4.2.2014   

SV

Europeiska unionens officiella tidning

C 32/25

Sammanfattning av Europeiska datatillsynsmannens yttrande om förslaget till förordning om inrättande av ett system för in- och utresa och förslaget till förordning om ett program för registrerade resenärer

(Den fullständiga texten i detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats http://www.edps.europa.eu)

2014/C 32/12

I.   Inledning

I.1   Samråd med Europeiska datatillsynsmannen

1.

Den 28 februari 2013 antog kommissionen följande förslag (nedan kallade förslagen).

Förslag till Europaparlamentets och rådets förordning om inrättande av ett system för in- och utresa, som har till syfte att registrera in- och utreseuppgifter för tredjelandsmedborgare som passerar EU-medlemsstaternas yttre gränser (nedan kallat förslaget om ett system för in- och utresa) (1).

Förslag till Europaparlamentets och rådets förordning om inrättande av ett program för registrerade resenärer (nedan kallat förslaget om ett program för registrerade resenärer) (2).

Förslag till Europaparlamentets och rådets förordning om ändring av förordning (EG) nr 562/2006 vad gäller användningen av systemet för in- och utresa och programmet för registrerade resenärer (nedan kallat ändringsförslaget) (3).

2.

Förslagen skickades till Europeiska datatillsynsmannen för samråd samma dag. Innan förslagen antogs fick Europeiska datatillsynsmannen möjlighet att lämna informella synpunkter till kommissionen.

3.

Europeiska datatillsynsmannen välkomnar den uttryckliga hänvisningen till det aktuella samrådet i ingressen i både förslaget om ett system för in- och utresa och förslaget om ett program för registrerade resenärer.

I.2   Bakgrund

4.

I sitt meddelande ”Att förbereda nästa steg i utvecklingen av Europeiska unionens gränsförvaltning” från 2008 föreslår kommissionen nya verktyg för den framtida förvaltningen av unionens gränser, bland annat ett system för in- och utresa (nedan kallat systemet för in och utresa) för elektronisk registrering av uppgifter om in- och utresa för tredjelandsmedborgare, och ett program för registrerade resenärer för att underlätta gränsövergången för resenärer med ärligt uppsåt (nedan kallat programmet för registrerade resenärer). Kommissionen undersökte också möjligheterna att införa ett elektroniskt system för resetillstånd (ESTA) för tredjelandsmedborgare som inte omfattas av viseringskrav.

5.

Dessa förslag fick stöd av Europeiska rådet i december 2009 genom Stockholmsprogrammet (4). I sitt meddelande om smart gränsförvaltning från 2011 (5) ansåg kommissionen emellertid att man borde avskriva tanken på att inrätta ett elektroniskt system för resetillstånd, eftersom ”den eventuella förbättringen av medlemsstaternas säkerhet varken motiverar insamling av personuppgifter i denna omfattning, kostnaderna eller påverkan på de internationella förbindelserna” (6). Kommissionen meddelade dessutom att den hade för avsikt att lägga fram förslag till ett in- och utresesystem samt ett program för registrerade resenärer under första halvåret 2012.

6.

Därefter begärde Europeiska rådet vid sitt möte i juni 2011 att man snabbt skulle gå vidare med arbetet med ”smarta gränser”, och efterlyste införandet av ett in- och utresesystem samt ett program för registrerade resenärer (7).

7.

Artikel 29-arbetsgruppen lämnade synpunkter på kommissionens meddelande om smart gränsförvaltning, som föregick förslagen, i en skrivelse till kommissionsledamot Cecilia Malmström av den 12 juni 2012 (8). Mer nyligen, den 6 juni 2013, antog arbetsgruppen ett yttrande där den ifrågasätter nödvändigheten av det smarta gränspaketet (9).

8.

Detta yttrande bygger på dessa ståndpunkter och även på ett tidigare yttrande från Europeiska datatillsynsmannen (10) om kommissionens meddelande om migration från 2011 (11) och hans preliminära synpunkter (12) på tre meddelanden om gränsförvaltning (2008) (13). Yttrandet bygger likaså på bidrag från Europeiska datatillsynsmannens rundabordsdiskussion om det smarta gränspaketet och dess följder för dataskyddet (14).

I.3   Syftet med förslagen

9.

Syftet med förslaget om ett system för in- och utresa anges i artikel 4 i förordningen. Förslaget har till syfte att förbättra förvaltningen av de yttre gränserna, stärka kampen mot irreguljär invandring, förbättra genomförandet av den integrerade gränsförvaltningsstrategin och samarbetet mellan gräns- och immigrationsmyndigheterna. Genom förslaget inrättas ett system för att

a)

förbättra kontrollerna vid gränsövergångsställen vid de yttre gränserna och bekämpa irreguljär invandring,

b)

beräkna längden på den tillåtna vistelsen för tredjelandsmedborgare som beviljats inresa för en kortare vistelse och kontrollera att denna tidslängd respekteras,

c)

vara till hjälp vid identifiering av personer som inte uppfyller, eller inte längre uppfyller, villkoren för inresa till och vistelse inom medlemsstaternas territorium,

d)

sätta medlemsstaternas nationella myndigheter i stånd att identifiera de personer som överskridit den tillåtna vistelsen så att de kan vidta lämpliga åtgärder,

e)

samla in statistik om tredjelandsmedborgares in- och utresor i syfte att genomföra statistiska analyser.

10.

Systemet bör bidra till att kontrollera tillåtna vistelser genom att gränskontrolltjänstemännen och resenärerna snabbt får exakt information. Det nya systemet kommer att ersätta det nuvarande långsamma och otillförlitliga systemen med manuell stämpling av pass och effektiviserar gränsförvaltningen (15).

11.

Genom att biometriska uppgifter lagras kommer systemet också att vara till hjälp vid identifiering av personer som inte uppfyller, eller inte längre uppfyller, villkoren för inresa till och vistelse inom EU, särskilt om personerna i fråga saknar identitetshandlingar. Dessutom kommer systemet för in- och utresa att ge en exakt bild av reseflödena och av antalet personer som stannar längre än sin lagliga vistelse, vilket i sin tur möjliggör ett evidensbaserat tillvägagångssätt, till exempel vad gäller viseringskrav. Den statistik som anges i artikel 4 används för detta sista syfte.

12.

Systemet för in- och utresa skulle utgöra grunden för programmet för registrerade resenärer, vars syfte är att underlätta gränspassagen för utvalda tredjelandsmedborgare som reser ofta. Registrerade resenärer skulle ha en informationsbärare med en id-kod som skulle läsas av vid ankomst och avresa vid gränsen genom en automatisk kontroll. Uppgifterna i informationsbäraren, fingeravtryck och i tillämpliga fall viseringsnumret skulle jämföras med de uppgifter som lagras i centralkatalogen och i andra databaser. Om alla kontroller ger positivt resultat kan resenären passera genom den automatiska kontrollen. Annars får resenären hjälp av en gränskontrolltjänsteman.

13.

Syftet med ändringsförslaget är slutligen att anpassa förordning (EG) nr 562/2006 om en gemenskapskodex om gränspassage för personer (nedan kallad kodex om Schengengränserna) till de nya förslagen om ett system för in- och utresa och ett program för registrerade resenärer.

I.4   Yttrandets sammanhang och struktur

14.

Projektet att utveckla ett elektroniskt system för att kontrollera in- och utresor inom EU:s territorium är inte nytt, och flera meddelanden från kommissionen som nämns ovan har banat väg för de förslag som nu analyseras. Det smarta gränspaketet bör därför bedömas mot bakgrund av denna utveckling. Följande faktorer bör särskilt beaktas:

15.

I Stockholmsprogrammet väljer kommissionen det strategiska tillvägagångssättet att analysera behovet av att utveckla en europeisk modell för informationsutbyte som grundas på en utvärdering av befintliga instrument. Detta ska i sin tur grundas på ett starkt dataskyddssystem, ett väl inriktat system för uppgiftsinsamling och en rationalisering av de olika verktygen, bland annat inrättande av en verksamhetsplan för stora it-system. I Stockholmsprogrammet erinras om behovet av fortsatt överensstämmelse mellan genomförandet och hanteringen av de olika informationsverktygen och strategin för skydd av personuppgifter och verksamhetsplanen för inrättande av storskaliga it-system (16).

16.

En heltäckande analys är ännu mer nödvändig med tanke på befintliga storskaliga it-system och deras vidareutveckling och genomförande, till exempel Eurodac (17), VIS (18) and SIS II (19). Ett system för smart gränsförvaltning är ett ytterligare verktyg för att samla in enorma mängder personuppgifter för gränskontroller. Detta övergripande synsätt har nyligen bekräftats av rådet (rättsliga och inrikes frågor), som betonade behovet av att ta lärdom från erfarenheten med SIS, särskilt när det gäller kostnadsökningarna (20). Europeiska datatillsynsmannen har också påpekat att ”en europeisk informationsmodell inte ska förstås på grundval av tekniska hänsynstaganden”, med tanke på de näst intill obegränsade möjligheter som erbjuds genom ny teknik. Information bör endast behandlas på grundval av konkreta säkerhetsbehov (21).

17.

Analysen av systemet för in- och utresa och programmet för registrerade resenärer ur integritets- och dataskyddssynvinkel måste göras mot bakgrund av Europeiska unionens stadga om de grundläggande rättigheterna (22) (nedan kallad stadgan), särskilt artiklarna 7 och 8. I artikel 7, som liknar artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (23), fastställs en allmän rätt till respekt för privatliv och familjeliv, och individen skyddas mot inblandning av offentliga myndigheter, medan artikel 8 i stadgan ger individen rätten att hans eller hennes personuppgifter endast får behandlas enligt vissa fastställda villkor. Dessa två synsätt är både olika och kompletterande. Det smarta gränspaketet kommer att bedömas mot dessa två perspektiv.

18.

Detta yttrande inriktas främst på förslaget om ett system för in- och utresa eftersom det är mest relevant när det gäller integritets- och dataskydd. Yttrandet är strukturerat på följande sätt:

Avsnitt II innehåller en allmän utvärdering av systemet för in- och utresa, som inriktas på efterlevnaden av artiklarna 7 och 8 i stadgan.

Avsnitt III innehåller synpunkter på mer specifika bestämmelser för systemet för in- och utresa om behandling av biometriska uppgifter och brottsbekämpande myndigheters tillgång.

I avsnitt IV lämnas synpunkter på andra frågor som uppstår i samband med systemet för in- och utresa.

Avsnitt V inriktas på programmet för registrering av resenärer.

Avsnitt VI handlar om behovet av ytterligare dataskyddsgarantier.

I avsnitt VII anges slutsatserna.

VII.   Slutsatser

102.

Syftet med det smarta gränspaketet är att skapa ett nytt storskaligt it-system för att komplettera de befintliga gränskontrollsystemen. Lagligheten hos detta system bör utvärderas mot bakgrund av principerna i stadgan, särskilt artikel 7 om rätten till respekt för privatliv och familjeliv och artikel 8 om skydd av personuppgifter, i syfte att inte bara bedöma om det nya systemet utgör ett intrång i de grundläggande rättigheterna, utan även de dataskyddsgarantier som anges i förslagen.

103.

Ur detta perspektiv bekräftar Europeiska datatillsynsmannen att det föreslagna systemet för in- och utresa utgör ett intrång i rätten till respekt för privatliv och familjeliv. Europeiska datatillsynsmannen välkomnar visserligen de garantier som ges i förslagen och erkänner kommissionens insatser i detta avseende, men drar slutsatsen att nödvändighet ändå är den avgörande frågan: Systemets kostnad/effektivitet står på spel, inte bara i ekonomiska termer utan även med avseende på de grundläggande rättigheterna i allmänhet, med tanke på de befintliga systemen och gränspolitiska åtgärderna.

104.

Europeiska datatillsynsmannen lämnar följande rekommendationer med avseende på systemet för in- och utresa:

Systemets nödvändighet och proportionalitet kan endast bedömas positivt i enlighet med artikel 7 i stadgan efter det att en tydlig EU-politik för hantering av personer som överskridit den tillåtna vistelsen har inrättats och systemet utvärderats i ett mer övergripande sammanhang när det gäller befintliga storskaliga it-system.

Dataskyddsprinciperna bör förbättras på följande sätt i enlighet med artikel 8 i stadgan:

Syftena bör vara begränsade och systemets utformning bör inte utesluta en framtida bedömning av möjligheterna att brottsbekämpande myndigheter får tillgång till uppgifter från systemet för in- och utresa.

De registrerades rättigheter bör förstärkas, särskilt med avseende på rätten till information och tillgång till rättslig prövning, med tanke på behovet av särskilda garantier rörande automatiska beslut som fattas i samband med beräkningar av längden av vistelser.

Tillsynen bör kompletteras med en tydlig behörighetsfördelning på nationell nivå för att se till att de registrerade kan utöva sina rättigheter i förhållande till den behöriga myndigheten.

Användningen av biometriska uppgifter bör vara föremål för en riktad konsekvensbedömning, och om detta anses vara nödvändigt bör behandlingen av sådana uppgifter omfattas av särskilda garantier för registreringsprocessen, precisionsnivån och behovet av ett reservförfarande. Europeiska datatillsynsmannen ställer sig dessutom starkt tveksam till insamlingen av tio fingeravtryck i stället för två eller fyra, vilket i alla händelser är tillräckligt för kontrolländamål.

Skälen till att överföringen av uppgifter från systemet för in- och utresa till tredjeländer är nödvändigt för tredjelandsmedborgares återvändande bör underbyggas.

105.

Programmet för registrering av resenärer ger inte upphov till samma väsentliga frågor när det gäller intrång i de grundläggande rättigheter som systemet för in- och utresa, men Europeiska datatillsynsmannen vill ändå uppmärksamma lagstiftaren på följande aspekter:

Systemets frivilliga karaktär är bekräftad, men samtycke bör endast anses utgöra en giltig rättslig grund för behandling av uppgifter om det ges fritt, vilket innebär att programmet för registrering av resenärer inte bör vara det enda möjliga alternativet till långa köer och administrativa bördor.

Risker för diskriminering bör förebyggas. Det enorma antalet resenärer som inte reser tillräckligt ofta för att registreras eller de resenärer vars fingeravtryck är oläsliga bör inte de facto anses tillhöra en kategori med ”högre risk”.

Kontrollprocessen för registrering bör grundas på selektiv åtkomst till tydligt identifierade databaser.

106.

Med avseende på säkerhetsaspekterna anser Europeiska datatillsynsmannen att en kontinuitetsplan för verksamheten och riskhanteringsmetoder för informationssäkerhet bör utformas för att bedöma och prioritera risker för både systemet för in- och utresa och programmet för registrering av resenärer. Dessutom bör byrån och medlemsstaterna föra ett nära samarbete.

Utfärdat i Bryssel den 18 juli 2013.

Peter HUSTINX

Europeiska datatillsynsmannen

(1)  COM (2013) 95 final.

(2)  COM (2013) 97 final.

(3)  COM (2013) 96 final.

(4)  ”Ett öppet och säkert Europa i medborgarnas tjänst och för deras skydd” (EUT C 115, 4.5.2010, s. 1).

(5)  Kommissionens meddelande till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén av den 25 oktober 2011 om smart gränsförvaltning – valmöjligheter och framtida handlingsalternativ.

(6)  Kommissionens meddelande om smart gränsförvaltning som citeras ovan, s. 7.

(7)  EUCO 23/11.

(8)  Artikel 29-arbetsgruppen, som inrättades i enlighet med direktiv 95/46/EG, består av en företrädare för varje nationell datatillsynsmyndighet, Europeiska datatillsynsmannen och en företrädare för kommissionen. Den har rådgivande status och agerar oberoende. Arbetsgruppens skrivelse av den 12 juni 2012 till Cecilia Malmöström om smart gränsförvaltning finns på http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2012/20120612_letter_to_malmstrom_smart-borders_en.pdf

(9)  Artikel 29-arbetsgruppen, yttrande 05/2013 om smart gränsförvaltning. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp206_en.pdf

(10)  Yttrande från Europeiska datatillsynsmannen av den 7 juli 2011, finns på http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2011/11-07-07_Migration_SV.pdf

(11)  Kommissionens meddelande till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén av den 4 maj 2011 om smart gränsförvaltning – valmöjligheter och framtida handlingsalternativ.

(12)  Yttrande från Europeiska datatillsynsmannen av den 3 mars 2008, finns på http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2008/08-03-03_Comments_border_package_EN.pdf

(13)  Meddelanden från kommissionen till Europaparlamentet rådet, Europeiska ekonomiska och sociala kommittén och Regionkommittén ”Att förbereda nästa steg i utvecklingen av Europeiska unionens gränsförvaltning” (KOM(2008) 69 slutlig), om undersökning av möjligheterna att inrätta ett europeiskt gränsövervakningssystem (Eurosur) (KOM(2008) 68 slutlig) och rapport om utvärderingen och den framtida utvecklingen av Frontex (KOM(2008) 67 slutlig).

(14)  Europeiska datatillsynsmannens rundabordsdiskussion om det smarta gränspaketet och dess följder för dataskyddet, Bryssel den 10 april 2013. Mötesplats: EDPS-byggnaden, Rue Montoyer 30, Bryssel. Se sammanfattning på: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Events/2013/13-04-10_Summary_smart_borders_final_EN.pdf

(15)  Se motiveringen i förslaget om ett system för in- och utresa.

(16)  Stockholmsprogrammet – Ett öppet och säkert Europa i medborgarnas tjänst och för deras skydd (EUT C 115, 4.5.2010, s. 1).

(17)  Se Europaparlamentets och rådets förordning (EU) nr 603/2013 av den 26 juni 2013 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat och för när medlemsstaternas brottsbekämpande myndigheter begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål, samt om ändring av förordning (EU) nr 1077/2011 om inrättande av en Europeisk byrå för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (EUT L 180, 29.6.2013, s. 1).

(18)  Se Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) (EUT L 218, 13.8.2008, s. 60).

(19)  Se Europaparlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 381, 28.12.2006, s. 4).

(20)  Se rådsdokument nr 8018/13, skrivelse från ordförandeskapet för kommittén för strategiska frågor om invandring, gränser och asyl/gemensamma kommittén (EU, Island, Liechtenstein, Norge och Schweiz) av den 28 mars 2013 om det smarta gränspaketet. http://www.statewatch.org/news/2013/apr/eu-council-smart-borders-8018-13.pdf

(21)  Yttrande från Europeiska datatillsynsmannen av den 10 juli 2009 om kommissionens meddelande till Europaparlamentet och rådet om ett område med frihet, säkerhet och rättvisa i allmänhetens tjänst (EUT C 276, 17.11.2009, s. 8).

(22)  EUT C 83, 30.3.2010, s. 389.

(23)  Europarådet, ETS nr 5, 4.11.1950.