ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD



Relevanta dokument
EUROPEISKA DATATILLSYNSMANNEN

Arbetsgruppen för skydd av enskilda med avseende på behandlingen av personuppgifter (Artikel 29)

FÖRSLAG TILL BETÄNKANDE

ARTIKEL 29 Arbetsgruppen för skydd av personuppgifter

Europeiska unionens råd Bryssel den 24 november 2016 (OR. en)

För delegationerna bifogas ovannämnda dokument för vilket säkerhetsskyddsklassificeringen tagits bort.

III RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I FÖRDRAGET OM EUROPEISKA UNIONEN

Förslag till RÅDETS BESLUT

Säkerhet i samband med fotbollsmatcher med en internationell dimension *

FÖRSLAG TILL YTTRANDE

EUROPEISKA DATATILLSYNSMANNEN

Förslag till RÅDETS BESLUT

FÖRSLAG TILL YTTRANDE

Förslag till RÅDETS BESLUT. om undertecknande, på Europeiska unionens vägnar, av Europarådets konvention om förebyggande av terrorism

NOT Generalsekretariatet Delegationerna Utkast till rådets direktiv om skyldighet för transportörer att lämna uppgifter om passagerare

Sammanfattning. Direktivets syfte. Stockholm den 13 mars 2008 R-2008/0035. Till Justitiedepartementet. Ju2007/9590/BIRS

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den

15490/14 ph/slh 1 DG D 2B

EUROPEISKA GEMENSKAPERNAS KOMMISSION. Utkast till EUROPAPARLAMENTETS, RÅDETS OCH KOMMISSIONENS BESLUT

***I FÖRSLAG TILL BETÄNKANDE

EUROPEISKA UNIONEN EUROPAPARLAMENTET ENV 383 CODEC 955

ARBETSDOKUMENT FRÅN KOMMISSIONENS AVDELNINGAR SAMMANFATTNING AV KONSEKVENSANALYSEN. Följedokument till

EUROPEISKA DATATILLSYNSMANNEN

III RÄTTSAKTER SOM ANTAGITS I ENLIGHET MED AVDELNING VI I FÖRDRAGET OM EUROPEISKA UNIONEN

Förslag till RÅDETS BESLUT

EUROPEISKA DATATILLSYNSMANNEN

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den

TILL ORDFORANDEN OCH LEDAMÖTERNA AV EUROPEISKA UNIONENS DOMSTOL SKRIFTLIGA SYNPUNKTER

10449/12 AKI/IR/cc/je DG D LIMITE SV

EUROPEISKA DATATILLSYNSMANNEN

Förslag till RÅDETS BESLUT

EUROPEISKA DATATILLSYNSMANNEN

EUROPEISKA UNIONENS RÅD. Bryssel den 11 februari 2011 (15.2) (OR. en) 6387/11 FREMP 13 JAI 101 COHOM 44 JUSTCIV 19 JURINFO 5

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den

Förslag till RÅDETS DIREKTIV. om ändring av direktiv 76/768/EEG om kosmetiska produkter i syfte att anpassa bilaga III till den tekniska utvecklingen

Förhållandet mellan direktiv 2001/95/EG och förordningen om ömsesidigt erkännande

Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

Förhållandet mellan direktiv 98/34/EG och förordningen om ömsesidigt erkännande

Europeiska unionens officiella tidning

EUROPAPARLAMENTET. Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor

Arbetsgruppen för skydd av enskilda med avseende pån behandlingen av personuppgifter

EUROPEISKA CENTRALBANKEN

Förslag till RÅDETS BESLUT

Kommittédirektiv. Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt. Dir. 2017:42

1 Den tidigare beredningen beskrivs i en promemoria av den 17 februari 2010 från ordförandeskapet till

Blankett 8A Standardavtalsklausuler

Arbetsgrupp för skydd av enskilda med avseende på behandlingen av personuppgifter

FÖRSLAG TILL RESOLUTION

U 88/2013 rd. Justitieminister Anna-Maja Henriksson

EUROPEISKA DATATILLSYNSMANNEN

Rådets möte för rättsliga och inrikes frågor (RIF) den 4-5 juni 2018

EUROPEISKA DATATILLSYNSMANNEN

Förslag till RÅDETS BESLUT

EUROPAPARLAMENTET ***II EUROPAPARLAMENTETS STÅNDPUNKT. Konsoliderat lagstiftningsdokument. 18 januari /0106(COD) PE2

