Journalnummer: 2006-844-0045
Ved brev af 27. januar 2006 har Justitsministeriet anmodet om Datatilsynets udtalelse om ovennævnte forslag.
Tilgængelighedsprincippet, som er formuleret i det såkaldte Haag-program, indebærer ifølge Justitsministeriets grundnotat, at udvekslingen af oplysninger i retshåndhævelsesøjemed skal foregå på ensartede betingelser overalt i EU. Det vil sige, at hvis en retshåndhævende myndighed har brug for oplysninger til varetagelse af sine opgaver, skal den kunne opnå disse oplysninger, og den medlemsstat, der kontrollerer de pågældende oplysninger, har pligt til at stille dem til rådighed til det angivne formål.
Kommissionens forslag
Kommissionen fik efter Haag-programmet til opgave at fremlægge et lovgivningsforslag til implementering af tilgængelighedsprincippet.
Da det forslag fra Kommissionen, som nu er sendt i høring, Datatilsynet bekendt møder en del modstand og derfor næppe kan forventes gennemført, har tilsynet ikke foretaget en detaljeret gennemgang af forslaget.
I sit arbejde med udformningen af forslaget har Kommissionen bl.a. konsulteret såvel retshåndhævende myndigheder, som menneskerettighedsgrupper og datatilsynsmyndigheder.
Kommissionens forslag, som i relation til videregivelse, herunder pligtmæssig videregivelse, er vidtgående, indeholder således også elementer, som er positive set fra en databeskyttelsesmæssig synsvinkel.
Kommissionens forslag indeholder således bl.a. en formålsbegrænsning (betragtning 10 og artikel 6), krav om sporbarhed (betragtning 19 og artikel 16) samt ret til indsigt for den person, der er anmodet om oplysninger om (betragtning 20 og artikel 17). Herudover er Kommissionens forslag tæt knyttet til det forslag til rammeafgørelse om beskyttelse af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde, som Kommissionen også har fremsat. Datatilsynet har afgivet et selvstændigt høringssvar om ovennævnte rammeafgørelse.
Rapporten om tekniske midler til gennemførelse af tilgængelighedsprincippet
Justitsministeriet har med høringen til Datatilsynet endvidere fremsendt kopi af ministeriets notat om rapporten om de tekniske midler til at gennemføre tilgængelighedsprincippet.
Rapporten fokuserer på seks typer af oplysninger: DNA, fingeraftryk, ballistik, registreringer vedrørende motorkøretøjer, telefonnumre og minimumsdata til identifikation af personer.
Af Justitsministeriets gennemgang fremgår bl.a., at rapporten fastslår, at mulighederne for hurtigt og effektivt at kunne udveksle relevant information er afgørende for et effektivt internationalt samarbejde om bekæmpelse af kriminalitet. Det anføres i den forbindelse, at meget af informationsudvekslingen inden for EU i dag sker efter den klassiske ”politi-til-politi”-model, som indebærer, at informationerne udveksles på baggrund af, at politiet i en medlemsstat retter henvendelse til politiet i en anden medlemsstat, enten ved hjælp af de eksisterende politikanaler eller på baggrund af reglerne for international retshjælp. Rapporten peger endvidere på, at det fremsatte forslag om forenkling af udveksling af oplysninger og efterretninger mellem medlemsstaternes retshåndhævende myndigheder vil indebære en mere effektiv informationsudveksling mellem medlemsstaternes retshåndhævende myndigheder.
Herudover indeholder rapporten – ifølge Justitsministeriets notat i overensstemmelse med beslutningen på rådsmødet den 14. april 2005 – overvejelser vedrørende andre modeller for udveksling af information inden for området for politi samarbejde. Det drejer sig grundlæggende om følgende modeller:
a) Etablering af direkte adgang til en database i et andet medlemsland.
b) Etablering af indirekte adgang til en anden medlemsstats informationer via et centralt indeks baseret på et hit/no hit system.
c) Opbygning eller udvidet brug af centrale europæiske eller internationale databaser.
d) Udvidet adgang til data, som er offentliggjort af medlemslandenes retshåndhævende myndigheder.
Ekspertgruppen har overvejet disse modeller i relation til hver enkelt af de nævnte seks typer af informationer, og rapporten beskriver således, på hvilke måder den pågældende type af information i dag udveksles, hvilke initiativer der allerede er i gang for at forbedre informationsudvekslingen samt hvilke fordele og ulemper, der kan peges på, i forhold til en eventuel indførelse af de nævnte modeller. I lyset heraf indeholder rapporten nogle anbefalinger med hensyn til, hvorledes udvekslingen af de nævnte typer af oplysninger fremover bør finde sted.
Rapporten bemærker i den forbindelse, at det i Haag-programmet er bestemt, at nye centrale europæiske databaser kun bør etableres, hvis undersøgelser har vist, at der vil være en merværdi forbundet hermed.
Rapporten indeholder herefter anbefalinger vedrørende hver af de seks typer af oplysninger. For nogle oplysningers vedkommende – bl.a. DNA-oplysninger – opfordres medlemsstaterne til at overveje deltagelse i den såkaldte ”Prümkonvention”, som indebærer, at der – via tekniske løsninger – skabes direkte adgang fra et nationalt kontaktpunkt til de øvrige deltagende landes DNAdatabase på en ”hit/no hit” basis.
Der omtales desuden en database i Interpol, og det anføres, at det bør overvejes, om det vil være muligt at udvide systemet, f.eks. ved at forøge antallet af deltagende lande (inklusiv lande uden for EU) eller ved at tillade, at den direkte adgang til nationale DNA-databaser sker via en søgemaskine dvs. et netværk der bevirker, at man ved én søgning søger på en hit/no hit basis i alle databaser på en gang.
Rapporten peger bl.a. på, at et sådant netværk vil kræve brug af klart definerede og universelt accepterede standarder, der understøttes af strenge kvalitetssikringer, sikker transmission og søgning af data og beskyttelse af borgerrettigheder, herunder privatlivets fred. Endelig understreges vigtigheden af, at de nødvendige beskyttelsesforanstaltninger i relation til databeskyttelse og strafferetspleje er på plads.
Prüm-konventionen
Justitsministeriet har desuden sendt kopi af den såkaldte Prüm-konvention, som er indgået i maj 2005 imellem landene Belgien, Tyskland, Spanien, Frankrig, Luxembourg, Holland og Østrig.
I aftalens indledende betragtninger er der bl.a. henvist til de grundlæggende rettigheder i den Europæiske Unions Charter om grundlæggende rettigheder, den Europæiske Konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder og de forfatningsmæssige traditioner i de omhandlede stater, og specifikt til, at man bør være opmærksom på, at udlevering af personoplysninger til en anden aftalepart kræver et forsvarligt databeskyttelsesniveau hos den modtagende aftalepart.
Aftalen indebærer ifølge artikel 3, at deltagerne skal tillade hinandens nationale kontaktpunkter adgang til reference-data i deres DNA-profil registre, med mulighed for at foretage automatiske søgninger ved at sammenholde DNA-profiler.
Endvidere medfører aftalen ifølge artikel 4, at deltagerne efter aftale skal kunne efterforske straffelovsovertrædelser ved, at deres nationale kontaktpunkter automatisk kan sammenligne uidentificerede DNA-profiler med samtlige DNAprofiler i nationale databasers reference-data.
Det følger af aftalens artikel 5, at såfremt de i artikel 3 og 4 nævnte procedurer medfører et ”hit” i databasen, skal der i national lovgivning være regler om udlevering af alle andre tilgængelige personoplysninger samt yderligere information i forhold til de omhandlede reference-data.
Prüm-konventionen omhandler ikke alene udveksling af eksisterende data, men også i artikel 7 en forpligtelse til under nærmere omstændigheder at indsamle data i form af DNA efter anmodning fra et andet land.
Prüm-konventionen indeholder i kapitel 7 bestemmelser om databeskyttelse, hvor der som det minimumsniveau, der skal garanteres, henvises til Europarådets Konvention fra 1981 og Politirekommendationen.
I aftalen er fastsat en række bestemmelser om databeskyttelse, herunder bl.a. i artikel 39 detaljerede krav om logning, som bl.a. omfatter en forpligtelse til at registrere årsagen til forespørgslen eller søgningen.
Datatilsynets bemærkninger
Datatilsynet, som har behandlet sagen i Datarådet, skal bemærke følgende:
Datatilsynet finder, at tilgængelighedsprincippet – som det nu er præsenteret for tilsynet - lægger op til en meget vidtgående udveksling af personoplysninger, og tilsynet finder, at en hel eller delvis gennemførelse af dette princip må give anledning til betydelige betænkeligheder i forhold til sikring af databeskyttelsesniveauet for den enkelte borger.
På det foreliggende grundlag finder Datatilsynet det således meget betænkeligt, hvis der gives myndigheder i andre medlemsstater og Europol online-adgang til elektroniske databaser i Danmark. Det er Datatilsynets opfattelse, at en onlineadgang vil gøre det i praksis meget vanskeligt og eventuelt umuligt at kontrollere, om den modtagende myndighed har brug for oplysningerne for at kunne varetage dens lovmæssige opgaver.
Såfremt der arbejdes videre med tilgængelighedsprincippet – eventuelt ved en etapevis udbygning af Prüm-samarbejdet – skal Datatilsynet understrege behovet for, at der skabes retlige rammer, der imødegår de risici i forhold til personers ret til databeskyttelse og privatlivsfred, som udmøntningen af princippet afstedkommer.
I den forbindelse skal Datatilsynet navnlig understrege følgende:
• Videregivelse til udenlandske myndigheder via terminaladgang må efter Datatilsynets opfattelse forudsætte specifik lovhjemmel i Danmark.
• Datatilsynet forudsætter, at det som led i beslutningsprocessen om etablering af en sådan adgang nøje overvejes, om der er den fornødne proportionalitet og nødvendighed i forhold til den specifikke adgang.
• Adgangen til at foretage opslag via en sådan terminaladgang skal retligt være begrænset til nærmere beskrevne tilfælde, hvor videregivelse af oplysningerne er nødvendige for, at de myndigheder der sender eller modtager oplysningerne, retsmæssigt kan udføre deres opgave, og for at forebygge, efterforske, afsløre og retsforfølge konkrete straffelovsovertrædelser.
Der kan herved henvises til det forslag fra Den europæiske konference for datatilsynsmyndigheder, som Datatilsynet har gengivet i sit høringssvar over udkastet til rammeafgørelse om beskyttelse af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde.
• Oplysningerne skal til enhver tid være omfattet af bindende regler om databeskyttelse, der sikrer et højt beskyttelsesniveau, og som bør omfatte enhver form for behandling. For de nærmere krav til indholdet af sådanne regler kan henvises til det ”Position Paper”, som de europæiske datatilsynsmyndigheder vedtog på deres konference i Krakow i 2005, og til de tilkendegivelser, der er kommet fra Den europæiske tilsynsførende for databeskyttelse (EDPS) senest i dennes udtalelse af 28. februar 2006 om udveksling af data efter tilgængelighedsprincippet (se særligt punkt 67). Kopi af ”Position Paper” og EDPS’ udtalelse vedlægges til orientering.
• Der skal være fuld sporbarhed. Datatilsynet finder således, at der som minimum må gælde krav om logning i samme omfang som efter den danske sikkerhedsbekendtgørelse. Kravet herom skal indgå i retsgrundlaget og bør ikke overlades til den efterfølgende implementering.
• Der skal etableres mekanismer til sikring af, at oplysninger, der viser sig urigtige eller vildledende, slettes eller berigtiges hos modtager. Der bør desuden etableres mekanismer, der sikrer sletning.
• Videregivelse af modtagne data til yderligere led eller anvendelse af oplysningerne til andre formål end de formål, hvortil de er indhentet, medfører efter Datatilsynets opfattelse en yderligere risiko i forhold til de registrerede. Tilsynet finder, at en sådan anvendelse eller videregivelse principielt bør undgås, og hvis dette ikke er muligt omgærdes med detaljerede og restriktive betingelser.
Særligt i forhold til muligheden for eventuelt at indføre tilgængelighedsprincippet gennem en etapevis udvikling af samarbejdet skal Datatilsynet bemærke, at det kan være en hensigtsmæssig fremgangsmåde at starte med en enkelt oplysningstype og indhøste erfaringer hermed, førend samarbejdet eventuelt udvides til andre oplysningstyper.
En sådan etapevis fremgangsmåde vil desuden give bedre muligheder for at foretage en vurdering af proportionalitet og nødvendighed af udveksling af den enkelte oplysningstype. Datatilsynet skal hermed også henvise til EDPS’ udtalelse af 28. februar 2006 om udveksling af data efter tilgængelighedsprincippet, som i afsnittet ”A data field-by-data field approach” indeholder tilsvarende synspunkter.
EDPS har samtidig fremhævet, at en forsigtig fremgangsmåde kunne omfatte, at man til en start alene implementerede tilgængelighedsprincippet som en mulighed for indirekte acces, via index data.
Datatilsynet skal i øvrigt tilslutte sig EDPS’ betragtning om, at den model, der er anvendt i Prüm-konventionen, medfører etablering af nye databaser, der i sig selv medfører øgede risici for de registrerede. Oprettelse af sådanne nye databaser bør kun ske, hvis dette er nødvendigt og proportionelt, og der bør være passende databeskyttelsesmekanismer.
Datatilsynet skal herudover henvise til afsnittet i EDPS’s udtalelse om ”Direct or indirect access to information”, der i detaljer beskæftiger sig med de to typer af adgang.
Datatilsynet skal desuden henlede opmærksomheden på den skepsis, som er formuleret af EDPS i forhold til implementering af tilgængelighedsprincippet ved en aftale, der som Prüm-konventionen ikke er indgået inden for EU’s institutionelle rammer.
Særligt for så vidt angår løsninger til udveksling af DNA-oplysninger skal Datatilsynet ligeledes henvise til EDPS’ beskrivelse. Det kan således konstateres, at Kommissionens forslag til rammeafgørelse – i modsætning til Prümkonventionen - ikke indeholder en forpligtelse til at indsamle DNA-oplysninger og klart begrænser udvekslingen af DNA-data til DNA-profiler.
Afsluttende bemærkninger
Datatilsynet skal anmode om at blive holdt orienteret i det videre forløb, ligesom tilsynet gerne vil høres om de initiativer, der herefter måtte blive tale om til implementering af tilgængelighedsprincippet.