22.2.2011   

SV

Europeiska unionens officiella tidning

C 56/2

1.

Den 20 juli 2010 antog kommissionen meddelandet ”EU:s strategi för terrorismbekämpning: viktiga framsteg och kommande utmaningar” (3). Genom detta meddelande vill kommissionen redogöra ”för de viktigaste delarna i en politisk bedömning av EU:s nuvarande strategi för terrorismbekämpning”. Meddelandet är också en del av strategin för inre säkerhet (4). Man utvärderar vad som hittills har åstadkommits och fastställer framtida utmaningar och riktlinjer för EU:s politik mot terrorism.

2.

Många av de initiativ som nämns i meddelandet har Europeiska datatillsynsmannen redan avgett särskilda yttranden eller kommentarer om. Det här meddelandet innehåller emellertid ett brett politiskt perspektiv och långsiktiga inriktningar som gör att ett särskilt yttrande från Europeiska datatillsynsmannen är motiverat.

3.

Syftet med detta yttrande är således att bidra till mer grundläggande politiska beslut på ett område där användningen av personuppgifter på samma gång är avgörande, omfattande och särskilt känslig.

4.

I det här yttrandet behandlas inte kommissionens senare meddelande ”EU:s strategi för den inre säkerheten i praktiken: Fem steg mot ett säkrare Europa”, som antogs den 22 november 2010 (5). Detta meddelande kommer Europeiska datatillsynsmannen att analysera i ett separat yttrande, i vilket även behovet av tydliga kopplingar mellan de olika dokumenten återigen tas upp.

5.

I det här yttrandet analyserar Europeiska datatillsynsmannen de olika delarna i meddelandet och ger råd och rekommendationer i syfte att säkra den grundläggande rätten till skydd för personuppgifter inom ramen för EU:s politik för att bekämpa terrorism, i synnerhet i samband med framtida utmaningar och utformning av nya politiska riktlinjer.

6.

Meddelandet bygger på EU:s strategi för terrorismbekämpning från 2005 (6) och inleds med en granskning av de fyra viktigaste beståndsdelarna i EU:s politik mot terrorism: att förebygga, skydda, följa och agera. Därefter behandlas en del övergripande frågor i ett särskilt kapitel, nämligen respekt för de grundläggande rättigheterna, internationellt samarbete och finansiering.

7.

”Förebyggande” omfattar ett stort antal åtgärder, från att hindra radikalisering och rekrytering till att hantera terroristers användning av Internet. I det sammanhanget är ett av de viktiga framsteg som man framhåller i meddelandet rådets rambeslut om bekämpande av terrorism, som antogs 2002 (7) och ändrades 2008 (8).

8.

Att ”skydda” människor och infrastruktur är också ett mycket brett område, som täcker initiativ för gränskontroll, transportsäkerhet, kontroll av explosiva prekursorer, skydd av kritisk infrastruktur och förstärkning av försörjningskedjan.

9.

Att ”följa” innebär insamling av information, polisiärt och rättsligt samarbete och hindrande av terroristers verksamhet och finansiering. Några framtida utmaningar på detta område är upprättande av ett PNR-regelverk i EU (9), användningen av artikel 75 i fördraget om Europeiska unionens funktionssätt för att inrätta en ram för frysning av penningmedel och finansiella tillgångar och ömsesidigt erkännande i samband med bevisupptagning i brottmål.

10.

Att ”agera” handlar till exempel om insatskapaciteten efter en terroristattack och bistånd till offren för terrorism.

11.

Alla dessa områden har starka kopplingar till initiativ som Europeiska datatillsynsmannen redan har tagit ställning till: Stockholmsprogrammet, restriktiva åtgärder och frysning av tillgångar, bevarande av uppgifter, säkerhetsskannrar, vapenprekursorer, biometriska uppgifter, Prümbeslutet, passageraruppgifter, TFTP-avtalet, Schengens informationssystem, informationssystemet för viseringar, integrerad gränsförvaltning, EU:s strategi för informationshantering och gränsöverskridande utbyte av bevisning.

12.

De områden som är känsligast från uppgiftsskyddssynpunkt är av flera skäl ”förebyggande” och ”skydd”.

13.

För det första bygger dessa områden definitionsmässigt på bedömning av potentiella risker, vilket i de flesta fall leder till en bred och ”förebyggande” behandling av stora mängder personuppgifter om medborgare som inte misstänks för något brott (som till exempel kartläggning av Internetanvändning, e-gränser och säkerhetsskannrar).

14.

För det andra strävar kommissionen efter utbyggda partnerskap mellan brottsbekämpande myndigheter och privata företag (såsom Internetleverantörer, finansinstitut och transportföretag) för att utbyta information och ibland ”delegera” vissa brottsbekämpningsuppgifter till dessa. Detta innebär att personuppgifter som privata företag samlar in i kommersiella syften i större omfattning kommer att användas av offentliga myndigheter för att bekämpa brott.

