1.5.2008   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 110/1

1.

Komisija saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu ierosināto Padomes Pamatlēmumu par pasažieru datu reģistra (PDR) izmantošanu tiesībaizsardzības mērķiem (še turpmāk “ierosinātais tiesību akts”) nosūtīja EDAU, lai uzzinātu viņa viedokli par to.

2.

Ierosinātais tiesību akts attiecas uz PDR datu apstrādi Eiropas Savienībā un ir cieši saistīts ar citām pasažieru datu vākšanas un izmantojuma sistēmām, jo īpaši ar ES un ASV 2007. gada jūlija nolīgumu. Minētās sistēmas izraisa lielu EDAU ieinteresētību, un viņam jau ir dota iespēja nosūtīt dažus provizoriskus komentārus saistībā ar Komisijas 2006. gada decembrī attiecīgām ieinteresētām personām izsūtīto anketi par iecerēto ES PDR sistēmu (3). EDAU ir gandarīts par apspriedēm ar Komisiju. EDAU uzskata, ka šis atzinums būtu jāmin Padomes lēmuma preambulā.

3.

Priekšlikuma mērķis ir saskaņot dalībvalstu noteikumus par pienākumiem, kas uzlikti aviopārvadātājiem, kuri veic lidojumus uz vismaz vienas dalībvalsts teritoriju vai no tādas dalībvalsts teritorijas — saistībā ar PDR datu pārsūtīšanu kompetentām iestādēm, lai novērstu un apkarotu terorismu un organizētu noziedzību.

4.

Eiropas Savienība ar ASV, kā arī ar Kanādu ir noslēgusi PDR datu pārsūtīšanas nolīgumus datu salīdzināšanas vajadzībām. Pirmā, 2004. gada maijā ar ASV noslēgtā nolīguma vietā ir stājies jauns, 2007. gada jūlija nolīgums (4). Līdzīgs nolīgums ar Kanādu ir noslēgts 2005. gada jūlijā (5). Turklāt ir jāsākas ES sarunām ar Austrāliju par PDR datu apmaiņas nolīgumu, tāpat arī Dienvidkoreja prasa PDR datus par lidojumiem uz tās teritoriju — šajā stadijā neparedzot sarunas Eiropas līmenī.

5.

Eiropas Savienībā ierosinātais tiesību akts papildina Padomes Direktīvu 2004/82/EK (6) par pārvadātāju pienākumu darīt zināmus pasažieru datus, ko dēvē par provizoriskas pasažieru informācijas (API) datiem, lai apkarotu nelegālu imigrāciju un uzlabotu robežkontroli. Šai direktīvai būtu bijis jābūt transponētai dalībvalstu tiesībās vēlākais līdz 2006. gada 5. septembrim. Tomēr tās īstenošana vēl nav nodrošināta visās dalībvalstīs.

6.

Atšķirībā no provizoriskas pasažieru informācijas (Advanced Passenger Information — API) datiem, kam jāpalīdz identificēt cilvēkus, ierosinātajā tiesību aktā minētie PDR dati palīdzētu veikt personu radītu apdraudējumu ekspertīzes, gūt izlūkdatus un atklāt zināmu cilvēku saistību ar nezināmiem.

7.

Ierosinātajā tiesību aktā ir šādi galvenie elementi:

8.

Ierosinātais tiesību akts, par ko ir lūgts EDAU atzinums, ir vēl viens solis pretī tam, lai ierasta kļūtu datu vākšana par tādiem cilvēkiem, ko netur aizdomās par noziegumiem. Kā jau iepriekš teikts, tāda evolūcija notiek starptautiskā un Eiropas mērogā.

9.

EDAU norāda, ka arī 29. panta darba grupa un policijas un tieslietu sadarbības darba grupa ir nākusi klajā ar kopīgu atzinumu par ierosināto tiesību aktu (8). EDAU atbalsta minēto atzinumu. Šajā atzinumā ir uzsvērti un izvērsti arī vairāki citi aspekti.

10.

Kaut arī EDAU atzinumā būs analizēti visi svarīgākie ierosinātā tiesību akta aspekti, īpaša uzmanība būs pievērsta četrām galvenām problēmām.

11.

Citi būtiski aspekti un arī citi iemesli uztraukumam, ko rada ierosinātais tiesību akts, būs apzināti pēdējā daļā, kā arī no datu aizsardzības viedokļa pozitīvi pasākumi.

12.

Lai analizētu ierosināto pasākumu likumību saskaņā ar datu aizsardzības pamatprincipiem, un jo īpaši — ar Eiropas Pamattiesību hartas 8. pantu un Eiropas Padomes 108. konvencijas 5. līdz 8. pantu (9), ir skaidri jāapzina iecerēto personas datu apstrādes mērķi, lai izvērtētu to vajadzīgumu un samērību. Būtu jānodrošina, ka, lai sasniegtu iecerēto mērķi, nav pieejami citi līdzekļi, ar kuriem mazāk iejauktos personīgajā dzīvē.

13.

Ierosinātā tiesību akta izteiksme un efektivitātes ekspertīze rāda, ka akta mērķis nav tikai identificēt zināmus teroristus vai zināmus, organizētā noziedzībā iesaistītus noziedzniekus, salīdzinot viņu vārdus ar vārdiem, kas figurē tiesībaizsardzības iestāžu apsaimniekotos sarakstos. Mērķis ir vākt izlūkdatus par terorismu vai organizētu noziedzību, un, precīzāk izsakoties, “veikt personu radītu apdraudējumu ekspertīzes, gūt izlūkdatus un atklāt zināmu cilvēku saistību ar nezināmiem” (10). Ierosinātā tiesību akta 3. panta 5. punktā norādītais mērķis pirmkārt un galvenokārt ir “identificēt personas, kas ir iesaistītas kādā terora aktā vai varbūt ir tādā iesaistītas, vai arī ir iesaistītas kādā ar organizētu noziedzību saistītā noziedzīgā nodarījumā — kā arī viņu sabiedrotos”.

14.

Šis ir iemesls, ko piesauc, lai skaidrotu, ka ar provizoriskas pasažieru informācijas (API) datiem ir par maz, lai sasniegtu minēto mērķi. Patiesi, kā jau norādīts, kaut arī ir paredzēts, ka provizoriskas pasažieru informācijas (API) dati palīdzēs identificēt personas, PDR datus nevāc identifikācijas nolūkiem, toties sīki PDR dati palīdzētu personu radītu apdraudējumu ekspertīzēs, kā arī vākt izlūkdatus un savā starpā saistīt zināmus cilvēkus ar nezināmiem.

15.

Paredzēto pasākumu mērķis ir ne tikai notvert jau zināmas personas, bet arī noteikt tādu personu atrašanās vietu, kuras varētu atbilst ierosinātā tiesību akta kritērijiem.

Lai identificētu minētās personas, projekta galvenā daļa ir apdraudējumu analīze un uzvedības modeļu apzināšana. Ierosinātā tiesību akta 9. apsvērumā ir skaidri teikts, ka dati jāglabā “pietiekami ilgu laiku, lai varētu sasniegt mērķi — izstrādāt apdraudējumu kritērijus un apzināt ceļošanas paradumus un uzvedības modeļus”.

16.

Tātad mērķis ir raksturots divos slāņos: pirmajā slānī ir vispārējs mērķis apkarot terorismu un organizētu noziedzību, bet otrā slānī ir līdzekļi un pasākumi, kā sasniegt minēto mērķi. Kaut arī mērķis — apkarot terorismu un organizētu noziedzību šķiet gana skaidrs un likumīgs, līdzekļi, kā to sasniegt, atstāj vietu pārrunām.

17.

Ierosinātajā tiesību aktā nav norādīts, kā noteikt uzvedības modeļus un kā notiks apdraudējumu ekspertīzes. Ekspertīzē ar šādu precizitāti ir raksturots PDR datu lietojums: salīdzināt pasažieru datus “ar raksturīgām pazīmēm un uzvedības modeļiem, lai sastādītu apdraudējuma ekspertīzi. Ja pasažieris atbilst kādiem apdraudējuma ekspertīzes parametriem, viņu var identificēt kā pasažieri, kas rada paaugstinātu apdraudējumu” (11).

18.

Aizdomās turētās personas var atlasīt saskaņā ar konkrētiem aizdomu elementiem, kas rodami viņu PDR datos (piem., kontakti ar aizdomīgu ceļojumu aģentūru, zagtas kredītkartes izmantojums), kā arī, par pamatu ņemot “uzvedības modeļus” vai kādu abstraktu profilu. Dažādus standartprofilus patiesi varētu ņemt par pamatu gan “parastu pasažieru”, gan “aizdomīgu pasažieru” ceļošanas paradumiem. Tādi profili ļautu padziļināti analizēt datus par tādiem pasažieriem, kas neatbilstu “normālu pasažieru kategorijai”, un vēl jo vairāk — ja viņu profils būtu saistīts ar citiem aizdomīgiem elementiem, piemēram, zagtu kredītkarti.

19.

Kaut arī nevar pieņemt, ka pret pasažieriem vērsīsies viņu ticības vai citu diskrētu datu dēļ, tomēr šķiet, ka viņu datus analizētu, balstoties uz in concreto un in abstracto informācijas kokteili, kurā būtu ietverti parastas uzvedības modeļi un abstrakti profili.

20.

Varētu pārrunāt, vai tāda tipa datu analīze būtu atzīstama par profila izstrādi. Profilu izstrāde būtu “datorizēta metode, ar ko datu noliktavā meklētu datus, darot iespējamu klasifikāciju vai paredzot darīt to iespējamu, iespējams, nākot klajā ar prognozēm — un tādējādi pieļaujot iespēju kļūdīties — par kādu cilvēku konkrētā kategorijā, lai pieņemtu individuālus lēmumus par attiecīgo personu” (12).

21.

EDAU zina, ka notiek diskusijas par profilu izstrādes definīciju. Neatkarīgi no tā, vai ir oficiāli atzīts, ka ierosinātajā tiesību aktā ir paredzēts izstrādāt pasažieru profilus, galvenais jautājums nav saistīts ar definīcijām. Runa ir par to, kā tas ietekmē cilvēkus.

22.

EDAU visvairāk ir norūpējies par to, ka lēmumus par cilvēkiem pieņems, par pamatu ņemot uzvedības modeļus un kritērijus, kas būs noteikti, izmantojot vispārīgus datus par pasažieriem. Tādējādi lēmumus par kādu cilvēku var pieņemt, par atsauci (vismaz daļēji) izmantojot uzvedības modeļus, kas ir atvedināti no citu personu datiem. Tādējādi lēmumus pieņems saistībā ar abstraktu kontekstu, un tas var stipri ietekmēt datu subjektus. Cilvēkiem ir ļoti grūti aizsargāties pret tādiem lēmumiem.

23.

Turklāt apdraudējumu ekspertīzes ir paredzēts veikt, kaut arī nav vienotu standartu, kā identificēt aizdomās turamos. EDAU nopietni apšauba visa filtrēšanas procesa juridisko noteiktību un uzskata, ka kritēriji, ar ko saskaņā izskatīs katra pasažiera datus, ir definēti ļoti vāji.

24.

EDAU atgādina Eiropas Cilvēktiesību tiesas jurisprudenci, kurā ir paredzēts, ka iekšzemes tiesību aktiem ir jābūt pietiekami precīziem, lai pilsoņiem norādītu, kādos apstākļos un ar kādiem noteikumiem valsts iestādes ir pilnvarotas par viņu privāto dzīvi krāt informāciju un izmantot to. Informācijai “būtu jābūt attiecīgai personai pieejamai un tās sekām jābūt paredzamām”. Obligāta ir “paredzamība” — “ja tā ir formulēta pietiekami precīzi, lai jebkurš cilvēks — vajadzības gadījumā saņēmis attiecīgus padomus — varētu regulēt savas darbības” (13).

25.

Nobeigumā ir jānorāda, ka tieši tādu riska iespējamību dēļ šis ierosinātais tiesību akts ir rūpīgi jāapsver. Kaut arī galvenais mērķis — apkarot terorismu un organizētu noziedzību pats par sevi ir skaidrs un likumīgs, nešķiet, ka ieviešamās datu apstrādes būtība ir pietiekami precīzi izstrādāta un pamatota. Tālab EDAU aicina ES likumdevējus jautājumam pievērsties nopietni, pirms pamatlēmuma pieņemšanas.

26.

Kā iepriekš norādīts, tas, ka paredzētie pasākumi iejaucas privātā dzīvē, ir acīmredzams. No otras puses, to lietderīgums nebūt nav pierādīts.

27.

Ierosinātā tiesību akta efektivitātes ekspertīzē uzmanība ir īpaši pievērsta tam, kā labāk izveidot ES PDR, nevis tam, vai PDR vispār ir vajadzīgs. Ekspertīzē ir dota atsauce (14) uz PDR sistēmām, kas darbojas citās valstīs, proti — Amerikas Savienotajās Valstīs un Apvienotajā Karalistē. Tomēr var tikai nožēlot, ka trūkst precīzu faktu un skaitļu par minētajām sistēmām. Apvienotās Karalistes semafora sistēmā ziņo par “daudziem arestiem” saistībā ar “dažādiem noziegumiem”, neprecizējot par saiknēm ar terorismu vai organizētu noziedzību. Nekas sīkāk nav teikts par ASV programmu, vienīgi, ka “ES ir varējusi izvērtēt PDR datu vērtību un apzināties, cik liels ir to potenciāls, lai īstenotu tiesībaizsardzības mērķus”.

28.

Ierosinātajā tiesību aktā ne tikai trūkst precīzas informācijas par konkrētiem rezultātiem, ko dod tādas PDR sistēmas, bet arī citu aģentūru — piem., GAO (ASV) — publicētos ziņojumos šajā stadijā nav apstiprināts, ka tādi pasākumi būtu efektīvi (15).

29.

EDAU uzskata, ka cilvēku radīta apdraudējuma izvērtēšanas paņēmieni, kuros izmanto datu ieguves instrumentus un uzvedības modeļus, ir rūpīgāk jāizvērtē, un to lietderīgums no terorisma apkarošanas viedokļa ir skaidri jānosaka, pirms tos sāk lietot tik plašos mērogos.

30.

Lai izvērtētu līdzsvaru starp iejaukšanos cilvēku privātā dzīvē un pasākuma vajadzību (16), ir jāņem vērā šādi elementi:

31.

Ievērot samērības principu nozīmē ne tikai to, ka ierosinātajam pasākumam jābūt efektīvam, bet arī to, ka iecerēto ierosinātā tiesību akta mērķi nevar sasniegt, izmantojot instrumentus, ar ko mazāk jaucas privātā dzīvē. Iecerēto pasākumu efektivitāte nav pierādīta. Ir rūpīgi jāizvērtē alternatīvas iespējas, pirms ieviest papildu/jaunus pasākumus personu informācijas apstrādei. Cik ir zināms EDAU, pilnīga ekspertīze nav notikusi.

32.

EDAU vēlas atgādināt par citām plaša mēroga sistēmām, ar ko pārraudzīt personu pārvietošanos ES robežās vai pie tām, neatkarīgi, vai tās jau darbojas, vai tās paredz īstenot, konkrēti aptverot Vīzu informācijas sistēmu (17) un Šengenas Informācijas sistēmu (18). Kaut arī galvenais šo instrumentu izmantojums nav apkarot terorismu vai organizētu noziedzību, tās ir vai būs savā ziņā pieejamas tiesībaizsardzības iestādēm, lai ar plašāku vērienu apkarotu noziedzību (19).

33.

Cits piemērs attiecas tādu personas datu pieejamību, kuri atrodas attiecīgu valstu policijas datu bāzēs — jo īpaši tas attiecas uz biometrijas informācijas datiem — 2005. gada maijā parakstītā Prīmes līguma sakarā, ko piemēro visās Eiropas Savienības dalībvalstīs (20).

34.

Dažādajiem minētiem instrumentiem kopīgs ir tas, ka tie ļauj pasaules mērogā pārraudzīt cilvēku pārvietošanos, kaut arī no dažādām perspektīvēm. Tas, kā tie jau tagad var palīdzēt konkrētu formu noziegumu, arī terorisma apkarošanā, būtu padziļināti un pilnībā jāizanalizē, pirms pieņemt lēmumu visām personām, kas ar lidmašīnām izlido no ES vai ielido tajā, izstrādāt jaunu, sistemātisku datu pārbaudi. EDAU iesaka, lai Komisija vadītu tādu analīzi, kas būtu likumdošanas procedūrā vajadzīgs pasākums.

35.

Ņemot vērā iepriekš teikto, EDAU izdara šādus secinājumus par ierosināto pasākumu likumību. Apkopot datus no dažādām datu bāzēm, negūstot vienotu priekšstatu par konkrētiem rezultātiem un trūkumiem:

36.

Terorisma apkarošana noteikti var būt likumīgs pamats, lai piemērotu izņēmumus pamattiesībām uz privātumu un datu aizsardzību. Tomēr, lai to varētu pamatot, iejaukšanās vajadzība ir jāpamato ar skaidriem un neapstrīdamiem elementiem, un ir jāpierāda, ka datu apstrāde notiek samērīgi. Tas ir jo obligātāk gadījumos, ja notiek plaša iejaukšanās cilvēku privātā dzīvē, kā paredzēts ierosinātajā tiesību aktā.

37.

Var tikai konstatēt, ka ierosinātajā tiesību aktā tādu pamatojuma elementu trūkst, un nav pārbaudīts vajadzīgums un samērīgums.

38.

EDAU uzsver, ka vajadzīguma un samērīguma pārbaude, par ko izvērstāk runāts iepriekš, ir būtiski svarīga. Abas tās ir condicio sine qua non, lai ierosinātais tiesību akts varētu stāties spēkā. Visas turpmākās EDAU piebildes šajā atzinumā ir jāuztver, paturot prātā šo obligāto priekšnosacījumu.

39.

Turpmākā analīze īpaši pievērsīsies trijiem punktiem:

40.

Ierosinātā tiesību akta 11. pantā ir norādīts — “dalībvalstis nodrošina, ka datiem, ko apstrādā saskaņā ar šo pamatlēmumu, piemēro Padomes Pamatlēmumu (…) par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās”.

41.

Tomēr, kaut arī šis noteikums skaidri nenosaka, ciktāl datu aizsardzības pamatlēmums — instruments, kas pieder pie ES Līguma trešā pīlāra darbības jomas — būs piemērojams datiem, ko apstrādā aviosabiedrības, ko vāc pasažieru informācijas vienības, un ko pēc tam lieto citas kompetentas iestādes.

42.

Pirmais solis personas datu apstrādē, kā paredzēts ierosinātajā tiesību aktā, ir to apstrāde aviosabiedrībās, kam ir pienākums darīt pieejamus PDR datus attiecīgo valstu pasažieru informācijas vienībām, faktiski izmantojot tādu sistēmu, lai dati būtu apstrādāti, lidmašīnai izlidojot (“push system”). Ierosinātā tiesību akta un tā efektivitātes ekspertīzes (22) formulējums šķiet liecinām, ka aviosabiedrības varētu arī kompleksi pārsūtīt starpniekiem visus datus. Aviosabiedrības galvenokārt darbojas komercvidē, uz ko attiecas attiecīgu valstu datu aizsardzības tiesību akti, ar kuriem īsteno Direktīvu 95/46/EK (23). Jautājumi par piemērojamām tiesībām radīsies, kad savāktos datus lietos tiesībaizsardzības vajadzībām (24).

43.

Datus pēc tam filtrētu kāds starpnieks (tos paredzēts formatēt un neiekļaut PDR datus, kas nav iekļauti ar ierosināto tiesību aktu paredzēto datu sarakstā) vai tos tieši sūta pasažieru informācijas vienībām. Starpnieki varētu būt arī privatajā sektorā aktīvi darbību veicēji, kāda ir SITA, kas no šāda aspekta darbojas saskaņā ar Kanādu noslēgto PDR nolīgumu.

44.

Runājot par pasažieru informācijas vienībām, kas atbild par apdraudējumu ekspertīzi, analizējot visu datu kopumu, nav skaidrs, kas atbildēs par datu apstrādi. Var būt iesaistītas muitas un robežsardzes iestādes, un tām par katru cenu nav jābūt tiesībaizsardzības iestādēm.

45.

Filtrēto datu nosūtīšana “kompetentām iestādēm” vēlāk droši vien notiktu tiesībaizsardzības sakarā. Ierosinātajā tiesību aktā ir norādīts, ka “Kompetentas iestādes ir tikai tādas iestādes, kas ir atbildīgas par terora aktu un organizētas noziedzības novēršanu un apkarošanu”.

46.

Citu pēc cita veicot datu apstrādes stadijas, procesā iesaistītie darbību veicēji, kā arī īstenojamais mērķis ciešāk saistās ar policijas un tiesu sadarbību krimināllietās. Ierosinātajā tiesību aktā gan nav skaidri teikts, kad īsti būs jāpiemēro datu aizsardzības pamatlēmums. Formulējums var pat likt domāt, ka tas attiecas uz visu datu apstrādi, un pat uz aviosabiedrībām (25). Tomēr pašā personas datu aizsardzības pamatlēmumā ir daži ierobežojumi.

47.

Šādā sakarā EDAU pašos pamatos apšauba to, vai ES Līguma VI sadaļa var noderēt par tiesisko pamatu regulārām juridiskām saistībām un tiesībaizsardzības vajadzībām privātajā sektorā. Turklāt svarīgs ir jautājums, vai ES Līguma VI sadaļa var noderēt par tiesisko pamatu, lai uzliktu juridiskas saistības valsts iestādēm, kas nav iesaistītas tiesībaizsardzības jomā izvērstā sadarbībā. Šiem jautājumiem šajā atzinumā rūpīgāka uzmanība būs pievērsta vēlāk.

48.

Ierosinātajā Padomes pamatlēmumā par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās, ir vismaz divi darbības ierobežojumi, kas ir svarīgi darbības jomas ziņā.

49.

Pirmkārt, datu aizsardzības pamatlēmuma darbības joma ir skaidri definēta pašā pamatlēmumā: tas attiecas “tikai [uz] tādiem datiem, ko kompetentas iestādes iegūst vai apstrādā saistībā ar noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un kriminālvajāšanu par tiem, vai saistībā ar kriminālsodu izpildi” (26).

50.

Otrām kārtām, nav paredzēts datu aizsardzības pamatlēmumu piemērot datiem, ko apstrādā tikai pašas valsts līmenī, bet tas aprobežojas ar dalībvalstu savstarpēju datu apmaiņu un to vēlāku sūtīšanu trešām valstīm (27).

51.

Datu aizsardzības pamatlēmumā arī ir daži trūkumi salīdzinājumā ar Direktīvu 95/46/EK, jo īpaši, paredzot plašus izņēmumus principam, kas paredz informāciju izmantot tikai tam mērķim, kam tā sākotnēji domāta. Ievērojot minēto principu, kas paredz informāciju izmantot tikai mērķim, kam tā domāta, ierosinātajā tiesību aktā ir skaidri noteikts, ka datu apstrādes mērķi nesniedzas tālāk par terorisma un organizētas noziedzības apkarošanu. Tomēr datu aizsardzības pamatlēmumā ir atļauts datus apstrādāt plašākiem mērķiem. Tādā gadījumā lex specialis (ierosinātajam tiesību aktam) būtu jāpatur virsroka pār lex generalis (datu aizsardzības pamatlēmumu) (28). Ierosinātajā tiesību aktā tam būtu jābūt skaidri saprotamam.

52.

Tālab EDAU iesaka ierosinātajā tiesību aktā iekļaut šādu noteikumu: “Personas datus, ko aviosabiedrības pārsūta saskaņā ar šo pamatlēmumu, nevar apstrādāt citiem nolūkiem kā tikai terorisma un organizētas noziedzības apkarošanai. Nav spēkā izņēmumi principam, kas paredz informāciju izmantot tikai tam mērķim, kam tā sākotnēji domāta, kuri ir ietverti Padomes pamatlēmumā par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās”.

53.

Nobeigumā EDAU norāda uz nopietnu juridiskas noteiktības trūkumu no dažādiem projektā iesaistītiem darbību veicējiem piemērojamā datu aizsardzības režīma viedokļa, un jo īpaši no aviosabiedrību un citu pirmā pīlāra darbību veicēju viedokļa: vienalga, vai tie ir ierosinātajā tiesību aktā ietvertie noteikumi, datu aizsardzības pamatlēmuma noteikumi, vai noteikumi, kas ietverti attiecīgu valstu tiesību aktos, ar ko īsteno Direktīvu 95/46/EK. Likumdevējiem būtu skaidri jānosaka, tieši kurā datu apstrādes brīdī piemēro minētos dažādos noteikumus.

54.

EDAU pašos pamatos apšauba to, vai trešā pīlāra instruments rada regulāri īstenojamas juridiskas saistības, kā arī saistības tiesībaizsardzības vajadzībām privātā vai valsts sektorā iesaistītiem darbību veicējiem, uz ko būtībā neattiecas sadarbība tiesībaizsardzības jomā.

55.

To varētu salīdzināt ar diviem citiem gadījumiem, kuros ir iesaistīts privātais sektors — datu glabāšanā vai pārsūtīšanā no tiesībaizsardzības perspektīves:

56.

ES PDR priekšlikumā, kāds tas ir pašlaik, aviosabiedrībām regulāri jādara pieejami visu pasažieru PDR dati. Minētos datus tomēr tieši un kompleksi nepārsūta tiesībaizsardzības iestādēm: tos var sūtīt kādam starpniekam, un tos izvērtē kāda trešā puse, kuras statuss nav skaidrs, pirms atlasīto informāciju nosūta kompetentām iestādēm.

57.

Apstrāde lielākoties notiek juridiski neskaidrā kontekstā un ir reāli saistīta gan ar pirmo pīlāru, gan ar trešo pīlāru. IV nodaļā būs izvērstāk aprakstīts, kāpēc nav skaidrs jautājums par datu apstrādātāju kvalitāti. Aviosabiedrības acīmredzami nav tiesībaizsardzības iestādes, un starpnieki varētu būt darbību veicēji no privātā sektora. Arī attiecībā uz pasažieru informācijas vienībām, kas ir valsts iestādes, ir jāuzsver, ka ne katra valsts iestāde ir kvalificēta un kompetenta regulāri veikt tiesībaizsardzības uzdevumus.

58.

Parasti tiesībaizsardzības joma ir skaidri nošķirta no privātā sektora darbībām, kurā tiesībaizsardzības uzdevumus veic īpašas iestādes, konkrēti, policijas spēki, un privātu darbību veicējus piesaista tikai konkrētos gadījumos, lai darītu zināmus personas datus minētajām tiesībaizsardzības iestādēm. Tagad ir sākusies tendence privātiem darbību veicējiem regulāri uzspiest sadarbību tiesībaizsardzības jomā, un tas liek jautāt, kāda datu aizsardzības sistēma (pirmā vai trešā pīlāra sistēma) attiecas uz tādas sadarbības nosacījumiem — vai tādiem noteikumiem būtu jābalstās uz datu kontroliera kvalitāti (privātais sektors), vai arī uz sasniedzamo mērķi (tiesībaizsardzība)?

59.

EDAU jau ir atgādinājis par briesmām, kas rodas tāpēc, ka pirmā un trešā pīlāra juridiskās sistēmas nav savā starpā salāgotas (31). Nepavisam nav skaidrs, vai Eiropas Savienības likumdevēju darbības joma saskaņā ar LES 30., 31. un 34. pantu attiecas uz tādu privātu uzņēmējsabiedrību darbībām, kuras ir kaut kā saistītas ar krimināltiesību īstenošanu.

60.

Ja vispārējā (pirmā pīlāra) sistēma nebūtu piemērojama, pakalpojumu sniedzējiem savās datu bāzēs vajadzētu veikt sarežģītus nošķīrumus. Saskaņā ar pašreizējo režīmu ir skaidrs, ka datu kontrolieriem ir jārespektē datu subjektu datu aizsardzība neatkarīgi no iemesliem, kas pamato datu glabāšanu. Tālab būtu jāvairās no tā, ka uz datu apstrādes pakalpojumu sniedzējiem, kas dažādām vajadzībām apstrādā datus, attiektos dažādas datu aizsardzības sistēmas.

61.

Dažādie tiesiskie regulējumi, kas būtu jāpiemēro attiecīgu valstu mērogā, stipri ietekmētu galvenokārt datu subjektu tiesību īstenojumu.

62.

Ierosinātā tiesību akta preambulā ir norādīts, ka “saskaņā ar datu aizsardzības pamatlēmumu jānodrošina informācija, piekļuve, datu labošana, dzēšana un piekļuves aizliegums, kā arī tiesības uz kompensāciju un tiesiskas aizsardzības līdzekļiem”. Tomēr šī deklarācija neatbild uz jautājumu — kas ir tas kontrolieris, kam ir jāatbild uz datu subjektu lūgumiem.

63.

Ja arī informāciju par datu apstrādi var darīt zināmas aviosabiedrības, jautājums ir sarežģītāks, kad sākas runa par piekļuvi datiem vai datu labošanu. Minētās tiesības patiešām ir ierobežotas saskaņā ar datu aizsardzības pamatlēmumu. Kā iepriekš norādīts, ir jāšaubās, vai tādiem pakalpojumu sniedzējiem kā aviosabiedrības varētu uzlikt pienākumu dot diferencētas tiesības piekļūt datiem un tiesības labot datus, kas ir to rīcībā, atkarībā no sasniedzamā mērķa (komercija vai tiesībaizsardzība). Var teikt, ka minētās tiesības ir paredzēts īstenot pasažieru informācijas vienībās vai citās īpaši norīkotās kompetentās iestādēs. Ierosinātajā tiesību aktā tomēr nav sīkāku norāžu par to, un, kā jau norādīts, nav skaidrs, vai minētās iestādes (vismaz pasažieru informācijas vienības) būs tās tiesībaizsardzības iestādes, kam parasti uzticēs ierobežotas (droši vien netiešas) piekļuves procedūras.

64.

Tāpat pastāv iespējamība, ka cilvēkiem ir jāsastopas ar dažādiem datu saņēmējiem, ciktāl ir runa par pasažieru informācijas vienībām — datus patiešām pārsūta tās valsts pasažieru informācijas vienībai, kurā reiss sākas vai beidzas, un, iespējams, arī pasažieru informācijas vienībām citās dalībvalstīs — atkarībā no konkrētā gadījuma. Turklāt varbūt vairākas dalībvalstis var izveidot vai norīkot vienu kopīgu un vienotu pasažieru informācijas vienību. Tādā gadījumā datu subjektiem varbūt ir jāīsteno tiesiska aizsardzība citas dalībvalsts iestādē. Arī šajā gadījumā nav skaidrs, vai būs piemērojami attiecīgu valstu datu aizsardzības likumi (kam Eiropas Savienībā būtu jābūt saskaņotiem), vai arī jāņem vērā īpaši tiesībaizsardzības tiesību akti (ņemot vērā to, ka trešajā pīlārā saskaņošana valstu līmenī nav pietiekama).

65.

Jautājums ir viens un tas pats attiecībā uz piekļuvi starpnieku apstrādātiem datiem, kā statuss nav skaidrs, un kas var būt arī kopīgs dažādu ES valstu aviolīnijām.

66.

EDAU pauž nožēlu par skaidrības trūkumu, kas joprojām saglabājas jautājumā par šo datu subjektu pamattiesību īstenošanu. Viņš uzsver, ka šādā stāvoklī ir vainojams galvenokārt tas, ka tiesībaizsardzības pienākumi ir uzticēti tādiem darbību veicējiem, kam tie nav galvenais uzdevums.

67.

EDAU uzskata, ka ierosinātajā tiesību aktā būtu skaidri jānorāda, kāds tiesisks regulējums būtu jāpiemēro konkrētā datu apstrādes stadijā, un konkrēti jānosaka, uz kādu darbību veicēju vai kādu iestādi attiecas piekļuve un jāizmanto tiesiskās aizsardzības līdzekļi. EDAU atgādina, ka noteikumiem par datu aizsardzību saskaņā ar LES 30. panta 1. punkta b) apakšpunktu būtu jābūt pietiekamiem, un tiem jāattiecas uz visu to apstrādes darbību klāstu, kuras ir ieviestas ar ierosināto tiesību aktu. Ar vienkāršu atsauci uz datu aizsardzības pamatlēmumu nepietiek, jo minētā pamatlēmuma darbības joma ir ierobežota, un ir ierobežotas tajā paredzētās tiesības. Ciktāl šajā procesā ir iesaistītas tiesībaizsardzības iestādes, datu aizsardzības pamatlēmumā ietvertajiem noteikumiem būtu jāattiecas vismaz uz visu ierosinātajā tiesību aktā paredzēto datu apstrādi, lai nodrošinātu kosekventu datu aizsardzības principu piemērojumu.

68.

EDAU norāda, ka ierosinātajā tiesību aktā nav teikts nekas konkrēts par aviosabiedrību vākto personas datu saņēmēju kvalitāti — ne par starpnieku, ne pasažieru informācijas vienību, ne par kompetentu iestāžu kvalitāti. Ir jāuzsver, ka datu saņēmēju kvalitāte ir tieši saistīta ar to, kāda tipa datu aizsardzības garantijas attiecas uz minēto datu saņēmēju. Garantiju atšķirība, konkrēti, tas, kā atšķiras pirmā un trešā pīlāra noteikumos paredzētās garantijas, jau ir pieminēta. Ir būtiski, lai piemērojamais datu aizsardzības režīms būtu skaidrs visiem iesaistītiem darbību veicējiem, arī valstu valdībām, tiesībaizsardzības aģentūrām, datu aizsardzības iestādēm, kā arī iesaistītajiem datu apstrādātājiem un datu subjektiem.

69.

Ierosinātajā tiesību aktā nekas nav teikts par starpnieku kvalitāti (32). Starpnieku kā datu kontrolieru vai apstrādātāju vieta arī nav konkrēti raksturota. No pieredzes var teikt, ka, šķiet, privātā sektora vienībām, vai tās būtu datorizētas biļešu rezervācijas sistēmas vai citas, varētu droši uzticēt uzdevumu vākt PDR datus tieši no aviosabiedrībām un tos pārsūtīt pasažieru informācijas vienībām. Tā tiešām apstrādā datus saskaņā ar PDR nolīgumu, kas noslēgts ar Kanādu. SITA  (33) ir uzņēmējsabiedrība, kas atbild par informācijas apstrādi. Starpnieku vieta ir būtiski svarīga, jo viņi var būt atbildīgi par to datu filtrēšanu/atkārtotu formatēšanu, ko kompleksi pārsūta aviosabiedrības (34). Pat, ja starpniekiem ir pienākums likvidēt apstrādāto informāciju, kad tā ir pārsūtīta pasažieru informācijas vienībām, pati datu apstrāde ir ļoti delikāta: starpnieku iejaukšanās nozīmē radīt jaunu, papildu datu bāzi, kurā būtu milzīgs daudzums datu, tostarp — saskaņā ar ierosināto tiesību aktu — diskrētu datu (starpniekiem tad ir pienākums iznīcināt diskrētos datus). Tāpēc EDAU iesaka, ka nekādus starpniekus nevajadzētu iesaistīt pasažieru datu apstrādē, ja vien to kvalitāte un uzdevumi ir noteikti ļoti konkrēti.

70.

Pasažieru informācijas vienībām ir būtiski svarīgs uzdevums identificēt personas, kas ir iesaistītas terorismā vai organizētā noziedzībā — vai var būt tādā iesaistītas vai ar to saistītas. Saskaņā ar ierosināto tiesību aktu tās būs atbildīgas par apdraudējumu kritēriju izstrādi un to, lai būtu nodrošināti izlūkdati par ceļošanas paradumiem (35). Ja apdraudējumu ekspertīzes pamatā būs standartizēti ceļošanas paradumi, nevis būtiski pierādījumi, kas ir saistīti ar kādu konkrētu gadījumu, var uzskatīt, ka analīze ir aktīva datu meklēšana. EDAU uzsver, ka tāda datu apstrāde dalībvalstu tiesību aktos ir stingri reglamentēta (ja nav aizliegta), un tā ir uzticēta konkrētām valsts iestādēm, kuru darbības tāpat ir stingri reglamentētas.

71.

Pasažieru informācijas vienībām tālab uztic ļoti diskrētu informācijas apstrādi, bet ierosinātajā tiesību aktā nav ne mazākās norādes, kādai jābūt to kvalitātei un priekšnosacījumiem, lai tās varētu īstenot tādu kompetenci. Kaut arī visticamāk šo uzdevumu veiks kāda valdības struktūra, droši vien muita vai robežsardze, ierosinātajā tiesību aktā skaidri nav liegts dalībvalstīm to uzticēt izlūkdienestiem vai pat kuram katram citam datu apstrādātājam. EDAU uzsver, ka pārskatāmība un garantijas, kas attiecas uz izlūkdienestiem, ne vienmēr ir identas tām, ko piemēro parastām tiesībaizsardzības iestādēm. Sīkas ziņas par pasažieru informācijas vienību kvalitāti ir būtiski svarīgas, jo tām būs tiešas sekas uz piemērojamo tiesību sistēmu un pārraudzības nosacījumiem. EDAU uzskata, ka ierosinātajā tiesību aktā jāietver papildu noteikums, kurā būtu sīkāk izstrādātas pasažieru informācijas vienību svarīgākās iezīmes.

72.

Ierosinātā tiesību akta 4. pants rada iespaidu, ka jebkura iestāde, kas ir atbildīga par terora aktu un organizētas noziedzības novēršanu vai apkarošanu, var saņemt datus. Kaut arī mērķis ir definēts skaidri, par iestāžu kvalitāti nav teikts nekas. Ierosinātajā tiesību aktā nav paredzēts nekas, lai datu saņēmēju lokā būtu tikai tiesībaizsardzības iestādes.

Kā iepriekš minēts saistībā ar pasažieru informācijas vienībām, ir būtiski svarīgi, lai svarīgu, diskrētu informāciju apstrādātu vidē, kurā ir skaidra juridiskā sistēma. Tas vēl jo vairāk attiecas, piem., uz tiesībaizsardzības iestādēm, nevis izlūkdienestu struktūrām. Tā kā ierosinātajā tiesību aktā ir paredzēti datu meklēšanas elementi un pašierosināta datu analīze, ir jāpieļauj, ka arī izlūkdienesti būs iesaistīti datu apstrādē, un ir jāpieļauj, ka ar to varēs nodarboties jebkura tipa iestādes.

73.

EDAU piebilst, ka kopumā ES PDR sistēmas īstenošana ir apgrūtināta, ņemot vērā to, ka tiesībaizsardzības iestādēm ir dažādas kompetences — atkarībā no attiecīgās dalībvalsts tiesību aktiem, neatkarīgi no tā, vai tās būtu izlūkdienesti, nodokļu iestādes, imigrācijas iestādes vai policija. Tas tomēr ir vēl viens iemesls ieteikt, lai ierosinātais tiesību akts būtu daudz precīzāks no iepriekš minēto darbību veicēju kvalitātes viedokļa — un no tāda viedokļa, kādas būs viņu veikto uzdevumu kontroles garantijas. Ierosinātajā tiesību aktā būtu jāintegrē papildu noteikumi, lai stingri un konkrēti precizētu starpnieku, pasažieru informācijas vienību un citu kompetentu iestāžu kompetences un juridiskos pienākumus.

74.

Ierosinātajā tiesību aktā ir paredzēti daži drošības pasākumi PDR datu pārsūtīšanai uz trešām valstīm (36). Citastarp tajā ir skaidri paredzēts piemērot datu aizsardzības pamatlēmumu datu pārsūtīšanai, tajā ir īpašs noteikums par informācijas izmantošanu tikai tam mērķim, kam tā ir domāta, un postulēts, ka ir vajadzīga attiecīgās dalībvalsts piekrišana, lai tos pārsūtītu tālāk. Datu pārsūtīšanai arī būtu jāatbilst attiecīgās dalībvalsts tiesību aktiem, kā arī visiem spēkā esošiem starptautiskiem nolīgumiem.

75.

Daudzi jautājumi tomēr paliek joprojām neatbildēti, jo īpaši attiecībā uz piekrišanas kvalitāti, datu aizsardzības pamatlēmuma piemērošanas nosacījumiem un jautājumu par savstarpējību, pārsūtot datus trešām valstīm.

76.

Datu izcelsmes dalībvalstij ir jādod skaidra piekrišana, lai datus no kādas trešās valsts pārsūtītu tālāk uz kādu citu trešo valsti. Ierosinātajā tiesību aktā nav konkrēti noteikts, kādos apstākļos un kam dos minēto piekrišanu, kā arī — vai attiecīgu valstu datu aizsardzības iestādēm (Data Protection Authority — DPA) būtu jābūt iesaistītām lēmuma pieņemšanā. EDAU uzskata, ka tam, kā dos piekrišanu, būtu vismaz jāatbilst attiecīgu valstu tiesību aktiem, kuros ir fiksēti nosacījumi, kā pārsūtīt personas datus trešām valstīm.

77.

Turklāt tam, vai dalībvalsts dod piekrišanu, nevajadzētu gūt virsroku pār principu, ar ko saskaņā iecerētajai datu apstrādei ir jāparedz pietiekama līmeņa aizsardzība datu saņēmējā valstī. Priekšnosacījumiem būtu jābūt kumulatīviem, tādiem, kādi tie ir datu aizsardzības pamatlēmumā (14. pants). EDAU tālab ierosina pievienot 8. panta 1. punktam c) apakšpunktu, kurā būtu teikts “un c) trešā valsts vai starptautiskā organizācija paredzētajai datu apstrādei nodrošina piemērota līmeņa aizsardzību.” EDAU šajā sakarā atgādina, ka ir jāievieš mehānismi, lai no pareizības viedokļa nodrošinātu vienotus standartus un saskaņotus lēmumus (37).

78.

Ierosinātajā tiesību aktā ir dota atsauce uz datu aizsardzības pamatlēmumā ietvertiem nosacījumiem un drošības pasākumiem, reizē arī konkrēti nosakot dažus priekšnosacījumus, konkrēti — iepriekš minēto attiecīgās dalībvalsts piekrišanu un noteikums par informācijas izmantošanu tikai terora aktu un organizētas noziedzības novēršanai un apkarošanai.

79.

Pašā datu aizsardzības pamatlēmumā ir paredzēti priekšnosacījumi personas datu pārsūtīšanai trešām valstīm, jo īpaši saistībā ar noteikumu par datu izmantošanu tikai tam mērķim, kam tie ir domāti, saņēmēju kvalitāti, dalībvalsts piekrišanu un pietiekamības principu. Tomēr tajā ir paredzētas arī atkāpes no minētajiem datu pārsūtīšanas nosacījumiem: likumīgas prioritāras intereses, jo īpaši — svarīgas sabiedriskas intereses var būt par pietiekamu iemeslu pārsūtīt datus, kaut arī nebūtu ievēroti iepriekš minētie priekšnoteikumi.

80.

Kā jau minēts šā atzinuma III nodaļā, EDAU uzskata, ka ierosinātajā tiesību aktā jābūt skaidri noteiktam, ka ierosinātajā tiesību aktā paredzētās precīzākās garantijas ir prioritāras salīdzinājumā ar vispārējiem datu aizsardzības pamatlēmuma nosacījumiem — un tā izņēmumiem, ja tādi ir.

81.

Ierosinātajā tiesību aktā ir aplūkots jautājums par iespējamiem “atriebības lūgumiem” — ar tiem varētu nākt klajā valstis, kas varētu no ES lūgt PDR datus par reisiem no ES uz to teritoriju. Ja ES lūdz datus no tādu trešo valstu aviosabiedrību datu bāzēm tāpēc, ka tās ir ekspluatantes reisiem uz ES vai no ES, tādas trešās valstis varētu lūgt to pašu no Eiropas Savienībā bāzētām aviosabiedrībām — arī no ES valstspiederīgiem saņemtus datus. Kaut arī Komisija tādu iespējamību uzskata par “ļoti mazticamu”, tā to pieļauj. Ierosinātajā tiesību aktā ir šajā sakarā minēts tas, ka nolīgumā ar ASV un Kanādu ir paredzēta tāda savstarpējība, un to “var īstenot automātiski” (38). EDAU apšauba, vai tādai automātiskai savstarpējībai ir kāda nozīme, kā arī to, vai uz minēto datu pārsūtīšanu būtu jāattiecina drošības pasākumi, jo īpaši — ņemot vērā to, vai attiecīgajā valstī pastāv pietiekama līmeņa aizsardzība.

82.

Būtu jānošķir trešās valstis, kas jau ir noslēgušas nolīgumu ar ES, no tām valstīm, kam nav tāda nolīguma.

83.

EDAU norāda, ka savstarpējības dēļ personu datus varētu pārsūtīt uz valstīm, kur nevar nodrošināt nekādas garantijas demokrātijas standartu un pietiekamas datu aizsardzības ziņā.

84.

Efektivitātes ekspertīzē ir ietverti arī citi elementi, kas attiecas uz priekšnosacījumiem, kā pārsūtīt datus uz trešām valstīm: ir uzsvērtas priekšrocības, ko dod ES PDR sistēma, ja datus filtrē pasažieru informācijas vienībās. Vienīgi īpaši atlasītus datus par aizdomās turamiem indivīdiem (nevis datu kompleksus) pārsūtītu kompetentām dalībvalstu un droši vien arī trešo valstu iestādēm (39). EDAU iesaka šo ierosinātā tiesību akta punktu formulēt skaidrāk. Vienkāršs apgalvojums efektivitātes ekspertīzē nenodrošina vajadzīgo aizsardzību.

85.

Kaut arī datu atlasei būtu jāpalīdz panākt, lai trieciens pasažieru privātumam būtu pēc iespējas mazāks, būtu jāatceras, ka datu aizsardzības principi sniedzas daudz tālāk par datu apjoma samazināšanu, un pie tiem pieder tādi principi kā vajadzības princips, pārskatāmības princips un datu subjektu tiesību īstenošanas princips, un visi principi ir jāņem vērā, nosakot, vai kāda trešā valsts nodrošina pietiekama līmeņa aizsardzību.

86.

Efektivitātes ekspertīze liecina, ka datu apstrāde dos ES iespēju “prasīt, lai būtu ievēroti vairāki standarti un tādos divpusējos nolīgumos ar trešām valstīm nodrošināta konsekvence. Tā arī dos iespēju lūgt attiecīgi tādu pašu attieksmi no trešām valstīm, ar ko ES ir noslēgusi līgumu — kaut ko tādu, kas tagad nav iespējams” (40).

87.

Tādi novērojumi rada jautājumu par ierosinātā tiesību akta ietekmi uz spēkā esošiem nolīgumiem ar Kanādu un ASV. Minētajos nolīgumos paredzētie nosacījumi, kā piekļūt datiem šajos nolīgumos, patiesi ir daudz plašāki, jo uz tiem neattiecas līdzīga atlase, pirms tos pārsūta uz minētajām trešām valstīm.

88.

Efektivitātes ekspertīze rāda, ka “gadījumos, kad ES ir noslēgusi starptautisku līgumu ar kādu trešo valsti par dalīšanos PDR datos/to pārsūtīšanu uz kādu trešo valsti, tādus nolīgumus pienācīgi ievēro. Aviopārvadātājiem būtu jāsūta PDR dati Pasažieru informācijas nodaļām saskaņā ar ierasto praksi, ko paredz pašlaik spēkā esošais pasākums. Pasažieru informācijas vienības, kas saņem tādus datus, pārsūta tos kompetentai iestādei trešā valstī, ar ko ir noslēgts tāds nolīgums” (41).

89.

Kaut arī no vienas puses šķiet, ka ar ierosināto tiesību aktu ir iecerēts pārsūtīt tikai atlasītus datus kādām kompetentām iestādēm Eiropas Savienībā vai ārpus tās, savukārt, no otras puses, efektivitātes ekspertīzē, ierosinātā tiesību akta preambulā (21. apsvērums) un pašā 11. pantā ir atgādināts, ka pienācīgi jāņem vērā spēkā esošie nolīgumi. Tas var likt secināt, ka filtrēšana varētu būt izmantojams pasākums vienīgi tādiem nolīgumiem, ko noslēgs nākotnē. No šīs perspektīves var paredzēt, ka piekļuve visiem PDR datiem kopumā joprojām būs parastā piekļuve datiem, ko saskaņā ar ES un ASV nolīgumu izmantos, piem., ASV iestādes, bet ka līdztekus un īpašos konkrētos gadījumos uz ASV varētu pārsūtīt datus, kas pieder pie īpašiem, pasažieru informācijas vienību identificētiem datiem, pie kā piederētu arī dati par reisiem uz ASV — bet kas neaprobežotos ar tādiem datiem.

90.

EDAU pauž nožēlu par skaidrības trūkumu šajā būtiski svarīgajā ierosinātā tiesību akta punktā. EDAU uzskata par ļoti svarīgu to, lai nosacījumi par PDR datu pārsūtīšanu trešām valstīm būtu viendabīgi un uz tiem attiektos saskaņota līmeņa aizsardzība. Turklāt, juridiskas noteiktības dēļ pašā ierosinātajā tiesību aktā būtu precīzi jāformulē garantijas, kas attiecas uz datu pārsūtīšanu, un ne tikai tā efektivitātes ekspertīzē — kā pašlaik.

91.

EDAU atgādina, ka ierosinātajā tiesību aktā ir skaidri norādīts, ka pasažieru informācijas vienības un kompetentas dalībvalstu iestādes neveic nekādas tiesībaizsardzības darbības, par pamatu ņemot tikai automātiski apstrādātus PDR datus vai personas rasi vai etnisko izcelsmi, reliģisko vai filozofisko pārliecību, politiskos uzskatus vai seksuālo orientāciju (42).

92.

Tāda precizitāte ir apsveicama, jo mazina iespējamību, ka pret cilvēkiem vērsīsies ar patvaļīgiem pasākumiem. EDAU tomēr norāda, ka ierosinātā tiesību akta darbības joma nesniedzas tālāk par pasažieru informācijas vienību vai kompetentu iestāžu veiktām tiesībaizsardzības darbībām. Pašreizējā formulējumā tajā ir pieļauts automatizēti filtrēt personas saskaņā ar standartprofiliem, tāpat arī tajā nav aizliegts automatizēti sastādīt aizdomās turamu personu sarakstus un veikt tādus pasākumus kā izvērsta novērošana, ja tādus pasākumus neuzskata par tiesībaizsardzības darbībām.

93.

EDAU uzskata, ka tiesībaizsardzības darbību jēdziens ir pārāk nekonkrēts un nekādus lēmumus nevajadzētu pieņemt par cilvēkiem vienīgi tāpēc, ka viņu dati ir automātiski apstrādāti (43). EDAU iesaka attiecīgi grozīt ierosināto tiesību aktu.

94.

Ierosinātā tiesību akta 5.2. pantā ir svarīgs precizējums, jo tajā ir skaidri teikts, ka aviosabiedrībām ir uzlikts pienākums vākt vai glabāt datus — papildus tiem, kas ir vākti komerciālām vajadzībām.

95.

Vairāki šo datu apstrādes aspekti tomēr ir pelnījuši papildu komentārus:

EDAU atbalsta argumentus, kas šajā sakarā ir ietverti atzinumā Nr. WP29.

96.

Aviopārvadātājiem, kas ir reģistrēti ārpus ES, ir prasīts pašiem, bez uzaicinājuma sūtīt datus pasažieru informācijas vienībām vai starpniekiem, ja vien viņiem ir tehniska arhitektūra, lai to darītu. Ja tā nenotiek, viņiem vajadzēs ļaut datus iegūt, izmantojot paņēmienu, kas paredz prasīt datus.

97.

Tas, ka dažādām aviosabiedrībām būs atļauts izmantot dažādus paņēmienus, lai datus darītu zināmus, tikai apgrūtinās kontroli, kā PDR datu pārsūtīšana saskan ar datu aizsardzības likumiem. Tas var arī kropļot ES aviosabiedrību konkurenci ar citu valstu aviosabiedrībām.

98.

EDAU atgādina, ka paņēmiens, kas paredz automātiski sūtīt datus, ļauj aviosabiedrībām paturēt kontroli par pārsūtīto datu kvalitāti un pārsūtīšanas apstākļiem, ir vienīgais pieļaujamais paņēmiens no datu apstrādes samērības viedokļa. Turklāt datu sūtīšanas automātiskumam būtu jābūt efektīvam, tas ir, datus nevajadzētu kompleksi sūtīt kādam starpniekam, bet tie būtu jāfiltrē jau pašā pirmajā datu apstrādes pakāpē. Nav pieļaujams, ka nevajadzīgus datus — un datus, kas nav uzskaitīti ierosinātā tiesību akta 1. pielikumā — sūtītu kādai trešai pusei, kaut arī ir paredzams, ka attiecīgā trešā puse tūlīt izdzēsīs minētos datus.

99.

Ierosinātā tiesību akta 9. pantā PDR datiem ir paredzēts 5 gadus ilgs glabāšanas termiņš un vēl 8 gadus ilgs glabāšanas termiņš, kad datus paredz glabāt “neaktīvā datu bāzē”, kas būs pieejama tikai īpašos apstākļos.

100.

EDAU apšauba to, ka abu tipu datu bāzes nopietni atšķirtos savā starpā: ir apšaubāms, vai minētā neaktīvā datu bāze būtu īsts arhīvs, kurā izmantotu dažādus datu glabāšanas un izguves paņēmienus. Patiesi, lielākā daļa nosacījumu, kas izvirzīti, lai piekļūtu neaktīvajai datu bāzei, ir aizsargpasākumi, ko varētu attiecināt arī uz “to datu bāzi, kurā dati glabājas 5 gadus”.

101.

Kopējais glabāšanas termiņš — 13 gadi — noteikti ir pārāk ilgs. Efektivitātes ekspertīzē glabāšanas termiņa ilgums ir pamatots ar vajadzību izstrādāt apdraudējumu kritērijus un noteikt ceļošanas paradumus un uzvedības modeļus (46), kuru efektivitāte vēl ir jāpierāda. Kaut arī ir skaidrs, ka konkrētos gadījumos datus var glabāt, cik vien ilgi vajadzīgs, kamēr notiek izmeklēšana, nekādi nav attaisnojama visu pasažieru datu glabāšana 13 gadus, ja uz viņiem nekrīt nekādas aizdomas.

102.

EDAU turklāt norāda, ka tāds glabāšanas termiņš nav atbalstīts dalībvalstu atbildēs uz Komisijas anketi, ar ko saskaņā vidējais obligātas glabāšanas laiks būtu 3,5 gadi (47).

103.

Turklāt 13 gadus ilgs termiņš ir salīdzināms ar 15 gadus ilgu glabāšanas termiņu, kas paredzēts nolīgumā ar ASV. EDAU labi saprot, ka nolīgums par tik ilgu glabāšanas posmu ir panākts tikai ASV valdības spiediena dēļ — jo tā prasīja, lai datu glabāšanas termiņš būtu daudz ilgāks par 3,5 gadiem — nevis tāpēc, ka Padome vai Komisija būtu to aizstāvējusi jelkādā stadijā. Nav iemesla pašas ES juridiskā instrumentā transponēt kompromisu, ko attaisno vienīgi vajadzīgā iznākuma panākšana sarunās.

104.

Dalībvalstu komiteja, ko izveidos saskaņā ar ierosinātā tiesību akta 14. pantu, būs kompetenta drošības jautājumos, arī PDR datu protokolā un šifrēšanā, kā arī dos norādes par kopīgiem vispārējiem kritērijiem, metodēm un praksi saistībā ar apdraudējumu ekspertīzēm.

105.

Šie ir vienīgie norādījumi par to, ka ierosinātajā tiesību aktā nebūs iekļauti nekādi elementi vai kritēriji par konkrētiem apdraudējumu ekspertīzes procesa priekšnosacījumiem un sistēmu. Efektivitātes ekspertīzē ir minēts, ka kritēriji būs galvenokārt atkarīgi no katras dalībvalsts rīcībā esošiem izlūkdatiem, kas visu laiku attīstās. Ir paredzēts apdraudējumu ekspertīzi veikt, kaut arī nav vienotu standartu, kā identificēt aizdomās turamos. Tādējādi šķiet apšaubāms, cik labi dalībvalstu komiteja varēs pildīt uzticēto uzdevumu no šā viedokļa.

106.

Ierosinātajā tiesību aktā ir sīki izstrādāti vairāki drošības pasākumi (48), kas jāveic pasažieru informācijas vienībām, starpniekiem un citām kompetentām iestādēm, lai aizsargātu datus. Ņemot vērā to, cik svarīga ir datu bāze un cik diskrēta ir datu apstrāde, EDAU uzskata, ka visā datu apstrādē papildus paredzētajiem pasākumiem vajadzētu varēt arī uzlikt pienākumu oficiāli darīt zināmus jebkādus drošības pārkāpumus.

107.

EDAU zina par ieceri Eiropas līmenī izstrādāt tādu paziņošanas procedūru elektroniskas saziņas jomā. EDAU iesaka ietvert tādu aizsargelementu ierosinātajā tiesību aktā un šajā sakarā atgādina drošības pārkāpumu novēršanas sistēmu, kas Savienotajās Valstīs ieviesta štatu aģentūrām (49). Patiesi, drošības pārkāpumi var notikt ikvienā darbības jomā, tiklab privātā, kā arī valsts sektorā, ko pierāda tas, ka Lielbritānijas valdība nesen ir pazaudējusi veselu datu bāzi ar pilsoņu datiem (50). Lielas datu bāzes, piemēram, tādas, kāda ir paredzēta ierosinātajā tiesību aktā, prioritārā sarakstā būtu pirmās, kas varētu izmantot tādu brīdinājumu sistēmu.

108.

EDAU norāda, ka pārskatīšana ir paredzēta trīs gadus pēc tam, kad pamatlēmums būs stājies spēkā, par pamatu ņemot Komisijas sagatavotu ziņojumu. EDAU atzīst, ka tādā ziņojumā, kam pamatā būtu dalībvalstu sniegta informācija, īpaša uzmanība būs pievērsta datu aizsardzības elementiem, un pie tiem piederēs paņēmiens, kas paredz datus darīt pieejamus automātiski (“push method”), datu glabāšana un apdraudējumu ekspertīzes kvalitāte. Lai pārskatīšana būtu pilnvērtīga, tajā jāietver PDR informācijas apstrādē gūto statistikas datu rezultāti. Statistikā — papildinot ierosinātā tiesību akta 18. pantā minētos elementus — būtu jāietver sīki statistikas dati par tādu personu identifikāciju, kuras var radīt nopietnu apdraudējumu, piemēram, identifikācijas kritēriji un konkrētu, identifikācijas dēļ veiktu tiesībaizsardzības darbību rezultāti.

109.

EDAU šajā atzinumā jau ir norādījis, ka trūkst konkrētu elementu, lai pārliecinātos, vai ierosinātā sistēma ir vajadzīga. Viņš tomēr uzskata, ja pamatlēmums stātos spēkā, tas obligāti jāpapildina ar pašizbeigšanās klauzulu. Triju gadu ilgā termiņa beigās pamatlēmums būtu jāatceļ, ja neviens elements neatbalstītu tā palikšanu spēkā.

110.

Ierosinātā tiesību akta nobeiguma noteikumos ir izvirzīts priekšnoteikums turpmāk piemērot jau pastāvošos divpusējos vai daudzpusējos nolīgumus vai mehānismus. Minētos instrumentus var piemērot, tikai ciktāl tie sader ar ierosinātā pamatlēmuma mērķiem.

111.

EDAU nav skaidra šā noteikuma darbības joma. Kā sakarā ar savstarpējību jau minēts V nodaļā, nav skaidrs, kā šis noteikums iespaidos saturu nolīgumos ar trešām valstīm, piemēram, nolīgumā ar ASV. No citas perspektīves — nav skaidrs, vai šis noteikums varētu ietekmēt nosacījumus, kā piemērot instrumentus, kuru darbības joma ir plašāka, piemēram, Eiropas Padomes Konvenciju Nr. 108. Kaut arī var šķist, ka tas nav iespējams — ņemot vērā atšķirīgo organizatorisko kontekstu un darbību veicējus — būtu jāvairās no jebkādas nepareizas interpretācijas, un ierosinātajā tiesību aktā būtu skaidri jāparedz, ka tas nekādi neietekmē instrumentus ar plašāku darbības jomu, jo īpaši tādus, kā mērķis ir aizsargāt pamattiesības.

112.

EDAU uzsver, ka šis ierosinātais tiesību akts nopietni ietekmēs datu aizsardzību. Analīzē viņš ir īpaši pievērsies četriem svarīgākajiem jautājumiem, ko izvirza ierosinātais tiesību akts, un uzstāj, ka izvirzītās problēmas ir jārisina kompleksi. Pašreizējos apstākļos ierosinātais tiesību akts nesaskan ar pamattiesībām, konkrēti — ar Eiropas Savienības Pamattiesību hartas 8. pantu, un to nevajadzētu pieņemt.

113.

Ja iepriekš minētās piebildes ievēros, jo īpaši par likumīguma pārbaudi, der atcerēties, ka šajā atzinumā ir ietverti daži priekšlikumi šā tiesību akta izstrādei, kuri likumdevējiem būtu jāņem vērā. Ar to ir konkrēti domātas atsauces uz atzinuma 67., 73., 77., 80., 90., 93., 106., 109. un 111. punktu.

114.

Kaut arī vispārējais mērķis apkarot terorismu un organizētu noziedzību pats par sevi ir skaidrs un likumīgs, datu apstrāde, ko paredzēts ieviest, pašā būtībā nav pietiekami aprakstīta un pamatota.

115.

EDAU uzskata, ka paņēmieni, kā izvērtēt indivīdu radīto apdraudējumu, izmantojot datu ieguves instrumentus un uzvedības modeļus, ir jāizvērtē rūpīgāk, un to lietderīgums ir skaidri jāpierāda no terorisma apkarošanas viedokļa, pirms tos sāk lietot tik plašā mērogā.

116.

Dažādu datu bāzu izmantojums, negūstot vispārēju priekšstatu par konkrētiem rezultātiem un trūkumiem:

117.

Terorisma apkarošana noteikti var būt likumīgs pamatojums, lai pieļautu izņēmumus pamattiesībām uz privātumu un datu aizsardzību. Tomēr, lai iejaukšanās būtu likumīga, iejaukšanās vajadzība ir jāpamato ar skaidriem un neapstrīdamiem elementiem, un jāpierāda, ka apstrāde būs samērīga. Tas ir vēl jo svarīgāks gadījumos, ja notiek plaša iejaukšanās cilvēku privātā dzīvē, kā paredzēts ierosinātajā tiesību aktā.

118.

Ierosinātajā tiesību aktā minēto pamatojuma elementu trūkst, un tas nav pārbaudīts no vajadzīguma un samērības viedokļa.

119.

EDAU uzsver, ka iepriekš izstrādātā pārbaude no vajadzīguma un samērības viedokļa ir būtiski svarīga. Tās ir condicio sine qua non, lai ierosinātais tiesību akts stātos spēkā.

120.

EDAU norāda uz nopietnu juridiskas noteiktības trūkumu no tā viedokļa, kādu datu aizsardzības režīmu piemērot dažādiem projektā iesaistītiem darbību veicējiem, un jo īpaši — aviosabiedrībām un citiem pirmā pīlāra darbību veicējiem — neatkarīgi no tā, vai runa būtu par ierosināto tiesību aktu, par datu aizsardzības pamatlēmumu vai attiecīgas valsts tiesību aktiem, ar ko īsteno Direktīvu 95/46/EK. Likumdevējiem būtu skaidri jānosaka, kādās datu apstrādes stadijās piemēros šos dažādos noteikumus.

121.

Pašreizējā tendence — privātiem darbību veicējiem uzspiest sistemātisku sadarbību tiesībaizsardzības jomā liek jautāt — kāda datu aizsardzības sistēma (pirmā vai trešā pīlāra sistēma) attiecas uz minētās sadarbības priekšnosacījumiem — nav skaidrs, vai noteikumiem būtu jānosaka datu apstrādātāja kvalitāte (privātais sektors) vai sasniedzamais mēŗkis (tiesībaizsardzība).

122.

EDAU jau ir uzsvēris, ka nopietnas problēmas var rasties tāpēc, ka pirmā un trešā pīlāra juridiskās sistēmas nav savā starpā salāgotas (51). Patiesi, nebūt nav skaidrs, vai uz tādu privātu uzņēmumu darbībām, kuri ir jelkā saistīti ar krimināltiesību īstenošanu, attiecas saskaņā ar LES 30., 31. un 34. pantu veiktas Eiropas Savienības likumdevēju darbības.

123.

Būtu jāvairās no tā, lai uz datu apstrādi, ko dažādiem mērķiem veic pakalpojumu sniedzēji, attiecinātu dažādas datu aizsardzības sistēmas, jo īpaši tāpēc, ka tas radītu lielas grūtības no datu subjektu tiesību īstenošanas viedokļa.

124.

Ierosinātajā tiesību aktā būtu jāparedz konkrēti aviosabiedrību vākto personas datu saņēmēju kvalitātes parametri, neatkarīgi no tā, vai datu saņēmēji būtu starpnieki, pasažieru informācijas vienības vai kompetentas iestādes.

125.

Datu saņēmēju kvalitāte — dažos gadījumos viņi varētu būt privātā sektora darbību veicēji — ir tieši saistīti ar to, kāda tipa datu aizsardzības garantijas ir jāpiemēro attiecīgam datu saņēmējam. Ir būtiski svarīgi, lai piemērojamais datu aizsardzības režīms būtu skaidrs visiem iesaistītiem darbību veicējiem, arī likumdevējiem, datu aizsardzības iestādēm, un tāpat arī iesaistītajiem datu apstrādātājiem un datu subjektiem.

126.

EDAU uzsver vajadzību pārliecināties, ka datu saņēmējā valstī tiem nodrošina pietiekama līmeņa aizsardzību. Viņš arī apšauba ierosinātajā tiesību aktā minētā “savstarpējības principa” nozīmi un to, kā tas būtu piemērojams valstīm, ar ko ES jau noslēgusi nolīgumu, piemēram, Kanādu vai ASV. EDAU uzskata, ka būtu ārkārtīgi svarīgi, lai nosacījumi PDR datu pārsūtīšanai trešām valstīm būtu viendabīgi un uz tiem attiektos saskaņota līmeņa aizsardzība.

127.

EDAU arī pievērš likumdevēju uzmanību konkrētiem ierosinātā tiesību akta aspektiem, kas būtu jāprecizē vai kuros pilnīgāk jāievēro datu aizsardzības princips. Īpaši svarīgi tas ir saistībā ar šādiem aspektiem:

128.

EDAU norāda, ka ierosinātais tiesību akts ir sastādīts laikā, kad Eiropas Savienības organizatoriskā struktūra tūlīt tūlīt būtiski mainīsies. Lisabonas Līguma sekas no lēmumu pieņemšanas viedokļa būs ļoti nopietnas, jo īpaši no Parlamentam atvēlētās vietas viedokļa.

129.

Ņemot vērā ierosinātā tiesību akta nepieredzēto ietekmi uz pamattiesībām, EDAU iesaka nepieņemt to saskaņā ar pašreizējo līgumu sistēmu, bet nodrošināt, ka to pieņem ar jaunajā līgumā paredzēto koplēmuma procedūru. Tas stiprinātu juridisko pamatu nopietnajiem pasākumiem, kuru pieņemšana ir paredzēta ierosinātajā tiesību aktā.

1.

sargātu valsts drošību, sabiedrisko kārtību, valsts monetārās intereses vai apkarotu kriminālnoziegumus;

2.

sargātu datu subjektus vai citu cilvēku tiesības un brīvības”.