THE JOINT SUPERVISORY BODY OF EUROPOL DEN FÆLLES KONTROLINSTANS FOR EUROPOL Udtalelse fra den fælles kontrolinstans om databeskyttelsesniveauet i Australien (Udtalelse 05/35) DEN FÆLLES KONTROLINSTANS FOR EUROPOL A. Indledende bemærkninger 1. Den fælles kontrolinstans er blevet anmodet om at afgive udtalelse om Australiens lovgivning og administrative praksis på databeskyttelsesområdet på grundlag af rapport sag nr. 2644-01 af 12. september 2005. 2. Rapporten er blevet forelagt for den fælles kontrolinstans af Europols Styrelsesråd i overensstemmelse med artikel 1, stk. 5, i Rådets afgørelse, som giver direktøren for Europol bemyndigelse til at indlede forhandlinger om aftaler med tredjelande og organisationer, der ikke er tilknyttet Den Europæiske Union. 3. Art. 3, stk. 3, anden del, i reglerne for Europols videregivelse af personoplysninger til tredjelande og eksterne organisationer anerkender eksplicit, at den fælles kontrolinstans også skal afgive en udtalelse i løbet af den procedure, hvor Rådet for Den Europæiske Union skal afgøre, om en aftale mellem Europol og Australien skal godkendes. Den fælles kontrolinstans vil derfor gerne understrege, at denne udtalelse kun omhandler spørgsmålet om, hvorvidt Europol kan indlede forhandlinger med Australien, som ville kunne føre til en aftale om Europols videregivelse af personoplysninger til Australien. Denne udtalelse er på ingen måde bindende for den fælles kontrolinstans i forhold til udarbejdelsen af dens udtalelse vedr. det endelige aftaleforslag mellem Europol og Australien. 1
4. Uanset ovenstående punkt understreger kontrolinstansen, at spørgsmålene, som er blevet rejst i denne udtalelse, bør tages op i den aftale, der skal forhandles med Australien. I kontrolinstansens udtalelse om aftalen som sådan vil der blive taget hensyn til, om de nedenfor anførte spørgsmål er blevet løst tilfredsstillende i det endelige aftaleforslag. 5. Den fælles kontrolinstans gør opmærksom på, at denne udtalelse bygger på Europols rapport (sag nr. 2644-01) af 12. september 2005 og det almene kendskab til situationen i Australien. B. Den fælles kontrolinstans udtalelse om Australien Den fælles kontrolinstans er af den opfattelse, at der på baggrund af oplysningerne og konklusionerne i sag nr. 2644-01 ud fra et databeskyttelsessynspunkt ikke foreligger nogen hindringer for, at Europol indleder forhandlinger med Australien som forberedelse til en aftale om Europols videregivelse af personoplysninger til Australien. Ved udfærdigelsen af sin udtalelse har den fælles kontrolinstans taget hensyn til australsk lovgivning på databeskyttelsesområdet, herunder tilstedeværelsen af en databeskyttelseskommissær med ansvar for databeskyttelsesspørgsmål som beskrevet i denne rapport. Den fælles kontrolinstans påpeger, at den ikke har modtaget de relevante retsakter og bestemmelser fra Europol. Den fælles kontrolinstans bemærker udtrykkeligt, at Australiens føderale struktur kræver særlig opmærksomhed ved udarbejdelsen af en aftale med Australien. Det skal sikres i den aftale, der indgås, at denne ikke blot er bindende for de føderale myndigheder, men i lige så høj grad er bindende for de enkelte stater og deres respektive myndigheder. C. Punkter, der skal tages i betragtning under forhandlingerne med Australien a) Den fælles kontrolinstans tager til efterretning, at Australien endnu ikke har undertegnet Europarådets konvention nr. 108 af 28. januar 1981 om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger. 2
b) Den fælles kontrolinstans understreger i betragtning af, at der med al sandsynlighed er involveret et antal forskellige myndigheder i bekæmpelsen af organiseret kriminalitet i Australien, at det er nødvendigt, at det nationale kontaktpunkt har klare bestemmelser for kontrollen med behovet for videregivelse af oplysninger og med, hvad de videregivne oplysninger anvendes til. c) Den fælles kontrolinstans bemærker udtrykkeligt, at Australiens føderale struktur kræver særlig opmærksomhed ved udarbejdelsen af en aftale med Australien. Det skal sikres i den aftale, der indgås, at denne ikke blot er bindende for de føderale myndigheder, men i lige så høj grad er bindende for de enkelte stater og deres respektive myndigheder. d) I aftalen bør det anføres, at videregivelse af personoplysninger til Australien kun kan finde sted, hvis formålet og begrundelsen for videregivelsen fremgår tilstrækkeligt klart og henhører under (a) Europol-konventionens anvendelsesområde og (b) anvendelsesområdet for aftalen mellem Europol og Australien. Endvidere bør det sikres, at Australien kun kan anvende de af Europol videresendte oplysninger til de formål, der står anført i aftalen, som naturligvis bør forefindes i de formål, der står anført i Europol-konventionen. Art. 6, stk. 1, første pkt. samt art. 6, stk. 2, i reglerne for Europols videregivelse af personoplysninger til tredjelande og eksterne organisationer bør derfor følges fuldt ud. Det bør også anføres i aftalen, at Australien har pligt til at slette enhver oplysning modtaget fra Europol, så snart den ikke længere er relevant i forhold til det formål til hvilket, den er blevet videregivet (jf. art. 7, stk. 3, i reglerne om videregivelse af personoplysninger). e) Tidsfristerne for opbevaring af personoplysninger som anført i Europolkonventionen og de relevante gennemførelsesbestemmelser bør finde anvendelse på oplysninger, der videregives af Europol til Australien, så Australien ikke lagrer oplysninger i længere tid, end det ville være tilladt i Europol. f) Australiens yderligere videregivelse til tredjelande af personoplysninger modtaget fra Europol skal ske i overensstemmelse med de gældende bestemmelser, herunder forudgående samtykke fra Europol eller den berørte medlemsstat. 3
g) En direkte forbindelse mellem Europols og Australiens edb-systemer ville være i strid med Europol-konventionen. Dette taget i betragtning anmoder kontrolinstansen om, at det i aftalen sikres, at videregivelse af personoplysninger fra Europol til Australien følger en procedure, der garanterer et tilstrækkeligt datasikkerhedsniveau. Australiens lagring og anvendelse af data bør ligeledes sikres tilstrækkeligt. h) Det bør i aftalen understreges, at Europols videregivelse af følsomme oplysninger, herunder biometriske oplysninger, til Australien kun kan finde sted, hvis Australien i hvert enkelt tilfælde kan påvise et klart og velbegrundet behov for videregivelse af de pågældende oplysninger. Artikel 6, stk. 1, andet afsnit, i reglerne for Europols videregivelse af personoplysninger til tredjelande og eksterne organisationer bør derfor i denne henseende følges nøje. i) I henhold til art. 7 i reglerne for Europols videregivelse af personoplysninger til tredjelande og eksterne organisationer bør Europol omgående underrette Australien om enhver ændring i oplysninger videregivet af Europol til Australien. Aftalen bør anføre, at Australien ved modtagelsen af en sådan underretning er retligt forpligtet til at ændre eller slette de fra Europol modtagne oplysninger i overensstemmelse med underretningen. Denne forpligtelse påhviler alle de kompetente myndigheder, som har modtaget oplysninger fra Europol. j) Overholdelsen af aftalen bør overvåges i passende grad og uafhængigt, og der bør laves bestemmelser således, at Australien bliver gjort ansvarlig over for enkeltpersoner for brud på aftalen såvel som for ulovlig eller urigtig behandling af oplysninger (jf. art. 8 i reglerne for Europols videregivelse af personoplysninger til tredjelande og eksterne organisationer). k) Det bør understreges, at datasikkerhedsniveauet, som Australien kan tilbyde for de personoplysninger, Europol videregiver, bør vurderes under hensyn til det i artikel 25 i Europolkonventionen fastsatte grundlag. 4
l) Den fælles kontrolinstans har erfaret, at databeskyttelsesrettighederne i Australien, herunder retten til egenaccess til personoplysninger, udelukkende gives til australske statsborgere og personer med bopæl i Australien. Hvis dette er korrekt, udgør det en hindring for indgåelsen af en aftale mellem Australien og Europol, da europæiske statsborgere ingen rettigheder har, hvis personoplysninger, der vedrører dem, er blevet videregivet til Australien. Den fælles kontrolinstans understreger behovet for, at Australiens s lov om privatlivets fred og aftalen ikke blot gælder for de australske statsborgere og personer med bopæl i Australien, men for alle, der er genstand for databeskyttelse, og hvis oplysninger videregives af Europol til Australien. D. Afsluttende bemærkninger Den fælles kontrolinstans ønsker at blive holdt ajour om sagens udvikling, navnlig hvad angår databeskyttelse i forbindelse med Australien, og anmoder også om, at Europol fremover holdes ajour med al relevant information i denne forbindelse. Den fælles kontrolinstans vil værdsætte også fremover på passende måde at blive involveret i den proces, der fører til indgåelse af en aftale med Australien. Den fælles kontrolinstans vil gerne i denne forbindelse tilbyde Europol enhver støtte, der måtte være nødvendig. Udfærdiget i Bruxelles den 12. december 2005 Emilio Aced Félez Formand 5