22.2.2014   

HR

Službeni list Europske unije

C 51/12

Izvršni sažetak Mišljenja Europskog nadzornika za zaštitu podataka o prijedlozima Odluka Vijeća o sklapanju i potpisivanju Sporazuma između Kanade i Europske unije o prijenosu i obradi podataka iz putničke baze podataka (PNR)

(Cijeli tekst Mišljenja na EN, FR i DE nalazi se na portalu Europskog nadzornika za zaštitu podataka http://www.edps.europa.eu)

(2014/C 51/06)

I.   Savjetovanje s Europskim nadzornikom za zaštitu podataka

1.

Dana 19. srpnja 2013. Europska komisija usvojila je prijedloge Odluka Vijeća o sklapanju i potpisivanju Sporazuma između Kanade i Europske unije o prijenosu i obradi podataka iz putničke baze podataka (1) (u daljnjem tekstu: „prijedlozi”), u kojima je sadržan tekst prijedloga Sporazuma između Kanade i Europske unije (u daljnjem tekstu: „Sporazum”). Prijedlozi su poslani Europskom nadzorniku za zaštitu podataka 23. srpnja 2013.

2.

Europski nadzornik za zaštitu podataka također je imao priliku dati svoje mišljenje prije usvajanja prijedloga. Europski nadzornik za zaštitu podataka pozdravlja takva prethodna savjetovanja. Međutim, budući da su savjetovanja obavljena nakon zatvaranja pregovora, mišljenje Europskog nadzornika za zaštitu podataka nije bilo moguće uzeti u obzir. Ovo se mišljenje temelji na komentarima iznesenima tom prilikom.

II.   Opće primjedbe

3.

Kako je ranije istaknuto (2), Europski nadzornik za zaštitu podataka propituje nužnost i razmjernost shema PNR-a i opsežnih prijenosa podataka iz PNR-a zemljama izvan EU-a. Oboje su uvjeti koje propisuje Povelja Europske unije i Europska konvencija o ljudskim pravima u pogledu bilo kakvog ograničavanja temeljnih prava, uključujući pravo na poštivanje privatnosti te na zaštitu osobnih podataka (3). U skladu sa sudskom praksom, razlozi kojima javno tijelo opravdava svako takvo ograničenje ne bi trebali biti samo bitni i dostatni (4), već bi također trebalo dokazati da nisu raspoložive druge, manje nametljive metode (5). Europski nadzornik za zaštitu podataka do danas nije uvidio uvjerljive činjenice koje dokazuju nužnost i razmjernost opsežne i rutinske obrade podataka nesumnjivih putnika u svrhe provedbe zakona.

4.

Unatoč tome, Europski nadzornik za zaštitu podataka pozdravlja mjere zaštite podataka utvrđene Sporazumom, iako nije zadovoljan produženjem razdoblja zadržavanja podataka u usporedbi s prethodnim sporazumom o PNR-u s Kanadom.

5.

Europski nadzornik za zaštitu podataka također pozdravlja napore Komisije u pogledu nadzora i pravnih sredstava pod ograničenjima koja se podrazumijevaju sukladno naravi Sporazuma. Međutim, zabrinjavaju ga ograničenja sudskog preispitivanja i činjenica da pravna sredstva u upravnim postupcima može u određenim slučajevima pružiti unutarnje tijelo koje nije neovisno. Također nije siguran je li izvršni sporazum prikladno sredstvo za pružanje odgovarajućih i učinkovitih prava osobama čiji se podaci obrađuju.

6.

Sporazumom se uređuje način na koji „nadležno tijelo Kanade“ koristi podatke iz PNR-a dobivene od zrakoplovnih prijevoznika iz Europske unije i drugih prijevoznika koji pružaju usluge letova iz Europske unije (6). Europski nadzornik za zaštitu podataka preporučuje dobivanje potvrde da nijedno drugo kanadsko tijelo ne može izravno pristupiti podacima iz PNR-a ili ih zatražiti od tih prijevoznika i na taj način zaobići sporazum.

IV.   Zaključci

47.

Kako je ranije istaknuto, Europski nadzornik za zaštitu podataka propituje nužnost i razmjernost shema PNR-a i opsežnih prijenosa podataka iz PNR-a zemljama izvan EU-a. Također dovodi u pitanje odabir pravne osnove i preporučuje da se prijedlozi temelje na članku 16. UFEU-a, u vezi sa člankom 218. stavkom 5. i člankom 218. stavkom 6. točkom (a) UFEU-a.

48.

Europski nadzornik za zaštitu podataka također je zabrinut zbog ograničene dostupnosti neovisnih pravnih sredstava u upravnim postupcima i nepostojanja potpune pravne zaštite građana Europske unije u Kanadi te dovodi u pitanje prikladnost izvršnog sporazuma za rješavanje navedenih pitanja. Također preporučuje zahtijevanje potvrde da nijedno drugo kanadsko tijelo ne može izravno pristupiti podacima iz PNR-a ili ih zatražiti od prijevoznika na koje se odnosi Sporazum.

49.

Što se tiče konkretnih odredbi Sporazuma, Europski nadzornik za zaštitu podataka pozdravlja obuhvaćene mjere zaštite podataka. Međutim, Sporazum treba:

u potpunosti isključiti obradu osjetljivih podataka,

omogućiti brisanje ili anonimizaciju podataka odmah nakon analize, a najviše 30 dana nakon primitka te u svakom slučaju smanjiti i obrazložiti predloženo razdoblje zadržavanja podataka koje je produženo u usporedbi s prethodnim Sporazumom o PNR-u s Kanadom,

ograničiti kategorije podataka iz PNR-a koje se obrađuju,

izričito navesti da će opći nadzor provoditi neovisno tijelo.

50.

Osim toga, Europski nadzornik za zaštitu podataka preporučuje sljedeće aktivnosti, bilo u Sporazumu ili u pratećim dokumentima:

dodatno suziti i pojasniti pojmove kojima se definira svrha Sporazuma,

pojasniti moguće vrste „zakonite” diskriminacije,

propisati obvezno prijavljivanje kršenja zaštite podataka Europskoj komisiji i tijelima Europske unije nadležnima za zaštitu podataka,

unijeti odredbe o transparentnosti,

proširiti zabranu donošenja odluka isključivo na temelju automatizirane obrade na sve odluke koje se odnose na putnike na temelju Sporazuma,

točno navesti tijela u Kanadi kojima se podaci iz PNR-a mogu dalje prenijeti, dodati zahtjev za prethodnim sudskim ovlaštenjem ili postojanjem neposredne opasnosti, propisati obvezu uključenja odgovarajućih mjera za zaštitu podataka u sporazume ili dogovore s drugim zemljama ili tijelima primateljima i njihovo prijavljivanje Europskoj komisiji i tijelima Europske unije nadležnima za zaštitu podataka,

imenovati nadležna tijela i utvrditi odvraćajuće sankcije za nepoštivanje Sporazuma,

navesti mehanizme dostupne osobama koje nisu državljani Kanade, a koje traže sudsko preispitivanje na temelju kanadskog prava,

pojasniti može li se pravo na sudsko preispitivanje ostvariti čak i ako dotična osoba nije obaviještena o odgovarajućoj odluci ili mjeri, naročito u slučaju kršenja odredbi Sporazuma, osim onih koje se odnose na pristup i ispravljanje/bilježenje,

navesti na koji se „drugi pravni lijek koji može uključivati odštetu” odnosi članak 14. stavak 2.,

navesti učestalost revizija provedbe Sporazuma, sadržaj tih revizija (koji bi trebao uključivati ocjenu nužnosti i razmjernosti) i izričito uključivanje tijela Europske unije nadležnih za zaštitu podataka u revizijski tim Europske unije.

Sastavljeno u Bruxellesu 30. rujna 2013.

Peter HUSTINX

Europski nadzornik za zaštitu podataka

(1)  COM(2013) 529 final.

(2)  Vidjeti Mišljenje Europskog nadzornika za zaštitu podataka od 9. prosinca 2011. o prijedlogu Odluke Vijeća o sklapanju Sporazuma između Sjedinjenih Američkih Država i Europske unije o uporabi i prijenosu putničkih baza podataka Ministarstvu domovinske sigurnosti Sjedinjenih Američkih Država, SL C 35, 9.2.2012., str. 16.; Mišljenje od 15. srpnja 2011. o prijedlogu Odluke Vijeća o sklapanju Sporazuma između Europske unije i Australije o obradi o prijenosu podataka iz putničkih baza podataka (PNR) zračnih prijevoznika australskoj Službi za carinu i zaštitu granice, SL C 322, 23.12.2011., str. 1.; Mišljenje Europskog nadzornika za zaštitu podataka od 25. ožujka 2011. o prijedlogu Direktive Europskog parlamenta i Vijeća o uporabi podataka iz putničkih baza podataka za sprečavanje, utvrđivanje, istraživanje i kazneni progon kaznenih djela terorizma i teških kaznenih djela; Mišljenje od 19. listopada 2010. o općem pristupu prijenosima podataka iz putničkih baza podataka (PNR) trećim zemljama; Mišljenje od 20. prosinca 2007. o prijedlogu Okvirne odluke Vijeća o uporabi podataka iz putničkih baza podataka (PNR) u svrhe provedbe zakona, SL C 110 1.5.2008., str. 1.; Mišljenje od 15. lipnja 2005. o prijedlogu Odluke Vijeća o sklapanju sporazuma između Europske zajednice i Vlade Kanade o obradi unaprijed poznatih podataka o putnicima (API) / podataka iz putničke baze podataka (PNR), SL C 218, 6.9.2005., str. 6. (sve dostupno na http://www.edps.europa.eu/EDPSWEB/edps/cache/bypass/Consultation/OpinionsC). Vidjeti također članak 29. mišljenja radne skupine o PNR-u dostupan na http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

(3)  Vidjeti članke 7. i 8. i članak 52. stavak 1. Povelje Europske unije o temeljnim pravima (SL C 83, 30.3.2010., str. 389.) i te članak 8. Konvencije za zaštitu ljudskih prava i temeljnih sloboda (ETS br. 5), Vijeće Europe, 4.11.1950.

(4)  Vidjeti presudu Europskog suda za ljudska prava od 4. prosinca 2008., S. i Marper protiv Ujedinjene Kraljevine.

(5)  Vidjeti Europski sud, presudu od 9. studenog 2010., C-92/09 Volker i Markus Schecke GbR protiv Land Hessen i C-93/09 Eifert protiv Land Hessen i Bundesansalt für Landwirtschaft und Ernährung.

(6)  Vidjeti memorandum za obrazloženje prijedloga i članak 3. stavak 1. Sporazuma.