1.5.2008   

LT

Europos Sąjungos oficialusis leidinys

C 110/1

1.

Komisija, norėdama pasikonsultuoti pagal Reglamento Nr. 45/2001/EB 28 straipsnio 2 dalį, Europos duomenų apsaugos priežiūros pareigūnui nusiuntė pasiūlymo dėl Tarybos pamatinio sprendimo dėl keleivio duomenų įrašo (PNR) duomenų naudojimo teisėsaugoje projektą (toliau – pasiūlymas).

2.

Šis pasiūlymas yra dėl PNR duomenų tvarkymo Europos Sąjungoje ir artimai susijęs su kitomis keleivių duomenų rinkimo ir naudojimo sistemomis, būtent su 2007 m. liepos mėn. ES ir JAV susitarimu. Šios sistemos labai domina Europos duomenų apsaugos priežiūros pareigūną, ir jis jau turėjo galimybę pateikti keletą preliminarių pastabų dėl Komisijos klausimyno dėl ES PNR sistemos, kuris 2006 m. gruodžio mėn. buvo nusiųstas atitinkamiems suinteresuotiesiems subjektams (3). Europos duomenų apsaugos priežiūros pareigūnas palankiai vertina Komisijos norą pasikonsultuoti. EDAPP mano, kad ši nuomonė turėtų būti paminėta Tarybos sprendimo preambulėje.

3.

Pasiūlymu siekiama suderinti valstybių narių nuostatas dėl oro vežėjų, vykdančių skrydžius į bent vieną valstybę narę arba iš jos, pareigų perduoti PNR duomenis kompetentingoms institucijoms, siekiant užkirsti kelią teroristiniams nusikaltimams bei organizuotam nusikalstamumui ir su jais kovoti.

4.

Europos Sąjunga susitarė dėl PNR duomenų perdavimo palyginimo tikslais sąlygų su JAV ir Kanada. Pirmą susitarimą, sudarytą su JAV 2004 m. gegužės mėn., 2007 m. liepos mėn. pakeitė naujas susitarimas (4). 2005 m. liepos mėn. buvo sudarytas panašus susitarimas su Kanada (5). Be to, turi prasidėti ES ir Australijos derybos dėl susitarimo dėl keitimosi PNR duomenimis, o Pietų Korėja taip pat reikalauja į jos teritoriją vykdomų skrydžių PNR duomenų, nors šiuo metu Europos lygiu derybos nėra suplanuotos.

5.

Europos Sąjungoje šis pasiūlymas papildo Tarybos direktyvą 2004/82/EB (6) dėl oro vežėjų įpareigojimo perduoti keleivių duomenis, vadinamuosius API duomenis, siekiant kovoti su neteisėta imigracija ir pagerinti sienų kontrolę. Ši direktyva turėjo būti perkelta į valstybių narių nacionalinę teisę ne vėliau kaip iki 2006 m. rugsėjo 5 d. Tačiau dar ne visos valstybėse narėse užtikrintas įgyvendinimas.

6.

Išankstinės informacijos apie keleivius (API) duomenys, manoma, turi padėti identifikuoti asmenis, o pasiūlyme minimi PNR duomenys padėtų įvertinti asmenų keliamą pavojų, gauti žvalgybinės informacijos ir nustatyti žinomų bei nežinomų asmenų ryšius.

7.

Pasiūlymą sudaro šie pagrindiniai aspektai:

8.

Pasiūlymas, dėl kurio konsultuojamasi su EDAPP, yra dar vienas žingsnis link įprasto duomenų apie asmenis, kurie iš esmės neįtariami jokiu nusikaltimu, rinkimo. Kaip minėta pirmiau, ši raida vyksta tarptautiniu ir Europos lygiu.

9.

EDAPP pažymi, kad bendrą nuomonę dėl pasiūlymo taip pat pateikė 29 straipsnio darbo grupė ir Policijos ir teisingumo darbo grupė (8). EDAPP pritaria tai nuomonei. Šioje nuomonėje akcentuojami ir nagrinėjami papildomi aspektai.

10.

Nors EDAPP nuomonėje bus analizuojami visi svarbūs pasiūlymo aspektai, daugiausia dėmesio bus skirta keturiems pagrindiniams klausimams.

11.

Paskutinėje dalyje bus nurodyti kiti esminiai klausimai, be kita ko, ne tik teigiami veiksmai duomenų apsaugos srityje, bet ir kiti nerimą keliantys pasiūlymo aspektai.

12.

Norint išnagrinėti siūlomų priemonių teisėtumą pagal pagrindinius duomenų apsaugos principus, ypač pagal Europos pagrindinių teisių chartijos 8 straipsnį ir Europos Tarybos konvencijos Nr. 108 (9) 5 ir 8 straipsnius, būtina aiškiai nustatyti asmens duomenų numatyto tvarkymo tikslą, kad būtų galima įvertinti jo būtinumą ir proporcingumą. Turėtų būti užtikrinta, kad numatytam tikslui pasiekti nėra jokių kitų mažiau invazinių priemonių.

13.

Pasiūlymo formuluotė ir jo poveikio įvertinimas rodo, kad tikslas nėra tik identifikuoti žinomus teroristus arba nusikaltėlius, susijusius su organizuotu nusikalstamumu, lyginant jų vardus su teisėsaugos institucijų turimais sąrašais. Tikslas yra rinkti su terorizmu ir organizuotu nusikalstamumu susijusią žvalgybinę informaciją, o tiksliau – „įvertinti asmenų keliamą pavojų, gauti žvalgybinės informacijos ir nustatyti žinomų bei nežinomų asmenų ryšius“ (10). Pasiūlymo 3 straipsnio 5 dalyje nurodytas tikslas – pirmiausia „nustatyti asmenis, kurie yra arba gali būti susiję su teroristiniu arba organizuotu nusikaltimu, ir jų bendrininkus.“

14.

Šia priežastimi remiamasi aiškinant, kad nurodytam tikslui pasiekti nepakanka API duomenų. Iš tiesų, kaip jau minėta, API duomenys, manoma, turi padėti identifikuoti asmenis, o PNR duomenys nesusiję su identifikavimo tikslu – jie padėtų įvertinti asmenų keliamą pavojų, gauti žvalgybinės informacijos ir nustatyti žinomų bei nežinomų asmenų ryšius.

15.

Numatytų priemonių tikslas – ne tik sulaikyti žinomus asmenis, bet ir rasti asmenis, kurie gali atitikti pasiūlyme numatytus kriterijus.

Svarbiausios pasiūlyme numatytos priemonės tiems asmenims identifikuoti – rizikos analizė ir modelių nustatymas. Pasiūlymo 9 konstatuojamoje dalyje aiškiai teigiama, kad duomenys turi būti saugomi „pakankamai ilgą laikotarpį, kad būtų įgyvendintas tikslas parengti rizikos rodiklius ir nustatyti kelionių ir elgesio modelius.“

16.

Taigi, tikslą sudaro du lygiai: pirmas lygis – tai bendras tikslas kovoti su terorizmu ir organizuotu nusikalstamumu, antras lygis apima būdus ir priemones, reikalingus šiam tikslui pasiekti. Tikslas kovoti su terorizmu ir organizuotu nusikalstamumu yra pakankamai aiškus ir teisėtas, bet šiam tikslui pasiekti naudojami būdai yra ginčytini.

17.

Pasiūlyme nenurodyta, kokiu būdu bus nustatyti modeliai ir atliekamas rizikos vertinimas. Poveikio įvertinime nurodyta, kaip bus naudojami PNR duomenys: keleivių duomenys bus lyginami „su charakteristikos ir elgesio modelių deriniu, siekiant atlikti rizikos vertinimą. Kai keleivis atitinka tam tikrą rizikos vertinimą, tada jis gali būti laikomas pavojų keliančiu keleiviu (11).“

18.

Įtariami asmenys galėtų būti atrinkti pagal tam tikrus įtarimų keliančius jų PNR duomenų elementus (pvz., ryšius su įtartina kelionių agentūra, informacija apie pavogtą kreditinę kortelę) ir remiantis modeliais arba abstrakčiais profiliais. Iš tikrųjų įvairūs standartiniai „normalių keleivių“ arba „įtartinų keleivių“ profiliai galėtų būti parengti remiantis kelionės modeliais. Šie profiliai sudarytų sąlygas toliau tirti tų asmenų duomenis, kurie neatitinka „normalių keleivių“ kategorijos, ypač jei jų profilis susijęs su kitais įtartinais elementais, pavyzdžiui, pavogta kreditine kortele.

19.

Nors negalima daryti prielaidos, kad keleiviai būtų vertinami pagal jų religiją arba kitus jautrius duomenis, tačiau atrodo, kad jie būtų tiriami remiantis mišria in concreto ir in abstracto informacija, įskaitant standartinius modelius ir abstrakčius profilius.

20.

Diskutuotina, ar tokios rūšies tyrimą galima laikyti profiliavimu. Profiliavimą būtų galima apibrėžti kaip „kompiuterinį metodą, kai atliekant duomenų paiešką duomenų saugykloje sudaromos sąlygos arba siekiama sudaryti sąlygas klasifikuoti (su tam tikra tikimybe, taigi ir su tam tikra paklaida) asmenis, priskiriant juos tam tikrai kategorijai, kad šių asmenų atžvilgiu būtų galima priimti atitinkamus sprendimus.“ (12)

21.

EDAPP žino, kad tebevyksta diskusijos dėl profiliavimo apibrėžties. Nesvarbu, ar oficialiai pripažįstama, ar ne, kad pasiūlymu siekiama profiliuoti keleivius, čia nesvarstomas apibrėžčių klausimas. Svarbiausia – poveikis asmenims.

22.

Pagrindinis EDAPP rūpestis susijęs su faktu, kad sprendimai dėl asmenų bus priimami remiantis modeliais ir kriterijais, nustatytais naudojant keleivių duomenis apskritai. Taigi, sprendimai dėl vieno asmens gali būti priimami naudojantis (bent jau iš dalies) modeliais, parengtais pagal kitų asmenų duomenis. Todėl sprendimai, kurie gali turėti didelę įtaką duomenų subjektams, bus priimami remiantis abstrakčiu kontekstu. Asmenims labai sunku apsiginti prieš tokius sprendimus.

23.

Be to, rizikos vertinimas turi būti atliekamas, nors nėra vienodų standartų, skirtų įtariamiesiems identifikuoti. EDAPP rimtai abejoja dėl viso filtravimo proceso teisinio tikrumo, atsižvelgiant į tai, kad kriterijai, pagal kuriuos bus tikrinamas kiekvienas keleivis, yra taip prastai apibrėžti.

24.

EDAPP primena Europos žmogaus teisių teismo praktiką, pagal kurią nacionalinė teisė turi pakankamai tiksliai nusakyti piliečiams, kokiomis aplinkybėmis ir sąlygomis viešosios institucijos turi teisę rinkti informaciją apie jų asmeninį gyvenimą ir ją naudoti.„Suinteresuotas asmuo turėtų turėti galimybę susipažinti su informacija, o jos poveikis turėtų būti numanomas.“ Taisyklė yra „numanoma“, jei ji „pakankamai tiksliai suformuluota, kad visi asmenys, prireikus gavę tinkamą patarimą, galėtų atitinkamai elgtis (13)“

25.

Taigi, būtent dėl tokio pobūdžio rizikos dabartinį pasiūlymą reikia nuodugniai apsvarstyti. Bendras tikslas – kova su terorizmu ir organizuotu nusikalstamumu yra aiškus ir teisėtas, bet neatrodo, kad duomenų tvarkymo, kurį ketinama įgyvendinti, pagrindas būtų pakankamai aiškiai apibrėžtas ir pateisinamas. Todėl EDAPP ragina ES teisės aktų leidėją išsamiai apsvarstyti šį klausimą prieš priimant pamatinį sprendimą.

26.

Kaip nurodyta pirmiau, nepageidaujamas priemonių pobūdis yra akivaizdus. Kita vertus, jų nauda dar toli gražu neįrodyta.

27.

Pasiūlymo poveikio įvertinime daugiau dėmesio skiriama tam, kaip geriau įdegti ES PNR sistemą, nei tam, ar tokia sistema būtina. Poveikio įvertinime (14) nurodytos kitose šalyse, t. y. JAV ir Jungtinėje Karalystėje, įdiegtos PNR sistemos. Tačiau gaila, kad trūksta tikslių faktų ir skaičių, susijusių su šiomis sistemomis. Pranešama, kad esama „daug areštų“, susijusių su „įvairiais nusikaltimais“, nurodytais JK signalizavimo (Semaphore) sistemoje, nepatikslinant, ar jie susiję su terorizmu, ar organizuotu nusikalstamumu. Apie JAV programą nepateikta jokių duomenų, tik tiek, kad „ES turėjo galimybę įvertinti PNR duomenų vertę ir susipažinti su galima jų nauda teisėsaugai.“

28.

Ne tik, kad pasiūlyme trūksta tikslios informacijos apie konkrečius tokių PNR sistemų rezultatus, bet kitų agentūrų, pavyzdžiui, Jungtinių Valstijų Vyriausybės atskaitomybės tarnybos, paskelbtose ataskaitose dar nepatvirtintas priemonių veiksmingumas (15).

29.

EDAPP mano, kad tokie asmenų keliamo pavojaus vertinimo metodai kaip duomenų paieškos priemonės ir elgsenos modeliai turėtų būti papildomai įvertinti, o jų nauda kovoje su terorizmu aiškiai įrodyta, prieš pradedant juos naudoti tokiu plačiu mastu.

30.

Siekiant nustatyti pusiausvyrą tarp kišimosi į asmens privatumą ir priemonės būtinumo (16), reikia atsižvelgti į šiuos aspektus:

31.

Proporcingumo principo laikymasis reiškia ne tik, kad siūloma priemonė turi būti veiksminga, bet ir tai, kad pasiūlyme numatyto tikslo neįmanoma pasiekti mažiau privatumą pažeidžiančiomis priemonėmis. Numatomų priemonių veiksmingumas neįrodytas. Reikia kruopščiai įvertinti galimas alternatyvas prieš nustatant papildomas/naujas priemones informacijai apie asmenį tvarkyti. EDAPP žiniomis, toks išsamus įvertinimas nebuvo atliktas.

32.

EDAPP norėtų priminti apie kitas plataus masto sistemas, skirtas asmenų judėjimui ES arba už prie jos sienų stebėti, kurios jau veikia arba kurias ketinama netrukus įdiegti, pirmiausia – Vizų informacinę sistemą (17) ir Šengeno informacinę sistemą (18). Nors šių priemonių pagrindinis tikslas nėra kova su terorizmu arba organizuotu nusikalstamumu, jomis tam tikru mastu gali arba galės naudotis teisėsaugos institucijos siekdamos platesnių kovos su terorizmu tikslų (19).

33.

Kitas pavyzdys yra susijęs su galimybe naudotis asmens duomenimis, ypač biometrine informacija, nacionalinės policijos duomenų bazėse saugomais įgyvendinant 2005 m. gegužės mėn. pasirašytą Priumo sutartį, kuri dar nėra taikoma visoms Europos Sąjungos valstybėms narėms (20).

34.

Šios skirtingos priemonės panašios tuo, kad jos visos sudaro galimybę visuotinai stebėti asmenų judėjimą, nesvarbu, kad iš skirtingų perspektyvų. Prieš nusprendžiant nustatyti naują visų asmenų, lėktuvu išvykstančių iš ES arba į ją atvykstančių, sistemingą tikrinimo metodą, reikėtų nuodugniai ir išsamiai išnagrinėti, kaip esamomis priemonėmis galima padėti kovoti su tam tikromis nusikaltimų rūšimis, įskaitant terorizmą. EDAPP rekomenduoja, kad Komisija atliktų tokį tyrimą kaip būtiną teisėkūros procedūros veiksmą.

35.

Atsižvelgdamas į tai, kas išdėstyta pirmiau, EDAPP dėl siūlomų priemonių teisėtumo daro toliau išdėstytas išvadas. Rėmimasis skirtingomis duomenų bazėmis neturint bendro konkrečių rezultatų ir trūkumų vaizdo:

36.

Kova su terorizmu iš tiesų gali būti teisėta priežastis taikyti pagrindinių teisių į privatumą ir duomenų apsaugos išimtis. Tačiau, kad tokios išimtys būtų pateisinamos, kišimosi būtinybė turi būti pagrįsta aiškiais ir nenuneigiamais elementais, ir turi būti įrodytas duomenų tvarkymo proporcingumas. Tai yra dar labiau būtina didelio masto kišimosi į asmenų privatumą atveju, koks numatytas pasiūlyme.

37.

Galima tik pažymėti, kad pasiūlyme tokių pateisinančių elementų nėra, o būtinybės ir proporcingumo testai neatlikti.

38.

EDAPP atkakliai tvirtina, kad pirmiau aptarti būtinybės ir proporcingumo testai yra labai svarbūs. Jie yra šio pasiūlymo įsigaliojimo condicio sine qua non. Visas kitas EDAPP pastabas, pateiktas šioje nuomonėje, reikia vertinti atsižvelgiant į šią preliminarią sąlygą.

39.

Toliau bus analizuojami trys klausimai:

40.

Pasiūlymo 11 straipsnyje teigiama: „valstybės narės užtikrina, kad Tarybos pamatinis sprendimas (...) dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos būtų taikomas asmens duomenims tvarkyti pagal šį pamatinį sprendimą.“

41.

Tačiau, nepaisant šios nuostatos, neaišku, kokiu mastu Pamatinis sprendimas dėl duomenų apsaugos – dokumentas pagal ES sutarties trečiąjį ramstį – bus taikomas oro linijų bendrovių tvarkomiems, informacijos apie keleivius skyrių renkamiems ir toliau kitų kompetentingų institucijų naudojamiems duomenims.

42.

Pirmas pasiūlyme numatyto asmens duomenų tvarkymo etapas – duomenų tvarkymas, kurį atlieka oro linijų bendrovės, įpareigotos, daugiausia naudojantis eksportavimo sistema, PNR duomenis pateikti nacionaliniams informacijos apie keleivius skyriams. Iš pasiūlymo ir poveikio įvertinimo (22) teksto galima spręsti, kad oro linijų bendrovės duomenis tarpininkams taip pat galėtų perduoti neatrinktus. Oro linijų bendrovės visų pirma veikia komercinėje aplinkoje, kuriai taikomi nacionaliniai duomenų apsaugos teisės aktai, įgyvendinantys Direktyvą 95/46/EB (23). Klausimai dėl taikytinos teisės kils tada, kai surinkti duomenys bus naudojami teisėsaugos tikslais (24).

43.

Po to duomenis filtruotų tarpininkas (formatuotų ir pašalintų PNR duomenis, neįtrauktus į pasiūlyme pateiktą reikalingų duomenų sąrašą) arba jie būtų tiesiogiai siunčiami informacijos apie keleivius skyriams. Tarpininkais taip pat galėtų būti privačiojo sektoriaus subjektai kaip, pavyzdžiui, bendrovė SITA, kuri tvarko duomenis įgyvendinant PNR susitarimą su Kanada.

44.

Neaišku, kas bus atsakingas už duomenų tvarkymą informacijos apie keleivius skyriuose, atsakinguose už viso duomenų kiekio rizikos vertinimą. Tai gali būti muitinės ir pasienio tarnybos, bet nebūtinai teisėsaugos institucijos.

45.

Ko gero, tolesnis išfiltruotų duomenų perdavimas kompetentingoms institucijoms būtų atliekamas vykdant teisėsaugą. Pasiūlyme teigiama, kad „kompetentingos institucijos apima tik institucijas, kurios atsakingos už teroristinių nusikaltimų ir organizuoto nusikalstamumo prevenciją ir kovą su jais.“

46.

Tolesniuose duomenų tvarkymo etapuose dalyvaujantys subjektai ir siekiamas tikslas labiau susiję su policijos ir teisminiu bendradarbiavimu baudžiamosiose bylose. Tačiau pasiūlyme aiškiai neminima, kada tiksliai bus pradėtas taikyti Pamatinis sprendimas dėl duomenų apsaugos. Iš teksto net galima suprasti, kad sprendimas taikomas visam duomenų tvarkymo procesui, net oro linijų bendrovėms (25). Tačiau pačiame Pamatiniame sprendime dėl asmens duomenų apsaugos nustatyti keli apribojimai.

47.

Tokiu atveju EDAPP iš esmės kyla klausimas dėl to, ar ES sutarties VI antraštinė dalis gali būti nuolat naudojama kaip privačiojo sektoriaus subjektų teisinių pareigų teisėsaugos tikslais teisinis pagrindas. Be to, kyla tiesiogiai susijęs klausimas, ar ES sutarties VI antraštinė dalis gali būti viešųjų institucijų, kurios iš esmės nepriklauso bendradarbiavimo teisėsaugos tikslais sistemai, teisnių pareigų teisinis pagrindas. Šie klausimai bus išplėtoti toliau šioje nuomonėje.

48.

Pasiūlymo dėl Tarybos pamatinio sprendimo dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos tekste nustatyti bent du taikymo srities apribojimai.

49.

Pirmiausia Pamatinio sprendimo dėl duomenų apsaugos taikymo sritis yra aiškiai apibrėžta pačiame pamatiniame sprendime: jis taikomas „tik baudžiamųjų veikų prevencijos, tyrimo, nustatymo ar patraukimo baudžiamojon atsakomybėn arba bausmių vykdymo tikslais kompetentingų institucijų surinktiems ar tvarkomiems duomenims.“ (26)

50.

Antra, Pamatinis sprendimas dėl duomenų apsaugos neturėtų būti taikomas tik vidiniam duomenų tvarkymui, o tik keitimuisi duomenimis tarp valstybių narių ir tolesniam jų perdavimui trečiosioms šalims (27).

51.

Pamatinis sprendimas dėl duomenų apsaugos taip pat turi kelis trūkumus, palyginti su Direktyva 95/46/EB, visų pirma plačios apimties tikslo apribojimo principo išimtis. Atsižvelgiant į šį tikslo principą, pasiūlyme duomenų tvarkymo tikslas aiškiai apribotas – kova su terorizmu ir organizuotu nusikalstamumu. Tačiau Pamatinis sprendimas dėl duomenų apsaugos leidžia duomenis tvarkyti platesniais tikslais. Tokiu atveju lex specialis (pasiūlymas) turėtų būti viršesnis už lex generalis (Pamatinį sprendimą dėl duomenų apsaugos) (28). Tai turėtų būti aiškiai išdėstyta pasiūlymo tekste.

52.

Dėl šios priežasties EDAPP rekomenduoja į pasiūlymą įrašyti tokią nuostatą:„pagal šį pamatinį sprendimą oro linijų bendrovių perduodamus asmens duomenis galima tvarkyti tik kovos su terorizmu ir organizuotu nusikalstamumu tikslais. Tarybos pamatiniame sprendime dėl asmens duomenų, tvarkomų vykdant policijos ir teisminį bendradarbiavimą baudžiamosiose bylose, apsaugos numatytos tikslo principo taikymo išimtys netaikomos.“

53.

Baigdamas EDAPP atkreipia dėmesį į tai, kad skirtingiems projekto dalyviams, ypač oro linijų bendrovėms ir kitiems pirmojo ramsčio subjektams, taikomam duomenų apsaugos režimui trūksta teisinio tikrumo: ar tai būtų pasiūlyme, ar Pamatiniame sprendime dėl duomenų apsaugos numatytos taisyklės, ar nacionaliniai teisės aktai, įgyvendinantys Direktyvą 95/46/EB. Teisės aktų leidėjas turėtų aiškiai nurodyti, kokiuose tiksliai duomenų tvarkymo etapuose bus taikomos šios skirtingos taisyklės.

54.

EDAPP iš esmės abejoja, ar trečiojo ramsčio priemonė nuolat sukuria viešojo arba privačiojo sektoriaus subjektų, kurie iš esmės nepriklauso bendradarbiavimo teisėsaugos tikslais sistemai, teisines pareigas teisėsaugos tikslais.

55.

Šią situaciją būtų galima palyginti su dviem kitais atvejais, kai privatusis sektorius buvo įtrauktas į duomenų saugojimo arba perdavimo veiklą teisėsaugos tikslais:

56.

Pagal dabartinį ES PNR pasiūlymą oro linijų bendrovės turi sistemingai teikti visų keleivių PNR duomenis. Tačiau šie duomenys teisėsaugos institucijoms neperduodami tiesiogiai nerūšiuoti: jie gali būti perduoti tarpininkui, juos vertina trečioji šalis, kurios statusas tebėra neaiškus, ir tik po to atrinkta informacija perduodama kompetentingoms institucijoms.

57.

Nelabai aiškus pagrindinės duomenų tvarkymo dalies teisinis pagrindas, kuris yra iš esmės susijęs su pirmuoju ir trečiuoju ramsčiu. Duomenis tvarkančių subjektų ypatybės irgi neaiškios – ši mintis bus išplėtota IV skyriuje. Akivaizdu, kad oro linijų bendrovės nėra teisėsaugos institucijos, o tarpininkais galėtų būti privačiojo sektoriaus subjektai. Net informacijos apie keleivius skyrių atveju, kurie yra viešosios institucijos, būtina pabrėžti, kad ne kiekviena viešoji institucija gali ir geba kasdien atlikti su teisėsauga susijusį darbą.

58.

Tradiciškai teisėsaugos ir privačiojo sektoriaus veikla yra aiškiai atskirta: su teisėsauga susijusį darbą atlieka specialiai tam paskirtos institucijos, būtent policijos pajėgos, o privačių subjektų kiekvienu konkrečiu atveju prašoma perduoti asmens duomenis šioms teisėsaugos institucijoms. Šiuo metu esama tendencijos privatiems subjektams primesti sistemingą bendradarbiavimą teisėsaugos tikslais, dėl to kyla klausimas, kuri duomenų apsaugos sistema (pirmojo ar trečiojo ramsčio) taikytina šio bendradarbiavimo sąlygoms: neaišku, ar taisyklės turėtų būti pagrįstos duomenų kontrolieriaus (privatusis sektorius) ypatybėmis, ar siekiamu tikslu (teisėsauga).

59.

EDAPP jau yra priminęs, jog esama rizikos, kad tarp pirmojo ir trečiojo ramsčio veiklos atsiras teisinė spraga (31). Iš tiesų toli gražu nėra aišku, ar privačių įmonių veikla, vienu ar kitu būdu susijusi su baudžiamosios teisės vykdymu, patenka į Europos Sąjungos teisės aktų leidėjo veiklos sritį pagal Europos Sąjungos sutarties 30, 31 ir 34 straipsnius.

60.

Jei nebūtų taikoma bendra (pirmojo ramsčio) sistema, paslaugų teikėjui būtų sudėtinga atskirti savo duomenų bazes. Pagal dabartinį režimą aišku, kad duomenų kontrolierius turi laikytis tos pačios duomenų apsaugos duomenų subjektų atžvilgiu, neatsižvelgdamas į duomenų saugojimą pateisinančius tikslus. Todėl reikėtų vengti, kad paslaugų teikėjų skirtingais tikslais tvarkomiems duomenims būtų taikomos skirtingos duomenų apsaugos sistemos.

61.

Skirtingi teisiniai režimai, kurie būtų taikomi nacionaliniu lygiu, pirmiausia didelį poveikį turėtų duomenų subjekto naudojimuisi jo teisėmis.

62.

Pasiūlymo preambulėje teigiama, kad „pagal Pamatinį sprendimą dėl duomenų apsaugos turi būti numatyta teisė gauti informaciją, susipažinti, reikalauti ištaisyti, ištrinti ir blokuoti, teisė gauti kompensaciją ir teisė į teisminį teisės gynimo būdą.“ Tačiau šis teiginys neduoda atsakymo į klausimą, kas yra tas kontrolierius, turintis patenkinti duomenų subjekto prašymus.

63.

Informaciją apie duomenų tvarkymą galėtų teikti oro linijų bendrovės, tačiau klausimas dėl teisės naudotis duomenimis ar juos ištaisyti yra sudėtingesnis. Šios teisės pagal Pamatinį sprendimą dėl duomenų apsaugos iš tiesų yra ribotos. Kaip nurodyta pirmiau, abejotina, kad toks paslaugų teikėjas kaip oro linijų bendrovė galėtų būti įpareigotas atsižvelgiant į siekiamą tikslą (komercinį arba teisėsaugos) suteikti diferencijuotą galimybę naudotis turimais duomenimis ir teisę juos ištaisyti. Galima teigti, kad šiomis teisėmis turi būti pasinaudota prieš informacijos apie keleivius skyrius arba kitas paskirtas kompetentingas institucijas. Tačiau pasiūlyme dėl to nėra jokių kitų nurodymų ir, kaip jau minėta, neaišku, ar šios institucijos (bent jau informacijos apie keleivius skyriai) bus teisėsaugos institucijos, kurioms paprastai pavedamos ribotos (galbūt netiesioginės) naudojimosi procedūros.

64.

Taip pat kyla rizika asmeniui turėti reikalų su skirtingais duomenų gavėjais, kiek tai susiję su informacijos apie keleivius skyriais: iš tikrųjų duomenys perduodami išvykimo/atvykimo šalies informacijos apie keleivius skyriams, bet atskirais atvejais gali būti perduoti ir kitų valstybių narių informacijos apie keleivius skyriams. Be to, įmanoma, kad kelios valstybės narės įsteigtų arba paskirtų vieną bendrą informacijos apie keleivius skyrių. Tokiu atveju duomenų subjektas turėtų pasinaudoti teisių gynimo priemonėmis prieš kitos valstybės narės instituciją. Vėlgi neaišku, ar bus taikomos nacionalinės duomenų apsaugos taisyklės (jos turėtų būti suderintos su ES taisyklėmis), ar reikės atsižvelgti į tam tikrus teisėsaugos teisės aktus (kadangi nacionaliniu lygiu nepakankamai suderinti trečiojo ramsčio teisės aktai).

65.

Tas pats klausimas kyla dėl galimybės naudotis tarpininkų, kurių statusas neaiškus, tvarkomais duomenimis, be to, skirtingų ES valstybių oro linijų bendrovės gali naudotis tais pačiais tarpininkais.

66.

EDAPP apgailestauja dėl neaiškumo, susijusio su duomenų subjekto naudojimusi pagrindinėmis teisėmis. Jis pabrėžia, kad šią situaciją daugiausia nulėmė tai, kad tokios pareigos patikimos subjektams, kurių pagrindinis darbas nesusijęs su teisėsauga.

67.

EDAPP mano, jog pasiūlyme turėtų būti aiškiai nurodyta, koks teisinis režimas taikomas kuriame tvarkymo etape, ir tiksliai nurodyta, į kokį subjektą ar valdžios instituciją turėtų būti kreipiamasi dėl galimybės susipažinti su duomenimis ir dėl teisės gynimo priemonių. EDAPP primena, kad pagal ES sutarties 30 straipsnio 1 dalies b punktą duomenų apsaugos nuostatos turi būti tinkamos ir apimti visas pasiūlyme numatytas duomenų tvarkymo operacijas. Tiesiog pateikti nuorodą į Pamatinį sprendimą dėl duomenų apsaugos nepakanka, kadangi to pamatinio sprendimo taikymo sritis ribota, ir jame numatytas teisių apribojimas. Kiek tai yra susiję su teisėsaugos institucijomis, Pamatinio sprendimo dėl duomenų apsaugos taisyklės turėtų būti taikomos bent jau visam pasiūlyme numatytam duomenų tvarkymui, kad būtų užtikrintas duomenų apsaugos principų taikymo nuoseklumas.

68.

EDAPP pažymi, kad pasiūlyme nėra aiškiai nurodyta jokių asmens duomenis, kuriuos yra surinkusios oro linijų bendrovės, gaunančių subjektų ypatybių, ar tai būtų tarpininkai, informacijos apie keleivius skyriai ar kompetentingos institucijos. Reikia pabrėžti, kad gavėjo ypatybės yra tiesiogiai susijusios su tam gavėjui taikomų duomenų apsaugos garantijų tipu. Garantijų, ypač numatytų pagal pirmojo ir antrojo ramsčių taisykles, skirtumas jau minėtas. Itin svarbu, kad taikomas režimas būtų aiškus visiems dalyviams, įskaitant nacionalines vyriausybes, teisėsaugos institucijas, duomenų apsaugos institucijas, taip pat duomenų kontrolierius ir duomenų subjektus.

69.

Pasiūlyme nėra nieko pasakyta apie tarpininkų ypatybes (32). Tarpininkų, kaip kontrolierių ar duomenų tvarkytojų, funkcijos taip pat tiksliai neįvardytos. Iš patirties atrodytų, kad privačiojo sektoriaus subjektui, ar tai būtų kompiuterinė rezervacijų sistema ar kitas darinys, gali puikiausiai būti patikėta užduotis tiesiogiai iš oro linijų bendrovių rinkti PNR duomenis ir persiųsti juos informacijos apie keleivius skyriams. Tokiu būdu iš tiesų yra tvarkomi duomenys pagal PNR susitarimą su Kanada. Už informacijos tvarkymą yra atsakinga bendrovė SITA (33). Tarpininko funkcija yra labai svarbi, kadangi jis gali būti atsakingas už duomenų, kuriuos oro linijų bendrovės perduoda neišskaidytus, filtravimą/performatavimą (34). Net jei tarpininkai privalo panaikinti sutvarkytą informaciją, kai tik ji perduodama informacijos apie keleivius skyriams, pats tvarkymas yra itin jautrus klausimas: dėl to, kad procese dalyvauja tarpininkai, sukuriama papildoma duomenų bazė, kurioje yra dideli kiekiai duomenų, ir netgi, kaip numatyta pasiūlyme, jautrių duomenų (tarpininkai tokiu atveju privalo tuos jautrius duomenis ištrinti). Dėl šių priežasčių EDAPP rekomenduoja, kad keleivių duomenų tvarkyme nedalyvautų jokie tarpininkai, nebent būtų tiksliai nurodytos jų ypatybės ir užduotys.

70.

Informacijos apie keleivius skyriai atlieka svarbiausią funkciją identifikuojant asmenis, kurie yra arba gali būti susiję su terorizmu ar organizuotu nusikalstamumu. Pasiūlyme numatyta, kad jie bus atsakingi už rizikos rodiklių parengimą ir žvalgybinės informacijos apie kelionių modelius teikimą (35). Tuo atveju, kai rizikos vertinimas yra grindžiamas standartiniais kelionių modeliais, o ne su konkrečiu atveju susijusiais esminiais įrodymais, tokią analizę galima laikyti iniciatyviu tyrimu. EDAPP pabrėžia, kad toks duomenų tvarkymas iš esmės yra griežtai reglamentuojamas (jei apskritai neuždraustas) valstybių narių teisės aktais, ir tai yra specialių viešųjų institucijų, kurių veikimas taip pat yra griežtai reglamentuojama, užduotis.

71.

Taigi, keleivių informacijos skyriams patikimas itin jautrios informacijos tvarkymas, tačiau pasiūlyme nepateikta jokių detalių apie jų ypatybes ir sąlygas, kuriomis jie šia kompetencija naudosis. Nors panašu, kad šią užduotį atliks vyriausybės organas, galbūt muitinės ar sienos kontrolės įstaigos, pasiūlyme nėra aiškiai pasakyta, kad valstybės narės šios veiklos negali patikėti žvalgybos tarnyboms ar netgi bet kokiam duomenų tvarkytojui. EDAPP pabrėžia, kad žvalgybos tarnyboms ir tradicinėms teisėsaugos institucijoms ne visuomet taikomi identiški skaidrumo ir garantijų reikalavimai. Informacijos apie keleivius skyrių ypatybių detalės yra itin svarbios, kadangi nuo to tiesiogiai priklausys taikytina teisinė bazė ir priežiūros sąlygos. EDAPP mano, kad į pasiūlymą privalo būti įtraukta papildoma nuostata, detaliai nurodanti šių skyrių charakteristikas.

72.

Iš pasiūlymo 4 straipsnio galima spręsti, kad duomenis gali gauti bet kuri institucija, atsakinga už teroristinių nusikaltimų ir organizuoto nusikalstamumo prevenciją ir kovą su jais. Nors tikslas yra aiškiai apibrėžtas, institucijos ypatybės nenurodytos. Pasiūlyme nenumatyta, kad gavėjai turi būti tik teisėsaugos institucijos.

Kaip jau minėta informacijos apie keleivius skyrių klausimu, itin svarbu, kad jautri informacija būtų tvarkoma aplinkoje, kuri yra aiškiai reglamentuojama teisės aktais. Teisėsaugos institucijoms tai yra dar svarbiau nei, pvz., žvalgybos tarnyboms. Atsižvelgiant į tai, kad pasiūlyme yra numatyti duomenų paieškos elementai ir iniciatyvus tyrimas, negalima atmesti galimybės, kad tokios žvalgybos tarnybos dalyvautų duomenų tvarkyme, neišskiriant ir jokių kitų institucijų.

73.

Apskirtai EDAPP atkreipia dėmesį į tai, kad įgyvendinti ES PNR sistemą tampa dar sudėtingiau dėl to, kad pagal nacionalinę valstybių narių teisę teisėsaugos institucijų kompetencija (įskaitant arba ne žvalgybą, mokesčių administravimą, imigraciją ar policiją) yra skirtinga. Tačiau tai yra papildoma priežastis rekomenduoti labiau patikslinti pasiūlymą, atsižvelgiant į pirmiau minėtų subjektų ypatybes ir jų užduočių vykdymo kontrolės garantijas. Į pasiūlymą turėtų būti įtrauktos papildomos nuostatos, kad būtų itin tiksliai nurodyta tarpininkų, keleivių informacijos skyrių ir kitų kompetentingų institucijų kompetencija ir teisinės pareigos.

74.

Pasiūlyme numatyta keletas apsaugos priemonių, susijusių su PNR duomenų perdavimu trečiosioms šalims (36). Konkrečiai – jame aiškiai numatyta duomenų perdavimui taikyti Pamatinį sprendimą dėl duomenų apsaugos, taip pat numatytas specialus tikslo apribojimas ir nurodyta, jog būtinas valstybės narės sutikimas tuo atveju, kai duomenys perduodami toliau. Perdavimas taip pat neturi pažeisti atitinkamos valstybės narės nacionalinių teisės aktų ir taikytinų tarptautinių susitarimų.

75.

Tačiau dar daug klausimų lieka neatsakyta, pirmiausia dėl duodamo sutikimo ypatybių, Pamatinio sprendimo dėl duomenų apsaugos taikymo sąlygų ir vadinamojo abipusiškumo perduodant duomenis trečiosioms šalims.

76.

Kilmės valstybė narė privalo duoti aiškų sutikimą tolesniam duomenų perdavimui iš vienos trečiosios šalies į kitą trečiąją šalį. Pasiūlyme nėra aiškiai nurodyta, kokiomis sąlygomis ir kas turėtų šį sutikimą duoti, ir ar sprendimo priėmime turėtų dalyvauti nacionaliniai duomenų apsaugos institucijos. EDAPP mano, kad sutikimas turėtų būti duodamas bent jau laikantis nacionalinių įstatymų, reglamentuojančių asmens duomenų perdavimo į trečiąsias šalis sąlygas.

77.

Be to, valstybės narės sutikimas neturėtų būti viršesnis už principą, pagal kurį gaunančioji valstybė turi numatyti adekvatų apsaugos lygį numatytam duomenų tvarkymui. Šios sąlygos turėtų būti taikomos kartu, kaip Pamatiniame sprendime dėl duomenų apsaugos (14 straipsnis). Todėl EDAPP siūlo, kad į 8 straipsnio 1 dalį būtų įrašytas toks c punktas: „ir c) trečioji valstybė užtikrina adekvatų apsaugos lygį numatytam duomenų tvarkymui.“ EDAPP šiuo klausimu primena, kad privalu nustatyti mechanizmus, užtikrinančius su adekvatumu susijusius bendrus standartus ir suderintus sprendimus (37).

78.

Pasiūlyme daroma nuoroda į Pamatiniame sprendime dėl duomenų apsaugos nustatytas sąlygas ir apsaugos priemones ir tuo pačiu aiškiai nurodomos kai kurios sąlygos, būtent pirmiau minėtas atitinkamos valstybės narės sutikimas ir duomenų naudojimo tikslo apribojimas, numatant, kad jie būtų naudojami tik teroristinių nusikaltimų ir organizuoto nusikalstamumo prevencijos bei kovos su jais tikslams.

79.

Pamatiniame sprendime dėl duomenų apsaugos numatytos asmens duomenų perdavimo trečiosioms šalims sąlygos, būtent tikslo apribojimas, gavėjų ypatybės, valstybės narės duodamas sutikimas ir adekvatumo principas. Tačiau jame taip pat numatytos nuo šių perdavimo sąlygų leidžiančios nukrypti nuostatos: teisėti visuotiniai interesai, ypač svarbūs visuomenės interesai, gali būti pakankamas pagrindas perduoti duomenis, net jei neįvykdytos pirmiau išvardytos sąlygos.

80.

Kaip jau minėta šios nuomonės III skyriuje, EDAPP mano, kad pasiūlymo tekste turi būti aiškiai nurodyta, kad tikslesnės pasiūlymo garantijos yra viršesnės už Pamatinio sprendimo dėl duomenų apsaugos (tais atvejais, kai jis taikytinas) bendrąsias sąlygas ir išimtis.

81.

Pasiūlyme sprendžiamas galimų atsakomųjų prašymų klausimas, kai valstybės gali paprašyti ES pateikti skrydžių iš ES į jų teritoriją PNR duomenis. Tais atvejais, kai ES prašo duomenų iš trečiųjų šalių oro linijų bendrovių duomenų bazių todėl, kad šios bendrovės vykdo skrydžius iš ES arba į ES, tokia trečioji valstybė ES įsisteigusių oro linijų bendrovių gali paprašyti to paties, taip pat ES piliečių duomenų. Nors, Komisijos nuomone, tokia galimybė yra „gana menka“, ji jos neatmeta. Pasiūlyme šiuo klausimu nurodoma, kad susitarimuose su JAV ir Kanada numatytas tokai abipusė galimybė, „kuri gali būti automatiškai įgyvendinama“ (38). EDAPP kvestionuoja tokio automatiško abipusiškumo svarbą ir tokiems perdavimams numatytų apsaugos priemonių taikymo, būtent atsižvelgdamas į tai, ar atitinkamoje šalyje yra adekvatus apsaugos lygis.

82.

Turi būti daromas skirtumas tarp trečiųjų valstybių, kurios jau yra sudariusios susitarimą su ES, ir valstybių, kurios tokio susitarimo nėra sudariusios.

83.

EDAPP atkreipia dėmesį į tai, kad dėl abipusiškumo asmens duomenys gali būti perduodami šalims, kurios negali nei užtikrinti demokratinių standartų, nei adekvataus duomenų apsaugos lygio.

84.

Poveikio įvertinime pateikti kiti elementai, susiję su duomenų perdavimo trečiosioms šalims sąlygomis: pabrėžiamas ES PNR sistemos, pagal kurią duomenis filtruoja informacijos apie keleivius skyriai, pranašumas. Valstybių narių kompetentingoms institucijoms ir galbūt trečiosioms šalims būtų perduodami tik atrinkti įtariamų asmenų duomenys (o ne duomenų visuma) (39). EDAPP rekomenduoja šį dalyką aiškiau išdėstyti pasiūlymo tekste. Poveikio įvertinime pateiktas paprastas teiginys nesuteikia būtinos apsaugos.

85.

Nors duomenų atranka padės sušvelninti poveikį keleivių privatumui, būtina priminti, kad duomenų apsaugos principai apima kur kas daugiau nei duomenų kiekio sumažinimą; juos sudaro tokie principai kaip būtinybė, skaidrumas ir naudojimasis duomenų subjektų teisėmis; sprendžiant, ar trečioji šalis garantuoja adekvatų apsaugos lygį, turi būti atsižvelgiama į visus principus.

86.

Poveikio įvertinime nurodyta, kad toks duomenų tvarkymas suteiks ES galimybę „reikalauti tam tikrų standartų ir užtikrinti nuoseklumą tokiuose dvišaliuose susitarimuose su trečiosiomis šalimis. Taip pat suteiks galimybę iš trečiųjų šalių, su kuriomis ES yra sudariusi susitarimą, reikalauti atsakomųjų veiksmų; šiandien tai neįmanoma“ (40).

87.

Iš šių pastabų kyla klausimas dėl pasiūlymo poveikio galiojantiems susitarimams su Kanada ir JAV. Galimybės susipažinti su duomenimis sąlygos šiuose susitarimuose yra iš tiesų žymiai daugiau apimančios, kadangi šioms trečiosioms šalims perduodami prieš tai neatrinkti duomenys.

88.

Poveikio įvertinime nurodyta, kad „tais atvejais, kai ES yra sudariusi tarptautinį susitarimą su trečiąja šalimi dėl keitimosi PNR duomenimis su ta trečiąja šalimi ir (arba) tokių duomenų perdavimo joms, į tokius susitarimus turi būti deramai atsižvelgiama. Vežėjai turėtų siųsti PNR duomenis informacijos apie keleivius skyriams, vadovaudamiesi įprasta praktika pagal dabartinę priemonę. Tokius duomenis gavęs informacijos apie keleivius skyrius perduoda juos trečiosios šalies, su kuria yra sudarytas toks susitarimas, kompetentingai institucijai“ (41).

89.

Nors, viena vertus, atrodytų, kad pasiūlymo tikslas yra tik atrinktų duomenų perdavimas bet kuriai kompetentingai institucijai, esančiai ES ar už ES ribų, kita vertus, poveikio įvertinime, taip pat pasiūlymo preambulėje (21 konstatuojamoji dalis) ir 11 straipsnyje primenama, kad turi būti deramai atsižvelgiama į galiojančius susitarimus. Todėl galima daryti išvadą, kad filtravimas gali būti veiksminga priemonė tik susitarimams, kurie bus sudaryti ateityje. Tačiau šiuo klausimu galima prognozuoti, kad galimybė susipažinti su visais, neatrinktais duomenimis ir toliau bus galimybės susipažinti su duomenimis taisyklė (pvz., galimybė JAV institucijoms susipažinti su PNR duomenimis pagal ES ir JAV susitarimo nuostatas), tačiau tuo pačiu metu, kiekvienu atskiru atveju JAV gali būti perduodami specialūs duomenys, kuriuos yra nustatę informacijos apie keleivius skyriai, įskaitant duomenis, susijusius su skrydžiais į JAV, bet nebūtinai vien su jais.

90.

EDAPP apgailestauja, kad pasiūlyme trūksta aiškumo šiuo itin svarbiu klausimu. Pareigūno nuomone, be galo svarbu, kad būtų suderintos PNR duomenų perdavimo į trečiąsias šalis sąlygos ir būtų taikomas suderintas apsaugos lygis. Be to, siekiant teisinio aiškumo duomenų perdavimui taikomų garantijų patikslinimai turi būti įtraukti į patį pasiūlymą, o ne vien į poveikio įvertinimą, kaip yra dabar.

91.

EDAPP atkreipia dėmesį į tai, jog pasiūlyme aiškiai atmetama galimybė, kad valstybių narių informacijos apie keleivius skyriai ir kompetentingos institucijos galėtų imtis priverstinio vykdymo veiksmų, remdamiesi vien automatizuotu PNR duomenų tvarkymu arba asmens rase ar etnine kilme, religiniais, filosofiniais, politiniais įsitikinimais ar seksualine orientacija (42).

92.

Tokie patikslinimai yra sveikintini, kadangi jie sumažina riziką, kad prieš asmenis gali būti imamasi nepagrįstų priemonių. Tačiau EDAPP pabrėžia, kad šis patikslinimas taikomas tik priverstinio vykdymo veiksmams, kurių gali imtis informacijos apie keleivius skyriai arba kompetentingos institucijos. Tačiau dabartinėje pasiūlymo redakcijoje neatmetamas automatizuotas asmens duomenų filtravimas pagal standartinius profilius, taip pat neužkertamas kelias automatizuotam įtariamų asmenų sąrašų sudarymui ir galimybei imtis tokių priemonių kaip plataus masto stebėjimas tol, kol šios priemonės nelaikomos priverstinio vykdymo veiksmais.

93.

EDAPP mano, kad sąvoka priverstinio vykdymo veiksmai yra pernelyg miglota ir kad iš principo asmenų atžvilgiu joks sprendimas neturėtų būti priimtas vien dėl tos priežasties, kad jų duomenys tvarkomi automatizuotai (43). EDAPP rekomenduoja atitinkamai patikslinti pasiūlymo tekstą.

94.

Pasiūlymo 5 straipsnio 2 dalyje pateiktas svarbus patikslinimas – aiškiai nurodoma, jog oro linijų bendrovės neturi jokios pareigos rinkti ar laikyti papildomus duomenis, išskyrus tuos, kurie yra renkami pirminiam komerciniam tikslui.

95.

Kai kuriuos šių duomenų tvarkymo aspektus reikėtų pakomentuoti plačiau:

EDAPP pritaria 29 straipsnio darbo grupės nuomonėje pateiktiems komentarams šiuo klausimu.

96.

Ne ES įsisteigę oro vežėjai privalo eksportuoti duomenis informacijos apie keleivius skyriams arba tarpininkams, jei tam jie turi techninę bazę. Jei neturi, jie turės leisti atlikti duomenų perkėlimą importo metodu.

97.

Dėl to, kad leidžiama naudoti skirtingus duomenų perdavimo metodus, atsižvelgiant į atitinkamas oro linijų bendroves, taps dar sudėtingiau kontroliuoti PNR duomenų perdavimo atitiktį duomenų apsaugos taisyklėms. Dėl to taip pat kyla rizika, jog bus iškreipta konkurencija tarp ES ir ne ES įsisteigusių oro linijų bendrovių.

98.

EDAPP primena, kad eksporto metodas, sudarantis galimybę oro linijų bendrovėms kontroliuoti, kokie duomenys perduodami ir kokiomis aplinkybėmis tai daroma, yra vienintelis leistinas metodas atsižvelgiant į duomenų tvarkymo proporcingumą. Be to, pagal šį metodą duomenys turi būti iš tiesų eksportuojami, t. y. duomenys negali būti siunčiami tarpininkui neatrinkti – jie turi būti filtruojami nuo pat pirmųjų duomenų tvarkymo etapų. Neleistina, kad nebūtini duomenys ir duomenys, kurie nėra įtraukti į pasiūlymo 1 priedą, būtų siunčiami trečiajai šaliai, net jei tuos duomenis gavusi minėta trečioji šalis privalėtų nedelsdama ištrinti.

99.

Pasiūlymo 9 straipsnyje numatyta, kad PNR duomenys saugomi penkerius metus, ir dar papildomai aštuonerius metus, kai duomenys turi būti laikomi nenaudojamų duomenų bazėje, kuri bus prieinama tik griežtai kontroliuojamomis sąlygomis.

100.

EDAPP abejoja dėl dviejų duomenų bazių tipų skirtumo: neaišku, ar nenaudojamų duomenų bazę sudaro tikras archyvas su skirtingais duomenų saugojimo ir atgaminimo metodais. Iš tiesų daugumą sąlygų, kurios taikomos prieigai prie nenaudojamų duomenų bazės, sudaro saugumo reikalavimai, kurie taip pat gali būti taikomi penkerių metų saugojimo duomenų bazei.

101.

Visa saugojimo trukmė, t. y. trylika metų, yra bet kuriuo atveju pernelyg ilga. Poveikio įvertinime ši trukmė pateisinama būtinybe parengti rizikos rodiklius ir sudaryti kelionių bei elgsenos modelius (46), kurių efektyvumas dar nėra iki galo įrodytas. Akivaizdu, kad tam tikru atveju duomenis galima laikyti tiek laiko, kiek būtina, ir tol, kol vyksta tyrimas, tačiau vargu ar galima pateisinti, kodėl visų visiškai niekuo neįtariamų keleivių duomenys turi būti saugomi trylika metų.

102.

EDAPP toliau atkreipia dėmesį į tai, kad šis saugojimo laikotarpis nesuderinamas su valstybių narių atsakymais į Komisijos klausimyną – pagal juos vidutinis reikiamas saugojimo laikotarpis būtų treji su puse metai (47).

103.

Be to, trylikos metų laikotarpis yra panašus į naujausiame susitarime su Jungtinėmis Valstijomis nustatytą penkiolikos metų saugojimo laikotarpį. EDAPP visuomet manė, kad dėl tokio ilgo saugojimo laikotarpio buvo sutarta tik dėl stipraus JAV Vyriausybės spaudimo išsiderėti daug ilgesnį nei treji su puse metai saugojimo laikotarpį, o ne todėl, kad kuriame nors derybų etape to reikalavo Taryba arba Komisija. Nėra jokios priežasties tokį kompromisą, kuris yra pateisinamas tik kaip neišvengiamas derybų rezultatas, perkelti į pačios ES teisės aktą.

104.

Valstybių narių komitetas, steigtinas pagal pasiūlymo 14 straipsnį, turės kompetenciją saugumo klausimais, įskaitant PNR duomenų protokolą ir šifravimą, taip pat rekomendacijų dėl bendrų visuotinių kriterijų, metodų ir praktikos, susijusių su rizikos vertinimu.

105.

Be šių nurodymų, pasiūlyme nėra nė vieno elemento ar kriterijaus, taikytino konkrečioms rizikos vertinimo proceso sąlygoms ir struktūrai. Poveikio įvertinime paminėta, kad kriterijai galiausiai priklausys nuo kiekvienos valstybės narės turimos žvalgybinės informacijos, kuri nuolat kinta. Rizikos vertinimas turi būti atliktas, nors nėra vienodų standartų, taikomų įtariamųjų identifikavimui. Todėl abejonių kelia tai, kiek plačiai valstybių narių komitetas galės vykdyti savo funkcijas šioje srityje.

106.

Pasiūlyme detaliai aprašytos saugumo priemonės (48), kurių turi imtis informacijos apie keleivius skyriai ir kitos kompetentingos institucijos, kad būtų apsaugoti duomenys. Atsižvelgdamas į duomenų bazės svarbą ir duomenų tvarkymo jautrumą, EDAPP mano, kad be numatytų priemonių, duomenis tvarkantis subjektas taip pat turėtų privalėti oficialiai pranešti apie visus saugumo pažeidimus.

107.

EDAPP yra informuotas apie projektą Europos lygiu įdiegti tokią pranešimo procedūrą, taikytiną elektroninių ryšių sektoriuje. Jis pataria tokią apsaugos priemonę įtraukti į dabartinį pasiūlymą ir šiuo klausimu nurodo Jungtinėse Valstijose naudojamą pranešimų apie saugumo pažeidimus sistemą, kuri taikoma valstybės agentūroms (49). Saugumo incidentų gali pasitaikyti bet kurioje veiklos srityje ir viešajame, ir privačiajame sektoriuje, kaip rodo nesenas atvejis, kai Britanijos administracija prarado visą piliečių duomenų bazę (50). Tokai pranešimų sistema pirmiausia turėtų būti taikoma tokioms didelėms duomenų bazėms, kokios yra numatytos pasiūlyme.

108.

EDAPP atkreipia dėmesį į tai, kad peržiūra turi būti atliekama per trejus metus nuo pamatinio sprendimo įsigaliojimo dienos, remiantis Komisijos parengta ataskaita. Jis supranta, kad šios peržiūros, kuri grindžiama valstybių narių pateikta informacija, metu ypatingas dėmesys bus skiriamas duomenų apsaugos priemonėms; peržiūra taip pat apims eksporto metodo įgyvendinimą, duomenų saugojimą ir rizikos vertinimo kokybę. Kad tokia peržiūra būtų išsami, ji turėtų apimti tvarkant PNR informaciją parengtų statistinių duomenų analizės rezultatus. Be pasiūlymo 18 straipsnyje paminėtų elementų, šie statistiniai duomenys taip pat turėtų apimti detalią statistinę informaciją apie didelį pavojų keliančių asmenų identifikavimą: tokio identifikavimo kriterijus ir identifikuojant atliekamų visų teisėsaugos veiksmų konkrečius rezultatus.

109.

EDAPP šioje nuomonėje jau teigė, kad nėra konkrečių elementų, pagrindžiančių siūlomos sistemos būtinumą. Tačiau jis mano, kad jei pamatinis sprendimas įsigaliotų, jį mažų mažiausiai reikėtų papildyti galiojimo pabaigos sąlyga. Trejų metų laikotarpio pabaigoje šis pamatinis sprendimas turėtų būti panaikintas, jei neatsirastų nieko, kas galėtų pateisinti tolesnį jo galiojimą.

110.

Pasiūlymo baigiamosiose nuostatose įrašyta sąlyga dėl tolesnio galiojančių dvišalių ar daugiašalių susitarimų ar mechanizmų taikymo. Tie dokumentai gali būti taikomi tik tiek, kiek yra suderinami su siūlomo pamatinio sprendimo tikslais.

111.

EDAPP kvestionuoja šios nuostatos taikymo sritį. Kaip jau minėta V skyriaus skirsnyje „Abipusiškumas“, neaišku, koks bus šios nuostatos poveikis susitarimų su trečiosiomis valstybėmis, pavyzdžiui, susitarimo su Jungtinėmis Valstijomis, turiniui. Kita vertus, neaišku, ar ši nuostata gali turėti poveikio platesnės taikymo srities teisės aktų, pavyzdžiui, Europos Tarybos konvencijos Nr. 108, taikymo sąlygoms. Nors tai gali atrodyti neįmanoma, atsižvelgiant į institucinio pobūdžio skirtumus ir dalyvaujančius subjektus, turėtų būti vengiama bet kokios neteisingo aiškinimo rizikos, todėl pasiūlyme turėtų būti aiškiai nurodyta, kad jis neturės jokio poveikio platesnės taikymo srities teisės aktams, būtent tiems, kurių tikslas – pagrindinių teisių apsauga.

112.

EDAPP pabrėžia, kad šis pasiūlymas turės itin didelį poveikį duomenų apsaugai. Pareigūnas išanalizavo keturis pagrindinius dėl pasiūlymo kilusius klausimus, ir tvirtina, jog šiuos klausimus būtina spręsti nuodugniai. Dabartinėmis aplinkybėmis pasiūlymas prieštarauja pagrindinėms teisėms, ypač Europos Sąjungos pagrindinių teisių chartijos 8 straipsniui, todėl neturėtų būti priimtas.

113.

Jei bus atsižvelgta į pirmiau išdėstytas pastabas, ypač dėl teisėtumo testo, šioje nuomonėje yra pateikta keletas redakcinių pasiūlymų, į kuriuos turėtų atsižvelgti teisės akto rengėjai. Ypač siūloma atkreipti dėmesį į šios nuomonės 67, 73, 77, 80, 90, 93, 106, 109 ir 111 punktus.

114.

Bendras tikslas – kova su terorizmu ir organizuotu nusikalstamumu yra aiškus ir teisėtas, tačiau duomenų tvarkymo, kurį ketinama įgyvendinti, pagrindas nėra pakankamai apibrėžtas ir pateisinamas.

115.

EDAPP mano, kad kai kuriuos asmenų keliamo pavojaus vertinimo metodus, pvz., duomenų paieškos įrankius ir elgsenos modelius, dar reikia papildomai įvertinti ir aiškiai įrodyti jų naudą kovai su terorizmu, ir tik po to juos naudoti tokiu plačiu mastu.

116.

Rėmimasis skirtingomis duomenų bazėmis neturint bendro konkrečių rezultatų ir trūkumų vaizdo:

117.

Kova su terorizmu, be abejo, gali būti teisėta priežastis taikyti pagrindinių teisių į privatumą ir duomenų apsaugą išimtis. Tačiau kad tokios išimtys būtų pateisinamos, kišimosi būtinybė turi būti pagrįsta aiškiais ir nenuneigiamais elementais ir turi būti įrodytas duomenų tvarkymo proporcingumas. Tai yra dar labiau būtina didelio masto kišimuisi į asmenų privatumą (toks numatytas pasiūlyme).

118.

Pasiūlyme šių pateisinančių elementų nėra, o būtinybės ir proporcingumo testai neatlikti.

119.

EDAPP atkakliai tvirtina, jog pirmiau aptarti būtinybės ir proporcingumo testai yra labai svarbūs. Jie yra pasiūlymo įsigaliojimo condicio sine qua non.

120.

EDAPP atkreipia dėmesį į tai, kad skirtingiems projekto dalyviams, ypač oro linijų bendrovėms ir kitiems pirmojo ramsčio subjektams, taikomam režimui trūksta teisinio tikrumo: ar tai būtų pasiūlyme, ar Pamatiniame sprendime dėl duomenų apsaugos numatytos taisyklės, ar nacionaliniai teisės aktai, įgyvendinantys Direktyvą 95/46/EB. Teisės aktų leidėjas turėtų aiškiai nurodyti, kokiuose duomenų tvarkymo etapuose bus taikomos šios skirtingos taisyklės.

121.

Dabartinė tendencija privatiems subjektams sistemingai primesti bendradarbiavimą teisėsaugos tikslais kelia klausimą, kuri duomenų apsaugos sistema (pirmojo ar trečiojo ramsčių) taikytina tokio bendradarbiavimo sąlygoms: neaišku, ar taisyklės turėtų būti pagrįstos duomenų kontrolieriaus (privatusis sektorius) ypatybėmis, ar siekiamu tikslu (teisėsauga).

122.

EDAPP jau yra pabrėžęs, jog esama rizikos, kad tarp pirmojo ir trečiojo ramsčių veiklos atsiras teisinė spraga (51). Iš tiesų toli gražu nėra aišku, ar privačių įmonių veikla, vienu ar kitu būdu susijusi su baudžiamosios teisės vykdymu, patenka į Europos Sąjungos teisės aktų leidėjo veiklos sritį pagal Europos Sąjungos sutarties 30, 31 ir 34 straipsnius.

123.

Reikėtų vengti, kad paslaugų teikėjų skirtingais tikslais tvarkomiems duomenims būtų taikomos skirtingos duomenų apsaugos sistemos, ypač atsižvelgiant į sunkumus, kurie kiltų dėl duomenų subjektų naudojimosi savo teisėmis.

124.

Pasiūlyme turėtų būti numatytos asmens duomenų, kuriuos yra surinkusios oro linijų bendrovės, gavėjų – tarpininkų, informacijos apie keleivius skyrių ar kompetentingų institucijų – ypatybių specifikacijos.

125.

Gavėjų, kurie kai kuriais atvejais gali būti privačiojo sektoriaus subjektai, ypatybės yra tiesiogiai susijusios su tam gavėjui taikomų duomenų apsaugos garantijų tipu. Itin svarbu, kad taikomas režimas būtų aiškus visiems dalyviams, įskaitant teisės aktų leidėjus, duomenų apsaugos institucijas, taip pat duomenų kontrolierius ir duomenų subjektus.

126.

EDAPP pabrėžia, jog būtina užtikrinti, kad gavėjo valstybėje būtų numatytas adekvatus apsaugos lygis. Jis taip pat abejoja dėl pasiūlyme paminėto abipusiškumo principo svarbos ir jo taikymo valstybėms, kurios jau yra sudariusios susitarimą su ES, pavyzdžiui, Kanada ar JAV. Pareigūno nuomone, labai svarbu, kad PNR duomenų perdavimo trečiosioms šalims sąlygos būtų darnios ir būtų taikomas suderintas apsaugos lygis.

127.

EDAPP taip pat atkreipia teisės aktų leidėjo dėmesį į specifinius pasiūlymo aspektus, kuriuos būtina patikslinti, arba dėl kurių būtina labiau atsižvelgti į duomenų apsaugos principą. Pirmiausia tai pasakytina apie šiuos aspektus:

128.

EDAPP atkreipia dėmesį į tai, kad dabartinis pasiūlymas yra teikiamas tokiu metu, kai netrukus iš esmės pasikeis Europos Sąjungos institucinė sandara. Lisabonos sutartis sprendimų priėmimo procesui turės itin didelį poveikį, ypač dėl Parlamento vaidmens.

129.

Atsižvelgiant į tai, kad pasiūlymo poveikis pagrindinėms teisėms neturi precedento, ESAPP pataria nepriimti jo pagal dabartinę Sutarties teisinę bazę, tačiau užtikrinti, kad šiam pasiūlymui būtų taikoma naujojoje Sutartyje numatyta bendro sprendimo priėmimo procedūra. Tai sustiprintų teisinius pagrindus, kuriais remiantis bus imamasi esminių pasiūlyme numatytų priemonių.

1.

saugo valstybės saugumą, visuomenės saugumą, valstybės finansinius interesus arba siekia stabdyti nusikalstamumą;

2.

apsaugo duomenų subjektą arba kitų asmenų teises ir laisves.“