23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/1

1.

Den 18 april 2011 presenterade kommissionen sin utvärderingsrapport om datalagringsdirektivet (nedan kallad utvärderingsrapporten) (4). Utvärderingsrapporten skickades samma dag till Europeiska datatillsynsmannen för kännedom. Av de skäl som anges i del I.2 nedan avger Europeiska datatillsynsmannen på eget initiativ detta yttrande i enlighet med artikel 41 i förordning (EG) nr 45/2001.

2.

Innan meddelandet antogs gavs Europeiska datatillsynsmannen möjlighet att lämna informella kommentarer. Europeiska datatillsynsmannen välkomnar att kommissionen tog hänsyn till flera av kommentarerna när den slutliga versionen av dokumentet avfattades.

3.

Kommissionen har utarbetat utvärderingsrapporten för att uppfylla sin skyldighet enligt artikel 14 i datalagringsdirektivet att utvärdera tillämpningen av direktivet och dess konsekvenser för ekonomiska aktörer och konsumenter för att avgöra huruvida det är nödvändigt att ändra bestämmelserna i direktivet (5). Europeiska datatillsynsmannen välkomnar att kommissionen, även om det inte var ett absolut krav enligt artikel 14, i sin rapport också tog hänsyn till ”direktivets inverkan på de grundläggande rättigheterna mot bakgrund av den allmänna kritik som riktats mot lagringen av uppgifter” (6).

4.

Datalagringsdirektivet utgjorde EU:s svar på angelägna säkerhetsutmaningar efter de stora terrordåden i Madrid år 2004 och i London år 2005. Trots det legitima syftet med att inrätta ett system för lagring av uppgifter restes då kritik när det gällde de enorma konsekvenser som åtgärden hade för medborgarnas privatliv.

5.

Genom skyldigheten att lagra uppgifter enligt datalagringsdirektivet blir det möjligt för behöriga nationella myndigheter att i upp till två år spåra personers telefon- och internetbeteende i EU när de använder telefon och Internet.

6.

Det står klart att lagring av uppgifter om telekommunikation utgör ett ingrepp i berörda personers rätt till privatliv enligt artikel 8 i Europeiska konventionen om mänskliga rättigheter (nedan kallad Europakonventionen) och artikel 7 i EU:s stadga om de grundläggande rättigheterna.

7.

Europeiska domstolen för de mänskliga rättigheterna (nedan kallad Europadomstolen) har vid upprepade tillfället fastslagit att ”redan lagring av uppgifter beträffande en enskilds privatliv är ett ingrepp i den mening som avses i artikel 8 [i Europakonventionen]” (7). Speciellt beträffande telefonuppgifter har Europadomstolen fastslagit att ”utlämnande av informationen till polisen utan abonnentens samtycke också […] utgör ett ingrepp i en rättighet som garanteras genom artikel 8 [i Europakonventionen]” (8).

8.

Av artikel 8.2 i Europakonventionen och artikel 52.1 i EU:s stadga om de grundläggande rättigheterna följer att ett ingrepp kan vara befogat om det föreskrivs i lag, tjänar ett legitimt syfte och är nödvändigt i ett demokratiskt samhälle för att uppnå detta legitima syfte.

9.

Europeiska datatillsynsmannen har medgett att det kan ha avgörande betydelse för brottsbekämpningsorganen att de har tillgång till vissa trafik- och lokaliseringsuppgifter i kampen mot terrorism och annan allvarlig brottslighet. Europeiska datatillsynsmannen har emellertid samtidigt vid upprepade tillfällen uttryckt tvivel beträffande det berättigade i att lagra uppgifter i sådan omfattning med tanke på rätten till privatliv och uppgiftsskydd (9). Många organisationer inom det civila samhället har också delat dessa tvivel (10).

10.

Europeiska datatillsynsmannen har på olika sätt noga följt tillkomsten, genomförandet och utvärderingen av direktivet sedan år 2005. Europeiska datatillsynsmannen avgav ett kritiskt yttrande år 2005 efter det att kommissionen hade offentliggjort sitt förslag till direktivet (11). När direktivet hade antagits blev datatillsynsmannen ledamot i den expertgrupp för lagring av uppgifter som anges i skäl 14 i datalagringsdirektivet (12). Dessutom deltar Europeiska datatillsynsmannen i arbetet i artikel 29-arbetsgruppen, som har offentliggjort flera dokument om frågan. Det senaste, från juli 2010, är en rapport om hur direktivet har tillämpats i praktiken (13). Slutligen har Europeiska datatillsynsmannen intervenerat i ett mål vid Europeiska unionens domstol i vilket direktivets giltighet ifrågasattes (14).

11.

Utvärderingsrapportens och utvärderingsprocessens betydelse kan inte nog betonas (15). Datalagringsdirektivet är ett framträdande exempel på en EU-åtgärd för att säkerställa att uppgifter som genererats och behandlats i samband med elektronisk kommunikation finns tillgänglig för brottsbekämpande insatser. När åtgärden nu har använts i flera år borde en utvärdering av den praktiska tillämpningen faktiskt visa att åtgärden är nödvändig och proportionerlig med tanke på rätten till privatliv och uppgiftsskydd. Europeiska datatillsynsmannen har i detta avseende kallat utvärderingen för ”sanningens ögonblick” för datalagringsdirektivet (16).

12.

Den nuvarande utvärderingsprocessen har också betydelse för andra instrument som reglerar informationshantering och däribland behandling av stora mängder personuppgifter inom området frihet, säkerhet och rättvisa. I ett meddelande 2010 kom kommissionen fram till att utvärderingsmekanismerna för de olika instrumenten är mycket skiftande (17). Europeiska datatillsynsmannen anser att den nuvarande utvärderingsprocessen bör utgöra en förebild för utvärderingar av andra EU-instrument och garantera att bara de åtgärder tillämpas som verkligen är befogade.

13.

Mot denna bakgrund önskar Europeiska datatillsynsmannen i ett offentligt yttrande dela med sig av sina reflexioner beträffande de resultat som presenteras i utvärderingsrapporten. Detta sker på ett tidigt stadium av processen för att lämna ett effektivt och konstruktivt bidrag till de kommande diskussionerna, eventuellt i samband med ett nytt lagstiftningsförslag som kommissionen hänvisar till i utvärderingsrapporten (18).

14.

I detta yttrande analyseras och diskuteras innehållet i utvärderingsrapporten med hänsyn till personlig integritet och uppgiftsskydd. Analysen inriktas på frågan huruvida det nuvarande datalagringsdirektivet uppfyller de krav som ställs genom dessa båda grundläggande rättigheter. Frågan huruvida det har bevisats tillräckligt att lagring av uppgifter i enlighet med direktivet var nödvändig analyseras också.

15.

Yttrandet är indelat enligt följande. I del II presenteras det huvudsakliga innehållet i datalagringsdirektivet och dess samband med direktiv 2002/58/EG om behandlingen av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (nedan kallat direktivet om integritet och elektronisk kommunikation) (19). I del III beskrivs i korthet de ändringar som skett på grund av Lissabonfördraget, eftersom de har särskild betydelse för denna fråga och får direkta konsekvenser för hur EU-regler om lagring av uppgifter ska uppfattas, utvärderas och eventuellt revideras. Den största delen av yttrandet, del IV, innehåller analysen beträffande datalagringsdirektivets giltighet med tanke på rätten till privatliv och uppgiftsskydd och med hänsyn till de resultat som presenterats i utvärderingsrapporten. I del V diskuteras olika vägar att gå vidare. I del VI avslutas yttrandet med en sammanfattning.

16.

Med lagring av uppgifter avses i samband med detta yttrande en skyldighet för leverantörerna av allmänt tillgängliga elektroniska kommunikationstjänster eller allmänna kommunikationsnät att lagra trafik- och lokaliseringsuppgifter och uppgifter som behövs för att identifiera abonnenten eller användaren under en viss tid. Denna skyldighet anges i datalagringsdirektivet, som i artikel 5.1 ytterligare specificerar de kategorier av uppgifter som ska lagras. Enligt artikel 6 i direktivet ska medlemsstaterna säkerställa att uppgifterna lagras i minst sex månader och inte i mer än två år efter det datum då kommunikationen ägde rum.

17.

Uppgifterna ska lagras i den utsträckning som de genereras eller behandlas av leverantörerna när de levererar de berörda kommunikationstjänsterna (artikel 3). Uppgifter i samband med misslyckade uppringningsförsök ingår också. Uppgifter som avslöjar innehållet i kommunikationen får inte lagras enligt direktivet (artikel 5.1).

18.

Uppgifterna lagras för att säkerställa att uppgifterna är tillgängliga för ”utredning, avslöjande och åtal för allvarliga brott såsom de definieras av varje medlemsstat i den nationella lagstiftningen” (artikel 1.1)

19.

I datalagringsdirektivet finns inga ytterligare bestämmelser om de villkor enligt vilka de behöriga nationella myndigheterna kan få tillgång till lagrade data. Detta ankommer på medlemsstaterna och omfattas inte av direktivet. I artikel 4 i direktivet betonas att de nationella reglerna ska följa nödvändighets- och proportionalitetskraven så som de i synnerhet tolkas av Europadomstolen.

20.

Datalagringsdirektivet har nära samband med direktivet om integritet och elektronisk kommunikation. I direktivet, som detaljerar och kompletterar det allmänna direktivet 95/46/EG om skydd av personuppgifter, fastställs att medlemsstaternas ska garantera sekretess för kommunikation och trafikuppgifter i samband med denna (20). Enligt direktivet om integritet och elektronisk kommunikation krävs det att trafik- och lokaliseringsuppgifter som genereras med hjälp av elektroniska kommunikationstjänster raderas eller görs anonyma när de inte längre behövs för överföring, utom i de fall och så länge som de behövs för fakturering (21). Förutsatt att medgivande ges får vissa uppgifter behandlas så länge som det behövs för att tillhandahålla en mervärdestjänst.

21.

Enligt artikel 15.1 i direktivet om integritet och elektronisk kommunikation kan medlemsstater vidta lagstiftningsåtgärder för att begränsa omfattningen av de ovannämnda skyldigheterna, om ”en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott […]”. Frågan om lagring av uppgifter anges uttryckligen i artikel 15.1 i direktivet om integritet och elektronisk kommunikation. Medlemsstaterna får ”vidta lagstiftningsåtgärder som innebär att uppgifter får bevaras under en begränsad period” som motiveras av de skäl som nämnts ovan.

22.

Datalagringsdirektivet var avsett att samordna medlemsstaternas initiativ enligt artikel 15.1 när det gäller lagring av uppgifter för utredning, avslöjande och åtal för allvarliga brott. Det bör betonas att datalagringsdirektivet utgör ett undantag från den allmänna skyldigheten enligt direktivet om integritet och elektronisk kommunikation att radera uppgifterna när de inte längre behövs (22).

23.

När datalagringsdirektivet antogs kompletterades artikel 15 i direktivet om integritet och elektronisk kommunikation med en ny punkt (1 a) där det fastställs att artikel 15.1 inte ska gälla för uppgifter för vilka det i datalagringsdirektivet krävs speciellt att de lagras för de syften som anges i artikel 1.1 i direktivet.

24.

I utvärderingsrapporten konstateras, vilket diskuteras ytterligare i del IV.3 nedan, att artiklarna 15.1 och 15.1 b har använts av flera medlemsstater för att utnyttja uppgifter som lagrats enligt datalagringsdirektivet också för andra syften (23). Europeiska datatillsynsmannen har kallat detta ett ”kryphål i lagen” som hindrar syftet med datalagringslagringsdirektivet, nämligen att skapa lika villkor för näringslivet (24).

25.

De allmänna tillämpliga EU-bestämmelser som har betydelse för datalagringsdirektivet har ändrats avsevärt i och med att Lissabonfördraget trätt i kraft. En viktig förändring var avskaffandet av pelarstrukturen, som hade inneburit olika lagstiftningsprocedurer och granskningsmekanismer inom EU:s olika behörighetsområden.

26.

Den tidigare pelarstrukturen gav ofta upphov till diskussion om den korrekta rättsliga grunden för ett EU-instrument, om en fråga medförde behörighet för EU inom de olika pelarna. Valet av rättslig grund saknade inte betydelse eftersom det ledde till olika lagstiftningsprocedurer till exempel beträffande omröstningskraven i rådet (kvalificerad majoritet eller enhällighet) eller involvering av Europaparlamentet.

27.

Dessa diskussioner var i hög grad relevanta för lagring av uppgifter. Eftersom datalagringsdirektivet skulle harmonisera skyldigheten för operatörer, och därigenom undanröja hindren på den inre marknaden, kunde den rättsliga grunden återfinnas i artikel 95 i det tidigare EG-fördraget (den tidigare första pelaren). Frågan kunde emellertid ha behandlats ur ett brottsbekämpningsperspektiv med argumentet att syftet med att lagra uppgifter var att bekämpa allvarlig brottslighet inom ramen för polissamarbete och straffrättsligt samarbete i det tidigare EU-fördraget (den tidigare tredje pelaren) (25).

28.

Datalagringsdirektivet antogs till slut i enlighet med artikel 95 i det tidigare EG-fördraget och reglerade bara skyldigheterna för operatörer. I direktivet fanns inga bestämmelser om brottsbekämpande myndigheters tillgång till och användning av de lagrade uppgifterna.

29.

När direktivet hade antagits ifrågasattes dess giltighet vid EU-domstolen. Det hävdades att direktivet skulle ha baserats på den tredje pelaren i stället för på den första pelaren, eftersom syftet med lagringen av uppgifter (utredning, avslöjande och åtal för allvarliga brott) omfattades av EU:s behörighet i den tredje pelaren (26). Eftersom de behöriga myndigheternas agerande emellertid uttryckligen inte omfattades av direktivet kom EU-domstolen fram till att direktivet helt riktigt var baserat på EG-fördraget (27).

30.

Europeiska datatillsynsmannen har från början hävdat att om EU skulle anta ett instrument för lagring av uppgifter skulle det reglera både skyldigheten för operatörer och brottsbekämpande myndigheters tillgång och ytterligare användning. I sitt yttrande 2005 om kommissionens förslag underströk Europeiska datatillsynsmannen att behöriga nationella myndigheters tillgång och ytterligare användning utgjorde en väsentlig och oskiljaktig del av frågan (28).

31.

De negativa effekterna av att EU bara reglerar frågan till hälften har bekräftats av den aktuella utvärderingsrapporten, vilket utvecklas vidare nedan. Kommissionen konstaterar att skillnaderna i de nationella lagarna när det gäller behöriga nationella myndigheters tillgång och ytterligare användning har lett till ”avsevärda svårigheter” för operatörerna (29).

32.

När pelarstrukturen avskaffades efter det att Lissabonfördraget hade trätt i kraft slogs de båda relevanta områdena av EU:s behörighet samman i fördraget om Europeiska unionens funktionssätt (FEUF), vilket gör det möjligt att anta EU-lagstiftning enligt samma lagstiftningsprocedur. Denna nya situation skulle göra det möjligt att anta ett enda nytt instrument om lagring av uppgifter som reglerar både skyldigheterna för operatörerna och villkoren för brottsbekämpande myndigheters tillgång och ytterligare användning. Såsom förklaras nedan i del IV.3 kräver rätten till privatliv och uppgiftsskydd att om en reviderad EU-åtgärd beträffande lagring av uppgifter övervägs ska den åtminstone reglera frågan i dess helhet.

33.

Genom Lissabonfördraget avskaffades inte bara pelarstrukturen, utan det gav samma rättsliga status som fördragen åt EU:s tidigare icke bindande stadga om de grundläggande rättigheterna, i vilken rätten till privatliv och uppgiftsskydd i artiklarna 7 och 8 ingår (30). En subjektiv rätt till uppgiftsskydd infördes dessutom i artikel 16 FEUF och upprättade en egen rättslig grund för EU-instrument beträffande skydd av personuppgifter.

34.

Skyddet av de grundläggande rättigheterna har sedan lång tid tillbaka varit en hörnsten i EU:s politik, och Lissabonfördraget har lett till ett ännu större engagemang för dessa rättigheter i EU-sammanhang. Förändringarna genom Lissabonfördraget gav i oktober 2010 kommissionen inspiration till att tillkännage att ”medvetandet om de grundläggande rättigheterna” skulle stärkas på alla nivåer i lagstiftningsprocessen och till att fastslå att EU:s stadga om de grundläggande rättigheterna skulle ”tjäna som en ledstjärna för EU:s politiska insatser” (31). Europeiska datatillsynsmannen anser att den nuvarande utvärderingsprocessen är ett bra tillfälle för kommissionen att visa detta engagemang.

35.

Utvärderingsrapporten belyser flera svagheter i det nuvarande datalagringsdirektivet. Informationen som lämnas i rapporten visar att direktivet inte fyller sitt viktigaste syfte, nämligen att harmonisera nationell lagstiftning beträffande lagring av uppgifter. Kommissionen konstaterar att det förekommer ”betydande” skillnader mellan införlivandet av lagstiftning på områdena ändamålsbegränsning, tillgång till uppgifter, lagringsperioder, uppgiftsskydd och datasäkerhet samt statistik (32). Enligt kommissionen beror skillnaderna till en del på den variation som uttryckligen föreskrivs i direktivet. Kommissionen konstaterar emellertid att utöver detta har ”skillnaderna i den nationella tillämpningen av lagringen av uppgifter visat sig medföra stora svårigheter för operatörerna” och att ”avsaknaden av rättssäkerhet för näringslivet fortsätter” (33). Det behöver inte påpekas att en sådan avsaknad av harmonisering är till men för alla berörda parter: både medborgarna, företagarna och de brottsbekämpande myndigheterna.

36.

Ur ett integritets- och uppgiftsskyddsperspektiv kan man av utvärderingsrapporten också sluta sig till att datalagringsdirektivet inte uppfyller de krav som ställs genom rätten till privatliv och uppgiftsskydd. Det finns flera brister: behovet av lagring av uppgifter enligt datalagringsdirektivet har inte bevisats tillräckligt, lagringen av uppgifter kunde i varje fall ha reglerats på ett sätt som ger mindre ingrepp i privatlivet, och datalagringsdirektivet är inte ”förutsägbart”. Dessa tre punkter behandlas närmare nedan.

37.

Ingrepp i rätten till privatliv och uppgiftsskydd är bara tillåtet om åtgärden är nödvändig för att uppnå det berättigade målet. Nödvändigheten av att lagra uppgifter som en brottsbekämpningsåtgärd har ständigt varit en viktig diskussionspunkt (34). I förslaget till direktivet angavs det att begränsningarna i rätten till privatliv och uppgiftsskydd var ”nödvändiga för att uppfylla de allmänt erkända målen att förebygga och bekämpa brottslighet och terrorism” (35). I yttrandet 2005 antydde emellertid Europeiska datatillsynsmannen att han inte övertygades av detta argument, eftersom det krävdes ytterligare bevis (36). Utan att några ytterligare bevis anfördes fastslogs det ändå i skäl 9 i datalagringsdirektivet att ”lagring av uppgifter har visat sig vara ett […] nödvändigt och effektivt redskap för de brottsbekämpande myndigheternas utredningar i många medlemsstater”.

38.

På grund av avsaknaden av tillräckliga bevis hävdade Europeiska datatillsynsmannen att datalagringsdirektivet bara var baserat på antagandet att lagring av uppgifter i enlighet med datalagringsdirektivet var en nödvändig åtgärd (37). Europeiska datatillsynsmannen uppmanade därför kommissionen och medlemsstaterna att utnyttja det tillfälle som utvärderingsrapporten gav för att lämna ytterligare bevis som bekräftade att det faktiskt var ett korrekt antagande att datalagringsåtgärden var nödvändig och att det sätt som den reglerades på i datalagringsdirektivet var nödvändigt.

39.

På denna punkt fastslår kommissionen i utvärderingsrapporten att ”[m]erparten av medlemsstaterna anser att EU:s regler om lagring av uppgifter är nödvändig som ett redskap för brottsbekämpning, skydd av brottsoffer och straffrättssystemen”. Vidare uppges att lagring av uppgifter spelar en ”mycket viktig roll” vid brottsutredningar och ”åtminstone är värdefull och i vissa fall oumbärlig”, och det konstateras att en del straffbara gärningar ”kanske aldrig skulle ha lösts” utan lagring (38). Kommissionen drar slutsatsen att EU därför bör ”stödja och reglera lagringen av uppgifter som en nödvändig säkerhetsåtgärd” (39).

40.

Det är emellertid tveksamt huruvida kommissionen verkligen kan dra slutsatsen att merparten av medlemsstaterna anser att lagring av uppgifter är ett nödvändigt redskap. Det framgår inte vilka medlemsstater som utgör en majoritet, vilket i ett EU med 27 medlemsstater bör vara minst 14 för att man ska kunna tala om merparten av medlemsstaterna. Antalet medlemsstater som faktiskt anges i kapitel 5, vilket slutsatserna baseras på, är på sin höjd nio (40).

41.

Det tycks vidare som om kommissionen huvudsakligen stöder sig på medlemsstaters uttalanden om huruvida de anser lagring av uppgifter vara ett nödvändigt redskap för brottsbekämpning. Dessa uttalanden visar emellertid snarare att medlemsstaterna i fråga skulle vilja ha EU-regler för lagring av uppgifter, men som sådana inte kan bevisa behovet av lagring av uppgifter som en brottsbekämpningsåtgärd som stöds och regleras av EU. Uttalandena om nödvändigheten bör stödjas av tillräckliga bevis.

42.

Det medges att det inte är en lätt uppgift att visa att en åtgärd som gör ingrepp i den personliga integriteten är nödvändig. I synnerhet inte för kommissionen, som i stor utsträckning är beroende av information som lämnas av medlemsstaterna.

43.

Om en åtgärd redan tillämpas, såsom datalagringsdirektivet, och man har fått praktisk erfarenhet bör det emellertid finnas tillräcklig kvalitativ och kvantitativ information tillhands som gör det möjligt att bedöma om åtgärden faktiskt fungerar och om jämförbara resultat kunde ha uppnåtts utan instrumentet eller med alternativa medel som gör mindre ingrepp i den personliga integriteten. Sådan information bör vara ett tillräckligt bevis och visa sambandet mellan användning och resultat  (41). Eftersom det är fråga om ett EU-direktiv bör informationen dessutom representera förhållandena i åtminstone en majoritet av EU-medlemsstaterna.

44.

Kommissionen har uppenbarligen ansträngt sig för att samla in information från medlemsstaternas regeringar, men efter att ha gjort en noggrann analys anser Europeiska datatillsynsmannen att den kvantitativa och kvalitativa information som lämnats av medlemsstaterna inte är tillräcklig för att bekräfta att lagring av uppgifter så som den föreskrivs i datalagringsdirektivet är nödvändig. Intressanta exempel på användningen har lämnats, men det finns helt enkelt för många brister i den information som presenteras i rapporten för att man ska kunna dra några generella slutsatser om behovet av instrumentet. Dessutom bör alternativa möjligheter utredas ytterligare. Dessa båda punkter ska nu utvecklas närmare.

45.

När det gäller den kvantitativa, statistiska informationen som huvudsakligen lämnas i kapitel 5 och i bilagan till utvärderingsrapporten saknas viktig information. Statistiken visar till exempel inte för vilket syfte uppgifter sökts. Siffrorna avslöjar inte heller om alla uppgifter till vilka tillgång har begärts var uppgifter som lagrats till följd av skyldigheten enligt lag att lagra uppgifter eller i affärssyfte. Det lämnas inte heller någon information om resultatet av användningen av uppgifter. För att dra slutsatser är det dessutom problematiskt att informationen från de olika medlemsstaterna inte alltid är helt jämförbar och att siffrorna i många fall bara representerar nio medlemsstater.

46.

De kvalitativa exemplen som ges i rapporten visar bättre vilken viktig roll de lagrade uppgifterna spelar i vissa speciella situationer och den eventuella nyttan med ett system för lagring av uppgifter. Det är dock inte i samtliga fall klart huruvida användningen av de lagrade uppgifterna var det enda sättet att bekämpa brottet i fråga.

47.

Några exempel visar att lagringen av uppgifter var absolut nödvändig för att bekämpa it-brottslighet. I detta avseende är det värt att notera att det i det viktigaste internationella instrumentet inom detta område, Europarådets konvention om Internetrelaterad brottslighet, inte föreskrivs att lagring av uppgifter ska vara ett medel för att bekämpa it-brottslighet, utan det anges bara att frysning av uppgifter är ett undersökningsredskap (42).

48.

Kommissionen tycks fästa stor vikt vid exempel som getts av medlemsstaterna på att lagrade uppgifter använts för att utesluta misstänkta personer från brottsplatsen och kontrollera alibin (43). Även om detta är intressanta exempel på hur uppgifter används av brottsbekämpande myndigheter kan de inte anföras för att bevisa behovet av lagring av uppgifter. Det är ett argument som ska användas med försiktighet eftersom det kan missförstås och uppfattas som att lagring av uppgifter är nödvändig för att bevisa att medborgare är oskyldiga, vilket skulle vara svårt att förena med principen om oskuldspresumtion.

49.

I utvärderingsrapporten diskuteras bara i korthet värdet av lagring av uppgifter i relation till teknisk utveckling och mera specifikt användningen av förbetalda SIMkort (44). Europeiska datatillsynsmannen understryker att mer kvantitativ och kvalitativ information om användningen av ny teknik som inte omfattas av direktivet (det kan gälla IP-telefoni och sociala nätverk) skulle ha varit instruktiv för att bedöma direktivets effektivitet.

50.

Utvärderingsrapporten är begränsad eftersom den framför allt inriktas på kvantitativ och kvalitativ information som lämnats av de medlemsstater som har tillämpat datalagringsdirektivet. Det skulle emellertid ha varit intressant att se om några avsevärda skillnader har uppkommit mellan dessa medlemsstater och de medlemsstater som inte har tillämpat direktivet. Särskilt när det gäller de medlemsstater där tillämpningen av lagstiftningen har upphävts (Tyskland, Rumänien och Tjeckien) skulle det ha varit intressant att se om det finns belägg för att antalet lyckade brottsutredningar har ökat eller minskat antingen innan eller efter det att tillämpningen upphävdes.

51.

Kommissionen medger att den statistik och de exempel som redovisas i utvärderingsrapporten är ”begränsade i vissa avseenden”, men den pekar ändå på ”den mycket viktiga roll som lagringen av uppgifter spelar vid brottsutredningar” (45).

52.

Europeiska datatillsynsmannen anser att kommissionen skulle ha varit mer kritisk mot medlemsstaterna. Såsom förklarats ovan kan inte vissa medlemsstaters politiska uttalanden om behovet av en sådan åtgärd ensam motivera en EU-åtgärd. Kommissionen borde ha insisterat på att medlemsstaterna skulle lämna tillräckliga bevis för att åtgärden var nödvändig. Enligt Europeiska datatillsynsmannen borde kommissionen åtminstone som villkor för att den skulle stödja lagring av uppgifter som en säkerhetsåtgärd (se s. 31 i utvärderingsrapporten) ha krävt att medlemsstaterna lämnade ytterligare bevis under konsekvensbedömningen.

53.

Huruvida lagring av uppgifter i enlighet med datalagringsdirektivet är nödvändig beror också på om det finns alternativa lösningar som inkräktar mindre på den personliga integriteten och som kunde ha gett jämförbara resultat. Detta bekräftades av EU-domstolen i dess beslut i målet Schecke i november 2010, i vilket EU-lagstiftning om offentliggörande av namn på stödmottagare som får stöd från jordbruksfonder ogiltigförklarades (46). Ett av skälen till ogiltigförklaringen var att rådet och kommissionen inte hade övervägt alternativa åtgärder som skulle vara förenliga med det mål som eftersträvades med offentliggörandet men som ändå innebar ett mindre långtgående ingrepp i berörda personers rätt till privatliv och uppgiftsskydd (47).

54.

Det alternativ som framför allt har förts fram i diskussioner i samband med datalagringsdirektivet är frysning av kommunikationsuppgifter (”quick freeze” och ”quick freeze plus”) (48). Det går ut på att, endast för specifika personer som misstänks för brottslig verksamhet, tillfälligt säkra eller ”frysa” vissa telekommunikations- och lokaliseringsuppgifter som senare kan göras tillgängliga för brottsbekämpande myndigheter med rättsligt bemyndigande.

55.

Frysning av uppgifter nämns i utvärderingsrapporten i samband med den ovannämnda konventionen om Internetrelaterad brottslighet, men den anses vara olämplig eftersom den ”inte ger någon garanti för att det kan fastställas bevis innan beslut om frysning har fattats, att en utredning kan inledas i de fall där målet för brottet inte är känt eller att bevis kan samlas in om hur offer eller vittnen till brott förflyttar sig” (49).

56.

Europeiska datatillsynsmannen medger att färre uppgifter finns tillgängliga när ett system för frysning av uppgifter används i stället för ett omfattande system för lagring av uppgifter. Det är emellertid just på grund av att frysning av uppgifter är mer målinriktad som den inkräktar mindre på den personliga integriteten i fråga om omfattning och antal personer som berörs. Bedömningen bör inte bara inriktas på tillgängliga uppgifter, utan också på de olika resultat som har uppnåtts med de båda systemen. Europeiska datatillsynsmannen anser att en mera grundlig undersökning av åtgärden är befogad och absolut nödvändig. Detta skulle kunna göras under konsekvensbedömningen de kommande månaderna.

57.

I detta avseende är det olyckligt att kommissionen i sammanfattningen av rapporten åtar sig att undersöka huruvida – och i så fall hur – EU-strategi för frysning kan komplettera (dvs. inte ersätta) lagring av uppgifter (50). Möjligheten att kombinera någon typ av system för lagring med procedurmässiga säkerhetsåtgärder i samband med olika sätt att frysa uppgifter förtjänar faktiskt att undersökas ytterligare. Europeiska datatillsynsmannen rekommenderar emellertid att kommissionen vid konsekvensbedömningen även överväger om ett system för frysning av uppgifter eller andra alternativa lösningar helt eller delvis skulle kunna ersätta det nuvarande systemet för lagring av uppgifter.

58.

Enligt Europeiska datatillsynsmannen innehåller informationen i utvärderingsrapporten inte tillräckliga bevis för att det är nödvändigt att lagra uppgifter i enlighet med datalagringsdirektivet. Ändå kan man av utvärderingsrapporten dra slutsatsen att datalagringsdirektivet har reglerat lagring av uppgifter på ett sätt som går utöver vad som är nödvändigt eller åtminstone inte har säkerställt att lagring av uppgifter inte har tillämpats på sådant sätt. I det avseendet kan fyra punkter belysas.

59.

För det första har det otydliga ändamålet med åtgärden och det vida begreppet ”behöriga nationella myndigheter” lett till att lagrade uppgifter har använts för alldeles för många syften och av alldeles för många myndigheter. Vidare är säkerhetsåtgärderna och villkoren för tillgång till uppgifterna inte konsekventa. Det har till exempel inte ställts som villkor för tillgång att den i alla medlemsstater först ska godkännas av en rättslig myndighet eller en annan oberoende myndighet.

60.

För det andra tycks den maximala lagringsperioden på två år vara längre än nödvändigt. Statistisk information från ett antal medlemsstater i utvärderingsrapporten visar att begäran om tillgång i de allra flesta fall avser uppgifter i upp till sex månader, nämligen 86 procent (51). Vidare har 16 medlemsstater valt en lagringsperiod på ett år eller mindre i sin lagstiftning (52). Detta tyder i hög grad på att en längsta period på två år är betydligt mer än de flesta medlemsstater anser vara nödvändigt.

61.

Dessutom har den omständigheten att det inte finns en enda fast lagringstid för alla medlemsstater gett upphov till olika avvikande nationella lagar som kan medföra komplikationer eftersom det inte alltid är uppenbart vilken nationell lag – om lagring av uppgifter och om uppgiftsskydd – som är tillämplig när operatörer lagrar uppgifter i en annan medlemsstat än den där uppgifterna samlas in.

62.

För det tredje är säkerhetsnivån inte tillräckligt harmoniserad. En av de viktigaste slutsatserna i artikel 29-arbetsgruppens rapport i juli 2010 var att det förekommer ett lapptäcke av säkerhetsåtgärder i de olika medlemsstaterna. Kommissionen tycks anse att säkerhetsåtgärderna i det nuvarande direktivet är tillräckliga eftersom ”det inte finns några konkreta exempel på allvarliga brott mot integriteten” (53). Det visar sig emellertid att kommissionen bara har bett medlemsstaternas regeringar rapportera om detta. För att utvärdera lämpligheten av de nuvarande säkerhetsbestämmelserna och åtgärderna behövs det mer omfattande konsultation och en mer konkret undersökning av fall av missbruk. Även om inga specifika fall av säkerhetsöverträdelser nämns i samband med rapporten tjänar brott mot uppgiftsskydd och skandaler inom området trafikuppgifter och elektronisk kommunikation också som varnande exempel i en del medlemsstater. Detta problem får inte underskattas, eftersom de lagrade uppgifternas säkerhet har avgörande betydelse för ett system för lagring av uppgifter som sådant, då det säkerställer att alla andra säkerhetsåtgärder respekteras (54).

63.

För det fjärde framgår det inte av rapporten huruvida alla kategorier av lagrade uppgifter har visat sig vara nödvändiga. Det görs bara vissa allmänna distinktioner mellan telefon- och Internetuppgifter. Några medlemsstater har valt att införa en kortare lagringstid för internetuppgifter (55). Det går dock inte att dra några generella slutsatser av detta.

64.

En annan brist hos datalagringsdirektivet är att det inte är förutsebart. Kravet på förutsebarhet härrör från det allmänna kravet i artikel 8.2 i Europakonventionen och artikel 52.1 i EU:s stadga om de grundläggande rättigheterna att en inskränkning av rättigheterna ska vara föreskriven i lag. Enligt Europadomstolen innebär det att åtgärden ska ha rättsligt stöd och följa rättsstatsprincipen. Det förutsätter att lagen är tillräckligt tillgänglig och förutsebar (56). I domen i målet Österreichischer Rundfunk betonade EU-domstolen också att lagen ska formuleras med tillräcklig precision för att medborgarna ska kunna anpassa sitt handlingssätt till den (57). Lagen måste tillräckligt tydligt ange vilket utrymme för skönsmässig bedömning som de behöriga myndigheterna har och det sätt på vilket detta utövas (58).

65.

I checklistan i kommissionens meddelande om EU:s stadga om de grundläggande rättigheterna är en av de frågor som ska besvaras också frågan om huruvida eventuella inskränkningar av de grundläggande rättigheterna är ”tydligt och rättssäkert formulerade” (59). I sitt meddelande om översikten av informationshanteringen inom området med frihet, säkerhet och rättvisa fastslog kommissionen också att medborgarna ”har rätt att få veta vilka av deras personuppgifter som behandlas och utbyts, av vem och för vilket syfte” (60).

66.

När det gäller EU-direktiv ligger ansvaret för att grundläggande rättigheter beaktas, liksom kravet på förutsägbarhet, i första hand på de medlemsstater som tillämpar direktivet i sin nationella lagstiftning. Ett välkänt krav är att de grundläggande rättigheterna respekteras vid sådan tillämpning (61).

67.

I utvärderingsrapporten betonar kommissionen också att direktivet ”inte i sig självt garanterar att uppgifterna lagras, hämtas och används helt i enlighet med rätten till integritet och skydd av personuppgifter”. Kommissionen erinrar om att ”medlemsstaterna har ansvar för att säkerställa att dessa rättigheter upprätthålls” (62).

68.

Europeiska datatillsynsmannen anser emellertid att ett EU-direktiv självt ska uppfylla kravet på förutsebarhet i viss utsträckning. Eller, för att omformulera lydelsen i EU-domstolens dom i målet Lindqvist, får det system som föreskrivs i ett direktiv inte ”brista i förutsägbarhet” (63). Detta gäller särskilt en EU-åtgärd som kräver att medlemsstaterna organiserar ingrepp i stor skala i rätten till privatliv och uppgiftsskydd för medborgarna. Europeiska datatillsynsmannen anser att EU har ansvar för att garantera åtminstone ett klart definierat ändamål och en tydlig angivelse av vem som ska kunna få tillgång till uppgifterna och under vilka villkor.

69.

Denna ståndpunkt stöds av det nya rättsliga sammanhang som skapats genom Lissabonfördraget som, vilket förklarats ovan, ökade EU:s behörighet när det gäller polissamarbete och straffrättsligt samarbete och ålade EU att i högre grad värna om grundläggande rättigheter.

70.

Europeiska datatillsynsmannen vill erinra om att kravet på ett bestämt ändamål och förbud mot att uppgifter behandlas på ett sätt som är oförenligt med detta ändamål (”principen om ändamålsbegränsning”) har grundläggande betydelse för skyddet av personuppgifter, vilket bekräftas av artikel 8 i EU:s stadga om de grundläggande rättigheterna (64).

71.

Utvärderingsrapporten visar att valet att ge medlemsstaterna utrymme för skönsmässig när det gäller att exakt definiera vad som utgör ”allvarlig brottslighet” och av vad som ska anses vara ”behöriga myndigheter” har gett upphov till ett stort antal ändamål för vilka uppgifter har använts (65).

72.

Kommissionen konstaterar att ”[m]erparten av de medlemsstater som införlivat direktivet ger, i enlighet med sin lagstiftning, tillgång till och tillåter användning av lagrade uppgifter för ändamål som sträcker sig utöver dem som anges i direktivet, inbegripet förebyggande och bekämpning av brott generellt samt risker som är livshotande” (66). Medlemsstaterna utnyttjar ”kryphålet i lagen” i samband med artikel 15.1 i direktivet om integritet och elektronisk kommunikation (67). Kommissionen anser att det är en situation som inte tillräckligt tillgodoser kravet på ”förutsägbarhet som är ett krav i eventuella lagstiftningsåtgärder som begränsar rätten till integritet” (68).

73.

Under dessa omständigheter kan man inte säga att datalagringsdirektivet som sådant, särskilt om man läser det tillsammans med direktivet om integritet och elektronisk kommunikation, ger den klarhet som behövs för att uppfylla principen om förutsebarhet på EU-nivå.

74.

Analysen i den förra delen motiverar slutsatsen att datalagringsdirektivet inte uppfyller de krav som ställs genom rätten till privatliv och uppgiftsskydd. Det står därför klart att datalagringsdirektivet inte kan fortsätta existera i sin nuvarande form. I det avseendet gör kommissionen en riktig bedömning när den föreslår att det nuvarande systemet för lagring av uppgifter ska ses över (69).

75.

Innan en reviderad version av direktivet föreslås

76.

Vid konsekvensbedömningen bör det dessutom undersökas om alternativa lösningar som inkräktar mindre på den personliga integriteten skulle ha kunnat och fortfarande skulle kunna ge jämförbara resultat. Kommissionen bör ta initiativ till detta, om det behövs med stöd av externa experter.

77.

Europeiska datatillsynsmannen välkomnar att kommissionen har tillkännagett ett samråd med alla berörda intressenter vid konsekvensbedömningen (70). I detta avseende uppmanar Europeiska datatillsynsmannen kommissionen att finna nya sätt att direkt involvera medborgarna i samrådet.

78.

Det bör understrykas att en bedömning av nödvändigheten och undersökningen av alternativa lösningar som inkräktar mindre på den personliga integriteten bara kan genomföras på ett rättvist sätt om alla alternativ för direktivets framtid lämnas öppna. I det avseendet tycks kommissionen utesluta möjligheten att upphäva direktivet, antingen som en enda åtgärd eller tillsammans med ett förslag till en alternativ, mer målinriktad EU-åtgärd. Europeiska datatillsynsmannen uppmanar därför kommissionen att också allvarligt överväga dessa alternativ vid konsekvensbedömningen.

79.

Bara om det råder enighet om behovet av EU-regler med tanke på den inre marknaden och polissamarbete och straffrättsligt samarbete, och om nödvändigheten av lagring av uppgifter som stöds och regleras av EU kan visas tillräckligt vid konsekvensbedömningen, vid vilken alternativa åtgärder noga bör övervägas, kan ett framtida datalagringsdirektiv övervägas.

80.

Europeiska datatillsynsmannen förnekar inte att lagrade uppgifter är värdefulla för brottsbekämpning och att de kan spela en avgörande roll i vissa fall. Liksom tyska Bundesverfassungsgericht utesluter inte Europeiska datatillsynsmannen att en väldefinierad skyldighet att lagra telekommunikationsuppgifter kan vara motiverad under vissa mycket stränga villkor (71).

81.

Ett eventuellt framtida EU-instrument om lagring av uppgifter ska därför uppfylla följande grundläggande krav:

82.

Europeiska datatillsynsmannen kommer naturligtvis att noga granska alla framtida förslag beträffande lagring av uppgifter mot bakgrund av dessa grundläggande villkor.

83.

Europeiska datatillsynsmannen välkomnar att kommissionen, även om det inte var ett absolut krav enligt artikel 14 i datalagringsdirektivet, i sin rapport också tog hänsyn till direktivets konsekvenser för de grundläggande rättigheterna.

84.

Utvärderingsrapporten visar att direktivet inte har fyllt sitt viktigaste syfte, nämligen att harmonisera nationell lagstiftning beträffande lagring av uppgifter. Sådan avsaknad av harmonisering är till men för alla berörda parter: för såväl medborgarna, företagarna som de brottsbekämpande myndigheterna.

85.

Man kan med stöd av utvärderingsrapporten dra slutsatsen att datalagringsdirektivet av följande skäl inte uppfyller de krav som ställs genom rätten till privatliv och uppgiftsskydd.

86.

Europeiska datatillsynsmannen uppmanar kommissionen att allvarligt överväga alla alternativ vid konsekvensbedömningen, inbegripet möjligheten att upphäva direktivet, antingen som en enda åtgärd eller tillsammans med ett förslag till en alternativ, mer målinriktad EU-åtgärd.

87.

Ett framtida datalagringsdirektiv kan bara övervägas om det råder enighet om behovet av EU-regler med tanke på den inre marknaden och polissamarbete och straffrättsligt samarbete, och om nödvändigheten av lagring av uppgifter som stöds och regleras av EU kan visas tillräckligt vid konsekvensbedömningen, vid vilken alternativa åtgärder noga bör övervägas. Ett sådant instrument ska uppfylla följande grundläggande krav:

23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/11

1.

Den 17 mars 2011 antog kommissionen ett förslag till Europaparlamentets och rådets förordning om ändring av förordning (EG) nr 1073/1999 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) och om upphävande av förordning (Euratom) nr 1074/1999 (nedan kallat förslaget).

2.

Rådet skickade förslaget till Europeiska datatillsynsmannen den 8 april 2011. Europeiska datatillsynsmannen uppfattar meddelandet som en begäran om rådgivning åt gemenskapsinstitutioner och gemenskapsorgan så som föreskrivs i artikel 28.2 i förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (nedan kallad förordning (EG) nr 45/2001). Europeiska datatillsynsmannen välkomnar den uttryckliga hänvisningen till detta samråd i inledningen till förslaget.

3.

Syftet med förslaget är att ändra artiklarna 1–14 och att stryka artikel 15 i förordning (EG) nr 1073/1999. Rådets förordning (Euratom) nr 1074/1999 av den 25 maj 1999 om utredningar som utförs av Europeiska byrån för bedrägeribekämpning (Olaf) förväntas bli upphävd.

4.

Tidigare (3), innan förslaget antogs, gav kommissionen Europeiska datatillsynsmannen möjlighet att lämna informella kommentarer. Europeiska datatillsynsmannen välkomnar öppenheten i processen, vilken på ett tidigt stadium har bidragit till att förbättra texten ur uppgiftsskyddssynpunkt. Några av kommentarerna har faktiskt beaktats i förslaget.

5.

Den nya texten är ett resultat av en lång översynsprocess. År 2006 lade kommissionen fram ett förslag om ändring av förordning (EG) nr 1073/1999. Lagförslaget inriktades på att ”effektivisera den operativa verksamheten och förbättra Olafs kontrollsystem”.

6.

Det tidigare förslaget diskuterades både i rådet och i Europaparlamentet under medbeslutandeförfarandet. Europeiska datatillsynsmannen avgav sitt yttrande i april 2007 med många synpunkter på hur texten till förslaget skulle göras mer samstämmig med reglerna för uppgiftsskydd i förordning (EG) nr 45/2001 (4). Europaparlamentet antog en resolution den 20 november 2008 (5) och inbegrep cirka etthundra ändringar av förslaget vid den första behandlingen.

7.

På begäran av rådets tjeckiska ordförandeskap (januari–juni 2009) lade kommissionen i juli 2010 fram ett aktualiserat diskussionsunderlag om omorganisationen av Olaf för Europaparlamentet och rådet. I oktober välkomnade Europaparlamentet diskussionsunderlaget och uppmanade kommissionen att återuppta lagstiftningsförfarandet. Den 6 december 2010 antog rådet sina slutsatser om det diskussionsunderlag som kommissionen hade lagt fram. Olafs övervakningskommitté bidrog till diskussionerna genom sina yttranden om diskussionsunderlaget och om respekten för de grundläggande rättigheterna och rättssäkerheten i Olafs utredningar. Kommissionen har därefter lagt fram det nya förslaget.

8.

I förslaget ingår bestämmelser som i hög grad påverkar enskilda personers rättigheter. Olaf kommer att fortsätta att samla in och ytterligare behandla känsliga uppgifter i samband med misstänkta förseelser, förseelser, brottmålsdomar och information varigenom enskilda kan uteslutas från en rättighet, en förmån eller ett avtal i den mån som informationen utgör en särskild risk för de registrerades rättigheter och friheter. Den grundläggande rätten till skydd av personuppgifter är av betydelse inte bara för dess egen skull, utan den har nära samband med andra grundläggande rättigheter, som rätten till icke-diskriminering och ett korrekt rättsförfarande och rätten att höras i Olafs utredningar. Respekten för ett korrekt rättsförfarande påverkar bevisningens giltighet och bör prioriteras av Olaf för att stärka dess ansvarsskyldighet. Det är därför viktigt att säkerställa att grundläggande rättigheter inbegripet de berörda personernas rätt till uppgiftsskydd och privatliv garanteras när Olaf genomför sina utredningar.

9.

Förslagets syfte är att öka Olafs verkan, effektivitet och ansvarsskyldighet samtidigt som oberoende undersökningar garanteras. Detta syfte ska framför allt uppnås genom att i) öka samarbetet och informationsutbytet med andra EU-institutioner, EU-organ och EU-byråer och med medlemsstaterna, ii) finjustera de minimis-strategin (6) för utredningar, iii) stärka rättssäkerhetsgarantierna för de personer som berörs av Olafs utredningar, iv) göra det möjligt för Olaf att ingå administrativa avtal för att underlätta informationsutbytet med Europol, Eurojust, behöriga myndigheter i tredjeland och internationella organisationer och v) förtydliga övervakningskommitténs övervakande roll.

10.

Europeiska datatillsynsmannen stöder syftet med de föreslagna ändringarna och välkomnar förslaget i detta avseende. Europeiska datatillsynsmannen välkomnar särskilt att en ny artikel 7a införts som avser de rättssäkerhetsgarantier som ges till enskilda. När det gäller enskildas rätt till skydd av personuppgifter och privatliv anser Europeiska datatillsynsmannen att förslaget på det hela taget innehåller förbättringar i förhållande till den nuvarande situationen. Europeiska datatillsynsmannen välkomnar särskilt att betydelsen av de registrerade personernas rättigheter enligt artiklarna 11 och 12 i förordning (EG) nr 45/2001 (7) uttryckligen erkänns.

11.

Även om helhetsintrycket är positivt anser Europeiska datatillsynsmannen att när det gäller skydd av personuppgifter skulle förslaget kunna förbättras ytterligare utan att syftet äventyras. Europeiska datatillsynsmannen befarar i synnerhet att förslaget, på grund av den bristande samstämmigheten beträffande vissa aspekter, kan tolkas som en speciallag som reglerar behandling av personuppgifter som samlas in i samband med Olafs utredningar som skulle ha företräde framför tillämpningen av den allmänna ramen för dataskyddsbestämmelser enligt förordning (EG) nr 45/2001. Det finns således risk för att dataskyddsnormerna i förslaget kan tolkas ex contrario som varande normer av lägre rang än normerna i förordningen, och till detta finns ingen uppenbar förklaring vare sig i själva förslaget eller i motiveringen.

12.

För att undvika detta analyseras förslaget i de följande avsnitten. Dels beskrivs bristerna i förslaget, dels ges förslag till speciella lösningar för att åtgärda bristerna. Analysen begränsas till de bestämmelser som direkt påverkar skyddet av personuppgifter, särskilt artikel 1, punkterna 8, 9, 10, 11 och 12, enligt vilka artiklarna 7a, 7b, 8, 9, 10 och10a läggs till eller ändras.

13.

Olaf inrättades år 1999 (8) för att skydda EU:s finansiella intressen och skattebetalarnas pengar mot bedrägerier, korruption och annan olaglig verksamhet. Byrån är knuten till kommissionen, men den är oberoende av denna. Olaf gör utredningar som kan vara externa (9) (särskilt utredningar som kan äga rum i medlemsstaterna och i tredjeländer) och interna (10) (utredningar inom EU:s institutioner, organ, och byråer) för att bekämpa bedrägerier och illegal verksamhet som kan skada Europeiska unionens finansiella intressen.

14.

Olaf kan dessutom i) vidarebefordra information som har framkommit under dess externa utredningar till nationella behöriga myndigheter, ii) vidarebefordra information till de nationella organen inom rättsväsendet vilken har framkommit under interna utredningar av ärenden som kan leda till straffrättsliga åtgärder och iii) vidarebefordra information som har erhållits under interna utredningar till den berörda institutionen eller byrån eller det berörda organet (11).

15.

Olaf får också ha nära samarbete med Eurojust (12) och Europol (13) för att fullgöra sin lagstadgade skyldighet att bekämpa bedrägerier, korruption och annan verksamhet som kan påverka unionens finansiella intressen. Europol (14) och Eurojust (15) kan i detta sammanhang utbyta operativ, strategisk och teknisk information, inbegripet personuppgifter, med Olaf.

16.

Med stöd av förordning (EG) nr 1073/1999 får Olaf också göra utredningar i tredjeländer i enlighet med de olika samarbetsavtal som gäller mellan Europeiska unionen och dessa tredjeländer. Bedrägerier som är till nackdel för unionens budget kan också äga rum utanför Europeiska unionens territorium, till exempel när det gäller utländskt bistånd som Europeiska unionen beviljar utvecklingsländer, kandidatländer eller andra mottagarländer, eller när det gäller brott mot tullagstiftningen. För att på ett effektivt sätt upptäcka och ta itu med dessa överträdelser måste Olaf således genomföra kontroller och inspektioner på platsen också i tredjeländer. Betydelsen av internationellt samarbete och således också utbyte av uppgifter visas av att Europeiska unionen för närvarande har mer än 50 avtal om ömsesidigt administrativt bistånd i tullärenden, till exempel med stora handelspartner som Kina, USA, Japan, Turkiet, Ryssland och Indien.

17.

Tillämpningen av förordning (EG) nr 45/2001 i samband med Olafs verksamhet har varit målet med ett antal av Europeiska datatillsynsmannens interventioner de senaste åren. I samband med förslagets inriktning (Olafs utredningar) är det värt att notera yttrandet av den 23 juni 2006 om en anmälan om förhandskontroll beträffande Olafs interna utredningar (16), yttrandet av den 4 oktober 2007 om fem anmälningar om förhandskontroll beträffande externa utredningar (17) och yttrandet av den 19 juli 2007 om en anmälan om förhandskontroll beträffande regelbunden övervakning av genomförandet av den utredande funktion (18) som har samband med övervakningskommitténs utredande verksamhet.

18.

Varken i förslaget eller i den bifogade motiveringen nämns förslagets konsekvenser för bestämmelserna om uppgiftsskydd. Någon konsekvensbedömning vad gäller personlig integritet och uppgiftsskydd nämns inte heller i förslaget. En förklaring av hur konsekvenserna för uppgiftsskyddet har hanterats skulle säkerligen göra helhetsbedömningen av förslaget tydligare. Europeiska datatillsynsmannen är förvånad över att det i motiveringen överhuvudtaget inte finns något kapitel om ”Resultat av samråd med berörda parter och konsekvensbedömningar”.

19.

Såsom nämnts i det förra yttrandet om 2006 års förslag (19) välkomnar Europeiska datatillsynsmannen att det i förslaget erkänns att förordning (EG) nr 45/2001 gäller all behandling av uppgifter som utförs av Olaf. I den nya formuleringen av artikel 8.4 (20) nämns i synnerhet tydligt förordningens roll i samband med Olafs olika åtgärder. Detta är en aktualisering av texten i förordning (EG) nr 1073/1999, i vilken direktiv 95/46/EG bara nämndes som referens för skyldigheter i fråga om uppgiftsskydd.

20.

Genom den sista meningen i artikel 8.4 införs kravet att utse ett uppgiftsskyddsombud. ”Olaf ska utse ett uppgiftsskyddsombud i enlighet med artikel 24 i förordning (EG) nr 45/2001”. Detta tillägg genom vilket den faktiska tillsättningen av Olafs uppgiftsskyddsombud formaliseras välkomnas också av Europeiska datatillsynsmannen.

21.

Europeiska datatillsynsmannen befarar emellertid att införandet av dataskyddsnormer i den föreslagna texten inte helt överensstämmer med kraven i förordningen, och det kan vara ett problem när det gäller samstämmigheten. Denna aspekt analyseras i detalj nedan.

22.

Olafs utredningar kan få allvarliga konsekvenser för enskildas grundläggande rättigheter. Såsom EU-domstolen påpekade i domen i målet Kadi  (21) skyddas dessa rättigheter genom gemenskapsrätten. I domen i målet Schecke  (22) betonar domstolen närmare bestämt, genom att hänvisa till Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) (23), och i synnerhet till artiklarna 8 och 52, att all inskränkning av rätten till uppgiftsskydd bara kan motiveras om den föreskrivs i lag, om kärnan i rättigheten respekteras, om proportionalitetsprincipen tillämpas och om Europeiska unionens allmännyttiga mål uppfylls. Europeiska datatillsynsmannen lägger stor vikt vid respekten för de grundläggande rättigheterna inom området för Olafs verksamhet.

23.

I skäl 13 i förslaget klargörs det att de grundläggande rättigheter som de personer har som berörs av en utredning alltid ska respekteras, och särskilt när information om pågående utredningar lämnas. I skälet betonas sedan att det är nödvändigt att iaktta sekretess beträffande utredningar, att respektera de berörda personernas legitima rättigheter, de nationella bestämmelser som gäller för rättsliga förfaranden och slutligen unionens lagstiftning om uppgiftsskydd. Det anges att proportionalitetsprincipen och principen om behovsenlig behörighet ska gälla för utbytet av information.

24.

Genom detta skäl tycks en begränsning införas när det gäller tillämpning av grundläggande rättigheter både ratione personae (begränsat till personer som berörs av utredningen) och ratione materiae (begränsat till utbyte av information). Detta kan leda till en felaktig tolkning av den text enligt vilken grundläggande rättigheter inom området för Olafs verksamhet skulle tillämpas ”restriktivt” (24).

25.

Europeiska datatillsynsmannen föreslår därför att texten i skälet ändras för att undvika eventuella feltolkningar: i skälet nämns att ”de utredda personernas” grundläggande rättigheter alltid bör respekteras. Eftersom Olaf inte bara har att göra med personer som berörs av en utredning (”misstänkta”) utan också med uppgiftslämnare (personer som lämnar information om omständigheterna i ett möjligt eller faktiskt ärende), whistleblowers (25) (personer inom EU:s institutioner som rapporterar till Olaf om omständigheter i samband med ett möjligt eller faktiskt ärende) och vittnen, bör de kategorier av ”personer” som åtnjuter de grundläggande rättigheterna ges en mer vidsträckt definition.

26.

Vidare avser skäl 13 respekt för grundläggande rättigheter särskilt i samband med ”informationsutbyte”. I skälet nämns förutom grundläggande rättigheter och sekretess att ”[u]ppgifter som överlämnas eller erhålls i samband med utredningarna bör behandlas enligt unionens bestämmelser om skydd av personuppgifter”. Placeringen av denna mening kan vara förvirrande, och den bör placeras i ett separat skäl för att klarlägga att respekt för dataskyddslagstiftning är åtskild och fristående och inte bara har samband med informationsutbyte.

27.

Europeiska datatillsynsmannen välkomnar att artikel 7a ägnas speciellt åt rättssäkerhetsgarantier under utredningar. Denna nya bestämmelse är i linje med förslagets syfte att öka Olafs ansvarsskyldighet. I artikeln hänvisas också till stadgan i vilken finns bestämmelser som har betydelse i samband med Olafs utredningar, nämligen artikel 8 (”Skydd av personuppgifter”) och hela avdelning VI (”Rättskipning”).

28.

I artikel 7a.1 i förslaget föreskrivs att byrån ska beakta omständigheter som talar såväl för som emot de berörda personerna och att utredningarna ska utföras på ett objektivt och opartiskt sätt. Dessa principer har positiv inverkan på principen om ”uppgifternas kvalitet” (26) som anges i artikel 4 i förordning (EG) nr 45/2001, såtillvida som kriteriet kräver att uppgifterna ska vara riktiga, överensstämma med verkligheten och vara fullständiga och aktuella. Europeiska datatillsynsmannen välkomnar därför att detta stycke har införts.

29.

Följande stycken i artikel 7a avser de olika stegen i Olafs utredningar. Dessa steg kan sammanfattas enligt följande: i) intervjuer med vittnen eller berörda personer (artikel 7a.2), ii) personer som funnits vara berörda av utredningarna (artikel 7a.3), iii) slutsatser i utredningen som avser en persons namn (artikel 7a.4).

30.

Europeiska datatillsynsmannen konstaterar att skyldigheten att lämna information enligt artiklarna 11 och 12 i förordning (EG) nr 45/2001 (endast) nämns i samband med steg iii) ovan. Europeiska datatillsynsmannen välkomnar att Europeiska datatillsynsmannens rekommendationer i dennes yttrande om lagförslag 2006 (27) har tagits med i förslaget.

31.

Om en registrerad persons rättigheter i samband med ett enda skede i förfarandet nämns på ett sådant selektivt sätt kan detta emellertid tolkas som att samma information inte ska lämnas till den registrerade personen (vittnet eller personen i fråga) när han eller hon kallas till intervju eller när den anställde informeras om att han eller hon kan beröras av utredningen. För att ge rättslig säkerhet föreslår Europeiska datatillsynsmannen därför att hänvisningen till artiklarna i fråga förs in beträffande alla tre situationerna som nämns i punkterna i), ii) och iii) ovan. När informationen i samband med artiklarna 11 eller 12 i förordning (EG) nr 45/2001 har lämnats till den registrerade personen kommer det emellertid inte att vara nödvändigt att lämna samma information i de följande stegen.

32.

I texten anges dessutom inga detaljer beträffande de registrerade personernas rätt till tillgång till och rättelse av uppgifterna i enlighet med artiklarna 13 och 14 i förordning (EG) nr 45/2001. Dessa rättigheter skyddas genom artikel 8.2 i stadgan och har därför en särskilt framskjuten ställning bland den registrerade personens rättigheter. Europeiska datatillsynsmannen hade redan bett (28) om att den registrerade personens rätt till tillgång och rättelse skulle anges tydligare för att undvika risken för att texten tolkas som att det genom denna införs ett särskilt uppgiftsskyddssystem av ”lägre rang” för de personer som berörs av Olafs utredningar. Europeiska datatillsynsmannen beklagar att dessa aspekter inte beaktas i förslaget.

33.

Europeiska datatillsynsmannen vill också peka på möjligheten att begränsa rätten till information, tillgång och rättelse i speciella fall, vilket anges i artikel 20 i förordning (EG) nr 45/2001. Olafs skyldighet att följa reglerna för uppgiftsskydd kan därför gälla samtidigt som det är nödvändigt att iaktta sekretess i dess utredningar. Denna aspekt behandlas ytterligare i nedanstående punkter.

34.

Som en allmän kommentar medger Europeiska datatillsynsmannen att Olafs utredande roll kräver att utredningssekretessen kan skyddas för att på ett effektivt sätt ta itu med bedrägerier och olaglig verksamhet, vilket är Olafs skyldighet. Europeiska datatillsynsmannen vill dock betona att denna möjlighet får konsekvenser för vissa rättigheter som registrerade personer har och att det i förordning (EG) nr 45/2001 anges särskilda omständigheter under vilka sådana rättigheter kan begränsas i detta sammanhang (artikel 20).

35.

Enligt artikel 20 i förordning (EG) nr 45/2001 kan de rättigheter som anges i artiklarna 4 (uppgifternas kvalitet) och 11–17 (information som ska ges, rätt till tillgång, rättelse, blockering, utplåning, rätt till meddelande till tredje man) begränsas när det är nödvändigt för att bland annat ”a) förebygga, utreda, avslöja eller beivra brott” eller ”b) skydda ekonomiska och finansiella intressen för medlemsstaterna eller Europeiska gemenskaperna” och ”e) säkerställa en övervakande, inspekterande […] uppgift som är förenad med myndighetsutövning, i fall som avses i punkterna a och b ovan”. I samma artikel föreskrivs att de huvudsakliga skälen till att en begränsning har införts ska meddelas den registrerade personen och att personen ska informeras om möjligheten att vända sig till Europeiska datatillsynsmannen (artikel 20.3). I artikel 20.5 föreskrivs vidare att meddelandet kan uppskjutas så länge som det skulle göra den begränsning som införts verkningslös om informationen lämnades.

36.

Genom texten till förslaget införs huvudsakligen undantag från registrerade personers rättigheter för utredningssekretessens skull. I artikel 7a.4 föreskrivs att ”[u]tan hinder av det som sägs i artikel 4.6 och artikel 6.5” (29), får inga slutsatser dras om namngivna personer ”i utredningens slutskede utan att de berörda personerna dels beretts tillfälle att yttra sig om samtliga omständigheter som gäller dem, antingen skriftligen eller vid intervju […], dels fått ta del av de uppgifter som krävs enligt artikel 11 och 12 i förordning (EG) nr 45/2001”. Av texten tycks därför framgå att den registrerade personens rätt att höras och rätt till information kan begränsas i de fall som anges i artiklarna 4.6 och 6.5.

37.

I förslaget fastslås också att om utredningssekretessen måste skyddas och omständigheterna kräver utredningsåtgärder som ingår i en nationell rättslig myndighets behörighet får Olafs generaldirektör vänta med att göra det möjligt för personen att yttra sig. I texten anges inte huruvida även den information som krävs i artiklarna 11 och 12 i förordning (EG) nr 45/2001 ska uppskjutas i detta sammanhang.

38.

Texten är oklart formulerad. För det första finns det alls inget klart samband mellan de eventuella begränsningarna av den utredda personens rättigheter när det gäller slutsatser som har samband med hans eller hennes namn och den typ av information som Olaf ska lämna till EU-organet i fråga i den aktuella undersökningen. För det andra är det inte klart vilka kategorier av den registrerade personens rättigheter som eventuellt ska begränsas. I artikeln införs för det tredje inte det nödvändiga skyddet i artikel 20.3 i förordning (EG) nr 45/2001.

39.

Konsekvensen skulle kunna bli att enskilda i vissa fall kan konfronteras med slutsatser om utredningen utan att ha känt till att de är föremål för utredningen och utan att få information om skälen till att deras rätt att höras och rätt till information enligt artiklarna 11 och 12 i förordning (EG) nr 45/2001 har begränsats.

40.

Om artikel 20.3 och 20.5 i förordning (EG) nr 45/2001 beaktas står ett sådant scenario i sig inte i strid med förordningen. Den omständigheten att det i texten inte finns någon tydlig hänvisning till artiklarna i förordningen tycks emellertid inte överensstämma med förslagets syfte att stärka rättssäkerhetsgarantierna för personer som berörs av Olafs utredningar och att öka Olafs ansvarsskyldighet.

41.

Europeiska datatillsynsmannen föreslår därför att en möjlig begränsning av den registrerade personens rätt i den mening som avses i artikel 20 i förordning (EG) nr 45/2001 uttryckligen införs. Dessutom bör rättssäkerhetsgarantin i artikel 20.3 nämnas i texten liksom det möjliga undantaget i artikel 20.5. Genom en sådan klar bestämmelse skulle den rättsliga säkerheten för den registrerade personen och Olafs ansvarsskyldighet öka.

42.

Sammanfattningsvis föreslår Europeiska datatillsynsmannen att följande anges tydligt i texten för att fastställa en tydlig uppsättning rättigheter för den registrerade personen och för att införa möjliga undantag på grund av utredningssekretessen i enlighet med artikel 20 i förordning (EG) nr 45/2001:

43.

Europeiska datatillsynsmannen vill betona att all information om utredningar som Olaf eventuellt offentliggör kan innehålla känsliga personuppgifter, och man måste noga överväga om det är nödvändigt att offentliggöra uppgifterna. I domen i målet Nikolaou år 2007 (31) fastställde tribunalen att Olaf hade åsidosatt artikel 8.3 i förordning 1073/1999 (32) och förordning (EG) nr 45/2001 genom att inte vederbörligen iaktta sin skyldighet att säkerställa skyddet av personuppgifter i samband med en ”läcka” (33) och offentliggörande av ett pressmeddelande (34).

44.

Europeiska datatillsynsmannen välkomnar därför införandet av punkt 8.5 i vilken uttryckligen föreskrivs att generaldirektören ska se till att information till allmänheten lämnas på ett ”neutralt och opartiskt” sätt i enlighet med de principer som fastställs i artiklarna 8 och 7a. Mot bakgrund av de kommentarer som lämnats ovan i artikel 7a i samband med den restriktiva tillämpningen av reglerna i förordning (EG) nr 45/2001 välkomnar Europeiska datatillsynsmannen särskilt hänvisningen i artikel 8.5 till den mer allmänna bestämmelsen i artikel 8, vilken innebär att all behandling av personuppgifter i samband med information till allmänheten ska utföras i enlighet med alla principerna i förordning (EG) nr 45/2001.

45.

Europeiska datatillsynsmannen skulle i samband med den aktuella översynen vilja hålla fast vid behovet av att införa en särskild bestämmelse för att garantera sekretess beträffande whistleblowers och uppgiftslämnares identitet. Europeiska datatillsynsmannen understryker att whistleblowers har en känslig ställning. Personer som lämnar sådan information bör garanteras att sekretess iakttas beträffande deras identitet, särskilt gentemot den person som rapporteras ha gjort sig skyldig till en överträdelse (35). De nuvarande garantierna (kommissionens meddelande SEK(2004) 151/2) är inte tillräckliga ur rättslig synvinkel. Europeiska datatillsynsmannen konstaterar att en sådan bestämmelse skulle vara i linje med artikel 29-gruppens yttrande om interna system för whistleblowing (36).

46.

Europeiska datatillsynsmannen rekommenderar att det nuvarande förslaget ändras och att det säkerställs att sekretess iakttas beträffande whistleblowers och uppgiftslämnares identitet under utredningarna så länge som detta inte står i strid med nationella bestämmelser som reglerar rättsprocesser. I synnerhet kan den som är föremål för anklagelser ha rätt att känna till whistleblowers och/eller uppgiftslämnares identitet för att inleda rättsliga förfaranden mot dessa, om det har fastställts att de uppsåtligen har lämnat felaktiga uppgifter om honom eller henne (37).

47.

Europeiska datatillsynsmannen välkomnar de specificeringar som gjorts i skäl 6 och artikel 10a och särskilt införandet av kravet på en klar rättslig grund för samarbetet med Eurojust och Europol, vilket är helt i linje med förordning (EG) nr 45/2001. Förslaget bör dock vara mer detaljerat så att det avspeglar de olika systemen för uppgiftsskydd för Eurojust och Europol.

48.

Idag har Olaf en praktisk överenskommelse med Eurojust (38) som anger de villkor enligt vilka överföringen av personuppgifter får äga rum. I samarbetet mellan Olaf och Eurojust ingår i synnerhet utbyte av sammanfattningar av ärenden, av ärenderelaterad strategisk och operativ information, deltagande i möten och ömsesidigt bistånd som kan bidra till ett funktionsdugligt och effektivt genomförande av deras respektive uppgifter. I den praktiska överenskommelsen (39) definieras framför allt arbetssättet för utbytet av information, inbegripet personuppgifter, och i några fall betonas eller specificeras också vissa delar av den befintliga rättsliga ramen.

49.

När det gäller Europol finns ingen sådan överenskommelse med Olaf (40), men enligt Europolbeslutet får Europol direkt ta emot, använda och överföra uppgifter, innefattande personuppgifter, från – bland andra – Olaf också innan en formell överenskommelse om utbyte träffas så länge som det är nödvändigt för ett lagenligt utförande av Europols och Olafs uppgifter (41). Ett villkor för utbytet är också att det finns ett sekretessavtal mellan de båda enheterna. I artikel 24 i Europolbeslutet anges vissa säkerhetsåtgärder som Europol ska iaktta i samband med all överföring av uppgifter som äger rum innan en formell överenskommelse om utbyte träffas: ”Europol ska ansvara för att överföringen av uppgifter är laglig. Europol ska föra ett register över alla överföringar som utförs enligt denna artikel och över grunderna för överföringarna. Uppgifter får överföras endast om mottagaren gör ett åtagande om att uppgifterna kommer att användas endast för de ändamål för vilka de överfördes”. I artikel 29 i samma beslut anges också när ansvaret för de uppgifter som överförs av tredje man ligger på Europol.

50.

Europeiska datatillsynsmannen förespråkar med kraft att en särskild överenskommelse träffas med Europol om överföring av uppgifter, och den omständigheten att någon sådan överenskommelse hittills inte har träffats ökar behovet av särskilda garantier i texten till förslaget. Med tanke på de olika systemen för uppgiftsskydd i samband med överföring av personuppgifter från Olaf till Eurojust och Europol och vice versa anser Europeiska datatillsynsmannen att de nödvändiga garantier och normer som reglerar samarbetet mellan Olaf och dessa organ bör anges tydligare och beaktas i nuvarande och framtida arbetsavtal mellan dessa.

51.

För att betona behovet av att ingå ett administrativt avtal bör bestämmelsen i artikel 10a.2 ändras till ”Olaf ska enas om sådana administrativa avtal […]”. På så sätt skulle den liknande bestämmelsen i Europolbeslutet (42) avspeglas, genom vilken fastställs att Europol ska träffa överenskommelser eller arbetsavtal med andra institutioner, organ och byråer i unionen. I artikel 10a i förslaget skulle dessutom kunna klargöras att utbytet av personuppgifter med Eurojust och Europol som en allmän princip bör begränsas till och inte gå utöver vad som är nödvändigt för ett lagenligt utförande av Olafs, Europols och Eurojusts uppgifter. I förslaget bör också införas en skyldighet för Olaf att föra register över alla överföringar av uppgifter och grunderna för sådana överföringar, för att öka Olafs ansvarsskyldighet när det gäller att genomföra skyldigheterna enligt förordning (EG) nr 45/2001beträffande överföringar av personuppgifter.

52.

I punkt 3 i artikel 10a nämns att ”Olaf också […] vid behov [får] ingå administrativa avtal med behöriga myndigheter i tredjeland och med internationella organisationer. Olaf ska samordna sig med kommissionens behöriga enheter och Europeiska utrikestjänsten”.

53.

Europeiska datatillsynsmannen välkomnar att Olafs samarbete med tredjeland och internationella organisationer kopplas till att administrativa avtal ingås. Följderna för uppgiftsskyddet av det eventuella utbytet av uppgifter med tredjeland och internationella organisationer bör dock tas upp mer specifikt i förslaget.

54.

Förslaget bör vara mera preciserat när det gäller de särskilda kraven och villkoren för eventuella överföringar av uppgifter från och till tredjeland och organisationer. Europeiska datatillsynsmannen förordar att också följande formulering tas med i texten till artikel 10a.3: ”I den mån samarbete med internationella organisationer och tredjeland innebär att personuppgifter överförs från Olaf till andra enheter ska överföringen äga rum i enlighet med kriterierna i artikel 9 i förordning (EG) nr 45/2001”.

55.

Europeiska datatillsynsmannen välkomnar formuleringen i artikel 11 i förslaget enligt vilken ”[ö]vervakningskommittén får be Olaf om ytterligare uppgifter om utredningar när situationen så kräver utan att störa pågående utredningar”, eftersom formuleringen uttrycker nödvändighetsprincipen i samband med all eventuell överföring av personuppgifter från Olaf till övervakningskommittén.

56.

Frågan om övervakningskommitténs tillgång till personuppgifter för personer som berörs eller eventuellt berörs av utredningar bör också klarläggas i samband med den arbetsordning som kommittén ska anta i enlighet med den nya artikeln 11.6. Europeiska datatillsynsmannen skulle uppskatta att bli involverad i processen som ska leda till att övervakningskommitténs arbetsordning antas. Samråd med Europeiska datatillsynsmannen skulle också kunna införas i texten till förslaget som ett krav för att anta arbetsordningen.

57.

Utöver de speciella punkter som nämnts ovan vill Europeiska datatillsynsmannen uppmana kommissionen att föreslå att Olaf tillämpar ett öppnare tillvägagångssätt när det gäller EU:s uppgiftsskyddssystem. Det skulle vara rätt tidpunkt för Olaf att utveckla en strategisk planering av efterlevnaden av uppgiftsskyddet genom att frivilligt klarlägga det praktiska tillvägagångssättet för behandlingen av dess många register som innehåller personuppgifter. Olaf skulle kunna förklara proaktivt och offentligt hur personuppgifter behandlas i dess olika aktiviteter. Europeiska datatillsynsmannen anser att en sådan global och uttrycklig strategi skulle leda till att Olafs behandling av personuppgifter blev mer öppen och utredningsprocesserna mer användarvänliga.

58.

Europeiska datatillsynsmannen föreslår därför att generaldirektören genom bestämmelserna i förslaget ges i uppgift att säkerställa att en omfattande översikt över Olafs alla olika åtgärder inom behandling av uppgifter genomförs och hålls aktuell, eller att detta åtminstone förklaras i ett skäl. En sådan översikt – vars resultat bör vara klara och tydliga genom till exempel en årlig rapport eller genom andra alternativ – skulle inte bara öka effektiviteten i Olafs olika åtgärder och deras växelverkan, utan också uppmuntra Olaf till att anta en mera global strategi i fråga om nödvändigheten av och proportionaliteten hos åtgärderna inom behandling av uppgifter. Det skulle också vara till hjälp för Olaf att bättre visa att byrån på vederbörligt sätt inför inbyggda säkerhetsmekanismer och principer om ansvarsskyldighet.

59.

Sammanfattningsvis välkomnar Europeiska datatillsynsmannen de ändringar som har införts i texten och som medför att förslaget bättre överensstämmer med EU:s system för uppgiftsskydd.

60.

Europeiska datatillsynsmannen skulle emellertid också vilja belysa ett antal brister som bör åtgärdas genom ändringen av texten, och framför allt följande:

23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/20

1.

Den 8 december 2010 antog Europeiska kommissionen ett förslag till Europaparlamentets och rådets förordning om integritet och öppenhet på energimarknaderna (3) (”förslaget”).

2.

Kommissionen samrådde inte med Europeiska datatillsynsmannen, trots att detta krävs enligt artikel 28.2 i förordning (EG) nr 45/2001. Datatillsynsmannen har handlat på eget initiativ och antagit detta yttrande i enlighet med artikel 41.2 i samma förordning. Datatillsynsmannen är medveten om att detta råd kommer i ett sent skede av lagstiftningsförfarandet, men anser likväl att det är lämpligt och av värde att framföra detta yttrande, eftersom förslaget kan få stor betydelse för rätten till integritet och skydd av personuppgifter. En hänvisning till detta yttrande bör införas i ingressen i förslaget.

3.

Huvudsyftet med förslaget är att förhindra marknadspåverkan och insiderhandel på grossistmarknaderna för energi (gas och elektricitet). Marknadsintegritet och öppenhet på grossistmarknaderna, där det bedrivs handel med gas och elektricitet mellan energiproducerande företag och näringsidkare, är av avgörande betydelse för konsumenternas slutpris.

4.

Syftet med detta förslag är därför att fastställa omfattande bestämmelser på EU-nivå för att förhindra näringsidkare från att använda insiderinformation till sin egen fördel samt från att på ett konstlat sätt påverka priserna att ligga på en nivå som inte motiveras av den faktiska tillgången och kostnaderna för produktion, lagring och transportkapacitet. Enligt de föreslagna bestämmelserna ska framför allt följande förbjudas:

5.

Europeiska byrån för samarbete mellan energitillsynsmyndigheter (nedan kallad Acer) (4) ansvarar för marknadsövervakningen på europeisk nivå som har till syfte att avslöja eventuella överträdelser av dessa förbud.

6.

Enligt förslaget ska Acer ha tillgång till aktuella uppgifter om transaktioner som äger rum på grossistmarknaderna för energi. Detta omfattar uppgifter om pris, såld kvantitet och berörda parter. Dessa bulkdata kommer också att spridas till de nationella tillsynsmyndigheterna, som därefter har ansvaret för att misstänkt missbruk utreds. I ärenden med gränsöverskridande inverkan ska Acer ha befogenhet att samordna undersökningarna. De nationella tillsynsmyndigheterna i medlemsstaterna ska verkställa sanktioner.

7.

Förslaget är i linje med en rad andra aktuella lagstiftningsförslag som syftar till att stärka det befintliga finansiella tillsynssystemet samt förbättra samordningen och samarbetet på EU-nivå, däribland direktivet om insiderhandel och otillbörlig marknadspåverkan (5) och direktivet om marknader för finansiella instrument (6). Europeiska datatillsynsmannen inkom nyligen med synpunkter när det gäller ett annat av dessa aktuella förslag (7).

8.

Förslaget innehåller flera olika bestämmelser som är relevanta för skyddet av personuppgifter:

9.

Förslaget bygger på premissen att för att marknadsmissbruk ska kunna upptäckas i) behövs det en marknadsövervakningsfunktion som har tillgång till fullständiga och aktuella transaktionsuppgifter och att ii) detta ska omfatta övervakning på EU-nivå. Genom förslaget till förordning ges därför Acer befogenhet att samla in, analysera och utbyta uppgifter (tillsammans med relevanta nationella myndigheter och EU-myndigheter) om en stor mängd bulkdata från grossistmarknaderna för energi.

10.

I förslaget till förordning fastställs framför allt att marknadsaktörerna ska förse Acer med ”register över deras transaktioner” som rör grossistenergiprodukter. Utöver transaktionsregistren ska marknadsaktörerna också förse Acer med uppgifter om ”anläggningars kapacitet att producera, lagra, förbruka eller överföra el eller naturgas”.

11.

I vilken form och vid vilken tidpunkt uppgifterna ska lämnas samt vad de ska innehålla ska fastställas i delegerade akter från kommissionen.

12.

Eftersom innehållet i den information som ska samlas in i samband med denna övervakning och rapportering enligt förslaget uteslutande ska fastställas genom delegerade akter, kan det inte uteslutas att detta kommer att omfatta personuppgifter – dvs. varje upplysning som avser en identifierad eller identifierbar fysisk person (8). Enligt gällande EU-lagstiftning är detta endast tillåtet när detta är nödvändigt och står i proportion till det specifika syftet (9). I förslaget till förordning bör det därför klart anges om och i vilken omfattning som transaktionsregistren och de uppgifter om kapacitet som ska samlas in i övervakningssyfte får omfatta några personuppgifter (10).

13.

Om behandling av personuppgifter planeras, kan det också vara nödvändigt med särskilda garantier – till exempel när det gäller begränsning av syfte, lagringsperiod och potentiella mottagare av informationen. Eftersom dessa dataskyddsgarantier är av avgörande betydelse ska de i så fall fastställas direkt i förslaget till förordning snarare än i de delegerade akterna.

14.

Om det däremot inte beräknas bli aktuellt med någon behandling av personuppgifter (eller om en sådan behandling endast skulle ske i undantagsfall och då endast i de sällsynta fall när en näringsidkare på grossistmarknaden för energi skulle vara en enskild person och inte en juridisk person), bör detta klart anges i förslaget, åtminstone i ett skäl.

15.

Enligt artikel 9.1 ska Acer ”säkerställa sekretess, tillförlitlighet och skydd” för de uppgifter byrån tar emot enligt artikel 7 (dvs. transaktionsregister och uppgifter om kapacitet som samlas in inom ramen för marknadsövervakningen). I artikel 9 fastställs också att ”där så är tillämpligt” ska Acer ”efterleva” förordning (EG) nr 45/2001 när byrån behandlar personuppgifter enligt artikel 7.

16.

Enligt artikel 9.1 ska Acer också ”identifiera hot mot driftssäkerheten och minimera dem genom att utveckla lämpliga system, kontroller och förfaranden”.

17.

I artikel 9.2 fastställs slutligen att byrån kan besluta om att offentliggöra en del av de uppgifter den besitter, ”under förutsättning att den inte röjer kommersiellt känsliga uppgifter om enskilda marknadsaktörer eller enskilda transaktioner”.

18.

Datatillsynsmannen välkomnar att artikel 9 till viss del avser dataskydd och att förslaget till förordning innehåller ett specifikt krav om att Acer ska efterleva förordning (EG) nr 45/2001.

19.

Därefter understryker datatillsynsmannen att förordning (EG) nr 45/2001 enligt samma förordning är tillämplig för Acer fullt ut så snart byrån behandlar personuppgifter. I förslaget ska det därför erinras om att förordning (EG) nr 45/2001 ska vara tillämplig för Acer inte bara när byrån behandlar uppgifter enligt artikel 7, utan även i alla andra situationer: även när Acer behandlar personuppgifter om misstänkt marknadsmissbruk/överträdelser enligt artikel 11, vilket är viktigt att ange. För att klargöra det hela ytterligare rekommenderar datatillsynsmannen att frasen ”så snart personuppgifter behandlas” används i stället för begreppet ”där så är tillämpligt” när man beskriver de situationer då Acer måste efterleva förordning (EG) nr 45/2001.

20.

Det bör också finnas en hänvisning till direktiv 95/46/EG med tanke på att detta direktiv är tillämpligt på de berörda nationella tillsynsmyndigheternas behandling av personuppgifter. För tydlighetens skull rekommenderar datatillsynsmannen att det i förslaget till förordning ska finnas en allmän formulering (åtminstone i ett skäl) om att Acer omfattas av förordning (EG) nr 45/2001, medan direktiv 95/46/EG ska tillämpas på de berörda nationella tillsynsmyndigheterna.

21.

Europeiska datatillsynsmannen välkomnar kravet att Acer ska identifiera hot mot driftssäkerheten och minimera dem genom att utveckla lämpliga system, kontroller och förfaranden. För att ytterligare stärka principen om ansvarighet (11) för den händelse att behandlingen av personuppgifter skulle vara av strukturell betydelse, bör förslaget till förordning innehålla ett specifikt krav på att Acer ska fastställa ett tydligt ansvarighetssystem som säkerställer att dataskyddet efterlevs samt styrker detta. Detta tydliga system som har inrättats av Acer bör omfatta flera olika delar. Några exempel:

22.

Motsvarande krav bör även tillämpas på nationella tillsynsmyndigheter och andra berörda EU-myndigheter.

23.

När det gäller kravet i artikel 9.2 – att Acer ska offentliggöra en del av den information som byrån besitter – förstår datatillsynsmannen det som att syftet med denna bestämmelse inte är att ge Acer befogenhet att offentliggöra uppgifter för att namnge vem som ligger bakom i skuldbeläggande syfte eller att offentliggöra företags eller enskilda personers förseelser.

24.

I förslaget sägs inget om huruvida man har för avsikt att offentliggöra några personuppgifter. För att undanröja alla tvivel bör det i förslaget till förordning antingen specifikt anges att den offentliggjorda informationen inte ska innehålla några personuppgifter eller också bör det klargöras vilka eventuella personuppgifter som får offentliggöras.

25.

Om personuppgifter ska offentliggöras, måste behovet av offentliggörande (till exempel av öppenhetsskäl) noggrant övervägas och balanseras mot andra konkurrerande intressen, som behovet att skydda rätten till integritet samt att skydda de berörda personernas personuppgifter.

26.

Före varje offentliggörande bör en proportionalitetsbedömning utföras, med hänsyn till de kriterier som EU-domstolen fastställde i målet Schecke  (13). I detta mål underströk domstolen att undantag och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är absolut nödvändigt. Vidare ansåg domstolen att EU-institutionerna bör undersöka olika metoder att offentliggöra uppgifter för att fastställa vilken metod som skulle överensstämma med syftet för offentliggörandet och samtidigt orsaka minst ingrepp i de registrerade personernas rätt till integritet samt skyddet av personuppgifter.

27.

Enligt förslaget ska marknadsövervakningen följas av en utredning när det finns misstanke om marknadsmissbruk och detta kan leda till lämpliga påföljder. I artikel 10.1 fastställs framför allt att medlemsstaterna ska se till att de nationella tillsynsmyndigheterna har de utredningsbefogenheter som de behöver för att säkerställa att förordningens bestämmelser om insiderhandel och otillbörlig marknadspåverkan tillämpas (14).

28.

Europeiska datatillsynsmannen välkomnar klargörandet i artikel 10.1 om att i) utredningsbefogenheterna ska utövas (endast) i syfte att se till att förordningens bestämmelser om insiderhandel och otillbörlig marknadspåverkan (artiklarna 3 och 4) tillämpas samt att ii) dessa befogenheter ska utövas på ett proportionerligt sätt.

29.

Men i förslaget bör man gå längre än så för att garantera rättssäkerhet och en adekvat skyddsnivå för personuppgifter. Som beskrivs närmare längre fram finns det två huvudsakliga problem med artikel 10 i dess lydelse enligt förslaget. För det första klargörs inte utredningsbefogenheternas omfattning tillräckligt i artikel 10. Det framgår till exempel inte tillräckligt tydligt om privata teleregister kan begäras in eller om en inspektion på plats får utföras i en privatbostad. För det andra omfattar artikel 10 inte heller de nödvändiga rättssäkerhetsgarantierna mot risken för obefogade intrång i integriteten eller missbruk av personuppgifter. Det ställs till exempel inga krav på en fullmakt från en rättslig myndighet.

30.

Såväl utredningsbefogenheternas omfattning som de nödvändiga rättssäkerhetsgarantierna är något som förmodligen ska specificeras i den nationella lagstiftningen. Enligt artikel 10.1 har medlemsstaterna också flera olika alternativ eftersom det här fastställs att utredningsbefogenheterna ”får utövas a) direkt, b) i samarbete med andra myndigheter eller marknadsföretag, eller c) efter ansökan till de behöriga rättsliga myndigheterna”. Detta förefaller innebära att det är tillåtet med skillnader i nationell praxis, till exempel om och under vilka omständigheter som det skulle krävas en fullmakt från en rättslig myndighet.

31.

I viss nationell lagstiftning kan det redan förekomma adekvata rättssäkerhets- och dataskyddsgarantier, men för att säkerställa rättssäkerheten för de registrerade, bör vissa klargöranden göras och vissa minimikrav för rättssäkerhets- och dataskyddsgarantier fastställas på EU-nivå i förslaget till förordning, vilket behandlas närmare nedan.

32.

Som allmän princip betonar datatillsynsmannen att när det i EU-lagstiftningen ställs krav på att medlemsstaterna ska vidta åtgärder på nationell nivå som inverkar på de grundläggande rättigheterna (till exempel rätten till integritet och rätten till skydd av personuppgifter), ska det i lagstiftningen också ställas krav på att effektiva åtgärder ska vidtas samtidigt med de restriktiva åtgärderna. På så sätt ska det säkerställas att dessa grundläggande rättigheter skyddas. En harmonisering av sådana åtgärder som skulle kunna medföra ingrepp i integriteten, till exempel utredningsbefogenheter, bör med andra ord åtföljas av en harmonisering av adekvata rättssäkerhets- och dataskyddsgarantier, baserat på bästa praxis.

33.

En sådan strategi skulle kunna bidra till att förhindra att det blir alltför stora skillnader på nationell nivå och säkerställa en högre och mer enhetlig skyddsnivå för personuppgifter i hela EU.

34.

Om det i det här skedet inte är möjligt att harmonisera några minimigarantier, rekommenderar datatillsynsmannen åtminstone att förslaget till förordning bör omfatta ett specifikt krav att medlemsstaterna ska anta nationella genomförandeåtgärder i syfte att säkerställa de nödvändiga rättssäkerhets- och dataskyddsgarantierna. Detta har ännu större betydelse eftersom den form av rättsakt som har valts är en förordning, som är direkt tillämplig och det normalt inte nödvändigtvis skulle krävas några ytterligare genomförandebestämmelser i medlemsstaterna.

35.

Enligt förslaget ska de utredningsbefogenheter som ska tilldelas de nationella tillsynsmyndigheterna specifikt omfatta rätten att utföra inspektioner på plats (artikel 10.2 c).

36.

Det är inte klart om dessa inspektioner skulle vara begränsade till en marknadsaktörs verksamhetstillgångar (lokaler, mark och transportmedel) eller om de även får utföras i enskilda personers privata egendom (lokaler, mark eller transportmedel). Det är också oklart om inspektionerna får utföras även utan förvarning (”gryningsräder”).

37.

Om kommissionen har för avsikt att kräva att medlemsstaterna ska ge tillsynsmyndigheterna befogenhet att utföra utföra inspektioner på plats i enskilda personers privata egendom eller att utföra gryningsräder bör detta för det första klart anges.

38.

För det andra understryker datatillsynsmannen också att proportionaliteten i inspektioner som utförs på plats i en privat egendom (till exempel en enskild persons privatbostad) är allt annat än självklar och – om detta planeras – bör det också särskilt motiveras.

39.

För det tredje skulle det i så fall också krävas ytterligare garantier, särskilt när det gäller under vilka villkor som sådana inspektioner får utföras. I förslaget bör det till exempel utan någon begränsning anges att inspektion på plats endast får utföras om det finns en rimlig och specifik misstanke om att det i denna bostad finns bevismaterial som är relevant för att styrka en allvarlig överträdelse av artiklarna 3 eller 4 i förordningen (dvs. bestämmelserna om förbud mot insiderhandel och otillbörlig marknadspåverkan). En annan viktig sak är att det enligt förslaget också bör krävas en rättslig fullmakt i samtliga medlemsstater (15).

40.

För det fjärde bör oanmälda inspektioner i privata bostäder kopplas till en ytterligare förutsättning, nämligen att om det gäller ett anmält besök skulle bevismaterialet sannolikt förstöras eller ändras. Genom denna förutsättning blir det möjligt att säkerställa proportionalitet och förhindra överdrivna intrång i privatlivet. Detta bör klart anges i förslaget till förordning.

41.

Enligt artikel 10.2 d ska de nationella tillsynsmyndigheternas befogenheter även specifikt omfatta befogenheten att ”begära befintliga register över tele- och datatrafik”.

42.

Datatillsynsmannen inser värdet av register över tele- och datatrafik i fall av insiderhandel, särskilt när det gäller att fastställa kopplingar mellan insiderhandlare och näringsidkare. Omfattningen av denna befogenhet har inte klargjorts tillräckligt och det saknas också lämpliga rättssäkerhets- och dataskyddsgarantier. Datatillsynsmannen rekommenderar därför att förslaget klargörs, såsom diskuteras nedan. Det är framför allt följande frågor som bör behandlas:

43.

För rättssäkerhetens skull bör det i förslaget först och främst klargöras vilka typer av register som kan begäras in av myndigheterna när detta är nödvändigt.

44.

I förslaget bör utredningsbefogenheternas omfattning specifikt begränsas till i) innehållet i register över tele-, e-post- och annan datatrafik som av affärsskäl redan rutinmässigt och lagligt samlas in av näringsidkare i syfte att styrka transaktioner, samt till ii) trafikdata (dvs. vem som har ringt telefonsamtalet eller sänt informationen, till vem och när) som redan är tillgängliga direkt från de berörda marknadsaktörerna (näringsidkarna).

45.

I förslaget bör det också anges att dessa register ska ha samlats in i ett lagligt syfte och i enlighet med tillämplig dataskyddslagstiftning, vilket även omfattar adekvat information till de registrerade personerna enligt artiklarna 10 och 11 i direktiv 95/46/EG.

46.

Datatillsynsmannen välkomnar att denna befogenhet i förslaget är begränsad till ”befintliga” register och att tillsynsmyndigheternas befogenheter därmed inte innebär att en näringsidkare eller tredje man måste åläggas att specifikt avlyssna, övervaka eller registrera tele- eller datatrafik i utredningssyfte.

47.

Men för att undanröja alla tvivel bör denna avsikt klargöras i högre grad, åtminstone i ett skäl. Man bör undvika allt tolkningsutrymme för att förslaget till förordning ska utgöra rättslig grund för nationella tillsynsmyndigheter att avlyssna, övervaka eller registrera tele- eller datakommunikation, oavsett om detta sker förtäckt eller öppet, med eller utan fullmakt.

48.

I förslaget hänvisas till ”befintliga register över tele- och datatrafik”. Det klargörs inte tillräckligt om både innehållet i befintlig data- och telekommunikation och trafikdata (dvs. vem som ringde samtalet eller sände informationen, till vem och när) kan begäras in.

49.

Detta bör förtydligas i bestämmelserna i förslaget till förordning. Såsom diskuteras i punkterna 43–45 bör det tydligt anges vilken typ av register som kan begäras in och det måste först och främst säkerställas att dessa register har samlats in i enlighet med tillämplig dataskyddslagstiftning.

50.

I förslaget bör det entydigt anges vem de nationella tillsynsmyndigheterna får begära in register från. I detta sammanhang förstår datatillsynsmannen det som att avsikten med artikel 10.2 d inte är ge de nationella myndigheterna befogenhet att begära in trafikdata från leverantörer av ”allmänt tillgängliga elektroniska kommunikationstjänster” (16) (som telekomföretag eller internettjänsteleverantörer).

51.

I förslaget hänvisas det inte alls till sådana leverantörer och här används inte heller begreppet ”trafikdata”. En annan viktig sak är att det varken finns någon implicit eller explicit hänvisning till att undantag skulle begäras från de krav som fastställs genom direktivet om integritet och elektronisk kommunikation (17), där den allmänna principen om att trafikdata endast får vidarebearbetas som underlag för räkningar och samtrafikfakturor fastställs.

52.

För att undanröja alla tvivel rekommenderar datatillsynsmannen att det faktum att förslaget inte utgör någon rättslig grund för att begära in data från leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster bör anges explicit i förslaget till förordning, åtminstone i ett skäl.

53.

I förslaget bör det också klargöras om de nationella tillsynsmyndigheterna endast får begära in register från den marknadsaktör som är under utredning eller om de även har befogenhet att begära in register från tredje man (till exempel från en part i en transaktion med den marknadsaktör som är under utredning eller ett hotell där en enskild person misstänkt för insiderhandel har bott) som då ska lämna sina egna register.

54.

I förslaget ska det slutligen också klargöras om myndigheterna även kan begära in enskilda personers privata register. Det kan röra sig om personal eller chefer hos den marknadsaktör som är under utredning (till exempel sms-meddelanden som har sänts från den personliga mobiltelefonen eller sökhistoriken som finns lagrad i hemmadatorn efter internetanvändning i hemmet).

55.

Proportionaliteten när det gäller att begära in privata register är omdiskuterad och – om detta planeras – bör det särskilt motiveras.

56.

Liksom när det gäller inspektioner som utförs på plats (se punkterna 35–40 ovan) ska det i förslaget ställas krav på en fullmakt från en rättslig myndighet samt ytterligare specifika garantier om myndigheterna begär in några privata register.

57.

När det gäller gränsöverskridande samarbete tilldelas Acer en viktig roll i fråga om att underrätta nationella tillsynsmyndigheter om eventuellt marknadsmissbruk och underlätta informationsutbyte. För att underlätta samarbetet innehåller artikel 11.2 också ett specifikt krav om att de nationella tillsynsmyndigheterna ska underrätta Acer ”så noggrant som möjligt” om de har rimliga skäl att anta någon överträdelse av förslaget till förordning. I syfte att garantera att enhetliga åtgärder vidtas omfattar artikel 11.3 också ett krav på informationsutbyte mellan nationella tillsynsmyndigheter, behöriga finansmyndigheter, Acer samt Europeiska värdepappers- och marknadsmyndigheten (nedan kallad Esma) (18).

58.

I enlighet med principen om att begränsa syftet (19) bör det i förslaget explicit anges att alla personuppgifter som har överförts med stöd av artikel 11 i förslaget till förordning (rapporter om misstänkt marknadsmissbruk) endast bör användas för att utreda det misstänkta marknadsmissbruk som har rapporterats. Informationen får hur som helst inte användas till några syften som är oförenliga med detta ändamål.

59.

Uppgifterna bör heller inte lagras under lång tid. Detta är särskilt viktigt i fall där det visar sig att den ursprungliga misstanken var grundlös, då det måste krävas särskilda skäl för att lagra uppgifterna under längre tid (20).

60.

Med avseende på detta bör det i förslaget först fastställas en längsta lagringstid som Acer och andra mottagare av informationen får behålla uppgifterna, med hänsyn till de ändamål för vilka de ska lagras. Om ett misstänkt marknadsmissbruk inte har lett till en särskild utredning, och denna fortfarande pågår, bör alla personuppgifter som avser det rapporterade misstänkta marknadsmissbruket raderas från alla mottagares register efter en viss tid. Om det inte är tydligt motiverat med en längre lagringsperiod, anser datatillsynsmannen att de bör raderas senast två år efter den tidpunkt då misstanken rapporterades (21).

61.

Skulle en misstanke visa sig vara ogrundad och/eller en utredning avslutas utan vidare åtgärd, ska den rapporterande tillsynsmyndigheten, Acer samt tredje man med tillgång till information om misstänkt marknadsmissbruk enligt förslaget åläggas att snabbt underrätta dessa parter så att de kan uppdatera sina egna register om detta (och/eller radera informationen om den rapporterade misstanken från sina register med omedelbar verkan eller efter en proportionerlig lagringsperiod, beroende på vad som är lämpligt) (22).

62.

Dessa bestämmelser bör bidra till att oskyldiga inte ”svartlistas” eller förblir misstänkta under onödigt lång tid (se artikel 6 e i direktiv 95/46/EG och motsvarande artikel 4 e i förordning (EG) nr 45/2001) i fall där misstanken inte har kunnat styrkas (eller ens utretts vidare).

63.

Artiklarna 7, 8 och 11 i förslaget till förordning avser utbyte av data och information mellan Acer, Esma och medlemsstaternas myndigheter. I artikel 14 (”Relationer med tredjeländer”) föreskrivs att Acer ”får inleda administrativa förfaranden med internationella organisationer och myndigheter i tredjeländer”. Detta kan leda till överföring av personuppgifter från Acer och möjligtvis även från Esma och/eller från medlemsstaternas myndigheter till internationella organisationer och myndigheter i tredjeländer.

64.

Europeiska datatillsynsmannen rekommenderar att artikel 14 i förslaget klargör att överföringar av personuppgifter endast får göras i enlighet med artikel 9 i förordning (EG) nr 45/2001 och artiklarna 25 och 26 i direktiv 95/46/EG. Framför allt ska internationella överföringar endast genomföras om tredjelandet i fråga garanterar en adekvat skyddsnivå eller om de riktar sig till enheter eller enskilda personer i ett tredjeland som inte kan bekosta adekvat skydd där den registeransvarige ställer tillräckliga garantier för att integritet och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter.

65.

Datatillsynsmannen understryker att undantag (till exempel sådana som anges i artikel 9.6 i förordning (EG) nr 45/2001 och artikel 26.1 i direktivet), principiellt sett inte ska användas för att motivera överföringar av mass-, system- och/eller strukturdata till tredjeland.

66.

Vissa av de data som utbyts mellan Acer, Esma och olika myndigheter i medlemsstaterna om misstänkta överträdelser kommer sannolikt att innehålla personuppgifter som identiteten på misstänkta förövare eller andra involverade personer (till exempel vittnen, personer som slagit larm om missförhållanden, anställda eller andra enskilda personer som agerar för de företag som är involverade i handeln).

67.

I artikel 27.1 i förordning (EG) nr 45/2001 föreskrivs att ”sådana behandlingar som kan innebära särskilda risker för de registrerades fri- och rättigheter på grund av sin beskaffenhet, sin räckvidd eller sina ändamål skall förhandskontrolleras av den europeiska datatillsynsmannen”. I artikel 27.2 bekräftas specifikt att behandling av uppgifter som rör ”misstankar om brott” och ”brott” utgör sådana risker och kräver förhandskontroll. Med tanke på att Acer är tänkt att få en samordnande roll i utredningsarbetet förefaller det sannolikt att byrån kommer att behandla uppgifter som rör ”misstankar om brott” och att dess verksamhet därför behöver förhandskontrolleras (23).

68.

Inom ramen för en sådan förhandskontroll kan datatillsynsmannen ge Acer ytterligare vägledning och specifika rekommendationer när det gäller efterlevnaden av reglerna för uppgiftsskydd. En förhandskontroll av Acers verksamhet kan också ge ett mervärde med tanke på att förordning (EG) nr 713/2009, varigenom Acer inrättades, inte innehåller någon hänvisning till skyddet av personuppgifter och inte har varit föremål för något lagstiftningsyttrande från datatillsynsmannen.

69.

I förslaget bör det klargöras om personuppgifter får behandlas i samband med marknadsövervakning och rapportering samt vilka garantier som ska tillämpas. Om det däremot inte beräknas bli aktuellt med någon behandling av personuppgifter (eller om en sådan behandling endast skulle ske i undantagsfall och då endast i de sällsynta fall när en näringsidkare på grossistmarknaden för energi skulle vara en enskild person snarare än en juridisk person), bör detta klart anges i förslaget, åtminstone i ett skäl.

70.

Bestämmelserna om dataskydd, datasäkerhet och ansvarighet bör klargöras och stärkas ytterligare, framför allt om behandlingen av personuppgifter skulle få mer strukturell betydelse. Kommissionen bör se till att det finns adekvata kontroller för att säkerställa efterlevnaden av dataskyddet och kunna styrka detta (”ansvarighet”).

71.

I förslaget bör det klargöras om inspektionerna på plats skulle vara begränsade till en marknadsaktörs verksamhetstillgångar (lokaler och transportmedel) eller om de även får utföras i enskilda personers privata egendom (lokaler eller transportmedel). I det sistnämnda fallet bör det tydligt motiveras att denna befogenhet är nödvändig och proportionerlig och det ska krävas en rättslig fullmakt och ytterligare garantier. Detta bör klart anges i förslaget till förordning.

72.

Befogenheternas omfattning när det gäller att begära in ”befintliga register över tele- och datatrafik” bör klargöras. I förslaget bör det entydigt anges vilka register som kan begäras in och från vem. Att inga data får begäras in från leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster bör anges explicit i förslaget till förordning, åtminstone i ett skäl. I förslaget ska det också klargöras om myndigheterna även kan begära in enskilda personers privata register. Det kan röra sig om personal eller chefer hos den marknadsaktör som är under utredning (till exempel sms-meddelanden som har sänts från den personliga mobiltelefonen eller sökhistoriken som finns lagrad i hemmadatorn efter internetanvändning i hemmet). I så fall bör det tydligt motiveras att denna befogenhet är nödvändig och proportionerlig och enligt förslaget ska det också krävas en fullmakt från en rättslig myndighet.

73.

När det gäller rapportering av misstänkt marknadsmissbruk bör det i förslaget explicit anges att personuppgifterna i dessa rapporter endast bör användas för utredning av det misstänkta marknadsmissbruk som har rapporterats. Om ett misstänkt marknadsmissbruk inte har lett till en särskild utredning, och denna fortfarande pågår (eller om en misstanke visar sig vara välgrundad och leder till en framgångsrik utredning), bör alla personuppgifter som avser det rapporterade misstänkta marknadsmissbruket raderas från alla mottagares register efter en viss tid (senast två år efter den tidpunkt då misstanken rapporterades, såvida det inte kan motiveras på annat sätt). Parterna i ett informationsutbyte bör också sända varandra en uppdatering, om en misstanke skulle visa sig vara ogrundad och/eller en utredning avslutas utan vidare åtgärd.

74.

När det gäller överföringar av personuppgifter till tredjeland bör det i förslaget klargöras att sådana överföringar i princip endast får genomföras om de riktar sig till enheter eller enskilda personer i ett tredjeland som inte kan bekosta adekvat skydd där den registeransvarige ställer tillräckliga garantier för att integritet och enskilda personers grundläggande fri- och rättigheter skyddas samt för utövningen av motsvarande rättigheter.

75.

Acer bör lämna sina databehandlingsåtgärder till Europeiska datatillsynsmannen för förhandskontroll när det gäller samordning av utredningar enligt artikel 11 i förslaget till förordning.

23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/28

—

under rubriken koncentrationer på kommissionens webbplats för konkurrens (http://ec.europa.eu/competition/mergers/cases/). Denna webbplats gör det möjligt att hitta enskilda beslut i koncentrationsärenden, även uppgifter om företag, ärendenummer, datum och sektorer,

—

i elektronisk form på webbplatsen EUR-Lex (http://eur-lex.europa.eu/sv/index.htm) under dokumentnummer 32011M6349. EUR-Lex ger tillgång till gemenskapslagstiftningen via Internet.

23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/28

—

under rubriken koncentrationer på kommissionens webbplats för konkurrens (http://ec.europa.eu/competition/mergers/cases/). Denna webbplats gör det möjligt att hitta enskilda beslut i koncentrationsärenden, även uppgifter om företag, ärendenummer, datum och sektorer,

—

i elektronisk form på webbplatsen EUR-Lex (http://eur-lex.europa.eu/sv/index.htm) under dokumentnummer 32011M6218. EUR-Lex ger tillgång till gemenskapslagstiftningen via Internet.

23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/29

23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/30

—

Europeiska unionens 27 medlemsstater

—

EES, Schweiz och Kroatien.

—

Dramaprojekt avsedda för kommersiell användning på minst 50 minuter

—

Nyskapande dokumentärfilmer avsedda för kommersiell användning på minst 25 minuter (tidslängd per avsnitt vid fråga om serier)

—

Animationsprojekt avsedda för kommersiell användning på minst 24 minuter

—

direktinspelningar, tv-spel, pratprogram, verklighetsunderhållning (reality shows), eller kurser, utbildnings- och ”fixar”-program,

—

turismfrämjande dokumentärer, ”skapandet-av”-rapporter, djurreportage, nyhetsprogram och ”dokusåpor”,

—

projekt som direkt eller indirekt främjar budskap som strider mot Europeiska unionens politik. Exempel på dessa är projekt som kan stå i strid med folkhälsointresset (alkohol, tobak, narkotika), respekten för mänskliga rättigheter, människors säkerhet, yttrandefriheten osv.,

—

projekt som främjar våld och/eller rasism och/eller som har ett pornografiskt innehåll,

—

verk av säljfrämjande art,

—

institutionella produktioner som främjar en viss organisation eller dess verksamhet.

—

Kriterier som rör det sökande företaget (40 poäng)

—

Kriterier som rör det inlämnade projektet (60 poäng)

—

Kriterier som rör det sökande företaget (60 poäng)

—

Kriterier som rör de inlämnade projekten (40 poäng)

Education, Audiovisual and Culture Executive Agency (EACEA) — MEDIA

Constantin DASKALAKIS

BOUR 3/30

Avenue du Bourget/Bourgetlaan 1

1140 Bruxelles/Brussel

BELGIQUE/BELGIË

23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/33

—

De 27 länderna i Europeiska unionen

—

EES, Schweiz och Kroatien.

—

Internet

—

PC

—

Konsol

—

Handhållen anordning

—

Interaktiv television

—

väsentlig interaktivitet med ett berättande inslag,

—

originalitet, kreativitet och nyskapande i förhållande till befintliga verk,

—

kommersiell potential på europeisk nivå.

—

Ett drama på minst 50 minuter (seriens totala längd om det rör sig om en serie).

—

En kreativ dokumentär på minst 25 minuter (längd per avsnitt om det rör sig om en serie).

—

En animerad film på minst 24 minuter (seriens totala längd om det rör sig om en serie).

—

referensverk (uppslagsverk, kartböcker, kataloger, databaser …),

—

”fixar”-verk (utbildningsprogram, handböcker …),

—

verktyg och programvarutjänster,

—

informationstjänster eller tjänster som endast har transaktionssyfte,

—

informationsprogram och tidskrifter,

—

turismfrämjande projekt,

—

multimediekonstprojekt,

—

webbplatser som är, eller är speciellt avsedda för sociala plattformar, sociala nätverk, internetforum, bloggar eller liknande verksamheter;

—

projekt som direkt eller indirekt främjar budskap som strider mot Europeiska unionens politik. Exempel på dessa är projekt som kan stå i strid med folkhälsointresset (alkohol, tobak, narkotika), respekten för mänskliga rättigheter, människors säkerhet, yttrandefriheten osv.

—

projekt som främjar våld och/eller rasism och/eller som har ett pornografiskt innehåll,

—

verk av säljfrämjande art (särskilt sådana vars innehåll avser ett visst märke),

—

institutionella produktioner som gynnar en viss organisation eller dess verksamhet.

—

Kriterier som rör det sökande företaget (40 poäng)

—

Kriterier som rör det inlämnade projektet (60 poäng)

Education, Audiovisual and Culture Executive Agency (EACEA) — MEDIA

Constantin DASKALAKIS

BOUR 3/30

Avenue du Bourget/Bourgetlaan 1

1140 Bruxelles/Brussel

BELGIQUE/BELGIË

23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/36

1.

Kommissionen mottog den 15 september 2011 en anmälan om en föreslagen koncentration enligt artikel 4 i rådets förordning (EG) nr 139/2004 (1), genom vilken företaget Hansa-Milch AG (Hansa, Tyskland), som tillhör Arla Foods Amba (Arla, Danmark) på det sätt som avses i artikel 3.1 b i EG:s koncentrationsförordning, förvärvar fullständig kontroll över företagen Allgäuland-Käsereien GmbH och AL Dienstleistungs-GmbH (tillsammans kallade Allgäuland, Tyskland) genom förvärv av aktier.

2.

De berörda företagen bedriver följande affärsverksamhet:

3.

Kommissionen har vid en preliminär granskning kommit fram till att den anmälda koncentrationen kan omfattas av EG:s koncentrationsförordning, dock med det förbehållet att ett slutligt beslut i denna fråga fattas senare.

4.

Kommissionen uppmanar berörda tredje parter att till den lämna eventuella synpunkter på den föreslagna koncentrationen.

Synpunkterna ska ha kommit in till kommissionen senast tio dagar efter detta offentliggörande. Synpunkterna kan sändas till kommissionen per fax (+32 22964301), per e-post till COMP-MERGER-REGISTRY@ec.europa.eu eller per post, med angivande av referens COMP/M.6348 – Arla Foods/Allgäuland, till:

23.9.2011   

SV

Europeiska unionens officiella tidning

C 279/37

1.

Kommissionen mottog den 15 september 2011 en anmälan om en föreslagen koncentration enligt artikel 4 i rådets förordning (EG) nr 139/2004 (1), genom vilken företaget Gores Group LLC (Gores, Förenta staterna), på det sätt som avses i artikel 3.1 b i EG:s koncentrationsförordning, förvärvar fullständig kontroll över Mexx European Holding BV (Mexx, Nederländerna), genom förvärv av aktier.

2.

De berörda företagen bedriver följande affärsverksamhet:

3.

Kommissionen har vid en preliminär granskning kommit fram till att den anmälda koncentrationen kan omfattas av EG:s koncentrationsförordning, dock med det förbehållet att ett slutligt beslut i denna fråga fattas senare. Det bör noteras att detta ärende kan komma att handläggas enligt ett förenklat förfarande, i enlighet med kommissionens tillkännagivande om ett förenklat förfarande för handläggning av vissa koncentrationer enligt EG:s koncentrationsförordning (2).

4.

Kommissionen uppmanar berörda tredje parter att till den lämna eventuella synpunkter på den föreslagna koncentrationen.

Synpunkterna ska ha kommit in till kommissionen senast tio dagar efter detta offentliggörande. Synpunkterna kan sändas till kommissionen per fax (+32 22964301), per e-post till COMP-MERGER-REGISTRY@ec.europa.eu eller per post, med angivande av referens COMP/M.6392 – Gores/Mexx, till