6.9.2005   

ET

Euroopa Liidu Teataja

C 218/6

1.

Euroopa andmekaitseinspektor tervitab, et temaga on nõu peetud määruse (EÜ) nr 45/2001 artikli 28 lõike 2 alusel. See kinnitab Euroopa andmekaitseinspektori 18. märtsi 2005. aasta poliitikadokumendis (“The EDPS as an advisor to the Community Institutions on proposals for legislation and related documents” — “Euroopa andmekaitseinspektor ühenduse institutsioonide nõustajana õigusaktide ettepanekuid ja nendega seotud dokumente puudutavates küsimustes”) esitatud seisukohta, et nõuandev ülesanne laieneb EÜ ja kolmandate riikide ja/või rahvusvaheliste organisatsioonidega isikuandmete töötlemist käsitlevate lepingute sõlmimisele.

2.

Silmas pidades määruse (EÜ) nr 45/2001 artikli 28 lõike 2 kohustuslikkust, tuleks käesolevat arvamust mainida nõukogu otsuse preambulis.

3.

Kooskõlas Euroopa Ühenduse ja Kanada vahelise kokkuleppe põhjendustega võetakse kõnealuses kokkuleppes arvesse komisjoni otsust vastavalt direktiivi 95/46/EÜ artikli 25 lõikele 6, mille kohaselt asjakohane Kanada pädev asutus tagab API/PNR andmete kaitse piisava taseme ( “komisjoni otsus”). Euroopa andmekaitseinspektori arvates oleks komisjoni ettepaneku pidanud ühtse õigusliku paketi osana saatma samuti konsulteerimiseks.

4.

Kõnealune ettepanek on järjekorras teine pärast Euroopa Ühenduse ja Ameerika Ühendriikide vahel 17. mail 2004 sõlmitud kokkulepet (1), mille seaduslikkuse parlament vaidlustas EÜ asutamislepingu artikli 230 alusel. Euroopa andmekaitseinspektor kaitses Euroopa Kohtus parlamendi otsust kokkulepe tühistada.

5.

Antud kokkuleppe ettepanek sarnaneb Ameerika Ühendriikidega sõlmitud kokkuleppega. See on seotud komisjoni otsusega ning vastavalt direktiivi 95/46/EÜ artikli 25 lõikele 6 on selle eesmärk parandada avalikku julgeolekut ja lennuettevõtjad on kohustatud edastama andmeid kolmandale riigile.

6.

Siiski on nende vahel suuri erinevusi, nagu on märgitud artikliga 29 loodud andmekaitse töörühma kahes arvamuses (2). Euroopa andmekaitseinspektor rõhutab nelja peamist erinevust, mis läbivad käesolevat arvamust. Kõigepealt näeb ettepanek ette 'push-süsteemi' (ja mitte “pull-süsteemi”), mille tõttu saavad Euroopa Ühenduse lennuettevõtjad kontrollida andmete saatmist Kanada asutustele. Teiseks on Kanada asutuste võetud kohustused siduvad (kokkuleppe artikli 2 lõige 1) ja seega on ettepanek Ameerika Ühendriikidega sõlmitud kokkuleppega võrreldes tasakaalustatum. Kolmandaks on edastatavate PNR andmete nimekiri piiratum ja ei sisalda reisijate andmete “avatud andmerühmasid”, millega võidakse paljastada tundlikku teavet. Lõpuks saab kokkulepe kasu tunduvalt arenenumast andmekaitse õigussüsteemist, mis pakub andmesubjektile kaitset, sealhulgas tagades sõltumatu andmevoliniku järelevalve. Kanada õigusaktid ei taga aga täielikku kaitset Euroopa Liidu kodanikele. Kanada asutuste võetud kohustuste eesmärk on leida nimetatud kodanike suhtes lahendus.

7.

Direktiivi 95/46/EÜ süsteemis tähendab andmete edastamine kolmandale riigile isikuandmete töötlemist (vastavalt direktiivi artikli 2 punktile b “iga isikuandmetega tehtav toiming või toimingute kogum”) ja sellest tulenevalt kohaldatakse andmete edastamise suhtes direktiivi II peatükki (“Üldised eeskirjad isikuandmete töötlemise seaduslikkuse kohta”). Sellega seoses on nimetatud direktiivi artikli 25 eesmärk pakkuda lisakaitset andmete edastamisel kolmandatele riikidele, sest edastamise algusmomendist alates ei kuulu andmed enam liikmesriigi jurisdiktsiooni alla.

8.

Kanadaga sõlmitava kokkuleppe ettepanek, mida käsitletakse koos komisjoni otsusega, kohustab lennuettevõtjaid edastama andmeid Kanadale. Tuleb selgitada, kas nimetatud kohustus takistab neid täitmast neile siseriiklike õigusaktidega pandud kohustusi direktiivi 95/54/EÜ ja eelkõige II peatüki rakendamisel, ning seega mõjutab kõnesoleva direktiivi tõhusust.

9.

Ettepaneku artikkel 5 kohustab Euroopa lennuettevõtjaid töötlema nende automatiseeritud ettetellimissüsteemides ja väljalennu registreerimissüsteemides sisalduvaid API/PNR andmeid Kanada pädevate asutuste nõuete kohaselt vastavalt Kanada seadustele. Ettepanek ei sätesta ühenduse õiguse, konkreetsemalt direktiivi 95/46/EÜ II peatükis ettenähtud isikuandmete töötlemise reeglite kohaldamist. Sellise sätte puudumisel võivad lennuettevõtjad olla sunnitud andmeid töötlema, isegi kui nimetatud töötlemine ei ole direktiivi 95/46/EÜ II peatükiga täielikult kooskõlas. Nad on kohustatud tegutsema üksnes vastavalt Kanada seaduste asjakohastele sätetele.

10.

Kuigi, nagu eelnevalt öeldud ja edaspidi põhjalikumalt selgitatud, Kanadas on arenenud andmekaitse õigussüsteem ning puudub igasugune põhjus väita, et Kanada andmekaitset käsitlevad õigusaktid kahjustaksid tõsiselt andmesubjekti huve Euroopa Ühenduses, ei ole samas põhjust eeldada, et Kanada õigusaktid vastavad täielikult direktiivi 95/46/EÜ II peatüki sätetele. Seda oletust ei saa teha ei kokkuleppe ega ka selgitava märgukirja põhjal. Peale selle ei ole selline oletus mõeldav, kuna Euroopa Kohtu poolt direktiivi suhtes (tulevikus) esitatud mis tahes tõlgendus ei ole Kanada asutustele siduv, samuti ei saa kindlustada, et Kanada seadustesse edaspidi tehtavad muudatused (või Kanada kohtu poolt esitatud uued tõlgendused) vastavad ühenduse õigusele.

11.

Selle analüüsi põhjal leiab Euroopa andmekaitseinspektor, et kokkuleppega kaasneb direktiivi 95/46/EÜ muutmine. Sel põhjusel ja andmesubjektile võimalikku olulist kahju tekitamata tuleks saavutada Euroopa Parlamendi nõusolek vastavalt EÜ asutamislepingu artikli 300 lõikele 3.

12.

Sellega seoses leiab Euroopa andmekaitseinspektor, et üldiselt jäävad institutsioonilised küsimused tema ülesannete hulgast välja. Antud juhul väljendab Euroopa andmekaitseinspektor siiski oma seisukohta sellises küsimuses, kuna parlamendi hagide eiramine põhjustaks direktiivi muutmist, ning seega mõjutab andmekaitse taset Euroopa Ühenduse territooriumil.

13.

Teise võimalusena võib kokkulepet muuta tagamaks, et Euroopa lennuettevõtjad töötlevad API/PNR andmeid vastavalt direktiivile 95/46/EÜ. Sellise sätte lisamisel ei kaasne kokkuleppe sõlmimisega direktiivi muutmine.

14.

Ettepaneku vastuvõtmiseks vajalikest menetlusnormidest olenemata on Euroopa andmekaitseinspektor kontrollinud, kas kavandatud kokkulepe sisuliselt kaitseb piisavalt andmesubjekti, eelkõige tema põhiõigusi EÜ asutamislepingu artikli 6 tähenduses.

15.

Euroopa andmekaitseinspektor märgib, et ettepanek erineb oluliselt Ameerika Ühendriikidega sõlmitud kokkuleppest (vt eespool punkti 6). Sellest tulenevalt ei kehti viimatinimetatud kokkuleppe kolme peamise punkti puudused käesoleva kokkuleppe puhul, vähemalt mitte samas ulatuses.

16.

Peale selle märgib Euroopa andmekaitseinspektor, et artikliga 29 loodud andmekaitse töörühm kiitis oma 19. jaanuari 2005. aasta arvamuses heaks komisjoni (kavandatud) otsuse, mis käsitleb Kanada Piirivalveameti (Canadian Border Service Agency — CBSA) poolt pakutava kaitse piisavat taset, põhiosad. Antud hinnangul on CBSA võetud kohustustel (komisjoni otsuse lisa) suur tähtsus. Euroopa andmekaitseinspektor on nõus artikliga 29 loodud andmekaitse töörühma tähelepanekutega, võttes samuti arvesse, et eraelu puutumatusega tegelev Kanada sõltumatu volinik (Privacy Commissioner of Canada) kiidab heaks API/PNR andmetele riiklikul ja õiguskaitse eesmärgil juurdepääsu piirangud (3).

17.

Euroopa andmekaitseinspektori arvates on ülimalt oluline, et API ja PNR andmete “push-süsteem” võimaldab Euroopa lennuettevõtjatel kontrollida andmete töötlemist ja edastamist. Seega kuuluvad nimetatud tegevused liikmesriigi jurisdiktsiooni alla ja kohaldatakse ühenduse õigust.

18.

Samuti on oluline, et ettepaneku artiklis 2 oleks selgesõnaliselt märgitud, et kokkuleppe osapooled on kokku leppinud, et API/PNR andmeid töödeldakse nii, nagu on kohustustes määratletud. Seega on komisjoni otsusele lisatud kohustused siduvad.

19.

Lõpuks rõhutab Euroopa andmekaitseinspektor ühiskomitee, mis muu hulgas organiseerib ühiseid läbivaatamisi, loomise tähtsust. See võimaldab jälgida õigusaktide rakendamist. See on eriti oluline, kuna õigusaktid on uued ja puuduvad seda liiki õigusaktide rakendamise kogemused.

20.

Sellega seoses ja punktis 1 nimetatud poliitikadokumendi punktis 4.2 ettenähtud analüüsi alusel kiidab Euroopa andmekaitseinspektor heaks ettepaneku põhiosad ja teeb märkusi üksnes mõne teatud punkti kohta, eelkõige:

21.

Ettepaneku II lisa ei sisalda tundlikke andmeid direktiivi 95/46/EÜ artikli 8 tähenduses ega sisalda reisijate andmete “avatud andmerühmasid”, mis võivad olenevalt sellest, kuidas neid küsimustikus täidetakse, paljastada selliseid tundlikke andmeid (näiteks toidusoovid, mis paljastavad usulisi veendumusi või meditsiinilisi andmeid).

22.

Kogutavate PNR andmete nimekiri (ettepaneku II lisa) hõlmab aga andmeid, mis võivad olla asjakohased reisija põhiõiguste, eelkõige tema eraelu puutumatuse kaitsmiseks. Euroopa andmekaitseinspektor mainib 10. andmerühma (teave püsiklientide kohta), mis võib paljastada fakte reisija käitumise kohta (kuigi see ei hõlma kõiki püsiklienti puudutavaid andmeid) ja 23. andmerühma (mis tahes saadud APISi teave), mis esitab peale reisija nime ka muid reisija passis olevaid andmeid.

23.

Euroopa andmekaitseinspektor ei ole veendunud nende andmerühmade lisamise vajalikkuses ja proportsionaalsuses ning teeb ettepaneku järele mõelda, kas need andmerühmad ikka tuleks lisada kokkuleppe lisasse. Asjaolu, et need andmerühmad on lisatud andmete nimekirja, ei ole aga iseenesest piisavalt oluline, et kokkuleppe suhtes peaks alustama uusi läbirääkimisi ning Euroopa andmekaitseinspektori arvates ei peaks see põhjustama kokkuleppe tühistamist.

24.

Nagu nähtub õigusaktidest, millega nõutakse isikuandmete töötlemist seoses terrorismivastase võitlusega, ei ole seadusandja piiranud töötlemise eesmärki terrorismi kui sellisega, vaid on laiendanud eesmärki, mis lubab töötlemist seoses muude tõsiste kuritegudega või mõnel juhul isegi üldisemalt õiguskaitsealase tegevusega.

25.

Käesolevas ettepanekus on mainitud muude rahvusvahelise iseloomuga tõsiste kuritegude vastu võitlemist, sealhulgas organiseeritud kuritegevust. Vastavalt CBSA võetud kohustustele (12. jagu) võib kõnesolevat teavet jagada teiste Kanada valitsusasutustega üksnes samal eesmärgil. Kolmandate riikide asutustega võib teavet jagada üksnes nimetatud eesmärgil ja niivõrd kui direktiivi 95/46/EÜ artiklis 25 esitatud piisavustagatis kohaldub asjaomase kolmanda riigi suhtes. Nimetatud eesmärgi piirang ei riku direktiivi sätteid ega selle aluspõhimõtteid.

26.

Kokkulepe sisaldab selgesõnalisi sätteid, mille eesmärk on kaitsta andmesubjekti huve. Euroopa andmekaitseinspektor rõhutab selgesõnaliselt kokkuleppe artiklit 3 andmetele juurdepääsu, andmete parandamise ja märkuste tegemise kohta. Vastavalt sellele sättele on Euroopa Liidu territooriumil elaval andmesubjektil samasugustel asjaoludel nagu Kanada kodanikel õigus andmetele juurde pääseda, neid parandada või teha märkusi.

27.

Nende õiguste võimaldamine ei taga aga iseenesest andmesubjekti vajalikku kaitset. Tuleb kindlustada, et nimetatud õigusi saab tõhusalt kasutada.

28.

Nimetatud õiguste ulatus ja sisu määratakse kindlaks Kanada seadustega. Euroopa andmesubjektile vajaliku kaitse tagamiseks peavad asjakohased õigusaktid olema asjaomasele isikule kättesaadavad ja nendest talle tulenevad tagajärjed peavad olema samuti ette nähtavad. Selle kohustuse täitmiseks soovitas artikliga 29 loodud andmekaitse töörühm esitada Kanada vastav reguleeriv raamistik komisjoni otsuse lisana.

29.

Seda ettepanekut ei ole järgitud, ent komisjoni otsus ja CBSA võetud kohustused selgitavad asjakohast õigusraamistikku. Kohustuste asjakohased punktid võimaldavad lennureisijatel tutvuda oma õigustega.

30.

Euroopa andmekaitseinspektor märgib, et oluline ei ole üksnes see, et Euroopa Ühenduses elavale lennureisijale on võimaldatud juurdepääs õigusaktidele, vaid sama oluline on, et neile oleksid kergelt kättesaadavad ka õiguskaitsevahendid.

31.

Sellega seoses kinnitab Euroopa andmekaitseinspektor kohustuste 31. punktis nimetatud korra. Vastavalt sellele korrale võib eraelu puutumatusega tegelev Kanada volinik käsitleda liikmesriigi andmekaitseasutuste poolt Euroopa Liidu kodanike nimel talle edastatud kaebusi. Vastavalt Euroopa andmekaitseinspektorile võib selline kord tegelikkuses olla veelgi tõhusam kui Euroopa kodanike ametlik ius standi Kanada kohtu ees.

32.

Euroopa andmekaitseinspektor teeb järgmised järeldused: