13.12.2016

Europeiska unionens officiella tidning

C 463/14

Sammanfattning av Europeiska datatillsynsmannens yttrande om det andra EU-paketet för smarta gränser

(Den fullständiga texten till detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats www.edps.europa.eu)

(2016/C 463/11)

SAMMANFATTNING

Unionslagstiftaren har länge planerat att inrätta ett in- och utresesystem i syfte att registrera tredjelandsmedborgares resor till och från Europeiska unionen. År 2013 antog kommissionen tre förslag som en del av det första paketet för smarta gränser. Medlagstiftarna uttryckte allvarlig oro och samförstånd nåddes inte om paketet. Som svar på denna oro inledde kommissionen ett koncepttest och har i år offentliggjort ett andra paket för smarta gränser, nu bestående av två reviderade förslag.

EDPS har noga analyserat förslagen och utfärdar rekommendationer i syfte att bistå lagstiftaren och säkerställa att den rättsliga ramen för in- och utresesystemet kommer att vara fullständigt förenlig med EU:s integritets- och dataskyddslagstiftning, särskilt artiklarna 7 och 8 i EU:s stadga om de grundläggande rättigheterna.

EDPS inser att det behövs enhetliga och effektiva informationssystem inom området gränser och säkerhet. Förslagen har offentliggjorts vid en avgörande tidpunkt då EU står inför allvarliga utmaningar på detta område. EDPS betonar emellertid omfattningen av de personuppgifter som kommer att behandlas inom ramen för in- och utresesystemet och att behandlingen utgör ett potentiellt intrång i privatlivet. Behandlingen måste därför granskas mot bakgrund av såväl artikel 7 som artikel 8 i stadgan. Huruvida in- och utresesystemet är nödvändigt och proportionerligt ska bedömas både övergripande, med beaktande av de redan befintliga stora it-systemen i EU, och specifikt, med beaktande av enskilda fall där tredjelandsmedborgare lagligen besöker EU. EDPS noterar att in- och utreseuppgifterna kommer att behandlas för två olika ändamål, å ena sidan för att underlätta gränsförvaltningen och å andra sidan för brottsbekämpning. EDPS rekommenderar kraftigt att det i hela 2016 års förslag om in- och utresesystemet görs tydlig åtskillnad mellan dessa ändamål, eftersom de medför olika inverkan på rätten till integritet och dataskydd.

Även om EDPS välkomnar den uppmärksamhet på integritets- och dataskyddsfrågor som tidigare uttryckts och förbättringarna i de reviderade förslagen, finns det allvarliga problem med flera aspekter av förslaget till in- och utresesystem, vilka bör motiveras bättre eller till och med tas under nytt övervägande av lagstiftaren, särskilt följande:

—	Lagringsperioden på fem år för uppgifter i in- och utresesystemet. EDPS noterar att det behöver visas bättre varför uppgifter om personer som överskridit den tillåtna vistelsen ska lagras i fem år och att det är oproportionerligt att alla personuppgifter i in- och utresesystemet lagras i fem år.

—	Insamlingen av ansiktsbilder av resenärer som måste inneha visering, vilkas ansiktsbilder redan finns lagrade i VIS.

—	De brottsbekämpande myndigheternas åtkomst till in- och utreseuppgifter även om bevisningen inte är tillräckligt övertygande.

—	Kravet att den registrerade ska lämna fingeravtryck när han eller hon utövar sin rätt till åtkomst, rättelse och/eller radering av sina personuppgifter, vilket kan utgöra ett betydande hinder för det faktiska utövandet av denna rättighet.

Yttrandet innehåller även ytterligare rekommendationer om dataskydd och integritet som bör beaktas i lagstiftningsprocessen, bland annat avseende systemets säkerhet.

I. INLEDNING OCH BAKGRUND

År 2008 meddelade kommissionen för första gången sin avsikt att skapa ett europeiskt in- och utresesystem i syfte att kontrollera tredjelandsmedborgares resor till och från Europeiska unionen (1). EDPS lämnade först preliminära synpunkter (2) på systemet och belyste sedan specifika frågor genom ett yttrande i juli 2011 (3). I oktober 2011 utvecklade kommissionen sina synpunkter i ett meddelande (4) med titeln Smart gränsförvaltning – valmöjligheter och framtida handlingsalternativ, som artikel 29-arbetsgruppen yttrade sig om (5). EDPS bidrog också med synpunkter vid ett gemensamt rundabordsmöte med olika aktörer (6).

I februari 2013 antog kommissionen tre förslag som en del av det första paketet för smarta gränser: ett förslag om att inrätta ett system för in- och utresa (7) (nedan kallat 2013 års förslag om in- och utresesystemet), ett förslag om att inrätta ett program för registrerade resenärer (8) (nedan kallat 2013 års förslag om ett program för registrerade resenärer) och ett förslag om ändring av kodexen om Schengengränserna (9) i syfte att införa förändringarna. Paketet möttes omedelbart av kritik från de båda medlagstiftarna på grund av tekniska, operativa och kostnadsmässiga frågor samt allvarliga dataskyddsfrågor. Samma år avgav EDPS sina första konkreta rekommendationer avseende de tre förslagen i form av ett yttrande (10). Artikel 29-arbetsgruppen utfärdade också ett yttrande (11), som EDPS hade bidragit till, i vilket arbetsgruppen ifrågasatte huruvida in- och utresesystemet som sådant var nödvändigt.

I början av 2014 meddelade kommissionen som svar på invändningarna att ett koncepttest i två steg skulle inledas: först en teknisk studie (12) och en kostnadsstudie (13) i syfte att identifiera de lämpligaste alternativen och lösningarna för genomförandet av paketet för smarta gränser, vilka under 2015 följdes av ett pilotprojekt (14) under ledning av Europeiska byrån för den operativa förvaltningen av stora it-system inom området frihet, säkerhet och rättvisa (nedan kallad eu-LISA) i syfte att testa de olika alternativ som hade identifierats. Samtidigt inledde kommissionen i juli 2015 ett tre månader långt offentligt samråd (15) för att samla in synpunkter och åsikter från medborgare och organisationer, till vilket EDPS också bidrog (16).

Den 6 april 2016 offentliggjorde kommissionen ett andra paket för smarta gränser (17). Denna gång avser förslaget ett enda system: in- och utresesystemet. Kommissionen hade beslutat att revidera 2013 års förslag om in- och utresesystemet och 2013 års förslag om ändring av kodexen om Schengengränserna samt att dra tillbaka 2013 års förslag om ett program för registrerade resenärer. Det nuvarande paketet för smarta gränser utgörs av

—	ett meddelande om starkare och smartare informationssystem för gränser och säkerhet (18),

—

ett förslag till Europaparlamentets och rådets förordning om inrättande av ett in- och utresesystem som har till syfte att registrera in- och utreseuppgifter och uppgifter om nekad inresa för tredjelandsmedborgare som passerar Europeiska unionens medlemsstaters yttre gränser och om fastställande av villkoren för åtkomst till in- och utresesystemet för brottsbekämpande ändamål och om ändring av förordning (EG) nr 767/2008 och förordning (EU) nr 1077/2011 (19) (nedan kallat 2016 års förslag om in- och utresesystemet), och

—	ett förslag till Europaparlamentets och rådets förordning om ändring av förordning (EU) 2016/399 (20) vad gäller användningen av in- och utresesystemet (21) (nedan kallat 2016 års förslag om ändring av kodexen om Schengengränserna).

De båda förslagen åtföljs dessutom av en ingående konsekvensbedömning (22).

Paketet för smarta gränser har fått ny tyngd till följd av den pågående migrationskrisen och terroristattackerna i Europa på senare tid. Det nederländska och det slovakiska ordförandeskapet har meddelat att de planerar att arbeta intensivt med paketet i syfte att nå politisk enighet fram till slutet av 2016 (23).

EDPS välkomnar att kommissionen rådfrågade honom informellt innan de nya förslagen antogs. Han välkomnar också det goda samarbetet (24) mellan GD Inrikes frågor och EDPS under hela processen för förnyande av det första paketet för smartare gränser.

IV. SLUTSATS

90.

EDPS välkomnar det arbete som kommissionen har lagt ner i 2016 års förslag om in- och utresesystemet för att åtgärda de dataskyddsproblem som påpekades i samband med 2013 års paket för smarta gränser. En del av EDPS rekommendationer och anmärkningar i tidigare yttranden om paketet har beaktats på lämpligt sätt, till exempel avseende inrättandet av reservförfaranden för det fallet att systemet är tekniskt omöjligt eller inte fungerar.

91.

EDPS välkomnar kommissionens ansträngningar för att motivera varför det är nödvändigt att inrätta ett in- och utresesystem, men vill lämna vissa huvudrekommendationer som direkt avser systemets proportionalitet och som syftar till att säkerställa att systemet fullständigt uppfyller det väsentliga kravet på nödvändighet och proportionalitet i artikel 52.1 i stadgan. Han påpekar att frågan om huruvida in- och utresesystemet är nödvändigt och proportionerligt ska bedömas både övergripande, med beaktande av de redan befintliga stora it-systemen i EU, och specifikt, med beaktande av enskilda fall där tredjelandsmedborgare lagligen besöker EU. Han anser att det bör ges en fullständig motivering till lagringsperioden på fem år för alla personuppgifter som lagras i systemet. Han betonar också att följande aspekter i 2016 års förslag om in- och utresesystemet bör motiveras bättre och stödjas av övertygande bevisning: insamlingen av ansiktsbilder av resenärer som måste inneha visering, lagringsperioden på fem år för personer som överskridit den tillåtna vistelsen och de brottsbekämpande myndigheternas åtkomst till uppgifter i in- och utresesystemet. Om inte, bör unionslagstiftare ta dessa aspekter under nytt övervägande.

92.

Med beaktande av det omfattande intrånget i tredjelandsmedborgares grundläggande rätt till integritet och dataskydd anser EDPS att in- och utresesystemet bör förbli ett gränsförvaltningsverktyg som utformas enbart för det ändamålet. Det bör därför göras en tydlig åtskillnad mellan de målsättningar som angetts för in- och utresesystemet, dvs. det primära målet att underlätta gränsförvaltningen och det sekundära målet att bekämpa brottsligheten, och denna åtskillnad bör speglas i hela 2016 års förslag om in- och utresesystemet, särskilt i artiklarna 1 och 5.

93.

EDPS är även bekymrad över kravet på att alla registrerade ska lämna fingeravtryck när de ansöker om åtkomst, rättelse och radering av sina personuppgifter. Detta kan skapa ett betydande hinder för det faktiska utövandet av rätten till åtkomst, som är en viktig garanti för den registrerade och föreskrivs i artikel 8.2 i EU-stadgan.

94.

EDPS övriga rekommendationer i detta yttrande avser följande aspekter och artiklar:

—

I artikel 14 bör det närmare anges att i det fallet att ansiktsbilder av tredjelandsmedborgare tas på plats, ska en lägsta kvalitetsnivå uppnås för bilderna, och i artikel 33 bör det anges att kommissionen kommer att tillhandahålla närmare uppgifter om hur den nödvändiga kvalitetsnivån för ansiktsbilder som tas på plats ska uppnås.

—	Artikel 15.3 bör ändras så att det anges vilka uppgifter gränsmyndigheterna får samla in, lagra och använda när de begär ytterligare klargöranden på grund av att det temporärt är omöjligt för en person att lämna fingeravtryck.

—	I artikel 39 bör det anges att det finns ett starkt behov av samordning mellan eu-LISA och medlemsstaterna i syfte att garantera att in- och utresesystemet är säkert.

—

Säkerhetsansvaret för det fallet att medlemsstaternas nationella lättnadsprogram kopplas samman med in- och utresesystemet bör klargöras i förslaget. I den nya artikel 8e i kodexen om Schengengränserna bör det anges att en lämplig bedömning av säkerhetsriskerna för informationen ska göras i syfte att garantera säkerheten, och de nödvändiga säkerhetsåtgärderna bör beskrivas.

—	I förslaget bör det tydligt anges att eu-LISA ansvarar för webbtjänstens säkerhet, säkerheten för de personuppgifter den innehåller och processen för överföring av personuppgifter från det centrala systemet till webbtjänsten.

—

Artikel 44.1 bör ändras så att det anges att den information som de registrerade tillhandahålls ska innehålla följande: den lagringsperiod som gäller för deras uppgifter, rättigheten för personer som har överskridit den tillåtna vistelsen att få sina personuppgifter raderade i det fallet att de inkommer med bevisning för att de överskred den tillåtna vistelsen på grund av oförutsebara och allvarliga händelser samt en förklaring om att uppgifterna i in- och utresesystemet kommer att tillgås för att underlätta gränsförvaltningen.

—	I artikel 46.1 bör en strikt harmoniserad tidsfrist på högst några månader fastställas för svar på begäranden om åtkomst.

—	Artikel 9.2 bör ändras så att det tydligt anges vilka åtgärder som ska vidtas för att garantera lämplig hänsyn när uppgifterna avser barn, äldre eller personer med funktionsnedsättning.

—	Artikel 57 bör ändras så att det krävs att eu-LISA utvecklar funktionaliteter som ger medlemsstaterna, kommissionen, eu-LISA och Frontex möjlighet att automatiskt ta fram nödvändig statistik direkt från in- och utresesystemets centrala system, utan att ett ytterligare register behövs.

—	I förslaget bör det föreskrivas att EDPS ska tillhandahållas lämplig information och lämpliga resurser, så att han ändamålsenligt och effektivt kan utföra sina nya uppgifter som tillsynsman för det framtida in- och utresesystemet.

—	I artikel 28.2 bör det anges en strikt tidsfrist för när kontrollmyndigheten ska genomföra efterhandskontrollen av att villkoren för åtkomst till uppgifter i in- och utresesystemet för brottsbekämpande ändamål i brådskande fall är uppfyllda.

—	Artikel 28.3 bör ändras så att det föreskrivs att de utsedda myndigheterna och kontrollmyndigheten inte får ingå i samma organisation.

95.

EDPS insisterar på att det är nödvändigt att åtgärda dessa frågor i ett övergripande perspektiv. Han uppmanar lagstiftaren att fortsätta sitt arbete med att kartlägga de olika databaser som används inom området gränsförvaltning och migration, i syfte att samordna dem bättre och undvika överlappning mellan olika system samtidigt som dataskyddsstandarderna respekteras fullständigt, också i förbindelserna med tredjeländer.

Utfärdad i Bryssel den 21 september 2016.

Giovanni BUTTARELLI

Europeisk datatillsynsman

(1) Kommissionens meddelande av den 13 februari 2008”Att förbereda nästa steg i utvecklingen av Europeiska unionens gränsförvaltning”, KOM(2008) 69 slutlig.

(2) EDPS preliminära synpunkter av den 3 mars 2008 på tre meddelanden om gränsförvaltning.

(3) EDPS yttrande av den 7 juli 2011 om meddelandet om migration.

(4) Kommissionens meddelande av den 25 oktober 2011”Smart gränsförvaltning – valmöjligheter och framtida handlingsalternativ”, KOM(2011) 680 slutlig.

(5) Artikel 29-arbetsgruppen kommenterade kommissionens meddelande om smarta gränser i en skrivelse av den 12 juni 2012 till kommissionsledamot Malmström.

(6) EDPS rundabordssamtal om paketet för smarta gränser och dess följder för dataskyddet, Bryssel, den 10 april 2013, se sammanfattning på: http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/PressNews/Events/2013/13-04-10_Summary_smart_borders_final_EN.pdf

(7) Förslag till Europaparlamentets och rådets förordning om inrättande av ett system för in- och utresa som har till syfte att registrera in- och utreseuppgifter för tredjelandsmedborgare som passerar EU-medlemsstaternas yttre gränser, COM(2013) 95 final.

(8) Förslag till Europaparlamentets och rådets förordning om inrättande av ett program för registrerade resenärer, COM(2013) 97 final.

(9) Förslag till Europaparlamentets och rådets förordning om ändring av förordning (EG) nr 562/2006 vad gäller användningen av systemet för in- och utresa och programmet för registrerade resenärer, COM(2013) 96 final.

(10) EDPS yttrande av den 18 juli 2013 om förslaget till förordning om inrättande av ett system för in- och utresa och förslaget till förordning om ett program för registrerade resenärer.

(11) Artikel 29-arbetsgruppens yttrande 5/2013 av den 6 juni 2013 om smarta gränser.

(12) Technical Study on Smart Borders – Final Report, oktober 2014, finns på: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/smart-borders/docs/smart_borders_technical_study_en.pdf

(13) Technical Study on Smart Borders - Cost Analysis, oktober 2014, finns på: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/smart-borders/docs/smart_borders_costs_study_en.pdf

(14) Final Report on the Smart Borders Pilot Project, eu-LISA, december 2015, finns på: http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/smart-borders/index_en.htm

(15) Kommissionens offentliga samråd om smarta gränser, finns på: http://ec.europa.eu/dgs/home-affairs/what-is-new/public-consultation/2015/consulting_0030_en.htm

(16) EDPS formella synpunkter av den 3 november 2015 på kommissionens offentliga samråd om smarta gränser.

(17) Se pressmeddelande på: http://europa.eu/rapid/press-release_IP-16-1247_sv.htm

(18) Kommissionens meddelande av den 6 april 2016”Starkare och smartare informationssystem för gränser och säkerhet”, COM(2016) 205 final.

(19) COM(2016) 194 final.

(20) Europaparlamentets och rådets förordning (EU) 2016/399 av den 9 mars 2016 om en unionskodex om gränspassage för personer (kodex om Schengengränserna) (kodifiering) (EUT L 77, 23.3.2016, s. 1).

(21) COM(2016) 196 final.

(22) Arbetsdokument från kommissionens avdelningar av den 6 april 2016, Impact Assessment on the establishment of an EU Entry/Exit System accompanying the 2016 EES Proposal and the 2016 Proposal amending the Schengen Borders Code, SWD(2016) 115 final (nedan kallat konsekvensbedömningen).

(23) http://data.consilium.europa.eu/doc/document/ST-8485-2016-INIT/en/pdf

(24) Under 2015 genomfördes två workshoppar mellan GD Inrikes frågor och EDPS om smarta gränser: en workshop den 20 mars som specifikt ägnades åt förberedandet av förslagen om smarta gränser och en interaktiv workshop den 21 september 2015 om dataskydds- och integritetsfrågor i politiken avseende migration och inrikes frågor, under vilken förslagen från 2013 om smarta gränser också berördes. Se protokollet från workshoppen den 20 mars 2015 i bilaga 16 till konsekvensbedömningen.