1.5.2008   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 110/1

1.

Η Επιτροπή, σύμφωνα με το άρθρο 28 παράγραφος 2 του κανονισμού (ΕΚ) αριθ. 45/2001, απέστειλε στον ΕΕΠΔ προς γνωμοδότηση το σχέδιο πρότασης απόφασης-πλαισίου του Συμβουλίου για τη χρήση των δεδομένων των καταστάσεων με τα ονόματα των επιβατών (PNR) με σκοπό την επιβολή του νόμου (εφεξής «πρόταση»).

2.

Η πρόταση αφορά την επεξεργασία δεδομένων PNR εντός της Ευρωπαϊκής Ένωσης και συνδέεται στενά με άλλα συστήματα συλλογής και χρήσης δεδομένων των επιβατών, ιδίως δε τη συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής του Ιουλίου 2007. Τα εν λόγω συστήματα παρουσιάζουν μεγάλο ενδιαφέρον για τον ΕΕΠΔ, που είχε ήδη την ευκαιρία να υποβάλει ορισμένες προκαταρκτικές παρατηρήσεις όσον αφορά το ερωτηματολόγιο της Επιτροπής για το προβλεπόμενο σύστημα PNR της Ευρωπαϊκής Ένωσης, το οποίο απεστάλη στους σχετικούς ενδιαφερομένους το Δεκέμβριο του 2006 (3). Ο ΕΕΠΔ σημειώνει με ικανοποίηση την αίτηση γνωμοδότησης της Επιτροπής. Κατά την άποψη του ΕΕΠΔ η παρούσα γνωμοδότηση θα πρέπει να μνημονεύεται στο προοίμιο της απόφασης του Συμβουλίου.

3.

Η πρόταση αποσκοπεί στην εναρμόνιση των διατάξεων των κρατών μελών οι οποίες διέπουν τις υποχρεώσεις των αερομεταφορέων που εκτελούν πτήσεις από ή προς την επικράτεια ενός τουλάχιστον κράτους μέλους αναφορικά με τη διαβίβαση δεδομένων PNR στις αρμόδιες αρχές με σκοπό την πρόληψη και την καταπολέμηση των τρομοκρατικών εγκλημάτων και του οργανωμένου εγκλήματος.

4.

Η Ευρωπαϊκή Ένωση έχει συνάψει με τις ΗΠΑ καθώς και με τον Καναδά διευθετήσεις όσον αφορά τη διαβίβαση δεδομένων PNR για ανάλογους σκοπούς. Η πρώτη συμφωνία που είχε συναφθεί με τις ΗΠΑ το Μάϊο του 2004 αντικαταστάθηκε από νέα συμφωνία τον Ιούλιο του 2007 (4). Παρόμοια συμφωνία συνήφθη με τον Καναδά τον Ιούλιο του 2005 (5). Επιπλέον αναμένεται να αρχίσουν διαπραγματεύσεις μεταξύ Ευρωπαϊκής Ένωσης και Αυστραλίας για συμφωνία σχετικά με την ανταλλαγή δεδομένων PNR, ενώ η Νότια Κορέα απαιτεί επίσης δεδομένα PNR από τις πτήσεις προς το έδαφός της, χωρίς να έχουν προγραμματισθεί προς το παρόν διαπραγματεύσεις σε ευρωπαϊκό επίπεδο.

5.

Στο πλαίσιο της Ευρωπαϊκής Ένωσης η πρόταση συμπληρώνει την οδηγία 2004/82/ΕΚ του Συμβουλίου (6) σχετικά με την υποχρέωση των μεταφορέων να κοινοποιούν τα στοιχεία των επιβατών που είναι γνωστά ως δεδομένα API για να καταπολεμηθεί η παράνομη μετανάστευση και να βελτιωθεί ο συνοριακός έλεγχος. Η οδηγία αυτή θα έπρεπε να έχει μεταφερθεί στο εθνικό δίκαιο των κρατών μελών το αργότερο έως τις 5 Σεπτεμβρίου 2006. Η εφαρμογή δεν έχει ωστόσο υλοποιηθεί ακόμη σε όλα τα κράτη μέλη.

6.

Αντίθετα με τα δεδομένα «Advanced Passenger Information» (API), που υποτίθεται ότι διευκολύνουν τον εντοπισμό φυσικών προσώπων, τα δεδομένα PNR που αναφέρονται στην πρόταση θα συνέβαλλαν στη διενέργεια εκτιμήσεων επικινδυνότητας για πρόσωπα, στην απόκτηση απόρρητων πληροφοριών και στην πραγματοποίηση συσχετισμών μεταξύ γνωστών και άγνωστων ατόμων.

7.

Η πρόταση περιλαμβάνει τα ακόλουθα κύρια στοιχεία:

8.

Η πρόταση για την οποία ζητήθηκε η γνωμοδότηση του ΕΕΠΔ αποτελεί ένα ακόμη βήμα προς τη συστηματική συλλογή δεδομένων από πρόσωπα για τα οποία κατ' αρχήν δεν υφίστανται υπόνοιες διάπραξης εγκλήματος. Όπως αναφέρθηκε ήδη, η εξέλιξη αυτή πραγματοποιείται τόσο σε διεθνές όσο και σε ευρωπαϊκό επίπεδο.

9.

Ο ΕΕΠΔ σημειώνει ότι για την πρόταση έχουν υποβάλει επίσης κοινή γνωμοδότηση η Ομάδα του άρθρου 29 και η Ομάδα «Αστυνομία και Δικαιοσύνη» (8). Ο ΕΕΠΔ συμφωνεί με τη γνωμοδότηση αυτή. Η παρούσα γνωμοδότηση τονίζει και αναπτύσσει ορισμένα πρόσθετα σημεία.

10.

Στη γνωμοδότηση του ΕΕΠΔ, μολονότι θα αναλυθούν όλες οι σχετικές πτυχές της πρότασης, θα δοθεί ιδιαίτερη προσοχή σε τέσσερα κύρια θέματα:

11.

Στο τελευταίο τμήμα θα επισημανθούν και κάποια άλλα σημαντικά σημεία, μεταξύ των οποίων τα θετικά για την προστασία των δεδομένων μέτρα αλλά και οι πρόσθετοι λόγοι ανησυχίας που απορρέουν από την πρόταση.

12.

Η ανάλυση της νομιμότητας των προτεινόμενων μέτρων σύμφωνα με τις βασικές αρχές της προστασίας των δεδομένων και ιδίως το άρθρο 8 του Ευρωπαϊκού Χάρτη Θεμελιωδών Δικαιωμάτων και τα άρθρα 5 έως 8 της σύμβασης αριθ. 108 του Συμβουλίου της Ευρώπης (9) απαιτεί να προσδιορίζεται σαφώς ο σκοπός της προβλεπόμενης επεξεργασίας δεδομένων προσωπικού χαρακτήρα, ώστε να εκτιμώνται η αναγκαιότητα και η αναλογικότητά του. Θα πρέπει να εξασφαλίζεται ότι δεν υπάρχουν άλλα, λιγότερο οχληρά μέσα για την επίτευξη του προβλεπόμενου σκοπού.

13.

Η διατύπωση της πρότασης και η εκτίμηση των επιπτώσεων υποδεικνύουν ότι ο στόχος δεν είναι απλώς να εντοπίζονται οι γνωστοί τρομοκράτες ή εγκληματίες που εμπλέκονται σε οργανωμένο έγκλημα, μέσω της συγκρίσεως των ονομάτων τους με τα περιλαμβανόμενα στους καταλόγους που διαχειρίζονται οι αρχές επιβολής του νόμου. Ο σκοπός είναι η συλλογή απόρρητων πληροφοριών όσον αφορά την τρομοκρατία ή το οργανωμένο έγκλημα και ειδικότερα η «διενέργεια εκτιμήσεων επικινδυνότητας για τα άτομα, για την απόκτηση απόρρητων πληροφοριών και για την πραγματοποίηση συσχετισμών μεταξύ γνωστών και αγνώστων ατόμων» (10). Ο σκοπός που αναφέρεται στο άρθρο 3 παράγραφος 5 της πρότασης συνίσταται, ομοίως και κατά πρώτο λόγο, στον «εντοπισμό ατόμων που έχουν διαπράξει ή ενδέχεται να διαπράξουν αξιόποινη πράξη η οποία εμπίπτει στην έννοια της τρομοκρατίας ή του οργανωμένου εγκλήματος, καθώς και των συνεργών τους».

14.

Αυτός είναι ο λόγος που προβάλλεται για να εξηγηθεί ότι τα δεδομένα ΑΡΙ δεν επαρκούν για την επίτευξη του υποτιθέμενου σκοπού. Πράγματι, όπως αναφέρθηκε ήδη, ενώ τα δεδομένα ΑΡΙ υποτίθεται ότι διευκολύνουν τον εντοπισμό φυσικών προσώπων, τα δεδομένα PNR δεν αποσκοπούν στον εντοπισμό, αλλά οι λεπτομέρειες PNR θα συνέβαλλαν στη διενέργεια εκτιμήσεων επικινδυνότητας των προσώπων, την απόκτηση απόρρητων πληροφοριών και στην πραγματοποίηση συσχετισμών μεταξύ γνωστών και άγνωστων ατόμων.

15.

Ο σκοπός των προβλεπόμενων μέτρων δεν καλύπτει μόνο τη σύλληψη γνωστών προσώπων αλλά και τον εντοπισμό προσώπων που ενδέχεται να πληρούν τα κριτήρια της πρότασης.

Προκειμένου να εντοπίζονται τα πρόσωπα αυτά, τα βασικά στοιχεία του σχεδίου είναι η ανάλυση της επικινδυνότητας και ο προσδιορισμός των πρακτικών. Στην αιτιολογική παράγραφο 9 της πρότασης αναφέρεται ρητώς ότι τα δεδομένα πρέπει να διατηρούνται «για αρκούντως μεγάλο χρονικό διάστημα, έτσι ώστε να εκπληρώνεται ο σκοπός της επεξεργασίας δεικτών επικινδυνότητας και της ανίχνευσης ταξιδιωτικών πρακτικών και συνήθων συμπεριφορών».

16.

Ο σκοπός μπορεί συνεπώς να περιγραφεί σε δύο επίπεδα: το πρώτο επίπεδο συνίσταται στο γενικό στόχο της καταπολέμησης της τρομοκρατίας και του οργανωμένου εγκλήματος, ενώ το δεύτερο περιλαμβάνει τα μέσα και τα μέτρα που είναι σύμφυτα με την επίτευξη του στόχου αυτού. Ενώ ο σκοπός της καταπολέμησης της τρομοκρατίας και του οργανωμένου εγκλήματος φαίνεται επαρκώς σαφής και θεμιτός, ως προς τα μέσα για την επίτευξή του υπάρχει περιθώριο συζήτησης.

17.

Η πρόταση δεν διευκρινίζει πώς θα ανιχνεύονται οι πρακτικές και θα διενεργούνται οι εκτιμήσεις της επικινδυνότητας. Η εκτίμηση των επιπτώσεων παρέχει τις ακόλουθες διευκρινίσεις όσον αφορά τον τρόπο χρήσης των δεδομένων PNR: αντιπαραβολή των δεδομένων των επιβατών «με συνδυασμό χαρακτηριστικών και τυπικών συμπεριφορών, με σκοπό την εκτίμηση επικινδυνότητας. Όταν ένας επιβάτης εμπίπτει σε συγκεκριμένη εκτίμηση επικινδυνότητας, είναι δυνατόν να αντιμετωπίζεται ως επιβάτης υψηλού κινδύνου» (11).

18.

Η επιλογή των προσώπων για τα οποία υπάρχουν υπόνοιες μπορεί να γίνεται βάσει συγκεκριμένων ύποπτων στοιχείων των εκάστοτε δεδομένων PNR (λ.χ. επαφή με ύποπτο ταξιδιωτικό γραφείο, κωδικός κλεμμένης πιστωτικής κάρτας) καθώς και βάσει «πρακτικών» ή αφηρημένου προφίλ. Θα μπορούσαν πράγματι να καταρτισθούν τυποποιημένα προφίλ, ανάλογα με τις ταξιδιωτικές πρακτικές, για τους «συνήθεις επιβάτες» ή τους «επιβάτες για τους οποίους υπάρχουν υπόνοιες». Τα προφίλ αυτά θα καθιστούσαν δυνατή τη διεξαγωγή περαιτέρω ερευνών όσον αφορά τους επιβάτες που δεν εμπίπτουν στην «κατηγορία των συνήθων επιβατών», ιδίως στην περίπτωση που το προφίλ τους συνδέεται με άλλα ύποπτα στοιχεία, λ.χ. κλεμμένη πιστωτική κάρτα.

19.

Μολονότι δεν μπορεί να γίνει δεκτή η κατάταξη των επιβατών ανάλογα με τη θρησκεία τους ή άλλα ευαίσθητα δεδομένα, φαίνεται ότι οι σχετικές έρευνες θα πρέπει να βασίζονται σε ένα μείγμα συγκεκριμένων (in concreto) και αφηρημένων (in abstracto) πληροφοριών, περιλαμβανομένων των τυποποιημένων πρακτικών και των αφηρημένων προφίλ.

20.

Θα μπορούσε να εξετασθεί κατά πόσον αυτός ο τύπος ερευνών είναι δυνατόν να χαρακτηρισθεί ως ανάλυση προφίλ. Η ανάλυση προφίλ θα συνίστατο σε μια «ηλεκτρονική μέθοδο με χρήση εξόρυξης από αποθήκη δεδομένων, ώστε να καταστεί δυνατή ή να επιχειρηθεί να διευκολυνθεί η κατάταξη —με κάποιο περιθώριο σφάλματος— φυσικού προσώπου σε συγκεκριμένη κατηγορία προκειμένου να ληφθούν ειδικές αποφάσεις σχετικά με το πρόσωπο αυτό» (12).

21.

Ο ΕΕΠΔ έχει υπόψη του ότι συνεχίζονται οι συζητήσεις σχετικά με τον ορισμό της ανάλυσης προφίλ. Ανεξάρτητα από το κατά πόσον θα αναγνωρισθεί επίσημα ότι η πρόταση αποσκοπεί στην ανάλυση προφίλ των επιβατών, το κύριο ζήτημα εν προκειμένω δεν είναι οι ορισμοί. Αυτό που μας απασχολεί είναι οι επιπτώσεις στα φυσικά πρόσωπα.

22.

Ο ΕΕΠΔ ανησυχεί κυρίως για το γεγονός ότι θα λαμβάνονται αποφάσεις σχετικά με φυσικά πρόσωπα βάσει πρακτικών και κριτηρίων που θα καθορίζονται σύμφωνα με τα γενικά δεδομένα των επιβατών. Κατά συνέπεια αποφάσεις σχετικά με συγκεκριμένο φυσικό πρόσωπο ενδέχεται να λαμβάνονται (εν μέρει τουλάχιστον) βάσει πρακτικών που απορρέουν από τα δεδομένα άλλων φυσικών προσώπων. Αυτό σημαίνει ότι θα λαμβάνονται σε σχέση με αφηρημένο πλαίσιο αποφάσεις που είναι δυνατόν να έχουν σημαντικές επιπτώσεις για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα. Είναι εξαιρετικά δύσκολο για τα φυσικά πρόσωπα να αμυνθούν έναντι αποφάσεων του είδους αυτού.

23.

Επιπλέον η εκτίμηση της επικινδυνότητας θα διενεργείται χωρίς να υφίστανται ενιαία πρότυπα ταυτοποίησης των υπόπτων. Ο ΕΕΠΔ αμφισβητεί έντονα την όλη διαδικασία διήθησης από άποψη ασφάλειας δικαίου, κρίνοντας ότι τα κριτήρια βάσει των οποίων θα ελέγχεται διεξοδικά κάθε επιβάτης δεν ορίζονται επακριβώς.

24.

Ο ΕΕΠΔ υπενθυμίζει τη νομολογία του Ευρωπαϊκού Δικαστηρίου Ανθρωπίνων Δικαιωμάτων, σύμφωνα με την οποία το εθνικό δίκαιο πρέπει να είναι αρκετά σαφές ώστε να γνωρίζουν οι πολίτες υπό ποιες συνθήκες και όρους δικαιούνται οι δημόσιες αρχές να αρχειοθετούν και να χρησιμοποιούν πληροφορίες σχετικά με την ιδιωτική τους ζωή. Οι πληροφορίες «θα πρέπει να είναι προσιτές στον ενδιαφερόμενο και να έχουν προβλέψιμες συνέπειες». Ένας κανόνας είναι «προβλέψιμος» εφόσον είναι διατυπωμένος με τόση σαφήνεια ώστε να επιτρέπει σε οποιοδήποτε φυσικό πρόσωπο —εν ανάγκη με τις κατάλληλες συμβουλές— να ρυθμίζει τη συμπεριφορά του (13).

25.

Τέλος, λόγω αυτών κυρίως των κινδύνων η παρούσα πρόταση θα πρέπει να εξετασθεί προσεκτικά. Μολονότι ο γενικός σκοπός της καταπολέμησης της τρομοκρατίας και του οργανωμένου εγκλήματος είναι σαφής και θεμιτός, τα βασικά στοιχεία της σχετικής διαδικασίας δεν φαίνονται επαρκώς καθορισμένα και αιτιολογημένα. Ο ΕΕΠΔ καλεί συνεπώς το νομοθέτη της Ευρωπαϊκής Ένωσης να ρυθμίσει σαφώς το σημείο αυτό πριν από την έκδοση της απόφασης-πλαισίου.

26.

Η οχληρότητα των μέτρων είναι έκδηλη, όπως αναφαίνεται ανωτέρω. Κατά κανένα τρόπο, εξάλλου, δεν έχει αποδειχθεί η χρησιμότητά τους.

27.

Η εκτίμηση των επιπτώσεων της πρότασης επικεντρώνεται μάλλον στον καλύτερο τρόπο διαμόρφωσης του συστήματος PNR της Ευρωπαϊκής Ένωσης παρά στην αναγκαιότητα ενός τέτοιου συστήματος. Στην εκτίμηση αναφέρονται (14) συστήματα PNR που λειτουργούν ήδη σε άλλες χώρες, ιδίως τις ΗΠΑ και το Ηνωμένο Βασίλειο. Θα πρέπει όμως να επισημανθεί η έλλειψη επακριβών γεγονότων και αριθμητικών στοιχείων όσον αφορά τα συστήματα αυτά. Αναφέρονται «πολυάριθμες συλλήψεις» σε σχέση με «διάφορα εγκλήματα» στο πλαίσιο του συστήματος Semaphore, χωρίς να διευκρινίζεται ο σύνδεσμός τους με την τρομοκρατία ή το οργανωμένο έγκλημα. Δεν παρέχονται λεπτομέρειες όσον αφορά το πρόγραμμα των ΗΠΑ, παρά μόνο η εκτίμηση ότι «η Ευρωπαϊκή Ένωση ήταν σε θέση να εκτιμήσει την αξία των δεδομένων PNR και να συνειδητοποιήσει τις δυνατότητες που προσφέρει για τους σκοπούς της επιβολής του νόμου».

28.

Όχι μόνο δεν περιέχονται ακριβείς πληροφορίες στην πρόταση σχετικά με τα απτά αποτελέσματα αυτών των συστημάτων PNR, αλλά οι εκθέσεις που έχουν δημοσιεύσει άλλοι οργανισμοί, λ.χ. η υπηρεσία GAO στις Ηνωμένες Πολιτείες, δεν επιβεβαιώνουν προς το παρόν την αποτελεσματικότητα των μέτρων (15).

29.

Ο ΕΕΠΔ φρονεί ότι, πριν χρησιμοποιηθούν σε τόσο ευρεία κλίμακα τεχνικές που συνίστανται στην εκτίμηση της επικινδυνότητας των φυσικών προσώπων μέσω εργαλείων εξόρυξης δεδομένων και τυπικών συμπεριφορών, θα πρέπει να εκτιμηθούν περαιτέρω και να αποδειχθεί σαφώς η χρησιμότητά τους στο πλαίσιο της καταπολέμησης της τρομοκρατίας.

30.

Προκειμένου να εκτιμηθεί η ισορροπία μεταξύ της παραβίασης της ιδιωτικής ζωής των φυσικών προσώπων και της αναγκαιότητας του μέτρου (16), λαμβάνονται υπόψη τα εξής στοιχεία:

31.

Η τήρηση της αρχής της αναλογικότητας σημαίνει όχι μόνο ότι το προτεινόμενο μέτρο πρέπει να είναι αποτελεσματικό, αλλά και ότι ο σκοπός που επιδιώκεται με την πρόταση δεν είναι δυνατόν να επιτευχθεί με εργαλεία που παραβιάζουν λιγότερο την ιδιωτική ζωή. Η αποτελεσματικότητα των προβλεπόμενων μέτρων δεν έχει αποδειχθεί. Πρέπει να εκτιμάται προσεκτικά η ύπαρξη εναλλακτικών λύσεων πριν τεθούν σε εφαρμογή πρόσθετα/νέα μέτρα για την επεξεργασία πληροφοριών προσωπικού χαρακτήρα. Κατά τον ΕΕΠΔ δεν διενεργήθηκε τέτοια συνολική εκτίμηση.

32.

Ο ΕΕΠΔ επιθυμεί να υπενθυμίσει τα άλλα συστήματα ευρείας κλίμακας για την παρακολούθηση των κινήσεων των φυσικών προσώπων εντός της Ευρωπαϊκής Ένωσης ή στα σύνορά της, τα οποία λειτουργούν ήδη ή θα τεθούν σε λειτουργία προσεχώς, μεταξύ των οποίων το Σύστημα Πληροφοριών για τις Θεωρήσεις (17) και το Σύστημα Πληροφοριών Σένγκεν (18). Μολονότι οι πράξεις αυτές δεν έχουν ως κύριο στόχο την καταπολέμηση της τρομοκρατίας ή του οργανωμένου εγκλήματος, είναι ή θα είναι ως κάποιο βαθμό προσιτές στις αρχές επιβολής του νόμου για τον ευρύτερο σκοπό της καταπολέμησης του εγκλήματος (19).

33.

Ένα άλλο παράδειγμα αφορά τη διαθεσιμότητα των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στις βάσεις δεδομένων των εθνικών αστυνομιών —ιδίως προκειμένου για τα βιομετρικά δεδομένα— στο πλαίσιο της συνθήκης του Prüm που υπεγράφη το Μάϊο του 2005, η οποία επεκτείνεται σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης (20).

34.

Όλες αυτές οι πράξεις έχουν ένα κοινό στοιχείο, το ότι καθιστούν δυνατή τη συνολική παρακολούθηση των κινήσεων των φυσικών προσώπων, μολονότι από διαφορετικές προοπτικές. Ο τρόπος κατά τον οποίο μπορούν ήδη να συμβάλουν στην καταπολέμηση συγκεκριμένων μορφών εγκλήματος, περιλαμβανομένης της τρομοκρατίας, θα πρέπει να αναλυθεί σε βάθος και συνολικά, πριν αποφασισθεί η καθιέρωση νέας μορφής συστηματικού διεξοδικού ελέγχου όλων των προσώπων που εγκαταλείπουν την Ευρωπαϊκή Ένωση ή εισέρχονται στο έδαφός της αεροπορικώς. Ο ΕΕΠΔ συνιστά να διενεργηθεί σχετική ανάλυση από την Επιτροπή, ως αναγκαίο βήμα της νομοθετικής διαδικασίας.