15.

Många av dessa initiativ har tagits utan att man grundligt har tänkt igenom om det redan finns tillräckliga åtgärder eller om resultatet blir en överlappning av åtgärder, ofta som snabba reaktioner på terrordåd. I en del fall är det inte klarlagt i vilken utsträckning det intrång i medborgarnas privatliv som dessa åtgärder har lett till verkligen var nödvändigt, trots att det har gått några år sedan åtgärderna vidtogs.

16.

Vidare är det mer troligt att användning av personuppgifter i ”förebyggande” syfte leder till diskriminering. Förebyggande analys av information medför insamling och behandling av personuppgifter för stora individkategorier (till exempel alla passagerare och alla Internetanvändare) oavsett om det finns några specifika misstankar mot dem eller inte. Analys av dessa uppgifter kan – särskilt om också datasökningsmetoder används – leda till att oskyldiga människor betecknas som misstänkta bara på grund av att deras profiler (ålder, kön, religion etc.) och/eller mönster (resor, Internetanvändning etc.) stämmer överens med vad som gäller för personer som har anknytning eller misstänks ha anknytning till terrorism. Därför kan olaglig eller felaktig användning av (ibland känsliga) personuppgifter tillsammans med omfattande tvångsmedel för de brottsbekämpande myndigheterna leda till diskriminering och stigmatisering av vissa människor och/eller grupper, särskilt i det här sammanhanget.

17.

Mot den bakgrunden är ett gott skydd av uppgifter också ett sätt att bekämpa rasism, främlingsfientlighet och diskriminering som enligt meddelandet ”också kan bidra till att förhindra radikalisering och rekrytering till terrorism”.

18.

Ett viktigt generellt påpekande är att det måste finnas konsekvens och tydliga samband mellan alla meddelanden och initiativ på det inrikespolitiska området, i synnerhet när det gäller den inre säkerheten. Trots att EU:s strategi för terrorismbekämpning hänger nära samman med strategin för informationshantering, strategin i fråga om stadgan om de grundläggande rättigheterna och modellen för ett europeiskt informationsutbyte har till exempel kopplingarna mellan alla dessa dokument inte behandlats på ett uttryckligt och heltäckande sätt. Detta blev än tydligare den 22 november 2010, då ”EU:s strategi för den inre säkerheten i praktiken: Fem steg mot ett säkrare Europa” (10) antogs.

19.

Europeiska datatillsynsmannen rekommenderar därför att EU-institutionerna ser till att politiska åtgärder och initiativ i fråga om inrikespolitik och inre säkerhet utformas och genomförs på ett sätt som garanterar en konsekvent linje och tydliga kopplingar mellan dem, skapar lämpliga och positiva synergieffekter och gör att man undviker dubbelarbete.

20.

Europeiska datatillsynsmannen rekommenderar vidare att nödvändighetsprincipen uttryckligen beaktas när förslag framförs på området. Detta bör ske både genom att man tar hänsyn till möjlig överlappning med redan befintliga instrument och genom att man begränsar insamlingen och spridningen av personuppgifter till vad som verkligen erfordras för de syften man har.

21.

I fallet med avtalet om programmet för att spåra finansiering av terrorism (TFTP II) med USA ifrågasatte till exempel Europeiska datatillsynsmannen om avtalet verkligen behövdes för att nå resultat som kunde nås med hjälp av instrument som gör mindre intrång i den personliga integriteten, såsom de instrument som redan har införts genom befintliga regelverk i EU och på det internationella planet (11). I samma yttrande ifrågasatte Europeiska datatillsynsmannen behovet av att bulköverföra personuppgifter i stället för att använda sig av filtrering.

22.

I meddelandet säger man att en av utmaningarna är att ”få instrumenten att täcka de verkliga behoven (av brottsbekämpning) (…) med fullt iakttagande av bestämmelserna om rätten till privatliv och dataskydd”. Europeiska datatillsynsmannen välkomnar detta uttryckliga erkännande och uppmanar EU:s institutioner att göra en noggrann bedömning av i vilken utsträckning de instrument som redan finns och de instrument som planeras täcker de verkliga behoven av brottsbekämpning, samtidigt som överlappning av åtgärder och onödiga begränsningar av rätten till privatliv undviks. I det sammanhanget bör periodiska översyner av befintliga instrument visa att de är effektiva när det gäller att bekämpa terrorism.

23.

Europeiska datatillsynsmannen har i ett flertal yttranden och kommentarer förespråkat en granskning av alla befintliga instrument för informationsutbyte innan några nya föreslås, och gjorde detta med särskilt eftertryck i yttrandet om ”Översikt av informationshanteringen inom området med frihet, säkerhet och rättvisa” (12) nyligen. Det är viktigt att göra en bedömning av hur ändamålsenliga befintliga åtgärder är samtidigt som man tar hänsyn till hur nya planerade åtgärder påverkar den personliga integriteten, och detta bör vara ett framträdande inslag i Europeiska unionens verksamhet på området, i linje med den strategi som fastställdes i Stockholmsprogrammet.

24.

Överlappningar och brist på effektivitet bör leda till att politiska beslut anpassas eller till och med till att befintliga system för insamling och behandling av uppgifter konsolideras eller avskaffas.

25.

Europeiska datatillsynsmannen rekommenderar att förslag som leder till allmän insamling av personuppgifter om alla medborgare i stället för bara om misstänkta uppmärksammas särskilt. De fall där behandling av personuppgifter planeras i andra syften än det som uppgifterna ursprungligen insamlades för, som till exempel när det gäller tillgång till personuppgifter i Eurodac-systemet i brottsbekämpningssyfte, bör också beaktas och motiveras särskilt.

26.

I meddelandet framhåller man också att en av de framtida utmaningarna kommer att vara att se till att säkerhetsforskningen fungerar så bra som möjligt, eftersom detta leder till en hög nivå på säkerheten. Europeiska datatillsynsmannen stöder det som sägs i meddelandet om att en ändamålsenlig säkerhetsforskning bör förstärka kopplingarna mellan olika aktörer. I det sammanhanget är det viktigt att säkerhetsforskningen får tillgång till sakkunskap i fråga om skydd av uppgifter på ett mycket tidigt stadium, så att denna kan vara till vägledning för de politiska besluten och se till att skydd för privatlivet i största möjliga utsträckning integreras med nya säkerhetsinriktade metoder, i enlighet med principen om inbyggd integritet.

27.

När det gäller användning av restriktiva åtgärder (frysning av tillgångar) gentemot vissa länder och misstänkta terrorister har EU-domstolens rättspraxis upprepade gånger och konsekvent bekräftat att det är viktigt att respektera grundläggande rättigheter i terrorismbekämpningen, i syfte att både trygga respekten för medborgerliga rättigheter och garantera att vidtagna åtgärder är lagenliga.

28.

Europeiska datatillsynsmannen har redan bidragit med yttranden och kommentarer i fråga om detta (13), och har å ena sidan framhållit de förbättringar av förfarandena som har gjorts men å andra sidan krävt ytterligare förbättringar, i synnerhet när det gäller rätten till information och tillgång till personuppgifter, tydliga definitioner av begränsningarna av dessa rättigheter och tillgången på effektiva rättsliga åtgärder samt oberoende tillsyn.

29.

Domstolen bekräftade nyligen att det behövs ytterligare förbättringar av förfarandet och tillgängliga skyddsåtgärder för personer vilkas namn finns införda i förteckningen, i det så kallade Kadi II-målet (14). Domstolen framhöll särskilt att de berörda personerna måste få detaljerad information om skälen till att deras namn har införts i förteckningen. Detta ligger mycket nära de rättigheter att ha tillgång till egna personuppgifter och kunna få dem korrigerade, främst när de är felaktiga eller inaktuella, som följer av uppgiftsskyddslagstiftningen. Dessa rättigheter framgår uttryckligen av artikel 8 i stadgan om de grundläggande rättigheterna och är centrala för skyddet av uppgifter. De får endast begränsas i den utsträckning som detta är nödvändigt, förutsägbart och fastställt i lag.

30.

Mot den bakgrunden instämmer Europeiska datatillsynsmannen i det som sägs i meddelandet om att en av de framtida utmaningarna för kampen mot terrorism kommer att bli användningen av artikel 75 i fördraget om Europeiska unionens funktionssätt. Denna nya rättsliga grund, som infördes genom Lissabonfördraget, gör det möjligt att frysa finansiella tillgångar som tillhör fysiska och juridiska personer. Europeiska datatillsynsmannen rekommenderar att denna rättsliga grund används också för att fastställa en ram för frysning av tillgångar som är fullt förenlig med respekten för grundläggande rättigheter. Europeiska datatillsynsmannen är beredd att fortsätta bidra till utformningen av lagstiftningsinstrument och -förfaranden och ser fram emot att bli vederbörligen rådfrågad när kommissionen utarbetar en särskild förordning på det här området, i enlighet med sitt arbetsprogram för 2011 (15).

31.

