6.9.2005   

DA

Den Europæiske Unions Tidende

C 218/6

1.

Den tilsynsførende glæder sig over at blive hørt på grundlag af artikel 28, stk. 2, i forordning (EF) nr. 45/2001. Dette bekræfter den tilsynsførendes synspunkt, som det fremgår af hans politikpapir af 18. marts 2005 (»Den Europæiske Tilsynsførende for Databeskyttelse som rådgiver for EF-institutionerne i forbindelse med lovgivningsforslag og dokumenter i den forbindelse«), at hans rådgivningsopgave også omfatter indgåelse af aftaler mellem EF og tredjelande og/eller internationale organisationer, når det drejer sig om behandling af personoplysninger.

2.

Under hensyn til den bindende karakter af artikel 28, stk. 2, i forordning (EF) nr. 45/2001 bør denne udtalelse nævnes i præamblen til Rådets afgørelse.

3.

Det fremgår af betragtningerne i den foreliggende aftale mellem Det Europæiske Fællesskab og Canada, at den tager hensyn til en kommissionsafgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46/EF, ifølge hvilken den relevante canadiske kompetente myndighed anses for at sikre et tilstrækkeligt beskyttelsesniveau for API/PNR-oplysninger (i det følgende benævnt »Kommissionens afgørelse«). Den tilsynsførende er af den opfattelse, at Kommissionens afgørelse også burde have været sendt til høring, da den er en del af den fælles lovpakke.

4.

Dette er det andet forslag i rækken efter aftalen af 17. maj 2004 (1) mellem Det Europæiske Fællesskab og USA, som Parlamentet bestrider lovligheden af i medfør af EF-traktatens artikel 230. I sin intervention for Domstolen støttede den tilsynsførende Parlamentets konklusioner, dvs. at aftalen skulle annulleres.

5.

Forslaget til aftale ligner meget aftalen med USA. Der henvises til en kommissionsafgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46/EF, formålet er at forbedre den offentlige sikkerhed, og luftfartsselskaberne er forpligtet til at overføre oplysninger til et tredjeland.

6.

Hvad angår substansen er der imidlertid vigtige forskelle, således som det er blevet bemærket i to udtalelser fra Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger (Artikel 29-Gruppen) (2). Den tilsynsførende fremhæver fire væsentlige forskelle, der spiller en rolle i hele denne udtalelse. For det første indeholder forslaget et push-system (og ikke et pull-system), hvilket betyder, at luftfartsselskaberne i EF kan kontrollere overførslen af oplysninger til de canadiske myndigheder. For det andet er de forpligtelser, som de canadiske myndigheder påtager sig, bindende (artikel 2, stk. 1, i aftalen), hvilket bidrager til et mere afbalanceret forslag sammenlignet med aftalen med USA. For det tredje er listen over de PNR-oplysninger, der skal overføres, mere begrænset og omfatter ikke »åbne kategorier« af passageroplysninger, der kan afsløre følsomme oplysninger. For det fjerde er aftalen baseret på en meget mere udviklet databeskyttelseslovgivning, der yder de registrerede beskyttelse, bl.a. tilsyn fra en uafhængig datatilsynsmyndighed. Den canadiske lovgivning yder imidlertid ikke EU-borgere fuld beskyttelse. De canadiske myndigheder har givet tilsagn om at prøve at finde en løsning for EU-borgerne.

7.

Ifølge direktiv 95/46/EF falder overførsel af oplysninger til et tredjeland ind under behandlingen af personoplysninger, der i direktivets artikel 2, litra b), defineres som »enhver operation eller række af operationer, som personoplysninger gøres til genstand for«. Dette betyder, at direktivets kapitel II (»Almindelige betingelser for lovlig behandling af personoplysninger«) gælder for sådanne overførsler. Formålet med direktivets artikel 25 er i den forbindelse at yde ekstra beskyttelse i tilfælde af overførsel til et tredjeland, eftersom oplysningerne ikke længere hører under en medlemsstats jurisdiktion fra det øjeblik, hvor overførslen finder sted.

8.

Forslaget til aftale med Canada set i sammenhæng med Kommissionens afgørelse forpligter luftfartsselskaberne til at overføre oplysninger til Canada. Det vil skulle klarlægges, om denne forpligtelse hindrer dem i at opfylde de forpligtelser, de pålægges ved den nationale lovgivning til gennemførelse af direktiv 95/46/EF, særlig kapitel II, og om den derved får indflydelse på direktivets effektivitet.

9.

Ifølge forslagets artikel 5 skal europæiske luftfartsselskaber behandle de API/PNR-oplysninger, der opbevares i deres automatiske reservationssystemer og afgangskontrolsystemer, på den måde, der kræves af de kompetente canadiske myndigheder i overensstemmelse med den canadiske lovgivning. Der står ikke noget i forslaget om, at fællesskabslovgivningen og nærmere bestemt reglerne om behandling af personoplysninger i kapitel II i direktiv 95/46/EF finder anvendelse. I mangel af en sådan bestemmelse kan luftfartsselskaberne være forpligtet til at behandle oplysninger, også selv om dette ikke er i fuld overensstemmelse med kapitel II i direktiv 95/46/EF. De er kun forpligtet til at handle i overensstemmelse med substansbestemmelserne i canadisk lovgivning.

10.

Selv om der — som nævnt ovenfor og som udbygget nedenfor — findes en veludviklet databeskyttelseslovgivning i Canada, og der ikke er den mindste grund til at tro, at den canadiske databeskyttelseslovgivning vil være til alvorlig skade for EF-registreredes interesser, er der på den anden side heller ingen grund til at formode, at den canadiske lovgivning til fulde overholder alle bestemmelserne i kapitel II i direktiv 95/46/EF. En sådan formodning kan ikke udledes af aftalen og heller ikke af begrundelsen. Det taler også imod denne formodning, at de canadiske myndigheder ikke er bundet af EF-Domstolens eventuelle (fremtidige) fortolkning af direktivet, og det kan heller ikke sikres, at senere ændringer i canadisk lovgivning (eller canadiske retters nyfortolkninger) er i overensstemmelse med EF-lovgivningen.

11.

På grundlag af denne analyse konkluderer den tilsynsførende, at aftalen medfører en ændring af direktiv 95/46/EF. Af denne grund — og uafhængigt af, om de registreredes interesser skades i væsentligt omfang — bør der i overensstemmelse med EF-traktatens artikel 300, stk. 3, indhentes samstemmende udtalelse fra Europa-Parlamentet.

12.

Det bemærkes i den forbindelse, at den tilsynsførende generelt finder, at institutionelle spørgsmål falder uden for hans ansvarsområde. I det foreliggende tilfælde tager den tilsynsførende imidlertid stilling til et institutionelt spørgsmål, eftersom tilsidesættelse af Parlamentets prærogativer fører til en ændring af direktivet og derved får konsekvenser for databeskyttelsesniveauet på EF's område.

13.

Alternativet ville være at ændre aftalen, så det sikres, at europæiske luftfartsselskabers behandling af API/PNR-oplysninger overholder direktiv 95/46/EF. Hvis der tilføjes en sådan bestemmelse, vil aftalen ikke længere føre til en ændring af direktivet.

14.

Uanset procedurekravene i forbindelse med forslagets vedtagelse har den tilsynsførende undersøgt, om den foreslåede aftale i substansen yder de registrerede tilstrækkelig beskyttelse og især beskytter deres grundlæggende rettigheder som omhandlet i EU-traktatens artikel 6.

15.

Den tilsynsførende bemærker, at der er store forskelle mellem forslaget og aftalen med USA (jf. punkt 6 ovenfor). Manglerne ved USA-aftalen gør sig således ikke gældende i forbindelse med det foreliggende forslag på tre væsentlige punkter, i det mindste ikke i samme grad.

16.

Den tilsynsførende bemærker endvidere, at Artikel 29-Gruppen i sin udtalelse af 19. januar 2005 godkendte hovedelementerne i forslaget til Kommissionens afgørelse om, at Det Canadiske Grænseagentur (CBSA) sikrer et tilstrækkeligt beskyttelsesniveau. CBSA's forpligtelser (jf. bilaget til Kommissionens afgørelse) spiller en vigtig rolle for evalueringen. Den tilsynsførende tilslutter sig Artikel 29-Gruppens resultater og tager også hensyn til, at Canadas uafhængige datatilsynsmyndighed godkender begrænsningerne i adgangen til API/PNR-oplysninger, dvs. at de kun er til brug for myndighederne og til retshåndhævelsesformål (3).

17.

Det er meget vigtigt for den tilsynsførende, at det push-system, der vil komme til at gælde i forbindelse med API/PNR-oplysningerne, giver de europæiske luftfartsselskaber mulighed for at kontrollere behandlingen og overførslen af oplysninger. Disse aktiviteter falder således inden for medlemsstaternes jurisdiktion, og EF-lovgivningen finder anvendelse.

18.

Det er ligeså vigtigt, at det i artikel 2 i forslaget udtrykkeligt hedder, at parterne i aftalen er blevet enige om, at API/PNR-oplysninger vil blive behandlet som fastsat i forpligtelserne. Dermed bliver forpligtelserne i bilaget til Kommissionens afgørelse bindende.

19.

Endelig fremhæver den tilsynsførende betydningen af, at der nedsættes et blandet udvalg, der bl.a. skal tilrettelægge fælles undersøgelser. Det giver mulighed for at overvåge gennemførelsen af de juridiske instrumenter. Dette er så meget vigtigere, som de juridiske instrumenter er nye, og der mangler erfaringer med gennemførelsen af denne type juridiske instrumenter.

20.

På den baggrund og i lyset af den analyse, der er omtalt i punkt 4.2. i det i punkt 1 nævnte politikpapir, godkender den tilsynsførende hovedelementerne i forslaget og ønsker blot at kommentere nogle specifikke punkter, især:

21.

Bilag II til forslaget indeholder ingen følsomme oplysninger som omhandlet i artikel 8 i direktiv 95/46/EF og heller ingen »åbne kategorier« af passageroplysninger, der, alt efter hvordan disse kategorier udfyldes på en formular, kan afsløre sådanne følsomme oplysninger (f.eks. oplysninger om kost, der kan afsløre religion eller medicinske data).

22.

Listen over PNR-dataelementer, som skal indhentes (bilag II til forslaget), omfatter oplysninger, der kan være relevante for beskyttelsen af passagerernes grundlæggende rettigheder, især privatlivets fred. Den tilsynsførende nævner i den forbindelse kategori 10 (frequent flyer-oplysninger), der kan afsløre oplysninger om passagerernes adfærd (selv om ikke alle frequent flyer-oplysninger er omfattet), og kategori 23 (eventuelle indsamlede APIS-oplysninger (Advance Passenger Information System)), der ikke blot indeholder navn, men også andre pasoplysninger.

23.

Den tilsynsførende er ikke overbevist om, at det er nødvendigt og står i et rimeligt forhold til målet at medtage disse kategorier. Han foreslår, at man endnu en gang overvejer behovet for at tage disse kategorier med i bilaget til aftalen. Den omstændighed, at disse kategorier er med på listen over oplysninger, er imidlertid ikke i sig selv alvorlig nok til at kræve genforhandling af aftalen og bør efter den tilsynsførendes opfattelse ikke føre til, at den annulleres.

24.

Som vi tidligere har set det i forbindelse med juridiske instrumenter, der kræver behandling af personoplysninger med henblik på bekæmpelse af terrorisme, har lovgiveren ikke begrænset formålet med behandlingen til terrorisme som sådan, men tillige tilladt behandling med henblik på bekæmpelse af anden grov kriminalitet eller i nogle tilfælde endog med henblik på retshåndhævelse i almindelighed.

25.

Forslaget nævner bekæmpelse af anden grov grænseoverskridende kriminalitet, herunder organiseret kriminalitet. Ifølge CBSA's forpligtelser (punkt 12) kan oplysningerne kun videregives til andre offentlige myndigheder i Canada til samme formål. Oplysningerne vil kun blive videregivet til et tredjelands myndigheder til disse formål, og kun hvis det konstateres, at det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, jf. artikel 25 i direktiv 95/46/EF. Denne formålsbegrænsning er ikke i sig selv i modstrid med direktivets bestemmelser eller de principper, det bygger på.

26.

Aftalen indeholder udtrykkelige bestemmelser, der tager sigte på at beskytte de registreredes interesser. Den tilsynsførende fremhæver udtrykkeligt aftalens artikel 3 om adgang, rettelse og notat. Ifølge denne bestemmelse har dataregistrerede, der opholder sig på EU's område, samme rettigheder til adgang, rettelse og notat som personer, der opholder sig i Canada.

27.

Disse rettigheder yder ikke i sig selv de registrerede den nødvendige beskyttelse. Det skal sikres, at rettighederne kan udøves i praksis.

28.

Disse rettigheders rækkevidde og substans fastsættes ved canadisk lovgivning. For at yde europæiske registrerede den nødvendige beskyttelse skal den relevante lovgivning være tilgængelig for de pågældende registrerede, og dens virkning for dem skal også være forudsigelig. For at opfylde denne forpligtelse har Artikel 29-Gruppen foreslået, at det relevante canadiske lovgrundlag indsættes som bilag til Kommissionens afgørelse.

29.

Dette forslag er ikke blevet fulgt, men Kommissionens afgørelse og CBSA's forpligtelser forklarer det relevante lovgrundlag. De relevante dele af forpligtelserne giver flypassagererne mulighed for at gøre sig bekendt med deres rettigheder.

30.

Den tilsynsførende bemærker, at det ikke blot er vigtigt, at flypassagerer, der opholder sig i EF, har adgang til teksten til de juridiske instrumenter, det er ligeså vigtigt, at de har effektiv adgang til retsmidler.

31.

Den tilsynsførende godkender i den forbindelse proceduren i punkt 31 i forpligtelserne. Ifølge denne procedure kan den canadiske tilsynsmyndighed for privatlivets fred behandle klager, som medlemsstaternes databeskyttelsesmyndigheder henviser til den på vegne af personer, der opholder sig i EU. Den tilsynsførende er af den opfattelse, at en sådan procedure i praksis nok vil være endnu mere effektiv end at give personer, opholder sig i Europa, en formel direkte adgang (jus standi) til de canadiske retter.

32.

Den tilsynsførende konkluderer følgende: