1.5.2008   

CS

Úřední věstník Evropské unie

C 110/1

1.

V souladu s čl. 28 odst. 2 nařízení (ES) č. 45/2001 Komise zaslala evropskému inspektorovi ochrany údajů návrh rámcového rozhodnutí Rady o používání jmenné evidence cestujících pro účely vynucování práva (dále jen „návrh“).

2.

Návrh se týká zpracování údajů jmenné evidence cestujících (PNR) v rámci EU a úzce souvisí s dalšími systémy shromažďování a používání údajů cestujících, zejména s dohodou mezi EU a USA z července roku 2007. Tyto systémy jsou pro evropského inspektora ochrany údajů předmětem značného zájmu a inspektor již měl možnost předložit několik předběžných připomínek k dotazníku Komise, jenž se týkal plánovaného systému PNR Evropské unie a byl zaslán příslušným zúčastněným stranám (3) v prosinci roku 2006. Evropský inspektor ochrany údajů vítá konzultaci ze strany Komise. Podle evropského inspektora ochrany údajů by toto stanovisko mělo být uvedeno v preambuli rozhodnutí Rady.

3.

Cílem návrhu je harmonizovat právní předpisy členských států o povinnostech pro letecké dopravce, kteří provozují lety na území nebo z území alespoň jednoho členského státu, v souvislosti s předáváním údajů PNR příslušným orgánům za účelem předcházení teroristickým trestným činům a organizované trestné činnosti a boje proti nim.

4.

Evropská unie uzavřela s USA i s Kanadou ujednání o předávání údajů PNR pro účely srovnání. První dohoda uzavřená s USA v květnu roku 2004 byla nahrazena novou dohodou v červenci roku 2007 (4). Podobná dohoda byla uzavřena v červenci roku 2005 s Kanadou (5). Ohledně dohody o výměně údajů PNR mají být dále zahájena jednání mezi EU a Austrálií a rovněž Jižní Korea v současné době vyžaduje údaje PNR týkající se letů na její území, i když v tomto stadiu se žádná jednání na evropské úrovni neplánují.

5.

V rámci EU je tento návrh doplněním směrnice Rady 2004/82/ES (6) o povinnosti dopravců předávat údaje o cestujících známé jako údaje API za účelem boje proti nedovolenému přistěhovalectví a zdokonalení hraničních kontrol. Uvedená směrnice měla být provedena ve vnitrostátním právu členských států nejpozději dne 5. září 2006. Její provádění však dosud není ve všech členských státech zajištěno.

6.

Narozdíl od údajů týkajících se předběžných informací o cestujících (API), jež by měly pomoci identifikovat fyzické osoby, údaje PNR uvedené v návrhu by přispěly k vypracování hodnocení rizik osob, k získání nových informací a nacházení souvislostí mezi známými a neznámými lidmi.

7.

Hlavní aspekty návrhu lze shrnout následovně:

8.

Návrh, ohledně něhož je evropský inspektor ochrany údajů konzultován, je dalším krokem k pravidelnému shromažďování údajů fyzických osob, jež nejsou v zásadě podezírány z žádné trestné činnosti. Jak již bylo uvedeno, k tomuto vývoji dochází na mezinárodní úrovni i na úrovni Evropské unie.

9.

Evropský inspektor ochrany údajů bere na vědomí, že rovněž Pracovní skupina článku 29 a Pracovní skupina pro policii a spravedlnost předložily k návrhu společné stanovisko (8). Evropský inspektor ochrany údajů toto stanovisko podporuje. Uvedené stanovisko vyzdvihuje a rozvíjí řadu dalších otázek.

10.

Evropský inspektor ochrany údajů bude ve svém stanovisku analyzovat veškeré významné aspekty návrhu, avšak zaměří se na čtyři hlavní otázky.

11.

V poslední části budou vymezeny další podstatné otázky, včetně opatření představujících přínos pro ochranu údajů, ale i dalších zdroje obav.

12.

Za účelem analýzy oprávněnosti navrhovaných opatření v souladu s hlavními zásadami ochrany údajů, a zejména s článkem 8 Listiny základních práv Evropské unie a články 5 až 8 Úmluvy Rady Evropy č. 108 (9) je třeba jasně vymezit účel zamýšleného zpracování osobních údajů, aby bylo možno posoudit jeho nezbytnost a přiměřenost. Mělo by se zaručit, že pro dosažení plánovaného účelu nejsou dostupné žádné jiné prostředky, které by představovaly menší zásah do lidských práv.

13.

Ze znění návrhu a z posouzení jeho dopadu vyplývá, že cílem není pouze identifikovat známé teroristy či známé pachatele trestné činnosti zapojené do organizované trestné činnosti tím, že se porovnají jejich jména se jmény zařazenými na seznamy spravované donucovacími orgány. Jeho účelem je shromažďovat informace, pokud jde o terorismus či organizovanou trestnou činnost, a konkrétněji „vypracovávat hodnocení rizika osob, získávat nové informace a nacházet souvislosti mezi známými a neznámými lidmi“ (10). Účelem uvedeným v čl. 3 odst. 5 návrhu je ve stejném duchu a v první řadě „identifikovat osoby, které jsou nebo mohou být zapojeny do teroristických nebo organizovaných trestných činů, a jejich spojence“.

14.

Tento důvod má vysvětlit, že údaje API k dosažení uvedeného účelu nestačí. Jak již bylo uvedeno, zatímco údaje API mají ve skutečnosti pomoci identifikovat fyzické osoby, údaje PNR nemají identifikační úlohu, avšak podrobnosti těchto údajů by přispěly k vypracování hodnocení rizika osob, k získávání nových informací a k nacházení souvislostí mezi známými a neznámými lidmi.

15.

Účel plánovaných opatření se netýká pouze dopadení známých osob, ale rovněž vypátrání osob, na něž se kritéria návrhu mohou vztahovat.

V zájmu identifikace těchto osob jsou hlavní součástí projektu hodnocení rizik a stanovení modelů. Devátý bod odůvodnění návrhu výslovně uvádí, že údaje musí být uchovávány „dostatečně dlouhou dobu, aby mohly být použity k vývoji ukazatelů rizik a ke zjišťování cestovních modelů a modelů chování“.

16.

Účel je tedy popsán ve dvou rovinách: první rovina spočívá v celkovém cíli, tedy boji proti terorismu a organizované trestné činnosti, zatímco druhá rovina zahrnuje prostředky a opatření nezbytné pro dosažení uvedeného cíle. Ačkoli se zdá, že účel boje proti terorismu a organizované trestné činnosti je dostatečně jasný a oprávněný, o prostředcích používaných pro jeho dosažení lze diskutovat.

17.

Návrh vůbec neuvádí, jakým způsobem budou modely stanoveny a jak bude hodnocení rizika prováděno. Posouzení dopadů poskytuje toto upřesnění ohledně způsobu, jakým budou údaje PNR používány: porovnávat údaje cestujících „s kombinací charakteristik a vzorů chování, se zaměřením na hodnocení rizik. Pokud cestující odpovídá určitému hodnocení rizika, může být označen jako vysoce rizikový cestující“ (11).

18.

Podezřelé osoby by mohly být vybírány podle konkrétních prvků podezření zahrnutých v jejich údajích PNR (například styk s podezřelou cestovní kanceláří, spojitost s odcizenou kreditní kartou), jakož i na základě „modelů“ či abstraktního profilu. Na základě modelů cestování by mohly být ve skutečnosti stanoveny různé standardní profily pro „běžné cestující“ a pro „podezřelé cestující“. Tyto profily by umožnily dále vyšetřovat cestující, kteří nespadají do „kategorie běžných cestujících“, zejména pokud je jejich profil spojován s dalšími podezřelými prvky, jako je například odcizená kreditní karta.

19.

Přestože nelze předpokládat, že by cestující byli vybíráni podle svého náboženského vyznání či jiných citlivých údajů, zdá se, že by byli vyšetřování na základě jak konkrétních, tak i abstraktních informací, včetně standardních modelů a abstraktních profilů.

20.

Není zcela jasné, zda lze tento druh vyšetřování označit za profilování. Profilování by spočívalo v „počítačové metodě, která využívá vytěžování dat (‚data mining‘) z databáze a která s určitou pravděpodobností, a tedy i s určitou chybovostí, umožňuje či má umožňovat klasifikaci fyzických osob v dané kategorii s cílem přijmout individuální rozhodnutí týkající se této osoby“ (12).

21.

Evropský inspektor ochrany údajů si je vědom toho, že definice profilování je v současné době předmětem diskuzí. Bez ohledu na to, zda je úředně uznáno, že cílem návrhu je profilování cestujících, hlavní předmět zájmu se netýká definic, ale dopadu návrhu na fyzické osoby.

22.

Hlavní obava evropského inspektora ochrany údajů souvisí s tím, že se o fyzických osobách bude rozhodovat na základě modelů a kritérií vytvořených na základě údajů o cestujících obecně. Rozhodnutí o jedné fyzické osobě budou tedy moci být přijímána (alespoň zčásti) na základě modelů odvozených z údajů jiných fyzických osob. Skutečnost, že rozhodnutí budou přijímána ve vztahu k abstraktním souvislostem může mít obrovský dopad na subjekty údajů. Pro fyzické osoby je neobyčejně těžké bránit se proti takovým rozhodnutím.

23.

Riziko se má rovněž hodnotit za situace, v níž neexistují jednotná kritéria pro identifikaci podezřelých. Evropský inspektor ochrany údajů má vážné pochybnosti o právní jistotě celého procesu filtrování, přičemž se domnívá, že kritéria, na jejichž základě bude prošetřován každý cestující, nejsou dostatečně vymezena.

24.

Evropský inspektor ochrany údajů připomíná judikaturu Evropského soudu pro lidská práva, podle níž musí být vnitrostátní právo dostatečně přesné co se týče okolností a podmínek za kterých mohou veřejné orgány zaznamenávat a užívat informace o osobním životě občanů. „Tyto informace by měly být přístupné dotčené osobě a jejich dopad by měl být předvídatelný“. Pravidlo je „předvídatelné“, „pokud je vyjádřeno dostatečně přesně, aby umožnilo všem jednotlivcům – v případě potřeby pomocí vhodného poradenství – patřičně upravit své chování“ (13).

25.

Závěrem lze říci, že stávající návrh je třeba pečlivě zvážit, zejména s ohledem na všechny uvedené druhy rizik. Zatímco samotný obecný účel boje proti terorismu a organizované trestné činnosti je jasný a oprávněný, hlavní rysy zamýšleného zpracovávání nejsou v návrhu dostatečně vymezeny a ospravedlněny. Evropský inspektor ochrany údajů tedy vyzývá normotvůrce EU, aby před přijetím rámcového rozhodnutí tuto otázku vyřešil.

26.

Rušivá povaha daných opatření je zřejmá, jak je uvedeno výše. Na druhé straně lze stěží prokázat jejich užitečnost.

27.

Posouzení dopadů návrhu se zaměřuje na nejlepší způsob, jakým zřídit PNR Evropské unie, a již méně na samotnou nezbytnost těchto PNR. V posouzení (14) se odkazuje na systémy PNR fungující v jiných zemích, zejména v USA a ve Spojeném království. Lze však jedině litovat toho, že o těchto systémech neexistuje dostatek přesných faktů a číselných údajů. V systému Semaphore užívaném ve Spojeném království byla v souvislosti s „trestnou činností různé povahy“ zaznamenána „četná zadržení“, přičemž jejich spojení s terorismem či organizovanou trestnou činností není upřesněno. Pokud jde o program USA, nejsou k dispozici žádné podrobnosti, vyjma toho, že „EU mohla posoudit hodnotu údajů PNR a uvědomit si jejich potenciál pro účely vynucování práva“.

28.

Nejenže samotný návrh neobsahuje dostatek přesných informací o konkrétních výsledcích těchto systémů PNR, ale ani zprávy zveřejněné jinými agenturami, například úřadem GAO ve Spojených státech, nepotvrzují v tomto stadiu účinnost těchto opatření (15).

29.

Evropský inspektor ochrany údajů se domnívá, že je třeba důkladněji posoudit techniky spočívající ve vyhodnocování rizika, které představují fyzické osoby, za použití nástrojů pro vytěžování dat a modelů chování a že dříve, než budou tyto techniky použity v tak širokém měřítku, je zapotřebí jasně stanovit jejich užitečnost v rámci boje proti terorismu.

30.

Za účelem posouzení rovnováhy mezi zásahem do soukromí fyzických osob a nezbytností daného opatření (16) jsou zohledněny tyto prvky:

31.

Soulad se zásadou proporcionality neznamená pouze to, že navrhované opatření je účinné, ale i skutečnost, že plánovaného účelu návrhu nelze dosáhnout za použití nástrojů méně narušujících soukromí. Účinnost plánovaných opatření nebyla prokázána. Dříve než budou zavedena dodatečná či nová opatření za účelem zpracování osobních údajů, je třeba pozorně posoudit, zda neexistují jiné možnosti. Podle evropského inspektora ochrany údajů se takové komplexní posouzení neuskutečnilo.

32.

Evropský inspektor ochrany údajů by rád připomněl ostatní rozsáhlé systémy sledování pohybu fyzických osob v EU či na jejích hranicích, které jsou v provozu nebo mají být zprovozněny, zejména vízový informační systém (17) a Schengenský informační systém (18) Ačkoli hlavním cílem těchto nástrojů není boj proti terorismu či organizované trestné činnosti, jsou či budou do určité míry přístupné donucovacím orgánům v širším rámci boje proti trestné činnosti (19).

33.

Další příklad se týká dostupnosti osobních údajů obsažených ve vnitrostátních databázích policie, zejména v souvislosti s biometrickými údaji, v rámci Prümské smlouvy, podepsané v květnu roku 2005, jejíž působnost se rozšiřuje na všechny členské státy Evropské unie (20).

34.

Všem těmto nástrojům je společné to, že umožňují globální sledování pohybu fyzických osob, i když z různých hledisek. Způsob, jakým již mohou přispět k boji proti určitým formám trestné činnosti, včetně terorismu, by měl být podroben hloubkové a komplexní analýze před tím, než bude rozhodnuto zavést nový způsob systematického prošetřování osob opouštějících EU či vstupujících na její území letecky. Evropský inspektor ochrany údajů doporučuje, aby Komise tuto analýzu provedla jakožto nezbytný krok v legislativním postupu.

35.

Vzhledem k výše uvedeným skutečnostem se evropský inspektor ochrany údajů domnívá, že vycházet z různých databází bez celkové představy o konkrétních výsledcích a nedostatcích:

36.

Boj proti terorismu může být zajisté oprávněným důvodem pro uplatnění výjimek ze základních práv týkajících se soukromí a ochrany údajů. Aby však byl tento zásah odůvodněný, je třeba, aby jeho nezbytnost byla podložena jasnými a nespornými argumenty a aby byla prokázána jeho proporcionalita. V případě značného zásahu do soukromí fyzických osob, s nímž se v návrhu počítá, se tato nezbytnost stupňuje.

37.

Lze pouze konstatovat, že takové argumenty v návrhu chybí a že nezbytnost a proporcionalita navrhovaného opatření nebyla prokázána.

38.

Evropský inspektor ochrany údajů trvá na tom, že nezbytnost a proporcionalita představují nezbytnou podmínku pro vstup tohoto návrhu v platnost. Jakákoli další připomínka evropského inspektora ochrany v tomto stanovisku musí být vnímána v kontextu této prvotní podmínky.

39.

Níže uvedená analýza se zaměří na tři otázky:

40.

V článku 11 návrhu je uvedeno, že „členské státy zajistí, aby na zpracování osobních údajů podle tohoto rámcového rozhodnutí bylo použitelné rámcové rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a soudní spolupráce v trestních věcech (…/…)“.

41.

I přes toto ustanovení však není jasné, do jaké míry bude rámcové rozhodnutí o ochraně údajů – nástroj v rámci třetího pilíře Smlouvy o EU – použitelné na údaje zpracovávané leteckými společnostmi, shromažďované složkami pro informace o cestujících a dále užívané jinými příslušnými orgány.

42.

Prvním krokem zpracování osobních údajů, jenž je uveden v návrhu, je zpracování leteckými společnostmi, které mají povinnost zpřístupnit údaje PNR – v zásadě za použití systému „dodávání“ (push) – vnitrostátním složkám pro informace o cestujících. Ze znění návrhu a z posouzení dopadů (22) vyplývá, že údaje by mohly být rovněž předávány zprostředkovatelům leteckými společnostmi hromadně. Letecké společnosti působí především v komerčním prostředí a podléhají vnitrostátním právním předpisům o ochraně údajů, tj. právním předpisům provádějícím směrnici 95/46/ES (23). Otázky ohledně použitelných právních předpisů vyvstanou v souvislosti s použitím shromážděných údajů pro účely vynucování práva, (24).

43.

Zprostředkovatel by následně údaje filtroval (za účelem formátování a vynětí údajů PNR, jež nejsou na seznamu údajů zmíněných v návrhu) či zasílal přímo složkám pro informace o cestujících. Zprostředkovateli by rovněž mohly být subjekty ze soukromého sektoru, jako je tomu v případě společnosti SITA, jež v tomto smyslu působí v rámci dohody o jmenné evidenci cestujících s Kanadou.

44.

Pokud jde o složky pro informace o cestujících, které jsou zodpovědné za hodnocení rizika celkového množství údajů, není jasné, kdo bude za zpracování těchto údajů zodpovědný. Mohly by být zapojeny celní a pohraniční orgány, a nikoliv nezbytně donucovací orgány.

45.

Následné předávání filtrovaných údajů „příslušným“ orgánům by pravděpodobně probíhalo v kontextu vynucování práva. Návrh uvádí, že „příslušné orgány zahrnují pouze orgány zodpovědné za prevenci nebo boj proti teroristickým trestným činům a organizované trestné činnosti“.

46.

V průběhu jednotlivých kroků zpracování údajů se zužuje vazba zapojených subjektů a sledovaného účelu na policejní a justiční spolupráci v trestních věcech. Návrh však výslovně neuvádí, kdy konkrétně se rámcové rozhodnutí o ochraně údajů použije. Formulace příslušného ustanovení by dokonce mohla vést k domněnce, že se toto rámcové rozhodnutí vztahuje na celý proces zpracování, či dokonce na letecké společnosti (25). Rámcové rozhodnutí o ochraně osobních údajů však samo o sobě obsahuje určitá omezení.

47.

V této souvislosti má evropský inspektor ochrany údajů zásadní pochyby o tom, zda hlava VI Smlouvy o EU může sloužit jako právní základ pro povinnosti a pro účely vynucování práva, pokud jde o subjekty ze soukromého sektoru. Rovněž je významná otázka, zda hlava VI Smlouvy o EU může sloužit jako právní základ pro povinnosti veřejných orgánů, jež jsou v zásadě mimo rámec spolupráce v oblasti vynucování práva. Tyto otázky budou v tomto stanovisku dále rozvedeny.

48.

Návrh rámcového rozhodnutí Rady o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech obsahuje alespoň dvě omezení použitelnosti.

49.

Za prvé je použitelnost rámcového rozhodnutí o ochraně údajů dobře vymezena v samotném rámcovém rozhodnutí s tím, že se použije „pouze na údaje shromažďované nebo zpracovávané příslušnými orgány za účelem předcházení trestným činům, jejich vyšetřování, odhalování nebo stíhání nebo výkonu trestů“ (26).

50.

Za druhé se nepředpokládá, že by se rámcové rozhodnutí o ochraně údajů vztahovalo na údaje zpracovávané výhradně na úrovni jednotlivých států, ale omezuje se na údaje vyměňované mezi členskými státy a na další předávání třetím zemím (27).

51.

Ve srovnání se směrnicí 95/46/ES obsahuje rámcové rozhodnutí o ochraně údajů rovněž určité nedostatky, zejména rozsáhlou výjimku ze zásady omezení účelu. Pokud jde o uvedenou zásadu, návrh jasně omezuje účel zpracovávání na boj proti terorismu a organizované trestné činnosti. Rámcové rozhodnutí o ochraně údajů však umožňuje zpracovávání pro širší účely. V tomto případě by zvláštní právo (návrh rámcového rozhodnutí o PNR) mělo převažovat nad právem obecným (rámcovým rozhodnutí o ochraně údajů) (28). Tato skutečnost by měla být ve znění návrhu výslovně uvedena.

52.

Z tohoto důvodu evropský inspektor ochrany údajů doporučuje vložit do návrhu následující ustanovení: „Osobní údaje předávané leteckými společnostmi podle tohoto rámcového rozhodnutí nemohou být zpracovávány pro jiné účely než pro boj proti terorismu a organizované trestné činnosti. Pokud jde o zásadu účelu, výjimky stanovené v rámcovém rozhodnutí o ochraně osobních údajů zpracovávaných v rámci policejní a justiční spolupráce v trestních věcech nejsou použitelné“.

53.

Závěrem evropský inspektor ochrany údajů bere na vědomí závažný nedostatek právní jistoty v souvislosti se systémem ochrany údajů použitelným pro různé subjekty zapojené do projektu, a zejména pro letecké společnosti a další subjekty v rámci prvního pilíře: ať již jde o pravidla návrhu, pravidla rámcového rozhodnutí o ochraně údajů či o vnitrostátní právní předpisy, jimiž je ve vnitrostátním právu provedena směrnice 95/46/ES. Normotvůrce by měl ujasnit, ve kterém okamžiku zpracování se uplatní právě tato různá pravidla.

54.

Evropský inspektor ochrany údajů má zásadní pochyby o tom, zda nástroj v rámci třetího pilíře v rámci běžného postupu a pro účely vynucování práva vytváří zákonné povinnosti pro subjekty ze soukromého či veřejného sektoru, jež jsou v zásadě mimo rámec spolupráce pro účely vynucování práva.

55.

Lze zde učinit srovnání s dvěma dalšími případy, kdy byl soukromý sektor zapojen do uchovávání či předávání údajů pro účely vynucování práva.

56.

Ve stávajícím návrhu EU týkajícím se PNR musí letecké společnosti systematicky zpřístupňovat údaje PNR všech cestujících. Tyto údaje však nejsou předávány přímo a hromadně donucovacím orgánům: dříve než jsou vybrané informace zaslány příslušným úřadům, mohou být zaslány zprostředkovateli a jsou posouzeny třetí stranou, jejíž status je i nadále nejasný.

57.

Hlavní část zpracovávání probíhá v šedé zóně, přičemž má materiální vazbu na první i na třetí pilíř. Jak bude rozvedeno v bodu IV., povaha subjektů zpracovávajících údaje není zřejmá. Letecké společnosti samozřejmě nejsou donucovacími orgány a zprostředkovatelé mohou být subjekty ze soukromého sektoru. I v případě veřejnoprávních složek pro informace o cestujících je třeba zdůraznit, že ne každý veřejný orgán má charakteristiky a pravomoci nezbytné pro vykonávání úkolů v oblasti vynucování práva.

58.

Tradičně existoval jasný předěl mezi činnostmi v oblasti vynucování práva a činnostmi soukromého sektoru, kdy úkoly v oblasti vynucování práva vykonávají orgány zvláště určené, zejména policejní složky, a soukromé subjekty jsou dožadovány pro předávání osobních údajů těmto donucovacím orgánům v jednotlivých situacích. V současné době je tu tendence žádat od soukromých subjektů systematickou spolupráci pro účely vynucování práva, čímž vzniká otázka, jaký právní rámec pro ochranu údajů (první, či třetí pilíř) se vztahuje na podmínky této spolupráce a zejména, zda by měl vycházet z povahy správce údajů (soukromý sektor), nebo ze sledovaného účelu (vynucování práva)?

59.

Evropský inspektor ochrany údajů již připomněl riziko právní mezery mezi činnostmi v rámci prvního a třetího pilíře (31). Není zdaleka jasné, zda se na činnosti soukromých společností, jež mají určitým způsobem spojitost s vymáháním trestního práva, vztahují opatření přijatá podle článků 30, 31 a 34 Smlouvy o EU.

60.

Pokud by se nepoužil obecný rámec (první pilíř), poskytovatel služeb by musel ve svých databázích provádět obtížná rozlišení. Ve stávajícím systému je jasné, že správce údajů musí zajišťovat vůči subjektům údajů stejnou ochranu údajů bez ohledu na účely, jež ospravedlňují jejichž uchování. Je proto třeba se vyhnout situaci, v níž by zpracování ze strany poskytovatelů služeb v případě různých účelů podléhalo různým právním rámcům pro ochranu dat.

61.

Různé právní režimy, jež by se použily na vnitrostátní úrovni by měly zásadní dopad zejména na výkon práv subjektu údajů.

62.

V preambuli návrhu se stanoví, že „informace, přístup, oprava, výmaz a blokování, jakož i náhrada újmy a soudní opravné prostředky jsou stanoveny rámcovým rozhodnutím“. Tímto prohlášením však není zodpovězena otázka, kdo je správcem pověřeným reagovat na žádosti subjektu údajů.

63.

Zatímco informace ohledně zpracování by mohly být sdělovány leteckými společnostmi, záležitost je složitější v případě přístupu k údajům či v případě oprav těchto údajů. Tato práva jsou ve skutečnosti rámcovým rozhodnutím o ochraně údajů omezena. Jak již bylo uvedeno výše, lze pochybovat o tom, že by bylo možno uložit poskytovateli služeb, jako je letecká společnost, aby k údajům, jež má v držení, poskytoval odlišná práva na přístup a opravy v závislosti na sledovaném účelu (obchodní účely nebo vynucování práva). Dále je možné se domnívat, že tato práva mají být vykonávána ve vztahu ke složkám pro informace o cestujících nebo k jinak určeným příslušným orgánům. V tomto ohledu však návrh neobsahuje žádné další vysvětlení, a jak již bylo uvedeno, není ani zřejmé, zda tyto orgány (přinejmenším složky pro informace o cestujících) budou donucovacími orgány s omezeným (případně nepřímým) přístupem.

64.

Dotčená osoba rovněž podstupuje riziko konfrontace s různými příjemci údajů, zejména pokud jde o složky pro informace o cestujících. Údaje se skutečně předávají složce pro informace o cestujících země odletu/příletu, mohou však být případ od případu předávány rovněž složkám pro informace o cestujících jiných členských států Kromě toho je možné, že si několik členských států vytvoří nebo určí jedinou společnou složku pro informace o cestujících. V takovém případě je možné, že by subjekt údajů musel uplatnit nápravu u orgánu jiného členského státu. Zde opět není zřejmé, zda se použijí vnitrostátní pravidla pro ochranu údajů ( harmonizovaná na EU úrovni), nebo zda bude třeba vzít v úvahu zvláštní právní předpisy pro vynucování práva (s ohledem na nedostatečnou celkovou harmonizaci ve třetím pilíři na úrovni členských států).

65.

Stejná otázka vyvstává ohledně přístupu k údajům zpracovávaným zprostředkovateli, jejichž status je nejasný a kteří by rovněž mohli být společní několika leteckým společnostem v různých zemích EU.

66.

Evropský inspektor ochrany údajů je hluboce znepokojen právní nejistotou, jež ve věci výkonu uvedených základních práv subjektu údajů přetrvává. Zdůrazňuje, že uvedená situace je především důsledkem toho, že odpovědnost za vynucování práva je svěřena subjektům, pro něž taková činnost není hlavním úkolem.

67.

Evropský inspektor ochrany údajů se domnívá, že návrh by měl ozřejmovat, jaký právní režim je použitelný v dané fázi zpracování, a dále určit, ke kterému subjektu či orgánu se obrátit v případě žádosti o přístup či opravu. Evropský inspektor ochrany údajů připomíná, že podle čl. 30 odst. 1 písm. b) Smlouvy o EU by ustanovení o ochraně údajů měla být přiměřená a v plném rozsahu pokrývat veškeré postupy zpracování stanovené v návrhu. Pouhý odkaz na rámcové rozhodnutí o ochraně údajů není postačující s ohledem na omezený rozsah tohoto rámcového rozhodnutí a na omezení práv v něm obsažená. Pokud jde o donucovací orgány, pravidla rámcového rozhodnutí o ochraně údajů by se měla vztahovat alespoň na veškeré zpracování stanovené návrhem, aby bylo zaručeno soudržné používání zásad ochrany údajů.

68.

Evropský inspektor ochrany údajů poukazuje na skutečnost, že návrh neobsahuje konkrétní ustanovení týkající se povahy příjemců osobních údajů shromážděných leteckými společnostmi, ať už jde o zprostředkovatele, složky pro informace o cestujících, nebo o příslušné orgány. Je třeba vyzdvihnout, že povaha příjemce je v přímé souvislosti s typem záruk ochrany údajů vztahujících se k takovému příjemci. Již byl zmíněn rozdíl mezi zárukami poskytovanými zejména podle pravidel prvního a třetího pilíře. Je nezbytné, aby použitelný režim byl srozumitelný všem zapojeným aktérům, včetně vlád členských států, donucovacích orgánů, orgánů pro ochranu údajů, jakož i správcům údajů a dotčeným subjektům údajů.

69.

Návrh se vůbec nezaobírá povahou zprostředkovatelů (32). Úloha zprostředkovatelů jakožto správců či zpracovatelů rovněž není stanovena. S ohledem na dosavadní zkušenosti se zdá, že subjekt ze soukromého sektoru, ať už počítačový rezervační systém, nebo jiný subjekt, by mohl být pověřen úkolem shromažďovat údaje PNR přímo od leteckých společností a postupovat je složkám pro informace o cestujících. Tímto způsobem se údaje zpracovávají podle dohody o PNR s Kanadou. SITA (33) je společnost odpovědná za zpracování informací. Role zprostředkovatele je rozhodující, neboť by mohl být odpovědný za filtrování či přeformátování údajů předávaných leteckými společnostmi hromadně (34). I když jsou zprostředkovatelé povinni vymazat zpracované informace poté, co byly postoupeny složkám pro informace o cestujících, zpracování samo o sobě je vysoce citlivé, neboť důsledkem zapojení zprostředkovatelů je vytvoření další databáze obsahující velká množství údajů, podle návrhu dokonce i citlivých údajů. Z těchto důvodů evropský inspektor ochrany údajů doporučuje, aby do zpracování údajů o cestujících nebyli zapojeni žádní zprostředkovatelé, nebudou-li jejich povaha a jejich úkoly jednoznačně určeny.

70.

Složky pro informace o cestujících hrají rozhodující roli v identifikaci osob, jež jsou nebo mohou být přímo či nepřímo zapojeny do teroristické nebo organizované trestné činnosti. Podle návrhu budou odpovědné za vytvoření ukazatelů rizik a poskytování informací o cestovních modelech (35). Je-li hodnocení rizik založeno na standardizovaných cestovních modelech a nikoli na hmotných důkazech spojených s konkrétním případem, lze na analýzu pohlížet jako na formu pro-aktivního opatření. Evropský inspektor ochrany údajů zdůrazňuje, že tento druh zpracování je v právních předpisech členských států v zásadě přísně regulován (ne-li zakázán) a je svěřen zvláštních veřejných orgánů, jejichž činnost je rovněž přísně regulována.

71.

Složky pro informace o cestujících jsou tedy pověřeny velmi citlivým zpracováním informací, aniž by návrh uváděl podrobnosti ohledně jejich povahy a ohledně podmínek, za nichž mají tyto své pravomoci vykonávat. Ačkoli je pravděpodobné, že tento úkol bude provádět vládní subjekt, eventuálně orgán pověřený celními či hraničními kontrolami, návrh výslovně nebrání členským státům, aby jeho prováděním pověřily zpravodajské služby, nebo dokonce jakéhokoli zpracovatele. Evropský inspektor ochrany údajů zdůrazňuje, že transparentnost a záruky platné pro zpravodajské služby se ne vždy shodují s těmi, jež jsou platné pro tradiční donucovací orgány. Podrobnosti o povaze složek pro informace o cestujících mají rozhodující význam, neboť s sebou ponesou přímé následky pro použitelný právní rámec a podmínky dozoru. Evropský inspektor ochrany údajů se domnívá, že návrh musí obsahovat další ustanovení, které se specifiky složek pro informace o cestujících bude podrobně zaobírat.

72.

Z článku 4 návrhu vyplývá, že údaje může přijímat jakýkoli orgán odpovědný za předcházení teroristické a organizované trestné činnosti či za boj proti nim. Ačkoli je účel jasně definován, povaha tohoto orgánu není uvedena. V návrhu se nepředpokládá, že by příjemci byli omezeni na donucovací orgány.

Jak je uvedeno výše v případě složek pro zpracování informací o cestujících, je nezbytné, aby dotyčné citlivé informace byly zpracovávány v prostředí s jasným právním rámcem. Pro donucovací orgány tento požadavek platí ještě více než pro zpravodajské služby. S ohledem na prvky vytěžování dat a na pro-aktivní opatření, jež jsou v návrhu obsaženy, nelze vyloučit, že by takové zpravodajské služby, rovněž jako orgány jakéhokoli jiného druhu byly do zpracování údajů zapojeny.

73.

Z obecného hlediska evropský inspektor ochrany údajů poukazuje na to, že prosazování EU systému PNR je ještě obtížnější s ohledem na to, že donucovací orgány mohou mít různé pravomoci v závislosti na vnitrostátních právních předpisech členských států v oblastech zpravodajských služby, daňové a imigrační otázek či policie. To je však další důvod pro doporučení, aby byl návrh mnohem přesnější, pokud jde o povahu uvedených subjektů a o záruky kontrol provádění jejich úkolů. Do návrhu by měla být začleněna další ustanovení, jež by přesně stanovila pravomoci a právní povinnosti zprostředkovatelů, složek pro informace o cestujících a dalších příslušných orgánů.

74.

V návrhu jsou stanoveny určité záruky týkající se předávání údajů PNR do třetích zemí (36). Zejména se v něm výslovně počítá s tím, že ve věci předávání údajů bude použito rámcové rozhodnutí o ochraně údajů, a stanoví se zvláštní omezení účelu a potřeba souhlasu členského státu v případě dalšího předávání. Předávání by rovněž mělo být v souladu s vnitrostátními právními předpisy dotyčného členského státu a s jakoukoli použitelnou mezinárodní dohodou.

75.

Přetrvává však řada otázek, zejména ohledně povahy zmíněného souhlasu, podmínek použití rámcového rozhodnutí o ochraně údajů a ohledně otázky „vzájemnosti“ související s předáváním údajů třetím zemím.

76.

Členský stát původu musí vydat výslovný souhlas s dalším předáním údajů z jedné třetí země do jiné třetí země. V návrhu není stanoveno, kdo a za jakých podmínek tento souhlas vydává a zda do příslušného rozhodování budou zapojeny vnitrostátní orgány pro ochranu údajů. Evropský inspektor ochrany údajů zastává názor, že způsob vydání souhlasu by měl být přinejmenším v souladu s vnitrostátními právními předpisy uvádějícími podmínky pro předávání osobních údajů do třetích zemí.

77.

Kromě toho by souhlas členského státu neměl mít větší váhu než zásada, že přijímající země musí zajistit přiměřenou úroveň ochrany pro účely zamýšleného zpracování. Uvedené podmínky by měly být kumulativní, podobně jako tomu je v rámcovém rozhodnutí o ochraně údajů (článek 14). Proto evropský inspektor ochrany údajů navrhuje do čl. 8 odst. 1 přidat písmeno c) v následujícím znění „a c) třetí stát zajistí odpovídající úroveň ochrany pro zamýšlené zpracování údajů“. V této souvislosti evropský inspektor ochrany údajů připomíná, že je nutné zavést mechanismus zajišťující společné normy a koordinovaná rozhodnutí s ohledem na přiměřenost (37).

78.

Návrh odkazuje na podmínky a záruky obsažené v rámcovém rozhodnutí o ochraně údajů s tím, že některá ustanovení upřesňuje, a to zejména výše uvedenou podmínku souhlasu dotyčného členského státu, a omezení účelu zpracování na předcházení teroristickým trestným činům a organizované trestné činnosti a boj proti nim.

79.

Rámcové rozhodnutí o ochraně údajů samo o sobě stanoví podmínky pro předávání osobních údajů do třetích zemí, konkrétně s ohledem na omezení účelu, povahu příjemců, souhlas členského státu a zásadu přiměřenosti. Umožňuje však rovněž odchylky od těchto podmínek pro předávání údajů s tím, že oprávněné převažující zájmy, zejména důležité veřejné zájmy, mohou být dostačujícím důvodem pro předání i v případě, že výše uvedené podmínky nejsou splněny.

80.

Jak již bylo uvedeno v bodu III. tohoto stanoviska, podle názoru evropského inspektora ochrany údajů je třeba ve znění návrhu jasně stanovit, že přesnější záruky mají větší váhu než obecné podmínky – a výjimky – obsažené v rámcovém rozhodnutí o ochraně údajů v případech, kdy je toto rozhodnutí použitelné.

81.

Návrh se zabývá otázku možných „žádostí o protiopatření“ ze strany zemí, jež by mohly požádat EU o údaje PNR týkající se letů z EU na jejich území. Žádá-li EU o údaje z databází leteckých společností takovýchto třetích zemí, neboť provozují let do EU nebo z ní, mohla by dotyčná třetí země žádat od leteckých společností sídlících v EU totéž, včetně údajů o občanech EU. Ačkoli Komise tuto možnost považuje za „velmi nepravděpodobnou“, bere ji na vědomí. V této souvislosti odkazuje návrh na to, že dohody s USA a Kanadou počítají s tímto vzájemným přístupem, „který může být uplatněn automaticky“ (38). Evropský inspektor ochrany údajů se pozastavuje nad významem tohoto automatického vzájemného přístupu a nad použitím záruk v případě takových předávání údajů, zejména s ohledem na existenci odpovídající úrovně ochrany dotyčné země.

82.

Mělo by se rozlišovat mezi třetími zeměmi, které již s EU uzavřely dohodu, a zeměmi, jež takovou dohodu nemají.

83.

Evropský inspektor ochrany údajů poukazuje na to, že uvedený vzájemný přístup by mohl vést k tomu, že osobní údaje budou předávány do zemí, v nichž nelze poskytnout žádné demokratické záruky a odpovídající úroveň ochrany údajů.

84.

V posouzení dopadů je zdůrazněna další výhoda EU systému PNR, ve kterém jsou údaje filtrovány složkami pro informace o cestujících. Příslušným orgánům členských států a zřejmě i třetím zemím by měly předávány pouze vybrané údaje o podezřelých osobách (a nikoli hromadné údaje) (39). Evropský inspektor ochrany údajů doporučuje, aby byla tato otázka objasněna přímo v samotném návrhu, neboť jeho pouhá zmínka v posouzení dopadů nezbytnou ochranu neposkytuje.

85.

Výběr údajů by sice přispěl k minimalizaci dopadu na soukromí cestujících, avšak je třeba připomenout, že zásady ochrany údajů zahrnují rovněž zásady jako nezbytnost, transparentnost a výkon práv subjektu, jež je třeba všechny vzít v úvahu při rozhodování, zda třetí země poskytuje odpovídající úroveň ochrany.

86.

Z posouzení dopadů vyplývá, že v důsledku daného zpracování údajů bude EU schopna „trvat na jistých normách a zajistit v takových dvoustranných dohodách se třetími zeměmi konzistentnost. Rovněž tak bude zajištěna možnost žádat o vzájemný přístup třetí země, s nimiž má EU dohodu, což v současné době není možné“ (40).

87.

Z těchto úvah vyvstává otázka dopadu návrhu na stávající dohody s Kanadou a USA. Podmínky přístupu k údajům jsou v těchto dohodách mnohem širší, neboť údaje před předáním do těchto třetích zemí nepodléhají obdobnému výběru.

88.

V posouzení dopadů se uvádí, že „v případě, kdy má EU mezinárodní dohodu se třetí zemí ohledně výměny údajů PNR či jejich předávání do této třetí země, takovéto dohody se řádně zohlední. Letečtí dopravci by měli zaslat údaje PNR složkám pro informace o cestujících v souladu s běžnými postupy podle stávajícího opatření. Složka pro informace o cestujících, jež takové údaje obdrží, je předá příslušnému úřadu té třetí země, s níž existuje příslušná dohoda“ (41).

89.

Na jedné straně se tedy zdá, že návrh usiluje o předávání výhradně vybraných údajů jakémukoli příslušnému orgánu, ať už v rámci EU, nebo mimo ni, avšak na druhé straně se v posouzení dopadů, preambuli návrhu (bod odůvodnění 21) a samotném článku 11 připomíná, že stávající dohody by měly být řádně zohledněny. Z toho by bylo možno vyvodit, že filtrování může být platným opatřením pouze v případě dohod uzavřených v budoucnu. Z tohoto pohledu by se dalo předpokládat, že například pro orgány USA bude pravidlem hromadný přístup k údajům PNR, v souladu s ustanoveními dohody mezi EU a USA, avšak že současně a případ od případu by mohly být do USA předávány konkrétní údaje stanovené složkami pro informace o cestujících, které by obsahovaly nejen údaje týkající se letů do USA.

90.

Evropský inspektor ochrany údajů lituje, že návrh není v tomto rozhodujícím bodě dostatečně jasný. Přikládá zásadní význam tomu, aby podmínky pro předávání údajů PNR do třetích zemí byly soudržné a aby podléhaly ochraně na harmonizované úrovni. Kromě toho by z důvodu právní jistoty měla být upřesnění týkající se záruk předávání údajů uvedena přímo v návrhu a nikoli pouze v posouzení dopadů, jak je tomu nyní.

91.

Evropský inspektor ochrany údajů poukazuje na to, že návrh výslovně vylučuje, aby složky pro informace o cestujících a příslušné orgány členských států přijímaly donucovací opatření pouze na základě automatizovaného zpracování údajů jmenné evidence cestujících či na základě rasového nebo etnického původu osoby, jejího náboženského vyznání nebo filozofického přesvědčení, politických názorů nebo její sexuální orientace (42).

92.

Takovéto upřesnění je vítané, neboť omezuje riziko svévolných opatření vůči jednotlivým osobám. Evropský inspektor ochrany údajů však podotýká, že jeho rozsah je omezen na donucovací opatření ze strany složek pro informace o cestujících nebo ze strany příslušných orgánů. Jeho stávající znění nevylučuje automatizované filtrování osob podle standardních profilů ani nezabraňuje automatizovanému sestavování seznamů podezřelých osob a provádění opatření jako zvýšený dohled, nepovažují-li se tato opatření za donucovací.

93.

Evropský inspektor ochrany údajů se domnívá, že pojem donucovací opatření je příliš nejasný a že v zásadě by žádné rozhodnutí týkající se fyzických osob nemělo být učiněno pouze na základě automatického zpracování jejich údajů (43). Evropský inspektor ochrany údajů doporučuje znění odpovídajícím způsobem pozměnit.

94.

V čl. 5 odst. 2 návrh obsahuje důležité upřesnění, neboť objasňuje, že leteckým společnostem se neukládá žádná povinnost shromažďovat či uchovávat jiné údaje než ty, jež shromáždily za původním obchodním účelem.

95.

Několik aspektů zpracování těchto údajů si zasluhuje další připomínku:

Evropský inspektor ochrany údajů podporuje názory, jež v tomto ohledu uvedla ve svém stanovisku Pracovní skupina článku 29.

96.

Od leteckých dopravců se sídlem mimo EU se vyžaduje, aby údaje složkám pro informace o cestujících nebo zprostředkovatelům dodávali, pokud k tomu mají technické prostředky. Nemají-li tyto prostředky, budou muset povolit metodu dobývání údajů.

97.

Umožnění různých metod předávání údajů v závislosti na dotyčných leteckých dopravcích pouze způsobí další obtíže v oblasti kontroly dodržování pravidel pro předávání údajů PNR. Rovněž je tu riziko, že tím bude narušena hospodářská soutěž mezi leteckými společnostmi EU a ostatními leteckými společnostmi.

98.

Evropský inspektor ochrany údajů připomíná, že metoda dodávání, umožňující leteckým společnostem kontrolovat povahu předávaných údajů a okolnosti předávání, je s ohledem na proporcionalitu zpracování jedinou přípustnou metodou. Kromě toho musí spočívat v účinném dodávání, což znamená, že údaje by neměly být zprostředkovateli hromadně zaslány, nýbrž měly by být filtrovány již v první fázi zpracování. Není přípustné, aby údaje, jež nejsou nezbytné – a údaje, jež nejsou uvedeny v příloze 1 návrhu, – byly zaslány třetí straně, i kdyby je tato třetí strana měla okamžitě vymazat.

99.

Článek 9 návrhu stanoví pro uchovávání údajů PNR období 5 let, přičemž během dalšího období 8 let mají být údaje uloženy v nevyužívané databázi, jež bude přístupná za výjimečných okolností.

100.

Evropský inspektor ochrany údajů se pozastavuje nad rozdílem mezi těmito dvěma druhy databází: je sporné, zda nevyužívaná databáze bude skutečným archivem, s odlišnými způsoby uchovávání a vyhledávání údajů. Většina podmínek přístupu do nevyužívané databáze totiž spočívá v požadavcích na bezpečnost, jež jsou použitelné rovněž v případě „databáze s pětiletou lhůtou uchovávání“.

101.

Celková doba uchování – tedy 13 let – je v každém případě nepřiměřeně dlouhá. V posouzení dopadů je odůvodněna potřebou vyvíjet ukazatele rizik a zavést cestovní modely a modely chování (46), přičemž účinnost je v tomto směru třeba dále prokázat. Ačkoli je zřejmé, že pokud v konkrétním případě probíhá vyšetřování, lze údaje uchovávat tak dlouho, jak to je nezbytné, nelze žádným způsobem odůvodnit uchovávání údajů o všech cestujících bez jakéhokoli podezření po dobu 13 let.

102.

Evropský inspektor ochrany údajů dále poukazuje na to, že toto období uchovávání údajů nepodpořily členské státy ve svých odpovědích v dotazníku Komise, podle něhož by údaje měly být uchovávány v průměru po dobu 3,5 let (47).

103.

Kromě toho je období 13 let srovnatelné s obdobím uchovávání údajů v délce 15 let, jež je uvedeno v poslední dohodě se Spojenými státy. Evropský inspektor ochrany údajů měl vždy za to, že takto dlouhé období uchovávání údajů bylo dohodnuto pouze v důsledku značného tlaku americké vlády a nikoli proto, že by na něm v kterékoli fázi legislativního procesu trvala Rada nebo Komise. Neexistuje důvod převádět takovýto kompromis – jenž měl opodstatnění pouze jako nezbytný výsledek jednání – do právního nástroje v rámci samotné EU.

104.

Výbor členských států zřízený podle článku 14 návrhu bude mít pravomoci týkající se otázek zabezpečení včetně protokolů a kódování údajů PNR, ale i v oblasti pokynů pro společná obecná kritéria, metody a postupy vztahující se k posouzení rizik.

105.

Kromě těchto údajů návrh neobsahuje žádný prvek či kritérium týkající se konkrétních podmínek a rámce procesu posouzení rizik. V hodnocení dopadů se uvádí, že kritéria budou v konečné fázi záviset na informacích, jež bude mít k dispozici každý členský stát; ty se ovšem se neustále vyvíjejí. Posouzení rizika tedy bude probíhat za situace, v níž neexistují jednotná kritéria pro identifikaci podezřelých. S ohledem na tyto skutečnosti bude role Výboru členských států značně obtížná.

106.

Návrh podrobně rozebírá řadu bezpečnostních opatření (48), jež mají být přijata složkami pro informace o cestujících, zprostředkovateli a dalšími příslušnými orgány za účelem ochrany údajů. S ohledem na důležitost databáze a na citlivost zpracování se evropský inspektor ochrany údajů domnívá, že kromě těchto zamýšlených opatření by subjekt zpracovávající údaje měl být rovněž povinen úředně oznámit jakékoli narušení bezpečnosti.

107.

Evropskému inspektoru ochrany údajů je znám projekt, jímž se takovýto oznamovací postup zavádí v odvětví elektronických komunikací na evropské úrovni. Doporučuje, aby byla záruka tohoto druhu obsažena ve stávajícím návrhu, a odkazuje v tomto ohledu na systém proti narušení bezpečnosti zavedený ve Spojených státech u státních agentur (49). K narušení bezpečnosti může bezpochyby docházet v jakékoli oblasti činnosti, a to v soukromém i ve veřejném sektoru, jak se ukázalo při nedávné ztrátě celé databáze občanů britskou státní správou (50). Rozsáhlé databáze, jako databáze uvedená v návrhu, by měly být přednostně vybaveny výše zmíněnou zárukou.

108.

Evropský inspektor ochrany údajů bere na vědomí, že během tří let od vstupu rámcového rozhodnutí v platnost má dojít k přezkumu na základě zprávy vypracované Komisí. Oceňuje, že tento přezkum, založený na informacích poskytnutých členskými státy, bude věnovat zvláštní pozornost zárukám ochrany údajů a že se bude zabývat prováděním metody dodávání, uchováváním údajů a kvalitou hodnocení rizika. Tento přezkum by měl být komplexní a měl by zahrnovat výsledky analýzy statistických údajů získaných na základě zpracování informací PNR. Kromě prvků uvedených v článku 18 návrhu by tyto statistiky měly obsahovat podrobné statistické údaje o identifikaci vysoce rizikových osob, jako například kritéria takovéto identifikace a konkrétní výsledky jakýchkoli donucovacích opatření, jež byla na dané identifikaci založena.

109.

Evropský inspektor ochrany údajů již v tomto stanovisku zdůraznil, že chybí konkrétní argumenty osvětlující nezbytnost navrhovaného systému. Pokud by nicméně rámcové rozhodnutí vstoupilo v platnost, mělo by být přinejmenším doplněno ustanovením o skončení platnosti. Na konci tříletého období by rámcové rozhodnutí mělo být zrušeno, neobjeví-li se žádný prvek ospravedlňující jeho další platnost.

110.

V závěrečných ustanoveních návrhu je stanovena podmínka pro další používání již existujících dvoustranných či mnohostranných dohod či ujednání. Tyto nástroje mohou být použity pouze v případě, že jsou v souladu s cíli navrhovaného rámcového rozhodnutí.

111.

Evropský inspektor ochrany údajů se pozastavuje nad oblastí působnosti tohoto ustanovení. Jak bylo zmíněno již v bodu V. týkajícímu se Vzájemnosti, není zřejmé, jaký bude mít toto ustanovení dopad na obsah dohod se třetími zeměmi, například na dohodu s USA. Dále rovněž není zřejmé, zda by uvedené ustanovení mohlo mít dopad na použitelnost nástrojů s širší oblastí působnosti, jako je Úmluva Rady Evropy č. 108. To se sice může jevit jako nepravděpodobné s ohledem na rozdíly týkající se institucionálního kontextu a zapojených subjektů, avšak veškeré riziko chybné interpretace by mělo být vyloučeno a návrh by měl jasně stanovit, že nemá žádný dopad na nástroje s širší oblastí působnosti, a to zejména na nástroje, jejichž předmětem je ochrana základních práv.

112.

Evropský inspektor ochrany údajů zdůrazňuje, že stávající návrh má zásadní dopad v oblasti ochrany údajů. Svůj rozbor zaměřil na čtyři základní témata vznesená v návrhu a trvá na tom, že tyto otázky je třeba řešit. Za současných okolností návrh není v souladu se základními právy, zejména s článkem 8 Listiny základních práv Evropské unie, a neměl by být přijat.

113.

Pro případ, že by výše uvedené připomínky byly zohledněny, a to zejména připomínky týkající se oprávněnosti, obsahuje toto stanovisko několik návrhů příslušných ustanovení, a to zejména jeho body 67, 73, 77, 80, 90, 93, 106, 109 a 111.

114.

Zatímco samotný obecný účel boje proti terorismu a organizované trestné činnosti je jasný a oprávněný, hlavní rysy zamýšleného zpracovávání nejsou dostatečně vymezeny a ospravedlněny.

115.

Evropský inspektor ochrany údajů se domnívá, že je třeba důkladněji posoudit techniky spočívající ve vyhodnocování rizika, které představují jednotlivci, za použití nástrojů pro vytěžování dat a modelů chování, a že dříve, než budou tyto techniky použity v tak širokém měřítku, je zapotřebí jasně stanovit jejich užitečnost v rámci boje proti terorismu.

116.

Vycházet z různých databází bez celkové představy o konkrétních výsledcích a nedostatcích:

117.

Boj proti terorismu může být zajisté oprávněným důvodem pro uplatnění výjimek ze základního práv týkající se soukromí a ochrany údajů. Aby však byl tento zásah odůvodněný, je třeba, aby jeho nezbytnost byla podložena jasnými a nespornými argumenty a aby byla prokázána jeho proporcionalita. Toho všeho je ještě více zapotřebí v případě značného zásahu do soukromí jednotlivců, s nímž se v návrhu počítá.

118.

Lze pouze konstatovat, že takovéto argumenty v návrhu chybí a nezbytnost a proporcionalita navrhovaného opatření nebyla prokázáná.

119.

Evropský inspektor ochrany údajů trvá na tom, že nezbytnost a proporcionalita představují nezbytnou podmínku pro vstup tohoto návrhu v platnost

120.

Evropský inspektor ochrany údajů poukazuje na vážný nedostatek právní jistoty v souvislosti s právním režimem použitelným pro různé subjekty zapojené do projektu, a zejména pro letecké společnosti a další subjekty v rámci prvního pilíře: ať již jde o pravidla návrhu, pravidla rámcového rozhodnutí o ochraně údajů, či o vnitrostátní právní předpisy, jimiž je ve vnitrostátním právu provedena směrnice 95/46/ES. Normotvůrce by měl ujasnit, ve kterých fázích zpracování se použijí právě tato různá pravidla.

121.

Současná tendence nařizovat soukromým subjektům systematickou spolupráci pro účely vynucování práva nastoluje otázku, jaký právní rámec pro ochranu údajů (první, či třetí pilíř) se vztahuje na podmínky této spolupráce a zejména, zda by měl vycházet z povahy správce údajů (soukromý sektor), nebo ze sledovaného účelu (vynucování práva).

122.

Evropský inspektor ochrany údajů již zdůraznil riziko právní mezery mezi činnostmi v rámci prvního a třetího pilíře (51). Není skutečně zdaleka jasné, zda se na činnosti soukromých společností, jež mají určitým způsobem spojitost s vynucováním trestního práva, vztahují opatření přijatá podle článků 30, 31 a 34 Smlouvy o EU.

123.

Je třeba se vyhnout situaci, v níž by zpracování ze strany poskytovatelů služeb za různými účely podléhalo různým právním rámcům pro ochranu dat, zejména s ohledem na obtíže, jež by tím subjektům údajů vznikly při výkonu jejich práv.

124.

Návrh by měl obsahovat konkrétní ustanovení týkající se povahy příjemců osobních údajů shromážděných leteckými společnostmi, ať už jde o zprostředkovatele, složky pro informace o cestujících nebo o příslušné orgány.

125.

Povaha příjemce, jímž v některých případech může být subjekt ze soukromého sektoru, je v přímé souvislosti s typem záruk ochrany údajů vztahujících se k takovému příjemci. Je nezbytné, aby použitelný režim byl srozumitelný všem zapojeným subjektům, včetně normotvůrce, orgánů pro ochranu údajů, jakož i správcům údajů a dotčeným subjektům údajů.

126.

Evropský inspektor ochrany údajů zdůrazňuje, že je třeba zajistit, aby v přijímající zemi byla poskytnuta náležitá úroveň ochrany. Rovněž se pozastavuje nad významem zásady „vzájemnosti“ uvedené v návrhu a nad jejím použitím v případě zemí, jež jsou již vázány nějakou dohodou s EU, jako Kanada nebo USA. Přikládá zásadní význam tomu, aby podmínky předávání údajů PNR do třetích zemí byly soudržné a aby podléhaly ochraně na harmonizované úrovni.

127.

Evropský inspektor ochrany údajů upozorňuje normotvůrce na konkrétní aspekty návrhu, jež vyžadují přesnější zpracování a lepší zohlednění zásady ochrany údajů. Jedná se zejména o tyto aspekty:

128.

Evropský inspektor ochrany údajů poukazuje na skutečnost, že stávající návrh byl předložen v době, kdy institucionální kontext Evropské unie stojí před zásadní změnou. Důsledky Lisabonské smlouvy pro oblast rozhodování budou zásadní, zejména pokud jde o úlohu Parlamentu.

129.

S ohledem na nebývalý dopad daného návrhu na základní práva evropský inspektor ochrany údajů doporučuje, aby návrh nebyl přijat ve stávajícím smluvním rámci, nýbrž aby bylo zajištěno, že na ni bude uplatněn postup spolurozhodování stanovený v nové smlouvě. Tím by byly posíleny právní důvody, na jejichž základě by došlo k přijetí opatření stanovených návrhem.

1)

ochrany bezpečnosti státu, veřejné bezpečnosti, měnových zájmů státu či potlačení trestných činů;

2)

ochrany subjektu údajů či práv a svobod ostatních“.