I ett vidare perspektiv måste en ram för skydd av uppgifter som också är tillämplig på den gemensamma utrikes- och säkerhetspolitiken fastställas. Artikel 16 i fördraget om Europeiska unionens funktionssätt ger en rättslig grund för fastställande av regler för uppgiftsskyddet också när det gäller den gemensamma utrikes- och säkerhetspolitiken. Den rättsliga grund och det förfarande som fastställs i artikel 39 i fördraget om Europeiska unionen ska bara tillämpas när medlemsstaterna behandlar personuppgifter på det här området. Trots att dessa regler för uppgiftsskyddet ska införas enligt Lissabonfördraget och att fördraget tillhandahåller verktyg för detta planeras emellertid inget initiativ i meddelandet ”Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen” (16). Mot den bakgrunden uppmanar Europeiska datatillsynsmannen kommissionen att lägga fram ett förslag till inrättande av ett ramverk för skydd av uppgifter på den gemensamma utrikes- och säkerhetspolitikens område.

32.

I kapitlet om respekt för grundläggande rättigheter framhåller man att EU måste vara mönstergillt när det gäller respekten för stadgan om de grundläggande rättigheterna, vilken ska vara vägledande för all EU:s politik. Europeiska datatillsynsmannen välkomnar denna linje.

33.

Europeiska datatillsynsmannen stöder också uttalandet att respekt för grundläggande rättigheter inte bara är ett rättsligt krav utan även en avgörande förutsättning för att man ska lyckas skapa ett ömsesidigt förtroende mellan de nationella myndigheterna och vinna den breda allmänhetens förtroende.

34.

Mot den bakgrunden rekommenderar Europeiska datatillsynsmannen en aktiv strategi och konkreta åtgärder för att åstadkomma detta och för att se till att EU:s stadga om de grundläggande rättigheterna tillämpas på ett ändamålsenligt sätt (17).

35.

Privatlivskonsekvensanalyser och samråd med behöriga uppgiftsskyddsmyndigheter bör genomföras för alla initiativ som påverkar skyddet av personuppgifter, oavsett vem som är upphov till dem och vilket område det gäller.

36.

I kapitlet om internationellt samarbete framhåller man i meddelandet också att vi måste skapa ”den rättsliga och politiska ram som krävs för ett förbättrat samarbete med EU:s externa partner på området terroristbekämpning”.

37.

Här påminner Europeiska datatillsynsmannen om vikten av att det finns lämpliga skyddsåtgärder när personuppgifter sprids till tredjeländer och internationella organisationer, för att säkerställa att medborgarnas rätt till skydd av uppgifter respekteras också inom ramen för det internationella samarbetet.

38.

Detta inbegriper också att främja skydd av uppgifter i samarbetet med tredjeländer och internationella organisationer, för att se till att EU:s normer följs. Detta är också i linje med kommissionens avsikt att utarbeta höga rättsliga och tekniska standarder för skydd av uppgifter i tredjeländer och på internationell nivå samt öka samarbetet med tredjeländer (18).

39.

De restriktiva åtgärderna (frysning av tillgångar) ger Europeiska unionen stora möjligheter på det här området, men ett intensivt samarbete med tredjeländer och Förenta nationerna får inte minska det goda skydd för grundläggande rättigheter som EU:s rättssystem ger.

40.

Europeiska datatillsynsmannen välkomnar att grundläggande rättigheter och skydd av uppgifter framhålls i meddelandet och rekommenderar att ytterligare konkreta förbättringar av politiken för att bekämpa terrorism görs.

41.

Europeiska datatillsynsmannen rekommenderar att respekten för grundläggande rättigheter på det här området stöds med konkreta initiativ, i synnerhet rätten till skydd för personuppgifter som är nödvändig för att främja rättssäkerhet, förtroende och samarbete i kampen mot terrorism samt en nödvändig rättslig förutsättning för att de planerade systemen ska kunna utvecklas.

42.

Europeiska datatillsynsmannen stöder också inställningen att en systematisk politik som inte påverkas i så stor grad av enskilda händelser är att föredra på det här området, särskilt när olika händelser leder till att det skapas nya system för lagring, insamling och spridning av uppgifter utan att man gör en grundlig bedömning av de alternativ som finns.

43.

Europeiska datatillsynsmannen rekommenderar därför att EU-institutionerna ser till att politiska åtgärder och initiativ i fråga om inrikespolitik och inre säkerhet utformas och genomförs på ett sätt som garanterar en konsekvent linje och tydliga kopplingar mellan dem, skapar lämpliga och positiva synergieffekter och gör att man undviker dubbelarbete.

44.

Mot den här bakgrunden rekommenderar Europeiska datatillsynsmannen att EU-lagstiftaren lägger större tonvikt vid skyddet av uppgifter genom att förbinda sig att genomföra åtgärder (inom fastställda tidsfrister) som till exempel: