Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT 3. Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender

Transkript

1 EUROPA-PARLAMENTET Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT 3 om forholdet mellem overvågningspraksis i EU og USA og EU's bestemmelser om databeskyttelse Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender Ordfører: Claude Moraes Jan Philipp Albrecht (medforfatter) DT\ doc PE v01-00 Forenet i mangfoldighed

2 1. Masseovervågningspraksis i EU og USA I forbindelse med afsløringerne fra den tidligere NSA-medarbejder Edward Snowden blev det slået fast, at flere medlemsstater og tredjelande har programmer til deres efterretningstjenesters masseovervågning af elektronisk kommunikation, og dette er siden blevet uddybet og støttet af en lang række journalisters undersøgelser og rapporter. 1 Nogle af afsløringerne er blevet bekræftet af efterretningstjenesterne, men de fleste har afvist at komme med kommentarer eller har udtalt, at dokumenterne er fejlfortolket. USA, Det Forenede Kongerige, Sverige, Frankrig og Tyskland har midlerne til at udnytte internettets backbonekabler og indsamle al trafik i en bestemt periode ("hele pakken", NSA og GCHQ) eller en del af den (FRA, DGSE, BND), og det forlyder, at Nederlandene i det mindste arbejder på et sådant program. De skaffer sig adgang til internettets backbone enten ved hjælp af lovlige aflytningsfaciliteter og standardiserede grænseflader 2 eller direkte ved hjælp af de fiberoptiske kabler og ved at bøje eller sammenkoble dem 3. Ifølge rapporter fra medierne har som minimum USA og Det Forenede Kongerige også midlerne til at kunne skaffe sig adgang til fortrolige computer- og telekommunikationssystemer ved hjælp af ulovlig adgang, herunder eventuel adgang til EUinstitutionernes udbyder af kommunikation. Det hævdes endvidere, at NSA også har et program til aktivt at installere bagdøre i almindeligt anvendte krypteringsværktøjer for at kunne læse det meste af den opfangede trafik og de opfangede data. 4 Forskellige efterretningsprogrammer giver adgang til data, der lagres og behandles på computere, herunder fjerncomputere (cloud computing), hvoraf det mest kendte program er NSA's PRISM-program og de underliggende lovbestemmelser i FISA og USA PATRIOT. Endvidere har som minimum amerikanske og britiske ambassader, konsulater og militæranlæg i tredjelande, herunder i andre medlemsstater, elektromagnetiske aflytningsfaciliteter beregnet til GSM-aflytning, herunder af stats- og regeringschefer. 5 Personlige rådata indsamlet gennem disse programmer deles som massedata mellem efterretningstjenesterne i USA, Det Forenede Kongerige, Canada, Australien og New Zealand i henhold til de "fem øjnes" aftale. 6 Der findes forskellige andre aftaler om deling af 1 Se de to undersøgelser, der er bestilt af GD INPOL, temaafdeling C, i forbindelse med LIBE's særlige undersøgelse: "The US surveillance programmes and their impact on EU citizens' fundamental rights", PE , september 2013, og "National programmes for mass surveillance of personal data in EU Member States and their compatibility with EU law", PE , oktober Jf. Det hemmelige rum 641A i AT&T's omstilling i San Francisco, se Whistle-Blower's Evidence, Uncut, Wired, , GCHQ Temporaprogrammet, se GCHQ taps fibre-optic cables for secret access to world's communications, The Guardian, , Den tyske lovgivning om overvågning af telekommunikation fra Det Europæiske Institut for Telestandarder (ETSI) tilbyder et seminar om "lovlig aflytning" med ansvar for at definere sådanne standarder. 3 Den amerikanske flåde har en særlig undervandsbåd til dette på undersøiske kabler, USS Jimmy Carter. 4 NSA Cryptanalysis and Exploitation Services: Project Bullrun classification guide to the NSA's decryption program, offentliggjort i 5 James Ball: NSA monitored calls of 35 world leaders after US official handed over contacts, The Guardian, , 6 En aftale mellem de såkaldte "fem øjne", også kaldet UKUSA-aftalen, blev allerede bekræftet i Europa- Parlamentets særlige betænkning om eksistensen af et globalt system til aflytning af privat og økonomisk kommunikation (Echelon-aflytningssystemet), A5-0264/2001, Se også: NSA's pressemeddelelse, PE v /10 DT\ doc

3 efterretninger mellem disse lande og andre medlemsstater. Selv om en sådan masseovervågning i de fleste tilfælde i en ren ordlydsfortolkning af den relevante lovgivning kun er tilladt vedrørende udlændiges kommunikation, kan denne begrænsning omgås, bl.a. ved at fastsætte en meget lav grænse for, hvornår genstanden for kommunikationen sandsynligvis er udenlandsk (f.eks. gennem en vid fortolkning af den "relevante" grænse i den amerikanske FISA-lovgivning), ved at erklære, at internettet af natur er udenlandsk (som det for nylig blev afsløret om den tyske BND 1 ), eller ved at bytte data indsamlet om hinandens borgere. 2 Dette viser, at overvågningsaktiviteter reelt er tværnationale, og fremhæver de begrænsninger, som rent nationale kontrolorganer er pålagt. Alle disse afsløringer har rejst alvorlige bekymringer om lovligheden af sådanne foranstaltninger i henhold til EU's primære og sekundære databeskyttelseslovgivning, lovgivningen om cybersikkerhed og cyberkriminalitet, Europarådets forpligtelser og generelle bestemmelser i EU's lovgivning, som ligeledes vedrører EU's grænser og medlemsstaternes kompetencer. Nedenfor påpeges de udfordringer, som USA's og flere af EU's medlemsstaters masseovervågning stiller EU's lovgivning og navnlig EU's databeskyttelse over for. 2. EU's og europæisk databeskyttelseslovgivning Primær lovgivning: Medlemsstaternes retssystemer skal overholde de grundlæggende rettigheder og de grundlæggende retsprincipper, således som de er knæsat ved artikel 6 i traktaten om Den Europæiske Union og Den Europæiske Unions charter om grundlæggende rettigheder. Databeskyttelse er en bindende grundlæggende ret i henhold til artikel 8 i chartret om grundlæggende rettigheder, som afspejler artikel 8 i den europæiske menneskerettighedskonvention og har et specifikt retsgrundlag i artikel 16 i TEUF: "Enhver har ret til beskyttelse af personoplysninger om vedkommende selv." Grundlæggende rettigheder er omfattet af en særlig beskyttelse og højere sikkerhed end andre lovfæstede rettigheder. Der findes en betydelig retspraksis fra Den Europæiske Menneskerettighedsdomstol med standarder for fastlæggelse af lovligheden og legitimiteten af udøvende organers og efterretningstjenesters hemmelige overvågning. Den Europæiske Menneskerettighedsdomstols retspraksis om retten til privatlivets fred og databeskyttelse med hensyn til efterretningstjenesters overvågning har navnlig understreget faren for, at disse foranstaltninger undergraver eller endda ødelægger demokratiet med det formål at beskytte det, og bekræftede, at de kontraherende stater ikke bare må vedtage foranstaltninger efter eget forgodtbefindende i spionage- og terrorbekæmpelsens navn.3. I henhold til Den Europæiske Menneskerettighedsdomstols retspraksis bør lovgivningen vedrørende de overtrædelser og den praksis, som den nationale sikkerhedsovervågning tydeligt og præcist udstikkes for, klart angive, hvilke kategorier af personer som kan udsættes for overvågning, og der bør være : Declassified UKUSA Signals Intelligence Agreement Documents Available, 1 Fakt, ARD German TV, , manuskript på 2 James Ball: US and UK struck secret deal to allow NSA to 'unmask' Britons' personal data, The Guardian, , 3 Klass m.fl. mod Forbundsrepublikken Tyskland, Den Europæiske Menneskerettighedsdomstol, 6. september 1978 (serie A, nr. 28). DT\ doc 3/10 PE v01-00

4 strenge grænser for varigheden af overvågningen og effektive afhjælpningsforanstaltninger i tilfælde af ulovlige overtrædelser af rettighederne i den europæiske menneskerettighedskonvention. Ifølge medlemsstaterne har EU ingen kompetencer med hensyn til efterretningsovervågning, eftersom opretholdelse af lov og orden og sikring af den nationale sikkerhed ikke hører under deres eksklusive interventionsområde. Eftersom der findes nationale sikkerhedsundtagelser i EU's databeskyttelseslovgivning (uddybes nedenfor), skal det imidlertid også fra Parlamentets side præciseres, hvad "national sikkerhed" betyder, og i hvilket omfang foranstaltninger, der træffes med henvisning til den nationale sikkerhed, ligger uden for anvendelsesområdet for EU's primære og sekundære lovgivning om databeskyttelse. Databeskyttelseslovgivning: Direktiv 1995/46/EF 1 indeholder de generelle regler for databeskyttelse i den private og den offentlige sektor. Rammeafgørelse 2008/977/RIA 2 indeholder databeskyttelsesreglerne for retshåndhævelsessektoren i forbindelse med udveksling af data på tværs af de interne grænser i Unionen. EU's aktuelle lovgivning om databeskyttelse er baseret på principperne om formålsbegrænsning, dataminimering og den registreredes rettigheder, herunder retten til at blive informeret om og klage over behandlingen, få adgang til egne personlige oplysninger og ikke være genstand for automatiske beslutninger, der påvirker den registrerede betydeligt. Databeskyttelsesgrænser for medlemsstaternes masseovervågning: I henhold til artikel 13 i direktiv 1995/46 kan medlemsstaterne kun træffe lovmæssige foranstaltninger med henblik på at begrænse disse rettigheder, "hvis en sådan begrænsning er en nødvendig foranstaltning af hensyn til: a) statens sikkerhed b) forsvaret c) den offentlige sikkerhed d) forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv e) væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender f) en kontrol-, tilsyns- eller reguleringsopgave, selv af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i litra c), d) og e) nævnte områder g) beskyttelsen af den registreredes interesser eller andres rettigheder og frihedsrettigheder." "Statens sikkerhed" henviser her til EU's medlemsstater, ikke til et tredjeland. Det er også rent praktisk vanskeligt at adskille fra "den offentlige sikkerhed", som ikke falder uden for EU's kompetencer. Der er en betydelig retspraksis, som begrænser begrebet "statens sikkerhed", og alle de foranstaltninger, som regeringsorganer træffer i denne forbindelse, skal ligeledes stå i forhold til de generelle retsstatsprincipper. I de tilfælde, hvor private virksomheder giver nationale efterretningstjenester personlige oplysninger af hensyn til statens sikkerhed, kan disse oplysninger og den nationale efterretningstjenestes videre behandling af dem overvejes under den "nationale undtagelse" i artikel 4 i TEU. En sådan anmodning fra de nationale efterretningstjenesters side skal imidlertid ske i overensstemmelse med artikel 2 i TEU samt med den europæiske menneskerettighedskonvention og retsstatsprincippet. 1 Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. 2 Rådets rammeafgørelse 2008/977/RIA af 27. november 2008 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager. PE v /10 DT\ doc

5 Databeskyttelsesgrænser for tredjelandes masseovervågning: Tredjelandes nationale sikkerhed danner ikke grundlag for undtagelser i henhold til den eksisterende databeskyttelseslovgivning. Europæiske personoplysninger er derfor i princippet beskyttet mod sådanne undtagelser, når de overføres til tredjelande, som f.eks. Safe Harbour-afgørelsen fra 2000 om overførsel af personoplysninger til USA 1, hvori det fastlægges, at registreredes rettigheder kun må begrænses, i det omfang det er nødvendigt for at overholde krav om national sikkerhed, offentlige interesser eller retshåndhævelse. Såfremt et tredjeland ikke yder en tilstrækkelig beskyttelse af personoplysninger, giver Unionens lovgivning to muligheder for at forhindre eller afbryde overførsel af data fra Unionen til sådanne lande: a) Kommissionen kan ensidigt ophæve en eksisterende tilstrækkelighedsvurdering, b) de nationale databeskyttelsesmyndigheder kan standse overførslen af personoplysninger. Dette fremgår ligeledes af Safe Harbour-aftalen i artikel 3, stk. 1, baseret på artikel 25, stk. 3 i direktiv 1995/46. 2 Kommissionen har for nyligt offentliggjort 13 henstillinger til forbedring af Safe Harbour-aftalen, bl.a. med det formål at sikre, at den nationale sikkerhedsundtagelse i Safe Harbour-afgørelsen kun anvendes i det omfang, det er strengt nødvendigt og forholdsmæssigt. 1 EU's ordning for overførsel af personoplysninger til tredjelande er generelt baseret på princippet om kontinuerlig beskyttelse for at undgå, at den beskyttelse, som ydes i EU, mistes, udhules eller nægtes, blot fordi dataene overføres til et tredjeland. De fastlagte regler og mekanismer har til formål at sikre dette krav. Dette blev allerede fastlagt i direktiv 95/46/EF, og de aktuelle forslag til forordning og direktiv vil tydeliggøre dette princip. Direktivet vil ligeledes forbedre situationen med hensyn til håndhævelsesaktiviteter, eftersom det vil sikre større konvergens i rammelovgivningen for databeskyttelse, som gælder denne sektor. Overførsler til tredjelande kræver altid overholdelse af formålsbegrænsningen, og personoplysninger må kun behandles i tredjelandet med et specifikt, nærmere bestemt og lovligt formål og må ikke senere gøres til genstand for behandling, som er uforenelig med disse formål. Dette er en forudsætning, som gælder alle overførsler, uanset om de er baseret på en afgørelse om tilstrækkelighed fra Kommissionen eller på en kontraktaftale, som EU's registeransvarlige og importøren har iværksat. Senere behandling af data, som overføres til et tredjeland til efterretningsformål, er et uforligneligt formål og vil nødvendigvis være en undtagelse fra de indførte forpligtelser. Det bør derfor stemme overens med undtagelserne i artikel 13 i direktiv 1995/46/EF. 4 Hvad angår masseovervågning og efterretningsaktiviteter, som udøves på grundlag af massekategorier af personoplysninger, er lande, hvor de statslige myndigheders beføjelser til at få adgang til oplysninger rækker videre end beføjelserne i henhold til internationalt anerkendte standarder for beskyttelse af menneskerettigheder, ikke sikre destinationer for overførsler. 1 Kommissionens beslutning 2000/520/EF af 26. juli 2000 i henhold til Europa-Parlamentets og Rådets direktiv 95/46/EF om tilstrækkeligheden af den beskyttelse, der opnås ved hjælp af Safe Harbour-principperne til beskyttelse af privatlivets fred og de dertil hørende hyppige spørgsmål fra det amerikanske handelsministerium (meddelt under nr. K(2000)2441). 2 Jf. Franz C. Mayer: Mit Europarecht gegen die amerikanischen und britischen Abhöraktionen? Teil 1: NSA, nsa. 3 Communication from the Commission to the European Parliament and Council on the Functioning of Safe Harbour from the Perspective of EU Citizens and Companies Established in the EU, COM(2013)0847 af EDPS støttede dette i fremlæggelsen til LIBE-udvalgets høring af 7. oktober DT\ doc 5/10 PE v01-00

6 Databeskyttelsesreformpakken: Ovennævnte to retsakter revideres i øjeblikket, idet en generel forordning om databeskyttelse erstatter direktivet fra 1995, og et databeskyttelsesdirektiv erstatter rammeafgørelsen fra Udvalget stemte den 21. oktober 2003 næsten enstemmigt for forhandlingsmandatet til ordførerne, Jan Philipp Albrecht og Dimitrios Droutsas, med det formål at nå til enighed ved førstebehandlingen med Rådet inden slutningen af denne valgperiode. LIBE's betænkninger bygger på rettighederne i de eksisterende EU-retsakter, specificerer dem i et vist omfang og er rettet mod bedre og mere sammenhængende håndhævelse i hele Unionen. Den udtrykkelige henvisning til undtagelsen vedrørende "national sikkerhed" i artikel 2 om forordningens anvendelsesområde er blevet slettet af LIBE baseret på argumentet om, at anvendelsesområdet for undtagelsen vedrørende national sikkerhed bestrides. Med LIBE's betænkning blev der ligeledes indført en ny artikel 43a i databeskyttelsesforordningen for at sikre, at offentlige myndigheder eller domstole i tredjelandes anmodninger om adgang til personoplysninger, der opbevares og behandles i EU, kun kan gives, såfremt de også har et retsgrundlag i EU-lovgivningen og er godkendt af den kompetente europæiske databeskyttelsesmyndighed. Direktivet om databeskyttelse inden for elektronisk kommunikation, kommunikationshemmelighed og dataopbevaring: Beskyttelse af privatlivets fred i den elektroniske kommunikationssektor er ligeledes specifikt reguleret i direktiv 2002/58. 1 I henhold til artikel 5 skal medlemsstaterne sikre "kommunikationshemmeligheden [ ] via nationale forskrifter. De forbyder især aflytning, registrering, lagring og andre måder, hvorpå samtaler kan opfanges eller overvåges af andre end brugerne, uden at de pågældende brugere har indvilget heri, bortset fra tilfælde, hvor det er tilladt ifølge lovgivningen, jf. artikel 15, stk. 1." En sådan indskrænkning af kommunikationshemmeligheden kan kun vedtages af medlemsstaterne i henhold til artikel 15, stk. 1, "hvis en sådan indskrænkning er nødvendig, passende og forholdsmæssig i et demokratisk samfund af hensyn til den nationale sikkerhed (dvs. statens sikkerhed), forsvaret, den offentlige sikkerhed, eller forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller uautoriseret brug af det elektroniske kommunikationssystem." Igen giver en sådan undtagelse vedrørende den nationale sikkerhed ikke fuldstændig frie hænder, idet visse test skal bestås. Artikel 15 har imidlertid som en general åbningsklausul fået flere medlemsstater til at vedtage retsakter om dataopbevaring, som rækker videre end dataopbevaringsdirektivet fra Dataopbevaringsdirektivet behandles i øjeblikket af Domstolen efter forfatningsmæssige klager i Irland og Østrig. 3 I direktivet om databeskyttelse inden for elektronisk kommunikation fastlægges endvidere positive forpligtelser for medlemsstaterne til at forhindre private operatørers masseovervågning af kommunikationsdata. I sin afgørelse i sagen Scarlet mod Sabam fastslog Domstolen, at en internetudbyders system til general overvågning af sine kunder for at spore deres aktiviteter på internettet ikke stemte overens med direktivet om databeskyttelse inden 1 Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation), senest ændret i Europa-Parlamentets og Rådets direktiv 2006/24/EF af 15. marts 2006 om lagring af data genereret eller behandlet i forbindelse med tilvejebringelse af offentligt tilgængelige elektroniske kommunikationstjenester eller elektroniske kommunikationsnet og om ændring af direktiv 2002/58/EF. 3 Generaladvokatens erklæring ventes den 12. december PE v /10 DT\ doc

7 for elektronisk kommunikation og EU's charter om grundlæggende rettigheder. 1 Databeskyttelse i Unionens institutioner: Forordning 2001/45 2 omhandler behandling af personoplysninger i Unionens institutioner og organer. For agenturer som Europol eller Eurojust er databeskyttelsesordningen angivet i deres specifikke retsakter. Endvidere har de som følge af de specifikke og følsomme oplysninger, som behandles af disse agenturer, et større ansvar på grund af de alvorlige negative virkninger for enkeltpersoners grundlæggende rettigheder, som følger af udveksling til tredjelande. Såfremt EU eller EU's agenturer overfører personoplysninger til tredjelande, bør de træffe de nødvendige foranstaltninger for at sikre, at de overførte data ikke senere behandles til uforenelige formål som efterretningsformål. Bliver de opmærksomme på, at data anvendes eller kan anvendes til efterretningsformål eller masseovervågning, bør de træffe de nødvendige foranstaltninger for at forhindre dette, underrette EDPS og om nødvendigt suspendere overførslen. Der er udtrykt bekymring om, at de nationale retshåndhævelsesmyndigheders og eventuelt efterretningstjenesternes deling af oplysninger med Europol og andre internationale partnere gør det vanskeligt at se grænserne for, hvad der er politisamarbejde i henhold til afsnit V, kapital 5, i TEUF, og hvad der er efterretning på EU-plan. Der er således ikke de store muligheder for at gennemgå lovligheden og tilstrækkeligheden af den type oplysninger, som udveksles, og deres præcise kilder i forhold til databeskyttelsesprincipper, da det ikke tydeligt fremgår, hvilken retsakt som finder anvendelse, og dermed hvilke principper der gælder. Beskyldningerne om overvågningsprogrammer i visse af EU's medlemsstater viser en løbende integrering af politi, militær og efterretningstjenester og -praksis, som skaber retsusikkerhed i forbindelse med EU's agenturers handlinger og deres troværdighed og afslører en mangel på ansvar, som skal håndteres effektivt på EU-plan. Rammeaftalen mellem EU og USA om databeskyttelse: I maj 2010 vedtog Kommissionen mandatet for forhandlinger mellem EU og USA om en rammeaftale om databeskyttelse inden for politi- og retssamarbejde ("paraplyaftalen"), som blev godkendt af Rådet den 2. december Lige fra begyndelsen har forhandlingerne været en udfordring og endte for over et år siden i et dødvande. Det vigtigste formål med rammeaftalen ville være at løse spørgsmålet om EU-borgeres ret til domstolsprøvelse, når deres personoplysninger overføres til USA. EUborgere har i øjeblikket ikke fuld og gensidig ret til domstolsprøvelse, da kun amerikanske personer (borgere og fastboende) er garanteret adgang til de amerikanske domstole. Oven i dette reelle og vigtige spørgsmål ville en afslutning af forhandlingerne genoprette tilliden til transatlantiske dataoverførsler. Det er afgørende, at Kommissionen mål om en betydningsfuld og omfattende aftale, der sikrer EU-borgere ret til domstolsprøvelse, kan nås inden sommeren Europarådets konvention 108: EU tiltræder i øjeblikket Europarådets europæiske menneskerettighedskonvention, og alle medlemsstaterne er allerede parter i konventionen. Af artikel 8 i den europæiske menneskerettighedskonvention fremgår det, at: "Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance." Dette fremgår mere 1 Domstolens afgørelse (tredje kammer) i sag C-70/10, 24. november Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutionerne og -organerne og om fri udveksling af sådanne oplysninger. 3 DT\ doc 7/10 PE v01-00

8 tydeligt i konvention 108 i Europarådets konvention af 28. januar 1981 om beskyttelse af individet i forbindelse med automatisk behandling af personoplysninger, hvor det i artikel 5 fremgår, at personoplysninger skal "indsamles og behandles loyalt og på lovlig vis" og opbevares "til nøjagtigt angivne og lovlige formål og ikke benyttes på en måde, der er uforenelig med disse formål". I henhold til artikel 9 i konvention 108 tillades undtagelser kun, hvis de udgør "en nødvendig forholdsregel i et demokratisk samfund", eller for at "beskytte den registrerede eller andres frihedsrettigheder og andre rettigheder". Der findes en del retspraksis om, hvad der hører under disse begrænsninger Bestemmelser om datasikkerhed og cyberangreb Bestemmelser om datasikkerhed: Alle Unionens retsakter om databeskyttelse har bestemmelser, som giver den registeransvarlige mandat til at sørge for sikkerheden af de behandlede personoplysninger. Dette omfatter beskyttelse af data mod udefrakommende cyberangreb og meddelelser til tilsynsmyndighederne og den registrerede i tilfælde af brud på datasikkerheden. Rent logisk bør medlemsstaternes myndigheder ikke have lov til at forfølge sådanne angreb og i stedet opnå lovlig adgang i enkeltsager baseret på lovlig aflytning. Det er endnu uklart, om de rapporterede angreb på Belgacom og andre telekommunikationsudbydere som f.eks. SWIFT har omfattet et brud på persondatasikkerheden, men da Belgacom efterfølgende har indrømmet, at der er en mulighed for, at der er givet adgang til kundernes personoplysninger 2, bør der træffes forebyggende foranstaltninger for at underrette kunderne, herunder EU's institutioner, om de rapporterede cyberangreb. Direktivet om cyberangreb og Budapestkonventionen: Det nye direktiv om angreb på informationssystemer 3 trådte i kraft i sommer og har erstattet den eksisterende rammeafgørelse. Begge er baseret på Europarådets konvention om it-kriminalitet fra 2001, også kaldet Budapestkonventionen. 4 Budapestkonventionen giver parterne mandat til at gøre uretmæssig adgang til computersystemer, opfangelse af ikkeoffentlige datatransmissioner samt indgreb i computerdata og computersystemer til strafbare handlinger. Selv om Budapestkonventionen indeholder bestemmelser, der giver parterne lov til at fastlægge lovbestemmelser om de kompetente myndigheders opfangelse af indholdsdata (f.eks. i forbindelse med retshåndhævelsesforanstaltninger), finder disse kun anvendelse inden for det respektive lands område. (Masse)overvågning af kommunikation og angreb på informationssystemer i en anden af konventionens parters område er ikke omfattet og er derfor ikke ulovlig i henhold til de nationale gennemførelser af Budapestkonventionen og EU's rammeafgørelse og det nye direktiv. Dette er endnu mere relevant, eftersom USA er part i Budapestkonventionen. LIBE-udvalget har for nylig udtrykt bekymring om det arbejde, der udføres i Europarådets 1 To gode eksempler er S og Marper mod Det Forenede Kongerige (2009), som begrænsede opbevaringsperioden i den britiske nationale DNA-database, navnlig for personer uden for mistanke, og Gillan og Quinton mod Det Forenede Kongerige (2010), hvorefter beføjelser tilladt politiet i henhold til terrorloven af 2000 enten ikke var tilstrækkeligt begrænsede eller underlagt tilstrækkelige retsgarantier og derfor ikke "i overensstemmelse med lovgivningen" Europa-Parlamentets og Rådets direktiv 2013/40/EU af 12. august 2013 om angreb på informationssystemer og om erstatning af Rådets rammeafgørelse 2005/222/RIA. 4 Europarådets konvention 185 om it-kriminalitet, Budapest, PE v /10 DT\ doc

9 komité for konventionen om it-kriminalitet med henblik på at udarbejde endnu en protokol om grænseoverskridende adgang til opbevarede computerdata, og gav udtryk for, at det er "foruroliget over det faktum, at hvis en sådan tillægsprotokol godkendes, kan gennemførelsen resultere i, at retshåndhævende myndigheder får uhindret fjernadgang til servere og computersystemer i andre jurisdiktioner uden anvendelse af aftaler om gensidig retshjælp (MLA) og andre instrumenter for retligt samarbejde, som er udarbejdet med henblik på at garantere de grundlæggende rettigheder for den enkelte, herunder databeskyttelse og retfærdig rettergang" Konklusioner og henstillinger 1. Medlemsstaternes retssystemer skal overholde de grundlæggende rettigheder og de grundlæggende retsprincipper, således som de er knæsat ved artikel 6 i traktaten om Den Europæiske Union og Den Europæiske Unions charter om grundlæggende rettigheder. 2. Databeskyttelse er en bindende grundlæggende ret i henhold til artikel 8 i chartret om grundlæggende rettigheder, som afspejler artikel 8 i den europæiske menneskerettighedskonvention og har et specifikt retsgrundlag i artikel 16 i TEUF. 3. Medlemsstaterne er bundet af flere EU-retsakter om databeskyttelse og cybersikkerhed. Det bør undersøges yderligere, om nogle af masseovervågningsaktiviteterne er i strid med EU's primære eller sekundære lovgivning i denne henseende. Det bør ligeledes undersøges, om medlemsstaternes aktiviteter er i strid med forpligtelserne i forbindelse med Europarådets konventioner og den europæiske menneskerettighedskonvention. 4. Eftersom der findes nationale sikkerhedsundtagelser i EU's databeskyttelseslovgivning, bør det også fra Parlamentets side præciseres, hvad "national sikkerhed" betyder, og i hvilket omfang foranstaltninger, der træffes med henvisning til den nationale sikkerhed, ligger uden for anvendelsesområdet for EU's primære og sekundære lovgivning om databeskyttelse. 5. Tredjelandes nationale sikkerhed danner ikke grundlag for undtagelser i henhold til den eksisterende databeskyttelseslovgivning. Europæiske personoplysninger er i princippet beskyttet mod sådanne undtagelser, når de overføres til tredjelande som f.eks. Safe Harbourafgørelsen fra 2000 om overførsel af personoplysninger til USA. Revisionen af Safe Harbouraftalen bør tydeligt begrænse omfanget af eventuelle undtagelser og bør udelukke masseovervågningsaktiviteter. 6. Indgåelsen af EU's databeskyttelsesreform bør prioriteres. Efter vedtagelsen af LIBE's betænkninger og forhandlingsmandater den 21. oktober 2013 bør Rådet nu hurtigst muligt vedtage sin forhandlingsposition, så der kan indgås en aftale inden udgangen af denne valgperiode. Det er utroligt vigtigt at fastholde den nye artikel 43a om beskyttelse mod tredjelandes adgang til data. 7. Forhandlingerne mellem EU og USA om en rammeaftale om databeskyttelse inden for politi- og retssamarbejde bør afsluttes hurtigt og samtidig løse den aktuelle mangel på ret til 1 Udtalelse i henhold til regel 50 fra Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender til Udvalget om Industri, Forskning og Energi om udnyttelse af potentialet ved cloud computing i Europa (2013/2063(INI)), , PE v DT\ doc 9/10 PE v01-00

10 domstolsprøvelse for EU-borgere i USA. 8. Den foreslåede tillægsprotokol til Europarådets konvention om it-kriminalitet om grænseoverskridende adgang til opbevarede computerdata kan medføre, at retshåndhævelsesmyndighederne får ubegrænset fjernadgang til servere og computersystemer i andre jurisdiktioner, hvilket er uacceptabelt. Enhver sådan protokol bør i stedet henvise til MLA-aftaler og andre instrumenter om retssamarbejde for at garantere databeskyttelse og retfærdig rettergang. 9. Den kommende forordning om Europol bør omfatte en artikel om, at data, som opnås i strid med de grundlæggende rettigheder i overensstemmelse med artikel 6 i TEU og Den Europæiske Unions charter om grundlæggende rettigheder, ikke behandles. 10. Beskyldningerne om overvågningsprogrammer i visse af EU's medlemsstater viser en løbende integrering af politik, militær og efterretningstjenester og -praksis, som skaber retsusikkerhed i forbindelse med EU's agenturers handlinger og deres troværdighed og afslører en mangel på ansvar, som skal håndteres effektivt på EU-plan. PE v /10 DT\ doc