30.12.2010   

BG

Официален вестник на Европейския съюз

C 357/7

1.

На 21 септември 2010 г. Комисията прие Съобщение относно глобалния подход за предаване на резервационни данни на пътниците (PNR данни) на трети държави (3). Съобщението беше изпратено на ЕНОЗД за консултация същия ден.

2.

ЕНОЗД изразява удовлетворение от факта, че Комисията се обърна към него за консултация. Още преди приемането на съобщението на ЕНОЗД беше дадена възможност за неофициални коментари. Някои от тези коментари вече бяха взети предвид в окончателния текст на документа, но други точки все още предизвикват безпокойство във връзка със защитата на данни.

3.

Глобалният подход към PNR въпроси, представен от Комисията в нейното съобщение, цели да осигури последователна рамка за предаване на PNR данни на трети държави. Освен необходимостта от правна сигурност, изложена в съобщението, този хармонизиран подход беше подкрепен в голяма степен и от Европейския парламент, на който съгласно новата институционална рамка е поверено правомощието да ратифицира PNR споразумения с трети държави (4).

4.

Съобщението се допълва от препоръки за преговори с цел сключване на PNR споразумения с конкретни трети държави. Тези препоръки са ограничени и не се анализират в настоящото становище. При все това връзката между общото съобщение и препоръките се проучва в глава II.

5.

В допълнение към глобалния подход за предаване на PNR данни на трети държави Комисията също така понастоящем изготвя преработен подход по отношение на PNR за ЕС. По-рано, в съответствие с предишния трети стълб преди влизането в сила на Договора от Лисабон, в Съвета активно се обсъждаше предложение за такава рамка на ЕС (5). Тези обсъждания не доведоха до консенсус по редица съществени елементи на PNR системата, например използването на базата данни, създадена в съответствие с такава система. След това с Програмата от Стокхолм Комисията беше призована да изготви ново предложение, но не бяха разгледани съществените елементи на това предложение. В началото на 2011 г. се очаква проект на директива за PNR схема на ЕС.

6.

Настоящото становище е насочено към съобщението на Комисията. В първата част се анализира съобщението в контекста на настоящите развития в областта на защитата на данни, във втората част се проучва законосъобразността на PNR схемата, а в третата част се разглеждат по-специфични въпроси от съобщението, свързани със защитата на данни.

7.

ЕНОЗД приветства хоризонталния подход на съобщението в съответствие с неотдавнашните искания на Европейския парламент за задълбочен анализ и цялостен преглед на съществуващите и предвижданите PNR схеми. Високо и хармонизирано ниво на защита, приложимо по отношение на всички тези схеми, е цел, която следва да получи сериозна подкрепа.

8.

Независимо от това ЕНОЗД поставя под въпрос общия график на различните инициативи, пряко или непряко свързани с обработването на PNR данни.

9.

Макар в съобщението да се споменават международни споразумения относно PNR схеми и инициативата за PNR на ЕС, предложените в съобщението стандарти са свързани единствено с международните споразумения. Рамката на ЕС ще бъде обсъдена и разработена на по-късен етап.

10.

Една по-логична и целесъобразна програма според ЕНОЗД би включвала задълбочено проучване на евентуална схема на ЕС, която включва предпазни мерки за защита на данните в съответствие с правната рамка на ЕС, и на тази основа да се разработи подход за споразумения с трети държави.

11.

Освен това ЕНОЗД подчертава текущата работа във връзка с общо споразумение между ЕС и САЩ относно споделянето на данни за целите на правоприлагането (6), чиято цел е да се установи набор от принципи, които гарантират високо ниво на защита на личните данни като условие за обмен на такива данни със Съединените щати. Резултатът от преговорите между ЕС и САЩ следва да е отправна точка за допълнителни двустранни споразумения, сключени между ЕС и неговите държави-членки, включително PNR споразумението между ЕС и САЩ.

12.

Друг елемент, който следва да се вземе под внимание в този контекст, е общото проучване на рамката на ЕС за защита на данни, което Комисията извършва понастоящем, с оглед изготвяне на съобщение преди края на 2010 г., което да бъде последвано от предложение за нова регулаторна рамка в хода на 2011 г. (7) Този процес на преглед се извършва в рамката „след Лисабон“, което оказва пряко въздействие върху хоризонталното прилагане на принципите за защита на данни по отношение на предишните стълбове на ЕС, включително полицейско и съдебно сътрудничество по наказателноправни въпроси.

13.

С оглед да се гарантира последователност ЕС следва да постигне договореност относно своите вътрешни инструменти и да преговаря за сключване на споразумения с трети държави въз основа на тези вътрешни инструменти. Поради това глобалната програма трябва да се концентрира първо върху общата рамка на ЕС за защита на данни, след това върху евентуалната необходимост от PNR схема на ЕС и на последно място върху условията за обмен с трети държави въз основа на актуализираната рамка на ЕС. На този етап предпазните мерки, предвиждани в бъдещо споразумение между ЕС и САЩ, също следва да се вземат под внимание при установяване на условията за предаване на PNR данни на трети държави.

14.

ЕНОЗД осъзнава факта, че поради различни процедурни и политически причини този идеален ред не се следва на практика. Независимо от това органът счита, че логиката зад тези различни стъпки трябва да се вземе предвид от различните участващи страни в Комисията, Съвета и Парламента. С паралелния напредък на развитията, особено по рамката на ЕС и преговорите между ЕС и САЩ, трябва да се вземе надлежно под внимание тази нужда от последователност и хармонизиран преглед на предпазните мерки за защита на данни в рамките на ЕС и в контекста на предаване на данни. По-конкретно това би означавало най-вече:

15.

На последно място ЕНОЗД повдига въпроса за връзката между съобщението и насоките, изготвени от Комисията. Въпросът касае степента, до която трябва да се определят прецизни предпазни мерки и условия в стандартите, разработени в съобщението, или в насоките, установени във всяка държава: ако главната цел е да се хармонизират условията за обработване и обмен на PNR данни, ЕНОЗД счита, че свободата на действие за всяко международно споразумение трябва да е колкото се може по-ограничена и че стандартите следва да определят прецизна рамка. Стандартите следва да оказват ефективно въздействие върху съдържанието на споразуменията. Няколко коментара по-долу подчертават необходимостта от повече прецизност в този смисъл.

16.

ЕНОЗД и работната група съгласно член 29 вече изтъкнаха в редица становища (8) необходимостта от ясна обосновка за разработване на PNR схеми, независимо дали в ЕС или с цел обмен на данни с трети държави. Нуждата от мерките трябва да се установи и подкрепи с конкретни доказателства и след това трябва да се оцени и балансира със степента на нарушаване на неприкосновеността на личния живот на гражданите, за да се гарантира пропорционална и колкото е възможно по-малка намеса в личното пространство. Фактът, че последните технологични новости понастоящем правят възможен широк достъп и анализ, както беше посочено в края на точка 2.2 от съобщението, сам по себе си не е основание да се разработи система, която цели да наблюдава всички пътници. С други думи: достъпността на средствата не следва да оправдава целта.

17.

Както е описано по-долу, ЕНОЗД счита, че по-голямата част от предаваните данни за невинни хора за целите на оценка на риска повдигат сериозни опасения относно пропорционалността. По-специално ЕНОЗД оспорва проактивното използване на PNR данни. Докато „реактивното“ използване на данни не води до големи опасения, доколкото е част от разследване на извършено престъпление, проактивното използване в реално време води до по-критична оценка.

18.

Съгласно текста на съобщението, дори в „реалновремеви контекст“ PNR данните ще се използват, „за да се предотврати престъпление, за да се поставят под наблюдение определени лица или за задържането им преди да е извършено престъпление“ въз основа на „предварително определени индикатори на риска“ (9). Главната идея да се предприемат мерки по отношение на дадени лица преди извършване на престъпление въз основа на индикатори на риска е проактивна мярка по мнение на ЕНОЗД и нейното използване в контекста на правоприлагането традиционно е строго определено и ограничено.

19.

Освен това нито схващането за индикатори на риска, нито схващането за „оценка на риска“ не са достатъчно разработени и последното лесно може да се обърка със схващането за „профилиране“. Това сходство дори се укрепва от предполагаемата цел, която е да се установят „модели на пътуване и поведение на основата на факти“. ЕНОЗД оспорва връзката между първоначалните факти и моделите, извлечени от тези факти. Целта на процеса е да се извърши оценка на риска — и евентуално да се предприемат принудителни мерки — във връзка с конкретно лице въз основа на факти, които не са свързани с това лице. Както вече беше заявено в предишното му становище относно предложение за PNR на ЕС, главното опасение на ЕНОЗД е свързано с факта, че „решения за конкретни лица ще се вземат въз основа на модели и критерии, установени чрез използване на данни за пътници като цяло. Следователно решенията за едно лице могат да бъдат взети, като за отправна точка (поне отчасти) се използват модели, извлечени от данни за други лица. Следователно решенията ще се вземат във връзка с абстрактен контекст, което може да засегне в изключително голяма степен субектите на данни. Много е трудно лицата да се защитят срещу такива решения“ (10).

20.

Поради това използването на такива техники в голям мащаб, който включва наблюдение на всички пътници, повдига сериозни въпроси за спазването на основните принципи на неприкосновеност на личния живот и защита на данните, включително заложените принципи в член 8 от Европейската конвенция за защита на правата на човека и основните свободи, членове 7 и 8 от Хартата и член 16 от ДФЕС.

21.

Всяко окончателно решение относно законосъобразността на PNR схемите следва да вземе под внимание тези елементи, които трябва да се анализират и разработят в оценката на въздействието, извършена в рамките на проекта за PNR на ЕС. Трябва да се определи програма, за да се даде възможност за внимателно проучване на резултатите от тази оценка на въздействието при изготвянето на глобалните изисквания за PNR схемите.

22.

Без да се засягат предишните основни коментари относно законосъобразността на PNR схемите, ЕНОЗД приветства изчерпателния списък със стандарти, очевидно следващ принципите за защита на данни на ЕС, който би трябвало да укрепи предвижданата защита в няколко аспекта в специфични споразумения. Добавената стойност и пропуските, установени в тези стандарти, са обсъдени по-долу.

23.

От текста на съобщението ЕНОЗД разбира, че оценката на адекватността може да се базира на общата рамка за защита на данни на приемащата държава или да бъде контекстуална, в зависимост от правно обвързващите ангажименти в международно споразумение, уреждащи обработването на лични данни. Предвид решаващата роля на международните споразумения във връзка с оценката на адекватността, ЕНОЗД подчертава необходимостта ясно да се установи правно обвързващия характер на споразуменията за всички засегнати страни и изразява увереност, че това следва да се допълни от изрично посочване, че споразуменията гарантират пряко упражняване на права на субектите на данни. ЕНОЗД счита, че тези елементи представляват съществен аспект от оценката на адекватността.

24.

Първите две точки от списъка с принципи са свързани с ограничението на целта. В първата точка от подзаглавието „използване на данни“ се посочват целите на правоприлагането и сигурността и допълнително се посочва тероризъм и други сериозни транснационални престъпления въз основа на определения от типа „подход към“, заложени в инструменти на ЕС. ЕНОЗД оспорва тази формулировка, която би могла да доведе до схващането, че бъдещите споразумения няма да бъдат базирани конкретно на тези определения, а ще ги следват в общ смисъл. От гледна точка на правната сигурност е изключително важно тероризмът и сериозните транснационални престъпления да се определят прецизно и да се установят посочените в съобщението инструменти на ЕС. Освен това ЕНОЗД припомня, че преди в PNR схемата да се включат различни видове престъпления, те трябва като предварително условие да бъдат подложени на проверка за необходимост и пропорционалност.

25.

Втората точка изглежда по-скоро свързана с обхвата (естеството на събираните данни), отколкото с принципа за целта. ЕНОЗД отбелязва, че в съобщението не се включва списък с данни, които биха могли да се предават, тъй като оставя категориите данни, които ще се обменят, да се определят отделно във всяко специфично споразумение. С оглед да се избегнат разлики и включване на непропорционални категории от данни в някои споразумения с трети държави, ЕНОЗД счита, че към стандартите следва да се добави общ и изчерпателен списък с категории от данни в съответствие с целите за обмен на данни. В тази връзка органът се позовава на становищата на работната група съгласно член 29, където се посочват категориите от данни, които биха били допустими, и категориите, които се считат за прекомерни от гледна точка на основните права на субектите на данни (11). Категориите от данни, които следва да се изключат, са по-специално тези, които могат да се разглеждат като чувствителни данни — и които са защитени от член 8 от Директива 95/46/EO, SSR/SSI данни (специална информация във връзка със служебно запитване/специална служебна информация), OSI данни (друга допълнителна информация), въпроси с отворен край или полета за свободен текст (например „Общи забележки“, където могат да се появят данни от чувствителен характер) и информацията относно редовни пътници и „данни за поведението“.

26.

В съобщението се посочва, че чувствителни данни не се използват, освен в извънредни обстоятелства. ЕНОЗД не одобрява това изключение. Органът счита, че условията на изключението са твърде общи и не осигуряват никакви гаранции: използването на данните поотделно във всеки случай е дадено само като пример; освен това ограничението на целта следва да е общ принцип, приложим по отношение на всяко обработване на PNR данни, а не само гаранция, приложима по отношение на чувствителни данни. ЕНОЗД счита, че разрешението да се обработват чувствителни данни, дори в ограничени случаи, би уеднаквило нивото на защита на всички PNR схеми със схемата за защита на данни, която е съгласувана в по-слаба степен, а не с най-добре съгласуваната схема. Поради това органът призовава за пълно изключване на обработването на чувствителни данни по принцип.

27.

Общото задължение за сигурност, установено в съобщението, се счита за задоволително. Независимо от това ЕНОЗД счита, че то би могло да се допълни от задължение за взаимно предоставяне на информация в случай на пробив в сигурността: приемащите лица ще носят отговорност да уведомят своите колеги, в случай че данните, които получат, са били обект на неправомерно разкриване. Така ще се допринесе за повишаване на отговорността за обезопасено обработване на данни.

28.

ЕНОЗД подкрепя системата за надзор, предвидена в съобщението, включително мерките за контрол и отчетност. Правото на всяко лице на административна и съдебна защита също се подкрепя в голяма степен. Що се отнася до правото на достъп, органът разбира, че не могат да се предвидят ограничения, което се приветства. Ако в извънредни случаи е необходимо ограничаване, неговият точен обхват и необходимите предпазни мерки, включително най-вече непряко право на достъп, следва ясно да се посочват в стандартите.

29.

ЕНОЗД е удовлетворен от ограничението на последващите предавания поотделно за всеки случай, независимо дали става въпрос за други правителствени органи или трети държави. Той счита, че в допълнение към този принцип ограничението на целта, приложимо по отношение на предавания на трети държави, трябва също така да се прилага по отношение на предавания в рамките на третата държава към други правителствени органи. Така трябва да се избегне всякакво допълнително използване или кръстосана проверка на PNR данни с информация, обработвана за други цели. ЕНОЗД се опасява по-специално от риска от кръстосана проверка с информация с произход от други бази данни, например ESTA по отношение на Съединените щати. Той отбелязва, че скорошното решение на САЩ да поиска такса за ESTA води до събиране на информация за кредитни карти от пътниците. ЕНОЗД призовава за ясно ограничаване, за да се предотврати неподходящо съпоставяне на информация отвъд обхвата на PNR споразумението.

30.

Периодът на запазване на данни не е обект на ефективно хармонизиране. ЕНОЗД счита, че по принцип PNR данните трябва да се заличават, ако проверките, извършени при предаването на данни, не доведат до действие по принудително изпълнение. Ако националният контекст оправдава необходимостта от ограничен период на запазване, ЕНОЗД счита, че максималният период на запазване следва да се установи в стандартите. Освен това принципът за времево ограничаване на правото на достъп на официалните служители трябва да се укрепи и постепенното анонимизиране на данните следва да се счита за задължение, а не за пример.

31.

ЕНОЗД подкрепя изключителното използване на системата от тип „push“ за предаване на PNR данни. Той призовава за конкретни гаранции, така че системата от тип „push“ да е единствената система, която се използва на практика. Опитът и инспекциите, проведени от органите по защита на данните, показаха, че в действителност въпреки задълженията по вече действащите споразумения, особено във връзка с „PNR на САЩ“, на места все още действа остатъчна система тип „pull“ и че паралелно на системата тип „push“ щатските органи имат по-широкообхватен достъп до PNR данни чрез компютърните системи за резервация. Трябва да се предприемат правни и технически мерки, за да се избегне всякакво заобикаляне на системата тип „push“.

32.

Трябва да се определи честотата на предаванията от страна на авиокомпаниите („разумна“) и да се установи максимален брой предавания. Съществуващите схеми, които предвиждат съответстващите в най-голяма степен разпоредби за неприкосновеност на личния живот, следва да се използват като критерий за оценяване в това действие.

33.

Освен това ЕНОЗД призовава за повече прецизност по отношение на съществени елементи от прилагането на PNR споразуменията. Продължителността на споразуменията („фиксирана“, „подходяща“) и техният преглед („периодичен“) трябва допълнително да се определят в хоризонтален план. По-специално може да се определи периодичността на съвместните прегледи, както и задължението да се провежда първи преглед в рамките на специфичен срок след влизане в сила на споразуменията: биха могли да се посочат максимум три години.

34.

ЕНОЗД приветства хоризонталния подход, представен от Комисията в нейното съобщение. Това е съществена стъпка по посока към цялостна рамка за обмен на PNR данни. При все това някои сериозни опасения смекчават това общо одобрение.

35.

PNR схемите, представени в съобщението, не отговарят per se на проверките за необходимост и пропорционалност, представени в настоящето становище и в предишните становища на ЕНОЗД и работната група съгласно член 29. С оглед да бъдат допустими, условията за събиране и обработване на лични данни трябва значително да се ограничат. По-специално ЕНОЗД изразява загриженост относно използването на PNR схеми за оценка на риска или профилиране.

36.

Разработването на PNR стандарти следва да взема под внимание общата рамка за защита на данни и свързаните с това правни развития в рамките на ЕС, както и преговорите относно споразумения за обмен на данни на по-общо ниво, по-специално със Съединените щати. Трябва да се гарантира, че едно бъдещо споразумение относно PNR със Съединените щати ще зачита общото споразумение относно защита на данни със САЩ. Споразуменията относно PNR с други трети държави също следва да съответстват на този подход.

37.

От съществено значение е всяко споразумение с трета държава да взема под внимание новите изисквания за защита на данни, когато се разработват такива в институционалната рамка „след Лисабон“.

38.

ЕНОЗД също така призовава за повече прецизност в глобалния подход по отношение на минималните предпазни мерки, приложими по отношение на всички споразумения: трябва да се прилагат по-строги условия, особено по отношение на обработването на чувствителни данни, принципът за ограничаване в рамките на целта, условията за последващи предавания и запазването на данни.

39.

На последно място ЕНОЗД подчертава, че всяко споразумение следва да предвижда възможност за пряко упражняване на правата на субектите на данни. Ефективността на процедурите за принудителни изпълнение от страна на субектите на данни и от страна на надзорните органи е съществено условие за оценката на адекватността на всяко споразумение.

—

Съединените щати: Споразумение между Европейския съюз и Съединените американски щати относно обработка и предаване на данни от досиетата на пътниците (PNR) от въздушни превозвачи на Министерството на вътрешната сигурност (DHS) на Съединените щати (споразумение PNR от 2007 г.) (ОВ L 204, 4.8.2007 г., стр. 18),

—

Канада: Споразумение между Европейската общност и правителството на Канада относно обработката на предварителна информация за пътниците и записи на данни с имената на пътниците (ОВ L 82, 21.3.2006 г., стр. 15),

—

Австралия: Споразумение между Европейския съюз и Австралия относно обработката и предаването на произхождащи от Европейския съюз резервационни данни за пътниците (PNR данни) от въздушни превозвачи на Австралийската митническа служба (ОВ L 213, 8.8.2008 г., стр. 49—57).