9.2.2012   

LT

Europos Sąjungos oficialusis leidinys

C 35/16

1.

2011 m. lapkričio 28 d. Komisija priėmė Tarybos sprendimo dėl Jungtinių Amerikos Valstijų ir Europos Sąjungos susitarimo dėl keleivio duomenų įrašų (PNR) naudojimo ir perdavimo Jungtinių Valstijų Vidaus saugumo departamentui sudarymo pasiūlymą (3) (toliau – susitarimas).

2.

2011 m. lapkričio 9 d. su EDAPP buvo neoficialiai skubos tvarka konsultuojamasi dėl pasiūlymo projekto. 2011 m. lapkričio 11 d. EDAPP pateikė nemažai riboto naudojimo pastabų. Šios nuomonės tikslas – papildyti šias pastabas atsižvelgiant į dabartinį pasiūlymą ir viešai paskelbti savo nuomones. Šioje nuomonėje taip pat remiamasi įvairiais ankstesniais EDAPP ir 29 straipsnio darbo grupės priimtais dokumentais, susijusiais su PNR.

3.

Susitarimu siekiama sukurti tvirtą teisinį pagrindą PNR duomenims iš ES į JAV perduoti. Šiuo metu PNR duomenys perduodami pagal 2007 m. sudarytą susitarimą (4), nes Parlamentas nusprendė savo balsavimą dėl pritarimo atidėti, iki bus išspręsti jam iškilę su duomenų apsauga susiję klausimai. Visų pirma savo 2010 m. gegužės 5 d. rezoliucijoje (5) Parlamentas nurodė šiuos reikalavimus:

4.

Dabartinis susitarimas turi būti nagrinėjamas atsižvelgiant į PNR bendrą koncepciją, kuri apima derybas su kitomis trečiosiomis šalimis (t. y. Australija (8) ir Kanada (9)), ir pasiūlymą dėl ES lygmens PNR schemos (10). Susitarimas taip pat patenka į šiuo metu vykstančių derybų dėl ES ir JAV susitarimo dėl keitimosi asmens duomenimis vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose sritį (11). Atsižvelgiant į platesnį kontekstą, susitarimas parafuotas likus kelioms savaitėms iki galimo pasiūlymų dėl bendros duomenų apsaugos sistemos peržiūros priėmimo (12).

5.

EDAPP palankiai vertina šią bendrą koncepciją, kuria siekiama, laikantis ES teisinių reikalavimų, sukurti nuoseklią PNR susitarimų teisinę sistemą. Tačiau jis apgailestauja, kad šis pasirinktas laikas neleidžia praktikoje užtikrinti šių susitarimų suderinamumo su naujomis ES duomenų apsaugos taisyklėmis. Jis taip pat norėtų priminti, kad bendras ES ir JAV susitarimas dėl keitimosi duomenimis turėtų būti taikomas ES ir JAV PNR susitarimui.

6.

Pagal ES pagrindinių teisių chartiją kiekvienas pagrindinių teisių ir laisvių ribojimas turi būti būtinas, proporcingas ir nustatytas įstatymu. Kaip ne kartą pareiškė EDAPP (13) ir 29 straipsnio darbo grupė (14), PNR schemų ir masinio PNR duomenų perdavimo trečiosioms šalims būtinumas ir proporcingumas iki šiol nebuvo įrodyti. Europos ekonomikos ir socialinių reikalų komitetas ir Pagrindinių teisių agentūra taip pat pritaria šiai nuomonei (15). Toliau pateikiamos konkrečios pastabos neturi įtakos šioms pradinėms ir pagrindinėms pastaboms.

7.

Nors šiame susitarime nustatyta keletas patobulinimų, palyginti su 2007 m. susitarimu, ir jame numatytos tinkamos duomenų apsaugos ir priežiūros garantijos, atrodo, kad nė vienas iš pagrindinių pirmiau minėtose nuomonėse iškeltų klausimų nebuvo išspręstas, taip pat nebuvo įgyvendintos Europos Parlamento sutikimui gauti nustatytos sąlygos (16).

8.

4 straipsnio 1 dalyje nurodoma, kad JAV tvarko PNR duomenis siekdamos užkirsti kelią, nustatyti, tirti ir patraukti baudžiamojon atsakomybėn už: a) teroristinius nusikaltimus ir susijusius nusikaltimus ir b) nusikaltimus, už kuriuos taikoma trejų metų ar ilgesnio laisvės atėmimo bausmė ir kurie yra tarpvalstybinio pobūdžio. Kai kurios iš šių sąvokų apibrėžiamos išsamiau.

9.

Nors šios apibrėžtys yra tikslesnės nei 2007 m. susitarime, vis dar esama tam tikrų neaiškių sąvokų ir išimčių, dėl kurių galėtų būti nepaisoma tikslo ribojimo principo ir pažeidžiamas teisinis tikrumas. Visų pirma:

10.

Susitarimo I priede nustatyta 19 duomenų, kurie bus siunčiami JAV, rūšių. Dauguma jų taip pat apima skirtingų kategorijų duomenis ir sutampa su 2007 m. susitarimo duomenų laukeliais, kuriuos EDAPP ir 29 straipsnio darbo grupė jau pripažino neproporcingais (18).

11.

Tai visų pirma reiškia „bendrų pastabų, įskaitant OSI (19), SSI (20) ir SSR (21) informaciją“, laukelį, kuriame gali būti pateikiami duomenys, susiję su religiniais įsitikinimais (pvz., pasirinktas valgiaraštis) arba sveikata (pvz., prašymas išduoti neįgaliojo vežimėlį). Tokie neskelbtini duomenys turėtų būti aiškiai pašalinti iš sąrašo.

12.

Vertinant sąrašo proporcingumą taip pat reikėtų atsižvelgti į tai, kad išankstinio perdavimo (susitarimo 15 straipsnio 3 dalis) atveju šios duomenų kategorijos apims ne tik duomenis apie faktinius keleivius, bet taip pat apie asmenis, kurie galiausiai neišskrenda (pvz., dėl atšauktų skrydžių).

13.

Be to, atvirų duomenų laukelių buvimas galėtų pažeisti teisinį tikrumą. Tokios duomenų kategorijos, kaip „visa turima informacija ryšiams“, „visa informacija apie bagažą“ ir „bendros pastabos“, turėtų būti tinkamiau apibrėžtos.

14.

Todėl sąrašas turėtų būti susiaurintas. Atsižvelgdami į 29 straipsnio darbo grupės nuomonę (22), manome, kad duomenys turėtų būti ribojami šia informacija: PNR įrašų aptikimo kodas, užsakymo data, planuojamos kelionės data (-os), keleivio duomenys, kiti PNR duomenys, visi kelionės maršrutai, nemokamų bilietų identifikatoriai, bilietai į vieną pusę, informacija apie bilietų pardavimą, kompiuterizuotas bilietų kainos nurodymas (angl. ATFQ), bilieto numeris, bilieto išdavimo data, informacija apie keleivio neatvykimą, krepšių skaičius, bagažo registracijos numeriai, informacija apie paskutinės minutės atvykimą be bilieto užsakymo, kiekvienos maršruto dalies krepšių skaičius, savanoriškas arba nesavanoriškas žemesnės klasės bilietų keitimas į aukštesnės klasės bilietus, PNR duomenų pasikeitimai visuose pirmiau išvardytuose punktuose.

15.

Susitarimo 6 straipsnyje nurodoma, kad Vidaus saugumo departamentas automatiškai filtruoja ir „užmaskuoja“ neskelbtinus duomenis. Tačiau neskelbtini duomenys bus saugomi ne trumpiau kaip 30 dienų ir konkrečiais atvejais galėtų būti naudojami (6 straipsnio 4 dalis). EDAPP norėtų pabrėžti, kad netgi „užmaskuoti“ šie duomenys vis dar bus „neskelbtini“ ir susiję su fiziniais asmenimis, kurių tapatybę galima nustatyti.

16.

Kaip jau pareiškė EDAPP, Vidaus saugumo departamentas neturėtų tvarkyti su ES piliečiais susijusių neskelbtinų duomenų, net jeigu jie „užmaskuojami“ juos gavus. EDAPP rekomenduoja susitarimo tekste konkrečiai nurodyti, kad oro vežėjai neturėtų perduoti Vidaus saugumo departamentui neskelbtinų duomenų.

17.

8 straipsnyje nurodoma, kad PNR duomenys aktyviojoje duomenų bazėje bus saugomi iki 5 metų ir tuomet bus perkelti į pasyviąją duomenų bazę ir joje laikomi iki 10 metų. Šis maksimalus 15 metų saugojimo terminas akivaizdžiai yra neproporcingas, nepaisant to, duomenys laikomi „aktyviojoje“ ar „pasyviojoje“ duomenų bazėje, kaip tai jau pabrėžė EDAPP ir 29 straipsnio darbo grupė.

18.

8 straipsnio 1 dalyje konkrečiai nurodoma, kad duomenys bus „nuasmeninti ir užmaskuoti“ praėjus šešiems mėnesiams nuo to laiko, kai juos gauna Valstybės saugumo departamentas. Tačiau tiek „užmaskuoti“ duomenys, tiek pasyviojoje duomenų bazėje laikomi duomenys yra asmens duomenys tol, kol jie nėra anonimizuoti. Todėl duomenys turėtų būti anonimizuojami (negrįžtamai) arba nedelsiant ištrinami juos išanalizavus arba ne ilgiau kaip po 6 mėnesių.

19.

EDAPP palankiai vertina 15 straipsnio 1 dalį, kurioje nurodoma, kad duomenys bus perduodami naudojant duomenų eksporto metodą. Tačiau pagal 15 straipsnio 5 dalį reikalaujama, kad vežėjai prie PNR duomenų „prieigą suteiktų“ išskirtinėmis aplinkybėmis. Siekdami aiškiai pašalinti galimybę naudoti duomenų importavimo sistemą ir atsižvelgdami problemas, kurias dar kartą neseniai pabrėžė 29 straipsnio darbo grupė (23), primygtinai patariame susitarime nustatyti aiškų draudimą, kad JAV pareigūnai negalėtų atskirai susipažinti su duomenimis per duomenų importavimo sistemą.

20.

Susitarime turėtų būti apibrėžtas oro vežėjų atliekamų perdavimų Vidaus saugumo departamentui skaičius ir periodiškumas. Siekiant didinti teisinį tikrumą, sąlygos, kuriomis būtų galima atlikti papildomus perdavimus, taip pat turėtų būti išsamiau apibrėžtos.

21.

EDAPP palankiai vertina susitarimo 5 straipsnį dėl duomenų saugumo ir vientisumo, ypač pareigą pranešti asmenims, kurių privatumas pažeistas, apie privatumo incidentą. Tačiau turėtų būti paaiškinti toliau pateikiami duomenų pažeidimo pranešimo elementai:

22.

EDAPP pritaria pareigai registruoti arba dokumentuoti visą prieigą prie PNR ir PNR tvarkymą, nes tai leis patikrinti, ar Vidaus saugumo departamentas tinkamai naudojo PNR duomenis ir ar nebuvo neteisėtai pasinaudota prieiga prie sistemos.

23.

EDAPP palankiai vertina tai, kad susitarimo privatumo apsaugos priemonių laikymąsi prižiūrės ir nepriklausomą peržiūrą atliks departamento privatumo pareigūnai, pvz., Vidaus saugumo departamento vyriausiasis privatumo pareigūnas, kaip nustatyta 14 straipsnio 1 dalyje. Tačiau siekiant užtikrinti veiksmingą duomenų subjektų teisių įgyvendinimą EDAPP ir nacionalinės duomenų apsaugos institucijos turėtų kartu su Vidaus saugumo departamentu parengti šių teisių įgyvendinimo procedūras ir būdus (24). EDAPP palankiai vertintų, jeigu susitarime būtų pateikta nuoroda į šį bendradarbiavimą.

24.

EDAPP tvirtai pritaria teisei į žalos atlyginimą „nepriklausomai nuo pilietybės, kilmės šalies arba gyvenamosios vietos“, kuri nustatyta 14 straipsnio 1 dalies antroje pastraipoje. Tačiau jis apgailestauja, kad 21 straipsnyje aiškiai nurodyta, jog susitarimu „pagal JAV teisę nesukuriamos ir nesuteikiamos jokios teisės jokiam asmeniui“. Net jeigu pagal susitarimą JAV suteikiama teisė į „teisminę peržiūrą“, tokia teisė negali būti lygiavertė teisei į veiksmingą žalos atlyginimą teismine tvarka ES, visų pirma atsižvelgiant į 21 straipsnyje nustatytą ribojimą.

25.

Susitarimo 16 straipsnyje draudžiama perduoti duomenis vidaus institucijoms, kurios neužtikrina „lygiaverčių arba panašių“ apsaugos priemonių, panašių į tas, kurios nustatytos šiame susitarime. EDAPP palankiai vertina šią nuostatą. Tačiau institucijų, kurios galėtų gauti PNR duomenis, sąrašas turėtų būti išsamiau nustatytas. Tarptautinio duomenų perdavimo atveju susitarime nustatyta, kad jie turėtų būti atliekami tik jeigu gavėjas ketina juos naudoti pagal šį susitarimą ir užtikrina „panašias“ apsaugos priemones į tas, kurios nustatytos šiame susitarime, išskyrus neatidėliotinas aplinkybes.

26.

Dėl susitarime vartojamų žodžių „panašus“ arba „lygiavertis“ – EDAPP norėtų pabrėžti, kad joks vidaus arba tarptautinis tolesnis duomenų perdavimas, kurį atlieka Vidaus saugumo departamentas, neturėtų vykti, kol gavėjas neužtikrina apsaugos priemonių, kurios yra ne mažiau griežtos nei tos, kurios nustatytos šiame susitarime. Susitarime taip pat turėtų būti paaiškinta, jog PNR duomenų perdavimas atliekamas kiekvienu konkrečiu atveju užtikrinant, kad atitinkamiems gavėjams bus perduodami tik būtini duomenys, ir jokios išimtys neturėtų būti leidžiamos. Be to, EDAPP rekomenduoja duomenų perdavimams taikyti išankstinį teismo leidimą.

27.

17 straipsnio 4 dalyje nurodoma, kad kai trečiajai šaliai perduodami ES valstybės narės gyventojo duomenys, kompetentingos atitinkamos valstybės narės institucijos turėtų būti informuojamos tais atvejais, kai Vidaus saugumo departamentas žino apie šią padėtį. Ši sąlyga turėtų būti išbraukta, nes Vidaus saugumo departamentas visada turėtų žinoti apie tolesnį perdavimą trečiosioms šalims.

28.

Nėra aišku, kokia teisinę formą JAV priskirs šiam susitarimui jį sudarydama ir kaip šis susitarimas taps privalomas JAV. Tai turėtų būti paaiškinta.

29.

20 straipsnio 2 dalyje aptariamas suderinamumas su galima ES PNR schema. EDAPP pažymi, kad per konsultacijas dėl šio susitarimo patikslinimų visų pirma turi būti nagrinėjama, „ar kokioje nors būsimoje ES PNR sistemoje būtų taikomos ne tokios griežtos duomenų apsaugos priemonės, nei tos, kurios nustatytos dabartiniame susitarime“. Siekiant užtikrinti nuoseklumą, atliekant bet kokį patikslinimą taip pat (ir ypač) turėtų būti atsižvelgiama į griežtesnes apsaugos priemones bet kokioje būsimoje PNR schemoje.

30.

Susitarimas taip pat turėtų būti peržiūrimas atsižvelgiant į naują duomenų apsaugos sistemą ir tai, kad vėliau gali būti sudarytas bendras ES ir JAV susitarimas dėl keitimosi asmens duomenimis vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose. Galėtų būti pridedama nauja nuostata, panaši į 20 straipsnio 2 dalį, kurioje būtų nurodyta, kad „(…) jeigu ir kai ES patvirtinama nauja duomenų apsaugos teisinė sistema arba ES ir JAV sudaro naują susitarimą dėl keitimosi duomenimis, Šalys konsultuojasi ir nustato, ar šį Susitarimą reikėtų atitinkamai patikslinti. Per šias konsultacijas visų pirma nagrinėjama, ar ateityje atlikus kokį nors ES duomenų apsaugos teisinės sistemos pakeitimą arba kokiame nors būsimame ES ir JAV duomenų apsaugos susitarime būtų taikomos mažiau griežtos duomenų apsaugos priemonės nei numatytosios dabartiniame susitarime“.

31.

Dėl susitarimo peržiūros (23 straipsnis) – EDAPP mano, kad nacionalinės duomenų apsaugos institucijos turėtų būti aiškiai įtrauktos į peržiūros grupę. Peržiūros metu taip pat daug dėmesio turėtų būti skiriama priemonių būtinumo ir proporcingumo vertinimui, veiksmingam duomenų subjektų teisių įgyvendinimui ir patikrinama duomenų subjektų prašymų nagrinėjimo praktikoje tvarka, ypač tais atvejais, kai neleidžiama tiesiogiai susipažinti su duomenimis. Turėtų būti konkrečiai nurodomas peržiūrų dažnumas.

32.

EDAPP palankiai vertina susitarimo saugumo ir priežiūros apsaugos priemones ir patobulinimus, palyginti su 2007 m. susitarimu. Tačiau išlieka daug problemų, visų pirma susijusių su PNR bendros koncepcijos nuoseklumu, tikslo ribojimu, Vidaus saugumo departamentui perduodamų duomenų kategorijomis, neskelbtinų duomenų tvarkymu, saugojimo terminu, duomenų eksporto metodo išimtimis, duomenų subjektų teisėmis ir tolesniais perdavimais.

33.

Šios pastabos neturi įtakos jokios teisėtos PNR schemos būtinumo ir proporcingumo reikalavimams ir susitarimui, kuriuo nustatomi masiniai PNR duomenų perdavimai iš ES į trečiąsias šalis. Kaip gegužės 5 d. savo rezoliucijoje dar kartą patvirtino Europos Parlamentas, „būtinumas ir proporcingumas yra pagrindiniai principai, be kurių kova su terorizmu niekada nebus veiksminga“.