9.2.2012   

DA

Den Europæiske Unions Tidende

C 35/16

1.

Den 28. november 2011 vedtog Kommissionen et forslag til Rådets afgørelse om undertegnelse af en aftale mellem Amerikas Forenede Stater og Den Europæiske Union om anvendelse og overførsel af passagerlisteoplysninger (PNR) til United States Department of Homeland Security (3) (i det følgende benævnt »aftalen«).

2.

Den 9. november 2011 blev den tilsynsførende hørt uformelt om udkastet til forslag efter en hurtig procedure. Den 11. november 2011 fremsatte han en række bemærkninger. Formålet med denne udtalelse er at supplere disse bemærkninger på baggrund af det foreliggende forslag og gøre hans holdninger offentligt tilgængelige. Denne udtalelse er desuden baseret på en række tidligere indgreb fra den tilsynsførende og Artikel 29-Gruppen i forbindelse med PNR.

3.

Aftalen har til formål at skabe et solidt retsgrundlag for overførslen af PNR-oplysninger fra EU til USA. Overførslen er for øjeblikket baseret på aftalen fra 2007 (4), fordi Parlamentet har besluttet at udskyde sin afstemning, indtil der er fundet en løsning på dets databeskyttelsesmæssige bekymringer. Parlamentet henviste i sin beslutning af 5. maj 2010 (5) navnlig til følgende krav:

4.

Denne aftale skal betragtes på baggrund af den globale tilgang til PNR, som omfatter forhandlinger med andre tredjelande (dvs. Australien (8) og Canada (9)), og et forslag til en PNR-ordning på EU-plan (10). Den henhører også under de igangværende forhandlinger om en aftale mellem EU og USA om udveksling af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde (11). I en bredere sammenhæng er aftalen blevet bekræftet få uger før den forventede vedtagelse af forslagene om revision af de generelle rammer for databeskyttelse (12).

5.

Den tilsynsførende bifalder den globale tilgang, som sigter mod at skabe en sammenhængende retlig ramme for PNR-aftaler i overensstemmelse med EU's retlige krav. Han beklager imidlertid, at det på grund af tidspunktet ikke er praktisk muligt at sikre ensartethed mellem disse aftaler og de nye EU-regler om databeskyttelse. Han vil også gerne gøre opmærksom på, at den generelle aftale mellem EU og USA om dataudveksling skal gælde for PNR-aftalen mellem EU og USA.

6.

I henhold til EU's charter om grundlæggende rettigheder skal enhver begrænsning af grundlæggende rettigheder og frihedsrettigheder være nødvendige, rimelige og reguleret ved lov. Som den tilsynsførende (13) og Artikel 29-Gruppen (14) gentagne gange har slået fast, er nødvendigheden og rimeligheden af PNR-ordningerne og af masseoverførslerne af PNR-oplysninger til tredjelande indtil videre ikke blevet påvist. Det Europæiske Økonomiske og Sociale Udvalg og Agenturet for Grundlæggende Rettigheder er også enige i dette (15). De specifikke bemærkninger nedenfor berøres ikke af denne indledende og grundlæggende bemærkning.

7.

Selv om denne aftale indeholder nogle forbedringer sammenlignet med aftalen fra 2007 og indeholder tilstrækkelige sikkerhedsforanstaltninger med hensyn til datasikkerhed og kontrol, lader det til, at der hverken er taget højde for nogen af de primære bekymringer, som der er givet udtryk for i ovennævnte udtalelser, eller for Europa-Parlamentets betingelser for samtykke (16).

8.

I artikel 4, stk. 1, fastsættes det, at De Forenede Stater behandler PNR-oplysninger med henblik på at forebygge, afsløre, efterforske og retsforfølge a) terrorhandlinger og hermed forbundet kriminalitet og b) forbrydelser, for hvilke der kan idømmes frihedsstraf på tre år eller derover, og som er af grænseoverskridende karakter. Nogle af disse begreber defineres yderligere.

9.

Selv om disse definitioner er mere præcise end i aftalen fra 2007, er der stadig nogle upræcise begreber og undtagelser, som kan tilsidesætte formålsbegrænsningen og underminere retssikkerheden. Især gør følgende sig gældende:

10.

Bilag I til aftalen indeholder 19 typer af oplysninger, som vil blive sendt til USA. De fleste af disse omfatter også forskellige kategorier af oplysninger og er identiske med de dataområder i aftalen fra 2007, som den tilsynsførende og Artikel 29-Gruppen anså for uforholdsmæssige (18).

11.

Dette gælder navnlig for området »Generelle bemærkninger, herunder OSI- (19), SSI- (20) og SSR- (21) oplysninger«, som kan indeholde oplysninger om religiøse overbevisninger (f.eks. madønsker) eller om helbred (f.eks. anmodning om en kørestol). Disse følsomme oplysninger bør udtrykkeligt holdes uden for listen.

12.

I forbindelse med vurderingen af listens proportionalitet bør der ligeledes tages hensyn til, at disse kategorier på grund af avanceret overførsel (artikel 15, stk. 3, i aftalen) ikke blot refererer til faktiske passagerer, men også til de personer, som i sidste ende ikke gennemfører flyvningen (f.eks. på grund af aflysninger).

13.

Derudover kan forekomsten af åbne dataområder underminere retssikkerheden. Kategorier såsom »alle disponible kontaktoplysninger«, »fuldstændige bagageoplysninger« og »generelle bemærkninger« bør defineres bedre.

14.

Derfor skal listen indsnævres. I overensstemmelse med Artikel 29-Gruppens udtalelse (22) mener vi, at dataene bør begrænses til følgende oplysninger: PNR-registrets lokaliseringskode, reservationsdato, planlagt(e) rejsedato(er), passagernavn, andre navne i PNR, hele rejseruten, identifikatorer for gratis billetter, enkeltbilletter, billetoplysninger, ATFQ-oplysninger (Automatic Ticket Fare Quote), billetnummer, billettens udstedelsesdato, oplysninger om passagerer, der tidligere ikke har tjekket ind (no show), antal bagage, bagageseddelnumre, oplysninger om passagerer, der tidligere har tjekket ind i sidste øjeblik uden reservation (go show), antal bagage i hvert segment, frivillig/ufrivillig opgradering og tidligere ændringer af PNR-oplysninger med hensyn til ovennævnte elementer.

15.

Ifølge artikel 6 i aftalen filtrerer og »maskerer« DHS automatisk følsomme oplysninger. Følsomme oplysninger lagres dog i mindst 30 dage og kan anvendes i særlige tilfælde (artikel 6, stk. 4). Den tilsynsførende vil gerne understrege, at disse oplysninger, selv efter at de er blevet »maskeret«, stadig er »følsomme« og vedrører identificerbare fysiske personer.

16.

Som den tilsynsførende allerede har anført, bør DHS ikke behandle følsomme oplysninger vedrørende EU-borgere, heller ikke selv om oplysningerne er »maskeret« ved modtagelsen. Den tilsynsførende anbefaler, at det angives i teksten til aftalen, at luftfartsselskaber ikke bør overføre følsomme oplysninger til DHS.

17.

Ifølge artikel 8 lagres PNR-oplysningerne i op til fem år i en aktiv database, hvorefter de overføres til en inaktiv database og lagres i op til 10 år. Denne maksimale lagringsperiode på 15 år er tydeligvis uforholdsmæssig, uanset om oplysningerne lagres i »aktive« eller »inaktive« databaser, hvilket den tilsynsførende og Artikel 29-Gruppen allerede har fremhævet.

18.

Ifølge artikel 8, stk. 1, »anonymiseres og maskeres« oplysningerne seks måneder efter, at DHS har modtaget dem. Både »maskerede« oplysninger og oplysninger lagret i en »inaktiv database« er dog personoplysninger, så længe de ikke er anonymiseret. Oplysningerne bør derfor anonymiseres (uigenkaldeligt) eller slettes umiddelbart efter analysen eller efter højst seks måneder.

19.

Den tilsynsførende hilser artikel 15, stk. 1, velkommen, hvori det er fastsat, at oplysninger overføres ved at anvende »push-metoden«. Ifølge artikel 15, stk. 5, skal luftfartsselskaber dog »give adgang« til PNR-oplysninger i særlige tilfælde. Med henblik på definitivt at udelukke anvendelsen af »pull-systemet« og på baggrund af de bekymringer, som Artikel 29-Gruppen endnu en gang har givet udtryk for (23), anbefaler vi på det kraftigste, at aftalen udtrykkeligt udelukker muligheden for, at embedsmænd fra USA kan opnå særskilt adgang til oplysningerne via et »pull-system«.

20.

Antallet og regelmæssigheden af overførsler fra luftfartsselskaber til DHS bør fastlægges i aftalen. For at styrke retssikkerheden bør betingelserne for tilladelse til yderligere overførsler også præciseres.

21.

Den tilsynsførende bifalder artikel 5 i aftalen vedrørende datasikkerhed og -integritet og især forpligtelsen til at underrette de berørte personer om brud på privatlivets fred. Følgende elementer i en sådan meddelelse om brud på datasikkerheden bør dog præciseres:

22.

Den tilsynsførende støtter forpligtelsen til at registrere eller dokumentere enhver adgang til PNR-oplysninger samt behandlingen heraf, da det vil gøre det muligt at kontrollere, om DHS har gjort passende brug af PNR-oplysningerne, og om der har været uautoriseret adgang til systemet.

23.

Den tilsynsførende bifalder, at overholdelsen af sikkerhedsforanstaltningerne vedrørende privatlivets fred i aftalen skal være underlagt uafhængig revision og tilsyn ved databeskyttelsesansvarlige i ministerier som f.eks. den øverste databeskyttelsesansvarlige (Chief Privacy Officer) under DHS, som anført i artikel 14, stk. 1. For at sikre effektiv udøvelse af registreredes rettigheder bør den tilsynsførende og de nationale databeskyttelsesmyndigheder dog arbejde sammen med DHS om procedurerne og betingelserne for udøvelsen af disse rettigheder (24). Den tilsynsførende ville bifalde en henvisning til dette samarbejde i aftalen.

24.

Den tilsynsførende støtter i høj grad retten til oprejsning »uanset nationalitet, oprindelsesland eller bopælssted«, som fastlagt i artikel 14, stk. 1, andet afsnit. Han beklager imidlertid, at det af artikel 21 udtrykkeligt fremgår, at aftalen »ikke i henhold til amerikansk lovgivning [giver] nogen rettigheder eller fordele til […] personer«. Selv hvis der gives ret til »retlig prøvelse« i USA i medfør af aftalen, kan denne ret ikke sidestilles med retten til effektiv domstolsprøvelse i EU, navnlig i lyset af begrænsningen i artikel 21.

25.

Ifølge artikel 16 i aftalen er det forbudt at overføre oplysninger til indenlandske myndigheder, der ikke træffer sikkerhedsforanstaltninger, som »svarer til eller kan sammenlignes« med dem, der er fastsat i denne aftale. Den tilsynsførende bifalder denne bestemmelse. Listen over myndigheder, der kan modtage PNR-oplysninger, bør dog specificeres nærmere. Hvad angår internationale overførsler, må de ifølge aftalen kun finde sted, hvis modtageren har til hensigt at anvende oplysningerne til formål, som er forenelige med denne aftale, og giver garantier for privatlivets fred »svarende til« dem, der er fastsat i aftalen, dog ikke i krisesituationer.

26.

Med hensyn til ordlyden »svarer til« eller »kan sammenlignes« i aftalen vil den tilsynsførende gerne understrege, at DHS ikke bør foretage indenlandske eller internationale videreoverførsler, medmindre modtageren giver garantier for sikkerhedsforanstaltninger, der er mindst lige så strenge som dem, der er fastsat i denne aftale. Det bør i aftalen ligeledes præciseres, at der overføres PNR-oplysninger fra sag til sag, hvorved det sikres, at kun de nødvendige oplysninger overføres til de relevante modtagere, og der bør ikke gives mulighed for dispensation. Derudover anbefaler den tilsynsførende, at der forinden overførsler af oplysninger til tredjelande gives domstolstilladelse hertil.

27.

Hvis oplysninger om en person med ophold i en EU-medlemsstat er blevet overført til et tredjeland, skal de kompetente myndigheder i den berørte medlemsstat underrettes, såfremt DHS er bekendt med denne situation (jf. artikel 17, stk. 4). Denne bestemmelse bør slettes, da DHS altid bør være bekendt med videreoverførsler til tredjelande.

28.

Det står ikke klart, hvilken retlig form USA har valgt for indgåelsen af denne aftale, og hvordan denne aftale bliver retligt bindende i USA. Dette bør afklares.

29.

Artikel 20, stk. 2, vedrører overensstemmelse med den mulige EU-PNR-ordning. Den tilsynsførende bemærker, at der under høringer vedrørende tilpasninger af denne aftale især bør ses nærmere på, »om der i et fremtidigt EU-PNR-system vil blive anvendt mindre strenge databeskyttelsesstandarder end dem, der er fastsat i denne aftale«. For at sikre overensstemmelse bør alle tilpasninger også (og navnlig) tage hensyn til strengere beskyttelsesstandarder i en fremtidig PNR-ordning.

30.

Aftalen bør endvidere revideres på baggrund af den nye databeskyttelsesramme og den eventuelle indgåelse af en generel aftale mellem EU og USA om udveksling af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde. Der kunne tilføjes en ny bestemmelse til artikel 20, stk. 2, hvori det hed: »Hvis og når en ny retlig ramme for databeskyttelse vedtages i EU, eller der indgås en ny aftale om udveksling af oplysninger mellem EU og USA, skal parterne konsultere hinanden for at afgøre, om der er behov for at tilpasse aftalen. Der bør under sådanne konsultationer især ses nærmere på, om der i en fremtidig ændring af EU's retlige ramme for databeskyttelse eller en fremtidig aftale mellem EU og USA om databeskyttelse vil blive anvendt strengere databeskyttelsesstandarder end dem, der er fastsat i denne aftale«.

31.

Hvad angår revisionen af aftalen (artikel 23), mener den tilsynsførende, at nationale databeskyttelsesmyndigheder eksplicit skal være en del af revisionsholdet. Revisionen bør også fokusere på en vurdering af nødvendigheden og proportionaliteten af foranstaltningerne og på effektiv udøvelse af registreredes rettigheder, og den bør omfatte en kontrol af den måde, hvorpå registreredes anmodninger behandles i praksis, især når der ikke er givet tilladelse til direkte adgang. Revisionsfrekvensen skal angives.

32.

Den tilsynsførende bifalder sikkerhedsforanstaltningerne med hensyn til datasikkerhed og kontrol i henhold til aftalen og forbedringerne i forhold til aftalen fra 2007. Mange spørgsmål står imidlertid stadig ubesvarede hen, særlig med hensyn til sammenhæng i den globale tilgang til PNR, formålsbegrænsning, kategorier af oplysninger, der skal overføres til DHS, behandling af følsomme oplysninger, lagringsperiode, undtagelser til »push-metoden«, registreredes rettigheder og videreoverførsler.

33.

Disse bemærkninger berører ikke kravene om nødvendighed og proportionalitet for alle legitime PNR-ordninger og -aftaler, som tegner sig for størstedelen af overførslerne af PNR-oplysninger fra EU til tredjelande. Som Europa-Parlamentet understregede i sin beslutning af 5. maj, er »nødvendighed og proportionalitet […] centrale principper, uden hvilke kampen mod terrorisme aldrig vil blive effektiv«.