23.3.2010   

SV

Europeiska unionens officiella tidning

C 73/1

1.

Den 27 juli 2009 antog kommissionen ett förslag till rådets förordning om införande av vissa särskilda restriktiva åtgärder mot vissa fysiska och juridiska personer, enheter och organ mot bakgrund av situationen i Somalia samt ett förslag till rådets förordning om ändring av rådets förordning (EG) nr 314/2004 om vissa restriktiva åtgärder mot Zimbabwe. Den 18 september antog kommissionen även ett förslag till rådets förordning om ändring av rådets förordning (EG) nr 329/2007 om restriktiva åtgärder mot Demokratiska folkrepubliken Korea. Vidare antog kommissionen den 23 november ett förslag till rådets förordning om införande av vissa specifika restriktiva åtgärder mot Guinea. Kommissionen översände samtliga dessa förslag till datatillsynsmannen för samråd i enlighet med artikel 28.2 i förordning (EG) nr 45/2001. Datatillsynsmannen erinrar om att han även informellt har kommenterat utkasten till dessa förslag och andra utkast till förslag om ändring av likartade förordningar från rådet om införande av frysning av tillgångar och andra restriktiva åtgärder.

2.

Europeiska datatillsynsmannen välkomnar att samråd hålls och att en hänvisning till detta samråd görs i ingresserna till förslagen på samma sätt som i flera andra lagstiftningstexter där samråd har hållits med datatillsynsmannen i enlighet med förordning (EG) nr 45/2001.

3.

Samtliga dessa förslag är avsedda att, genom ändring av befintlig lagstiftning eller genom förslag till nya rättsinstrument, bekämpa terrorism eller kränkningar av de mänskliga rättigheterna genom att restriktiva åtgärder införs. Dessa åtgärder – främst frysning av tillgångar och reseförbud – avser fysiska och juridiska personer som misstänks ha samröre med terroristorganisationer och/eller med vissa regeringar. Mot denna bakgrund publicerar och offentliggör Europeiska kommissionen ”svarta listor” över fysiska eller juridiska personer som omfattas av dessa restriktiva åtgärder.

4.

Datatillsynsmannen har redan, den 28 juli 2009, lämnat ett yttrande om förslaget till rådets förordning om ändring av förordning (EG) nr 881/2002 om införande av vissa särskilda restriktiva åtgärder mot vissa med Usama bin Ladin, nätverket al-Qaida och talibanerna associerade personer och enheter (det så kallade al-Qaida-förslaget). I det yttrandet välkomnades kommissionens avsikt att få till stånd ett bättre skydd av grundläggande rättigheter, däribland skydd av personuppgifter, och rekommenderades det att vissa inslag i förslaget skulle ändras och/eller förtydligas för att väsentliga EU-principer om uppgiftsskydd skulle följas. Datatillsynsmannen har noga följt hur rådets överläggningar har utvecklat sig i fråga om al-Qaida-förslaget (3) och beklagar att många av bestämmelserna om skydd av personuppgifter har strukits eller inskränkts väsentligt.

5.

De påpekanden som gjordes i det yttrandet är alltjämt giltiga och de flesta är också i viss utsträckning tillämpliga på de förslag som avhandlas här, vilka i fråga om många bestämmelser återspeglar de som avser det förslaget. Med beaktande av samtliga förslag som hittills mottagits för samråd av datatillsynsmannen och av utvecklingen i överläggningarna i rådet kommer föreliggande yttrande att beröra tillämpningen av principer för uppgiftsskydd inom området för restriktiva åtgärder och innehålla rekommendationer till förbättringar. Dessa rekommendationer kommer också att beakta ikraftträdandet av Lissabonfördraget samt de betydelsefulla politiska riktlinjer som anges i det nyligen antagna Stockholmsprogrammet (4). Detta förfaringssätt innebär att datatillsynsmannen endast kan lämna ytterligare yttranden om lagstiftningsförslag inom detta område om dessa nya förslag väsentligt skiljer sig från bestämmelserna i de aktuella förslagen.

6.

Detta yttrande är huvudsakligen inriktat på de aspekter av restriktiva åtgärder som är direkt kopplade till skydd av personuppgifter, och då i synnerhet de aspekter som datatillsynsmannen rekommenderar ska förtydligas inom detta område för att trygga rättssäkerheten och åtgärdernas verkningskraft. Detta yttrande behandlar eller påverkar inte andra materiella frågor som kan vara kopplade till upptagandet i en förteckning enligt andra bestämmelser.

7.

Kommissionens förslag syftar till en anpassning till domstolens rättspraxis, där det flera gånger bekräftats att EU:s normer för skydd av grundläggande rättigheter bör följas oavsett om restriktiva åtgärder antas på EU-nivå eller härrör från internationella organisationer som Förenta nationerna (5).

8.

EU:s grundläggande rättigheter inbegriper också rätten till skydd av personuppgifter, vilken erkänts av EG-domstolen som en av de principer som följer av artikel 6.2 i EU-fördraget och ytterligare bekräftats genom artikel 8 i EU:s stadga om de grundläggande rättigheterna (6). När det gäller restriktiva åtgärder spelar rätten till skydd av personuppgifter en avgörande roll och bidrar också till den faktiska respekten för andra grundläggande rättigheter, exempelvis svarandens rättigheter, rätten att höras och rätten till faktiskt rättsligt skydd.

9.

I detta sammanhang välkomnar datatillsynsmannen, på samma sätt som i sitt yttrande av den 28 juli 2009 om restriktiva åtgärder mot al-Qaida, kommissionens avsikt att förbättra den befintliga rättsliga ramen genom att utveckla förfarandet för upptagande i förteckningar och genom att uttryckligen beakta rätten till skydd av personuppgifter. Restriktiva åtgärder grundar sig på behandling av personuppgifter, vilket i sig – oavsett frysningen av tillgångar – är underkastat regler och garantier för uppgiftsskydd. Det är därför synnerligen viktigt att se till att de tillämpliga bestämmelserna om behandling av personuppgifter om personer som är upptagna i förteckningar är tydliga och rättssäkra, bland annat för att säkerställa att de restriktiva åtgärderna är lagliga och legitima.

10.

I Stockholmsprogrammet anges det tydligt att ”[n]är det gäller att bedöma den enskildes integritet på området med frihet, säkerhet och rättvisa är rätten till frihet överordnad” och att EU bör främja tillämpningen av principer om dataskydd i EU och i unionens förbindelser med andra länder.

11.

Lissabonfördragets ikraftträdande stärker den rättsliga ramen på detta område. Å ena sidan skapas genom fördraget två nya rättsliga grunder (artiklarna 75 och 215 i EUF-fördraget) som gör det möjligt för EU att anta restriktiva åtgärder mot fysiska eller juridiska personer och mot grupper eller mot enheter som inte är stater. Å andra sidan bekräftas i artikel 16 i EUF-fördraget och artikel 39 i EU-fördraget på nytt rätten till uppgiftsskydd och behovet av regler och garantier för uppgiftsskydd inom Europeiska unionens samtliga verksamhetsområden. Dessutom blir EU:s stadga om de grundläggande rättigheterna bindande, något som – vilket också uttryckligen konstateras i Stockholmsprogrammet – ”kommer att stärka unionens, inbegripet dess institutioners, skyldighet att se till att de grundläggande rättigheterna aktivt främjas inom alla dess verksamhetsområden” (7).

12.

Med särskild hänsyn till behandling av personuppgifter som görs av EU-institutioner är artikel 16 i EUF-fördraget tillämplig på all EU:s verksamhet, inbegripet den gemensamma utrikes – och säkerhetspolitiken, medan det i artikel 39 i EU-fördraget föreskrivs en annorlunda beslutsfattandeprocess i fråga om behandling av personuppgifter som görs av medlemsstater inom ramen för den gemensamma utrikes- och säkerhetspolitiken. Dessutom blir EU-domstolen fullt behörig att, också på området gemensam utrikes- och säkerhetspolitik, bedöma lagligheten – särskilt respekten för grundläggande rättigheter – i beslut som föreskriver restriktiva åtgärder mot fysiska eller juridiska personer (artikel 275 i EUF-fördraget).

13.

Vidare kommer EU:s anslutning till Europakonventionen om de mänskliga rättigheterna, vilken planeras i Lissabonfördraget, att göra att rättspraxis från Europeiska domstolen för de mänskliga rättigheterna och Europarådets synpunkter på svartlistning (8) får ännu större relevans för EU:s rättsliga ram.

14.

I detta sammanhang är artikel 8 i stadgan om de grundläggande rättigheterna av särskild betydelse, särskilt där det klart och tydligt sägs att personuppgifter ska behandlas lagenligt på en legitim grund och att ” [v]ar och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne”. Dessa grundläggande aspekter av uppgiftsskydd måste följas i samtliga EU-åtgärder och enskilda kan till och med ha förutsättningar att kräva att de rättigheter som denna artikel ger – oavsett huruvida de uttryckligen erkänts i EU:s sekundärrätt – ska vara direkt tillämpliga.

15.

Den nya rättsliga ram som har uppstått i och med Lissabonfördragets ikraftträdande innebär att lagstiftaren får verktyg för och skyldighet att fastställa övergripande och enhetliga bestämmelser om skydd av personuppgifter, vilket också gäller för området restriktiva åtgärder. Denna skyldighet blir ännu mer betydelsefull när man betänker att denna typ av åtgärder blir allt vanligare och får allt längre varaktighet, vilket får långtgående effekter för de berörda personerna.

16.

Mot denna bakgrund rekommenderar datatillsynsmannen starkt kommissionen att överge den nuvarande lappverksmetoden – varigenom specifika, och stundtals skiljaktiga, bestämmelser i fråga om behandling av personuppgifter antas för olika länder eller organisationer – och i stället lägga fram ett förslag om en enhetlig ram för samtliga riktade sanktioner som EU vidtar mot fysiska eller juridiska personer, enheter eller organ, som tryggar respekten för de berörda personernas grundläggande rättigheter och då i synnerhet respekten för den grundläggande rätten till skydd av personuppgifter. Nödvändiga inskränkningar av dessa rättigheter bör tydligt fastställas i lag, vara proportionerliga och i samtliga fall respektera det väsentliga i dessa rättigheter.

17.

Enligt datatillsynsmannens mening bör detta arbete utföras parallellt med det mål som fastlagts av Europeiska rådet i Stockholmsprogrammet, nämligen ”att fortsätta samarbetet […] för att […] stärka utformningen, genomförandet och effektiviteten av sanktioner utfärdade av FN:s säkerhetsråd för att skydda grundläggande rättigheter och säkerställa rättvisa och tydliga förfaranden” (9).

18.

Följande punkter, som rör bedömningen av de aktuella förslagen, kommer inte bara att innehålla rekommendationer om förbättring av bestämmelserna i dessa förslag utan även belysa de uppgiftsskyddsaspekter som inte tas upp för närvarande och som enligt datatillsynsmannens rekommendation bör förtydligas antingen i dessa rättsinstrument eller inom en mer övergripande ram.

19.

De bestämmelser om uppgiftsskydd som fastställs i förordning (EG) nr 45/2001 är, vilket redan har konstaterats i datatillsynsmannens yttrande av den 28 juli 2009, tillämpliga på EU-institutioners behandling av personuppgifter inom området restriktiva åtgärder även i de fall då dessa åtgärder härrör från internationella organisationer eller gemensamma ståndpunkter som antagits inom ramen för den gemensamma utrikes- och säkerhetspolitiken.

20.

I detta sammanhang hälsar datatillsynsmannen med tillfredsställelse hänvisningarna i de aktuella förslagen till tillämpligheten av förordning (EG) nr 45/2001 och till de rättigheter för de registrerade som följer av förordningen. Datatillsynsmannen beklagar emellertid att överläggningarna om de restriktiva åtgärderna mot al-Qaida har lett till att vissa av dessa hänvisningar har strukits.

21.

Datatillsynsmannen vill härvidlag understryka att dessa strykningar inte innebär något undantag från eller någon begränsning av tillämpligheten av dessa skyldigheter och av de registrerades rättigheter som inte längre uttryckligt omnämns i rättsinstrumenten. Datatillsynsmannen anser dock att om uppgiftsskyddsaspekterna explicit omnämns och tas upp i rättsinstrumenten om restriktiva åtgärder är detta något som stärker skyddet av de grundläggande rättigheterna och dessutom gör att man kan undvika att oklarhet kvarstår om känsliga frågor som därför hamnar i domstol.

22.

Mer generellt framhåller datatillsynsmannen att ”[v]ar och en har rätt till skydd av […] personuppgifter” enligt artikel 8 i EU:s stadga om de grundläggande rättigheterna. Denna grundläggande rättighet bör följaktligen tryggas i Europeiska unionen utan hänsyn till de berörda personernas nationalitet, bostadsort eller yrkesverksamhet. Detta innebär att, även om det mycket väl kan vara nödvändigt med inskränkningar av denna rättighet inom ramen för restriktiva åtgärder, inget principiellt eller generellt undantag från denna rättighet kan göras med avseende på kategorier av enskilda, exempelvis de personer som har förbindelser med regeringen i ett tredjeland.

23.

I enlighet med de gällande bestämmelserna om uppgiftsskydd (artikel 4 i förordning (EG) nr 45/2001) ska personuppgifter behandlas på ett korrekt och lagligt sätt, samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål, vara adekvata och relevanta och får inte omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de samlas in och för vilka de senare behandlas. Personuppgifter ska också vara riktiga och hållas aktuella: Alla rimliga åtgärder ska vidtas för att säkerställa att sådana personuppgifter som är felaktiga eller ofullständiga utplånas eller rättas. Dessutom ska personuppgifter lagras på ett sätt som förhindrar att de registrerade kan identifieras under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades.

24.

Datatillsynsmannen välkomnar det faktum att det i alla kommissionens förslag (10) uttryckligen anges vilka kategorier av personuppgifter som kommer att behandlas inom ramen för restriktiva åtgärder och uttryckligen regleras hur personuppgifter som avser brott, fällande domar och säkerhetsåtgärder ska behandlas.

25.

Med hänsyn till detta välkomnar datatillsynsmannen den princip som fastställs i artikel 7e.3 i förslaget om al-Qaida, enligt vilken namnen och efternamnen på den fysiska personens föräldrar kan inbegripas i bilagan endast när de i ett specifikt fall är nödvändiga uteslutande för att kontrollera den i förteckningen upptagna fysiska personens identitet. Denna bestämmelse är också en god återspegling av uppgiftsskyddsprincipen om begränsning av syftet, där det fastställs att personuppgifter ska samlas in för särskilda ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål.

26.

För att se till att denna princip specificeras och tillämpas på rätt sätt med avseende på all behandling av personuppgifter inom detta område förespråkar datatillsynsmannen att denna princip uttryckligen ska tillämpas på alla kategorier av uppgifter genom att man ändrar de aktuella artiklarna på sådant sätt att bilagan med de i förteckningen upptagna personerna ”endast ska omfatta de uppgifter som är nödvändiga för ändamålet att kontrollera de i förteckningen upptagna fysiska personerna och inte i något fall omfattar mer än följande uppgifter”. Genom denna ändring skulle det bli möjligt att undvika insamlingen och offentliggörandet av icke nödvändiga uppgifter om i förteckningar upptagna fysiska personer och om deras familjer.

27.

Vidare föreslår datatillsynsmannen att det i förslagen uttryckligen ska anges att personuppgifter ska raderas eller anonymiseras så snart som de inte längre är nödvändiga i varje enskilt fall för tillämpningen av de restriktiva åtgärderna eller för ännu inte avgjorda tvister vid domstolen.

28.

När det gäller skyldigheten att se till att personuppgifter är riktiga och hålls aktuella används olika förfaringssätt i de olika förslagen. I förslaget om Somalia, liksom i det om al-Qaida, fastslås att när FN beslutar att avföra en person från förteckningen ska kommissionen ändra EU:s förteckning i enlighet med detta (artikel 11.4). I förslaget om Demokratiska folkrepubliken Korea fastställs i stället en skyldighet att se över EU:s förteckning regelbundet och minst en gång var tolfte månad (artikel 6.2). I de andra förslagen nämns inte någondera av dessa mekanismer.

29.

Icke desto mindre måste samtliga EU-förteckningar, oavsett vilket land de gäller och oavsett huruvida de antas direkt på EU-nivå eller genomför FN-beslut, följa principen om uppgifternas kvalitet, vilken inom området restriktiva åtgärder är av avgörande betydelse. Som förstainstansrätten nyligen har påpekat (11) bör, i de fall då de restriktiva åtgärderna grundar sig på polis – och säkerhetsutredningar, vederbörlig hänsyn tas till hur dessa utredningar utvecklas – till exempel en avslutad utredning, ett nedlagt åtal eller en friande dom i en rättegång – då förteckningarna ses över, så att en persons medel inte blir frysta på obestämd tid utan prövning i någon domstol och utan hänsyn till resultaten av eventuella rättsliga åtgärder.

30.

Mot denna bakgrund rekommenderar datatillsynsmannen att verkningsfulla mekanismer för avförande av fysiska personer från förteckningar och för regelbunden översyn av EU-förteckningar införs med avseende på samtliga nuvarande och framtida förslag inom detta område.

31.

I sitt yttrande av den 28 juli 2009 välkomnade Europeiska datatillsynsmannen kommissionens avsikt att stärka respekten för grundläggande rättigheter genom att ge de berörda personerna möjlighet till information om skälen till att de upptagits i förteckningarna och möjlighet att uttrycka sina synpunkter om detta. Samma typ av bestämmelse föreslås nu med avseende på Somalia (12) och Guinea (13), medan rätten att bli informerad om skälen till upptagandet i förteckningen och att uttrycka sina synpunkter i fallet Zimbabwe (14) begränsas till personer utan kopplingar till regeringen. I förslaget om Demokratiska folkrepubliken Korea nämns denna möjlighet inte ens.

32.

Datatillsynsmannen erinrar om skyldigheten att informera den registrerade i enlighet med artikel 11 och särskilt artikel 12 i förordning (EG) nr 45/2001 som rör de uppgifter som ska lämnas i de fall då uppgifterna inte inhämtats från den registrerade. Dessa bestämmelser måste följas när det gäller samtliga enskilda personer, utan hänsyn till deras nationalitet eller deras kopplingar till regeringen i ett visst land. Det finns givetvis olika metoder att informera de personer som är upptagna i förteckningar och dessa metoder kan anpassas till de restriktiva åtgärdernas specifika politiska kontext. Dessutom kan begränsningar eller undantag antas i enlighet med artikel 20 i förordning (EG) nr 45/2001 (15) i den mån som de är nödvändiga under specifika omständigheter, men något generellt och obegränsat undantag från skyldigheten att informera är inte möjligt.

33.

Mot bakgrund av detta rekommenderar datatillsynsmannen att de i förteckningar upptagna personernas rätt till information ska tas upp på ett uttryckligare sätt i samtliga nuvarande och framtida förslag inom detta område, tillsammans med villkor för och närmare bestämmelser om de begränsningar som kan vara nödvändiga.

34.

I artikel 8.2 i EU:s stadga om de grundläggande rättigheterna står att ” [v]ar och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem”, vilket gör rätten till tillgång till en av de centrala aspekterna av den grundläggande rätten till skydd av personuppgifter. I linje med detta ges registrerade personer genom artikel 13 i förordning (EG) nr 45/2001 rätt att när som helst utan restriktioner, inom tre månader från det att ansökan mottogs, kostnadsfritt från den registeransvarige få bland annat klar information om vilka personuppgifter som behandlas (se artikel 13 c).

35.

Inom området för restriktiva åtgärder återfinns ofta personuppgifter om personer som är upptagna i förteckningar, och då särskilt sådana uppgifter som avser skälen till att personer finns upptagna i förteckningen, i sekretessbelagda dokument. När det gäller denna typ av dokument innehåller kommissionens förslag identiskt lika bestämmelser: För det första anges det att om FN eller en stat lägger fram sekretessbelagda uppgifter ska kommissionen hantera dessa i enlighet med kommissionens interna säkerhetsbestämmelser (beslut 2001/844/EG, EKSG, Euratom (16) och, där så är tillämpligt, i enlighet med avtal mellan Europeiska unionen och den stat som lagt fram uppgifterna om säkerhet för sekretessbelagda uppgifter. För det andra anges det att handlingar som sekretessklassats på en nivå som motsvarar ”Tres Secret UE/EU Top Secret”, ”Secret UE” eller ”Confidentiel UE” inte ska utlämnas utan upphovsmannens (17) medgivande.

36.

Datatillsynsmannen har redan analyserat dessa bestämmelser i detalj i sitt yttrande av den 28 juli 2009 (18) och konstaterat att varken kommissionens interna säkerhetsbestämmelser eller avtalen med enskilda medlemsstater eller FN tar upp frågan om de registrerades tillgång till egna personuppgifter. Även om begränsningar av rätten till tillgång mycket väl kan övervägas inom området restriktiva åtgärder garanterar de nuvarande bestämmelserna dessutom inte att en begränsning endast införs där så är nödvändigt, och bestämmelserna innehåller inte heller några materiella kriterier för bedömning av nödvändigheten av en begränsning. Enligt förslagen skulle rätten till tillgång vara föremål för en ovillkorlig skyldighet att inhämta samtycke från upphovsmannen, vilket skulle ge uppgifternas upphovsman full bestämmanderätt. Dessa upphovsmän innefattar parter som inte är underkastade EU-rätten och EU:s normer i fråga om skydd av grundläggande rättigheter.

37.

Förhandlingarna inom rådet har lett till att denna bestämmelse har strukits i förslaget om al-Qaida.

38.

Mot bakgrund av detta rekommenderar datatillsynsmannen starkt att lagstiftaren i de nuvarande och framtida förslagen tar upp den väsentliga frågan om rätten för i förteckningar upptagna personer att – direkt eller indirekt genom andra myndigheter (19) – få tillgång till de personuppgifter som avser dem och som återfinns i sekretessbelagda dokument, med förbehåll för de proportionerliga begränsningar som kan vara nödvändiga under vissa omständigheter.

39.

Datatillsynsmannen vill också erinra om att det i förordning (EG) nr 45/2001 fastställs andra rättigheter för registrerade som lagstiftaren kan överväga att ta upp i dessa eller framtida förslag. Särskilt fastställs i artikel 14 i förordning (EG) nr 45/2001 en skyldighet för den registeransvarige att utan dröjsmål rätta till felaktiga eller ofullständiga personuppgifter, medan det i artikel 17 fastställs en skyldighet att underrätta tredje man till vilken personuppgifter har lämnats om rättelser eller utplåning av uppgifter – till exempel i händelse av avförande från en förteckning – om detta inte visar sig omöjligt eller innebär en oproportionerligt stor ansträngning.

40.

Vidare välkomnar datatillsynsmannen det faktum att det i samtliga förslag föreslås att en avdelning vid Europeiska kommissionen uttryckligen utses till att vara registeransvarig, vilket underlättar identifieringen av den registeransvarige, utövandet av de registrerades rättigheter och ansvarsfördelningen i enlighet med förordning (EG) nr 45/2001.

41.

En viktig fråga, som för närvarande inte uttryckligen tas upp i förslagen men som är underförstådd i förfarandet för upptagande i förteckningar, är att säkerställa ett tillräckligt skydd av personuppgifter vid utbyte av sådana mellan å ena sidan EU och å andra sidan tredjeländer och internationella organisationer som Förenta nationerna.

42.

I detta avseende vill europeiska datatillsynsmannen peka på artikel 9 i förordning (EG) nr 45/2001, där villkoren fastställs för överföring av personuppgifter till mottagare som inte är gemenskapsorgan och som inte omfattas av direktiv 95/46/EG. Ett stort antal lösningar finns att tillgå, från den registrerades samtycke (punkt 6 a) och försvaret av rättsliga anspråk (punkt 6 d) – vilket kan vara till nytta om den i förteckningen upptagna personen har lämnat uppgifterna för att få till stånd en omprövning av upptagandet i förteckningen – till mekanismer inom FN eller i det ifrågavarande tredjelandet som garanterar ett adekvat skydd för personuppgifter som överförts från EU.

43.

Datatillsynsmannen, som erinrar om att de olika formerna av behandling som förutses bör vara i överensstämmelse med denna ordning, rekommenderar lagstiftaren att se till att adekvata system och kontrollmekanismer – som specifikationer i förslagen och överenskommelser med FN eller andra relevanta tredjeländer – inrättas i syfte att säkerställa ett tillräckligt skydd av personuppgifter som är föremål för utbyte med tredjeländer och internationella organisationer.

44.

Datatillsynsmannen anser att frågan om inskränkningar och begränsningar av vissa grundläggande rättigheter, till exempel skydd av personuppgifter, är av avgörande vikt inom området för restriktiva åtgärder, eftersom de kan vara nödvändiga för att de restriktiva åtgärderna ska kunna tillämpas på ett ändamålsenligt och riktigt sätt.

45.

Europakonventionen om de mänskliga rättigheterna, EU:s stadga om de grundläggande rättigheterna och de specifika rättsinstrumenten om uppgiftsskydd, inklusive artikel 20 i förordning (EG) nr 45/2001, ger utrymme för denna möjlighet, med förbehåll för vissa villkor som har bekräftats och förtydligats av såväl Europeiska domstolen för de mänskliga rättigheterna som EG-domstolen (20). I korthet ska dessa inskränkningar av den grundläggande rätten till uppgiftsskydd grunda sig på lagstiftningsåtgärder och uppfylla kraven i en strikt proportionalitetsprövning, dvs. vara begränsade – såväl i sak som i tillämpningstid – till vad som är nödvändigt för att befrämja det berörda allmänintresset, enligt vad som har bekräftats i EG-domstolen omfattande rättspraxis, även i fråga om restriktiva åtgärder. Generella, oproportionerliga eller oförutsebara inskränkningar skulle inte uppfylla dessa krav.

46.

Det kommer till exempel att vara nödvändigt att fördröja information till de berörda personerna i den mån som detta krävs för att inte förta ”överraskningseffekten” av beslutet att uppta personen i förteckningen och frysa hans eller hennes tillgångar. Däremot skulle det, vilket förstainstansrätten också har påpekat i sin rättspraxis (21), vara obehövligt och därmed oproportionerligt att därutöver, också efter frysandet, fördröja eller vägra att lämna denna information. Proportionerliga och tillfälliga inskränkningar i rätten för i förteckningar upptagna personer att få tillgång till egna personuppgifter – däribland uppgifter om de beslut som upptagandet i förteckningen grundar sig på – kan också ses som en möjlighet, men ett generellt och permanent undantag från denna rättighet skulle inte vara förenligt med det väsentliga i den grundläggande rätten till skydd av personuppgifter.

47.

Förordning (EG) nr 45/2001 utgör redan en rättslig ram som möjliggör såväl begränsningar som kontrollmekanismer. Artikel 20.3 och 20.4 innehåller regler för tillämpningen av en begränsning. Enligt punkt 3 ska den berörda institutionen informera den registrerade om de huvudsakliga skälen till begränsningen och om att han eller hon har rätt att vända sig till Europeiska datatillsynsmannen. I punkt 4 återfinns en ytterligare bestämmelse som särskilt avser en begränsning av rätten till tillgång. Där anges att europeiska datatillsynsmannen vid utredning av klagomålet på grundval av föregående punkt endast ska informera den registrerade om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts (22).

48.

Alla de aktuella förslagen tar endast delvis eller underförstått upp frågan om inskränkningar av rättigheter i fråga om uppgiftsskydd, vilket därmed ger utrymme för motstridiga normer och olika möjliga tolkningar som sannolikt kommer att prövas i domstol. Överläggningarna om förslaget om al-Qaida tycks röra sig i riktning mot en minskning av hänvisningarna till rättigheterna i fråga om uppgiftsskydd och nödvändiga inskränkningar.

49.

Mot bakgrund av detta rekommenderar datatillsynsmannen lagstiftaren att ta itu med denna känsliga fråga genom att i de aktuella förslagen eller i ett annat rättsinstrument klargöra såväl principerna om inskränkningar av uppgiftsskyddet som de kontrollmekanismer som kan vara nödvändiga inom området för restriktiva åtgärder. Detta skulle göra restriktionerna förutsebara och proportionerliga, vilket på en och samma gång skulle göra att de restriktiva åtgärderna blir verkningsfulla, att grundläggande rättigheter respekteras och att tvisterna i domstol blir färre. Dessutom speglar detta Stockholmsprogrammet där det tydligt anges att EU ska föreskriva och reglera under vilka omständigheter det är motiverat för de offentliga myndigheterna att ingripa i utövandet av rättigheter i fråga om uppgiftsskydd (23).

50.

Enligt artikel 32.4 i förordning (EG) nr 45/2001 och artikel 23 i direktiv 95/46/EG har en person som har åsamkats skada på grund av olaglig behandling av uppgifter rätt till ersättning från den registeransvarige för det förfång han eller hon lidit, om inte den registeransvarige styrker att denne inte är ansvarig för den händelse som gett upphov till skadan. Detta är en specificering av det generella juridiska begreppet om ansvarsskyldighet, med omvänd bevisbörda.

51.

I detta sammanhang grundas de restriktiva åtgärderna på behandling och offentliggörande av personuppgifter, vilket om det är lagstridigt i sig – oavsett de vidtagna restriktiva åtgärderna – kan leda till icke-materiell skada, vilket förstainstansrätten (24) redan har konstaterat.

52.

Datatillsynsmannen framhåller att detta utomobligatoriska ansvar för ett fall av behandling av personuppgifter i strid med tillämplig lagstiftning om uppgiftsskydd fortfarande gäller och att det väsentliga innehållet inte får elimineras, oaktat vissa av de aktuella förslagen (25) utesluter ansvarsskyldighet, utom i händelse av vårdslöshet, för de fysiska och juridiska personer som verkställer restriktiva åtgärder.

53.

I förteckningar upptagna personer har rätt till rättsmedel inför domstol och till administrativa rättsmedel inför behöriga tillsynsmyndigheter för uppgiftsskydd. De senare rättsmedlen innefattar hörande av klagomål från registrerade i enlighet med artikel 32 i förordning (EG) nr 45/2001. En förutsättning för rättsmedlen är att datatillsynsmannen av den registeransvarige eller en gemenskapsinstitution eller ett gemenskapsorgan får tillgång till alla personuppgifter och all information som behövs för datatillsynsmannens utredningar (se artikel 47.2 b i förordning (EG) nr 45/2001).

54.

Oberoende tillsyn över hur bestämmelser i fråga om uppgiftsskydd efterlevs är en grundläggande princip för uppgiftsskydd som nu på nytt uttryckligt bekräftats, med avseende på behandling av personuppgifter inom ramen för all EU:s verksamhet, i såväl artikel 8 i EU:s stadga om de grundläggande rättigheterna som i artikel 16 i EUF-fördraget och artikel 39 i EU-fördraget.

55.

Datatillsynsmannen är, vilket redan nämnts i yttrandet av den 28 juli 2009 (26), orolig för att villkoret i de aktuella förslaget om att sekretessbelagda uppgifter endast ska lämnas ut med samtycke från upphovsmannen kan inkräkta på datatillsynsmannens tillsynsbefogenheter på detta område och dessutom påverka den rättsliga prövningens effektivitet genom att det påverkar EU-domstolens möjlighet att bedöma huruvida en korrekt avvägning görs mellan nödvändigheten att bekämpa internationell terrorism och skyddet av grundläggande rättigheter. Såsom framgår av förstainstansrättens dom av den 4 december 2008 kan tillgång till sekretessbelagda uppgifter vara nödvändig för att domstolen ska kunna göra detta (27).

56.

Mot bakgrund av detta rekommenderar datatillsynsmannen att man i de aktuella förslagen ser till att de befintliga rättsmedlen och den oberoende tillsynen genom tillsynsmyndigheter för uppgiftsskydd fullt ut kan tillämpas och att villkoren för tillgång till sekretessbelagda handlingar inte inverkar menligt på deras verkningsgrad. I detta sammanhang vore det ett första steg att i de berörda artiklarna i de aktuella förslagen (28) ersätta ”lämnas ut/utlämnas” med ”lämnas ut till allmänheten”.

57.

Europeiska datatillsynsmannen hyser den fasta övertygelsen att de som undergräver respekten för grundläggande rättigheter ska bekämpas med respekt för grundläggande rättigheter.

58.

I detta sammanhang välkomnar datatillsynsmannen, på samma sätt som i sitt yttrande av den 28 juli 2009 om restriktiva åtgärder mot al-Qaida, kommissionens avsikt att förbättra den befintliga rättsliga ramen genom att utveckla förfarandet för upptagande i förteckningar och genom att uttryckligen beakta rätten till skydd av personuppgifter.

59.

Mot bakgrund av de verktyg som Lissabonfördraget och den långsiktiga visionen i Stockholmsprogrammet erbjuder rekommenderar datatillsynsmannen starkt kommissionen att överge den nuvarande lappverksmetoden – varigenom specifika, och stundtals skiljaktiga, bestämmelser i fråga om behandling av personuppgifter antas för olika länder eller organisationer – och i stället lägga fram ett förslag om en enhetlig övergripande ram för samtliga riktade sanktioner som EU vidtar mot fysiska eller juridiska personer, enheter eller organ, som tryggar respekten för de berörda personernas grundläggande rättigheter och då i synnerhet respekten för den grundläggande rätten till skydd av personuppgifter. Nödvändiga inskränkningar av dessa rättigheter bör tydligt fastställas i lag, vara proportionerliga och i samtliga fall respektera det väsentliga i dessa rättigheter.

60.

Datatillsynsmannen hälsar med tillfredsställelse hänvisningarna i de aktuella förslagen till tillämpligheten av förordning (EG) nr 45/2001 och till de rättigheter för de registrerade som följer av förordningen.

61.

Med avseende på uppgifternas kvalitet och begränsning av syftet rekommenderar datatillsynsmannen vissa ändringar för att se till att endast nödvändiga uppgifter behandlas, att dessa uppgifter hålls aktuella och att de inte lagras längre än vad som är nödvändigt. I synnerhet rekommenderar datatillsynsmannen att verkningsfulla mekanismer för avförande av fysiska personer från förteckningar och för regelbunden översyn av EU-förteckningar införs med avseende på samtliga nuvarande och framtida förslag inom detta område.

62.

Datatillsynsmannen rekommenderar att de i förteckningar upptagna personernas rätt till information ska tas upp på ett uttryckligare sätt i samtliga nuvarande och framtida förslag inom detta område, tillsammans med villkor för och närmare bestämmelser om de begränsningar som kan vara nödvändiga.

63.

Datatillsynsmannen rekommenderar starkt att lagstiftaren i de nuvarande och framtida förslagen tar upp den väsentliga frågan om rätten för i förteckningar upptagna personer att få tillgång till de personuppgifter som avser dem och som återfinns i sekretessbelagda dokument, med förbehåll för de proportionerliga begränsningar som kan vara nödvändiga under vissa omständigheter.

64.

Datatillsynsmannen rekommenderar lagstiftaren att se till att adekvata system och kontrollmekanismer – som specifikationer i förslagen och överenskommelser med FN eller andra relevanta tredjeländer – inrättas i syfte att säkerställa ett tillräckligt skydd av personuppgifter som är föremål för utbyte med tredjeländer och internationella organisationer.

65.

Datatillsynsmannen rekommenderar lagstiftaren att i de aktuella förslagen eller i ett annat rättsinstrument förtydliga såväl inskränkningar av principer för uppgiftsskydd som de kontrollmekanismer som kan vara nödvändiga inom området restriktiva åtgärder, i syfte att göra restriktionerna förutsebara och proportionerliga.

66.

Datatillsynsmannen konstaterar att principen om ansvar för olaglig hantering av personuppgifter fortfarande gäller och inte kan berövas sitt väsentliga innehåll.

67.

Datatillsynsmannen rekommenderar att man ser till att de befintliga rättsmedlen och den oberoende tillsynen genom tillsynsmyndigheter för uppgiftsskydd fullt ut kan tillämpas och att villkoren för tillgång till sekretessbelagda handlingar inte inverkar menligt på deras verkningsgrad.