52003DC0826

MEDEDELING VAN DE COMMISSIE AAN DE RAAD EN HET EUROPEES PARLEMENT - Doorgifte van passagiersgegevens (PNR-gegevens): een allesomvattende EU-aanpak

1. Inleiding en achtergrond

In de nasleep van de terroristische aanvallen van 11 september 2001 hebben de Verenigde Staten in november 2001 wetgeving goedgekeurd om de luchtvaartmaatschappijen die vluchten naar, vanuit of via de Verenigde Staten organiseren, te verplichten de VS-douaneautoriteiten elektronische toegang tot de in hun geautomatiseerde boekings- en vertrekcontrolesystemen opgeslagen gegevens, de zogenaamde Passenger Name Records (PNR), te verlenen. In het besef van de daarmee gemoeide legitieme veiligheidsbelangen heeft de Commissie de VS-autoriteiten al in juni 2002 te kennen gegeven dat deze eisen wel eens in strijd konden zijn met de communautaire en nationale gegevensbeschermingswetgeving [1] en met sommige bepalingen van de verordening inzake geautomatiseerde boekingssystemen (CRS) [2]. De VS-autoriteiten hebben de inwerkingtreding van de nieuwe voorschriften weliswaar uitgesteld, maar hebben uiteindelijk niet willen afzien van sancties voor luchtvaartmaatschappijen die er na 5 maart 2003 niet aan voldoen. Sindsdien hebben diverse grote EU-luchtvaartmaatschappijen toegang verleend tot hun PNR-gegevens.

[1] Zie met name Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281 van 23.11.1995, blz. 31.

[2] Verordening (EEG) nr. 2299/89 van de Raad van 24 juli 1989 betreffende gedragsregels voor geautomatiseerde boekingssystemen, PB L 220 van 29.7.1989, blz. 1, laatstelijk gewijzigd bij Verordening (EG) nr. 323/1999 van de Raad van 8 februari 1999, PB L 40 van 13.2.1999, blz. 1.

Op 18 februari 2003 hebben de Commissie en de VS-administratie een gemeenschappelijke verklaring afgelegd waarin onze gemeenschappelijke belangen bij de bestrijding van het terrorisme worden onderstreept, de eerste door de VS-douaneautoriteiten gedane toezeggingen inzake gegevensbescherming worden uiteengezet en kennis wordt genomen van het voornemen van beide partijen om de besprekingen voort te zetten en zo de Commissie in staat te stellen een beschikking te geven overeenkomstig artikel 25, lid 6, van de gegevensbeschermingsrichtlijn 95/46/EG, waarbij de voor de doorgegeven gegevens geboden bescherming passend wordt geacht. De besprekingen waren er dus op gericht de wijze waarop de VS PNR-gegevens gebruiken en beschermen, nauwer bij de EU-normen te laten aansluiten.

Inmiddels hebben andere derde landen, waaronder Canada en Australië, al toegang gevraagd tot PNR-gegevens of zijn ze voornemens dat te doen. Een aantal lidstaten onderzoekt ook de mogelijkheid PNR-gegevens te gebruiken om de veiligheid van het luchtverkeer en van de grenzen te vergroten.

In zijn resoluties van 13 maart [3] en 9 oktober 2003 [4] heeft het Europees Parlement de Commissie verzocht een aantal maatregelen te nemen met betrekking tot de doorgifte van PNR-gegevens naar de VS om te garanderen dat met de Europese belangen inzake gegevensbescherming rekening wordt gehouden.

[3] P5_TA(2003)0097.

[4] P5_TA(2003)0429.

De Commissie is het met het Europees Parlement eens dat de problemen die uit verzoeken om PNR-gegevens door derde landen en met name door de VS voortvloeien, dringend moeten worden opgelost. Die oplossing moet echter rechtsgeldig zijn. Zij moet de garantie bieden dat niet alleen de persoonsgegevens en de persoonlijke levenssfeer, maar ook de fysieke veiligheid van de burgers worden beschermd. Ze moet ook direct verband houden met de noodzaak het terrorisme en de internationale georganiseerde misdaad te bestrijden. Ze moet een einde maken aan de rechtsonzekerheid bij zowel Europese als niet-Europese luchtvaartmaatschappijen en het legitieme reizen vergemakkelijken. De aanpak van de EU mag echter niet uitsluitend een reactie zijn op initiatieven van anderen.

Sommige lidstaten hebben ook belangstelling getoond voor effectieve regelingen om de veiligheid van het luchtverkeer en van de grenzen te verhogen. Een EU-aanpak zou ook de basis moeten vormen voor een initiatief om een multilaterale oplossing te vinden, het enige praktische middel om problemen in verband met het internationale luchtverkeer aan te pakken.

In deze mededeling zet de Commissie uiteen welke elementen zij voor de allesomvattende EU-aanpak noodzakelijk acht.

2. Hoofdelementen van de allesomvattende EU-aanpak

Een complete en evenwichtige aanpak van alle problemen die met name voortvloeien uit VS-wetgeving waarbij de doorgifte van PNR-gegevens verplicht wordt gesteld, maar ook een aanpak die in de bovengenoemde ruimere behoeften voorziet om zo terdege rekening te houden met de volgende overwegingen:

- de bestrijding van het terrorisme en de internationale misdaad,

- het recht op privacy en de bescherming van de fundamentele rechten van de burger,

- de noodzaak voor luchtvaartmaatschappijen om tegen aanvaardbare kosten aan diverse wettelijke eisen te kunnen voldoen,

- de ruimere relatie tussen de EU en de VS,

- de veiligheid en het comfort van de passagiers,

- problemen in verband met de beveiliging van de grenzen,

- de echte internationale, wereldwijde omvang van deze problemen.

Elke eenzijdige aanpak of elke aanpak waarmee niet alle elementen worden samengebundeld, zal onevenwichtig en onverdedigbaar zijn. Het zoeken naar een echt allesomvattende oplossing mag echter geen vertraging of hinderpalen opleveren voor het zoeken naar een wettelijke oplossing voor het probleem van de huidige PNR-doorgiften naar de VS, om niet te spreken van de toenemende druk op EU-luchtvaartmaatschappijen die de VS nog geen toegang tot hun PNR-gegevens verlenen.

De meervoudige aanpak van de Commissie omvat derhalve de volgende hoofdelementen:

a. Een wettelijk kader voor de huidige PNR-doorgiften naar de VS in de vorm van een beschikking van de Commissie overeenkomstig artikel 25, lid 6, van de gegevensbeschermingsrichtlijn (95/46/EG), samen met een "lichte" bilaterale of internationale overeenkomst.

b. Volledige, juiste en relevante informatie voor de passagiers. De Commissie zal er, samen met de luchtvaartmaatschappijen, de reisbureaus, de CRS, de gegevensbeschermingsautoriteiten en eventueel de autoriteiten van de betrokken derde landen op toezien dat de passagiers, voordat zij hun ticket kopen, volledige en juiste informatie krijgen over het gebruik van hun PNR-gegevens en hun toestemming verlenen voor de doorgifte ervan.

c. De "pullmethode" voor doorgifte (directe toegang van de VS-autoriteiten tot de databases van de luchtvaartmaatschappijen) vervangen door een "pushmethode", gecombineerd met passende filters. De technische besprekingen van de Commissie met de sector zijn al flink gevorderd. De Commissie zal de snelle toepassing van een "pushsysteem" via een EU-beleidsmaatregel aanbevelen.

d. De ontwikkeling van een standpunt van de EU over het gebruik van passagiersgegevens, inclusief PNR, om de veiligheid van het luchtverkeer en van de grenzen te verhogen.

e. Het opzetten van een multilateraal kader voor de doorgifte van PNR-gegevens binnen de Internationale Burgerluchtvaartorganisatie (ICAO).

3. De elementen van de allesomvattende EU-aanpak in detail

3.1. Resultaten van de EU/VS-besprekingen over de doorgifte van PNR-gegevens

In hun gemeenschappelijke verklaring van februari 2003 hebben de Commissie en de VS toegezegd te zullen streven naar een oplossing voor de doorgifte van PNR-gegevens waarmee de wetgeving aan beide kanten wordt nageleefd. In die verklaring stond dat het bij het zoeken naar een oplossing vooral zaak zou zijn om van de VS informatie en betere verbintenissen te verkrijgen opdat de Commissie overeenkomstig artikel 25, lid 6, van de gegevensbeschermingsrichtlijn een "passend beschermingsniveau" kan vaststellen.

Tijdens deze besprekingen was het belangrijkste streefdoel van de Commissie de best mogelijke beschermingsnormen voor door de EU doorgegeven persoonsgegevens te verkrijgen en deze in een geschikt wettelijk kader te integreren. De Commissie heeft ook rekening trachten te houden met de andere reeds vermelde beleidsdoelstellingen (met de VS samenwerken in de strijd tegen het terrorisme en daarmee verband houdende misdrijven, het legitieme reizen vergemakkelijken en de EU-luchtvaartmaatschappijen billijke en acceptabele arbeidsvoorwaarden bieden). Ze heeft ook getracht de ontwikkeling niet te schaden van een EU-beleid met het oog op het gebruik van de gegevens van internationale reizigers om het luchtverkeer en de grenzen van de EU beter te beveiligen, mede gelet op het feit dat de lidstaten wetgeving kunnen uitvaardigen om van bepaalde gegevensbeschermingsvoorschriften af te wijken als dat om redenen van nationale veiligheid of wetshandhaving noodzakelijk is, zoals bepaald in artikel 13 van de gegevensbeschermingsrichtlijn.

De Commissie heeft de betrokken VS-autoriteiten gevraagd de handhaving van hun eisen op te schorten totdat er voor dergelijke doorgiften een stabiel wettelijk kader is gecreëerd. Gezien de weigering van de VS zou de optie om aan EU-zijde op wetshandhaving aan te dringen, politiek gerechtvaardigd zijn geweest, maar ze zou de bovengenoemde doelen niet hebben gediend. Ze zou de invloed van gematigder en meer tot samenwerking geneigde functionarissen in Washington hebben ondermijnd en zou in plaats van het hefboomeffect dat wij als samenwerkingspartners uitoefenen, een krachtmeting tot gevolg hebben gehad. Deze aanpak heeft succes geoogst. Sinds het begin van de samenwerking in deze besprekingen met de gemeenschappelijke verklaring van 18 februari 2003 is er aanzienlijke vooruitgang gemaakt om alle bovengenoemde doelstellingen te bereiken.

De Commissie heeft met name via onderhandelingen met het Bureau of Customs and Border Protection (CBP) van de VS veel betere gegevensbeschermingsregelingen verkregen voor naar de VS doorgegeven PNR-gegevens. Deze regelingen leggen de basis voor een wettelijk kader in de vorm van een beschikking van de Commissie uit hoofde van de haar bij artikel 25, lid 6, van Richtlijn 95/46/EG verleende bevoegdheden, in combinatie met een internationale overeenkomst die de luchtvaartmaatschappijen de mogelijkheid biedt om de eisen van de VS als wettelijke eisen in de EU te behandelen [5] en die de VS ertoe verplicht wederkerigheid en een "gepaste verwerking" voor burgers van de EU te garanderen.

[5] Behalve de kwestie van de "passende bescherming" krachtens artikel 25 van de richtlijn moeten ook juridische problemen in verband met de artikelen 4, 6 en 7 van de richtlijn worden aangepakt. Een beschikking tot vaststelling van een passend beschermingsniveau is alleen daartoe beperkt. Vandaar dat de voorgestelde internationale overeenkomst noodzakelijk is om de overige juridische problemen op te lossen.

Sinds het begin van de besprekingen in maart 2003 heeft de Commissie van de VS de volgende toezeggingen weten te verkrijgen:

- Duidelijke beperking van de hoeveelheid door te geven gegevens. Het gaat hier om gegevens die alleen betrekking hebben op vluchten van, naar of via de VS. In plaats van alle PNR-gegevens te vragen, beperken de VS hun verzoek nu tot een lijst van 34 items. In de praktijk omvatten de meeste PNR's doorgaans niet meer dan 10 tot 15 elementen en de VS hebben toegezegd de luchtvaartmaatschappijen niet te zullen verplichten gegevens te verzamelen mocht een van deze 34 velden leeg zijn.

- Alle categorieën gevoelige gegevens volgens de definitie in artikel 8, lid 1, van de gegevensbeschermingsrichtlijn [6] zullen worden gewist. De Commissie heeft van de VS de nodige garanties gekregen dat alle persoonsgegevens waaruit de raciale of etnische afkomst blijkt (bv. maaltijdvoorkeuren) of die de gezondheid betreffen, zullen worden uitgefilterd en gewist.

[6] Artikel 8 van de richtlijn voorziet in extra beschermingsmaatregelen voor specifieke categorieën gegevens. Deze worden in artikel 8, lid 1, gedefinieerd als "persoonlijke gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt, alsook ... gegevens die de gezondheid of het seksuele leven betreffen".

- De potentiële gebruiksdoeleinden van de gegevens zijn nauwkeuriger en veel beperkter. Het dringende verzoek van de Commissie (en het Europees Parlement) om het gebruik ervan te beperken tot het terrorisme en misdrijven die daarmee verband houdend of kunnen houden - met uitsluiting van "binnenlandse" misdrijven - is uiteindelijk ingewilligd.

- Wat de duur van de gegevensopslag betreft, zijn significante verbeteringen bereikt. De VS waren bereid de oorspronkelijk voorgestelde termijn van 50 jaar tot drieëneenhalf jaar te beperken. Dit houdt verband met het feit dat de hele regeling na drieëneenhalf jaar afloopt. De lengte van de opslagtermijn hangt dus samen met de duur van de regeling.

- Het Congres heeft de aanstelling geëist van een Chief Privacy Officer (CPO) bij het Department of Homeland Security (DHS), die jaarlijks verslag moet uitbrengen aan het Congres en wiens conclusies bindend zijn voor het DHS. De CPO was bereid protesten van gegevensbeschermingsautoriteiten in de EU namens burgers die van oordeel zijn dat hun klachten door het DHS niet op bevredigende wijze zijn afgehandeld, snel in behandeling te nemen. EU-burgers krijgen dus een sterkere garantie van een eerlijke behandeling.

- Het CBP is bereid om met een EU-team onder leiding van de Commissie mee te werken aan een jaarlijkse gemeenschappelijke evaluatie van de uitvoering van de toezeggingen door de VS. Deze evaluatie zal een bijzonder waardevol beeld geven van de huidige werkwijzen in de VS en zal ook een middel zijn om de naleving van de toezeggingen door de VS te controleren. Het evaluatieproces kan ook de basis vormen voor toekomstige nauwere samenwerking met de VS op dit gebied.

Het Department of Homeland Security heeft erop aangedrongen dat het CAPPS II-syteem (Computer Assisted Passenger Pre-Screening System) van de Transportation Security Administration binnen het overeengekomen wettelijke kader zou vallen. De Commissie heeft voor deze druk echter niet moeten zwichten omdat zij pas een standpunt kan innemen als de interne VS-procedures zijn beëindigd en het duidelijk is dat de door het Congres opgeworpen privacyproblemen in verband met CAPPS II zijn opgelost. CAPPS II zal dus pas in een tweede besprekingsronde aan bod komen.

Voorts heeft de Commissie voorgesteld en hebben de VS aanvaard dat elk wettelijk kader in de tijd moet worden beperkt en pas zal worden vernieuwd als beide partijen het daarover eens zijn. De overeengekomen looptijd van de regeling (de vaststelling van gepastheid plus een "lichte" internationale overeenkomst) bedraagt drieëneenhalf jaar. Gezien de ervaring die we met de uitvoering ervan inmiddels zullen hebben opgedaan en de ontwikkelingen die zich in die periode zullen hebben voorgedaan, biedt dit passende voorwaarden voor een grondige evaluatie die ongeveer een jaar voor het aflopen van de regeling moet worden aangevat. Tegen die tijd zal de EU haar eigen beleid voor het gebruik van PNR-gegevens ter beveiliging van het luchtverkeer en de grenzen hebben uitgestippeld en zal het VS-debat over gegevensbescherming misschien ook zijn geëvolueerd. Tenslotte is er dan misschien ook al een multilateraal kader tot stand gebracht.

De Commissie zal nu de vereiste procedures op gang brengen om een beschikking krachtens artikel 25, lid 6, van de richtlijn te kunnen geven en een internationale overeenkomst te kunnen sluiten. Met inachtneming van de vastgestelde procedures wil de Commissie hiermee in maart 2004 klaar zijn, een planning die echter alleen met de volledige medewerking van alle betrokken partijen kan worden gerealiseerd.

3.2. Informatie voor passagiers

Met de medewerking van de gegevensbeschermingsautoriteiten [7] en het CBP van de VS hebben de diensten van de Commissie een tekst opgesteld die thans met name via IATA aan de luchtvaartmaatschappijen wordt bezorgd en die als model moet dienen voor de informatie die zij en/of hun reisagenten aan passagiers moeten verstrekken voordat deze een vliegticket naar de VS kopen. Ook is de CRS verzocht mee te werken om de verkoop van tickets, met name via reisagenten, zoveel mogelijk te bestrijken.

[7] Hoewel de gegevensbeschermingsautoriteiten om reacties is verzocht en veel van hun commentaar daarin is verwerkt, weigerde de Groep artikel 29 de tekst goed te keuren, omdat volgens haar de doorgifte van PNR-gegevens naar de VS in elk geval illegaal is en het dus geen zin heeft dat te verdoezelen.

Volledige, juiste en relevante informatie is een belangrijke gegevensbeschermingseis in het algemeen, en meer bepaald in gevallen waarin toestemming is vereist. Een toestemming kan alleen geldig worden geacht als de betrokkene over de nodige informatie beschikt. Volgens de rechtspraak en de beste werkwijzen is een toestemming ook alleen maar betrouwbaar als de betrokkene een vrije keuze heeft.

In de huidige situatie was de Groep artikel 29 in haar advies 6/2002 van 24 oktober 2002 van oordeel dat op toestemming niet kon worden vertrouwd en dat de uitzondering op de eis tot "passende bescherming" in artikel 26, lid 1, onder a), van de richtlijn ("de betrokkene heeft voor de voorgestelde doorgifte zijn ondubbelzinnige toestemming gegeven") dus geen juiste juridische oplossing bood. De Commissie vindt ook dat een volledig op toestemming gebaseerde juridische oplossing uit het oogpunt van gegevensbescherming zwak zou zijn, maar denkt dat informatie en een bewuste beslissing van de passagiers niettemin een essentieel deel vormen van het complete pakket.

3.3. Opzetten van een "pushsysteem" met filters

De invoering van een "pushsysteem" met filters is een ander kernelement van een allesomvattende aanpak. Dergelijke systemen zouden de mogelijkheid bieden de gegevensstromen van de luchtvaartmaatschappijen of boekingssystemen naar de Amerikaanse veiligheidsdiensten in de EU te controleren en, zodra een akkoord over de gegevenselementen is bereikt, de doorgifte tot het voor veiligheidsdoeleinden strikt noodzakelijke te beperken. De Commissie vindt dat er snel filtersystemen en pushtechnieken moeten worden ontwikkeld en ingevoerd en ook het Parlement heeft de Commissie in zijn resolutie van 9 oktober verzocht "de nodige stappen te nemen om de implementatie van gecomputeriseerde filtersystemen te vergemakkelijken".

De diensten van de Commissie voeren al maandenlang een geregelde dialoog met de luchtvaartmaatschappijen over de implementatie van dergelijke systemen en plegen overleg met technische deskundigen van talrijke organisaties en IT-bedrijven. De luchtvaartmaatschappijen staan open voor de idee om gecomputeriseerde filtersystemen (het zogenaamde "pushsysteem") te implementeren. De diensten van de Commissie hebben kennis genomen van een aantal potentiële technologische oplossingen, waaronder het Oostenrijkse voorstel waaraan in de resolutie van het Europees Parlement wordt gerefereerd.

Op 13 november hebben de diensten van de Commissie een tweede technische vergadering gehouden met deskundigen uit het bedrijfsleven en diverse aanbieders van technologie. Wij hebben vernomen dat deze systemen technisch realiseerbaar zijn, maar het is nog niet duidelijk hoe ze het best kunnen worden geïmplementeerd of gecontroleerd. Tijdens de vergadering is ook duidelijk gesteld dat met de implementatie van een pushsysteem alleen het probleem niet kan worden opgelost. Er zouden ook filters moeten worden geïnstalleerd. Deze filters brengen aanzienlijke kosten met zich mee voor de luchtvaartmaatschappijen, wat betekent dat een wettelijke verplichting wenselijk zou zijn om te garanderen dat voor alle luchtvaartmaatschappijen dezelfde voorschriften gelden. De luchtvaartmaatschappijen hebben ook te kennen gegeven dat ze de voorkeur geven aan een gecentraliseerd systeem.

Het zal wellicht moeilijk zijn de luchtvaartmaatschappijen, inclusief de Amerikaanse, te dwingen een dergelijk systeem te gaan gebruiken zonder hen daartoe wettelijk te verplichten. Er bestaat momenteel immers geen EU-wetgeving of communautair beleid dat de luchtvaartmaatschappijen verplicht PNR-gegevens op deze wijze door te geven. Een mogelijk kader voor de invoering van een dergelijk systeem zou een communautaire beleidsmaatregel zijn met betrekking tot de verzameling van PNR-gegevens voor veiligheids- en/of immigratiedoeleinden. Volgens het tijdschema voor de ontwikkeling van een beleidskader in dit verband (zie punt 3.4) zou het mogelijk moeten zijn om tegen medio 2004 op pushsystemen met filters over te schakelen.

3.4. Bepaling van een EU-standpunt over het gebruik van PNR-gegevens

De besprekingen met derde landen over de doorgifte van PNR-gegevens moeten worden voortgezet en in de mate van het mogelijke worden voorafgegaan door de ontwikkeling van EU-beleid over het gebruik van PNR- en/of passagiersgegevens op ruimere schaal binnen de Unie. Een dergelijk beleid moet een evenwicht tot stand brengen tussen de verschillende belangen, met name tussen de legitieme veiligheidsbelangen en de bescherming van de fundamentele rechten, met inbegrip van de persoonlijke levenssfeer.

In dit verband lijkt het beginsel van beperking van het doel, waarover onlangs met de VS een akkoord is bereikt, een solide basis voor de verdere uitwerking van een EU-aanpak, niet alleen met betrekking tot de bestrijding van het terrorisme, maar ook van de georganiseerde misdaad met internationale implicaties. De lijst van gegevenselementen lijkt ook ruim genoeg om in de behoeften inzake wetshandhaving in de EU te voorzien. Niets in de met de VS gemaakte afspraken lijkt dus de ontwikkeling van een adequaat EU-beleid in de weg te staan.

Zoals aangegeven aan het einde van punt 3.3 bestaat er ook een mogelijk verband tussen toekomstig EU-beleid met betrekking tot het gebruik van PNR- of andere passagiersgegevens om veiligheidsredenen of voor wetshandhaving en de ontwikkeling van een pushsysteem met filters, vooral als dit op gecentraliseerde basis zou plaatsvinden. Een gecentraliseerde structuur binnen de EU zou de nodige garanties kunnen bieden inzake aansprakelijkheid (nauwkeurigheid van de gegevens), veiligheid (technologische middelen, filters) en toezicht (bv. een gemeenschappelijke toezichthoudende instantie) en ook toegevoegde waarde kunnen verlenen aan soortgelijke initiatieven op nationaal niveau binnen de Unie.

Ten slotte moet elke potentiële uitwisseling van informatie met de VS-autoriteiten gebaseerd zijn op het beginsel van wederkerigheid bij de doorgifte van gegevens tussen de EU en de VS en moet ook de mogelijkheid worden onderzocht tot verzameling en gecontroleerde doorgifte van PNR-gegevens via een centrale Europese instantie.

De voorbereiding van een EU-beleid staat nog in de kinderschoenen. Om te beginnen met de voorbereiding van een EU-standpunt heeft de Commissie op 9 oktober 2003 een vergadering van deskundigen over PNR georganiseerd, waaraan de diensten van de Commissie en wetshandhavings- en gegevensbeschermingsautoriteiten uit de lidstaten hebben deelgenomen. In de komende weken en maanden zijn nog andere vergaderingen met wetshandhavingsinstanties gepland. De besprekingen zullen voornamelijk betrekking hebben op de voor- en nadelen van een gecentraliseerd contactpunt voor gegevensuitwisseling met derde landen, de lijsten van gegevens die als relevant en noodzakelijk kunnen worden beschouwd, de vereiste minimumvoorwaarden inzake gegevensbescherming, de algemene risicobeoordeling en systemen voor het profileren van misdadigers.

Het is de bedoeling om tegen medio 2004 een voorstel in te dienen voor een kaderbesluit over gegevensbescherming bij de samenwerking op het gebied van wetshandhaving, met als doel een solide basis te leggen voor het screenen van commerciële gegevens voor wetshandhavingsdoeleinden en tegelijkertijd de gegevensbeschermingsbepalingen in de EU-wetgeving in acht te nemen.

Dat kaderbesluit zal de basis vormen voor de uitwerking van een "informatiebeleid" voor wetshandhavingsinstanties. Dit zal de ruggengraat worden voor een preventiebeleid op het gebied van georganiseerde misdaad en terrorisme, waarbij vooral de garanties van gegevensverwerkingssystemen en de wederkerigheid van de gegevensuitwisseling aan bod zullen komen.

3.5. Opzetten van een multilateraal kader voor PNR-gegevensdoorgifte binnen de Internationale Burgerluchtvaartorganisatie (ICAO)

De doorgifte van PNR-gegevens is een echt internationaal en niet alleen een bilateraal probleem. De Commissie is derhalve van mening dat de beste oplossing multilateraal zou zijn en dat de ICAO het meest geschikte kader zou zijn om een multilateraal initiatief te nemen.

In september 2003 heeft de Commissie besloten de werkzaamheden met het oog op de uitwerking van een internationale regeling voor PNR-gegevensdoorgifte binnen de ICAO te bespoedigen. Te dien einde hebben de diensten van de Commissie een werkdocument voorbereid dat binnenkort door de Gemeenschap en haar lidstaten aan de ICAO zal worden voorgelegd.

Met inachtneming van de eisen inzake veiligheid van de luchtvaart, grenscontrole en persoonsgegevensbescherming en gelet op het alsmaar groeiende aantal initiatieven voor PNR-gegevensdoorgifte onder de ICAO-lidstaten zullen in dat werkdocument de volgende aspecten worden behandeld:

- het soort gegevens dat voor deze doeleinden kan worden gebruikt;

- de methoden die voor het verzamelen en verwerken van dergelijke gegevens kunnen worden toegepast;

- de technische implicaties voor de systemen die voor de verzameling, verwerking, opslag en doorgifte van dergelijke gegevens worden gebruikt.

Het spreekt vanzelf dat het werkdocument de ontwikkeling van een EU-beleid op dit gebied (zie vorig punt) niet in de weg mag staan, maar zich daardoor eerder moet laten leiden. Dit initiatief zal in ieder geval een consensus vereisen van alle aan de ICAO deelnemende partijen en zal bijgevolg enige tijd vergen.

4. Handhaving van Verordening 2299/89 door de Commissie

Wat de CRS-verordening betreft, hebben de diensten van de Commissie de situatie over een periode van verschillende maanden geëvalueerd om precies te weten hoe het huidige systeem van gegevenstoegang uit technisch oogpunt functioneert en in hoeverre de CRS Verordening 2299/89 betreffende gedragsregels voor geautomatiseerde boekingssystemen naleven. Uit die evaluatie, die resulteerde in een tweede vergadering met de sector op 13 november 2003, is gebleken dat de CRS gegevens kunnen verwerken als contractanten van luchtvaartmaatschappijen en daarbij niet zozeer als CRS fungeren. Dit aspect zal verder moeten worden bestudeerd alvorens een definitief oordeel over de toepasbaarheid van de verordening te vellen.

Sinds de Commissie echter een klacht heeft ontvangen in de zin van artikel 11 van de verordening (het inleiden van procedures tot beëindiging van een inbreuk), treedt zij op zoals bepaald in artikel 12 (waarbij haar de bevoegdheid wordt verleend om bij de ondernemingen alle noodzakelijke inlichtingen in te winnen) en heeft zij brieven gestuurd aan de CRS met de vraag of de verkopers van het systeem de gegevensbeschermingsbepalingen van de verordening in acht nemen.

5. Conclusies

Gezien de complexiteit en de multidimensionele aard van de problemen in kwestie streeft de Commissie naar een allesomvattende aanpak voor de doorgifte van PNR-gegevens, waarmee de hierboven beschreven afzonderlijke elementen worden samengebundeld.

* Zij hecht prioritair belang aan het snel tot stand brengen van een wettelijk solide kader voor de doorgifte van PNR-gegevens aan het US Department of Homeland Security (Bureau of Customs and Border Protection).

* Op grond van de resultaten van de besprekingen met de VS-administratie en als onderdeel van het maatregelenpakket dat de allesomvattende aanpak vormt,

* stelt de Commissie voor dit wettelijke kader te creëren in de vorm van een

* vaststelling van gepastheid overeenkomstig artikel 25, lid 6, van de gegevensbeschermingsrichtlijn, vergezeld van een internationale overeenkomst met de VS uit hoofde van artikel 300, lid 3, eerste alinea, van het Verdrag. Het Europees Parlement zal binnen passende termijnen over beide elementen van deze oplossing worden geraadpleegd.

* De Commissie zal ook haar besprekingen met andere derde landen voortzetten teneinde zo snel mogelijk afdoende oplossingen te vinden om alle wettelijke onverenigbaarheden uit de weg te ruimen.

* De Commissie zal haar samenwerking met de luchtvaartmaatschappijen en de vertegenwoordigende organisaties ervan alsook met de CRS onvermoeid voortzetten om te garanderen dat de passagiers, voordat zij hun ticket kopen, volledige en juiste informatie krijgen over het gebruik van hun PNR-gegevens en zo met kennis van zaken een keuze kunnen maken. De Commissie zal de exploitanten er sterk toe aanmoedigen om in de mate van het mogelijke systematisch de toestemming van de passagiers met de doorgifte van hun gegevens te verkrijgen, maar vindt dat er een wettelijk kader moet worden gecreëerd dat niet alleen op toestemming berust. De Commissie beroept zich op haar initiatiefrecht om de regeling van de toestemming op EU-niveau voor te stellen indien de exploitanten er niet in slagen binnen een redelijke termijn efficiënte oplossingen toe te passen.

* De Commissie herhaalt nogmaals dat zij fervent voorstander is van de snelle toepassing van pushtechnieken met passende filters voor de doorgifte van PNR-gegevens naar derde landen. Zij vindt dat een gecentraliseerde of gecombineerde aanpak duidelijke voordelen biedt tegenover een aanpak voor elke luchtvaartmaatschappij afzonderlijk, zowel wat de doeltreffendheid als de kosten ervan betreft. Zij zal er de voorkeur aan blijven geven mogelijke opties met de sector te onderzoeken. Zij is eventueel bereid passende initiatieven te nemen om de ontwikkeling van een dergelijk systeem met de bestaande communautaire begrotingsmiddelen te helpen financieren. De Commissie wil uiterlijk medio 2004 haar toekomstplannen op dit gebied bekendmaken. Een mogelijkheid die kan worden onderzocht, is de toepassing van een pushsysteem in het kader van een EU-aanpak met betrekking tot het gebruik van passagiersgegevens ter beveiliging van de grenzen en het luchtverkeer (zie hieronder).

* De Commissie zal voorrang geven aan de voortzetting van de besprekingen met lidstaten en met andere betrokken partijen zoals Europol, om tegen medio 2004 een eerste voorstel te kunnen doen voor een EU-aanpak met betrekking tot het gebruik van passagiersgegevens ter beveiliging van de grenzen en het luchtverkeer en voor andere wetshandhavingsdoeleinden. Zo'n beleidskader zal een evenwicht tot stand moeten brengen tussen veiligheidsbelangen enerzijds en belangen op het gebied van gegevensbescherming en andere burgerlijke vrijheden anderzijds.

* De Commissie neemt een internationaal initiatief voor de doorgifte van PNR-gegevens in het kader van de ICAO. Een voorstel in die zin wordt momenteel bij de Raad ingediend.