Inventering I. Inledning

Förslag till RÅDETS BESLUT

Europeiska unionens råd Bryssel den 28 maj 2018 (OR. en) Jordi AYET PUIGARNAU, direktör, för Europeiska kommissionens generalsekreterare

Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

7566/17 gh/aw/np,chs 1 DGG 3B

E-HANDEL OCH FINANSIELLA TJÄNSTER. MARKT/2094/01 SV Orig. EN

EUROPAPARLAMENTET. Utskottet för rättsliga frågor och den inre marknaden

Förslag till EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING

EUROPEISKA SYSTEMRISKNÄMNDEN

6426/15 ehe/ee/ab 1 DG B 3A

Rådets rambeslut om bekämpning av organiserad brottslighet: Vad kan göras för att stärka EU-lagstiftningen på detta område?

EUROPEISKA GEMENSKAPERNAS KOMMISSION. Förslag till RÅDETS BESLUT

FÖRSLAG TILL YTTRANDE

FÖRSLAG TILL YTTRANDE

* FÖRSLAG TILL BETÄNKANDE

EUROPAPARLAMENTET. Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor. 14 oktober 2003 PE 329.

Justitieminister Johannes Koskinen

10/01/2012 ESMA/2011/188

Regeringskansliet Faktapromemoria 2015/16:FPM120. Ramprogram för EU:s byrå för grundläggande rättigheter Dokumentbeteckning.

EUROPAPARLAMENTET. Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor PE v01-00

EUROPEISKA KONVENTET SEKRETARIATET. Bryssel den 31 maj 2002 (3.6) (OR. fr) CONV 72/02

Europeiska unionens officiella tidning L 170/7

Förslag till RÅDETS BESLUT

Uppdrag att överväga ett särskilt straffansvar för deltagande i en terroristorganisation

EUROPEISKA UNIONENS RÅD. Bryssel den 30 augusti 2011 (OR. en) 12899/11 Interinstitutionellt ärende: 2011/0164 (NLE)

Europeiska unionens råd Bryssel den 16 juni 2015 (OR. en) Jordi AYET PUIGARNAU, direktör, för Europeiska kommissionens generalsekreterare

MEDDELANDE TILL LEDAMÖTERNA

EUROPEISKA GEMENSKAPERNAS KOMMISSION

2.1 EU-rättsliga principer; direkt tillämplighet och direkt effekt

Utrikesministeriet Juridiska avdelningen

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

Förslag till RÅDETS BESLUT

1 EGT nr C 24, , s EGT nr C 240, , s EGT nr C 159, , s. 32.

EU:s förteckning över personer, grupper och enheter som är föremål för särskilda åtgärder i syfte att bekämpa terrorism

Tillämpningen av utsläppssteg på smalspåriga traktorer ***I

Europeisk konvention om utövandet av barns rättigheter

Helsingfors den 25 mars 2009 Dok: MB/12/2008 slutlig

Europeiska unionens råd Bryssel den 16 juni 2015 (OR. en) Jordi AYET PUIGARNAU, direktör, för Europeiska kommissionens generalsekreterare

*** FÖRSLAG TILL REKOMMENDATION

EUROPAPARLAMENTET. Utskottet för framställningar MEDDELANDE TILL LEDAMÖTERNA

EUROPEISKA UNIONEN EUROPAPARLAMENTET

FÖRSLAG TILL RESOLUTION

EUROPEISKA CENTRALBANKEN

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Förslag till RÅDETS BESLUT

5933/4/15 REV 4 ADD 1 SN/cs 1 DPG

Transkript:

ARTIKEL 29 - ARBETSGRUPPEN FÖR UPPGIFTSSKYDD 5001/01/SV/slutlig WP 41 Yttrande 4/2001 om Europarådets utkast till konvention om cyberbrottslighet Antaget den 22 mars 2001 Arbetsgruppen inrättades genom artikel 29 i direktiv 95/46/EG. Det är ett oberoende rådgivande EU-organ för skydd av personuppgifter och privatliv. Gruppens arbetsuppgifter fastställs i artikel 30 i direktiv 95/46/EG och i artikel 14 i direktiv 97/66/EG. Sekretariatet tillhandahålls av: Europeiska kommissionen, Generaldirektoratet för den inre marknaden, enheten för fri rörlighet för information och datasäkerhet, Rue de la Loi 200, B-1049 Bryssel/Wetstraat 200, B-1049 Bryssel - Belgien - Kontor C100-6/136 Internetadress: http://europa.eu.int/comm/internal_market/en/media/wpdocs/index.htm

ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLING AV PERSONUPPGIFTER som inrättades genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 1, HAR ANTAGIT DETTA YTTRANDE med beaktande av artikel 29.1 a och 30.3 i det direktivet, och med beaktande av sin arbetsordning, särskilt artiklarna 12 och 14 i denna, HÄRIGENOM UTTALAS FÖLJANDE. Inledning Cyberbrottslighet är en del av informationssamhällets mindre tilltalande sida. Den nya tekniken innebär inte bara enorma fördelar för samhället, utan ger också möjlighet att begå nya brott och begå gamla brott på nya sätt. Stater och andra organisationer är medvetna om detta, och diskuterar frågan inom bl.a. Europeiska unionen 2, G8 3, OECD, Förenta nationerna och Europarådet. Målet med dessa initiativ är att skapa ett informationssamhälle där medborgarna åtnjuter frihet och säkerhet. Europarådet har lång erfarenhet av internationellt samarbete inom både straffrättsliga frågor och mänskliga rättigheter. Det arbetar sedan 1997 med utformningen av en konvention om cyberbrottslighet. Kommittén med experter på brottslighet i cyberrymden (PC-CY) avslutade sitt arbete i december 2000, och Europarådets parlamentsförsamling skall yttra sig (antagligen under våren 2001) innan utkastet till konvention läggs fram inför Europarådets ministerkommitté för antagande. Beroende på vad parlamentsförsamlingen tycker kan ett utskott få i uppdrag att ändra utkastet. Utkastet till konvention kan också undertecknas av länder som inte är medlemmar i Europarådet. USA, Kanada, Japan och Sydafrika deltar redan aktivt i utformningen. Sedan april 2000 har olika versioner av konventionen offentliggjorts på Europarådets webbplats. Utkastet till motivering offentliggjordes dock inte förrän i februari 2001. Arbetet med utformningen av bägge handlingarna pågår fortfarande. Detta yttrande rör endast konventionen i den version som offentliggjordes den 22 december 2000 (den offentliga versionen 25 4 ), inte motiveringen. 1 EGT L 281, 23.11.1995, s. 31, tillgänglig på http://europa.eu.int/eur-lex/sv/lif/dat/1995/sv_395l0046.html 2 Se Europeiska kommissionens meddelande till rådet och Europaparlamentet: "Ett säkrare informationssamhälle ökad säkerhet i informationsinfrastrukturen och bekämpning av datorrelaterad brottslighet", antaget den 26 januari 2001, tillgängligt på http://europa.eu.int/ispo/eif/internetpoliciessite/crime/crime1.html 3 Se rekommendation 3/99 om krav på att Internetleverantörer sparar trafikdata för brottsbekämpningsändamål, antagen den 7 september 1999, WP 25, tillgänglig på http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm 4 Se http://www.coe.fr 2

Arbetsgruppen uppmärksammar de ansträngningar som görs på många områden för att bekämpa cyberbrottslighet, och stöder det allmänna målet för dessa ansträngningar i den mån de kan bidra till att öka säkerheten för alla medborgare, särskilt när det gäller behandling av personuppgifter. Arbetsgruppen vill dock kraftfullt betona att man måste göra en avvägning mellan kampen mot cyberbrottslighet och den grundläggande rätten till privatliv och skydd av personuppgifter när man utformar åtgärder i konventionen. Dessa rättigheter skyddas bl.a. i Europarådets konvention om mänskliga rättigheter, 1981 års Europarådskonvention om skydd för enskilda vid automatisk databehandling av personuppgifter, rekommendation nr R (87) 15 om polisens användning av personuppgifter, rekommendation nr R (95) 4 om skydd av personuppgifter inom telesektorn, särskilt vid telefoni, EU:s stadga om de grundläggande rättigheterna, EU:s dataskyddsdirektiv samt FN:s internationella konvention av år 1966 om medborgerliga och politiska rättigheter. Därför framför arbetsgruppen följande synpunkter på den nuvarande versionen av Europarådets konvention om cyberbrottslighet. Utkastet till konvention Konventionens bestämmelser om harmonisering av processuella åtgärder (kapitel II) och internationellt ömsesidigt bistånd (kapitel III) medför överföring av personuppgifter (trafikuppgifter, meddelandens innehåll och andra slag av personuppgifter) i samband med internationellt samarbete i brottmål som inte enbart har anknytning till cyberbrottslighet. Kapitel III handlar om internationellt samarbete kring utredning av och åtal för brott med anknytning till datorsystem och uppgifter samt för upptagning av bevis i elektronisk form som rör ett brott. De flesta kraven för ömsesidig rättslig hjälp i detta kapitel kan avse alla brott, oavsett om de är datorrelaterade eller ej. Kraven omfattar bl.a. ömsesidigt bistånd rörande utlämning, information på eget initiativ, arkivering av datoruppgifter och trafikuppgifter, utlämnande av och tillgång till dator- och trafikuppgifter, internationell tillgång till lagrade uppgifter samt insamling i realtid av trafikuppgifter och uppsnappning av meddelanden. Kapitlet ger också möjlighet att begära ömsesidigt bistånd via snabba kommunikationsmedel såsom fax och e-post. Formell bekräftelse måste enbart lämnas om den kontaktade parten begär det. Enligt konventionen (kapitel II, avsnitt 2) skall också parterna harmonisera sin processrätt för att se till att följande åtgärder finns tillgängliga: påskyndad arkivering av lagrade datoruppgifter, påskyndad arkivering och utlämning av trafikuppgifter, föreläggande om att en person skall lämna ut datoruppgifter som han kontrollerar och om att en tjänsteleverantör skall lämna ut abonnentuppgifter han förfogar över, visitation och beslag av lagrade datoruppgifter, realtidsinsamling av trafikuppgifter och uppsnappning av meddelanden. När det gäller materiell straffrätt skall parterna enligt konventionen (kapitel II, avsnitt 1) betrakta vissa gärningar som brott. Följden blir bl.a. att det blir tillåtet att använda vissa tvångsmedel som bara får användas i brottsutredningar. Gärningarna är t.ex. olaglig tillgång till datoruppgifter, olaglig uppsnappning, missbruk av anordningar såsom datorprogram och lösenord, förfalskning och bedrägeri med datoranknytning, barnpornografibrott samt intrång i upphovsrätt och närstående rättigheter. Arbetsgruppen beklagar att överträdelse av dataskyddsreglerna inte görs till ett brott. 3

Mänskliga rättigheter, privatliv och dataskydd I ingressen till konventionen hänvisas till 1950 års Europarådskonvention om skydd av de mänskliga rättigheterna och de grundläggande friheterna, till FN:s internationella konvention av år 1966 om medborgerliga och politiska rättigheter, (inom parentes) till 1981 års Europarådskonvention om skydd för enskilda vid automatisk databehandling av personuppgifter samt till rekommendation nr R (87) 15 om polisens användning av personuppgifter (inom parentes). Konventionen harmoniserar dock inte de säkerhetsåtgärder och villkor som skall gälla för de åtgärder som planeras med anledning av de instrument som det hänvisas till. Visserligen sägs i artikel 15 i konventionen apropå processrätt att inrättande, genomförande och tillämpning av de befogenheter och förfaranden som anges i avsnittet (kapitel II, avsnitt 2) skall vara föremål för de villkor och säkerhetsåtgärder som anges i varje berörd parts inhemska lag, men det finns inget krav på att sådana säkerhetsåtgärder och villkor faktiskt skall föreligga. Europarådsländerna är skyldiga att genomföra konventionen om mänskliga rättigheter (vilket bl.a. innebär rätt till privatliv och dataskydd, brev- och telehemlighet, opartisk rättegång, legalitetsprincip, yttrandefrihet samt att dessa rättigheter skall begränsas i tydlig lagstiftning med exakta villkor) och andra relevanta instrument. Länderna måste därför ha säkerhetsåtgärder och villkor gällande, men den exakta utformningen och omfattningen är inte nödvändigtvis identisk i alla medlemsländer. Utkastet till konvention är avsett att undertecknas även av länder som inte är medlemmar i Europarådet och de länderna måste inte följa samma krav som Europarådets medlemsländer. De är enligt utkastet till konvention inte skyldiga att införa säkerhetsåtgärder och villkor i enlighet med de olika internationella akterna om mänskliga rättigheter. Vidare kan utformningen av artikel 15 i utkastet till konvention ge intrycket att skyddet av mänskliga rättigheter endast behöver beaktas när det är vederbörligt och att det endast behöver vara adekvat. Överväganden om huruvida befogenheter eller förfaranden står i proportion till förseelsens slag och omständigheter nämns inte som en principiell fråga utan bara "i tillämpliga fall". Om detta tolkas som en begränsning av säkerhetsåtgärderna och förfarandena, skulle det avsevärt sänka, för att inte säga helt undergräva, skyddet av de grundläggande rättigheterna. I kapitlet om internationellt samarbete, kapitel III, saknas det också harmonisering av villkor och säkerhetsåtgärder. För en del av skyldigheterna att hjälpa den part som begär bistånd gäller villkor och säkerhetsåtgärder enligt nationell rätt (realtidsinsamling av trafikuppgifter och uppsnappning av meddelanden) 5. De andra skyldigheterna är inte föremål för några särskilda villkor. Detta innebär att ett medlemsland i Europarådet inte får vägra att samarbeta. Landet får bara vägra i de två fall där brott mot dess allmänna ordning (ordre public) anges som skäl för vägran 6. Och kravet på dubbel straffbarhet (en annan mycket viktig säkerhetsåtgärd) kan bara åberopas i begränsad omfattning 7. Till 5 Se artiklarna 33 och 34 i utkastet till konvention. 6 Se artikel 27.4 b för det fall där inget avtal om ömsesidig rättslig hjälp är tillämpligt varför detta kapitel i konventionen istället skall tillämpas. Se artikel 29.5 b för påskyndad arkivering av lagrade datoruppgifter och artikel 30.2 b för påskyndad utlämning av lagrade trafikuppgifter. 7 Se artikel 29.3 och 29.4 om påskyndad arkivering av lagrade datoruppgifter och artikel 30 om påskyndat utlämnande av lagrade trafikuppgifter. 4