35.

Σύμφωνα με τα ανωτέρω ο ΕΕΠΔ συνάγει τα ακόλουθα συμπεράσματα όσον φορά το θεμιτό χαρακτήρα των προτεινόμενων μέτρων. Το γεγονός ότι η πρόταση βασίζεται σε διάφορες βάσεις δεδομένων χωρίς συνολική εκτίμηση των απτών αποτελεσμάτων και ελλείψεών τους:

36.

Η καταπολέμηση της τρομοκρατίας μπορεί ασφαλώς να αποτελέσει θεμιτό λόγο για την εφαρμογή εξαιρέσεων από τα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων. Ωστόσο, για να μπορεί να γίνει δεκτή η παραβίαση της ιδιωτικής ζωής πρέπει να στηρίζεται σε σαφή και αναντίρρητα στοιχεία, ενώ πρέπει να αποδεικνύεται και η αναλογικότητα της επεξεργασίας. Αυτό απαιτείται ακόμη περισσότερο στην περίπτωση εκτεταμένης παραβίασης της ιδιωτικής ζωής των φυσικών προσώπων, όπως προβλέπεται στην πρόταση.

37.

Πρέπει να επισημάνουμε ότι η πρόταση δεν περιλαμβάνει τα προαναφερόμενα στοιχεία αιτιολόγησης και ότι δεν πληρούνται τα κριτήρια της αναγκαιότητας και της αναλογικότητας.

38.

Ο ΕΕΠΔ επιμένει ότι είναι ουσιώδες να πληρούνται τα κριτήρια της αναγκαιότητας και της αναλογικότητας που περιγράφονται ανωτέρω. Το εν λόγω στοιχείο αποτελεί απαραίτητη προϋπόθεση προκειμένου να τεθεί σε ισχύ η παρούσα πρόταση. Οποιαδήποτε περαιτέρω παρατήρηση του ΕΕΠΔ που περιλαμβάνεται στην παρούσα γνωμοδότηση πρέπει να εξετάζεται λαμβανομένης υπόψη αυτής της προκαταρκτικής προϋπόθεσης.

39.

Η κατωτέρω ανάλυση θα επικεντρωθεί σε τρία σημεία:

40.

Σύμφωνα με το άρθρο 11 της πρότασης «τα κράτη μέλη διασφαλίζουν ότι η επεξεργασία δεδομένων προσωπικού χαρακτήρα κατ' εφαρμογή της παρούσας απόφασης-πλαισίου υπόκειται στην απόφαση-πλαίσιο του Συμβουλίου σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις (…)».

41.

Ωστόσο, παρά τη διάταξη αυτή δεν είναι σαφές σε ποιο βαθμό η απόφαση-πλαίσιο για με την προστασία των δεδομένων —μια πράξη του τρίτου πυλώνα της συνθήκης της Ευρωπαϊκής Ένωσης— θα εφαρμόζεται στα δεδομένα τα οποία επεξεργάζονται οι αεροπορικές εταιρίες, συλλέγουν οι PIU και χρησιμοποιούν άλλες αρμόδιες αρχές.

42.

Το πρώτο στάδιο της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σύμφωνα με την πρόταση είναι η επεξεργασία από τις αεροπορικές εταιρίες, που υποχρεώνονται να καθιστούν τα δεδομένα PNR διαθέσιμα —κατ' αρχήν μέσω συστήματος «προώθησης» («push»)— στις εθνικές PIU. Από τη διατύπωση της πρότασης και της εκτίμησης των επιπτώσεων (22) απορρέει ότι τα δεδομένα θα μπορούν επίσης να διαβιβάζονται συγκεντρωτικά από τις αεροπορικές εταιρίες στους ενδιάμεσους φορείς. Οι αεροπορικές γραμμές δρουν κυρίως σε εμπορικό περιβάλλον, υπάγονται δε στην εθνική νομοθεσία περί προστασίας δεδομένων με την οποία εφαρμόζεται η οδηγία 95/46/ΕΚ (23). Θα προκύπτουν ζητήματα εφαρμοστέου δικαίου όταν τα δεδομένα που έχουν συλλεχθεί χρησιμοποιούνται με σκοπό την επιβολή του νόμου (24).

43.

Τα δεδομένα θα υποβάλλονται εν συνεχεία σε διήθηση από ενδιάμεσο φορέα (ώστε να λάβουν την κατάλληλη μορφή και να αποκλεισθούν τα δεδομένα PNR που δεν περιλαμβάνονται στο κατάλογο των δεδομένων που απαιτούνται σύμφωνα με την πρόταση) ή θα αποστέλλονται απευθείας στις PIU. Οι ενδιάμεσοι φορείς θα μπορούν επίσης να υπάγονται στον ιδιωτικό τομέα, όπως συμβαίνει με τη SITA, που δρα προς το σκοπό αυτό στο πλαίσιο της συμφωνίας PNR με τον Καναδά.

44.

Όσον αφορά τις PIU, που είναι υπεύθυνες για την εκτίμηση της επικινδυνότητας του συνόλου των δεδομένων, δεν είναι σαφές ποιος θα είναι υπεύθυνος για την επεξεργασία. Ενδέχεται να συμμετέχουν τελωνειακές και συνοριακές αρχές και όχι απαραιτήτως αρχές επιβολής του νόμου.

45.

Η εν συνεχεία διαβίβαση των διηθημένων δεδομένων στις «αρμόδιες» αρχές θα διενεργείται πιθανώς σε πλαίσιο επιβολής του νόμου. Σύμφωνα με την πρόταση «αρμόδιες αρχές μπορούν να είναι μόνον αρχές οι οποίες είναι αρμόδιες για την πρόληψη και την καταπολέμηση των τρομοκρατικών εγκλημάτων και του οργανωμένου εγκλήματος».

46.

Όσο προχωρούν τα στάδια της επεξεργασίας οι συμμετέχοντες φορείς και ο επιδιωκόμενος στόχος συνδέονται διαρκώς στενότερα με την αστυνομική και δικαστική συνεργασία σε ποινικές υποθέσεις. Η πρόταση δεν αναφέρει ρητώς, πάντως, πότε ακριβώς θα εφαρμόζεται η απόφαση-πλαίσιο για με την προστασία των δεδομένων. Η διατύπωση θα μπορούσε ακόμη και να οδηγήσει στο συμπέρασμα ότι εφαρμόζεται σε ολόκληρη την επεξεργασία, περιλαμβανομένων ενδεχομένως και των αεροπορικών εταιριών (25). Ωστόσο, η απόφαση-πλαίσιο για με την προστασία των δεδομένων προσωπικού χαρακτήρα περιλαμβάνει ήδη κάποιους περιορισμούς.

47.

Εν προκειμένω ο ΕΕΠΔ αμφισβητεί έντονα το κατά πόσον ο τίτλος VI της συνθήκης της Ευρωπαϊκής Ένωσης μπορεί να χρησιμεύσει ως νομική βάση για νομικές υποχρεώσεις ιδιωτικών φορέων επί συνήθους βάσεως και με σκοπό την επιβολή του νόμου. Επιπλέον, έχει σημασία το κατά πόσον ο τίτλος VI της συνθήκης της Ευρωπαϊκής Ένωσης μπορεί να χρησιμεύσει ως νομική βάση για νομικές υποχρεώσεις δημόσιων αρχών που δεν εμπίπτουν κατ' αρχήν στη συνεργασία στον τομέα της επιβολής του νόμου. Τα θέματα αυτά θα αναπτυχθούν περαιτέρω στην παρούσα γνωμοδότηση.

48.

Η πρόταση απόφασης-πλαισίου του Συμβουλίου για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις περιέχει δύο τουλάχιστον περιορισμούς που έχουν σημασία από άποψη πεδίου εφαρμογής.

49.

Κατ' αρχάς το πεδίο εφαρμογής της απόφασης-πλαισίου για την προστασία των δεδομένων καθορίζεται σαφώς στην ίδια την απόφαση-πλαίσιο: εφαρμόζεται «μόνον στα δεδομένα που έχουν συγκεντρωθεί ή τύχει επεξεργασίας από τις αρμόδιες αρχές για το σκοπό της πρόληψης, της διερεύνησης, της διαπίστωσης ή της δίωξης αξιόποινων πράξεων ή της εκτέλεσης ποινικών κυρώσεων» (26).

50.

Κατά δεύτερο λόγο η απόφαση-πλαίσιο για με την προστασία των δεδομένων δεν θα πρέπει κανονικά να εφαρμόζεται στα δεδομένα που υποβάλλονται επεξεργασία αποκλειστικά σε εσωτερικό επίπεδο, αλλά αφορά μόνο τα δεδομένα που ανταλλάσσονται μεταξύ κρατών μελών και εν συνεχεία διαβιβάζονται σε τρίτες χώρες (27).

51.

Η απόφαση-πλαίσιο για με την προστασία των δεδομένων παρουσιάζει επίσης κάποια μειονεκτήματα σε σχέση με την οδηγία 95/46/ΕΚ, προβλέποντας ιδίως ευρεία εξαίρεση από την αρχή του περιορισμού του σκοπού. Όσον αφορά αυτή την αρχή, η πρόταση σαφώς περιορίζει το σκοπό της επεξεργασίας στην καταπολέμηση της τρομοκρατίας και του οργανωμένου εγκλήματος. Αντιθέτως η απόφαση-πλαίσιο για με την προστασία των δεδομένων επιτρέπει την επεξεργασία για ευρύτερους σκοπούς. Στην περίπτωση αυτή ο ειδικός νόμος (η πρόταση) θα πρέπει να υπερισχύει του γενικού νόμου (της απόφασης-πλαισίου για την προστασία των δεδομένων) (28). Αυτό θα πρέπει να αναφέρεται ρητώς στο διατακτικό της πρότασης.

52.

Ο ΕΕΠΔ συνιστά συνεπώς να προστεθεί στην πρόταση η εξής διάταξη: «Τα δεδομένα προσωπικού χαρακτήρα που διαβιβάζονται από αεροπορικές εταιρίες σύμφωνα με την παρούσα απόφαση-πλαίσιο δεν επιτρέπεται να υποβάλλονται σε επεξεργασία για άλλους σκοπούς εκτός από την καταπολέμηση της τρομοκρατίας και του οργανωμένου εγκλήματος. Δεν εφαρμόζονται εν προκειμένω οι εξαιρέσεις από την αρχή του περιορισμού του σκοπού που προβλέπονται στην απόφαση-πλαίσιο του Συμβουλίου για την προστασία των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας στο πλαίσιο της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις».

53.

Καταλήγοντας ο ΕΕΠΔ επισημαίνει σοβαρή έλλειψη ασφάλειας δικαίου όσον αφορά το καθεστώς προστασίας δεδομένων το οποίο εφαρμόζεται στους διάφορους φορείς που συμμετέχουν στο σχέδιο και ιδίως στις αεροπορικές γραμμές και σε άλλους φορείς του πρώτου πυλώνα: δεν είναι σαφές εάν πρόκειται για τις διατάξεις της πρότασης, τις διατάξεις της απόφασης-πλαισίου για την προστασία των δεδομένων ή την εθνική νομοθεσία με την οποία εφαρμόζεται η οδηγία 95/46/ΕΚ. Ο νομοθέτης θα πρέπει να διευκρινίσει σε ποιο ακριβώς στάδιο της διαδικασίας θα εφαρμόζονται οι διάφορες αυτές διατάξεις.

54.

Ο ΕΕΠΔ αμφισβητεί έντονα το γεγονός ότι πράξη του τρίτου πυλώνα επιβάλλει νομικές υποχρεώσεις επί συνήθους βάσεως και με σκοπό την επιβολή του νόμου σε ιδιωτικούς ή δημόσιους φορείς που δεν εμπίπτουν κατ' αρχήν στο πλαίσιο της συνεργασίας στον τομέα της επιβολής του νόμου.

55.

Στο σημείο αυτό θα μπορούσε να γίνει σύγκριση με δύο άλλες περιπτώσεις κατά τις οποίες ο ιδιωτικός τομέας συμμετείχε στη διατήρηση ή διαβίβαση δεδομένων ενόψει της επιβολής του νόμου:

56.

Στην παρούσα πρόταση για τα δεδομένα PNR της Ευρωπαϊκής Ένωσης οι αεροπορικές εταιρίες πρέπει να διαθέτουν κατά συστηματικό τρόπο τα δεδομένα PNR όλων των επιβατών. Ωστόσο, τα δεδομένα αυτά δεν διαβιβάζονται απευθείας συγκεντρωτικά στις αρχές επιβολής του νόμου: μπορούν να αποστέλλονται σε ενδιάμεσο φορέα και εκτιμώνται από τρίτο, το καθεστώς του οποίου παραμένει ασαφές, πριν αποσταλούν επιλεγμένες πληροφορίες στις αρμόδιες αρχές.

57.

Το κύριο τμήμα της επεξεργασίας συμβαίνει σε μια «γκρίζα» ζώνη και συνδέεται ουσιαστικά τόσο με τον πρώτο όσο και με τον τρίτο πυλώνα. Όπως θα αναπτυχθεί στο κεφάλαιο IV, η ιδιότητα των φορέων που θα επεξεργάζονται τα δεδομένα δεν είναι σαφής. Οι αεροπορικές εταιρίες προφανώς δεν αποτελούν αρχές επιβολής του νόμου και οι ενδιάμεσοι φορείς θα μπορούν να υπάγονται στον ιδιωτικό τομέα. Ακόμη και σε σχέση με τις PIU, που θα είναι δημόσιες αρχές, πρέπει να τονισθεί ότι δεν έχουν όλες οι δημόσιες αρχές την κατάλληλη ιδιότητα ή αρμοδιότητες για την εκπλήρωση καθηκόντων επιβολής του νόμου επί καθημερινής βάσεως.

58.

Κατά παράδοση υπάρχει σαφής διαχωρισμός μεταξύ δραστηριοτήτων επιβολής του νόμου και δραστηριοτήτων του ιδιωτικού τομέα, όπου τα καθήκοντα επιβολής του νόμου εκτελούνται από ειδικές αρχές, ιδίως αστυνομικές, και οι ιδιωτικοί φορείς καλούνται κατά περίπτωση να κοινοποιούν δεδομένα προσωπικού χαρακτήρα σε αυτές τις αρχές επιβολής του νόμου. Υπάρχει πλέον μια τάση να επιβάλλεται συνεργασία για σκοπούς επιβολής του νόμου σε ιδιωτικούς φορείς επί συστηματικής βάσεως, με αποτέλεσμα να τίθεται το ερώτημα ποιο πλαίσιο προστασίας δεδομένων (πρώτος ή τρίτος πυλώνας) εφαρμόζεται στις προϋποθέσεις αυτής της συνεργασίας: πρέπει οι εφαρμοστέοι κανόνες να εξαρτώνται από την ιδιότητα του υπευθύνου επεξεργασίας δεδομένων (ιδιωτικού φορέα) ή από τον επιδιωκόμενο σκοπό (επιβολή του νόμου);

59.

Ο ΕΕΠΔ έχει ήδη επισημάνει τον κίνδυνο δημιουργίας νομικού κενού μεταξύ των δραστηριοτήτων του πρώτου και του τρίτου πυλώνα (31). Πράγματι, δεν είναι καθόλου σαφές κατά πόσον οι δραστηριότητες ιδιωτικών εταιριών που συνδέονται με την επιβολή του ποινικού δικαίου εμπίπτουν στο πεδίο δράσης του νομοθέτη της Ευρωπαϊκής Ένωσης δυνάμει των άρθρων 30, 31 και 34 της συνθήκης για την Ευρωπαϊκή Ένωση.

60.

Εάν δεν εφαρμοζόταν το γενικό πλαίσιο (πρώτος πυλώνας), οι πάροχοι υπηρεσιών θα έπρεπε να προβαίνουν σε δυσχερείς διακρίσεις στις βάσεις δεδομένων τους. Σύμφωνα με το ισχύον καθεστώς είναι σαφές ότι ο υπεύθυνος επεξεργασίας δεδομένων πρέπει να εφαρμόζει την ίδια προστασία δεδομένων έναντι των προσώπων στα οποία αναφέρονται τα δεδομένα, ανεξάρτητα από τους σκοπούς που δικαιολογούν τη διατήρηση των δεδομένων. Θα πρέπει συνεπώς να αποφευχθεί μια κατάσταση κατά την οποία στην επεξεργασία δεδομένων από τους παρόχους υπηρεσιών θα εφαρμοζόταν διαφορετικό πλαίσιο ανάλογα με τον επιδιωκόμενο σκοπό.

61.

Τα διαφορετικά νομικά καθεστώτα που θα εφαρμόζονταν σε εθνικό επίπεδο θα είχαν ιδίως σημαντικό αντίκτυπο στην άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα.

62.

Αναφέρεται στο προοίμιο της πρότασης ότι «πρέπει να παρέχονται ενημέρωση, πρόσβαση, διόρθωση, διαγραφή και κλείδωμα, αποζημίωση και ένδικα μέσα σύμφωνα με την απόφαση-πλαίσιο για με την προστασία των δεδομένων». Με τη μνεία αυτή πάντως δεν επιλύεται το ζήτημα του ποιος υπεύθυνος επεξεργασίας είναι αρμόδιος για τη διεκπεραίωση των αιτημάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.

63.

Μολονότι οι πληροφορίες σχετικά με την επεξεργασία θα μπορούσαν να κοινοποιούνται από τις αεροπορικές εταιρίες, προκύπτουν διάφορες περιπλοκές όταν πρόκειται για πρόσβαση σε δεδομένα ή τη διόρθωσή τους. Τα δικαιώματα αυτά είναι πράγματι περιορισμένα σύμφωνα με την απόφαση-πλαίσιο για με την προστασία των δεδομένων. Όπως αναφέραμε ανωτέρω, δύσκολα θα μπορούσε να υποχρεωθεί πάροχος υπηρεσιών τύπου αεροπορικής εταιρίας να δίνει διαφοροποιημένα δικαιώματα πρόσβασης και διόρθωσης όσον αφορά τα δεδομένα που κατέχει ανάλογα με τον επιδιωκόμενο σκοπό (εμπορικής φύσεως ή επιβολή του νόμου). Θα μπορούσε να προβληθεί το επιχείρημα ότι τα δικαιώματα αυτά θα πρέπει να ασκούνται ενώπιον των PIU ή άλλων αρμόδιων αρχών που έχουν ορισθεί. Η πρόταση δεν παρέχει πάντως άλλα στοιχεία εν προκειμένω και, όπως επισημάνθηκε ήδη, δεν είναι καν σαφές εάν οι αρχές αυτές (τουλάχιστον οι PIU) θα είναι αρχές επιβολής του νόμου που διαθέτουν συνήθως περιορισμένες (ενδεχομένως έμμεσες) διαδικασίες πρόσβασης.

64.

Ο ενδιαφερόμενος κινδυνεύει επίσης να ευρεθεί ενώπιον διάφορων παραληπτών δεδομένων, όταν πρόκειται για PIU: τα δεδομένα διαβιβάζονται πράγματι στην PIU της χώρας αναχώρησης/άφιξης των πτήσεων, αλλά επίσης ενδεχομένως σε PIU άλλων κρατών μελών κατά περίπτωση. Επιπλέον διάφορα κράτη μέλη μπορούν να συστήσουν ή να διορίσουν μία κοινή PIU. Το πρόσωπο στο οποίο αναφέρονται τα δεδομένα ενδέχεται στην περίπτωση αυτή να πρέπει ασκήσει τα δικαιώματά του ενώπιον αρχής άλλου κράτους μέλους. Και στην περίπτωση αυτή δεν είναι σαφές κατά πόσον θα έχουν εφαρμογή οι εθνικοί κανόνες προστασίας δεδομένων (που υποτίθεται ότι είναι εναρμονισμένοι στο πλαίσιο της Ευρωπαϊκής Ένωσης) ή θα πρέπει να ληφθεί υπόψη ειδική κατασταλτική νομοθεσία (δεδομένου ότι στον τρίτο πυλώνα δεν υφίσταται γενική εναρμόνιση σε εθνικό επίπεδο).

65.

Το ίδιο ισχύει με την πρόσβαση σε δεδομένα τα οποία επεξεργάζονται ενδιάμεσοι φορείς με ασαφές καθεστώς και τα οποία θα μπορούσαν επίσης να κατέχουν από κοινού αεροπορικές εταιρίες διάφορων χωρών της Ευρωπαϊκής Ένωσης.

66.

Ο ΕΕΠΔ εκφράζει τη λύπη του για την αβεβαιότητα που εξακολουθεί να υπάρχει όσον αφορά την άσκηση των θεμελιωδών αυτών δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα. Τονίζει ότι η κατάσταση αυτή οφείλεται κυρίως στο γεγονός ότι ανατίθενται σχετικές ευθύνες σε φορείς που δεν έχουν ως κύριο έργο τους την επιβολή του νόμου.

67.

Ο ΕΕΠΔ φρονεί ότι πρέπει να αποσαφηνισθεί στην πρόταση ποιο νομικό καθεστώς έχει εφαρμογή σε κάθε στάδιο της επεξεργασίας και να διευκρινισθεί ενώπιον ποιου φορέα ή αρχής ασκείται το δικαίωμα πρόσβασης ή διόρθωσης. Ο ΕΕΠΔ υπενθυμίζει ότι, σύμφωνα με το άρθρο 30 παράγραφος 1 στοιχείο β) της συνθήκης για την Ευρωπαϊκή Ένωση, οι διατάξεις σχετικά με την προστασία των δεδομένων θα πρέπει να είναι κατάλληλες και να καλύπτουν όλο το φάσμα των επεξεργασιών που προβλέπει η πρόταση. Δεν αρκεί απλή παραπομπή στην απόφαση-πλαίσιο για με την προστασία των δεδομένων, λόγω του περιορισμένου πεδίου εφαρμογής της εν λόγω απόφασης-πλαισίου και του περιορισμού των δικαιωμάτων που προβλέπει. Όταν πρόκειται για αρχές επιβολής του νόμου, οι κανόνες της απόφασης-πλαισίου για με την προστασία των δεδομένων θα πρέπει να εφαρμόζονται τουλάχιστον στο σύνολο της επεξεργασίας που προβλέπεται στην πρόταση, ώστε να εξασφαλίζεται η συνεπής εφαρμογή των αρχών της προστασίας δεδομένων.

68.

Ο ΕΕΠΔ σημειώνει ότι η πρόταση δεν προβλέπει τίποτε συγκεκριμένο όσον αφορά την ιδιότητα των παραληπτών των δεδομένων προσωπικού χαρακτήρα που συλλέγονται από τις αεροπορικές εταιρίες, είτε πρόκειται για ενδιάμεσους φορείς είτε για μονάδες στοιχείων επιβατών είτε για αρμόδιες αρχές. Πρέπει να τονισθεί ότι η ιδιότητα του παραλήπτη σχετίζεται άμεσα με τις εγγυήσεις προστασίας δεδομένων που ισχύουν για το συγκεκριμένο παραλήπτη. Η διαφορά μεταξύ των παρεχόμενων εγγυήσεων, ιδίως μεταξύ κανόνων του πρώτου και του τρίτου πυλώνα, έχει αναφερθεί ακόμη. Έχει σημασία να είναι σαφές το εφαρμοστέο καθεστώς για όλους τους ενδιαφερόμενους φορείς, περιλαμβανομένων των εθνικών κυβερνήσεων, των υπηρεσιών επιβολής του νόμου, των αρχών προστασίας δεδομένων καθώς και των υπευθύνων επεξεργασίας δεδομένων και των προσώπων στα οποία αναφέρονται τα εκάστοτε δεδομένα.

69.

Δεν περιέχονται στην πρόταση στοιχεία σχετικά με την ιδιότητα των ενδιάμεσων φορέων (32). Δεν αποσαφηνίζεται εξάλλου ούτε ο ρόλος των ενδιάμεσων φορέων ως υπευθύνων επεξεργασίας ή εκτελούντων την επεξεργασία. Η πείρα αποδεικνύει ότι οντότητα του ιδιωτικού φορέα, είτε πρόκειται για ηλεκτρονικό σύστημα κράτησης είτε όχι, θα μπορούσε πολύ εύκολα να αναλάβει το καθήκον συλλογής δεδομένων PNR απευθείας από τις αεροπορικές εταιρίες προς περαιτέρω διαβίβαση στις PIU. Αυτός ακριβώς είναι ο τρόπος επεξεργασίας των δεδομένων δυνάμει της συμφωνίας PNR με τον Καναδά. Η SITA (33) αποτελεί την υπεύθυνη εταιρία για την επεξεργασία των πληροφοριών. Ο ρόλος του ενδιάμεσου φορέα είναι αποφασιστικός, δεδομένου ότι θα μπορούσε να είναι υπεύθυνος για τη διήθηση/αναμόρφωση των δεδομένων που διαβιβάζονται συγκεντρωτικά από τις αεροπορικές γραμμές (34). Μολονότι οι ενδιάμεσοι φορείς υποχρεούνται να ακυρώνουν τις πληροφορίες τις οποίες υπέβαλαν σε επεξεργασία αμέσως μετά τη διαβίβασή τους στις PIU, η επεξεργασία αυτή καθεαυτή είναι ιδιαίτερα ευαίσθητη: συνέπεια της παρέμβασης των ενδιάμεσων φορέων αποτελεί η δημιουργία πρόσθετης βάσης δεδομένων που περιέχει τεράστιες ποσότητες δεδομένων, μεταξύ των οποίων, σύμφωνα με την πρόταση, και ευαίσθητα δεδομένα (τα τελευταία διαγράφονται υποχρεωτικά από τους ενδιάμεσους φορείς). Για τους λόγους αυτούς ο ΕΕΠΔ συνιστά να μην επιτρέπεται η συμμετοχή ενδιάμεσων φορέων στην επεξεργασία δεδομένων επιβατών, εκτός εάν η ιδιότητα και τα καθήκοντά τους προσδιορίζονται σαφώς.

70.

Οι PIU διαδραματίζουν αποφασιστικό ρόλο στην ταυτοποίηση προσώπων που έχουν εμπλακεί ή ενδέχεται να εμπλακούν σε τρομοκρατική πράξη ή οργανωμένο έγκλημα και των συνενόχων τους. Σύμφωνα με την πρόταση, θα είναι υπεύθυνες για τη δημιουργία δεικτών επικινδυνότητας και την παροχή απόρρητων πληροφοριών σχετικά με τις ταξιδιωτικές πρακτικές (35). Όταν η εκτίμηση επικινδυνότητας βασίζεται σε τυποποιημένες ταξιδιωτικές πρακτικές και όχι σε ουσιαστικά αποδεικτικά στοιχεία που συνδέονται με συγκεκριμένη περίπτωση, η ανάλυση μπορεί να θεωρηθεί ως προορατική έρευνα. Ο ΕΕΠΔ τονίζει ότι αυτό το είδος επεξεργασίας ρυθμίζεται κατ' αρχήν αυστηρά από τη νομοθεσία κάθε κράτους μέλους (εφόσον δεν απαγορεύεται) και ανατίθεται σε ειδικές δημόσιες αρχές η λειτουργία των οποίων ρυθμίζεται επίσης αυστηρά.

71.

Κατά συνέπεια στις PIU ανατίθεται ιδιαίτερα ευαίσθητη επεξεργασία πληροφοριών, χωρίς η πρόταση να παρέχει στοιχεία όσον αφορά την ιδιότητά τους και τις προϋποθέσεις υπό τις οποίες θα ασκούν την αρμοδιότητα αυτή. Μολονότι είναι πιθανό ότι το έργο αυτό θα εκτελείται από δημόσιο φορέα, ενδεχομένως τα τελωνεία ή τις υπηρεσίες συνοριακού ελέγχου, η πρόταση δεν απαγορεύει ρητώς στα κράτη μέλη να αναθέτουν τα σχετικά καθήκοντα σε υπηρεσίες πληροφοριών ή ακόμη και σε οποιονδήποτε άλλο εκτελούντα επεξεργασίες. Ο ΕΕΠΔ υπογραμμίζει ότι η διαφάνεια και οι εγγυήσεις που ισχύουν για τις υπηρεσίες πληροφοριών δεν είναι πάντοτε οι ίδιες με εκείνες που ισχύουν για τις παραδοσιακές αρχές επιβολής του νόμου. Οι λεπτομέρειες σχετικά με την ιδιότητα των PIU είναι αποφασιστικές, δεδομένου ότι αυτό θα έχει άμεσες συνέπειες στο εφαρμοστέο νομικό πλαίσιο και τις προϋποθέσεις εποπτείας. Ο ΕΕΠΔ κρίνει ότι πρέπει να προστεθεί στην πρόταση διάταξη που να ορίζει λεπτομερώς τα ιδιαίτερα χαρακτηριστικά των PIU.

72.

Από το άρθρο 4 της πρότασης προκύπτει ότι οποιαδήποτε αρχή αρμόδια για την πρόληψη ή καταπολέμηση των τρομοκρατικών εγκλημάτων και του οργανωμένου εγκλήματος μπορεί να παραλάβει δεδομένα. Μολονότι ο σκοπός ορίζεται σαφώς, δεν συμβαίνει το ίδιο με την ιδιότητα της αρχής. Η πρόταση δεν προβλέπει κανέναν περιορισμό των παραληπτών στις αρχές επιβολής του νόμου.

Όπως αναφέραμε ήδη σχετικά με τις PIU, έχει αποφασιστική σημασία η επεξεργασία των εν λόγω ευαίσθητων στοιχείων να πραγματοποιείται σε περιβάλλον με σαφές νομικό πλαίσιο. Αυτό ισχύει ακόμη περισσότερο, λ.χ., για τις αρχές επιβολής του νόμου απ' ό,τι για τις υπηρεσίες πληροφοριών. Λαμβανομένων υπόψη των στοιχείων εξόρυξης δεδομένων και της προορατικής έρευνας που περιλαμβάνεται στην πρόταση, δεν μπορεί να αποκλεισθεί η συμμετοχή αυτών των υπηρεσιών πληροφοριών στην επεξεργασία των δεδομένων, χωρίς να αποκλεισθεί οποιοσδήποτε άλλος τύπος αρχών.

73.

Ως γενικό σχόλιο, ο ΕΕΠΔ επισημαίνει ότι η επιβολή συστήματος PNR της Ευρωπαϊκής Ένωσης δυσχεραίνεται ακόμη περισσότερο επειδή οι αρχές επιβολής του νόμου έχουν διαφορετικές αρμοδιότητες ανάλογα με το εθνικό δίκαιο κάθε κράτους μέλους, καλύπτοντας ή όχι τις απόρρητες πληροφορίες, τη φορολογία, τη μετανάστευση ή την αστυνόμευση. Αυτός είναι πάντως άλλος ένας λόγος για τον οποίο συνιστάται να είναι σαφέστερη η πρόταση όσον αφορά την ιδιότητα των αναφερόμενων φορέων και τις εγγυήσεις που προβλέπονται για τον έλεγχο της άσκησης των αρμοδιοτήτων τους. Θα πρέπει να προστεθούν στην πρόταση διατάξεις στις οποίες θα ορίζονται περιοριστικά οι αρμοδιότητες και οι νομικές υποχρεώσεις των ενδιάμεσων φορέων, PIU και άλλων αρμόδιων αρχών.

74.

Η πρόταση προβλέπει κάποιες διασφαλίσεις όσον αφορά τη διαβίβαση δεδομένων PNR σε τρίτες χώρες (36). Ειδικότερα προβλέπει ρητώς την εφαρμογή της απόφασης-πλαισίου για με την προστασία των δεδομένων στις διαβιβάσεις δεδομένων, εισάγει περιορισμό ειδικού σκοπού και ορίζει ότι απαιτείται η συναίνεση του κράτους μέλους σε περίπτωση περαιτέρω διαβίβασης. Η διαβίβαση θα πρέπει επίσης να είναι σύμφωνη με το εθνικό δίκαιο του συγκεκριμένου κράτους μέλους καθώς και με οποιαδήποτε εφαρμοστέα εθνική νομοθεσία.

75.

Παραμένουν ωστόσο εκκρεμή πολλά θέματα, ιδίως όσον αφορά το είδος της συναίνεσης, τις προϋποθέσεις εφαρμογής της απόφασης-πλαισίου για με την προστασία των δεδομένων και την «αμοιβαιότητα» κατά τη διαβίβαση δεδομένων σε τρίτες χώρες.

76.

Το κράτος μέλος καταγωγής πρέπει να παρέχει ρητή συναίνεση για την περαιτέρω διαβίβαση δεδομένων από τρίτη χώρα σε άλλη τρίτη χώρα. Η πρόταση δεν προσδιορίζει υπό ποιες προϋποθέσεις και από ποιον θα παρέχεται η συναίνεση αυτή και κατά πόσον θα πρέπει να συμμετέχουν στην απόφαση οι αρχές που είναι επιφορτισμένες με την προστασία των δεδομένων (ΑΠΔ). Ο ΕΕΠΔ κρίνει ότι ο τρόπος παροχής της συναίνεσης θα πρέπει τουλάχιστον να είναι σύμφωνος με το εθνικό δίκαιο που ορίζει τις προϋποθέσεις διαβίβασης δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες.

77.

Επιπλέον η συναίνεση κράτους μέλους δεν θα πρέπει να υπερέχει της αρχής σύμφωνα με την οποία πρέπει να προβλέπεται κατάλληλο επίπεδο προστασίας από την παραλήπτρια χώρα για τη σχεδιαζόμενη επεξεργασία. Οι ανωτέρω προϋποθέσεις θα πρέπει να είναι σωρευτικές, όπως και στην απόφαση-πλαίσιο για με την προστασία των δεδομένων (άρθρο 14). Ο ΕΕΠΔ εισηγείται συνεπώς να προστεθεί στο άρθρο 8 παράγραφος 1 το εξής στοιχείο γ): «και γ) το τρίτο κράτος εξασφαλίζει κατάλληλο επίπεδο προστασίας για τη σχεδιαζόμενη διαβίβαση δεδομένων». Ο ΕΕΠΔ υπενθυμίζει εν προκειμένω ότι πρέπει να τεθούν σε λειτουργία μηχανισμοί που να εξασφαλίζουν κοινά πρότυπα και συντονισμένες αποφάσεις όσον αφορά την επάρκεια (37).

78.

Η πρόταση αφορά τις προϋποθέσεις και διασφαλίσεις που περιέχονται στην απόφαση-πλαίσιο για με την προστασία των δεδομένων, ενώ ταυτοχρόνως προσδιορίζει ρητώς ορισμένες προϋποθέσεις, ιδίως την προαναφερόμενη συναίνεση του συγκεκριμένου κράτους μέλους, και καθιερώνει περιορισμό του σκοπού στην πρόληψη και καταπολέμηση των τρομοκρατικών εγκλημάτων και του οργανωμένου εγκλήματος.

79.

Η απόφαση-πλαίσιο για με την προστασία των δεδομένων αυτή καθεαυτή προβλέπει προϋποθέσεις για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, ιδίως όσον αφορά τον περιορισμό του σκοπού, την ιδιότητα των παραληπτών, τη συναίνεση των κρατών μελών και την αρχή της επάρκειας. Προβλέπει ωστόσο και παρεκκλίσεις από αυτές τις προϋποθέσεις διαβίβασης: τα προέχοντα έννομα συμφέροντα, ιδίως σημαντικά δημόσια συμφέροντα, μπορούν να αποτελέσουν επαρκή βάση για τη διαβίβαση ακόμη και όταν δεν πληρούνται οι προϋποθέσεις που απαριθμούνται ανωτέρω.

80.

Όπως αναφέρθηκε ήδη στο κεφάλαιο ΙΙΙ της παρούσας γνωμοδότησης, ο ΕΕΠΔ φρονεί ότι πρέπει να αναφέρεται ρητώς στο διατακτικό της πρότασης ότι οι σαφέστερες εγγυήσεις της πρότασης υπερέχουν των γενικών προϋποθέσεων —και εξαιρέσεων— της απόφασης-πλαισίου για την προστασία των δεδομένων, εφόσον συντρέχει περίπτωση.

81.

Η πρόταση ρυθμίζει το θέμα των ενδεχόμενων «ανταποδοτικών αιτήσεων» χωρών που θα μπορούσαν να ζητούν από την Ευρωπαϊκή Ένωση δεδομένα PNR για πτήσεις από την Ευρωπαϊκή Ένωση προς το έδαφός τους. Όταν η Ευρωπαϊκή Ένωση ζητεί δεδομένα από βάσεις δεδομένων αεροπορικών εταιριών των εν λόγω τρίτων χωρών, επειδή αυτές εκτελούν πτήση προς ή από την Ευρωπαϊκή Ένωση, η εκάστοτε τρίτη χώρα θα μπορούσε να ζητήσει το ίδιο από αεροπορικές εταιρίες που εδρεύουν στην Ευρωπαϊκή Ένωση, περιλαμβανομένων δεδομένων από πολίτες της Ευρωπαϊκής Ένωσης. Η Επιτροπή, μολονότι θεωρεί το ενδεχόμενο αυτό «πολύ απίθανο», δεν το αποκλείει. Η πρόταση αναφέρεται εν προκειμένω στο γεγονός ότι οι συμφωνίες με τις ΗΠΑ και τον Καναδά προβλέπουν τέτοια αμοιβαία αντιμετώπιση, η οποία «μπορεί να τίθεται σε αυτόματη εφαρμογή» (38). Ο ΕΕΠΔ αμφισβητεί τη σημασία αυτής της αυτόματης αμοιβαιότητας και την εφαρμογή διασφαλίσεων όσον αφορά τις σχετικές διαβιβάσεις, για τις οποίες θα λαμβανόταν ιδίως υπόψη η ύπαρξη επαρκούς επιπέδου προστασίας στη συγκεκριμένη χώρα.

82.

Θα μπορούσε να γίνει διάκριση μεταξύ των τρίτων χωρών που έχουν συνάψει ήδη συμφωνία με την Ευρωπαϊκή Ένωση και εκείνων που δεν διαθέτουν τέτοια συμφωνία.

83.

Ο ΕΕΠΔ επισημαίνει ότι η αμοιβαιότητα θα οδηγούσε ενδεχομένως στη διαβίβαση δεδομένων προσωπικού χαρακτήρα σε χώρες που δεν μπορούν να προσφέρουν εγγυήσεις από άποψη δημοκρατικών προδιαγραφών και επαρκούς προστασίας των δεδομένων.

84.

Η εκτίμηση των επιπτώσεων παρέχει περαιτέρω στοιχεία όσον αφορά τις προϋποθέσεις της διαβίβασης δεδομένων σε τρίτες χώρες: υπογραμμίζεται το πλεονέκτημα του συστήματος PNR της Ευρωπαϊκής Ένωσης, όπου τα δεδομένα υποβάλλονται σε διήθηση από τις PIU. Μόνον επιλεγμένα δεδομένα σχετικά με υπόπτους (και όχι συγκεντρωτικά δεδομένα) θα διαβιβάζονταν στις αρμόδιες αρχές των κρατών μελών και πιθανώς επίσης σε τρίτες χώρες (39). Ο ΕΕΠΔ συνιστά να αποσαφηνισθεί το σημείο αυτό στο διατακτικό της πρότασης. Μια απλή δήλωση στην εκτίμηση των επιπτώσεων δεν παρέχει την απαραίτητη προστασία.

85.

Μολονότι η επιλογή δεδομένων θα συνέβαλε να ελαχιστοποιηθούν οι επιπτώσεις στην ιδιωτική ζωή των επιβατών, υπενθυμίζεται ότι οι αρχές της προστασίας των δεδομένων δεν περιορίζονται κατά κανέναν τρόπο στην ελαχιστοποίηση των δεδομένων και περιλαμβάνουν αρχές όπως η αναγκαιότητα, η διαφάνεια και η άσκηση των δικαιωμάτων του προσώπου στο οποίο αναφέρονται τα δεδομένα, οι οποίες πρέπει να λαμβάνονται υπόψη προκειμένου να προσδιορισθεί κατά πόσον μια τρίτη χώρα παρέχει επαρκές επίπεδο προστασίας.

86.

Στην εκτίμηση των επιπτώσεων αναφέρεται ότι μια τέτοια επεξεργασία θα επιτρέψει στην Ευρωπαϊκή Ένωση «να επιμείνει όσον αφορά ορισμένες προδιαγραφές και να εξασφαλίσει τη συνοχή σε αυτές τις διμερείς συμφωνίες με τρίτες χώρες». Θα επιτρέψει επίσης στην Ευρωπαϊκή Ένωση να ζητήσει αμοιβαία αντιμετώπιση από τις τρίτες χώρες με τις οποίες η Ευρωπαϊκή Ένωση διαθέτει συμφωνία, πράγμα που είναι αδύνατον προς το παρόν (40).

87.

Από τις παρατηρήσεις αυτές προκύπτει το θέμα των επιπτώσεων της πρότασης στις ισχύουσες συμφωνίες με τον Καναδά και τις ΗΠΑ. Οι προϋποθέσεις των συμφωνιών αυτών για την πρόσβαση στα δεδομένα είναι πράγματι πολύ ευρύτερες, δεδομένου ότι τα δεδομένα δεν υποβάλλονται σε ανάλογη επιλογή πριν διαβιβασθούν στις εν λόγω τρίτες χώρες.

88.

Στην εκτίμηση των επιπτώσεων αναφέρεται ότι «στις περιπτώσεις κατά τις οποίες η Ευρωπαϊκή Ένωση διαθέτει διεθνή συμφωνία με τρίτη χώρα για την ανταλλαγή/διαβίβαση δεδομένων PNR στη χώρα αυτή, η συμφωνία λαμβάνεται δεόντως υπόψη. Οι μεταφορείς θα πρέπει να αποστέλλουν τα δεδομένα PNR στις μονάδες στοιχείων επιβατών σύμφωνα με την πρακτική που συνηθίζεται στο πλαίσιο του ισχύοντος μέτρου. Η PIU που παραλαμβάνει τα δεδομένα τα διαβιβάζει στην αρμόδια αρχή της τρίτης χώρας με την οποία υφίσταται σχετική συμφωνία» (41).

89.

Μολονότι από τη μία πλευρά η πρόταση φαίνεται να αποσκοπεί στη διαβίβαση αποκλειστικά επιλεγμένων δεδομένων σε οποιαδήποτε αρμόδια αρχή, είτε εντός είτε εκτός της Ευρωπαϊκής Ένωσης, από την άλλη πλευρά η εκτίμηση των επιπτώσεων, το προοίμιο της πρότασης (αιτιολογική παράγραφος 21) και το ίδιο το άρθρο 11 υπενθυμίζουν ότι θα πρέπει να λαμβάνονται δεόντως υπόψη οι ισχύουσες συμφωνίες. Αυτό θα μπορούσε να οδηγήσει στο συμπέρασμα ότι η διήθηση μπορεί να έχει αξία μόνο ως προς τις συμφωνίες που θα συναφθούν στο μέλλον. Θα μπορούσε να προβλεφθεί εν προκειμένω ότι η συγκεντρωτική πρόσβαση θα εξακολουθήσει να αποτελεί τον κανόνα για την πρόσβαση, λ.χ., των αρχών των ΗΠΑ στα δεδομένα PNR, σύμφωνα με τις διατάξεις της συμφωνίας μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής, αλλά ότι παραλλήλως και κατά περίπτωση θα μπορούσε να πραγματοποιηθεί διαβίβαση προς τις ΗΠΑ όσον αφορά ειδικά δεδομένα που έχουν προσδιορίσει οι PIU, μεταξύ άλλων δεδομένα σχετικά με πτήσεις προς τις ΗΠΑ.

90.

Ο ΕΕΠΔ λυπάται για την έλλειψη σαφήνειας στο αποφασιστικό αυτό σημείο της πρότασης. Κατά τη γνώμη του έχει κεφαλαιώδη σημασία να είναι συνεπείς οι προϋποθέσεις διαβίβασης δεδομένων PNR σε τρίτες χώρες και να υπόκεινται σε εναρμονισμένο επίπεδο προστασίας. Επιπλέον, για λόγους ασφάλειας δικαίου, οι λεπτομέρειες όσον αφορά τις εγγυήσεις που ισχύουν για τη διαβίβαση δεδομένων θα πρέπει να περιληφθούν στο διατακτικό της πρότασης και όχι απλώς στην εκτίμηση των επιπτώσεων, όπως συμβαίνει προς το παρόν.

91.

Ο ΕΕΠΔ σημειώνει ότι η πρόταση προβλέπει ρητώς ότι δεν λαμβάνεται κανένα μέτρο επιβολής του νόμου από τις μονάδες στοιχείων επιβατών και τις αρμόδιες αρχές των κρατών μελών με αποκλειστικό αίτιο την αυτοματοποιημένη επεξεργασία δεδομένων PNR ή με βάση τη φυλετική ή εθνοτική καταγωγή, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τα πολιτικά φρονήματα ή τον ερωτικό προσανατολισμό ενός ατόμου (42).

92.

Η διευκρίνιση αυτή είναι σκόπιμη, δεδομένου ότι περιορίζει τους κινδύνους λήψης αυθαίρετων μέτρων κατά φυσικών προσώπων. Ο ΕΕΠΔ σημειώνει ωστόσο ότι το πεδίο εφαρμογής περιορίζεται σε μέτρα επιβολής του νόμου των PIU ή των αρμόδιων αρχών. Δεν αποκλείεται, με την παρούσα διατύπωση, η αυτοματοποιημένη διήθηση φυσικών προσώπων σύμφωνα με τυποποιημένα προφίλ, ούτε απαγορεύονται η αυτοματοποιημένη κατάρτιση καταλόγων υπόπτων και η λήψη μέτρων όπως η εκτεταμένη εποπτεία, εφόσον αυτά δεν θεωρούνται ως μέτρα επιβολής του νόμου.

93.

Ο ΕΕΠΔ φρονεί ότι η έννοια των μέτρων επιβολής του νόμου είναι υπερβολικά αόριστη και ότι, κατ' αρχήν, δεν θα πρέπει να λαμβάνεται καμία απόφαση έναντι φυσικού προσώπου με αποκλειστικό αίτιο την αυτοματοποιημένη επεξεργασία των δεδομένων του (43). Ο ΕΕΠΔ συνιστά να τροποποιηθεί αναλόγως η πρόταση.

94.

Στο άρθρο 5 παράγραφος 2 παρέχεται μια σημαντική διευκρίνιση, με την οποία γίνεται σαφές ότι δεν επιβάλλεται στις αεροπορικές εταιρίες υποχρέωση συλλογής ή διατήρησης πρόσθετων δεδομένων πέραν εκείνων που συλλέγονται για τον αρχικό εμπορικό σκοπό.

95.

Κάποιες από τις πτυχές της επεξεργασίας των δεδομένων αυτών αξίζει να σχολιασθούν περαιτέρω:

Ο ΕΕΠΔ συμφωνεί με τις επισημάνσεις που περιέχει ως προς το σημείο αυτό η γνωμοδότηση της Ομάδας του άρθρου 29.

96.

Οι αερομεταφορείς που είναι εγκατεστημένοι εκτός της Ευρωπαϊκής Ένωσης υποχρεούνται να προωθούν δεδομένα στις PIU ή τους ενδιάμεσους φορείς εφόσον διαθέτουν τα αναγκαία τεχνικά μέσα. Εάν δεν ισχύει αυτό, θα πρέπει να επιτρέπουν την απόσπαση δεδομένων με τη μέθοδο της άντλησης.

97.

Η δυνατότητα χρήσης διάφορων μεθόδων για την κοινοποίηση δεδομένων ανάλογα με την εκάστοτε αεροπορική εταιρία απλώς θα δυσχεράνει ακόμη περισσότερο τον έλεγχο της συμμόρφωσης της διαβίβασης δεδομένων PNR προς του κανόνες προστασίας των δεδομένων. Αυτό θα μπορούσε να οδηγήσει επίσης σε στρέβλωση του ανταγωνισμού μεταξύ αεροπορικών εταιριών της Ευρωπαϊκής Ένωσης και εταιριών τρίτων χωρών.

98.

Ο ΕΕΠΔ υπενθυμίζει ότι η μέθοδος της προώθησης, που επιτρέπει στις αεροπορικές εταιρίες να διατηρούν τον έλεγχο όσον αφορά την ποιότητα των διαβιβαζόμενων δεδομένων και τις περιστάσεις κάθε διαβίβασης, αποτελεί τη μόνη παραδεκτή μέθοδο από την άποψη της αναλογικότητας της επεξεργασίας. Επιπλέον πρέπει να αποτελεί αποτελεσματική προώθηση, δηλ. τα δεδομένα δεν θα πρέπει να αποστέλλονται συγκεντρωτικά σε ενδιάμεσο φορέα, αλλά να υποβάλλονται σε διήθηση από το πρώτο ήδη στάδιο της επεξεργασίας. Είναι απαράδεκτο να αποστέλλονται σε τρίτο περιττά δεδομένα —και δεδομένα που δεν περιλαμβάνονται στο παράρτημα 1 της πρότασης—, ακόμη και σε περίπτωση που τα δεδομένα αυτά θα διαγραφούν αμέσως από τον εν λόγω τρίτο.

99.

Στο άρθρο 9 της πρότασης προβλέπεται πενταετής διατήρηση των δεδομένων PNR, με περαιτέρω διατήρηση επί οκτώ έτη όταν τα δεδομένα διατηρούνται σε «αδρανή» βάση δεδομένων, προσιτή υπό περιοριστικές προϋποθέσεις.

100.

Ο ΕΕΠΔ διερωτάται ποια είναι η διαφορά μεταξύ των δύο τύπων βάσεων δεδομένων: είναι αμφίβολο ότι η αδρανής βάση δεδομένων αποτελεί πραγματικό αρχείο, με διαφορετικές μεθόδους αποθήκευσης και ανάκτησης δεδομένων. Πράγματι, οι περισσότερες προϋποθέσεις για τη πρόσβαση στην αδρανή βάση δεδομένων αποτελούν προδιαγραφές ασφάλειας, που θα μπορούσαν να εφαρμόζονται και στη «βάση δεδομένων πενταετούς διατήρησης».

101.

Η συνολική διάρκεια της αποθήκευσης —δεκατρία έτη— είναι εν πάση περιπτώσει υπερβολική. Δικαιολογείται στην εκτίμηση των επιπτώσεων από την ανάγκη να αναπτυχθούν δείκτες επικινδυνότητας και να ανιχνευθούν ταξιδιωτικές πρακτικές και συνήθεις συμπεριφορές (46), η αποτελεσματικότητα των οποίων δεν έχει αποδειχθεί ακόμη. Μολονότι είναι προφανές ότι τα δεδομένα μπορούν να διατηρούνται για όσο χρόνο αυτό είναι αναγκαίο εφόσον συνεχίζεται ανάκριση για συγκεκριμένη υπόθεση, δεν μπορεί να δικαιολογηθεί κατά κανέναν τρόπο η διατήρηση των δεδομένων όλων των επιβατών επί δεκατρία έτη σε περίπτωση παντελούς ελλείψεως υπονοιών.

102.

Ο ΕΕΠΔ σημειώνει περαιτέρω ότι αυτή η περίοδος διατήρησης δεν δικαιολογείται από τις απαντήσεις των κρατών μελών στο ερωτηματολόγιο της Επιτροπής, σύμφωνα με τις οποίες η μέση απαιτούμενη διάρκεια αποθήκευσης θα ήταν τριάμισι έτη (47).

103.

Επιπλέον η περίοδος των δεκατριών ετών είναι ανάλογη με τη δεκαπενταετή περίοδο διατήρησης που προβλέπεται στην πλέον πρόσφατη συμφωνία με τις Ηνωμένες Πολιτείες. Ο ΕΕΠΔ πάντα θεωρούσε ότι η μακρά περίοδος διατήρησης συμφωνήθηκε επειδή η κυβέρνηση των ΗΠΑ είχε ασκήσει ισχυρή πίεση ώστε να προβλεφθεί περίοδος πολύ μακρύτερη από τα 3,5 έτη και όχι επειδή η λύση αυτή είχε υποστηριχθεί σε οποιοδήποτε στάδιο από το Συμβούλιο ή την Επιτροπή. Δεν υπάρχει λόγος να ενσωματωθεί ο συμβιβασμός αυτός —που δικαιολογείται μόνο ως αναγκαίο αποτέλεσμα διαπραγματευτικής διαδικασίας— σε νομική πράξη στο πλαίσιο της Ευρωπαϊκής Ένωσης.

104.

Η επιτροπή των κρατών μελών που συνιστάται σύμφωνα με το άρθρο 14 της πρότασης θα είναι αρμόδια όσον αφορά τα θέματα ασφάλειας, περιλαμβανομένων του πρωτοκόλλου και της κρυπτογράφησης των δεδομένων PNR, αλλά επίσης ως προς τις κατευθύνσεις σχετικά με τα κοινά γενικά κριτήρια, τις μεθόδους και τις πρακτικές που συνδέονται με την εκτίμηση της επικινδυνότητας.

105.

Πέραν των ενδείξεων αυτών η πρόταση δεν περιλαμβάνει άλλα στοιχεία ή κριτήρια σχετικά με τις συγκεκριμένες προϋποθέσεις και το πλαίσιο της διαδικασίας εκτίμησης της επικινδυνότητας. Στην εκτίμηση των επιπτώσεων αναφέρεται ότι τα κριτήρια θα εξαρτώνται τελικά από τις απόρρητες πληροφορίες κάθε κράτους μέλους, οι οποίες εξελίσσονται διαρκώς. Η εκτίμηση της επικινδυνότητας θα διενεργείται χωρίς να υφίστανται ενιαία πρότυπα ταυτοποίησης των υπόπτων. Είναι συνεπώς αμφίβολο το κατά πόσον η επιτροπή των κρατών μελών θα μπορεί να διαδραματίζει ένα ρόλο εν προκειμένω.

106.

Η πρόταση αναφέρει λεπτομερώς σειρά μέτρων ασφαλείας (48) που θα πρέπει να λαμβάνονται από τις PIU, τους ενδιάμεσους φορείς και τις λοιπές αρμόδιες αρχές προς προστασία των δεδομένων. Λόγω της σημασίας της βάσης δεδομένων και του ευαίσθητου χαρακτήρα της επεξεργασίας, ο ΕΕΠΔ φρονεί ότι, πέραν των προβλεπόμενων μέτρων, ο φορέας που επεξεργάζεται τα δεδομένα θα πρέπει επίσης να υποχρεούται να κοινοποιεί επισήμως οποιαδήποτε παραβίαση της ασφάλειας.

107.

Ο ΕΕΠΔ γνωρίζει το σχέδιο για την καθιέρωση σχετικής διαδικασίας κοινοποίησης στον τομέα των ηλεκτρονικών επικοινωνιών σε ευρωπαϊκό επίπεδο. Συνιστά να περιληφθεί ανάλογη διασφάλιση στην παρούσα πρόταση και παραπέμπει εν προκειμένω στο σύστημα παραβίασης της ασφάλειας που εφαρμόζεται στις Ηνωμένες Πολιτείες όσον αφορά τις κυβερνητικές υπηρεσίες (49). Είναι πράγματι δυνατόν να προκύψουν προβλήματα όσον αφορά την ασφάλεια σε σχέση με οποιαδήποτε δραστηριότητα, τόσο στον ιδιωτικό όσο και στο δημόσιο τομέα, όπως αποδεικνύεται από την πρόσφατη απώλεια μιας ολόκληρης βάσης δεδομένων πολιτών από τη βρετανική διοίκηση (50). Οι βάσεις δεδομένων μεγάλης κλίμακας, όπως η προβλεπόμενη στην πρόταση, θα πρέπει να επωφελούνται κατά προτεραιότητα από ένα τέτοιο σύστημα σήμανσης.

108.

Ο ΕΕΠΔ σημειώνει ότι εντός τριών ετών από την έναρξη ισχύος της απόφασης-πλαισίου προβλέπεται η επανεξέτασή της, βάσει εκθέσεως της Επιτροπής. Αναγνωρίζει ότι η επανεξέταση αυτή, που θα βασίζεται σε πληροφορίες των κρατών μελών, θα δώσει ιδιαίτερη προσοχή στις διασφαλίσεις της προστασίας των δεδομένων και θα περιλαμβάνει την εφαρμογή της μεθόδου «προώθησης», τη διατήρηση των δεδομένων και την ποιότητα της εκτίμησης της επικινδυνότητας. Η εν λόγω επανεξέταση, για να είναι πλήρης, θα πρέπει να περιλαμβάνει τα αποτελέσματα ανάλυσης των στατιστικών δεδομένων που παράγονται βάσει της επεξεργασίας των πληροφοριών PNR. Οι στατιστικές αυτές θα πρέπει, πέραν των στοιχείων που αναφέρονται στο άρθρο 18 της πρότασης, να περιλαμβάνουν λεπτομέρειες σχετικά με τον εντοπισμό προσώπων υψηλού κινδύνου, όπως τα κριτήρια του εντοπισμού και τα συγκεκριμένα αποτελέσματα κάθε δράσης επιβολής του νόμου που απορρέει από τον εντοπισμό.

109.

Ο ΕΕΠΔ έχει επιμείνει ήδη στη γνωμοδότησή του σχετικά με την έλλειψη συγκεκριμένων στοιχείων που να αποδεικνύουν την αναγκαιότητα του προτεινόμενου συστήματος. Κρίνει ωστόσο ότι, εάν τεθεί σε ισχύ η απόφαση-πλαίσιο, θα πρέπει τουλάχιστον να συμπληρώνεται από ρήτρα λήξης ισχύος. Στο τέλος τριετούς περιόδου η απόφαση-πλαίσιο θα πρέπει να καταργηθεί εφόσον δεν υπάρχουν στοιχεία που να δικαιολογούν τη διατήρησή της.

110.

Στις τελικές διατάξεις της η πρόταση θέτει μια προϋπόθεση για τη συνέχιση της εφαρμογής των ισχυουσών διμερών ή πολυμερών συμφωνιών ή διευθετήσεων. Οι πράξεις αυτές μπορούν να εφαρμόζονται μόνο εφόσον συμβιβάζονται με τους στόχους της προτεινόμενης απόφασης-πλαισίου.

111.

Ο ΕΕΠΔ διερωτάται ποιο είναι το πεδίο εφαρμογής της διάταξης αυτής. Όπως αναφέρθηκε ήδη στο κεφάλαιο V σχετικά με την αμοιβαιότητα, δεν είναι σαφής ο αντίκτυπος της διάταξης αυτής στο περιεχόμενο των συμφωνιών με τρίτες χώρες, όπως η συμφωνία με τις ΗΠΑ. Από διαφορετική προοπτική δεν είναι σαφές ούτε κατά πόσον η διάταξη θα μπορούσε να επηρεάσει τις προϋποθέσεις εφαρμογής των πράξεων με ευρύτερο πεδίο εφαρμογής, όπως η σύμβαση αριθ. 108 του Συμβουλίου της Ευρώπης. Μολονότι αυτό θα φαινόταν ίσως απίθανο λόγω του διαφορετικού θεσμικού πλαισίου και ενδιαφερόμενων φορέων, θα πρέπει να αποφευχθεί οποιοσδήποτε κίνδυνος παρερμηνείας και η πρόταση θα πρέπει να διευκρινίζει ότι δεν έχει κανέναν αντίκτυπο σε πράξεις με ευρύτερο πεδίο εφαρμογής, ιδίως όσες έχουν ως στόχο την προστασία των θεμελιωδών δικαιωμάτων.

112.

O ΕΕΠΔ τονίζει το σημαντικό αντίκτυπο της παρούσας πρότασης από την άποψη της προστασίας των δεδομένων. Επικέντρωσε την ανάλυσή του στα τέσσερα κύρια θέματα που απορρέουν από την πρόταση και επιμένει ότι τα θέματα αυτά πρέπει να αντιμετωπισθούν κατά συνολικό τρόπο. Υπό τις παρούσες συνθήκες η πρόταση δεν είναι σύμφωνη με τα θεμελιώδη δικαιώματα, ιδίως το άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ένωσης, και δεν θα πρέπει να εγκριθεί.

113.

Σε περίπτωση συμμόρφωσης προς τα ανωτέρω σχόλια και ιδίως το κριτήριο νομιμότητας, στην παρούσα γνωμοδότηση περιλαμβάνονται ορισμένες προτάσεις διατύπωσης που θα πρέπει να ληφθούν υπόψη από το νομοθέτη. Επισημαίνονται ιδίως τα σημεία 67, 73, 77, 80, 90, 93, 106, 109 και 111 της γνωμοδότησης.

114.

Μολονότι ο γενικός σκοπός της καταπολέμησης της τρομοκρατίας και του οργανωμένου εγκλήματος είναι σαφής και θεμιτός, τα βασικά στοιχεία της σχετικής διαδικασίας δεν είναι επαρκώς καθορισμένα και αιτιολογημένα.

115.

Ο ΕΕΠΔ φρονεί ότι, πριν χρησιμοποιηθούν σε τόσο ευρεία κλίμακα τεχνικές που συνίστανται στην εκτίμηση της επικινδυνότητας των φυσικών προσώπων μέσω εργαλείων εξόρυξης δεδομένων και τυπικών συμπεριφορών, θα πρέπει να εκτιμηθούν περαιτέρω και να αποδειχθεί σαφώς η χρησιμότητά τους στο πλαίσιο της καταπολέμησης της τρομοκρατίας.

116.

Το γεγονός ότι η πρόταση βασίζεται σε διάφορες βάσεις δεδομένων χωρίς συνολική εκτίμηση των απτών αποτελεσμάτων και ελλείψεών τους:

117.

Η καταπολέμηση της τρομοκρατίας μπορεί ασφαλώς να αποτελέσει θεμιτό λόγο για την εφαρμογή εξαιρέσεων από τα θεμελιώδη δικαιώματα του σεβασμού της ιδιωτικής ζωής και της προστασίας των δεδομένων. Ωστόσο, για να μπορεί να γίνει δεκτή η παραβίαση της ιδιωτικής ζωής πρέπει να στηρίζεται σε σαφή και αναντίρρητα στοιχεία, ενώ πρέπει να αποδεικνύεται και η αναλογικότητα της επεξεργασίας. Αυτό απαιτείται ακόμη περισσότερο στην περίπτωση εκτεταμένης παραβίασης της ιδιωτικής ζωής των φυσικών προσώπων, όπως προβλέπεται στην πρόταση.

118.

Αυτά τα στοιχεία αιτιολόγησης δεν περιλαμβάνονται στην πρόταση ούτε πληρούνται τα κριτήρια της αναγκαιότητας και της αναλογικότητας.

119.

Ο ΕΕΠΔ επιμένει ότι είναι ουσιώδες να πληρούνται τα κριτήρια της αναγκαιότητας και της αναλογικότητας που περιγράφονται ανωτέρω. Το εν λόγω στοιχείο αποτελεί απαραίτητη προϋπόθεση προκειμένου να τεθεί σε ισχύ η πρόταση.

120.

Ο ΕΕΠΔ επισημαίνει σοβαρή έλλειψη ασφάλειας δικαίου όσον αφορά το καθεστώς το οποίο εφαρμόζεται στους διάφορους φορείς που συμμετέχουν στο σχέδιο και ιδίως στις αεροπορικές γραμμές και σε άλλους φορείς του πρώτου πυλώνα: δεν είναι σαφές εάν πρόκειται για τις διατάξεις της πρότασης, τις διατάξεις της απόφασης-πλαισίου για την προστασία των δεδομένων ή την εθνική νομοθεσία με την οποία εφαρμόζεται η οδηγία 95/46/ΕΚ. Ο νομοθέτης θα πρέπει να διευκρινίσει σε ποια στάδια της διαδικασίας θα εφαρμόζονται οι διάφορες αυτές διατάξεις.

121.

Η παρούσα τάση να επιβάλλεται συνεργασία για σκοπούς επιβολής του νόμου σε ιδιωτικούς φορείς επί συστηματικής βάσεως έχει ως αποτέλεσμα να τίθεται το ερώτημα ποιο πλαίσιο προστασίας δεδομένων (πρώτος ή τρίτος πυλώνας) εφαρμόζεται στις προϋποθέσεις αυτής της συνεργασίας: δεν είναι σαφές κατά πόσον οι εφαρμοστέοι κανόνες θα πρέπει να εξαρτώνται από την ιδιότητα του υπευθύνου επεξεργασίας δεδομένων (ιδιωτικού φορέα) ή από τον επιδιωκόμενο σκοπό (επιβολή του νόμου).

122.

Ο ΕΕΠΔ έχει ήδη τονίσει τον κίνδυνο δημιουργίας νομικού κενού μεταξύ των δραστηριοτήτων του πρώτου και του τρίτου πυλώνα (51). Πράγματι, δεν είναι καθόλου σαφές κατά πόσον οι δραστηριότητες ιδιωτικών εταιριών που συνδέονται με την επιβολή του ποινικού δικαίου εμπίπτουν στο πεδίο δράσης του νομοθέτη της Ευρωπαϊκής Ένωσης δυνάμει των άρθρων 30, 31 και 34 της συνθήκης για την Ευρωπαϊκή Ένωση.

123.

Θα πρέπει να αποφευχθεί να υπαχθεί η επεξεργασία από παρόχους υπηρεσιών για διάφορους σκοπούς σε διαφορετικά πλαίσια προστασίας δεδομένων, ιδίως λόγω των δυσχερειών που θα προέκυπταν όσον αφορά την άσκηση των δικαιωμάτων των προσώπων στα οποία αναφέρονται τα δεδομένα.

124.

Η πρόταση θα πρέπει να περιέχει διευκρινίσεις όσον αφορά την ιδιότητα των παραληπτών των δεδομένων προσωπικού χαρακτήρα που συλλέγονται από τις αεροπορικές εταιρίες, είτε πρόκειται για ενδιαμέσους είτε για μονάδες στοιχείων επιβατών είτε για αρμόδιες αρχές.

125.

Η ιδιότητα του παραλήπτη, που ενδέχεται σε ορισμένες περιπτώσεις να είναι φορέας του ιδιωτικού τομέα, σχετίζεται άμεσα με τον τύπο εγγυήσεων προστασίας δεδομένων που ισχύουν για το συγκεκριμένο παραλήπτη. Έχει σημασία να είναι σαφές το εφαρμοστέο καθεστώς για όλους τους ενδιαφερόμενους φορείς, περιλαμβανομένων του νομοθέτη, των αρχών προστασίας δεδομένων καθώς και των υπευθύνων επεξεργασίας δεδομένων και των προσώπων στα οποία αναφέρονται τα εκάστοτε δεδομένα.

126.

Ο ΕΕΠΔ τονίζει ότι πρέπει να εξασφαλισθεί η παροχή επαρκούς επιπέδου προστασίας στην παραλήπτρια χώρα. Επίσης αμφισβητεί τη σημασία της αρχής της «αμοιβαιότητας» που αναφέρεται στην πρόταση και την εφαρμογή της ως προς χώρες που δεσμεύονται ήδη από συμφωνία με την Ευρωπαϊκή Ένωση, όπως ο Καναδάς και οι ΗΠΑ. Κατά τη γνώμη του έχει κεφαλαιώδη σημασία να είναι συνεπείς οι προϋποθέσεις διαβίβασης δεδομένων PNR σε τρίτες χώρες και να υπόκεινται σε εναρμονισμένο επίπεδο προστασίας.

127.

Ο ΕΕΠΔ εφιστά επίσης την προσοχή του νομοθέτη σε κάποιες ειδικές πτυχές της πρότασης ως προς τις οποίες χρειάζονται περισσότερες διευκρινίσεις ή να ληφθεί καλύτερα υπόψη η αρχή της προστασίας των δεδομένων. Αυτό ισχύει ιδίως όσον αφορά τις ακόλουθες πτυχές:

128.

Ο ΕΕΠΔ σημειώνει ότι η παρούσα πρόταση υποβάλλεται τη στιγμή που το θεσμικό πλαίσιο της Ευρωπαϊκής Ένωσης πρόκειται να μεταβληθεί εκ θεμελίων. Οι συνέπειες της συνθήκης της Λισσαβώνας όσον αφορά τη λήψη αποφάσεων θα είναι πολύ σημαντικές, ιδίως σε σχέση με το ρόλο του Κοινοβουλίου.

129.

Λόγω του πρωτοφανούς αντικτύπου της πρότασης από την άποψη των θεμελιωδών δικαιωμάτων, ο ΕΕΠΔ συνιστά να μην εγκριθεί στο πλαίσιο της παρούσας συνθήκης, αλλά να εξασφαλισθεί ότι θα ακολουθεί την διαδικασία συναπόφασης που προβλέπεται στη νέα συνθήκη. Κατά τον τρόπο αυτό θα ενισχυθούν οι νόμιμοι λόγοι στους οποίους θα βασίζεται η λήψη μέτρων σύμφωνα με την πρόταση.

1.

προστασία της ασφάλειας του κράτους, της δημόσιας ασφάλειας, των νομισματικών συμφερόντων του κράτους ή της καταστολής εγκληματικών ενεργειών·

2.

προστασία του προσώπου που αφορούν τα δεδομένα ή προστασία των δικαιωμάτων και της ελευθερίας άλλων προσώπων».