefordra ovannämnda typer av uppgifter. |
19. |
Detta är desto viktigare med tanke på att utkastet till rambeslut om uppgiftsskydd inom tredje pelaren förmodligen inte kommer att tillämpas på nationell behandling av personuppgifter. Rådet fattade detta beslut men preciserade samtidigt att detta val inte hindrar att den rättsliga grunden omfattar denna typ av behandling. Eftersom det nuvarande paketet med initiativ – vilket omfattar Prüminitiativ och genomförandebestämmelserna – medför en skyldighet att inrätta och underhålla vissa databaser, t.ex. DNA-databasen, bör det därför också innehålla garantier beträffande den behandling – nämligen insamling och lagring av DNA-profiler – som härrör från insamlingen och lagringen. Om tillämpningen endast omfattade utbyte av personuppgifter, skulle dessa rättsakter inte innehålla de relevanta bestämmelser om skydd av personuppgifter som varje åtgärd som grundar sig på artikel 30.1 b i EU-fördraget bör omfattas av. |
20. |
Datatillsynsmannen uppmanar lagstiftaren att i enlighet med artikel 30.1 b i EU-fördraget se till att det inrättas en tydlig, effektiv och övergripande rättslig ram beträffande uppgiftsskydd – vilken kombinerar olika rättsliga instrument med generella bestämmelser och specifika garantier – innan det nuvarande initiativet träder i kraft. |
21. |
Därför kommer datatillsynsmannen i detta yttrande i tillämpliga fall att hänvisa till de frågor som ännu inte (helt) har tagits med i utkastet till rambeslut om uppgiftsskydd inom tredje pelaren och som därför bör beaktas vid genomförandet av systemet i det nuvarande initiativet. |
Öppenhet i beslutsprocessen och genomförandebestämmelserna
22. |
Datatillsynsmannen understryker att öppenhet är ett väsentligt element både under beslutsprocessen och i genomförandet av bestämmelserna. Öppenhet ska därför å ena sidan möjliggöra ett fullständigt och effektivt deltagande av alla berörda institutionella aktörer och å andra sidan främja en offentlig debatt och lämplig information till medborgarna. |
23. |
I detta fall påverkar tyvärr en rad omständigheter denna öppenhet: det föreligger inte någon motivering som redogör för skälen till de föreslagna åtgärderna, deras effektivitet och möjliga politiska alternativ, texten till bilagan är fortfarande ofullständig – den har till exempel ännu inte offentliggjorts i Europeiska unionens officiella tidning, är inte översatt till alla officiella språk, hänvisningar till artiklar och terminologi är ofta felaktiga och uttalanden från medlemsstaterna om innehållet i DNA-databaserna finns inte tillgängliga. I själva initiativet fastställs inte några skyldigheter eller mekanismer med avseende på lämplig information till medborgarna om de åtgärder som vidtagits och ändringar av dessa åtgärder. |
24. |
Datatillsynsmannen rekommenderar därför att man ökar insynen i åtgärderna, genom att snarast möjligt utarbeta en slutgiltig version av bilagan och införa mekanismer i syfte att informera medborgarna om detaljerna i systemet, om medborgarnas rättigheter och hur de ska utöva dessa. Denna upplysningskampanj bör uttryckligen fastställas i initiativet eller i dess bilaga. |
Systemets storlek
25. |
Den nuvarande initiativet avspeglar nära de genomförandebestämmelser som har utarbetas inom ramen för Prümfördraget. Så som redan framgår av yttrandet om rådets Prüminitiativ (punkterna 33-35), är mekanismer som har utformats med tanke på ett informationsutbyte mellan några få medlemsstater inte nödvändigtvis lämpliga – och måste därför kanske justeras – när de ska tillämpas på ett system i en mycket större skala, t.ex. för ett informationsutbyte mellan 27 medlemsstater. |
26. |
System i liten skala främjar verkligen nära kontakter mellan de berörda medlemsstaterna, både när det gäller brottsbekämpning och övervakning av riskerna för skyddet av personuppgifter för de registrerade. Detta är inte fallet när det rör sig om ett system i stor skala, där nationell praxis och nationella rättsordningar kan vara mycket olika vad gäller insamling, lagring och behandling av uppgifter, särskilt när det gäller DNA-profiler och fingeravtryck. Vidare kan användningen av olika språk och olika juridiska begrepp påverka korrektheten i uppgiftsutbytet mellan länder med olika rättsliga traditioner. Datatillsynsmannen uppmanar därför lagstiftaren att noga beakta systemets storlek under de fortsatta diskussionerna om det nuvarande initiativet, genom att se till att ökningen av antalet deltagande medlemsstater inte innebär minskad effektivitet. Det bör särskilt införas specifika format för datakommunikation i genomförandebestämmelserna, även med beaktande av språkliga olikheter, och uppgiftsutbytets korrekthet bör kontinuerligt övervakas. |
Medverkan från dataskyddsmyndigheter
27. |
Initiativet bör erkänna den viktiga roll som de oberoende övervakningsmyndigheterna ska spela vid gränsöverskridande uppgiftsutbyte i stor skala och sätta dem i stånd att effektivt utföra sina uppgifter. |
28. |
För det första föreskriver den nuvarande rättsliga ramen inte att de behöriga tillsynsmyndigheterna ska höras eller delta vid ändringar av genomförandebestämmelserna eller deras bilagor (artikel 18 i initiativet), medlemsstaternas genomförande av dataskyddsbestämmelserna (artikel 20) eller utvärderingen av utbytet av uppgifter (artikel 21). Det är exempelvis särskilt olyckligt att kapitel IV i bilagan, som fastställer detaljerade bestämmelser om utvärdering av genomförandet, överhuvudtaget inte nämner de behöriga dataskyddsmyndigheterna. Datatillsynsmannen rekommenderar att den viktiga rådgivande roll som dessa myndigheter spelar uttryckligen erkänns i ovan nämnda artiklar. |
29. |
För det andra bör det i initiativet säkerställas att medlemsstaterna ställer de (extra) resurser som krävs till dataskyddsmyndigheternas förfogande, för att de ska kunna utföra de övervakningsuppgifter som följer av genomförandet av det föreslagna systemet. |
30. |
För det tredje bör det av initiativet framgå att de behöriga dataskyddsmyndigheterna regelbundet ska sammanträda på EU-nivå i syfte att samordna sin verksamhet och harmonisera tillämpningen av dessa instrument. Detta ska uttryckligen fastslås i initiativet i den mån som det i rambeslutet om uppgiftsskydd inom tredje pelaren inte upprättas ett mer generellt forum för dataskyddsmyndigheter på EU-nivå. |
V. SÄRSKILDA FRÅGOR
Definitioner
31. |
I artikel 2 i initiativet fastställs en rad definitioner, som delvis motsvarar definitionerna i rådets beslut. För det första bör det understrykas att definitionerna i artikel 2 i initiativet inte exakt motsvarar definitionerna i rådets beslut, särskilt artikel 24. Lagstiftaren bör justera formuleringarna i de två texterna i syfte att förhindra genomförandeproblem. |
32. |
För det andra beklagade datatillsynsmannen redan i sitt yttrande om Prüminitiativ att det saknas en klar definition av personuppgifter (punkterna 41-43). Denna brist är ännu mer beklaglig i genomförandebestämmelserna, som föreslås vid en tidpunkt då det redan står klart att rambeslutet om uppgiftsskydd inom tredje pelaren inte kommer att vara tillämpligt på nationell insamling och behandling av personuppgifter, särskilt DNA-profiler. Europeiska datatillsynsmannen uppmanar därför lagstiftaren att ännu en gång införa en klar och heltäckande definition av personuppgifter. |
33. |
I detta hänseende bör genomförandebestämmelserna också precisera tillämpningen av dataskyddsbestämmelserna på oidentifierade DNA-profiler – som ännu inte har kopplats till en identifierad person. Dessa uppgifter samlas in, utbyts och jämförs för att kopplas till de personer de tillhör. Eftersom syftet med systemet är att identifiera dessa personer och dessa uppgifter i princip endast är oidentifierade temporärt, bör de också omfattas av de flesta om inte samtliga bestämmelser och garantier som är tillämpliga på personuppgifter (7). |
34. |
Även med avseende på definitionen av icke-kodifierande del av DNA (artikel 2 e) erinrar datatillsynsmannen ännu en gång om (8) att vissa kromosomområdens förmåga att lämna information om en organisms känsliga ärftliga egenskaper kan förbättras efter hand som vetenskapen utvecklas. Därför bör definitionen av icke-kodifierande del göras dynamisk, genom att det införs en skyldighet att inte längre använda de DNA-markörer som på grund av den vetenskapliga utvecklingen kan lämna information om särskilda ärftliga egenskaper (9). |
Exakthet i fråga om automatiska sökningar och jämförelser
35. |
Artikel 8 i initiativet reglerar automatisk sökning och jämförelse av DNA-profiler, genom att fastställa att en överensstämmelse endast ska meddelas automatiskt ”om den automatiska sökningen eller jämförelsen har resulterat i en överensstämmelse mellan ett minimiantal loci”. Detta minimiantal anges i kapitel I i bilagan: varje medlemsstat ska säkerställa att de DNA-profiler som görs tillgängliga innehåller minst 6 av 7 EU-”standard”-loci (punkt 1.1 i kapitel I i bilagan). Jämförelsen sker mellan värdena av de jämförda loci som både förekommer i den begärande och den anmodade DNA-profilen (punkt 1.2). Överensstämmelse konstateras om alla jämförda locis värden är desamma (”full överensstämmelse”) eller om endast ett av värdena är skiljaktligt (”nära överensstämmelse”) (punkt 1.2). Både full överensstämmelse och nära överensstämmelse ska rapporteras (punkt 1.3). |
36. |
Med hänsyn till denna mekanism konstaterar datatillsynsmannen att överensstämmelsens exakthet är ett väsentligt villkor. Ju högre antal loci som överensstämmer, desto mindre troligt är det att överensstämmelsen mellan de DNA-profiler som jämfördes är felaktig. Inom den nuvarande Europeiska unionen varierar förekomsten av och strukturen hos DNA-databaser från land till land. Det används olika antal och olika uppsättningar loci i olika länder. Bilagan fastställer det minsta antalet loci för överensstämmelse till 6, utan att upplysa om den beräknade felmarginalen för detta system. Datatillsynsmannen konstaterar härvidlag att det i många länder används ett högre antal loci för att göra överensstämmelserna exaktare och reducera antalet felaktiga överensstämmelser (10). För att korrekt kunna bedöma systemets grad av exakthet är det därför viktigt att det lämnas upplysningar om den beräknade felmarginalen för varje antal jämförda loci. |
37. |
Det betyder också att minimiantalet loci är ett viktigt element och det bör därför snarare fastställas i texten till det nuvarande initiativet än i bilagan (som enligt artikel 18 i initiativet kan ändras av rådet med kvalificerad majoritet utan hörande av Europaparlamentet), för att förhindra att en minskning av antalet loci påverkar exaktheten. Det bör tas vederbörlig hänsyn till möjligheten till felaktigheter och felaktiga överensstämmelser, genom att det föreskrivs att nära överensstämmelser uttryckligen ska rapporteras som sådana (så att de mottagande myndigheterna är medvetna om att denna överensstämmelse inte är lika pålitlig som en full överensstämmelse). |
38. |
Dessutom erkänns i själva initiativet möjligheten att sökningar och jämförelser kan resultera i flera överensstämmelser, vilket uttryckligen fastställs i artikel 8 i initiativet vad gäller DNA-profiler och i kapitel 3 (punkt 1.2) i bilagan vad gäller fordon. I alla dessa fall bör ytterligare kontroll och verifikation äga rum för att avgöra vilka skälen till flera överensstämmelser är och vilken av dessa överensstämmelser som är korrekt, innan ytterligare utbyte av personuppgifter sker på basis av denna överensstämmelse. |
39. |
Enligt samma synsätt rekommenderar datatillsynsmannen att medventenheten om att DNA-profiler inte är entydiga identifikatorer ökas, särskilt bland brottsbekämpande aktörer som arbetar med DNA-jämförelser och sökningar: till och med full överenstämmelse i ett visst antal loci utesluter inte möjligheten av felaktiga överensstämmelser, dvs. möjligheten att en person felaktigt förbinds med en DNA-profil. Det kan uppstå fel på olika stadier i samband med jämförelser och sökningar av DNA-profiler: den dåliga kvaliteten på DNA-proverna vid insamlingstillfället, möjliga tekniska fel vid DNA-analysen, fel vid inmatningen eller bara på grund av tillfälliga överensstämmelser i specifika loci som jämförs. När det gäller den sista punkten, är felmarginalen förmodligen högre, när antalet loci minskar och när databasen blir större. |
40. |
Ett liknande resonemang kan föras med avseende på exaktheten när det gäller fingeravtrycköverenstämmelse. Enligt artikel 12 i initiativet ska digitalisering och översändande av fingeravtrycksuppgifter genomföras med hjälp av ett enhetligt dataformat, som anges i kapitel II i bilagan. Varje medlemsstat ska vidare se till att fingeravtrycksuppgifterna är av tillräckligt god kvalitet, så att de kan jämföras med hjälp av det automatiska fingeravtrycksidentifieringssystemet (Afis). I kapitel II i bilagan fastställs vissa detaljer om det format som skall användas. Därför noterar datatillsynsmannen att initiativet och bilagan till detta, i syfte att säkerställa korrektheten i överensstämmelseförfarandet, i största möjliga utsträckning bör harmonisera de olika Afis-system som används i medlemsstaterna och det sätt på vilket dessa system används, särskilt vad gäller procentandelen avvisning av felaktiga överensstämmelser. Enligt datatillsynsmannen bör dessa upplysningar tas med i den handbok som ska utarbetas i enlighet med artikel 18.2 i initiativet. |
41. |
Ett annat mycket viktigt element är att DNA- (och fingeravtrycks-) databaser noga bör avgränsas, eftersom de alltefter medlemsstat kan innehålla DNA-profiler eller fingeravtryck av olika typer av registrerade (kriminella, misstänkta eller andra personer som var närvarande på brottsplatsen osv.). Trots dessa olikheter avgränsar det aktuella initiativet inte de slag av databaser som kommer att användas av varje medlemsstat och bilagan innehåller ännu inte förklaringar om detta. Det kan därför förekomma överensstämmelser mellan DNA och fingeravtryck från icke-homogena och ofta irrelevanta kategorier av registrerade. |
42. |
Enligt datatillsynsmannen bör det i initiativet preciseras vilka typer av registrerade som kommer att ingå i uppgiftsutbytet och hur deras olika status kommer att meddelas andra medlemsstater inom ramen för en jämförelse eller en sökning. Initiativet kan t.ex. fastställa en skyldighet att i överensstämmelserapporten upplysa om vilken typ av registrerade personer DNA-uppgifterna eller fingeravtrycken har jämförts med, i den mån de anmodade myndigheterna förfogar över denna information. |
Utvärdering av uppgiftsutbytet
43. |
Utvärderingen av uppgiftsutbytet enligt artikel 21 i initiativet och kapitel 4 i bilagan välkomnas. Dessa bestämmelser är dock endast inriktade på det administrativa, tekniska och finansiella genomförandet av automatiskt uppgiftsutbyte utan att överhuvudtaget nämna utvärderingen av genomförandet av dataskyddsbestämmelserna. |
44. |
Datatillsynsmannen föreslår därför att man särskilt betonar utvärderingen av dataskyddsaspekterna av uppgiftsutbytet, varvid särskild uppmärksamhet ägnas de ändamål för vilka uppgifterna har utbytts, korrektheten i de utbytta uppgifterna och felaktiga överensstämmelser, framställningar om tillgång till personuppgifter, lagringsperiodernas längd och säkerhetsåtgärdernas effektivitet. Härvid bör de relevanta dataskyddsmyndigheterna och experterna delta på vederbörligt sätt, t.ex. genom att det föreskrivs att dataskyddsexperter ska delta i utvärderingsbesök enligt kapitel 4 i bilagan och att relevanta dataskyddsmyndigheter ska motta den utvärderingsrapport som avses i artikel 20 i initiativet och i kapitel 4 i bilagan. |
Kommunikationsnät och systemets tekniska aspekter
45. |
Enligt artikel 4 i initiativet ska all elektroniskt uppgiftsutbyte ske med hjälp av kommunikationsnätet ”TESTA II”. I detta sammanhang nämns i bilagan på sidan 76 punkt 54, att systemet uppfyller dataskyddskraven i förordning (EG) nr 45/2001 (artiklarna 21, 22 och 23) och direktiv 95/46/EG. Datatillsynsmannen rekommenderar att denna information förtydligas, även med hänsyn till den roll som gemenskapsinstitutionerna ska spela i systemet. I detta sammanhang bör man fullt ut beakta datatillsynsmannens både övervakande och rådgivande roll enligt förordning (EG) nr 45/2001. |
46. |
När bilagan slutgiltigt har utformats och innehåller alla detaljer och förklaringar av systemet, kommer datatillsynsmannen dessutom att överväga huruvida han ska tillhandahålla ytterligare råd om de mer tekniska aspekterna av systemet. |
VI. SLUTSATSER
— |
Datatillsynsmannen rekommenderar att initiativet och dess bilaga diskuteras öppet och att man därvid drar effektiv nytta av bidragen från alla institutionella aktörer, även med tanke på den roll som medlagstiftare som Europaparlamentet kommer att spela på detta område, när reformfördraget – som undertecknades den 13 december i Lissabon – träder i kraft. |
— |
Datatillsynsmannen uppmanar lagstiftaren att i enlighet med artikel 30.1 b i EU-fördraget säkerställa att det införs en klar, effektiv och heltäckande rättslig ram med avseende på skydd av personuppgifter – vilken kombinerar olika rättsliga instrument med generella bestämmelser och specifika garantier – innan det aktuella initiativet träder i kraft.
|
— |
Datatillsynsmannen rekommenderar ökad insyn i åtgärderna, genom att snarast möjligt utarbeta en slutgiltig version av bilagan och genom att införa mekanismer i syfte att informera medborgare om detaljerna i systemet, deras rättigheter och hur de ska utöva dessa. |
— |
Datatillsynsmannen uppmanar lagstiftaren att ta vederbörlig hänsyn till systemets storlek under de fortsatta diskussionerna om det nuvarande initiativet, genom att se till att ökningen av antalet deltagande medlemsstater inte innebär minskad effektivitet. Det bör införas specifika format för datakommunikation i genomförandebestämmelserna, där även språkliga differenser beaktas, och det bör kontinuerligt övervakas att de uppgifter som byts är korrekta. |
— |
Datatillsynsmannen rekommenderar att den avgörande roll som relevanta dataskyddsmyndigheter spelar uttryckligen erkänns i artiklarna om ändringar av genomförandebestämmelserna och bilagorna till dessa (artikel 18), om medlemsstaternas genomförande av dataskyddsbestämmelserna (artikel 20) och om utvärderingen av uppgiftsutbytet (artikel 21). Initiativet bör vidare säkerställa att medlemsstaterna tillhandahåller sådana (kompletterande) resurser till dataskyddsmyndigheterna som krävs för utförandet av de övervakningsuppgifter som följer av genomförandet av det föreslagna systemet och att de behöriga dataskyddsmyndigheterna regelbundet sammanträder på EU-nivå för att samordna sin verksamhet och harmonisera tillämpningen av dessa instrument. |
— |
Europeiska datatillsynsmannen uppmanar därför ännu en gång lagstiftaren att införa en klar och övergripande definition av personuppgifter. Mot denna bakgrund bör det i genomförandebestämmelserna också preciseras hur dataskyddsbestämmelser ska tillämpas på oidentifierade DNA-profiler – som ännu inte är kopplade till en identifierad person. Datatillsynsmannen erinrar ånyo om att definitionen av icke-kodifierande del bör vara dynamisk, genom att det införs en skyldighet att inte längre använda de DNA-markörer som på grund av vetenskapens utveckling kan lämna information om särskilda ärftliga egenskaper. |
— |
Datatillsynsmannen rekommenderar att det i samband med automatiska sökningar och jämförelser tas vederbörlig hänsyn till överensstämmelseprocessens exakthet.
|
— |
Datatillsynsmannen föreslår att man lägger särskild vikt vid utvärderingen av dataskyddsaspekterna av uppgiftsutbytet, varvid särskild uppmärksamhet ägnas de ändamål för vilka uppgifterna har utbytts, metoder för att informera registrerade, korrektheten i de utbytta uppgifterna och felaktiga överensstämmelser, framställningar om tillgång till personuppgifter, lagringsperiodernas längd och säkerhetsåtgärdernas effektivitet. Härvid bör relevanta dataskyddsmyndigheter och -experter vederbörligen medverka. |
— |
Datatillsynsmannen rekommenderar att kommunikationsnätet ”TESTA II” används och att dess överensstämmelse med förordning (EG) nr 45/2001 preciseras, även med hänsyn till den roll som gemenskapsinstitutionerna ska spela i systemet. |
Utfärdat i Bryssel den 19 december 2007.
Peter HUSTINX
Europeisk datatillsynsman
(1) EUT C 267, 9.11.2007, s. 4.
(2) Bilagan har ännu inte offentliggjorts i EUT men är offentligt tillgänglig som dokument 11045/1/07 REV 1 ADD 1 i rådets register.
(3) EUT C 169, 21.7.2007, s. 2.
(4) Se yttrandet från Europeiska datatillsynsmannen om Prüm, punkterna 57-76 och Europeiska datatillsynsmannens tredje yttrande av den 27 april 2007 om förslaget till rådets rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete, punkt 14 (EUT C 139, 23.6.2007, s. 1).
(5) Den senaste utkastet till detta förslag finns i rådets register som dok. 16397/07.
(6) Texten i artikel 27b i det senaste utkastet till rambeslut om uppgiftsskydd inom tredje pelaren bör noggrant övervägas och diskuteras i förhållande till denna punkt.
(7) För tillämpningen av dataskyddsbestämmelser på DNA-profiler, se artikel 29 i arbetsgruppens yttrande nr 4/2007 av den 20 juni 2007 om personuppgifter, WP136, s. 8-9. I samma yttrande preciseras också ett analogt fall om tillämplighet av dataskyddsbestämmelser på dynamiska IP-adresser, s. 16-17.
(8) Se även yttrande från Europeiska datatillsynsmannen av den 28 februari 2006 om förslaget till rådets rambeslut om utbyte av uppgifter enligt principen om tillgänglighet (KOM(2005) 490 slutlig), punkt 58-60 (EUT C 116, 17.5.2006).
(9) Se i överensstämmelse med detta bilaga I till rådets resolution av den 25 juni 2001 om utbyte av resultat av DNA-analyser (EUT C 187, 3.7.2001, s. 1).
(10) I Förenade kungariket t.ex. har den nationella DNA-databasen ökat antalet loci för DNA-profiler från 6 till 10, bl.a. för att förbättra systemets tillförlitlighet.