BILAG
FORHANDLINGSDIREKTIVER FOR EN RAMMEAFTALE MELLEM
Den Europæiske Union og Amerikas Forenede Stater om udveksling af oplysninger med henblik på sikkerhedsscreening og identitetskontrol i forbindelse med grænseprocedurer og visumansøgninger
Under forhandlingerne bør Kommissionen sigte mod de målsætninger, der er nærmere fastsat nedenfor.
I. RAMMEAFTALENS FORMÅL OG ANVENDELSESOMRÅDE
1.Formålet med rammeaftalen er at skabe en retlig struktur for medlemsstaternes bilaterale informationsudveksling mellem deres kompetente myndigheder og de kompetente myndigheder i Amerikas Forenede Stater (USA) i forbindelse med det amerikanske Enhanced Border Security Partnership (EBSP).
2.Rammeaftalen bør indeholde klare og præcise regler om udveksling af oplysninger mellem medlemsstaterne og USA om rejsende, der passerer deres respektive ydre grænser, for at støtte den screening og identitetskontrol af rejsende, der er nødvendig for at fastslå, om deres indrejse eller ophold vil udgøre en risiko for den offentlige sikkerhed eller den offentlige orden, samt for at støtte de kompetente myndigheder i forbindelse med forebyggelse, afsløring, efterforskning og retsforfølgning af forbrydelser og terrorhandlinger.
3.Formålet med rammeaftalen er at tilvejebringe retsgrundlaget og betingelserne for overførsel og udveksling af personoplysninger mellem de kompetente myndigheder i medlemsstaterne og i USA. Rammeaftalen bør navnlig indeholde klare og præcise regler og procedurer for at igangsætte en forespørgsel om en rejsende for at udelukke systematisk, generel og ikke-målrettet behandling af oplysninger om alle rejsende.
4.Rammeaftalen bør indeholde definitioner af nøglebegreber, navnlig en definition af personoplysninger.
5.Udvekslingen af oplysninger i henhold til denne rammeaftale bør være styret af princippet om gensidighed.
6.Udvekslingen af oplysninger i henhold til rammeaftalen bør baseres på udveksling af identitetsoplysninger, der er indeholdt i rejsedokumentet, samt den rejsendes fingeraftryk. Hvis det er relevant og i henhold til passende sikkerhedsforanstaltninger, bør parterne også kunne udveksle supplerende oplysninger, der er relevante med hensyn til den pågældende person.
7.Udvekslingen af oplysninger i henhold til rammeaftalen bør omfatte tredjelandsstatsborgere i forbindelse med passage af medlemsstaternes og USA's ydre grænser samt i forbindelse med forebyggelse, afsløring, efterforskning og retsforfølgning af forbrydelser og terrorhandlinger.
8.Udvekslingen af oplysninger kan omfatte udveksling af oplysninger om borgere og deres familiemedlemmer samt fastboende, i tilfælde hvor en sådan udveksling af oplysninger er strengt nødvendig og forholdsmæssig med henblik på forebyggelse, afsløring, efterforskning og retsforfølgning af forbrydelser og terrorhandlinger, og i det omfang en sådan udveksling af oplysninger er gensidig.
II. RAMMEAFTALENS INDHOLD
SÆRLIGE FORHOLD
9.Rammeaftalen bør fastsætte definitioner af centrale begreber, herunder en definition af personoplysninger, der er i overensstemmelse med definitionerne i forordning (EU) 2016/679 og 2018/1725, og i direktiv (EU) 2016/680;
10.Rammeaftalen bør identificere de typer databaser og de(n) type(r) af data, der er omfattet af dens anvendelsesområde, og som vil være genstand for adgang i forbindelse med EBSP.
11.Rammeaftalen bør klart og præcist beskrive de garantier og beskyttelsesforanstaltninger, der er nødvendige med hensyn til beskyttelse af personoplysninger samt fysiske personers grundlæggende rettigheder og friheder, uanset deres nationalitet og bopæl, i forbindelse med udveksling af personoplysninger med USA inden for rammerne af EBSP. Følgende finder navnlig anvendelse:
a)Formålene med behandlingen af personoplysninger i forbindelse med rammeaftalen bør præciseres klart og præcist af parterne. Enhver behandling af personoplysninger bør begrænses til, hvad der er nødvendigt og forholdsmæssigt i det enkelte tilfælde for at identificere risici for den offentlige sikkerhed eller den offentlige orden og bidrage til forebyggelse, afsløring, efterforskning og retsforfølgning af strafbare handlinger og terrorhandlinger.
b)Personoplysninger, der overføres til USA af medlemsstaterne, bør behandles retfærdigt, på et legitimt grundlag og kun til de formål, hvortil de er blevet overført. Yderligere behandling af oplysninger, der er uforenelig med det oprindelige formål, bør forbydes (formålsbegrænsning). Rammeaftalen skal ledsages af et bilag, som indeholder en udtømmende liste over de kompetente myndigheder i USA, som medlemsstaterne kan videregive personoplysninger til, og en kort beskrivelse af deres kompetencer.
c)De personoplysninger, der videregives, skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til det formål, hvortil de er videregivet. De skal være nøjagtige og ajour. De bør ikke opbevares længere, end det er nødvendigt af hensyn til det formål, hvortil de er blevet overført, men rammeaftalen bør under alle omstændigheder fastsætte regler om opbevaring, herunder begrænsning af opbevaring, gennemgang, berigtigelse og sletning af personoplysninger. Rammeaftalen bør navnlig begrænse opbevaringen af rejsendes personoplysninger efter deres udrejse fra jurisdiktionen til kun at omfatte rejsende, om hvem der foreligger objektive beviser, hvoraf det kan udledes, at der fortsat er en risiko for den offentlige sikkerhed eller den offentlige orden, og at der er behov for at opbevare oplysninger for at bidrage til forebyggelse, afsløring, efterforskning og retsforfølgning af forbrydelser og terrorhandlinger.
d)I rammeaftalen skal de kriterier, på grundlag af hvilke en kildes pålidelighed og oplysningernes nøjagtighed skal angives, specificeres.
e)Det er kun tilladt at videregive personoplysninger om racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data og biometriske oplysninger til identificering af en fysisk person og oplysninger om en persons helbred og seksualliv eller seksuelle orientering, når det er nødvendigt og forholdsmæssigt i det enkelte tilfælde for at forebygge eller bekæmpe strafbare handlinger som omhandlet i rammeaftalen, og med passende garantier med hensyn til de specifikke risici ved behandlingen. Rammeaftalen bør indeholde specifikke garantier vedrørende videregivelse af personoplysninger om mindreårige og ofre for strafbare handlinger, vidner eller andre personer, som kan give oplysninger vedrørende strafbare handlinger.
f)I aftalen skal der fastsættes regler for de oplysninger, der skal stilles til rådighed for enkeltpersoner, og aftalen skal sikre enkeltpersoner, hvis personoplysninger behandles, rettigheder, der kan håndhæves, ved at der fastsættes regler om retten til oplysninger, indsigt, berigtigelse og sletning, herunder de særlige forhold, som kan begrunde, at der fastsættes nødvendige og forholdsmæssige begrænsninger. Aftalen skal endvidere sikre rettigheder, der kan håndhæves, for administrativ klageadgang og adgang til domstolsprøvelse for enhver person, hvis oplysninger behandles i medfør af rammeaftalen, og den skal sikre effektive retsmidler.
g)Rammeaftalen bør fastsætte regler for registerføring med henblik på logning og dokumentation samt for oplysninger, der skal stilles til rådighed for enkeltpersoner.
h)Aftalen skal indeholde garantier med hensyn til automatisk behandling af personoplysninger, herunder profilering, og forbyde, at der træffes afgørelser, der er baseret alene på automatisk behandling af personoplysninger, hvor der ikke har været et menneske inddraget.
i)Aftalen skal omfatte en forpligtelse til at garantere, at personoplysninger sikres ved hjælp af passende tekniske og organisatoriske foranstaltninger, herunder ved kun at tillade autoriserede personer adgang til personoplysninger. Den skal også omfatte en forpligtelse til at underrette de kompetente myndigheder og, hvor det er nødvendigt og muligt, de registrerede i tilfælde af et brud på persondatasikkerheden, som berører oplysninger, der er videregivet inden for rammeaftalen. Rammeaftalen skal desuden indeholde en forpligtelse til at gennemføre foranstaltninger vedrørende databeskyttelse gennem standardindstillinger og indbygget databeskyttelse med henblik på en effektiv gennemførelse af databeskyttelsesprincipperne.
j)Videreoverførsel af personoplysninger fra USA's kompetente myndigheder til andre myndigheder i USA bør kun være tilladt med henblik på rammeaftalen, bør være underlagt passende betingelser, herunder udtrykkelig tilladelse fra den, der har leveret oplysningerne, og bør kun være tilladt i forhold til myndigheder, der sikrer et i det væsentlige tilsvarende beskyttelsesniveau for personoplysninger som sikret i rammeaftalen, medmindre videreoverførslen er nødvendig for at forebygge og efterforske en alvorlig og overhængende trussel mod den offentlige sikkerhed eller for at beskytte en fysisk persons vitale interesser. Videreoverførsel af personoplysninger til tredjelande eller internationale organisationer bør forbydes.
k)Rammeaftalen bør sikre et system for tilsyn med anvendelsen af personoplysninger, der udføres af et eller flere uafhængige organer med ansvar for databeskyttelse i USA, som har effektive undersøgelses- og interventionsbeføjelser. Det eller de pågældende organer skal navnlig have beføjelse til at behandle klager fra enkeltpersoner om anvendelsen af deres personoplysninger. Rammeaftalen bør indeholde en forpligtelse til samarbejde mellem sådanne tilsynsorganer på den ene side og de relevante EU-tilsynsmyndigheder på den anden side.
Ramme for udvekslingen af oplysninger
12.Rammeaftalen bør skitsere de generelle betingelser, kriterier, databaser og kategorier af data, der er omfattet af udvekslingen af oplysninger mellem medlemsstaternes og USA's kompetente myndigheder som led i bilaterale ordninger. En sådan udveksling af oplysninger bør bestå af bekræftelse af identitetsoplysninger eller fingeraftryk samt yderligere oplysninger vedrørende den person, der er genstand for forespørgslen, og bør begrænses til, hvad der er strengt nødvendigt og forholdsmæssigt for at opnå det ønskede resultat.
13.I henhold til rammeaftalen bør parterne sikre, at parternes tekniske begrænsninger med hensyn til udveksling af oplysninger respekteres.
14.Rammeaftalen bør skitsere konsekvenserne af suspension af medlemskab af det amerikanske visumfritagelsesprogram (VWP) eller begrænsning af ESTA's gyldighed for udvekslingen af oplysninger i henhold til rammeaftalen.
15.Rammeaftalen bør indeholde en lagdelt forespørgsels- og svarmodel, som skelner mellem oplysninger, der hentes automatisk ved udførelsen af en forespørgsel, og yderligere oplysninger, som kun kan deles med den anmodende part efter den pågældende parts udtrykkelige tilladelse.
16.Rammeaftalen bør indeholde en bestemmelse, der bemyndiger medlemsstaterne til at indgå bilaterale aftaler eller ordninger for at gennemføre informationsudvekslingen under EBSP som et krav i henhold til VWP. Rammeaftalen bør præcisere de elementer, der skal indgå i de bilaterale aftaler eller ordninger, der operationaliserer informationsudvekslingen, samt de proceduremæssige og materielle betingelser, som de bilaterale aftaler eller ordninger skal opfylde.
17.Rammeaftalen bør fastsætte, under hvilke omstændigheder medlemsstaterne kan opretholde de bilaterale aftaler eller ordninger, der er indgået med USA forud for rammeaftalens ikrafttræden.
INSTITUTIONELLE BESTEMMELSER
18.Der bør ved rammeaftalen oprettes et forvaltningsorgan, der skal være ansvarligt for at forvalte og overvåge aftalens gennemførelse og anvendelse, og som skal lette bilæggelsen af tvister.
19.Rammeaftalen skal indeholde bestemmelser om en effektiv mekanisme til bilæggelse af tvister med hensyn til fortolkningen og anvendelsen af aftalen for at sikre, at parterne overholder de gensidigt aftalte regler.
20.Rammeaftalen skal indeholde bestemmelser om kontrol med og periodisk evaluering af rammeaftalen.
21.Rammeaftalen skal indeholde en bestemmelse om ikrafttrædelse og gyldighed samt en bestemmelse, hvorefter en part kan opsige eller suspendere aftalen, navnlig hvis USA ikke længere reelt sikrer det niveau for beskyttelse af grundlæggende rettigheder og frihedsrettigheder, der kræves i henhold til rammeaftalen. I tilfælde af opsigelse eller suspension bør rammeaftalen også præcisere, om personoplysninger, der er omfattet af dens anvendelsesområde, og som er overført inden dens suspension eller opsigelse, fortsat kan behandles. Fortsat behandling af personoplysninger skal, hvis det er tilladt, under alle omstændigheder være i overensstemmelse med de bestemmelser i rammeaftalen, der finder anvendelse på tidspunktet for suspensionen eller opsigelsen.
22.Rammeaftalen kan om nødvendigt indeholde en klausul vedrørende dens territoriale anvendelse.
23.Rammeaftalen bør indeholde en mekanisme, som sikrer, at en fremtidig relevant udvikling i EU-retten om nødvendigt afspejles i aftalen ved hjælp af tilpasninger af rammeaftalen. Rammeaftalen bør også indeholde en bestemmelse om, at den kan blive opsagt af Unionen, hvis sådanne tilpasninger ikke foretages.
24.Rammeaftalen bør indeholde bestemmelser om en mekanisme til evaluering af dens gennemførelse.
25.Rammeaftalen bør have samme gyldighed på alle Unionens officielle sprog og bør indeholde en sprogbestemmelse herom.