9.2.2012   

BG

Официален вестник на Европейския съюз

C 35/16

1.

На 28 ноември 2011 г. Комисията прие предложение за решение на Съвета за сключване на споразумение между Съединените американски щати и Европейския съюз относно използването и предаването на резервационни данни на пътниците (PNR) на Министерството на вътрешната сигурност на Съединените щати (3) (наричано по-нататък „споразумението“).

2.

На 9 ноември 2011 г. бяха проведени неформални консултации с Европейския надзорен орган по защита на данните (ЕНОЗД) относно проекта за предложение в контекста на ускорената процедура за прием. На 11 ноември 2011 г. органът публикува няколко коментара за ограничено ползване. Целта на настоящото становище е да допълни тези коментари в контекста на настоящото предложение и да направи гледната точка на ЕНОЗД публично достояние. Настоящото становище също така доразвива редица по-ранни случаи на намеса на ЕНОЗД и Работната група по член 29 във връзка с PNR.

3.

Целта на споразумението е да се осигури мотивирано правно основание за предаване на PNR данни от ЕС на САЩ. Понастоящем предаването на данни се основава на споразумението от 2007 г. (4), тъй като Парламентът взе решение да отложи гласуването на одобрение, докато не бъдат удовлетворени съображенията относно защитата на данните. По-специално в резолюцията от 5 май 2010 г. (5) Парламентът посочва следните изисквания:

4.

Настоящото споразумение трябва да бъде разгледано в контекста на глобалния подход за предаване на резервационни данни на пътниците (PNR), което включва преговори с други трети държави (по-конкретно Австралия (8) и Канада (9)), както и предложение относно схема за PNR на равнище на ЕС (10). Освен това то попада в обхвата на текущите преговори за споразумение между ЕС и САЩ относно обмена на лични данни в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси (11). В по-широк контекст споразумението е парафирано няколко седмици преди очакваното приемане на предложенията за преглед на общата рамка за защита на данните (12).

5.

ЕНОЗД приветства такъв глобален подход, чиято цел е осигуряване на съгласувана правна рамка за споразумения относно PNR в съответствие с правните изисквания на ЕС. Той обаче изразява съжаление, че на практика този график не позволява осигуряването на съгласуваност на споразуменията с новите правила на ЕС в областта на защитата на данните. Той би желал да припомни и че общото споразумение между Европейския съюз и Съединените американски щати относно обмена на данни следва да се прилага за споразумението между ЕС и САЩ относно PNR данните.

6.

Съгласно Хартата на основните права на ЕС всяко ограничение на основните права и свободи трябва да бъде необходимо, пропорционално и установено със закон. Както многократно е посочвано от ЕНОЗД (13) и работната група по член 29 (14), до настоящия момент не са доказани необходимостта и пропорционалността на схемите за PNR и на предаването на масиви от PNR данни на трети държави. Европейският икономически и социален комитет и Агенцията за основните права също споделят това мнение (15). Представените по-долу конкретни коментари не засягат тази предварителна и основна констатация.

7.

Настоящото споразумение съдържа някои подобрения в сравнение със споразумението от 2007 г. и включва достатъчни гаранции по отношение на сигурността и надзора на данните, обаче изглежда не са спазени условията, които Европейският парламент поставя, за да даде съгласие, нито са отчетени основните безпокойства, изразени в горепосочените становища (16).

8.

Член 4, параграф 1 от споразумението гласи, че САЩ обработва PNR данни с цел предотвратяване, разкриване, разследване и наказателно преследване на: а) престъпления, свързани с тероризъм, и б) престъпления, които са наказуеми с лишаване от свобода за три или повече години и които са международни по своя характер. Някои от тези концепции са допълнително прецизирани.

9.

Въпреки че тези определения са по-прецизни от определенията в споразумението от 2007 г., все още съществуват някои неясни концепции и изключения, които биха могли да надхвърлят ограничението в рамките на целта и да подронят правната сигурност. По-специално:

10.

Приложение I от споразумението съдържа 19 вида данни, които ще се изпращат на САЩ. Голяма част от тях включват и различни категории данни и са идентични с полетата за данни в споразумението от 2007 г., които вече бяха определени от ЕНОЗД и работната група по член 29 като непропорционални (18).

11.

Това се отнася по-специално до полето „Общи бележки, включително информация за OSI (19), SSI (20) и SSR (21)“, което може да разкрие информация, свързана с религиозните убеждения (например предпочитания към храни) или здравословното състояние (например искане за инвалидна количка). Такива чувствителни данни трябва изрично да бъдат изключени от списъка.

12.

При оценяване пропорционалността на списъка следва да се отчете и фактът, че поради предаване на предварителна информация по споразумението (член 15, параграф 3 от споразумението) тези категории ще се отнасят не само до действителните пътници, но също и до лица, които в крайна сметка не летят (например поради отмяна на полета).

13.

Освен това наличието на открити полета за данни би могло да създаде правна несигурност. Категории като „цялата налична информация за контакт“, „цялата информация за багажа“ и „общи бележки“ следва да се дефинират по-прецизно.

14.

Ето защо списъкът следва да се стесни. В съответствие със становището на работната група по член 29 (22) считаме, че данните следва да се ограничат до следната информация: Код за идентифициране на записа с PNR данни, дата на резервация, дата(и) на планирано пътуване, име на пътника, други имена в PNR данните, пълен маршрут на пътуване, идентификатори за безплатни билети, еднопосочни билети, информация от полето за издаване на билета, данни от полето ATFQ (автоматична информация за цени на билети/тарифи), номер на билета, дата на издаване на билета, история на неявяванията, бройки багаж, номера на етикетите за багаж, информация относно закупуване на билет в последния момент без резервация, бройки багаж във всяка отсечка, ползване на по-висока категория услуга доброволно/поради необходимост, настъпили във времето промени в записа с PNR данни във връзка с гореспоменатите елементи.

15.

Член 6 от споразумението гласи, че DHS автоматично филтрира и „маскира“ чувствителните данни. Чувствителните данни обаче ще се съхраняват най-малко 30 дни и могат да се използват в конкретни случаи (член 6, параграф 4). ЕНОЗД иска да изтъкне, че дори и след „маскирането“ тези данни продължават да бъдат „чувствителни“ и са свързани с физически лица с подлежаща на установяване самоличност.

16.

Както вече е посочено от ЕНОЗД, DHS няма право да обработва чувствителни данни, свързани с граждани на ЕС, дори когато след приемането данните са „маскирани“. ЕНОЗД препоръчва в текста на споразумението да се посочи, че въздушните превозвачи нямат право да предават чувствителни данни на DHS.

17.

Член 8 гласи, че PNR данните се съхраняват в активна база данни за срок до пет години, а след този срок се прехвърлят в пасивна база данни и се съхраняват за срок до десет години. Както вече беше подчертано от ЕНОЗД и работната група по член 29, този максимален период на съхранение от 15 години безспорно е непропорционален, независимо дали данните се съхраняват в „активна“, или в „пасивна“ база данни.

18.

В член 8, параграф 1 се посочва, че данните ще бъдат „деперсонализирани и маскирани“ шест месеца след приемането им от DHS. При все това както „маскираните“ данни, така и съхраняваните в „пасивна база данни“ представляват лични данни, доколкото те не са анонимизирани. Ето защо данните следва да бъдат (необратимо) анонимизирани или незабавно изтрити след анализа, или след максимален срок от шест месеца.

19.

ЕНОЗД приветства член 15, параграф 1, съгласно който данните ще бъдат предавани с помощта на метода „push“. Съгласно член 15, параграф 5 обаче превозвачите са задължени да „предоставят достъп“ до PNR данни при изключителни обстоятелства. С оглед окончателно да се изключи възможността за използване на системата „pull“ и предвид опасенията, които наскоро отново бяха изтъкнати от работната група по член 29 (23), настоятелно препоръчваме в споразумението изрично да се забранява възможността длъжностните лица на САЩ да разполагат с обособен достъп до данни чрез система „pull“.

20.

В споразумението трябва да бъдат установени броят и периодичността на предаване на данни от въздушните превозвачи на Министерството на вътрешната сигурност (DHS). За да се подобри правната сигурност, условията, при които ще се разрешава допълнително предаване на данни, също трябва да бъдат уточнени.

21.

ЕНОЗД приветства член 5 от споразумението относно сигурността и целостта на данните, и по-специално задължението за информиране на засегнатите физически лица относно инцидент, свързан с неприкосновеността на личния живот. Следва обаче да бъдат доизяснени следните елементи на уведомлението за нарушаване защитата на личните данни:

22.

ЕНОЗД поддържа задължението за водене на регистър или документиране на всички случаи на достъп до PNR данни и до тяхната обработка, тъй като това ще позволи извършването на проверки дали Министерството на вътрешната сигурност е използвало PNR данните по подходящ начин и дали е имало неразрешен достъп до системата.

23.

ЕНОЗД приветства факта, че съгласно член 14, параграф 1 спазването на защитните мерки за неприкосновеност на личния живот в споразумението ще подлежи на независим надзор и наблюдение от страна на редица министерски служители за защита на неприкосновеността на личния живот, например главния служител в DHS за защита на неприкосновеността на личния живот. С оглед да се гарантира ефективното упражняване на правата на субектите на данни обаче, ЕНОЗД и националните органи за защита на данните следва да работят съвместно с DHS по процедурите и реда и условията за упражняване на тези права (24). ЕНОЗД би приветствал посочването на това сътрудничество в споразумението.

24.

ЕНОЗД твърдо подкрепя правото на обезщетение „независимо от националност, държава на произход или местожителство“ на физическото лице в съответствие с член 14, параграф 1, втора алинея. Европейският надзорен орган по защита на данните обаче изразява съжаление, че съгласно изричната формулировка на член 21 споразумението „не поражда и не предоставя, по силата на законите на САЩ, каквото и да е право или преимущество на което и да е лице“. Дори в случай че по силата на споразумението в САЩ бъде предоставено право на „съдебно разглеждане“, това право може да не е равностойно на правото на ефективно съдебно обезщетение в ЕС, по-специално в контекста на ограниченията, посочени в член 21.

25.

Член 16 от споразумението забранява предаването на данни на национални органи, които не осигуряват за PNR защитни мерки, „еквивалентни или сравними“ с установените в споразумението. ЕНОЗД приветства тази разпоредба. Списъкът на органите, които могат да получават PNR данни, обаче, следва допълнително да се конкретизира. По отношение на международното предаване на данни споразумението предвижда то да се състои единствено ако планираното използване от страна на получателя е в съответствие със споразумението и приведените защитни мерки за неприкосновеност на личния живот са „сравними“ с мерките, предвидени в споразумението, освен в случай на спешни обстоятелства.

26.

По отношение на формулировката „сравними“ или „еквивалентни“, използвана в споразумението, ЕНОЗД би желал да наблегне, че последващото национално или международно предаване на данни от страна на DHS следва да се състои единствено в случай че получателят приведе защитни мерки за неприкосновеност на личния живот, които са не по-малко строги от мерките, установени в споразумението. В споразумението следва също така да се поясни, че предаването на PNR данни се извършва въз основа на оценка на всеки отделен случай, като се гарантира предаването единствено на необходимите данни на съответните получатели, и не следва да се допускат изключения. В допълнение ЕНОЗД препоръчва предаването на данни на трети държави да се извършва след предварително разрешение от съда.

27.

Член 17, параграф 4 гласи, че когато данни на жител на държава-членка на ЕС се предават на трета държава, компетентните органи на засегнатата държава-членка се информират в случаите, когато DHS е запознато с тази ситуация. Това условие следва да се заличи, тъй като DHS следва винаги да бъде запознато с последващото предаване на данни на трети държави.

28.

Не е ясно каква е избраната от САЩ правна форма за сключване на това споразумение и как споразумението ще стане правно обвързващо в САЩ. Този въпрос следва да се изясни.

29.

В член 20, параграф 2 се разглежда съгласуваността с евентуална схема за PNR данни на ЕС. ЕНОЗД отбелязва, че консултациите относно коригирането на споразумението следва да разгледат по-специално „дали една бъдеща система за PNR данни на ЕС би прилагала по-леки стандарти за защита на данните в сравнение с предвидените по настоящото споразумение“. С оглед осигуряване на съгласуваност, всяко коригиране следва да вземе предвид (с особено внимание) и едни по-строги мерки за защита на данните в бъдеща схема за PNR данни.

30.

Споразумението следва да се преразгледа и с оглед на новата рамка за защита на данните, както и на възможното сключване на общо споразумение между ЕС и САЩ относно обмена на лични данни в рамките на полицейското и съдебното сътрудничество по наказателноправни въпроси. Може да се добави нова разпоредба, сходна с разпоредбите на член 20, параграф 2, която да гласи: „ако и когато бъде приета нова правна рамка за защита на данните в ЕС или бъде сключено ново споразумение относно обмена на данни между ЕС и САЩ, Страните провеждат консултации, за да решат дали настоящото споразумение се нуждае от съответно коригиране. Тези консултации по-специално разглеждат дали едно бъдещо изменение на правната рамка на ЕС за защита на данните, или едно допълнително споразумение между ЕС и САЩ относно защита на данните биха прилагали по-строги стандарти за защита на данните в сравнение с предвидените по настоящото споразумение“.

31.

По отношение на прегледа на споразумението (член 23) ЕНОЗД счита, че националните органи за защита на данните следва изрично да бъдат включени в екипа по преглед. Прегледът следва да се съсредоточи и върху оценка на необходимостта и пропорционалността на мерките, ефективното упражняване на правата на субектите на данни, както и на практика да включи проверка на начините за обработка на молбите от страна на субектите на данни особено в случаите, когато не е разрешен пряк достъп. Следва да се посочи честотата на прегледите.

32.

ЕНОЗД приветства гаранциите по отношение на сигурността и надзора на данните, предвидени в споразумението, и подобренията в сравнение със споразумението от 2007 г. Все още обаче остават много опасения особено във връзка със съгласуваността на глобалния подход за PNR, ограничението в рамките на целта, категориите данни, които се предават на DHS, обработката на чувствителни данни, периода за съхранение, изключенията от метода „push“, правата на субектите на данни и последващото предаване на данни.

33.

Тези съображения не засягат изискванията за необходимост и пропорционалност за всяка законосъобразна схема за PNR данни и споразумението, предвиждащо предаване на масиви PNR данни от ЕС на трети държави. Както Европейският парламент потвърди в своята резолюция от 5 май, „необходимостта и пропорционалността са ключови принципи, без които борбата срещу тероризма не може да бъде ефективна“.