23.9.2009   

SV

Europeiska unionens officiella tidning

C 229/1

1.

Förslaget till Europaparlamentets och rådets förordning om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har gett in i någon medlemsstat (nedan kallat förslaget eller kommissionens förslag) översändes den 3 december 2008 av kommissionen till datatillsynsmannen för samråd i enlighet med artikel 28.2 i förordning 45/2001/EG. Detta samråd bör uttryckligen nämnas i ingressen till förordningen.

2.

Datatillsynsmannen har bidragit till förslaget i ett tidigare skede och många av de punkter han tog upp informellt under den förberedande processen har beaktats av kommissionen i dess slutliga förslagstext.

3.

Detta förslag är en omarbetning av rådets förordning (EG) nr 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett in i någon medlemsstat (3) (nedan kallad Dublinförordningen). Förlaget presenterades av kommissionen som det första av flera i ett paket som har till syfte att säkerställa en högre grad av harmonisering och bättre rättssäkerhetsstandarder för det gemensamma europeiska asylsystemet i enlighet med instruktionerna i Haagprogrammet av den 4–5 november 2004 och i enlighet med kommissionens strategiska plan för asylpolitik av den 17 juni 2008. I Haagprogrammet uppmanades kommissionen att slutföra utvärderingen av den första etappens rättsakter och att förelägga rådet och Europaparlamentet den andra etappens instrument och åtgärder så att de kan antas före 2010.

4.

Detta förslag har varit föremål för en ingående utvärderings- och samrådsprocess. I förslaget beaktas särskilt resultaten av kommissionens utvärderingsrapport om Dublinsystemet som offentliggjordes den 6 juni 2007 (4) i vilken ett antal rättsliga och praktiska brister i det nuvarande systemet identifierades samt de bidrag som kommissionen har erhållit från olika intressenter som svar på grönboken om det framtida gemensamma europeiska asylsystemet (5).

5.

Huvudsyftet med förslaget är att effektivisera Dublinsystemet och säkerställa en bättre rättssäkerhet för personer som ansöker om internationellt skydd inom ramen för Dublinförfarandet. Syftet är vidare att stärka solidariteten med de medlemsstater som är utsatta för särskilt stort migrationstryck (6).

6.

Genom förslaget utvidgas Dublinförordningens tillämpningsområde så att det även omfattar personer som ansöker om (eller har beviljats) subsidiärt skydd. Denna ändring är nödvändig för att uppnå överensstämmelse med EU:s regelverk, dvs. rådets direktiv 2004/83/EG av den 29 april 2004 om miniminormer för när tredjelandsmedborgare eller statslösa personer skall betraktas som flyktingar eller som personer som av andra skäl behöver internationellt skydd samt om dessa personers rättsliga ställning och om innehållet i det beviljade skyddet (7) (nedan kallat direktivet om villkor för flyktingstatus), varigenom begreppet ”subsidiärt skydd” infördes. Förslaget innebär också att de definitioner och den terminologi som används i Dublinförordningen anpassas till definitionerna och terminologin i andra rättsakter på asylområdet.

7.

För att effektivisera systemet fastställs det i förslaget tidsfrister för att ge in framställningar om återtagande och fristen för att besvara framställningar om information förkortas. Bestämmelserna om ansvarets upphörande har förtydligats liksom förutsättningarna och förfarandena för tillämpning av klausulerna om frivilligt ansvar (den humanitära klausulen och suveränitetsklausulen). Bestämmelser om överföring har införts och den befintliga tvistlösningsmekanismen har utvidgats. Förslaget innehåller även en bestämmelse om hållande av en obligatorisk intervju.

8.

Vidare fastslås i kommissionens förslag, även för att höja graden av skydd för personer som ansöker om internationellt skydd, rätten att överklaga ett beslut om överföring och skyldighet för den behöriga myndigheten att besluta huruvida verkställigheten av beslutet bör skjutas upp. Det tar även upp rätten till juridisk rådgivning och/eller ombud, samt språkligt stöd. Förslaget hänvisar även till principen att ingen bör hållas i förvar bara därför att han eller hon ansöker om internationellt skydd. Rätten till familjeåterförening utvidgas och behoven hos underåriga utan medföljande vuxen och andra sårbara grupper tas upp.

9.

Avsikten med detta yttrande är att huvudsakligen ta upp de ändringar av texten som är de mest relevanta när det gäller skyddet av personuppgifter:

10.

Datatillsynsmannen stöder målen i kommissionens förslag, särskilt målet att effektivisera Dublinsystemet och säkerställa en bättre rättssäkerhet för personer som ansöker om internationellt skydd inom ramen för Dublinförfarandet. Han delar även förståelsen av orsakerna till varför kommissionen har beslutat att genomföra revideringen av Dublinsystemet.

11.

Att säkerställa ett lämpligt skydd av personuppgifter är en nödvändig förutsättning för att även garantera ett effektivt genomförande och en hög skyddsnivå för skyddet av andra grundläggande rättigheter. Datatillsynsmannen avger detta yttrande fullt medveten om en omfattande aspekt i förslaget när det gäller de grundläggande rättigheterna som inte endast gäller behandling av personuppgifter utan även många andra rättigheter hos tredjelandsmedborgare eller statslösa personer, särskilt rätten till asyl, rätten till information i vid bemärkelse, rätten till familjeåterförening, rätten till ett effektivt rättsmedel, rätten till frihet och fri rörlighet, barnets rättigheter eller rättigheterna för underåriga utan medföljande vuxen.

12.

Både i skäl 34 i förslaget och i motiveringen betonas lagstiftarens åtgärder för att säkerställa att förslaget överensstämmer med stadgan om de grundläggande rättigheterna. I detta sammanhang hänvisas det uttryckligen i motiveringen till skyddet av personuppgifter och rätten till asyl. I motiveringen betonas även det faktum att förslaget har genomgått en ingående granskning för att garantera att dess bestämmelser är i full överensstämmelse med de grundläggande rättigheterna som allmänna principer för gemenskapsrätten och med internationell rätt. Med tanke på datatillsynsmannens mandat kommer dock detta yttrande huvudsakligen att inriktas på förslagets dataskyddsaspekter. I detta sammanhang välkomnar datatillsynsmannen den särskilda uppmärksamhet som har ägnats denna grundläggande rättighet i förslaget och anser att den är av avgörande betydelse för att garantera Dublinförfarandets effektivitet med fullständigt iakttagande av kraven i samband med de grundläggande rättigheterna.

13.

Datatillsynsmannen noterar även att man i kommissionens förslag strävar efter att sörja för konsekvens med andra rättsliga instrument som reglerar inrättandet och/eller användningen av andra storskaliga it-system Han önskar särskilt framhålla att såväl ansvarsfördelningen i förhållande till databasen som det sätt på vilket övervakningen formuleras i förslaget är i överensstämmelse med Schengens informationssystem II och informationssystemet för viseringar.

14.

Datatillsynsmannen välkomnar att hans roll på området för övervakning har fastställts tydligt, vilket av uppenbara skäl inte var fallet i den tidigare texten.

15.

I artikel 4.1 f–g i förslaget anges det:

”Omedelbart efter det att en ansökan om internationellt förfarande har lämnats in ska medlemsstaternas behöriga myndigheter underrätta den asylsökande om tillämpningen av denna förordning, särskilt om

I artikel 4.2 beskrivs de sätt på vilka den information som avses i punkt 1 ska tillhandahållas sökanden.

16.

Effektiv tillämpning av rätten till information är av avgörande betydelse för att Dublinförordningen ska fungera som avsett. Det är särskilt viktigt att se till att informationen tillhandahålls på ett sådant sätt att den asylsökande fullständigt kan förstå sin situation och omfattningen av sina rättigheter, inbegripet vilka processuella åtgärder han kan vidta som en uppföljning av de administrativa beslut som fattats i hans fall.

17.

När det gäller de praktiska aspekterna av tillämpningen av denna rättighet önskar datatillsynsmannen hänvisa till det faktum att enligt artikel 4.1 g och 4.2 i förslaget bör medlemsstaterna använda en gemensam broschyr för de sökande som bl.a. ska innehålla ”kontaktuppgifter till de nationella tillsynsmyndigheter som är behöriga att pröva frågor om skydd av personuppgifter”. I detta sammanhang önskar datatillsynsmannen betona att även om de nationella tillsynsmyndigheter (nedan kallade dataskyddsmyndigheter) som avses i artikel 4.2 är behöriga att pröva frågor om skydd av personuppgifter bör inte formuleringen i förslaget hindra den sökande (den registrerade) att rikta ett anspråk i första hand till den registeransvarige (i detta fall de nationella myndigheter som ansvarar för Dublinsamarbetet). Bestämmelsen i artikel 4.2 i dess nuvarande lydelse verkar innebära att den sökande bör lämna sin framställan – direkt och i varje enskilt fall – till den nationella tillsynsmyndigheten, medan standardförfarandet och praxis i medlemsstaterna är att den sökande ger in sin ansökan först hos den registeransvarige.

18.

Datatillsynsmannen föreslår även att lydelsen i artikel 4 g för omformuleras för att klargöra vilka rättigheter som tillkommer den sökande. I förslaget är lydelsen oklar, eftersom den kan tolkas som ”rätten att få information om förfarandena för utövande av dessa rättigheter (…)” ska betraktas som en del av rätten att få åtkomst till uppgifter och/eller rätten att begära att oriktiga uppgifter korrigeras (…). Dessutom ska medlemsstaterna enligt den nuvarande lydelsen av den ovan nämnda bestämmelsen inte informera den sökande om innehållet i rättigheterna utan om att de finns. Eftersom det sistnämnda verkar vara en stilistisk fråga föreslår datatillsynsmannen att artikel 4.1 g formuleras om enligt följande:

”Så snart som en ansökan om internationellt skydd har lämnats in ska medlemsstaternas behöriga myndigheter underrätta de asylsökande om (…)

19.

I fråga om metoderna för att tillhandahålla information till de sökande hänvisar datatillsynsmannen det arbete som har genomförts av samordningsgruppen för tillsyn av Eurodac (8) (som består av företrädare för tillsynsmyndigheten i varje deltagande stat och datatillsynsmannen). Gruppen håller för närvarande på att behandla denna fråga inom ramen för Eurodac i syfte att ge förslag till relevanta riktlinjer, så snart som resultaten av de nationella utredningarna finns tillgängliga och har sammanställts. Även om denna samordnade utredning särskilt gäller Eurodac kommer dess slutsatser troligtvis att vara av intresse även i samband med Dublin eftersom det tar upp frågor som språk/översättningar och bedömningen av den asylsökandes verkliga förståelse av informationen, osv.

20.

När det gäller de myndigheter som nämns i artikel 33 i förslaget välkomnar datatillsynsmannen det faktum att kommissionen kommer att offentliggöra en konsoliderad förteckning över de myndigheter som avses i punkt 1 i den ovan nämnda bestämmelsen i Europeiska unionens officiella tidning. Om förteckningen ändras ska kommissionen en gång om året offentliggöra en uppdaterad konsoliderad förteckning. Offentliggörandet av den konsoliderade förteckningen kommer att bidra till att säkerställa insynen och underlätta dataskyddsmyndigheternas övervakning.

21.

Datatillsynsmannen noterar införandet av den nya mekanismen för utbyte av relevant information mellan medlemsstaterna innan överföringarna äger rum (enligt artikel 30 i förslaget). Han betraktar målet med detta informationsutbyte som legitimt.

22.

Datatillsynsmannen noterar även att förslaget innehåller särskilda skyddsåtgärder för dataskydd i överensstämmelse med artikel 8.1–3 i direktiv 95/46/EG om skyddet för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, t.ex. a) uttryckligt samtycke av den sökande och/eller dennes ombud, b) omedelbart utplånande av uppgifter av den överförande medlemsstaten när överföringarna har genomförts och c) ”uppgifter om personers hälsotillstånd får endast behandlas av yrkesutbildad personal inom hälso- och sjukvården som i enlighet med nationell lagstiftning eller nationella regler som fastställts av behöriga nationella organ omfattas av sekretessplikt, eller av andra personer som omfattas av motsvarande krav på sekretess” (genomgått lämplig medicinsk utbildning). Han stöder även det faktum att utbytet kommer att ske endast via det säkra systemet ”DubliNet” och av de myndigheter som anmälts i förväg.

23.

Det sätt på vilket denna mekanism kommer att struktureras är av avgörande betydelse för hur väl den överensstämmer med systemet för dataskydd, särskilt med tanke på att informationsutbytet även kommer att omfatta mycket känsliga personuppgifter, till exempel uppgifter om ”eventuella särskilda behov hos den sökande som ska överföras, vilket i enskilda fall kan inbegripa uppgifter om vederbörandes fysiska och mentala hälsotillstånd”. I detta sammanhang stöder datatillsynsmannen fullständigt ett införande av artikel 36 i förslaget som tvingar medlemsstaterna att vidta nödvändiga åtgärder för att se till att varje missbruk av uppgifter (…) leder till påföljder, däribland administrativa och/eller straffrättsliga påföljder i enlighet med nationell rätt.

24.

Artikel 32 i kommissionens förslag reglerar informationsutbyte. Datatillsynsmannen bidrog i ett tidigare skede till denna bestämmelse och stöder den lydelse som kommissionen föreslår.

25.

Datatillsynsmannen betonar att det är viktigt att medlemsstaternas myndigheter utbyter information om de personer som använder nätet DubliNet. Detta gör det inte bara möjligt att sörja för en bättre säkerhet utan även att garantera bättre spårbarhet för transaktionerna. I detta avseende hänvisar datatillsynsmannen till det arbetsdokument från kommissionen av den 6 juni 2007 som åtföljde kommissionens rapport till Europaparlamentet och rådet om utvärdering av Dublinsystemet (9), i vilken kommissionen erinrar om att ”användningen av DubliNet alltid är obligatorisk, utom i de undantagsfall som anges i artikel 15.1 andra stycket” som det anges i kommissionens förordning (EG) nr 1560/2003 av den 2 september 2003 om tillämpningsföreskrifter till rådets förordning (EG) nr 343/2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett in i någon medlemsstat (10) (nedan kallad förordningen om tillämpningsföreskrifter för Dublinförordningen). Datatillsynsmannen påpekar att möjligheten att avvika från den användning av DubliNet som avses i den ovan nämnda artikel 15.1 bör tolkas restriktivt.

26.

Några bestämmelser har införts i förslaget eller fått ny lydelse för att säkerställa detta och datatillsynsmannen välkomnar alla dessa åtgärder. Till exempel har den nya artikel 33.4 omarbetats för att klarlägga att inte bara framställningar, utan även svar och all skriftlig korrespondens ska omfattas av reglerna för upprättande av säkra elektroniska överföringskanaler (anges i artikel 15.1 i förordningen om tillämpningsföreskrifter för Dublinförordningen). Vidare är avsikten med strykningen av punkt 2 i den nya artikel 38, som i sin tidigare textversion (artikel 25) tvingade medlemsstaterna att sända framställningar och svar ”på ett sådant sätt att mottagningsbevis erhålls” att klargöra att medlemsstaterna bör använda DubliNet även i detta avseende.

27.

Datatillsynsmannen noterar att relativt litet har reglerats inom ramen för Dublinsystemet när det gäller utbyte av personuppgifter. Även om vissa aspekter av utbytet redan har tagits upp i förordningen om tillämpningsföreskrifter för Dublinförordningen verkar den nuvarande förordningen inte omfatta alla aspekter på utbyte av personuppgifter, vilket är beklagligt (11).

28.

I detta sammanhang är det värt att nämna att frågan om utbyte av uppgifter om asylsökande också har varit föremål för diskussion inom samarbetsgruppen för tillsyn av Eurodac. Utan att förekomma resultaten av gruppens arbete önskar datatillsynsmannen redan i detta skede nämna att en av de möjliga rekommendationerna kan bli att man antar ett antal liknande bestämmelser som dem som man enats om i Schengens Sirene-handbok.

29.

Datatillsynsmannen stöder kommissionens förslag till förordning om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har gett in i någon medlemsstat. Han delar även förståelsen av orsakerna till varför det nuvarande systemet bör revideras.

30.

Datatillsynsmannen välkomnar att kommissionens förslag överensstämmer med andra rättsliga instrument som reglerar de komplicerade rättsliga ramarna på detta område.

31.

Datatillsynsmannen välkomnar den särskilda uppmärksamhet som har ägnats de grundläggande rättigheterna i förslaget, särskilt skyddet av personuppgifter. Han anser att denna strategi är en nödvändig förutsättning för en förbättring av Dublinförfarandet. Han riktar lagstiftarnas särskilda uppmärksamhet på de nya mekanismerna för utbyte av uppgifter som bland annat kommer att inbegripa mycket känsliga personuppgifter om asylsökande.

32.

Datatillsynsmannen önskar även hänvisa till det viktiga arbete som har gjorts på detta område av samordningsgruppen för tillsyn av Eurodac och anser att resultaten av gruppens arbete på ett värdefullt sätt kan bidra till en bättre utformning av systemets egenskaper.

33.

Datatillsynsmannen anser att vissa iakttagelser i detta yttrande kan utvecklas vidare när man ser hur det reviderade systemet genomförs i praktiken. Han önskar särskilt bidra till definitionen av de genomförandeåtgärder som gäller utbytet av uppgifter via DubliNet enligt punkterna 24–27 i detta yttrande.

23.9.2009   

SV

Europeiska unionens officiella tidning

C 229/6

1.

Förslaget till Europaparlamentets och rådets förordning om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EG) nr […/…] [om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har gett in i någon medlemsstat] (nedan kallat förslaget eller kommissionens förslag) översändes av kommissionen till Europeiska datatillsynsmannen för samråd den 3 december 2008 i enlighet med artikel 28.2 i förordning (EG) nr 45/2001. Detta samråd bör uttryckligen nämnas i ingressen till förordningen.

2.

Såsom nämns i motiveringen har Europeiska datatillsynsmannen bidragit till detta förslag i ett tidigare skede, och många av de punkter som datatillsynsmannen tog upp informellt har beaktats i den slutliga texten till kommissionens förslag.

3.

Rådets förordning (EG) nr 2725/2000/EG (3) av den 11 december 2000 om inrättande av Eurodac (nedan kallad Eurodacförordningen) trädde i kraft den 15 december 2000. Eurodac är ett itsystem som används i hela gemenskapen och som skapades för att underlätta tillämpningen av Dublinkonventionen. Målet med denna konvention var i sin tur att införa en tydlig och praktiskt genomförbar metod för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan. Dublinkonventionen har senare ersatts av en gemenskapsrättsakt, nämligen rådets förordning (EG) nr 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredjeland har gett in i någon medlemsstat (4) (nedan kallad Dublinförordningen). (5) Eurodac togs i drift den 15 januari 2003.

4.

Förslaget är en revidering av Eurodacförordningen och dess tillämpningsförordning, rådets förordning nr 407/2002/EG, och syftar bland annat till att

5.

Det bör även betonas att ett av huvudmålen med förslaget är att garantera större respekt för de mänskliga rättigheterna, särskilt skyddet av personuppgifter. I detta yttrande analyseras huruvida bestämmelserna i förslaget i tillräcklig grad uppfyller detta mål.

6.

Förslaget tar hänsyn till resultaten i kommissionens rapport om utvärderingen av Dublinsystemet från juni 2007 (nedan kallad utvärderingsrapporten), vilken omfattar de tre första åren då Eurodac var i drift (2003–2005).

7.

I kommissionens utvärderingsrapport konstateras att det system som inrättas enligt förordningen i allmänhet har genomförts på ett tillfredsställande sätt i medlemsstaterna, men man identifierar vissa frågor som rör de nuvarande bestämmelsernas effektivitet och belyser de problem som måste åtgärdas för att förbättra Eurodacsystemet och underlätta tillämpningen av Dublinförordningen. I rapporten framhålls särskilt att några medlemsstater fortfarande dröjer alltför länge med att översända fingeravtryck. Eurodacförordningen innehåller för närvarande bara en mycket vag tidsfrist för när fingeravtrycken ska översändas, vilket i praktiken ofta leder till fördröjningar. Denna fråga har stor betydelse för systemets effektivitet eftersom en fördröjd överföring kan leda till resultat som strider mot principerna om ansvarsfrågan enligt Dublinförordningen.

8.

I utvärderingsrapporten understryks det också att avsaknaden av en effektiv metod som medlemsstaterna kan använda för att upplysa varandra om den asylsökandes status i många fall leder till att uppgifter inte kan raderas på ett effektivt sätt. En medlemsstat som har lagt in uppgifter om en viss person i systemet är ofta omedveten om att en annan ursprungsmedlemsstat har raderat uppgifter om personen i fråga, och att den förstnämnda medlemsstaten alltså också borde radera sina uppgifter om vederbörande. Det är därför svårt att på ett tillfredsställande sätt slå vakt om principen att ”uppgifter ska förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in”.

9.

Enligt analysen i utvärderingsrapporten försvåras också kommissionens och Europeiska datatillsynsmannens övervakningsroll genom att det inte tydligt anges vilka nationella myndigheter som har tillgång till Eurodac.

10.

Med tanke på Europeiska datatillsynsmannens nuvarande roll som tillsynsmyndighet för Eurodac är han särskilt intresserad av kommissionens förslag och ett positivt resultat av översynen av Eurodacsystemet som helhet.

11.

Europeiska datatillsynsmannen noterar att förslaget innehåller olika aspekter som rör asylsökandes grundläggande rättigheter, såsom rätten till asyl, rätten till information i allmänhet och rätten till skydd av personuppgifter. Med tanke på Europeiska datatillsynsmannens uppdrag kommer detta yttrande emellertid huvudsakligen att inriktas på de dataskyddsfrågor som tas upp i den reviderade förordningen. I detta hänseende välkomnar Europeiska datatillsynsmannen att man i förslaget ägnar stor uppmärksamhet åt respekten för och skyddet av personuppgifter. Datatillsynsmannen vill betona att säkerställande av en hög skyddsnivå för personuppgifter och ett effektivare genomförande av denna skyddsnivå i praktiken bör betraktas som en förutsättning för att Eurodac ska fungera bättre.

12.

I detta yttrande diskuteras huvudsakligen följande ändringar av texten eftersom de är de mest relevanta för skyddet av personuppgifter:

13.

Europeiska datatillsynsmannen välkomnar att förslaget strävar efter överensstämmelse med andra rättsliga instrument som reglerar inrättande och/eller användning av andra storskaliga itsystem. I synnerhet överensstämmer ansvarsfördelningen i förhållande till databasen samt formuleringen av tillsynsmodellen i förslaget med rättsakterna om upprättande av Schengens informationssystem II (SIS II) och Informationssystemet för viseringar (VIS).

14.

Europeiska datatillsynsmannen noterar att förslaget överensstämmer med direktiv 95/46/EG och förordning nr 45/2001. I detta sammanhang välkomnar Europeiska datatillsynsmannen särskilt de nya skälen 17, 18 och 19, där det anges att direktiv 95/46/EG och förordning nr 45/2001 är tillämpliga då medlemsstaterna och de berörda gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter i enlighet med förslaget till förordning.

15.

Slutligen vill Europeiska datatillsynsmannen rikta uppmärksamheten på behovet av att sörja för fullständig överensstämmelse mellan Eurodacförordningen och Dublinförordningen och i detta yttrande ge mer exakt vägledning om denna överensstämmelse. Datatillsynsmannen noterar emellertid att denna fråga till viss del redan har tagits upp i förslaget, t.ex. i motiveringen där följande anges: ”För att skapa samstämmighet med Dublinförordningen (och med tanke på kraven på uppgiftsskydd, bl.a. principen om proportionalitet) bör lagringsperioden för uppgifter om tredjelandsmedborgare och statslösa personer vars fingeravtryck tagits upp i samband med att de olagligen passerat en medlemsstats yttre gräns vara lika med den period under vilken en medlemsstat ska vara ansvarig på grundval av dessa uppgifter enligt artikel 14.1 i Dublinförordningen, dvs. ett år”.

16.

Europeiska datatillsynsmannen välkomnar den tillsynsmodell som fastställs i förslaget samt de särskilda uppgifter som datatillsynsmannen tilldelas genom artiklarna 25 och 26 i förslaget. Enligt artikel 25 tilldelas Europeiska datatillsynsmannen två tillsynsuppgifter, nämligen att

I artikel 26 behandlas samarbetet mellan de nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen.

17.

Europeiska datatillsynsmannen noterar också att ansatsen i förslaget liknar den som används i SIS II och VIS, nämligen ett tillsynssystem med olika nivåer där nationella dataskyddsmyndigheter och Europeiska datatillsynsmannen övervakar den nationella nivån respektive EUnivån, med ett samarbetssystem mellan de två nivåerna. Samarbetsmodellen enligt förslaget återspeglar också nuvarande praxis, som har visat sig effektiv och som har främjat en nära samverkan mellan Europeiska datatillsynsmannen och de nationella dataskyddsmyndigheterna. Europeiska datatillsynsmannen välkomnar därför att denna formaliseras i förslaget och att lagstiftaren har sörjt för överensstämmelse med tillsynssystemen för andra storskaliga itsystem.

18.

Europeiska datatillsynsmannen noterar att förslaget inte tar upp frågan om huruvida en del av kommissionens uppgifter kan läggas ut på entreprenad till en annan organisation eller enhet (exempelvis ett privat företag). Kommissionen lägger emellertid ofta ut uppgifter på entreprenad i samband med förvaltningen och utvecklingen av både systemet och kommunikationsinfrastrukturen. Även om utläggande på entreprenad i sig inte strider mot dataskyddskraven, bör omfattande skyddsåtgärder införas för att säkerställa att tillämpligheten av förordning nr 45/2001, inklusive Europeiska datatillsynsmannens övervakning av dataskyddet, inte på något sätt påverkas av utläggandet på entreprenad. Dessutom bör ytterligare säkerhetsåtgärder av mer teknisk karaktär också antas.

19.

Europeiska datatillsynsmannen föreslår därför att rättsliga skyddsåtgärder liknande dem som avses i SIS IIrättsakterna bör föreskrivas i samband med översynen av Eurodacförordningen och att det bör anges att även när kommissionen överlåter förvaltningen av systemet på en annan myndighet ska detta ”inte inverka[…] negativt på någon av de kontrollmekanismer som följer av gemenskapsrätten, oavsett om de utgörs av domstolen, revisionsrätten eller europeiska datatillsynsmannen” (artikel 15.7 i SIS IIförordningen och SIS IIbeslutet).

20.

Bestämmelserna är ännu mer detaljerade i artikel 47 i SIS IIförordningen, där följande anges: ”Om kommissionen delegerar sitt ansvar till ett annat eller andra organ […] skall den försäkra sig om att den europeiska datatillsynsmannen har rätt och möjlighet att till fullo utföra sina uppgifter, inbegripet möjligheten att genomföra kontroller på plats eller att utöva andra befogenheter som ålagts den europeiska datatillsynsmannen enligt artikel 47 i förordning (EG) nr 45/2001”.

21.

Dessa bestämmelser klargör konsekvenserna av att lägga ut en del av kommissionens uppgifter på entreprenad till andra myndigheter. Europeiska datatillsynsmannen föreslår därför att bestämmelser med samma syfte ska läggas till i kommissionens förslag.

22.

I artikel 3.5 i förslaget behandlas förfarandet för att ta fingeravtryck. I bestämmelsen anges att ”[f]örfarandet för att ta fingeravtryck ska fastställas och tillämpas i enlighet med nationell praxis i den berörda medlemsstaten och i enlighet med de bestämmelser om skydd som anges i Europeiska unionens stadga om de grundläggande rättigheterna, i konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna och i Förenta nationernas konvention om barnets rättigheter”. I artikel 6 i förslaget föreskrivs att den lägsta åldersgränsen för att ta fingeravtryck av en sökande ska vara 14 år och att fingeravtrycken ska tas senast 48 timmar efter dagen för ansökan.

23.

När det gäller åldersgränsen betonar Europeiska datatillsynsmannen för det första att förslaget måste överensstämma med Dublinförordningen. Eurodacsystemet har upprättats för att se till att Dublinförordningen tillämpas effektivt. Detta betyder att om resultatet av den pågående översynen av Dublinförordningen påverkar hur den tillämpas på underåriga asylsökande, bör detta återspeglas i Eurodacförordningen. (6)

24.

För det andra, när det gäller fastställande av åldersgränser för fingeravtryck i allmänhet, vill Europeiska datatillsynsmannen påpeka att den för närvarande tillgängliga dokumentationen i huvudsak visar att fingeravtryckens tillförlitlighet för identifiering minskar med stigande ålder. Det är därför lämpligt att noga följa den undersökning om fingeravtryck som utförs i samband med genomförandet av VIS. Utan att föregripa resultatet av undersökningen vill Europeiska datatillsynsmannen redan nu betona att det är viktigt att använda alternativa metoder som fullt ut respekterar den mänskliga värdigheten i alla fall då det är omöjligt att ta fingeravtryck eller då resultaten skulle bli otillförlitliga.

25.

För det tredje noterar Europeiska datatillsynsmannen de ansträngningar som lagstiftaren har gjort för att se till att bestämmelserna om fingeravtryck uppfyller internationella och europeiska människorättskrav. Datatillsynsmannen vill emellertid peka på de svårigheter som uppstår i flera medlemsstater när det gäller att fastställa unga asylsökandes ålder. Asylsökande eller olagliga invandrare har ofta inga identitetshandlingar och för att avgöra om deras fingeravtryck bör tas måste deras ålder fastställas. De metoder som används för detta diskuteras livligt i de olika medlemsstaterna.

26.

I detta sammanhang vill Europeiska datatillsynsmannen påpeka att samarbetsgruppen för tillsyn av Eurodac (7) inledde en samordnad studie av denna fråga och resultatet av denna, som väntas under första halvåret 2009, bör göra det lättare att fastställa gemensamma förfaranden på detta område.

27.

Slutligen anser Europeiska datatillsynsmannen att det finns ett behov av att så långt det är möjligt förbättra samordningen och harmoniseringen av förfarandena för att ta fingeravtryck på EU–nivå.

28.

I artikel 4.1 i förslaget anges följande: ”Efter en övergångsperiod ska det operativa ansvaret för Eurodac övergå till en förvaltningsmyndighet, som ska finansieras genom Europeiska unionens allmänna budget. Förvaltningsmyndigheten ska i samarbete med medlemsstaterna se till att bästa möjliga teknik, med förbehåll för en kostnadsnyttoanalys, alltid används för det centrala systemet”. Även om Europeiska datatillsynsmannen välkomnar det krav som anges i artikel 4.1, vill han notera att uttrycket ”bästa tillgängliga teknik” i den ovannämnda bestämmelsen bör ersättas med lydelsen ”bästa tillgängliga tekniker”, vilket innefattar både den teknik som används och det sätt på vilket installationen är utformad och byggd samt underhålls och drivs.

29.

Artikel 9.1 i förslaget behandlar frågan om förtida radering av uppgifter. Enligt bestämmelsen är ursprungsmedlemsstaten skyldig att ur det centrala systemet radera ”uppgifter om en person som har erhållit medborgarskap i en medlemsstat före utgången av den period som avses i artikel 8” så snart som ursprungsmedlemsstaten får kännedom om att personen har erhållit ett sådant medborgarskap. Europeiska datatillsynsmannen välkomnar skyldigheten att radera uppgifterna eftersom den överensstämmer väl med principen om uppgifternas kvalitet. Dessutom anser Europeiska datatillsynsmannen att översynen av denna bestämmelse utgör ett tillfälle att uppmana medlemsstaterna att införa förfaranden som garanterar tillförlitlig och snabb (om möjligt automatisk) radering av uppgifter när en person erhåller medborgarskap i någon av medlemsstaterna.

30.

Vidare vill Europeiska datatillsynsmannen påpeka att artikel 9.2 om förtida radering bör omformuleras eftersom den föreslagna lydelsen är otydlig. Som en stilistisk kommentar föreslår Europeiska datatillsynsmannen att ordet ”it” i den engelska versionen ska ersättas med ordet ”they”.

31.

Artikel 12 i förslaget behandlar lagring av uppgifter. Europeiska datatillsynsmannen noterar att fastställandet av en ettårsperiod för lagring av uppgifter (i stället för två år i förordningens nuvarande lydelse) är en god tillämpning av principen om uppgifternas kvalitet, enligt vilken uppgifter inte bör bevaras längre än vad som är nödvändigt för att uppnå det syfte för vilket de behandlas. Detta är en välkommen förbättring av texten.

32.

Europeiska datatillsynsmannen välkomnar bestämmelsen där det föreskrivs att förvaltningsmyndigheten ska offentliggöra förteckningen över myndigheter som har tillgång till uppgifter i Eurodac. Detta kommer att bidra till ökad öppenhet och skapa ett praktiskt verktyg för bättre övervakning av systemet, t.ex. genom de nationella dataskyddsmyndigheterna.

33.

Artikel 21 i förslaget gäller register över all uppgiftsbehandling som sker inom det centrala systemet. I artikel 21.2 anges att sådana register uteslutande får användas för att övervaka uppgiftsskyddet med avseende på om behandlingen är tillåten […]. Det bör förtydligas att detta även innefattar egenrevision.

34.

Artikel 23.1 e i förslaget har följande lydelse:

”En person som omfattas av denna förordning ska av ursprungsmedlemsstaten […] informeras om följande […]:

35.

Europeiska datatillsynsmannen noterar att det faktiska genomförandet av rätten till information är av avgörande betydelse för att Eurodac ska fungera korrekt. Det är i synnerhet nödvändigt att se till att informationen lämnas på ett sådant sätt att de asylsökande fullständigt kan förstå sin situation och omfattningen av sina rättigheter, inklusive vilka processuella åtgärder de kan vidta för att följa upp de administrativa beslut som fattats i deras fall.

36.

När det gäller de praktiska aspekterna av tillämpningen av denna rättighet vill Europeiska datatillsynsmannen betona att även om de nationella tillsynsmyndigheterna är behöriga att pröva frågor om skydd av personuppgifter bör lydelsen i förslaget inte hindra sökanden (den registrerade) från att i första hand rikta en begäran till den dataregisteransvarige. I sin nuvarande lydelse verkar bestämmelsen i artikel 23.1 e innebära att sökanden bör lämna sin begäran – direkt och i varje enskilt fall – till den nationella tillsynsmyndigheten, medan standardförfarandet och praxis i medlemsstaterna är att sökanden först lämnar in sin ansökan till den dataregisteransvarige.

37.

Europeiska datatillsynsmannen föreslår också att lydelsen i artikel 23.1 e omformuleras för att klargöra sökandens rättigheter. Den förslagna lydelsen är oklar eftersom den kan tolkas som att ”rätten att få information om förfarandena för utövande av dessa rättigheter […]” ingår i rätten att få åtkomst till uppgifter och/eller rätten att begära att oriktiga uppgifter korrigeras […]. Dessutom ska medlemsstaterna enligt den nuvarande lydelsen i den ovannämnda bestämmelsen inte informera den person som omfattas av förordningen om innehållet i rättigheterna utan om att de finns. Eftersom det sistnämnda verkar vara en stilistisk fråga föreslår datatillsynsmannen att artikel 23.1 e omformuleras enligt följande:

”En person som omfattas av denna förordning ska av ursprungsmedlemsstaten […] informeras om […]:

38.

Enligt samma logik bör artikel 23.10 ändras på följande sätt: ”Den nationella tillsynsmyndigheten i varje medlemsstat ska, när så är lämpligt (eller: på den registrerades begäran), i enlighet med artikel 28.4 i direktiv 95/46/EG, bistå den registrerade med att utöva hans eller hennes rättigheter”. Europeiska datatillsynsmannen vill återigen betona att den nationella dataskyddsmyndigheten i princip inte ska behöva ingripa, utan den dataregisteransvarige bör uppmuntras till att vidta lämpliga åtgärder med anledning av den registrerades begäran. Detsamma gäller när myndigheter i olika medlemsstater behöver samarbeta. De dataregisteransvariga bör i första hand ha ansvaret för att behandla framställningar och att samarbeta i detta syfte.

39.

När det gäller artikel 23.9 välkomnar Europeiska datatillsynsmannen inte enbart själva syftet med bestämmelsen (enligt vilken användningen av ”särskilda sökningar” ska kontrolleras såsom dataskyddsmyndigheterna rekommenderade i sin första rapport om samordnade inspektioner), utan noterar också med tillfredsställelse det förfarande som föreslagits för att uppnå detta.

40.

Beträffande metoderna för att lämna information till sökandena hänvisar Europeiska datatillsynsmannen till det arbete som utförts av samarbetsgruppen för tillsyn av Eurodac. Gruppen behandlar för närvarande denna fråga inom ramen för Eurodac i syfte att ge lämplig vägledning så snart som resultaten av de nationella undersökningarna blir kända och har sammanställts.

41.

Europeiska datatillsynsmannen stöder förslaget till Europaparlamentets och rådets förordning om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av förordning (EG) nr […/…] om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har gett in i någon medlemsstat.

42.

Europeiska datatillsynsmannen välkomnar den tillsynsmodell som föreslås i förslaget samt den roll och de uppgifter han har tilldelats i det nya systemet. Den planerade modellen återspeglar nuvarande praxis som har visat sig effektiv.

43.

Europeiska datatillsynsmannen noterar att förslaget strävar efter överensstämmelse med andra rättsliga instrument som reglerar inrättande och/eller användning av andra storskaliga itsystem.

44.

Europeiska datatillsynsmannen välkomnar att respekten för de grundläggande rättigheterna, särskilt skydd av personuppgifter, ägnas stor uppmärksamhet i förslaget. Såsom också nämns i yttrandet om översynen av Dublinförordningen anser Europeiska datatillsynsmannen att denna ansats är en förutsättning för att asylförfarandena i Europeiska unionen ska kunna förbättras.

45.

Europeiska datatillsynsmannen framhåller att full överensstämmelse måste säkerställas mellan Eurodacförordningen och Dublinförordningen.

46.

Europeiska datatillsynsmannen konstaterar att det finns behov av bättre samordning och harmonisering på EUnivå av förfarandena för att ta fingeravtryck, vare sig det gäller asylsökande eller andra personer som omfattas av Eurodacförfarandet. Man bör särskilt uppmärksamma frågan om åldersgränser för fingeravtryck och i synnerhet de svårigheter som uppstår i flera medlemsstater när det gäller att fastställa unga asylsökandes ålder.

47.

Europeiska datatillsynsmannen insisterar på ett förtydligande av bestämmelserna om de registrerades rättigheter och betonar särskilt att de nationella dataregisteransvariga i första hand har ansvaret för att se till att dessa rättigheter tillämpas.

23.9.2009   

SV

Europeiska unionens officiella tidning

C 229/12

1.

Initiativet från Republiken Frankrike inför antagande av rådets beslut om användning av informationsteknik för tulländamål offentliggjordes i EUT den 5 februari 2009 (4). Datatillsynsmannen hade varken rådfrågats av den medlemsstat som lade fram initiativet eller av rådet. När Europaparlamentet skulle yttra sig om initiativet bad dock Europaparlamentets utskott för medborgerliga fri och rättigheter och inrikesfrågor datatillsynsmannen att lämna kommentarer till det franska initiativet i enlighet med artikel 41 i förordning (EG) nr 45/2001. Datatillsynsmannen har i liknande fall (5) yttrat sig på eget initiativ, men föreliggande yttrande måste också ses som ett svar på Europaparlamentets begäran.

2.

Enligt datatillsynsmannen bör det här yttrandet omnämnas i ingressen till rådets beslut, på samma sätt som hans yttrande omnämns i ett antal rättsliga instrument antagna på grundval av ett förslag från kommissionen.

3.

Även om en medlemsstat som tar initiativ till en lagstiftningsåtgärd enligt avdelning VI i EU-fördraget inte har någon rättslig skyldighet att rådfråga datatillsynsmannen, finns det inte något i tillämpliga bestämmelser som hindrar detta. Datatillsynsmannen beklagar att han i detta fall varken har rådfrågats av Republiken Frankrike eller av rådet.

4.

Då förslaget håller på att behandlas i rådet understryker datatillsynsmannen att kommentarerna i detta yttrande bygger på en version av förslaget som lades fram den 24 februari 2009 (5903/2/09 REV 2) och som finns utlagd på Europaparlamentets webbplats (6).

5.

Datatillsynsmannen ser ett behov av att själva initiativet samt vissa specifika artiklar och mekanismer motiveras bättre. Han beklagar att initiativet inte åtföljs av någon konsekvensbedömning eller motivering. Detta behövs för att öka öppenheten och, mer allmänt, höja kvaliteten i lagstiftningsprocessen. Motiveringar skulle också gör det lättare att bedöma ett antal framställningar i förslaget, exempelvis i fråga om det nödvändiga och berättigade i att ge Europol och Eurojust åtkomst till uppgifter i tullinformationssystemet.

6.

Datatillsynsmannen har beaktat yttrande 09/03 av den 24 mars 2009 från Gemensamma tillsynsmyndigheten för tullfrågor avseende utkastet till rådets beslut om användning av informationsteknik för tulländamål.

7.

De rättsliga ramarna för tullinformationssystemet (nedan kallat TIS) regleras för närvarande av instrument inom både första och tredje pelaren. De rättsliga ramar för tredje pelaren som reglerar systemet är framför allt konventionen av den 26 juli 1995 som utarbetats på grundval av artikel K 3 i fördraget om Europeiska unionen, om användning av informationsteknologi för tulländamål (nedan kallad TISkonventionen (7) och protokollen av den 12 mars 1999 och den 8 mars 2003.

8.

Nuvarande dataskyddsarrangemang innefattar tillämpningen av Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (nedan kallad Europarådets konvention 108). Dessutom är rådets rambeslut 2008/977/RIF om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (nedan kallade rambeslut 2008/977/RIF) tillämpligt på TIS i enlighet med förslaget.

9.

Den del av systemet som avser första pelaren regleras av rådets förordning (EG) nr 515/97 av den 13 mars 1997 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull och jordbrukslagstiftningen (8).

10.

TIS-konventionen syftar enligt artikel 2.2 i konventionen till att bistå med att förebygga, utreda och lagföra grova överträdelser av nationella lagar genom att påskynda informationsspridningen och därmed öka effektiviteten av samarbets och kontrollförfaranden hos tullmyndigheterna i medlemsstaterna.

11.

I enlighet med TIS-konventionen består tullinformationssystemet av en central databas och är åtkomligt via terminaler som placerats i varje medlemsstat. Andra viktiga inslag är de följande:

12.

Det franska initiativet, som bygger på artiklarna 30.1 a och 34.2 i fördraget om Europeiska unionen, syftar till att ersätta TIS-konventionen samt protokollet av den 12 mars 1999 och protokollet av den 8 mars 2003 så att de delar av systemet som avser tredje pelaren anpassas till instrumenten inom första pelaren.

13.

Förslaget innebär emellertid mer än att TIS-konventionen ersätts med ett rådsbeslut. Det ändrar många av konventionens bestämmelser och utvidgar det nuvarande tillämpningsområdet så att Europol och Eurojust ges åtkomst till uppgifter i TIS. Dessutom införlivar förslaget liknande bestämmelser om tullinformationssystemets funktion som finns i ovannämnda förordning (EG) nr 766/8008, exempelvis när det gäller inrättandet av ett register för identifiering av tullutredningar (kapitel VI).

14.

Förslaget beaktar också nya rättsliga instrument, såsom rambeslut 2008/977/RIF och rambeslut 2006/960/RIF av den 13 december 2006 om förenklat informations och underrättelseutbyte mellan de brottsbekämpande myndigheterna i Europeiska unionens medlemsstater (10).

15.

Förslaget syftar bland annat till att

16.

Syftet med tullinformationssystemet är i enlighet med artikel 1 i förslaget att bistå med att förebygga, utreda och beivra grova överträdelser av nationella lagar genom att göra informationen snabbare tillgänglig och därmed öka ändamålsenligheten i samarbets och kontrollförfarandena hos tullmyndigheterna i medlemsstaterna. Denna bestämmelse återspeglar i stor utsträckning artikel 2.2 i TIS-konventionen.

17.

För att detta mål ska kunna uppnås ska enligt förslaget användningen av uppgifterna i TIS utvidgas till att också omfatta sökningar i systemen och möjlighet till strategisk eller operativ analys. Datatillsynsmannen noterar utvidgningen av syftet, den utvidgade förteckningen över kategorier personuppgifter som ska samlas in och behandlas samt den utvidgade förteckningen över registrerade som har direkt åtkomst till uppgifter i TIS.

18.

Med tanke på datatillsynsmannens nuvarande roll som tillsynsmyndighet för den centrala delen av den del av TIS som avser första pelaren är han särskilt intresserad av initiativet och den nya utvecklingen angående dess innehåll i rådet. Datatillsynsmannen framhåller behovet av en sammanhållen och övergripande strategi som ska anpassa de delar av systemet som avser första och andra pelaren till varandra.

19.

Datatillsynsmannen noterar att förslaget omfattar olika aspekter som rör grundläggande rättigheter, särskilt skydd av personuppgifter samt rätt till information och andra rättigheter som den registrerade har.

20.

När det gäller den nuvarande dataskyddsordningen i TISkonventionen måste datatillsynsmannen nämna att ett antal av bestämmelserna i den nuvarande konventionen behöver ändras och fräschas upp, eftersom de inte längre uppfyller aktuella krav och normer på dataskyddsområdet. Datatillsynsmannen vill ta tillfället i akt att betona att en hög skyddsnivå för personuppgifter och ett effektivare genomförande i praktiken bör ses som viktiga förutsättningar för att tullinformationssystemets funktion ska kunna förbättras.

21.

Efter några allmänna anmärkningar kommer detta yttrande i huvudsak att ta upp följande frågor av relevans för skyddet av personuppgifter:

22.

Såsom nämndes i inledningen är datatillsynsmannen särskilt intresserad av den nya utvecklingen när det gäller den del av TIS som avser tredje pelaren, eftersom han redan har tillsyn över den centrala delen av den del som avser första pelaren i överensstämmelse med den nya förordning (EG) nr 766/2008 (11), för att säkerställa en korrekt tillämpning av tull och jordbrukslagstiftningen.

23.

Datatillsynsmannen vill här uppmärksamma lagstiftaren på att han i ett antal yttranden redan har kommenterat frågor som rör tillsynen av den del av TIS som avser första pelaren, särskilt yttrandet av den 22 februari 2007 (12).

24.

I detta yttrande betonade datatillsynsmannen att ”inrättandet och utvecklingen av olika instrument för att förstärka gemenskapens samarbete, t.ex. TIS, […] innebär en ökning av antalet personuppgifter som först kommer att samlas in och därefter utbytas mellan medlemsstaternas administrativa myndigheter och, i vissa fall, även med tredjeländer. De personuppgifter som behandlas och därefter sprids kan innehålla uppgifter om en persons påstådda eller bekräftade deltagande i förseelser på området tull eller jordbruksverksamhet. […] Dess betydelse ökar dessutom om man betänker typen av uppgifter som samlas in och sprids, särskilt misstankar om att personer deltar i förseelser, och det övergripande ändamålet med och resultatet av behandlingen.”

25.

Datatillsynsmannen framhåller att till skillnad från de ändringar som infördes i förordning (EG) nr 766/2008 i fråga om det instrument inom första pelaren som reglerar TIS, innebär förslaget en total översyn av TIS-konventionen, vilket ger lagstiftaren möjlighet att få en bättre helhetssyn på hela systemet, utifrån en konsekvent och övergripande strategi.

26.

Datatillsynsmannen anser att denna strategi även måste vara framåtblickande. Ny utveckling, såsom antagandet av rambeslut 2008/977/RIF och ett (eventuellt) framtida ikraftträdande av Lissabonfördraget, bör på lämpligt sätt övervägas och beaktas när det fattas ett beslut om själva innehållet i förslaget.

27.

Beträffande ikraftträdandet av Lissabonfördraget vill datatillsynsmannen uppmärksamma lagstiftaren på behovet av en ingående analys av vilka konsekvenser ett avskaffande av EU:s pelarstruktur skulle kunna få på TIS, eftersom det nuvarande systemet bygger vidare på en kombination av instrument inom första och tredje pelaren. Datatillsynsmannen beklagar att det inte ges någon förklarande information om denna viktiga framtida utveckling, som i hög grad skulle påverka de rättsliga ramar som kommer att reglera TIS i framtiden. Mer generellt frågar datatillsynsmannen om det inte skulle vara lämpligare att lagstiftaren väntar med revideringen till dess att Lissabonfördraget trätt i kraft, så att eventuell rättsosäkerhet kan undvikas.

28.

Datatillsynsmannen anser att ersättandet av hela TIS-konventionen också är ett bra tillfälle att se till att TIS stämmer överens med andra system och mekanismer som har utvecklats efter konventionens antagande. Datatillsynsmannen efterlyser också en tillsynsmodell som överensstämmer med andra rättsliga instrument, särskilt dem som inrättar SIS II och VIS.

29.

Datatillsynsmannen välkomnar att förslaget beaktar rambeslutet om skydd av personuppgifter eftersom utbytet av uppgifter mellan medlemsstaterna sker inom TIS. I artikel 20 i förslaget står det klart och tydligt att rambeslut 2008/977/RIF ska gälla för skydd vid utbyte av uppgifter i enlighet med detta beslut om inget annat anges i det här beslutet. Datatillsynsmannen noterar också att det i förslaget hänvisas till rambeslutet också i andra bestämmelser, t.ex. i artikel 4.5, där det slås fast att uppgifter som avses i artikel 6 i rambeslut 2008/977/RIF inte ska införas, i artikel 8 om användning av de uppgifter som erhålls från TIS för att uppnå det mål som avses i artikel 1.2 i beslutet, i artikel 22 i förslaget om individers rättigheter med avseende på personuppgifter i TIS och artikel 29 om ansvar och skyldigheter.

30.

Datatillsynsmannen anser att de begrepp och principer som fastställs i detta rambeslut lämpar sig för TIS och därför bör tillämpas, både av rättssäkerhetsskäl och för samstämmigheten mellan rättsordningarna.

31.

Trots detta betonar datatillsynsmannen att lagstiftaren bör ge nödvändiga garantier för att det i avvaktan på ett fullständigt genomförande av rambeslut 2008/977/RIF inte finns några kryphål i dataskyddssystemet. Med andra ord vill datatillsynsmannen understryka att han är för ett upplägg där nödvändiga och adekvata skyddsåtgärder inrättas innan det sker något nytt utbyte av uppgifter.

32.

För att tullinformationssystemet ska kunna fungera på ett korrekt sätt är det enligt datatillsynsmannen mycket viktig att rätten till uppgiftsskydd och information tillämpas effektivt. Dataskyddsåtgärder behövs inte bara för att effektivt skydda individer upptagna i TIS, utan bör också kunna göra det lättare att få systemet att fungera på ett korrekt sätt och effektivare.

33.

Datatillsynsmannen uppmärksammar lagstiftaren på att behovet av starka och effektiva dataskyddsåtgärder blir ännu tydligare om man tänker på att TIS är en databas som bygger på ”misstankar” snarare än på fällande domar eller andra rättsliga eller administrativa avgöranden. Detta återspeglas i artikel 5 i förslaget, där det fastställs att ”[u]ppgifter i de kategorier som avses i artikel 3 ska införas i tullinformationssystemet endast för observation och rapportering, diskret övervakning, särskilda kontroller och strategisk eller operativ analys. För de föreslagna åtgärderna […] får personuppgifter […]införas i tullinformationssystemet endast om det, särskilt på grundval av tidigare illegal verksamhet, finns faktiska tecken som tyder på att den berörda personen har gjort, gör eller kommer att göra sig skyldig till grova överträdelser av nationella lagar.” Med tanke på tullinformationssystemets särdrag krävs enligt förslaget välavvägda, effektiva och förbättrade åtgärder för skydd av personuppgifter och kontrollmekanismer.

34.

När det gäller specifika bestämmelser i förslaget om skydd av personuppgifter noterar datatillsynsmannen lagstiftarens ansträngningar för att få till stånd fler skyddsåtgärder än vad TIS-konventionen medger. Datatillsynsmannen känner dock fortfarande ett behov av att föra fram ett antal allvarliga betänkligheter som rör bestämmelserna om uppgiftsskydd, särskilt tillämpningen av principen om ändamålsbegränsning.

35.

Det bör i detta sammanhang också nämnas att datatillsynsmannens anmärkningar i detta yttrande inte bara gäller bestämmelser som ändrar eller utvidgar tillämpningsområdet för TIS-konventionen, utan också de delar som är tagna från den nuvarande konventionstexten. Såsom nämnts i de allmänna anmärkningarna beror detta på att vissa bestämmelser i konventionen enligt datatillsynsmannen inte längre verkar uppfylla nuvarande dataskyddskrav, och det franska initiativet ger ett lämpligt tillfälle att på nytt diskutera hela systemet och se till att man har en lämplig dataskyddsnivå som motsvarar den som finns inom den del av systemet som avser första pelaren.

36.

Datatillsynsmannen välkomnar att endast en fast och uttömmande förteckning över personuppgifter får tas med i TIS. Han välkomnar också att förslaget innebär att definitionen av termen personuppgifter utvidgas i förhållande till TIS-koventionen. Med personuppgifter avses enligt artikel 2.2 i förslaget varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade); en identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet.

37.

Ett exempel på bestämmelser som väcker allvarliga farhågor på dataskyddsområdet är artikel 8 i förslaget, där det fastställs att medlemsstaterna endast får använda de uppgifter som de erhåller från tullinformationssystemet för att uppnå det mål som avses i artikel 1.2. De får dock använda dem för administrativa eller andra ändamål med föregående tillstånd från den medlemsstat som infört uppgifterna i systemet och om inte annat följer av de villkor som angetts av denna medlemsstat. En sådan användning för andra ändamål ska vara förenlig med lagar, bestämmelser och förfaranden i den medlemsstat som önskar använda uppgifterna i enlighet med artikel 3.2 i rambeslut 2008/977/RIF. Denna bestämmelse om användningen av uppgifter som erhålls från TIS är väsentlig för systemets struktur och kräver därför särskild uppmärksamhet.

38.

I artikel 8 i förslaget görs en hänvisning till artikel 3.2 i rambeslut 2008/977/RIF som behandlar principerna om lagenlighet, proportionalitet och ändamål. I artikel 3 i rambeslutet fastställs följande:

”1.   De behöriga myndigheterna får inom ramen för sina uppgifter samla in personuppgifter endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får endast behandlas för det ändamål som låg till grund för insamlingen av dem. Behandlingen av uppgifterna ska vara lagenlig och adekvat, relevant och inte orimlig i förhållande till det ändamål för vilket de samlades in.

2.   Vidare behandling för ett annat ändamål är tillåten om

39.

Trots tillämpningen av artikel 3.2 i rambeslut 2008/977/RIF om allmänna villkor där behandling för ett annat ändamål kan tillåtas, vill datatillsynsmannen påpeka att bestämmelsen i artikel 8 i förslaget genom att tillåta användning av TIS-uppgifter för eventuella administrativa eller andra ändamål, som inte anges i förslaget, väcker farhågor om överensstämmelsen med dataskyddskraven, särskilt principen om ändamålsbegränsning. Dessutom tillåter inte instrument inom första pelaren en sådan allmän användning. Datatillsynsmannen vill därför se att ändamål för vilka uppgifterna får användas specificeras. Detta är i dataskyddshänseende mycket viktigt, eftersom det rör huvudprinciperna för användningen av uppgifter i storskaliga system: uppgifter bör endast användas för väldefinierade och tydligt avgränsade ändamål som regleras av rättsliga ramar.

40.

Artikel 8.4 i förslaget behandlar uppgifter som ska överföras till tredjeländer eller internationella organisationer. Enligt denna bestämmelse får ”uppgifter som erhålls från tullinformationssystemet […], med föregående tillstånd av den medlemsstat som infört uppgifterna i systemet och om inte annat följer av de villkor som denna stat angett, överföras […] till tredjeländer och till internationella eller regionala organisationer som vill använda dem. Varje medlemsstat ska vidta särskilda åtgärder för att garantera dessa uppgifters säkerhet när de överförs till organ som är belägna utanför dess territorium. En redogörelse för dessa åtgärder skall meddelas den gemensamma tillsynsmyndighet som avses i artikel 25.”

41.

Datatillsynsmannen konstaterar att artikel 11 i rambeslutet om skydd av personuppgifter är tillämplig i detta sammanhang. Det bör dock betonas att de garantier som ingår i bestämmelsen i artikel 8.4 i beslutet, på grund av att tillämpningen av den bestämmelsen är av mycket allmän karaktär och i princip gör det möjligt för medlemsstaterna att överföra uppgifter som erhållits från TIS till tredjeländer och till internationella eller regionala organisationer som vill använda dem, är långt ifrån tillräckliga vad beträffar skydd av personuppgifter. Datatillsynsmannen vill att artikel 8.4 tas under omprövning så att man kan säkerställa ett enhetligt system för att bedöma tillräckligheten genom en lämplig mekanism; den kommitté som avses i artikel 26 i förslaget skulle exempelvis kunna delta i denna bedömning.

42.

Datatillsynsmannen noterar med tillfredsställelse bestämmelserna om ändring av uppgifter (kapitel IV, artikel 13) som är ett viktigt inslag i principen om uppgifternas kvalitet. Han välkomnar särskilt den i förhållande till TIS-konventionen utvidgade och ändrade räckvidden för denna bestämmelse, som nu också omfattar rättelse och radering av uppgifter. Enligt artikel 13.2 ska till exempel en uppgiftslämnande medlemsstat eller Europol, om de upptäcker eller uppmärksammas på att de uppgifter som de har infört är oriktiga i sak eller har införts eller lagrats i strid med detta beslut, ändra, komplettera, rätta eller radera dessa uppgifter, beroende på vad som är lämpligt, och underrätta de andra medlemsstaterna och Europol om detta.

43.

Datatillsynsmannen noterar bestämmelserna i kapitel V om bevarande av uppgifter som huvudsakligen bygger på TISkonventionen och bland annat fastställer tidsfrister för bevarande av uppgifter som kopierats från TIS.

44.

Kapitel IX (Skydd av personuppgifter) återspeglar många av bestämmelserna i TIS-konventionen. Det finns dock en viktig ändring, nämligen tillämpningen i rambeslutet om skydd av personuppgifter på TIS och att det i artikel 22 i förslaget står att ”[i]ndividers rättigheter med avseende på personuppgifter i tullinformationssystemet, särskilt deras rätt till tillgång till uppgifterna, till rättelse, radering eller blockering ska utövas i överensstämmelse med lagar, bestämmelser och förfaranden i den medlemsstat som genomför rambeslut 2008/977/RIF där dessa rättigheter åberopas.” Datatillsynsmannen vill här särskilt framhålla hur viktigt det är att behålla ett förfarande där de registrerade kan åberopa sina rättigheter och begära åtkomst till uppgifter i alla medlemsstater. Datatillsynsmannen kommer att titta närmare på den praktiska tillämpningen av denna för de registrerade mycket viktiga rättighet.

45.

Förslaget utvidgar också TIS-konventionens räckvidd i fråga om förbudet att kopiera uppgifter från TIS till andra nationella dataregister. I artikel 14.2 i TIS-konventionen står det uttryckligen att personuppgifter som införts av andra medlemsstater inte får kopieras från tullinformationssystemet till andra nationella dataregister. Enligt artikel 21.3 i förslaget får en sådan kopiering endast förekomma ”för kopior i sådana system för riskanalys som används för att målstyra nationella tullkontroller eller kopior i system för operativ analys som används för att samordna åtgärder.” Med hänsyn till detta ställer datatillsynsmannen sig bakom påpekandena i yttrande 09/03 från Gemensamma tillsynsmyndigheten för tullfrågor, särskilt i fråga om termen system för riskanalys och behovet av att närmare bestämma när och på vilka villkor som den kopiering som avses i artikel 21.3 skulle vara möjlig.

46.

Datatillsynsmannen välkomnar säkerhetsbestämmelserna, som är mycket betydelsefulla för att TIS ska kunna fungera på ett effektivt sätt (kapitel XII).

47.

Förslaget innehåller ytterligare bestämmelser om registret för identifiering av tullutredningar (artiklarna 16–19). Detta återspeglar inrättandet av ett register för identifiering av tullutredningar inom det instrument som avser första pelaren. Datatillsynsmannen ifrågasätter inte behovet av sådana nya databaser inom TIS, men betonar behovet av lämpliga dataskyddsåtgärder. Han välkomnar i detta sammanhang att det undantag som föreskrivs i artikel 21.3 inte ska tillämpas på registren för identifiering av tullutredningar.

48.

Enligt förslaget får Europeiska polisbyrån (Europol) och Europeiska enheten för rättsligt samarbete (Eurojust) åtkomst till uppgifter i systemet.

49.

Datatillsynsmannen betonar först och främst att åtkomstens syfte klart måste definieras och att det måste göras en bedömning av proportionaliteten och nödvändigheten av att åtkomsten utvidgas. Det finns ingen information om varför det är nödvändigt att också låta Europol och Eurojust få åtkomst till uppgifter i systemet. Han betonar också att när åtkomsten till databaser, funktioner och behandling av personuppgifter står på spel finns det ett tydligt behov av att i förväg utvärdera inte bara åtkomstens ändamålsenlighet utan också den verkliga och dokumenterade nödvändigheten av ett sådant förslag. Datatillsynsmannen framhåller att skälen inte har motiverats.

50.

Datatillsynsmannen vill också att det i texten klart framgår exakt för vilka uppdrag som Europol och Eurojust kan få utkomst till uppgifter.

51.

Enligt artikel 11 har Europol rätt att inom ramen för sitt mandat och för att fullgöra sina uppgifter få åtkomst till de uppgifter som införts i TIS, att direkt söka i dem och att föra in uppgifter i nämnda system.

52.

Datatillsynsmannen välkomnar de begränsningar som har införts i förslaget, särskilt

53.

Datatillsynsmannen vill också nämna att man överallt i förslaget där Europolkonventionen nämns bör beakta det rådsbeslut där det fastställs att Europol med verkan från och med den 1 januari 2010 ska bli en EU-byrå.

54.

Artikel 12 i förslaget tar upp Eurojusts åtkomst till uppgifter i TIS. Där fastställs att om inte annat följer av kapitel IX har de nationella medlemmarna och deras biträdande medlemmar rätt att inom ramen för sitt mandat och för att fullgöra sina uppgifter få åtkomst till de uppgifter som införts i TIS i enlighet med artiklarna 1, 3, 4, 5 och 6 och att söka i dem. Förslaget föreskriver liknande mekanismer i fråga om samtycke för den medlemsstat som fört in uppgifterna som dem som planeras för Europol. Det ovannämnda gäller också för Eurojust, nämligen behovet av att motivera nödvändigheten att ge åtkomst till uppgifter och att sätta upp adekvata och nödvändiga begränsningar om sådan åtkomst beviljas.

55.

Datatillsynsmannen välkomnade att åtkomsten till uppgifter i TIS begränsas till att endast gälla nationella medlemmar, deras suppleanter och deras biträdande medlemmar. Datatillsynsmannen konstaterar dock att det i artikel 12.1 endast är tal om nationella medlemmar och deras biträdande medlemmar, medan suppleanter till de nationella medlemmarna också nämns i andra punkter i artikel 12. Lagstiftaren bör se till att klarhet och konsekvens råder i detta fall.

56.

I anslutning till den föreslagna tillsynen över den del av TIS som avser tredje pelaren vill datatillsynsmannen fästa lagstiftarens uppmärksamhet på att det måste finnas en konsekvent och övergripande tillsyn över hela systemet. De komplexa rättsliga ramar som reglerar TIS, med en dubbel rättslig grund, bör tas i beaktande, och två olika tillsynsmodeller bör undvikas, både av rättssäkerhetsskäl och praktiska skäl.

57.

Såsom tidigare nämnts i detta yttrande utövar datatillsynsmannen för närvarande tillsyn över den centrala delen av den del av systemet som avser första pelaren. Detta är i enlighet med artikel 37 i rådets förordning (EG) nr 515/97, ändrad genom förordning (EG) nr 766/2008, som slår fast att Europeiska datatillsynsmannen ska kontrollera att TIS överensstämmer med förordning (EG) nr 45/2001. Datatillsynsmannen konstaterar att den tillsynsmodell som Frankrike föreslår inte tar hänsyn till denna roll. Tillsynsmodellen bygger på den roll som Gemensamma tillsynsmyndigheten för TIS spelar.

58.

Datatillsynsmannen uppskattar det arbete som utförts av Gemensamma tillsynsmyndigheten för TIS, men framhåller två skäl till varför en samordnad tillsynsmodell som överensstämmer med hans nuvarande tillsynsuppgifter inom andra storskaliga system bör tillämpas. För det första skulle en sådan modell garantera den inre överensstämmelsen mellan de delar inom systemet som avser första och tredje pelaren. För det andra skulle den också överensstämma med modeller som inrättats inom andra storskaliga system. Därför föreslår datatillsynsmannen att man för TIS som helhet använder en liknande modell som den som användes inom SIS II (”samordnad tillsyn” eller ”modell i flera nivåer”). Såsom nämns i datatillsynsmannens yttrande om den del av TIS som avser första pelaren har den europeiska lagstiftaren när det gäller SIS II valt att rationalisera tillsynsmodellen genom att använda samma modell i flera nivåer som den som beskrivs ovan när det gäller såväl den första som den tredje pelaren i systemet.

59.

Datatillsynsmannen anser att den lämpligaste lösningen på detta problem skulle vara att införa ett enhetligare tillsynssystem, den redan beprövade modell som bygger på en struktur med tre nivåer: dataskyddsmyndigheter på nationell nivå, datatillsynsmannen på central nivå och en samordning mellan dessa båda. Datatillsynsmannen är övertygad om att ersättandet av TIS-konventionen är ett unikt tillfälle att förenkla tillsynen och få den att bli mer sammanhållen, helt i linje med andra storskaliga system (VIS, SIS II, Eurodac).

60.

Slutligen tar en samordnad tillsynsmodell också bättre hänsyn till de ändringar som Lissabonfördragets ikraftträdande och avskaffandet av EU:s pelarstruktur kommer att medföra.

61.

Datatillsynsmannen tar inte ställning i frågan om införandet av en samordnad tillsynsmodell skulle kräva en ändring av det instrument inom första pelaren som reglerar TIS, dvs. förordning (EG) nr 766/2008, men uppmärksammar lagstiftaren på behovet av att analysera denna aspekt, också när det gäller rättslig konsekvens.

62.

Enligt artikel 7.2 ska varje medlemsstat till de övriga medlemsstaterna och till den kommitté som avses i artikel 26 översända en förteckning över de behöriga myndigheter som utsetts och som är behöriga att ha direkt åtkomst till TIS, och i fråga om varje myndighet precisera till vilka uppgifter denna kan få åtkomst och för vilka ändamål.

63.

Datatillsynsmannen påpekar att förslaget endast slår fast att information om de myndigheter som har åtkomst till uppgifter i TIS bör utbytas mellan medlemsstaterna och att de bör informera den kommitté som avses i artikel 26, men att det inte är aktuellt att offentliggöra någon sådan förteckning över myndigheter. Detta är beklagligt, eftersom ett sådant offentliggörande skulle bidra till en större öppenhet och skapa ett praktiskt verktyg för effektiv tillsyn över systemet, t.ex. av behöriga dataskyddsmyndigheter.

64.

Datatillsynsmannen stöder förslaget till rådets beslut om informationsteknik för tulländamål. Han betonade att hans kommentarer inte bygger på den slutliga texten av förslaget med tanke på det pågående lagstiftningsarbetet i rådet.

65.

Han beklagar att det saknas förklarande dokument som skulle kunna ge de klargöranden och den information som behövs om några av bestämmelsernas syften och specificitet.

66.

Datatillsynsmannen skulle vilja se att förslaget i större utsträckning tar upp behovet av specifika dataskyddsåtgärder. Han anser att det finns ett antal frågor där det bättre skulle kunna sörjas för det praktiska genomförandet av dataskyddsåtgärderna, särskilt tillämpningen av ändamålsbegränsningen när det gäller användningen av de uppgifter som förs in i TIS. Datatillsynsmannen anser att detta är en viktig förutsättning för att tullinformationssystemet ska kunna förbättras.

67.

Datatillsynsmannen vill se att en samordnad tillsynsmodell tas med i förslaget. Det bör noteras att datatillsynsmannen för närvarande har till uppgift att utöva tillsyn över den del av systemet som avser första pelaren. Han betonar att det av enhetlighets och konsekvensskäl är bäst att den samordnade tillsynsmodellen också tillämpas på den del av systemet som avser tredje pelaren. Denna modell skulle där så är nödvändigt och lämpligt sörja för konsekvens med andra rättsliga instrument som reglerar inrättandet av andra storskaliga itsystem.

68.

Datatillsynsmannen efterlyser ett klargörande av om det är nödvändigt och proportionerligt att Eurojust och Europol ges åtkomst till uppgifter. Han betonar att det i förslaget saknas förklarande information i denna fråga.

69.

Datatillsynsmannen håller också fast vid att bestämmelsen i artikel 8.4 i förslaget om överföring av uppgifter till tredjeländer eller internationella organisationer måste stärkas. Detta omfattar behovet av att säkerställa ett enhetligt system för att bedöma lämpligheten.

70.

Datatillsynsmannen efterlyser en bestämmelse om offentliggörande av en förteckning över myndigheter som har åtkomst till uppgifter i TIS, så att öppenheten ökas och tillsynen över systemet underlättas.

23.9.2009   

SV

Europeiska unionens officiella tidning

C 229/19

1.

Den 10 december 2008 antog kommissionen två förslag om ändring av förordning (EG) nr 726/2004 respektive direktiv 2001/83/EG. (3) Förordning (EG) nr 726/2004 inrättar gemenskapsförfaranden för godkännande av och tillsyn över humanläkemedel och veterinärmedicinska läkemedel samt om inrättande av en europeisk läkemedelsmyndighet (nedan kallad EMEA). (4) Direktiv 2001/83/EG innehåller bestämmelser om gemenskapsregler för humanläkemedel och tar upp specifika processer på medlemsstatsnivå. (5) De föreslagna ändringarna avser de delar i båda rättsakterna som rör säkerhetsövervakning av humanläkemedel.

2.

Säkerhetsövervakning kan definieras som vetenskapen och verksamheten rörande upptäckt, bedömning, förståelse och förebyggande av läkemedelsbiverkningar. (6) Det system för säkerhetsövervakning som för närvarande har inrättats i Europa gör det möjligt för patienter och hälso och sjukvårdspersonal att rapportera om biverkningar till behöriga offentliga och privata organ som är aktiva på såväl nationell som europeisk nivå. EMEA ansvarar för en EU-täckande databas (databasen EudraVigilance) som en central punkt för hantering och rapportering av misstänkta biverkningar.

3.

Säkerhetsövervakning anses vara ett nödvändigt komplement till det gemenskapssystem för godkännande av läkemedel som inrättades 1965 när rådet antog direktiv 65/65/EEG. (7)

4.

Enligt den motivering och konsekvensbedömning som bifogas förslagen lider det nuvarande systemet för säkerhetsövervakning av vissa svagheter, bl.a. brist på klarhet om de olika berörda parternas roll och ansvar, komplicerade förfaranden för rapportering av biverkningar, behovet av bättre öppenhet och information i frågor som rör läkemedelssäkerhet och behovet av att rationalisera planeringen av läkemedelsriskhanteringen.

5.

Den allmänna avsikten med de båda förslagen är att åtgärda dessa svagheter och att förbättra och förstärka gemenskapens system för säkerhetsövervakning med det övergripande syftet att skydda folkhälsan bättre, säkerställa att den inre marknaden fungerar korrekt och förenkla nuvarande regler och förfaranden. (8)

6.

Det sätt som det nuvarande systemet för säkerhetsövervakning fungerar på är beroende av behandlingen av personuppgifter. Dessa uppgifter ingår i rapporteringen om biverkningar och kan betraktas som uppgifter som rör de berörda personernas hälsa (”hälsouppgifter”), eftersom de avslöjar information om läkemedelsanvändning och tillhörande hälsoproblem. Behandling av sådana uppgifter är underställd stränga dataskyddsregler enligt artikel 10 i förordning (EG) nr 45/2001 och artikel 8 i direktiv 96/46/EG. (9) Europeiska domstolen för de mänskliga rättigheterna har nyligen upprepade gånger understrukit vikten av att skydda sådana uppgifter i enlighet med artikel 8 i den europeiska konventionen om de mänskliga rättigheterna: ”Skyddet av personuppgifter, särskilt hälsouppgifter, är av grundläggande betydelse för en persons åtnjutande av sin rätt till skydd för privat- och familjeliv i enlighet med artikel 8 i konventionen”. (10)

7.

Trots detta har det inte införts någon hänvisning till dataskydd i den nuvarande texten till förordning (EG) nr 726/2004 och direktiv 2001/83/EG, förutom en specifik hänvisning i förordningen, som kommer att diskuteras nedan i punkt 21 och följande punkter.

8.

Europeiska datatillsynsmannen (”datatillsynsmannen”) beklagar att dataskyddsaspekterna inte har beaktats i de föreslagna ändringarna och att han inte formellt hördes om de båda förslagen till ändringar enligt artikel 28.2 i förordning (EG) nr 45/2001. Detta yttrande grundar sig därför på artikel 41.2 i samma förordning. Datatillsynsmannen rekommenderar att en hänvisning till detta yttrande införs i ingressen i båda förslagen.

9.

Datatillsynsmannen noterar att den praktiska tillämpningen av det centrala gemenskapssystemet EudraVigilance klart väcker frågor om dataskydd, även om dataskyddet inte har beaktats tillräckligt, varken i den nuvarande rättsliga ramen för säkerhetsövervakning eller i förslagen, EMEA anmälde det nuvarande systemet EudraVigilance till datatillsynsmannen i juni 2008 för en förhandskontroll på grundval av artikel 27 i förordning (EG) nr 45/2001.

10.

Detta yttrande och datatillsynsmannens slutsatser om förhandskontroll (som väntas offentliggöras senare i år) kommer nödvändigtvis att innehålla vissa överlappningar. De båda instrumenten har emellertid olika inriktningar: Medan detta yttrande är koncentrerat till den allmänna rättsliga ram som stöder det system som följer av förordning (EG) nr 726/2004 och direktiv 2001/83/EG och de föreslagna ändringarna, består förhandskontrollen av en detaljerad dataskyddsanalys som koncentreras till hur de nuvarande reglerna har vidareutvecklats i efterföljande instrument (t.ex. beslut och riktlinjer) som utfärdats av EMEA eller gemensamt av kommissionen och EMEA och hur systemet EudraVigilance fungerar i praktiken.

11.

Detta yttrande kommer först att i enkla ordalag förklara systemet för säkerhetsövervakning i EU, såsom det följer av förordning (EG) nr 726/2004 och direktiv 2001/83/EG i deras nuvarande lydelse. Sedan kommer nödvändigheten av att behandla personuppgifter i samband med säkerhetsövervakning att analyseras. Därefter kommer kommissionens förslag till förbättring av den nuvarande och planerade rättsliga ramen att diskuteras och rekommendationer att lämnas om hur man säkerställer och förbättrar dataskyddsnormerna.

12.

Flera aktörer är engagerade i insamling och spridning av information om läkemedelsbiverkningar i Europeiska unionen. På nationell nivå är de viktigaste aktörerna innehavarna av godkännandet för försäljning (företag som har tillstånd att släppa ut läkemedel på marknaden) och nationella behöriga myndigheter (myndigheter som ansvarar för försäljningsgodkännandet). Nationella behöriga myndigheter godkänner produkter genom nationella förfaranden, vilket inbegriper ett ”förfarande för ömsesidigt erkännande” och det ”decentraliserade förfarandet”. (11) För de produkter som godkänns genom det s.k. centraliserade förfarandet kan Europeiska kommissionen även uppträda som behörig myndighet. En annan viktig aktör på europeisk nivå är EMEA. En av denna myndighets uppgifter är att säkerställa spridning av information om biverkningar av läkemedel som är godkända i gemenskapen med hjälp av en databas, nämligen den tidigare nämnda databasen EudraVigilance.

13.

Direktiv 2001/83/EG anger i allmänna termer medlemsstaternas ansvar för att upprätta ett system för säkerhetsövervakning där information samlas in som är ”av betydelse för säkerhetsövervakningen” (artikel 102). På grundval av artiklarna 103 och 104 i direktiv 2001/83/EG (se även artiklarna 23 och 24 i förordning (EG) nr 726/2004) måste innehavarna av godkännandet för försäljning ha infört egna system för säkerhetsövervakning för att påta sig ansvar och skyldigheter för sina produkter på marknaden och säkerställa att lämpliga åtgärder vidtas vid behov. Information samlas in direkt från hälso och sjukvårdspersonal eller patienter. Innehavaren av godkännandet för försäljning måste rapportera all information som rör risk/nyttaförhållandet för ett läkemedel elektroniskt till den behöriga myndigheten.

14.

Direktiv 2001/83/EG är i sig inte särskilt exakt när det gäller vilket slags information om biverkningar som bör samlas in på nationell nivå, hur den bör lagras eller hur den bör meddelas. Artiklarna 104 och 106 hänvisar endast till ”rapporter” som måste utarbetas. Mer detaljerade regler om dessa rapporter finns i de riktlinjer som kommissionen utformat efter samråd med EMEA, medlemsstaterna och berörda parter på grundval av artikel 106. I dessa riktlinjer för säkerhetsövervakning av humanläkemedel (nedan kallade ”riktlinjerna”) hänvisas det till s.k. enskilda biverkningsrapporter, som är rapporter om läkemedelsbiverkningar hos en enskild patient. (12) Av riktlinjerna framgår det att en sak i den minimiinformation som krävs i de enskilda biverkningsrapporterna är ”en identifierbar patient”. (13) Det anges att patienten får identifieras genom initialer, patientnummer, födelsedatum, vikt, längd och kön, sjukhusregistreringsnummer, information om patientens sjukdomshistoria och information om patientens föräldrar. (14)

15.

Genom att framhäva patientens identifierbarhet hamnar behandlingen av denna information klart inom området för dataskyddsreglerna i direktiv 95/46/EG. Även om patienten inte nämns vid namn, är det faktiskt möjligt att identifiera honom eller henne under särskilda förhållanden och genom att sammanställa olika delar av informationen (t.ex. sjukhus, födelsedatum, initialer) (t.ex. i slutna kretsar, på mindre orter). Därför bör i princip den information som behandlas i samband med säkerhetsövervakning anses avse en identifierbar fysisk person enligt artikel 2 a i direktiv 95/46/EG. (15) Även om detta inte klargörs varken i förordningen eller direktivet, erkänns detta i riktlinjerna, där det anges att ”informationen ska vara så fullständig som möjligt med beaktande av EU:s dataskyddslagstiftning.” (16)

16.

Det måste understrykas att rapporteringen om biverkningar på nationell nivå trots riktlinjerna är långt ifrån enhetlig. Detta kommer att diskuteras vidare i punkterna 24 och 25.

17.

EMEA ansvarar för databasen EudraVigilance, som spelar en väsentlig roll i EU:s system för säkerhetsövervakning. Som redan nämnts är EudraVigilance ett centraliserat databehandlingsnät och ett hanteringssystem för rapportering och utvärdering av misstänkta biverkningar under utvecklingen av läkemedel och efter godkännandet av försäljning av dem inom Europeiska gemenskapen och i de länder som ingår i Europeiska ekonomiska samarbetsområdet. Den rättsliga grunden för databasen EudraVigilance återfinns i artikel 51.1 d i förordning (EG) nr 726/2004.

18.

Den nuvarande databasen EudraVigilance består av två delar, nämligen (1) information som följer av kliniska försök (som äger rum innan läkemedlet släpps ut på marknaden, varför den kallas perioden före godkännandet) och (2) information som härrör från rapporter om biverkningar (insamlad i efterhand, varför den kallas perioden efter godkännandet). Detta yttrande är inriktat på perioden efter godkännandet, eftersom de föreslagna ändringarna är koncentrerade till denna period.

19.

Databasen EudraVigilance innehåller uppgifter om patienter, som härrör från enskilda biverkningsrapporter. EMEA får sådana rapporter av de nationella behöriga myndigheterna (se artikel 102 i direktiv 2001/83/EG och artikel 22 i förordning (EG) nr 726/2004) och i vissa fall direkt från innehavaren av godkännandet för försäljning (se artikel 104 i direktiv 2001/83/EG och artikel 24 i förordning (EG) nr 726/2004).

20.

Detta yttrande är koncentrerat på behandling av personlig information om patienter. Det bör dock noteras att databasen EudraVigilance även innehåller personlig information om de personer som arbetar för den nationella behöriga myndigheten eller innehavaren av godkännandet för försäljning, när de lämnar information till databasen. Dessa personers fullständiga namn och adress, kontaktuppgifter och uppgifter om legitimationshandlingar finns bevarade i systemet. En annan kategori av personlig information är uppgifter om s.k. kvalificerade personer som ansvarar för säkerhetsövervakningen, vilka utses av innehavarna av godkännandet för försäljning på den grund som anges i artikel 103 i direktiv 2001/83/EG. De rättigheter och skyldigheter som härrör från förordning (EG) nr 45/2001 är givetvis fullt tillämpliga på behandlingen av denna information.

21.

I artikel 57.1 d i förordning (EG) nr 726/2004 anges det att databasen ständigt ska vara tillgänglig för alla medlemsstater. Dessutom måste hälso och sjukvårdspersonal, innehavare av godkännandet för försäljning och allmänheten ha åtkomst till denna databas på lämplig nivå, samtidigt som personuppgifterna skyddas. Så som sades i punkt 7 ovan, är detta den enda bestämmelse i såväl förordningen som direktiv 2001/83/EG som hänvisar till dataskydd.

22.

Artikel 57.1 d har lett till följande ordning för tillgång. Så snart EMEA erhållit en enskild biverkningsrapport införs den direkt i nätporten till EudraVigilance, som är fullt tillgänglig för EMEA, nationella behöriga myndigheter och kommissionen. Efter det att en enskild biverkningsrapport godkänts (kontroll av äkthet och unikhet) av EMEA, överförs informationen från biverkningsrapporten till den faktiska databasen. EMEA, nationella behöriga myndigheter och kommissionen har full tillgång till databasen, medan innehavarna av godkännandet för försäljning endast har tillgång till databasen med vissa begränsningar, nämligen endast till de uppgifter som de själva lämnat till EMEA. Aggregerade uppgifter om enskilda biverkningsrapporter införs slutligen på EudraVigilances webbplats, till vilken allmänheten har tillgång, inklusive hälso- och sjukvårdspersonal.

23.

Den 19 december 2008 offentliggjorde EMEA ett utkast till sin politik för tillgång till webbplatsen för offentlig konsultation. (17) Dokumentet visar hur EMEA planerar att genomföra artikel 57.1 d i förordning (EG) nr 726/2004. Datatillsynsmannen kommer att kortfattat återkomma till detta ämne från och med punkt 48 och följande punkter.

24.

Kommissionens konsekvensanalys visar ett antal svagheter i EU:s nuvarande system för säkerhetsövervakning, som anses som krångligt och oklart. Det komplicerade systemet för de olika aktörernas insamling, lagring och förmedling av uppgifter på nationell och europeisk nivå framförs som en av de största bristerna. Situationen kompliceras ytterligare genom att det råder skillnader i sättet att genomföra direktiv 2001/83/EG i medlemsstaterna. (18) Till följd av detta mottar nationella behöriga myndigheter och EMEA ofta av ofullständig rapportering eller dubblering av rapporter om biverkningar. (19)

25.

Detta beror på att medlemsstaterna själva beslutar på vilket sätt dessa rapporter ska genomföras på nationell nivå, även om en beskrivning av den enskilda biverkningsrapportens innehåll finns i de tidigare nämnda riktlinjerna. Här ingår både de kommunikationsmedel som innehavaren av godkännandet för försäljning använder för rapportering till de nationella behöriga myndigheterna och den faktiska informationen i rapporterna (inget standardiserat formulär används för rapportering inom Europa). Dessutom kan några nationella behöriga myndigheter tillämpa specifika kvalitetskriterier för mottagande av rapporterna (beroende på deras innehåll, hur fullständiga de är osv.), medan detta kanske inte är fallet i andra länder. Det är tydligt att det tillvägagångssätt som används på nationell nivå för rapportering och kvalitetsutvärdering av enskilda biverkningsrapporter har en direkt inverkan på det sätt som denna rapportering sker till EMEA, dvs. genom databasen EudraVigilance.

26.

Datatillsynsmannen skulle vilja understryka att ovannämnda svagheter inte bara leder till praktiska problem utan också utgör ett avsevärt hot mot skyddet för medborgarnas hälsouppgifter. Även om behandlingen av hälsouppgifter, så som framgår av tidigare punkter, sker i fler etapper under säkerhetsövervakningen, finns det för närvarande inga bestämmelser för skyddet av dessa uppgifter. Det enda undantaget från detta är den allmänna hänvisningen till dataskydd i artikel 57.1 d i förordning (EG) nr 726/2004, som endast avser den sista etappen i databehandlingen, nämligen åtkomsten till de uppgifter som finns i databasen EudraVigilance. Bristen på klarhet om de olika berörda parternas roller och ansvar liksom bristen på specifika normer för själva behandlingen utgör dessutom ett hot mot insynsskyddet liksom mot integriteten hos och ansvarigheten för de personuppgifter som behandlas.

27.

Datatillsynsmannen vill därför understryka att avsaknaden av en noggrann dataskyddsanalys, som avspeglas i den rättsliga ram som utgör grunden för systemet för säkerhetsövervakning i EU, också måste anses vara en av svagheterna i det nuvarande systemet. Denna svaghet bör åtgärdas genom ändringar i nuvarande lagstiftning.

28.

Av preliminärt och allmänt intresse vill datatillsynsmannen väcka frågan om behandlingen av hälsouppgifter för identifierbara fysiska personer verkligen är nödvändig i alla etapper i systemet för säkerhetsövervakning (på såväl nationell som europeisk nivå).

29.

Som tidigare har förklarats, så nämns patientens namn inte i en enskild biverkningsrapport och denne är sålunda inte identifierad. Patienten skulle dock fortfarande kunna identifieras i vissa fall genom att vissa delar av informationen i biverkningsrapporten sammanställs. I enlighet med riktlinjerna anges det i vissa fall ett specifikt patientnummer, som innebär att systemet som helhet gör det möjligt att spåra den berörda personen. Varken direktivet eller förordningen innehåller emellertid någon hänvisning till personuppgifternas spårbarhet som en del av syftet med systemet för säkerhetsövervakning.

30.

Datatillsynsmannen uppmanar därför lagstiftaren att klargöra om spårbarheten verkligen avser att tjäna som ett syfte för säkerhetsövervakning på olika behandlingsnivåer och mer specifikt inom ramen för databasen EudraVigilance.

31.

I detta avseende kan det vara lärorikt att jämföra med den planerade ordningen för donation och transplantation av organ. (20) Vid organtransplantation är det ytterst viktigt att kunna spåra ett organ såväl till donatorn som till mottagaren av organet, särskilt vid allvarliga komplikationer eller reaktioner.

32.

När det gäller säkerhetsövervakning, har datatillsynsmannen emellertid inte tillräckliga bevis för att dra slutsatsen att spårbarhet faktiskt alltid behövs. Säkerhetsövervakning innebär rapportering av biverkningar av läkemedel som används av ett (för det mesta) okänt antal personer och kommer att användas av ett (för det mesta) okänt antal personer. Därför finns det – åtminstone under perioden efter godkännandet för försäljning – en länk mellan uppgifterna om biverkningar och den berörda personen som är mindre automatisk och individuell än uppgifter om organ och de enskilda personer som är föremål för transplantation av ett specifikt organ. Naturligtvis har de patienter som använt ett visst läkemedel och rapporterat om biverkningar intresse av att få veta resultatet av en senare bedömning. Detta innebär dock inte att de inrapporterade uppgifterna under alla förhållanden bör kopplas till denna specifika person under hela säkerhetsövervakningen. I många fall skulle det räcka att koppla informationen om biverkningar till själva läkemedlet, vilket ger berörda parter möjlighet att t.ex. genom hälso och sjukvårdspersonal informera patienter i allmänhet om följderna av att ta eller ha tagit ett visst läkemedel.

33.

Om spårbarhet ändå är avsedd, vill datatillsynsmannen erinra om den analys han gjorde i sitt yttrande om kommissionens förslag till ett direktiv om kvalitets- och säkerhetsnormer för organ av mänskligt ursprung avsedda för transplantation. I detta yttrande förklarade han förhållandet mellan uppgifternas spårbarhet, identifierbarhet, anonymitet och insynsskydd. Identifierbarhet är en term som är väsentlig i dataskyddslagstiftningen. (21) Dataskyddsreglerna gäller uppgifter som rör personer som identifierats eller är identifierbara. (22) Uppgifternas spårbarhet till en viss person kan kopplas ihop med identifierbarhet. I dataskyddslagstiftningen är anonymitet motsatsen till identifierbarhet och sålunda till spårbarhet. Endast när det är inte är möjligt att identifiera (eller spåra) den person som uppgifterna avser, anses uppgifterna vara anonyma. Begreppet ”anonymitet” skiljer sig därför från vad man i dagliga livet menar med anonymitet, nämligen att en enskild person inte kan identifieras utifrån uppgifterna som sådana, t.ex. eftersom hans eller hennes namn har strukits. I sådana situationer talar man snarare om insynsskydd för uppgifterna, dvs. att informationen endast är (fullt) tillgänglig för dem som har rätt till tillgång. Spårbarhet och anonymitet kan inte samexistera, men det kan spårbarhet och insynsskydd.

34.

Utöver spårbarhet skulle en annan motivering för att låta patienterna vara identifierbara under hela säkerhetsövervakningen kunna vara att systemet bör fungera väl. Datatillsynsmannen förstår att det är enklare för de berörda behöriga myndigheterna (dvs. nationella behöriga myndigheter och EMEA) att övervaka och kontrollera innehållet i en enskild biverkningsrapport (t.ex. kontrollera om det finns dubbletter) när informationen avser en identifierbar och därför unik person. Även om datatillsynsmannen inser behovet av en sådan kontrollmekanism, är han inte övertygad om att endast detta skulle motivera lagring av uppgifter som kan identifieras i säkerhetsövervakningens alla etapper och framför allt i databasen EudraVigilance. Genom att strukturera och samordna rapporteringssystemet bättre, t.ex. genom ett decentraliserat system enligt diskussionen i punkt 42 och följande punkter, skulle dubbleringar kunna undvikas redan på nationell nivå.

35.

Datatillsynsmannen inser att det under särskilda omständigheter är omöjligt att avidentifiera uppgifterna. Detta är t.ex. fallet när vissa läkemedel används av en mycket begränsad grupp av personer. I dessa fall bör särskilda skyddsåtgärder vidtas för att följa de skyldigheter som härrör från dataskyddslagstiftningen.

36.

Avslutningsvis hyser datatillsynsmannen starka tvivel på huruvida spårbarhet eller användning av uppgifter om identifierbara patienter är nödvändiga i säkerhetsövervakningens alla etapper. Datatillsynsmannen är medveten om att det kan vara omöjligt att utesluta behandlingen av identifierbara uppgifter i varje etapp, särskilt på nationell nivå, där själva insamlingen av uppgifter om biverkningar äger rum. Dataskyddsreglerna kräver dock att behandlingen av hälsouppgifter endast ska äga rum när det är absolut nödvändigt. Användningen av identifierbara uppgifter bör därför nedbringas så mycket som möjligt och förhindras eller stoppas i ett så tidigt skede som möjligt i sådana fall där detta inte anses nödvändigt. Datatillsynsmannen skulle därför vilja uppmana lagstiftaren att ompröva behovet av att använda sådan information på såväl europeisk som nationell nivå.

37.

I sådana fall där det föreligger ett verkligt behov av att behandla identifierbara uppgifter eller när uppgifterna inte kan avidentifieras (se punkt 35 ovan) bör de tekniska möjligheterna för indirekt identifiering av de registrerade utforskas, t.ex. genom pseudonymiseringsmekanismer. (23)

38.

Datatillsynsmannen rekommenderar därför att det i förordning (EG) nr 726/2004 och direktiv 2001/83/EG införs en ny artikel, som anger att bestämmelserna i förordning (EG) nr 726/2004 och direktiv 2001/83/EG inte påverkar tillämpningen av de rättigheter och skyldigheter som härrör från bestämmelserna i förordning (EG) nr 45/2001 respektive direktiv 95/46/EG, med särskild hänvisning till artikel 10 i förordning (EG) nr 45/2001 respektive artikel 8 i direktiv 95/46/EG. Dessutom bör det tilläggas att identifierbara hälsouppgifter endast ska behandlas, om det är absolut nödvändigt och berörda parter bör utvärdera nödvändigheten vid varje enskild etapp i säkerhetsövervakningen.

39.

Även om dataskydd knappt beaktas i de föreslagna ändringarna, är en mer detaljerad analys av förslaget fortfarande lärorikt, eftersom det visar att några av de planerade ändringarna ökar effekterna och de därpå följande riskerna för dataskyddet.

40.

Den allmänna avsikten med de båda förslagen är att förbättra reglernas samstämmighet, klarlägga ansvarsområden, förenkla rapporteringssystemet och förstärka databasen EudraVigilance. (24)

41.

Kommissionen har tydligt försökt att förbättra klarheten i fråga om ansvarsområdena, genom att föreslå en ändring av nuvarande bestämmelser på så sätt att själva lagstiftningen tydligare föreskriver vem som ska göra vad. Naturligtvis blir systemet mer öppet genom att det klargörs vilka aktörer som är inblandade och vilka skyldigheter de har att rapportera om biverkningar, något som är en positiv utveckling även ur dataskyddssynpunkt. Rent allmänt bör patienter av lagstiftningen kunna förstå hur, när och av vem som deras personuppgifter behandlas. Den föreslagna klarheten i fråga om skyldigheter och ansvar bör också klart sättas i samband med de skyldigheter och ansvar som härrör från dataskyddslagstiftningen.

42.

Förenklingen av rapporteringssystemet bör nås genom att man använder nationella webbplatser för läkemedelssäkerhet, som är kopplade till den europeiska webbplatsen för läkemedelssäkerhet (se den nya föreslagna artikel 106 i direktiv 2001/83/EG och artikel 26 i förordning (EG) nr 726/2004). De nationella webbplatserna kommer att innehålla offentligt tillgängliga formulär för hälso och sjukvårdspersonals och patienters rapportering av misstänkta biverkningar (se den nya förslagna artikel 106.3 i direktiv 2001/83/EG och artikel 25 i förordning (EG) nr 726/2004). Även den europeiska webbplatsen kommer att innehålla information om hur man rapporterar, inklusive standardformulär för patienters och hälso- och sjukvårdspersonals webbbaserade rapportering.

43.

Datatillsynsmannen vill understryka att användningen av dessa webbplatser och standardiserade formulär, även om den kommer att effektivisera rapporteringssystemet, samtidigt ökar systemets dataskyddsrisker. Datatillsynsmannen uppmanar lagstiftaren att låta utformningen av ett sådant rapporteringssystem underställas kraven i dataskyddslagstiftningen. Som tidigare sagts innebär detta att man måste undersöka om det verkligen är nödvändigt att behandla personuppgifterna i varje etapp i processen. Detta bör avspeglas såväl i det sätt på vilket rapporteringen organiseras på nationell nivå som i hur information lämnas till EMEA och databasen EudraVigilance. I en bredare bemärkelse rekommenderar datatillsynsmannen starkt att det utarbetas enhetliga formulär på nationell nivå, vilket skulle förhindra olika praxis, vilket leder till olika dataskyddsnivåer.

44.

Det planerade systemet verkar medföra att patienter kan rapportera direkt till EMEA eller kanske även direkt till själva databasen EudraVigilance. Detta skulle innebära att informationen enligt den nuvarande tillämpningen av databasen EudraVigilance kommer att införas i EMEA:s nätport, såsom förklarats i punkterna 21–22 ovan, och dessutom är fullt tillgänglig för kommissionen och behöriga nationella myndigheter.

45.

Rent allmänt förespråkar datatillsynsmannen starkt ett decentraliserat rapporteringssystem. Kommunikationen till den europeiska nätporten bör samordnas genom användning av nationella nätportar som faller inom de nationella behöriga myndigheternas ansvarsområde. Patienters indirekta rapportering, dvs. genom hälso och sjukvårdspersonal (med och utan användning av nätportar), bör hellre användas än patienternas möjlighet till direkt rapportering, särskilt till databasen EudraVigilance.

46.

Ett system med rapportering via nätportar kräver i vilket fall som helst strikta säkerhetsregler. I detta avseende skulle datatillsynsmannen vilja hänvisa till det ovan nämnda yttrandet om det föreslagna direktivet om gränsöverskridande hälso- och sjukvård, särskilt delen om uppgiftsskydd i medlemsstaterna och integritet i tillämpningar för e-hälsa. (25) Redan i detta yttrande underströk datatillsynsmannen att integritet och dataskydd bör ingå i utformningen och genomförandet av alla tillämpningar av e-hälsa (inbyggda skyddsmekanismer). (26) Samma övervägande gäller de planerade nätportarna.

47.

Datatillsynsmannen skulle därför vilja rekommendera att det i de nya föreslagna artiklarna 25 och 26 i förordning (EG) nr 726/2004 och artikel 106 i direktiv 2001/83/EG, som handlar om utarbetandet av ett rapporteringssystem för biverkningar med användning av nätportar, införs en skyldighet att införliva lämpliga integritets- och skyddsåtgärder. Principerna om uppgifternas konfidentialitet, integritet, ansvarighet och tillgänglighet skulle också kunna nämnas som viktiga säkerhetssyften som bör garanteras på samma nivå i alla medlemsstater. Användningen av lämpliga tekniska normer och medel, t.ex. kryptering och bestyrkande genom digital signatur, skulle dessutom kunna införas.

48.

Den nya föreslagna artikel 24 i förordning (EG) nr 726/2004 handlar om databasen EudraVigilance. Artikeln klarlägger att förstärkningen av databasen medför att alla berörda parter ökar sin användning av databasen genom tillhandahållande av och tillgång till information till och från databasen. Två punkter i artikel 24 är av särskilt intresse.

49.

Artikel 24.2 handlar om möjlig tillgång till databasen. Den ersätter nuvarande artikel 57.1 d i förordning (EG) nr 726/2004, som är den enda bestämmelse som för närvarande hänvisar till dataskydd enligt föregående diskussion. Hänvisningen till dataskydd har behållits, men antalet aktörer som underställts det har minskat. Medan den nuvarande texten anger att tillgång till databasen på lämplig nivå med skydd för personuppgifter ska ges hälso- och sjukvårdspersonal, innehavare av godkännanden för försäljning och allmänheten, föreslår kommissionen att innehavare av godkännanden ska strykas från förteckningen och ges tillgång ”i den omfattning som behövs för att fullgöra skyldigheterna avseende säkerhetsövervakning” utan någon hänvisning till dataskydd. Skälen till detta är oklara.

50.

Artikel 24.3 föreskriver dessutom regler om tillgång till enskilda biverkningsrapporter. Allmänheten kan begära tillgång och sådan ska tillhandahållas inom 90 dagar ”under förutsättning att de inte röjer identiteten på de personer som rapporterna rör”. Datatillsynsmannen stöder tanken bakom denna bestämmelse, nämligen att endast anonyma uppgifter kan lämnas ut. Han vill emellertid, som han tidigare förklarat, understryka att anonymitet ska tolkas som att det är totalt omöjligt att identifiera den person som rapporterat om biverkningen (se även punkt 33).

51.

Möjligheten att få tillgång till EudraVigilance-systemet bör allmänt omprövas mot bakgrund av dataskyddsreglerna. Detta har också direkta konsekvenser för det utkast till tillgångspolitik som EMEA offentliggjorde i december 2008, vilket nämns ovan i punkt 23. (27) I den mån som informationen i databasen EudraVigilance nödvändigtvis avser identifierbara fysiska personer bör tillgång till dessa uppgifter vara så restriktiv som möjlig.

52.

Datatillsynsmannen rekommenderar därför att det i den föreslagna artikel 24.2 i förordning (EG) nr 726/2004 införs en mening som anger att tillgången till databasen EudraVigilance ska regleras i enlighet med de rättigheter och skyldigheter som härrör från gemenskapens dataskyddslagstiftning.

53.

Datatillsynsmannen vill understryka att den part som ansvarar för behandling av identifierbara uppgifter bör uppfylla kraven i gemenskapens dataskyddslagstiftning så snart sådan behandling sker. Detta innebär bl.a. att den berörda personen är välinformerad om vad som kommer att hända med uppgifterna, vem som ska behandla dem och all annan information som krävs enligt artikel 11 i förordning (EG) nr 45/2001 och/eller artikel 10 i direktiv 95/46/EG. Det ska också vara möjligt för den berörda personen att åberopa sina rättigheter såväl på nationell som europeisk nivå, t.ex. rätt till tillgång (artikel 12 i direktiv 95/46/EG och artikel 13 i förordning (EG) nr 45/2001), rätt att göra invändningar (artikel 18 i förordning (EG) nr 45/2001 och artikel 14 i direktiv 95/46/EG) osv.

54.

Datatillsynsmannen skulle därför vilja rekommendera att det i den föreslagna artikel 101 i direktiv 2001/83/EG läggs till en punkt som anger att den berörda personen vid behandling av personuppgifter ska bli korrekt informerad i enlighet med artikel 10 i direktiv 95/46/EG.

55.

Frågan om en persons tillgång till egna uppgifter i databasen EudraVigilance tas inte upp i den nuvarande och i den föreslagna lagstiftningen. Det måste framhållas att den berörda patienten i sådana fall där det anses nödvändigt att lagra personuppgifter i databasen, som nyss nämnts, bör kunna åberopa sin rätt till tillgång till sina personuppgifter i enlighet med artikel 13 i förordning (EG) nr 45/2001. Datatillsynsmannen skulle därför vilja rekommendera att det i den föreslagna artikel 24 läggs till en punkt som anger att åtgärder ska vidtas för att se till att den registrerade kan utnyttja sin rätt till tillgång till personuppgifter som rör honom enligt artikel 13 i förordning (EG) nr 45/2001.

56.

Datatillsynsmannen anser att bristen på en korrekt bedömning av säkerhetsövervakningens konsekvenser för dataskyddet utgör en av svagheterna i den nuvarande rättsliga ramen enligt förordning (EG) nr 726/2004 och direktiv 2001/83/EG. Den nuvarande ändringen av förordning (EG) nr 726/2004 och direktiv 2001/83/EG bör ses som ett lämpligt tillfälle att införa dataskydd som ett fullvärdigt och viktigt inslag i säkerhetsövervakningen.

57.

En allmän fråga som därvid bör tas upp är det faktiska behovet av att behandla personliga hälsouppgifter under säkerhetsövervakningens alla etapper. Såsom förklarats i detta yttrande hyser datatillsynsmannen allvarliga tvivel på detta behov och uppmanar lagstiftaren att ompröva de olika nivåerna i denna övervakning. Det står klart att syftet med säkerhetsövervakningen i många fall kan nås genom att utbyta uppgifter om biverkningar som är anonyma i dataskyddslagstiftningens mening. Dubbel rapportering kan undvikas genom tillämpning av välstrukturerade förfaranden för rapportering av uppgifter redan på nationell nivå.

58.

De föreslagna ändringarna syftar till ett förenklat rapporteringssystem och en förstärkning av databasen EudraVigilance. Datatillsynsmannen har förklarat att dessa ändringar leder till ökade risker för dataskyddet, särskilt när det gäller patienternas direkta rapportering till EMEA eller till databasen EudraVigilance. I detta avseende förespråkar datatillsynsmannen starkt ett decentraliserat och indirekt rapporteringssystem, varigenom kommunikationen till den europeiska nätporten samordnas genom användning av de nationella nätportarna. Dessutom framhåller datatillsynsmannen att integritet och säkerhet bör ingå som en del av utformningen och genomförandet av ett rapporteringssystem med användning av nätportar (”inbyggda skyddsmekanismer”).

59.

Datatillsynsmannen understryker också att den person som ansvarar för behandling av hälsouppgifter som rör identifierade eller identifierbara fysiska personer så snart sådan behandling sker bör uppfylla alla kraven i gemenskapens dataskyddslagstiftning.

60.

Mer specifikt rekommenderar datatillsynsmannen

23.9.2009   

SV

Europeiska unionens officiella tidning

C 229/27

23.9.2009   

SV

Europeiska unionens officiella tidning

C 229/28

1.

Barcs–Terezino Polje

2.

Beremend–Baranjsko Petrovo Selo

3.

Berzence–Gola

4.

Drávaszabolcs–Donji Miholjac

5.

Drávaszabolcs (flod, på begäran) (1)

6.

Gyékényes–Koprivnica (järnväg)

7.

Letenye–Goričan I

8.

Letenye–Goričan II (landsväg)

9.

Magyarboly–Beli Manastir (järnväg)

10.

Mohács (flod)

11.

Murakeresztúr–Kotoriba (järnväg)

12.

Udvar–Dubosevica

1.

Bácsalmás–Bajmok (2)

2.

Hercegszántó–Bački Breg

3.

Kelebia–Subotica (järnväg)

4.

Mohács (flod)

5.

Röszke–Horgoš (landsväg)

6.

Röszke–Horgoš (järnväg)

7.

Szeged (flod) (2)

8.

Tiszasziget–Đjala (Gyála) (2)

9.

Tompa–Kelebija

1.

Ágerdőmajor (Tiborszállás)–Carei (järnväg)

2.

Ártánd–Borș

3.

Battonya–Turnu

4.

Biharkeresztes–Episcopia Bihorului (järnväg)

5.

Csengersima–Petea

6.

Gyula–Vărșand

7.

Kiszombor–Cenad

8.

Kötegyán–Salonta (järnväg)

9.

Létavértes–Săcuieni (3)

10.

Lőkösháza–Curtici (järnväg)

11.

Méhkerék–Salonta

12.

Nagylak–Nădlac

13.

Nyírábrány–Valea Lui Mihai (järnväg)

14.

Nyírábrány–Valea Lui Mihai

15.

Vállaj–Urziceni

1.

Barabás–Koson (4)

2.

Beregsurány–Luzjanka

3.

Eperjeske–Solovka (järnväg)

4.

Lónya–Dzvinkove (5)

5.

Tiszabecs–Vylok

6.

Záhony–Tjop (järnväg)

7.

Záhony–Tjop

1.

Budapest Nemzetközi Repülőtér

2.

Debrecen Repülőtér

3.

Sármellék

1.

Békéscsaba

2.

Budaörs

3.

Fertőszentmiklós

4.

Győr–Pér

5.

Kecskemét

6.

Nyíregyháza

7.

Pápa

8.

Pécs–Pogány

9.

Siófok–Balatonkiliti

10.

Szeged

11.

Szolnok

23.9.2009   

SV

Europeiska unionens officiella tidning

C 229/30