följd av detta skall den part som tar emot begäran, som allmän regel och oavsett nationella eller internationella uppfattningar om säkerhetsåtgärder och villkor, lämna ut uppgifter, material o.d. enligt den andra partens begäran. Detta är ett eftersträvansvärt mål för effektiv polisverksamhet och brottsbekämpning. Däremot kanske det inte uppfyller kravet på nödvändighet, ändamålsenlighet och proportionalitet i enlighet med de instrument om mänskliga rättigheter som genomförts i nationella grundlagar och andra författningar. I detta sammanhang uppmärksammar arbetsgruppen också att man i hela utkastet till konvention 8 nämner "lagstiftning och andra åtgärder" som konventionens parter skall vidta för att genomföra konventionen. Arbetsgruppen vill särskilt påpeka för Europarådet, i synnerhet de instanser som för närvarande arbetar med utkastet, och alla eventuella signatärer att dessa uttryck måste tolkas i enlighet med rättspraxisen vid Europeiska domstolen för de mänskliga rättigheterna, för att åtgärder som bygger på dem skall utgöra lagenliga begränsningar av de grundläggande rättigheterna och friheterna. Flera av EU:s medlemsstater har även genomfört direktiv 95/46/EG inom den "tredje pelaren", dvs. för behandling av personuppgifter i brottmål. Deras nationella rätt kräver alltså att personuppgifter i princip endast kan skickas till länder utanför EU om detta land ger ett adekvat skydd för enskilda med avseende på behandling av personuppgifter. Länderna måste därför kunna kontrollera om skyddet i tredje land är adekvat. Om adekvat skydd inte föreligger, kan det ändå vara nödvändigt att överföra personuppgifter för att bekämpa brott. Den nationelle lagstiftaren kan ha förutsett det genom att medge undantag från principen om adekvat skydd. Samma behov av att ställa villkor kan uppstå i andra länder i enlighet med deras grundlag och processrätt. Därför bör konventionen åtminstone ge möjlighet att förena dessa två mål genom att den tillfrågade parten ges möjlighet att uppställa särskilda säkerhetsåtgärder och villkor för att överföringen skall få äga rum. Annars kan det uppstå konflikter mellan kravet att lämna bistånd och kravet att skydda de grundläggande rättigheterna i enlighet med europeiska instrument och därtill hörande rättspraxis. Tydligen är det meningen att artikel 27bis i kombination med artikel 27.6 skall lösa denna fråga, men det är oklart exakt hur. Inget sägs uttryckligen i artikel 27bis om skydd av personuppgifter, utan bara om "sekretess och begränsning av användningen" i fråga om "uppgifter eller material". I artikeln ges endast möjlighet ("får", inget krav) att den part som tar emot begäran får ställa upp villkor för leverans av uppgifter eller material i form av sekretesskrav eller krav på begränsning av användningen. Samtidigt förefaller dessa möjligheter vara avsevärt kringskurna: enligt fotnot 48 kan sekretess inte beviljas om offentliggörande krävs enligt processrätten. Enligt fotnot 49 påverkar artikel 27bis inte artikel 27 om ömsesidigt bistånd i de fall där internationella avtal saknas. Enligt artikel 27.4 får ömsesidigt bistånd vägras av de skäl som räknas upp, t.ex. om verkställan av begäran kan skada landets allmänna ordning, suveränitet, säkerhet eller andra väsentliga intressen. Innan en part beslutar att vägra eller uppskjuta bistånd, skall den undersöka om begäran kan beviljas delvis eller på vissa villkor (artikel 27.6). Det är dock oklart om dataskyddsvillkor kan uppställas med denna bestämmelse som grund, eftersom den är knuten till de skäl för vägran som anges i artikel 27.4 där dataskydd inte nödvändigtvis ingår. 8 Se artiklarna 14, 16, 17, 18, 19, 20 om insamling i realtid av trafikuppgifter (dvs. utan husrannsakansorder e.d.), artikel 21 om uppsnappning av meddelanden samt artiklarna 23 och 26 i utkastet till konvention. 5

Arbetsgruppen anser att dessa bestämmelser och de begränsningar som anges i dem inte är tillräckliga för att helt garantera den grundläggande rätten till privatliv och skydd av personuppgifter. Medborgarna kan inte alltid förutse när och hur deras grundläggande rättigheter begränsas. Utkastet till konvention bör därför minst innehålla dataskyddsbestämmelser om det skydd som skall ges enskilda som är föremål för de åtgärder som avses i utkastet till konvention. Dessutom bör signatärerna uppmanas att ansluta sig till Europarådskonvention 108 9 till vilken även länder som inte är medlemmar i Europarådet får ansluta sig. Särskilt bör artikel 27bis och dess förhållande till artikel 27.4 och 27.6 förtydligas mot bakgrund av vad som ovan anförts. Eftersom direktiv 95/46/EG oftast genomförts "sömlöst", dvs. så att även behandling av personuppgifter inom den "tredje pelaren" ingår, finns det starka skäl att hävda att begreppet "allmän ordning" också omfattar situationer där ett inadekvat skydd av enskilda med avseende på behandling av personuppgifter kan äventyra de berörda personernas rättigheter och friheter. Här bör det påpekas att rätt till skydd av den enskildes personuppgifter nyligen fastslagits i artikel 8 i EU:s stadga om grundläggande rättigheter. Huruvida det finns ett adekvat skydd i ett tredje land anges också i Europol-konventionen som ett viktigt kriterium när man beslutar om, och i så fall i vilken omfattning, Europol får lämna ut personuppgifter till det tredje landet för polisiära ändamål. Om artikel 27bis förtydligas och ändras enligt ovan, kan frågorna om sekretess och begränsning av användningen i viss mån lösas när det gäller överföring av personuppgifter till länder som inte är med i Europarådet eller EU, men arbetsgruppen anser att om en signatär åtar sig att uppfylla kraven i artikel 27bis utgör det inte nödvändigtvis ett tillräckligt åtagande i dataskyddshänseende (se ovan). Om dataskyddsbestämmelser tas med, bidrar det till att samla och förtydliga den prövning som skall göras med avseende på nödvändighet, ändamålsenlighet och proportionalitet som krävs enligt de ovannämnda instrumenten. Arbetsgruppen anser också att konventionens parter måste uppfylla dataskyddskraven innan de kan anses ge ett adekvat skydd för registrerade personers rättigheter och friheter. Detta tillvägagångssätt bidrar till en harmonisering av de säkerhetsåtgärder och villkor som skall tillämpas på åtgärderna i utkastet till konvention. Om en part i tredje land skall kunna dra nytta av en överföring av personuppgifter, måste den ta sitt ansvar att skydda de berörda personernas grundläggande rättigheter efter det att uppgifterna levererats. Trafikuppgifter Arbetsgruppen välkomnar att den nuvarande versionen av konventionen (nr 25) till skillnad från tidigare versioner inte längre innehåller ett allmänt krav på att alla trafikuppgifter skall arkiveras rutinmässigt. Detta överensstämmer med arbetsgruppens rekommendation 3/99 om krav på att Internetleverantörer sparar trafikdata för brottsbekämpningsändamål, antagen den 7 september 1999 10, där arbetsgruppen redogör för de juridiska skäl 11 som talar mot ett sådant generellt krav. 9 Detta förslag följer Schengen-modellen där ömsesidigt bistånd mellan polismyndigheter för särskilda ändamål och utbyte av personuppgifter bygger på medlemskap i konvention 108 och dataskyddsbestämmelserna i själva Schengen-avtalet. 10 Tillgänglig på http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/index.htm 11 I synnerhet direktiv 97/66/EG. 6

Vidare tog EU:s dataskyddsansvariga vid sitt möte våren 2000 i Stockholm kraftfullt avstånd från sådana åtgärder. De antog en resolution där de sade att de bekymrat noterade förslag om att Internetleverantörer rutinmässigt bör behålla trafikuppgifter, utöver vad som krävs för fakturering, för att ge rättsvårdande organ tillgång till uppgifterna. Vid mötet betonade man att detta skulle innebära en överträdelse av de grundläggande rättigheter som garanteras enskilda genom artikel 8 i Europeiska konventionen om mänskliga rättigheter. Om trafikuppgifter skall behållas i särskilda fall måste det finnas ett påvisbart behov, varaktigheten måste vara så kort som möjligt och förfarandet måste regleras tydligt genom lagstiftning. Det håller på att uppstå konsensus om denna fråga. Andra institutioner och grupper, t.ex. den internationella arbetsgruppen för dataskydd i telesektorn i sin gemensamma ståndpunkt om dataskyddsaspekter i Europarådets utkast till konvention om cyberbrottslighet 12, har också uttalat omfattande reservationer. Trots detta ger de bestämmelser i utkastet till konvention som rör trafikuppgifter anledning till allvarlig oro: artiklarna 29 och 30 om påskyndad arkivering och utlämning av trafikuppgifter och andra uppgifter ger inte möjlighet för den part som tar emot begäran att vägra sådant bistånd med hänvisning till dataskyddet, utan bara enligt de allmänna överväganden som diskuterats ovan (allmän ordning o.d.). Samtidigt innebär lagringskravet, dvs. kravet att lagrade dator- och trafikuppgifter på begäran skall arkiveras i minst 60 dagar så att ett beslut kan fattas om varför de behövs och hur de skall användas, en omfattande belastning på företagen (teleföretag, Internetleverantörer och övriga) och de enskilda. Liknande problem finns med artikel 20, enligt vilken tjänsteleverantörer i den mån de har teknisk möjlighet skall samla in eller registrera trafikuppgifter i realtid. Rent generellt behöver företagen antagligen mer rättssäkerhet kring sina skyldigheter och hur de skall genomföras i praktiken. De kan befara att konsumenterna inte litar tillräckligt mycket på deras varor och tjänster om det inte är tydligt vem som har tillgång till konfidentiella uppgifter och meddelanden och hur det sker. Slutsatser Arbetsgruppen betonar Europarådets betydelse som en verkningsfull väktare av de mänskliga rättigheterna i flera årtionden. Arbetsgruppen anser att Europarådet när det främjar internationellt samarbete kring cyberbrottslighet utanför sina egna medlemmar behöver lägga särskild vikt vid skydd av grundläggande rättigheter och friheter, särskilt skydd av privatliv och personuppgifter. Arbetsgruppen anser därför att utkastet till konvention måste förtydligas, eftersom formuleringarna ofta är för vaga och oklara och kanske inte utgör tillräcklig grund för relevanta författningar och obligatoriska åtgärder avsedda att lagenligt begränsa de grundläggande friheterna och rättigheterna. Förklaringar i motiveringen kan inte ersätta juridisk tydlighet i själva rättsakten. 12 Internationella arbetsgruppen för dataskydd i telesektorn, gemensam ståndpunkt om dataskyddsaspekter i Europarådets utkast till konvention om cyberbrottslighet, antagen vid dess 28:e sammanträde den 13 14 september 2000 i Berlin, tillgänglig på http://www.datenschutz-berlin.de/doc/int/iwgdpt/cy_en.htm 7

De flesta bestämmelserna i utkastet till konvention har en stor inverkan på de grundläggande rättigheterna till privatliv och skydd av personuppgifter. Som sagts ovan föregriper alternativen i den nuvarande versionen av konventionen i viss mån den övervägning som måste göras om den grundläggande rätten till privatliv (artikel 8 i Europakonventionen om de mänskliga rättigheterna) och andra rättigheter skall begränsas 13. En av de centrala frågorna i detta sammanhang är om en åtgärd är nödvändig i ett enskilt fall, och i så fall om den är ändamålsenlig, proportionell och rimlig. En del av bestämmelserna i utkastet till konvention är helt nya, och deras inverkan på de grundläggande rättigheterna, i synnerhet rätten till privatliv och dataskydd, har kanske inte bedömts tillräckligt av kommittén med experter på brottslighet i cyberrymden (PC- CY). Arbetsgruppen anser att det krävs en tydligare motivering av de åtgärder som planeras i enlighet med de kriterier på nödvändighet, ändamålsenlighet och proportionalitet som anges i de ovannämnda instrumenten om mänskliga rättigheter och dataskydd. Arbetsgruppen rekommenderar kraftfullt att konventionen bör innehålla dataskyddsbestämmelser där man skisserar det skydd som måste ges till enskilda vars personuppgifter skall behandlas i samband med sådana åtgärder som avses i konventionen. Artikel 27bis bör också tas med (dvs. parentesen bör strykas) och ändras på det sätt som sagts. Om dataskyddsbestämmelser tas med bidrar det till att samla och förtydliga de krav på nödvändighet, ändamålsenlighet och proportionalitet som krävs enligt Europarådets och EU-staternas samlade rätt. Arbetsgruppen anser vidare att en hänvisning till konvention 108 bör tas med i ingressen (dvs. parentesen bör strykas), även om detta inte har bindande verkan, och att parterna i konventionen om cyberbrottslighet bör uppmanas att ansluta sig till konvention 108 om skydd för enskilda vid automatisk databehandling av personuppgifter. Arbetsgruppen beklagar att inget sägs i utkastet till konvention om kriminalisering av överträdelser av dataskyddsreglerna. Arbetsgruppen ser en diskrepans i behandlingen av länder som är med i Europarådet kontra andra länder, då Europarådsländer måste följa sina skyldigheter enligt Europakonventionen om de mänskliga rättigheterna, konvention 108, relevanta Europarådsrekommendationer, EU:s stadga om de grundläggande rättigheterna, EU:s dataskyddsdirektiv samt tillämplig nationell rätt, medan andra länder inte har samma eller liknande skyldigheter enligt den nuvarande versionen av konventionen. Arbetsgruppen anser också att parterna i konventionen måste ta sitt ansvar för att se till att enskildas grundläggande rättigheter skyddas när uppgifter om dem förts ut från länder som är medlemmar i EU eller Europarådet. Hållningen i den nuvarande versionen (offentlig version 25), att parterna i konventionen inte skall vara skyldiga att kräva att tjänsteleverantörer arkiverar trafikuppgifter för alla meddelanden, bör absolut inte ändras. Arbetsgruppen beklagar att relevanta handlingar offentliggjorts mycket sent. Arbetsgruppen anser det mycket önskvärt att den offentliga debatten kan fortgå längre med medverkan från alla berörda (människorättsorganisationer, näringsliv o.d.) innan Europarådets parlamentsförsamling diskuterar och fattar beslut. 13 Exempelvis innebär uppsnappande av meddelanden och trafikuppgifter att telehemligheten bryts fullständigt (se dom i Malone-målet av Europeiska domstolen för de mänskliga rättigheterna). 8

Arbetsgruppen anser att många av de brister som påpekats i detta yttrande uppenbarligen beror på att Europarådet inte på bästa sätt utnyttjat den tillgängliga expertisen i dataskyddsfrågor. Arbetsgruppen uppmanar därför Europarådet och i synnerhet EU:s medlemsstater att rådfråga sina dataskyddsexperter innan de tar slutlig ställning till utkastet till konvention, och på bästa sätt använda deras synpunkter. Arbetsgruppen uppmanar Europarådet, Europeiska kommissionen, Europaparlamentet och medlemsstaterna att beakta detta yttrande. Arbetsgruppen förbehåller sig rätten att framföra ytterligare synpunkter. Utfärdat i Bryssel den 22 mars 2001 På arbetsgruppens vägnar Stefano Rodota Ordförande 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss