30.12.2010   

EL

Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης

C 357/7

1.

Την 21η Σεπτεμβρίου 2010 η Επιτροπή εξέδωσε ανακοίνωση σχετικά με τη γενική προσέγγιση για τις διαβιβάσεις δεδομένων από τις καταστάσεις με τα ονόματα των επιβατών (PNR) σε τρίτες χώρες (3). Η ανακοίνωση εστάλη αυθημερόν στον ΕΕΠΔ για γνωμοδότηση.

2.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για το γεγονός ότι ζητήθηκε η γνώμη του από την Επιτροπή. Ο ΕΕΠΔ είχε τη δυνατότητα να διατυπώσει άτυπα σχόλια και πριν από την έκδοση της ανακοίνωσης. Ορισμένα από τα σχόλια αυτά ελήφθησαν υπόψη στην τελική έκδοση του εγγράφου, ενώ για άλλα σημεία εξακολουθούν να εγείρονται προβληματισμοί όσον αφορά την προστασία δεδομένων.

3.

Η γενική προσέγγιση για τα ζητήματα PNR που παρουσιάζεται από την Επιτροπή στην ανακοίνωσή της αποσκοπεί στο να παράσχει ένα συνεκτικό πλαίσιο για τη διαβίβαση δεδομένων PNR σε τρίτες χώρες. Πέραν της ανάγκης για παροχή ασφάλειας δικαίου, για την οποία γίνεται λόγος στην ανακοίνωση, η εναρμονισμένη αυτή προσέγγιση έχει επίσης υποστηριχθεί σθεναρά από το Ευρωπαϊκό Κοινοβούλιο το οποίο, στο νέο πλαίσιο των θεσμικών οργάνων, έχει αναλάβει την αρμοδιότητα να επικυρώνει τις συμφωνίες PNR με τρίτες χώρες (4).

4.

Η ανακοίνωση συμπληρώνεται από συστάσεις σχετικά με τις διαπραγματεύσεις για συμφωνίες PNR με συγκεκριμένες τρίτες χώρες. Οι συστάσεις αυτές έχουν εμπιστευτικό χαρακτήρα και δεν αναλύονται στην παρούσα γνωμοδότηση. Γίνεται, ωστόσο, σχολιασμός της σχέσης μεταξύ της γενικής ανακοίνωσης και των εν λόγω συστάσεων στο κεφάλαιο II.

5.

Πέραν της γενικής προσέγγισης για τις διαβιβάσεις δεδομένων από τις καταστάσεις με τα ονόματα των επιβατών (PNR) σε τρίτες χώρες, η Επιτροπή επεξεργάζεται και μια αναθεωρημένη προσέγγιση για τις διαβιβάσεις των σχετικών δεδομένων εντός της ΕΕ. Πρόταση για τη θέσπιση ενός τέτοιου πλαισίου στην ΕΕ είχε συζητηθεί εντατικά από το Συμβούλιο, υπό τον πρώην τρίτο πυλώνα, πριν από την έναρξη ισχύος της συνθήκης της Λισαβόνας (5). Οι συζητήσεις αυτές δεν κατέληξαν σε ομοφωνία ως προς ορισμένα βασικά στοιχεία του συστήματος PNR, όπως π.χ. η χρήση της βάσης δεδομένων που προκύπτει από ένα τέτοιο σύστημα. Το Πρόγραμμα της Στοκχόλμης κάλεσε εν συνεχεία την Επιτροπή να υποβάλει νέα πρόταση, χωρίς όμως να προσδιορίζει τα βασικά στοιχεία της. Σχέδιο οδηγίας για έναν μηχανισμό PNR για την ΕΕ αναμένεται στις αρχές του 2011.

6.

Η παρούσα γνωμοδότηση επικεντρώνεται στην ανακοίνωση της Επιτροπής. Στο πρώτο μέρος αναλύεται η ανακοίνωση στο πλαίσιο των τρεχουσών εξελίξεων στον τομέα της προστασίας δεδομένων, ενώ το δεύτερο μέρος αφορά τη νομιμότητα του μηχανισμού PNR και το τρίτο πραγματεύεται πιο ειδικά ζητήματα προστασίας δεδομένων που περιλαμβάνονται στην ανακοίνωση.

7.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την οριζόντια προσέγγιση της ανακοίνωσης, η οποία συνάδει με τα πρόσφατα αιτήματα του Ευρωπαϊκού Κοινοβουλίου για μια διεξοδική ανάλυση και μια συνεκτική θεώρηση των υφιστάμενων και προβλεπόμενων μηχανισμών PNR. Ένα υψηλό και εναρμονισμένο επίπεδο προστασίας για το σύνολο των μηχανισμών αυτών αποτελεί στόχο που πρέπει να υποστηριχθεί σθεναρά.

8.

Ωστόσο, ο ΕΕΠΔ εκφράζει αμφιβολίες σε ό,τι αφορά την επιλογή της χρονικής στιγμής για τις διάφορες πρωτοβουλίες που σχετίζονται άμεσα ή έμμεσα με την επεξεργασία δεδομένων PNR.

9.

Ενώ η ανακοίνωση αναφέρεται σε διεθνείς συμφωνίες για μηχανισμούς PNR και στην πρωτοβουλία για έναν μηχανισμό PNR της ΕΕ, τα προτεινόμενα πρότυπα αφορούν μόνο διεθνείς συμφωνίες. Το ευρωπαϊκό πλαίσιο θα συζητηθεί κα θα αναπτυχθεί σε μετέπειτα στάδιο.

10.

Ένα πιο συνεπές και επίκαιρο θεματολόγιο θα περιλάμβανε, κατά τη γνώμη του ΕΕΠΔ, διεξοδικό προβληματισμό γύρω από έναν τέτοιο μηχανισμό σε επίπεδο ΕΕ, συμπεριλαμβανομένων των εγγυήσεων για την προστασία των δεδομένων που θα συμφωνούσαν με το νομικό πλαίσιο της ΕΕ, και με βάση το οποίο θα αναπτυσσόταν μια αντίστοιχη προσέγγιση για τις συμφωνίες με τρίτες χώρες.

11.

Ο ΕΕΠΔ υπογραμμίζει επίσης τις τρέχουσες εργασίες που αφορούν μια γενική συμφωνία ΕΕ-ΗΠΑ για την ανταλλαγή δεδομένων για σκοπούς επιβολής του νόμου (6), σκοπός της οποίας είναι να θεσπίσει μια σειρά από αρχές που θα εγγυώνται ένα υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα ως προϋπόθεση για την ανταλλαγή των δεδομένων αυτών με τις Ηνωμένες Πολιτείες. Η έκβαση των διαπραγματεύσεων ΕΕ-ΗΠΑ πρέπει να αποτελέσει σημείο αναφοράς για την περαιτέρω σύναψη διμερών συμφωνιών από την ΕΕ και τα κράτη μέλη της, συμπεριλαμβανομένης της συμφωνίας PNR μεταξύ ΕΕ και ΗΠΑ.

12.

Ένα ακόμη στοιχείο που πρέπει να ληφθεί υπόψη στο συγκεκριμένο πλαίσιο είναι η γενική εξέταση του πλαισίου της ΕΕ για την προστασία δεδομένων, η οποία διενεργείται επί του παρόντος από την Επιτροπή, ενόψει σχετικής ανακοίνωσης πριν από το τέλος του 2010 και της επακόλουθης πρότασης για ένα νέο κανονιστικό πλαίσιο μέσα στο 2011 (7). Η εν λόγω διαδικασία αναθεώρησης λαμβάνει χώρα στο «μετά τη Λισαβόνα» πλαίσιο, γεγονός που έχει άμεσο αντίκτυπο στην οριζόντια εφαρμογή των αρχών προστασίας δεδομένων στους πρώην πυλώνες της ΕΕ, συμπεριλαμβανομένης της αστυνομικής και δικαστικής συνεργασίας σε ποινικές υποθέσεις.

13.

Για τη διασφάλιση της συνοχής, η ΕΕ πρέπει να συμφωνήσει επί των εσωτερικών μέσων της και, βάσει των μέσων αυτών, να διαπραγματευτεί συμφωνίες με τρίτες χώρες. Η παγκόσμια ατζέντα πρέπει επομένως να επικεντρώνεται καταρχάς στο γενικό πλαίσιο της ΕΕ για την προστασία των δεδομένων, στη συνέχεια στην ενδεχόμενη ανάγκη για έναν ευρωπαϊκό μηχανισμό PNR και, τέλος, στους όρους που θα διέπουν τις ανταλλαγές με τρίτες χώρες, βάσει του ενημερωμένου πλαισίου της ΕΕ. Στο συγκεκριμένο στάδιο, πρέπει να ληφθούν επίσης υπόψη οι εγγυήσεις που προβλέπονται για μια μελλοντική συμφωνία ΕΕ-ΗΠΑ ενόσω θεσπίζονται όροι για διαβιβάσεις δεδομένων από τις καταστάσεις με τα ονόματα των επιβατών (PNR) σε τρίτες χώρες.

14.

Ο ΕΕΠΔ έχει επίγνωση του γεγονότος ότι, για διάφορους διαδικαστικούς και πολιτικούς λόγους, η ιδανική αυτή σειρά δεν ακολουθείται στην πράξη. Θεωρεί ωστόσο ότι η λογική πίσω από τα διάφορα αυτά βήματα πρέπει να λαμβάνεται υπόψη από τους διάφορους παράγοντες της Επιτροπής, του Συμβουλίου και του Κοινοβουλίου. Καθώς οι εξελίξεις προχωρούν παράλληλα, ιδίως όσον αφορά το πλαίσιο της ΕΕ και τις διαπραγματεύσεις ΕΕ-ΗΠΑ, πρέπει να λαμβάνεται δεόντως υπόψη αυτή η ανάγκη για συνοχή και για μια εναρμονισμένη αντίληψη περί των εγγυήσεων προστασίας δεδομένων, τόσο εντός ΕΕ όσο και στο πλαίσιο των διαβιβάσεων. Πιο συγκεκριμένα, αυτό θα σήμαινε κυρίως ότι:

15.

Τέλος, ο ΕΕΠΔ θίγει το ζήτημα της σύνδεσης μεταξύ της ανακοίνωσης και των κατευθυντήριων γραμμών της Επιτροπής. Το θέμα αφορά τον βαθμό στον οποίο πρέπει να ορίζονται οι ακριβείς εγγυήσεις και όροι στα πρότυπα που θεσπίζονται μέσω της ανακοίνωσης ή στις κατευθυντήριες γραμμές που καθορίζονται ανά χώρα: εάν ο συνολικός στόχος είναι να εναρμονιστούν οι όροι της επεξεργασίας και ανταλλαγής των δεδομένων PNR, ο ΕΕΠΔ θεωρεί ότι το περιθώριο ελιγμών για κάθε διεθνή συμφωνία πρέπει να είναι όσο το δυνατόν πιο περιορισμένο και ότι τα πρότυπα πρέπει να ορίζουν ένα ακριβές πλαίσιο. Τα πρότυπα πρέπει να έχουν αποτελεσματικό αντίκτυπο στο περιεχόμενο των συμφωνιών. Ορισμένα από τα σχόλια που ακολουθούν αναδεικνύουν την ανάγκη για περισσότερη ακρίβεια προς την κατεύθυνση αυτή.

16.

Ο ΕΕΠΔ και η ομάδα εργασίας του άρθρου 29 έχουν επανειλημμένα υπογραμμίσει μέσω διαφόρων γνωμοδοτήσεών τους (8) την ανάγκη μιας σαφούς αιτιολόγησης της ανάπτυξης μηχανισμών PNR, είτε εντός της ΕΕ είτε για την ανταλλαγή δεδομένων με τρίτες χώρες. Η αναγκαιότητα των μέτρων πρέπει να αποδεικνύεται και να υποστηρίζεται με συγκεκριμένα στοιχεία, και στη συνέχεια να αξιολογείται και να σταθμίζεται έναντι του βαθμού παρείσδυσης στην ιδιωτική ζωή των ατόμων, ώστε να διασφαλίζεται ένα αναλογικό και κατά το δυνατόν λιγότερο παρεμβατικό αποτέλεσμα. Το γεγονός ότι οι πρόσφατες τεχνολογικές πρόοδοι καθιστούν πλέον εφικτή την ευρεία πρόσβαση και ανάλυση, όπως αναφέρεται στο τέλος του σημείου 2.2 της ανακοίνωσης, δεν δικαιολογεί από μόνο του την ανάπτυξη ενός συστήματος που θα αποσκοπεί στον έλεγχο όλων των ταξιδιωτών. Με άλλα λόγια, η διαθεσιμότητα των μέσων δεν πρέπει να δικαιολογεί τον σκοπό.

17.

Όπως διευκρινίζεται και στη συνέχεια, ο ΕΕΠΔ θεωρεί ότι η μαζική διαβίβαση δεδομένων που αφορούν αθώους ανθρώπους για σκοπούς εκτίμησης κινδύνων εγείρει σοβαρά ζητήματα αναλογικότητας. Ο ΕΕΠΔ εκφράζει κυρίως αμφιβολίες όσον αφορά την προορατική χρήση των δεδομένων PNR. Ενώ η «αναδραστική» χρήση των δεδομένων δεν εγείρει σοβαρούς προβληματισμούς, εφόσον αποτελεί μέρος της διερεύνησης εγκλήματος που έχει ήδη διαπραχθεί, η χρήση σε πραγματικό χρόνο και η προορατική χρήση εξετάζονται με πιο κριτικό μάτι.

18.

Σύμφωνα με τη διατύπωση της ανακοίνωσης, ακόμη και σε «πλαίσιο πραγματικού χρόνου», τα δεδομένα PNR θα «χρησιμοποιούνται για την πρόληψη ενός εγκλήματος, έρευνα ή σύλληψη προσώπων πριν από τη διάπραξη εγκλήματος», με βάση «προκαθορισμένους δείκτες κινδύνου βασιζόμενους σε αντικειμενικά δεδομένα» (9). Η βασική ιδέα να λαμβάνονται μέτρα για συγκεκριμένα πρόσωπα πριν από τη διάπραξη εγκλήματος βάσει δεικτών κινδύνου είναι κατά την άποψη του ΕΕΠΔ ένα προορατικό μέτρο, η χρήση του οποίου σε ένα πλαίσιο επιβολής του νόμου είναι κατά παράδοση αυστηρά καθορισμένη και περιορισμένη.

19.

Εξάλλου, δεν αναπτύσσονται επαρκώς ούτε η έννοια των δεικτών κινδύνου ούτε εκείνη της «εκτίμησης κινδύνων», με αποτέλεσμα η τελευταία να μπορεί εύκολα να συγχέεται με την έννοια του «καθορισμού χαρακτηριστικών γνωρισμάτων». Η ομοιότητα αυτή ενισχύεται ακόμη περισσότερο από τον ισχυριζόμενο στόχο, ο οποίος είναι να δημιουργηθούν «μοντέλα μετακίνησης και γενικής συμπεριφοράς βασιζόμενα σε αντικειμενικά δεδομένα». Ο ΕΕΠΔ εκφράζει αμφιβολίες σε ό,τι αφορά τη σύνδεση μεταξύ των αρχικών αντικειμενικών δεδομένων και των μοντέλων που συνάγονται από τα δεδομένα αυτά. Σκοπός της διαδικασίας είναι να επιβάλλει σε ένα άτομο εκτίμηση κινδύνων — και πιθανά εξαναγκαστικά μέτρα — βάσει αντικειμενικών δεδομένων που δεν συνδέονται με το εν λόγω άτομο. Όπως έχει ήδη αναφερθεί στην προηγούμενη γνωμοδότησή του σχετικά με πρόταση για ένα ευρωπαϊκό PNR, ο ΕΕΠΔ ανησυχεί κυρίως για το γεγονός ότι «θα λαμβάνονται αποφάσεις σχετικά με φυσικά πρόσωπα βάσει πρακτικών και κριτηρίων που θα καθορίζονται σύμφωνα με τα γενικά δεδομένα των επιβατών. Κατά συνέπεια, αποφάσεις σχετικά με συγκεκριμένο φυσικό πρόσωπο ενδέχεται να λαμβάνονται (εν μέρει τουλάχιστον) βάσει πρακτικών που απορρέουν από τα δεδομένα άλλων φυσικών προσώπων. Αυτό σημαίνει ότι θα λαμβάνονται σε σχέση με αφηρημένο πλαίσιο αποφάσεις που είναι δυνατόν να έχουν σημαντικές επιπτώσεις για τα πρόσωπα στα οποία αναφέρονται τα δεδομένα. Είναι εξαιρετικά δύσκολο για τα φυσικά πρόσωπα να αμυνθούν έναντι αποφάσεων του είδους αυτού» (10).

20.

Η χρήση τέτοιων τεχνικών σε ευρεία κλίμακα, η οποία προϋποθέτει τον έλεγχο όλων των επιβατών, εγείρει επομένως σοβαρά ζητήματα συμμόρφωσης προς τις θεμελιώδεις αρχές για την προστασία της ιδιωτικής ζωής και των δεδομένων, συμπεριλαμβανομένων εκείνων που ορίζονται στο άρθρο 8 της ΕΣΔΑ, στα άρθρα 7 και 8 του Χάρτη και στο άρθρο 16 της ΣΛΕΕ.

21.

Οποιαδήποτε τελική απόφαση σχετικά με τη νομιμότητα των μηχανισμών PNR πρέπει να λαμβάνει υπόψη τα εν λόγω στοιχεία, τα οποία πρέπει να αναλυθούν και να εξεταστούν περαιτέρω μέσω της εκτίμησης επιπτώσεων που διενεργείται στο πλαίσιο του σχεδίου PNR για την ΕΕ. Πρέπει να διαμορφωθεί το σχετικό θεματολόγιο ώστε τα αποτελέσματα της εν λόγω εκτίμησης επιπτώσεων να ληφθούν δεόντως υπόψη κατά την κατάρτιση των γενικών απαιτήσεων για τους μηχανισμούς PNR.

22.

Με επιφύλαξη των ανωτέρω βασικών σχολίων σχετικά με τη νομιμότητα των μηχανισμών PNR, ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τον εκτενή κατάλογο προτύπων, που φαίνονται να απορρέουν από τις αρχές της ΕΕ για την προστασία των δεδομένων, τα οποία πρέπει από ορισμένες απόψεις να ενισχύουν την προστασία που προβλέπεται σε ειδικές συμφωνίες. Στη συνέχεια σχολιάζονται η προστιθέμενη αξία και οι αδυναμίες που εντοπίζονται στα εν λόγω πρότυπα.

23.

Από τη διατύπωση της ανακοίνωσης, ο ΕΕΠΔ συμπεραίνει ότι η αξιολόγηση της καταλληλότητας μπορεί να βασίζεται στο γενικό πλαίσιο προστασίας δεδομένων της αποδέκτριας χώρας ή στις εκάστοτε περιστάσεις, ανάλογα με τις νομικά δεσμευτικές υποχρεώσεις που προβλέπονται από τη σχετική διεθνή συμφωνία που διέπει την επεξεργασία των δεδομένων προσωπικού χαρακτήρα. Δεδομένου του αποφασιστικού ρόλου των διεθνών συμφωνιών όσον αφορά τις αξιολογήσεις καταλληλότητας, ο ΕΕΠΔ υπογραμμίζει την ανάγκη να καθορίζεται με σαφήνεια ο δεσμευτικός χαρακτήρας των συμφωνιών για όλα τα συμβαλλόμενα μέρη και πιστεύει ότι αυτό πρέπει να συμπληρώνεται από ρητή αναφορά μέσω της οποίας θα δηλώνεται ότι οι συμφωνίες διασφαλίζουν στα υποκείμενα των δεδομένων άμεσα εφαρμόσιμα δικαιώματα. Ο ΕΕΠΔ θεωρεί ότι τα στοιχεία αυτά συνιστούν βασική πτυχή της αξιολόγησης καταλληλότητας.

24.

Τα πρώτα δύο σημεία στο κατάλογο αρχών αφορούν τον περιορισμό των σκοπών. Όσον αφορά τη «χρήση δεδομένων», γίνεται αρχικά λόγος για σκοπούς επιβολής του νόμου και ασφαλείας και, στη συνέχεια, για τρομοκρατία και άλλες μορφές διεθνικού εγκλήματος, με βάση την «προσέγγιση» που έχει υιοθετηθεί όσον αφορά τους ορισμούς στις σχετικές πράξεις της ΕΕ. Ο ΕΕΠΔ εκφράζει τις αμφιβολίες του ως προς τη συγκεκριμένη διατύπωση, η οποία μπορεί να οδηγεί στη σκέψη ότι οι μελλοντικές συμφωνίες δεν θα βασίζονται ακριβώς στους εν λόγω ορισμούς αλλά θα εμπνέονται από αυτούς. Είναι απαραίτητο, για λόγους ασφάλειας δικαίου, έννοιες όπως η τρομοκρατία και οι σοβαρές μορφές διεθνικού εγκλήματος να ορίζονται με ακρίβεια, καθώς και να προσδιορίζονται οι σχετικές πράξεις τις ΕΕ στις οποίες αναφέρεται η ανακοίνωση. Εξάλλου, ο ΕΕΠΔ υπενθυμίζει ότι, για να συμπεριληφθούν οι διάφορες μορφές εγκλήματος στον μηχανισμό PNR, πρέπει πρώτα να διαπιστωθεί η αναγκαιότητα και η αναλογικότητά τους.

25.

Το δεύτερο σημείο φαίνεται να αναφέρεται περισσότερο στην έκταση (στον χαρακτήρα των δεδομένων που συγκεντρώνονται) παρά στην αρχή του σκοπού. Ο ΕΕΠΔ επισημαίνει ότι η ανακοίνωση δεν περιλαμβάνει κατάλογο δεδομένων προς διαβίβαση, καθώς αφήνει σε κάθε συγκεκριμένη συμφωνία τον καθορισμό των κατηγοριών δεδομένων που πρέπει να διαβιβάζονται. Για να αποφεύγονται αποκλίσεις, όπως και η συμπερίληψη δυσανάλογων κατηγοριών δεδομένων σε ορισμένες συμφωνίες με τρίτες χώρες, ο ΕΕΠΔ θεωρεί ότι τα προτεινόμενα πρότυπα πρέπει να συμπληρωθούν από κοινό και εξαντλητικό κατάλογο κατηγοριών δεδομένων, σύμφωνα με τον σκοπό της ανταλλαγής των δεδομένων. Παραπέμπει στις σχετικές γνωμοδοτήσεις της ομάδας εργασίας του άρθρου 29, οι οποίες υποδεικνύουν τις κατηγορίες των δεδομένων που θα ήταν αποδεκτές και εκείνες που θεωρούνται υπερβολικές λαμβανομένων υπόψη των θεμελιωδών δικαιωμάτων των υποκειμένων των δεδομένων (11). Οι κατηγορίες που πρέπει να εξαιρούνται είναι κυρίως αυτές των δεδομένων που μπορούν να θεωρηθούν ευαίσθητα, και που προστατεύονται από το άρθρο 8 της οδηγίας 95/46/EK, τα δεδομένα SSR/SSI (αιτήσεις ειδικών υπηρεσιών/ειδικές υπηρεσιακές πληροφορίες), τα δεδομένα OSI (άλλες συμπληρωματικές πληροφορίες), ανοιχτά πεδία ή πεδία ελεύθερου κειμένου (όπως οι «Γενικές Παρατηρήσεις» όπου μπορούν να εμφανιστούν δεδομένα ευαίσθητου χαρακτήρα), καθώς και πληροφορίες που αφορούν συχνούς ταξιδιώτες και τα «συμπεριφορικά δεδομένα».

26.

Η ανακοίνωση αναφέρει ότι τα ευαίσθητα δεδομένα δεν πρέπει να χρησιμοποιούνται παρά μόνο σε εξαιρετικές περιστάσεις. Ο ΕΕΠΔ αποδοκιμάζει την εξαίρεση αυτή. Θεωρεί ότι οι προϋποθέσεις για την εφαρμογή της είναι πολύ ευρείες και δεν διασφαλίζουν εγγυήσεις: η χρήση των δεδομένων κατά περίπτωση αναφέρεται μόνο ενδεικτικά. Εξάλλου, ο περιορισμός των σκοπών πρέπει να αποτελεί γενική αρχή που εφαρμόζεται σε κάθε επεξεργασία δεδομένων PNR και όχι απλώς μια εγγύηση που εφαρμόζεται στα ευαίσθητα δεδομένα. Ο ΕΕΔΠ θεωρεί ότι η πρόβλεψη για επεξεργασία ευαίσθητων δεδομένων, ακόμη και σε περιορισμένες περιπτώσεις, θα ευθυγράμμιζε το επίπεδο προστασίας όλων των μηχανισμών PNR με τον λιγότερο συμμορφούμενο μηχανισμό ως προς την προστασία δεδομένων παρά με τον πλέον συμμορφούμενο. Ως εκ τούτου, εισηγείται να αποκλείεται τελείως η επεξεργασία ευαίσθητων δεδομένων, ως αρχή.

27.

Η γενική υποχρέωση περί ασφάλειας που αναπτύσσεται στην ανακοίνωση θεωρείται ικανοποιητική. Ο ΕΕΠΔ θεωρεί ωστόσο ότι θα μπορούσε να συμπληρωθεί από μια υποχρέωση αμοιβαίας ενημέρωσης σε περίπτωση παραβίασης της ασφάλειας, σύμφωνα με την οποία οι αποδέκτες δεδομένων θα ήταν υπεύθυνοι να ενημερώνουν τους ομολόγους τους σε περίπτωση που τα δεδομένα που έχουν παραλάβει είναι αποτέλεσμα αθέμιτης αποκάλυψης. Αυτό θα συνέβαλε στην ενίσχυση της ευθύνης προς την κατεύθυνση της ασφαλούς επεξεργασίας των δεδομένων.

28.

Ο ΕΕΠΔ υποστηρίζει το σύστημα επίβλεψης που προβλέπει η ανακοίνωση, συμπεριλαμβανομένων των μέτρων εποπτείας και ευθύνης. Υποστηρίζει επίσης σθεναρά το δικαίωμα κάθε ενδιαφερόμενου να ασκεί διοικητικά και ένδικα μέσα. Όσον αφορά τα δικαιώματα πρόσβασης, συμπεραίνει ότι δεν μπορεί να προβλεφθεί κανένας περιορισμός, γεγονός για το οποίο εκφράζει την ικανοποίησή του. Εάν κάποιος περιορισμός θεωρείται αναγκαίος σε εξαιρετικές περιπτώσεις, η ακριβής έκτασή του και οι απαραίτητες εγγυήσεις, συμπεριλαμβανομένου του έμμεσου δικαιώματος πρόσβασης, πρέπει να δηλώνονται με σαφήνεια στα πρότυπα.

29.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για τον περιορισμό των περαιτέρω διαβιβάσεων κατά περίπτωση, είτε προς άλλες δημόσιες αρχές είτε προς τρίτες χώρες. Θεωρεί ότι, πέραν της συγκεκριμένης αρχής, ο περιορισμός του σκοπού που ισχύει για τις διαβιβάσεις σε τρίτες χώρες πρέπει επίσης να εφαρμόζεται στις διαβιβάσεις σε άλλες δημόσιες αρχές στο εσωτερικό τρίτης χώρας. Με τον τρόπο αυτό προλαμβάνεται τυχόν περαιτέρω χρήση ή διασταυρούμενοι έλεγχοι των δεδομένων PNR με πληροφορίες που υφίστανται επεξεργασία για διαφορετικούς σκοπούς. Ο ΕΕΠΔ ανησυχεί ιδιαίτερα για το ενδεχόμενο διασταυρούμενων ελέγχων με πληροφορίες που προέρχονται από άλλες βάσεις δεδομένων, όπως η ESTA όσον αφορά τις Ηνωμένες Πολιτείες. Επισημαίνει ότι η πρόσφατη απόφαση των ΗΠΑ να ζητά την καταβολή δικαιώματος για χρήση της ESTA έχει ως αποτέλεσμα τη συγκέντρωση στοιχείων σχετικών με τις πιστωτικές κάρτες των ταξιδιωτών. Ο ΕΕΠΔ εισηγείται τη θέσπιση σαφών περιορισμών ώστε να προλαμβάνεται η αντικανονική αντιστοίχιση πληροφοριών πέραν του πεδίου εφαρμογής της συμφωνίας PNR.

30.

Η περίοδος διατήρησης των δεδομένων δεν υπόκειται ουσιαστικά σε εναρμόνιση. Ο ΕΕΠΔ θεωρεί ότι, καταρχήν, τα δεδομένα PNR πρέπει να διαγράφονται εάν οι έλεγχοι που έχουν γίνει επ’ ευκαιρία της διαβίβασης των δεδομένων δεν έχουν οδηγήσει σε ενέργεια επιβολής του νόμου. Σε περίπτωση που το εθνικό πλαίσιο αιτιολογεί την ανάγκη εφαρμογής μιας περιορισμένης περιόδου διατήρησης, ο ΕΕΠΔ θεωρεί ότι η μέγιστη περίοδος διατήρησης πρέπει να ορίζεται από τα πρότυπα. Εξάλλου, πρέπει να ενισχυθεί η αρχή του χρονικού περιορισμού των δικαιωμάτων πρόσβασης των αρμοδίων υπαλλήλων, η δε σταδιακή ανωνυμοποίηση των δεδομένων πρέπει να θεωρείται υποχρέωση και όχι ενδεικτική επιλογή.

31.

Ο ΕΕΠΔ υποστηρίζει την αποκλειστική χρήση του συστήματος «προώθησης» για τη διαβίβαση των δεδομένων PNR. Εισηγείται τη θέσπιση συγκεκριμένων εγγυήσεων που να διασφαλίζουν ότι η «προώθηση» είναι πράγματι το μόνο σύστημα που χρησιμοποιείται στην πράξη. Η εμπειρία και οι επιθεωρήσεις που έχουν διενεργηθεί από αρχές προστασίας δεδομένων έχουν όντως δείξει ότι, παρά τις υποχρεώσεις που ορίζονται από τις εν ισχύι συμφωνίες, ιδίως σε ό,τι αφορά το «PNR ΗΠΑ», εξακολουθεί να εφαρμόζεται σε έναν βαθμό και ένα σύστημα «άντλησης», και ότι παράλληλα προς την «προώθηση», οι αρχές των ΗΠΑ έχουν ευρύτερη πρόσβαση στα δεδομένα PNR με τη βοήθεια συστημάτων κρατήσεων μέσω υπολογιστή. Πρέπει επομένως να θεσπιστούν τα νομικά και τεχνικά εκείνα μέτρα που θα αποτρέπουν οποιαδήποτε παράκαμψη του συστήματος «προώθησης».

32.

Η συχνότητα των διαβιβάσεων από τους αερομεταφορείς («εύλογη») πρέπει να καθοριστεί μέσω της θέσπισης ενός μέγιστου αριθμού διαβιβάσεων. Σημείο αναφοράς ως προς αυτό πρέπει να αποτελέσουν τα υφιστάμενα συστήματα που προβλέπουν τις αυστηρότερες διατάξεις από άποψη προστασίας της ιδιωτικής ζωής.

33.

Ο ΕΕΠΔ εισηγείται επίσης περισσότερη σαφήνεια σε ό,τι αφορά τα βασικά στοιχεία της εφαρμογής των συμφωνιών PNR. Η διάρκεια των συμφωνιών («καθορισμένη», «σκόπιμο») και η επανεξέτασή τους («τακτική») πρέπει να οριστεί περαιτέρω μέσα από μια οριζόντια προοπτική. Θα μπορούσε ειδικότερα να καθοριστεί η περιοδικότητα των κοινών επισκοπήσεων, καθώς και η υποχρέωση διενέργειας μιας πρώτης επισκόπησης εντός συγκεκριμένης προθεσμίας μετά την έναρξη ισχύος των συμφωνιών: θα μπορούσε να προβλέπεται μέγιστη προθεσμία τριών ετών.

34.

Ο ΕΕΠΔ εκφράζει την ικανοποίησή του για την οριζόντια προσέγγιση που υιοθετεί η Επιτροπή μέσω της ανακοίνωσης. Αυτό συνιστά ουσιαστικό βήμα προς την κατεύθυνση ενός ολοκληρωμένου πλαισίου για την ανταλλαγή δεδομένων PNR. Εγείρονται, ωστόσο, ορισμένοι σημαντικοί προβληματισμοί που μετριάζουν τη συνολική ικανοποίηση.

35.

Οι μηχανισμοί PNR που παρουσιάζονται μέσω της ανακοίνωσης δεν πληρούν από μόνοι τους τις απαιτήσεις περί αναγκαιότητας και αναλογικότητας, όπως αυτές αναπτύσσονται στην παρούσα και σε προηγούμενες γνωμοδοτήσεις του ΕΕΠΔ και της ομάδας εργασίας του άρθρου 29. Για να είναι αποδεκτοί, θα πρέπει οι όροι της συλλογής και επεξεργασίας των δεδομένων προσωπικού χαρακτήρα να είναι σημαντικά περιοριστικοί. Ο ΕΕΠΔ ανησυχεί ιδιαίτερα για τη χρήση των μηχανισμών PNR για σκοπούς εκτίμησης κινδύνων ή καθορισμού χαρακτηριστικών γνωρισμάτων.

36.

Η ανάπτυξη των προτύπων PNR πρέπει να λαμβάνει υπόψη το γενικό πλαίσιο προστασίας δεδομένων και τις σχετικές νομικές εξελίξεις στο εσωτερικό της ΕΕ, καθώς και τη διαπραγμάτευση συμφωνιών ανταλλαγής δεδομένων σε γενικότερο επίπεδο, ιδίως με τις Ηνωμένες Πολιτείες. Πρέπει να διασφαλιστεί ότι μια μελλοντική συμφωνία PNR με τις Ηνωμένες Πολιτείες θα σέβεται τη γενική συμφωνία περί προστασίας δεδομένων με τις ΗΠΑ. Οι συμφωνίες PNR με άλλες τρίτες χώρες πρέπει επίσης να συμβαδίζουν με την προσέγγιση αυτή.

37.

Είναι επίσης σημαντικό οποιαδήποτε συμφωνία με τρίτες χώρες να λαμβάνει υπόψη τις νέες απαιτήσεις προστασίας δεδομένων, όπως αναπτύσσονται στο «μετά τη Λισαβόνα» θεσμικό πλαίσιο.

38.

Ο ΕΕΠΔ εισηγείται επίσης μεγαλύτερο βαθμό ακρίβειας στη γενική προσέγγιση ως προς τις ελάχιστες εγγυήσεις που εφαρμόζονται σε όλες τις συμφωνίες: πρέπει να εφαρμόζονται αυστηρότεροι όροι, ιδίως σε ό,τι αφορά την επεξεργασία ευαίσθητων δεδομένων, την αρχή του περιορισμένου σκοπού, τους όρους για τις περαιτέρω διαβιβάσεις και τη διατήρηση των δεδομένων.

39.

Τέλος, ο ΕΕΠΔ υπογραμμίζει το γεγονός ότι οποιαδήποτε συμφωνία πρέπει να προβλέπει άμεσα εφαρμόσιμα δικαιώματα για τα υποκείμενα των δεδομένων. Η αποτελεσματικότητα των διαδικασιών εκτέλεσης, από τα υποκείμενα των δεδομένων και από τις εποπτικές αρχές, αποτελεί απαραίτητη προϋπόθεση για την αξιολόγηση της καταλληλότητας οποιασδήποτε συμφωνίας.

—

Ηνωμένες Πολιτείες: Συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και των Ηνωμένων Πολιτειών της Αμερικής για την επεξεργασία και τη διαβίβαση δεδομένων από τις καταστάσεις με τα ονόματα των επιβατών από τους αερομεταφορείς στο υπουργείο Εσωτερικής Ασφάλειας των Ηνωμένων Πολιτειών (DHS) (2007 συμφωνία PNR 2007) (ΕΕ L 204 της 4.8.2007, σ. 18).

—

Καναδάς: Συμφωνία μεταξύ της Ευρωπαϊκής Κοινότητας και της κυβέρνησης του Καναδά σχετικά με την επεξεργασία εκ των προτέρων πληροφοριών σχετικά με τους επιβάτες και των καταστάσεων με τα ονόματα των επιβατών (ΕΕ L 82 της 21.3.2006, σ. 15).

—

Αυστραλία: Συμφωνία μεταξύ της Ευρωπαϊκής Ένωσης και της Αυστραλίας για την επεξεργασία και τη διαβίβαση από τους αερομεταφορείς δεδομένων από τις καταστάσεις επιβατών προέλευσης Ευρωπαϊκής Ένωσης (PNR) στην τελωνειακή υπηρεσία της Αυστραλίας (ΕΕ L 213 της 8.8.2008, σ. 49-57).