9.2.2012   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 35/16

1.

Komisija 2011. gada 28. novembrī pieņēma priekšlikumu Padomes Lēmumam par Nolīguma noslēgšanu starp Eiropas Savienību un Amerikas Savienotajām Valstīm par pasažieru datu reģistra (PDR) ierakstu izmantošanu un pārsūtīšanu Amerikas Savienoto Valstu Iekšzemes drošības departamentam (3) (turpmāk tekstā: “nolīgums”).

2.

2011. gada 9. novembrī paātrinātas procedūras ietvaros ar EDAU notika neoficiāla apspriešanās par priekšlikuma projektu. 2011. gada 11. novembrī viņš deva dažas atsauksmes. Šī atzinuma mērķis ir papildināt šīs atsauksmes, ņemot vērā šo priekšlikumu, un padarīt viņa viedokli publiski pieejamu. Šis atzinums balstās arī uz vairākiem agrākiem EDAU un 29. panta darba grupas izteikumiem attiecībā uz PDR.

3.

Nolīguma mērķis ir nodrošināt stabilu tiesisku pamatu PDR datu pārsūtīšanai no Eiropas Savienības Amerikas Savienotajām Valstīm. Pārsūtīšana pašreiz tiek pamatota ar 2007. gada nolīgumu (4), jo Parlaments nolēma atlikt savu balsojumu par piekrišanu līdz tam, kad būs ņemtas vērā tā bažas par datu aizsardzību. Proti, savā 2010. gada 5. maija rezolūcijā (5) Parlaments minēja šādas prasības:

4.

Šis nolīgums ir jāaplūko, ņemot vērā vispārējo pieeju pasažieru datu reģistram, kas ietver sarunas ar citām trešām valstīm (proti, Austrāliju (8) un Kanādu (9)), un priekšlikumu par pasažieru datu reģistra sistēmu Eiropas Savienības līmenī (10). Tas attiecas arī uz pašreiz notiekošajām sarunām par nolīgumu starp Eiropas Savienību un Amerikas Savienotajām Valstīm attiecībā uz personas datu apmaiņu policijas un tiesu iestāžu sadarbības krimināllietās ietvaros (11). Plašākā kontekstā nolīgums tika parafēts dažas nedēļas pirms paredzamās priekšlikuma par vispārējā datu aizsardzības regulējuma pārskatīšanu pieņemšanu (12).

5.

EDAU atzinīgi novērtē šo vispārējo pieeju, kuras mērķis ir nodrošināt saskaņotu tiesisko regulējumu nolīgumiem par pasažieru datu reģistru atbilstīgi Eiropas Savienības tiesību aktu prasībām. Taču viņš pauž nožēlu, ka šis laika ierobežojums neļauj nodrošināt praksē šo nolīgumu atbilstību jaunajiem Eiropas Savienības datu aizsardzības noteikumiem. Viņš arī vēlētos atgādināt, ka Eiropas Savienības un Amerikas Savienoto Valstu nolīgumam par pasažieru datu reģistru būtu piemērojama vispārējā vienošanās starp Eiropas Savienību un Amerikas Savienotajām Valstīm.

6.

Saskaņā ar ES pamattiesību hartu jebkādam pamattiesību un brīvību ierobežojumam jābūt nepieciešamam, proporcionālam un tiesību aktos noteiktam. Kā jau atkārtoti minējis EDAU (13) un 29. panta darba grupa (14), līdz šim nav parādīts, cik nepieciešamas un proporcionālas ir PDR sistēmas un PDR datu pārsūtīšana lielos apmēros. Arī Eiropas Ekonomikas un sociālo lietu komiteja un Pamattiesību aģentūra piekrīt šim viedoklim (15). Konkrētās piezīmes turpmāk tekstā nemaina šo iepriekšējo un būtisko novērojumu.

7.

Lai gan šajā nolīgumā ir daži uzlabojumi salīdzinājumā ar 2007. gada nolīgumu, un tas ietver atbilstīgas garantijas par datu drošību un uzraudzību, šķiet, ka nav novērstas ne galvenās bažas, kas izteiktas iepriekš minētos atzinumos, ne arī izpildīti Eiropas Parlamenta izvirzītie nosacījumi piekrišanas došanai (16).

8.

Nolīguma 4. panta 1. punkts nosaka, ka Amerikas Savienotajās Valstīs PDR datus apstrādā, lai novērstu, atklātu, izmeklētu un sauktu pie atbildības par a) teroristu nodarījumiem un saistītiem noziegumiem un b) noziegumiem, kas ir sodāmi ar brīvības atņemšanu uz trim gadiem vai ilgāk un kuriem pēc savas būtības ir starptautisks raksturs. Daži no šiem jēdzieniem ir aprakstīti sīkāk.

9.

Lai gan šīs definīcijas ir precīzākas nekā 2007. gada nolīgumā, tomēr joprojām ir daži neskaidri jēdzieni un izņēmumi, kas varētu pārkāpt nolūka ierobežojumu un apdraudēt juridisku skaidrību. Proti:

10.

Nolīguma I pielikumā ietverti 19 veidu dati, kas tiks sūtīti uz ASV. Lielākā daļa no tiem ietver arī dažādas datu kategorijas un ir identiski datu laukiem 2007. gada nolīgumā, kurus EDAU un 29. panta darba grupa jau bija uzskatījusi par neproporcionāliem (18).

11.

Tas jo īpaši attiecas uz sadaļu “Vispārīgas piezīmes, tostarp cita papildu informācija (OSI) (19), īpašu pakalpojumu informācija (SSI) (20) un īpašu pakalpojumu pieprasījuma (SSR) (21) informācija”, kas var atklāt datus, kuri attiecas uz reliģisko pārliecību (piemēram, ēdienu izvēle) vai veselības stāvokli (piemēram, pieprasījums pēc ratiņkrēsla). Šādi sensitīvi dati būtu skaidri izslēdzami no saraksta.

12.

Novērtējot saraksta proporcionalitāti, būtu jāņem vērā arī tas, ka modernizētas pārsūtīšanas dēļ (nolīguma 15. panta 3. punkts) šīs kategorijas attieksies ne tikai uz reālajiem pasažieriem, bet arī uz tām personām, kas tomēr neaizlido (piemēram, sakarā ar lidojumu atcelšanu).

13.

Turklāt atvērtu datu lauku esība varētu mazināt juridisko skaidrību. Būtu labāk jādefinē tādas kategorijas kā “visa pieejamā kontaktinformācija”, “visa informācija par bagāžu” un “vispārīgas piezīmes”.

14.

Tāpēc saraksts būtu jāsašaurina. Saskaņā ar 29. panta darba grupas atzinumu (22), mēs uzskatām, ka datus būtu jāierobežo līdz šādai informācijai: pasažiera PDR rezervācijas kods, rezervācijas datums, paredzētā ceļojuma datums(-i), pasažiera vārds, pārējie vārdi PDR, viss ceļojuma maršruts, brīvu biļešu identifikatori, vienvirziena biļetes, dati par biļetes izdošanu, automatizēts biļetes cenas piedāvājums, datums, biļetes numurs, biļetes izdošanas datums, dati par neierašanos, bagāžas numurs, bagāžas talonu numuri, dati par ierašanos pēdējā brīdī bez reģistrācijas, bagāžas numurs katrā segmentā, tīši/netīši jauninājumi, vēsturiskas izmaiņas PDR datos attiecībā uz iepriekš minētajām pozīcijām.

15.

Nolīguma 6. pantā noteikts, ka IDD automātiski filtrē un maskē sensitīvos datus. Taču sensitīvi dati tiks glabāti vismaz 30 dienas, un tos var izmantot noteiktos gadījumos (6. panta 4. punkts). EDAU gribētu uzsvērt, ka pat pēc nomaskēšanas šie dati joprojām būs “sensitīvi” un attieksies uz identificējamām fiziskām personām.

16.

Kā jau EDAU minējis, IDD nebūtu jāapstrādā sensitīvie dati attiecībā uz Eiropas Savienības pilsoņiem, pat ja, tos saņemot, tie ir maskēti. EDAU iesaka nolīguma tekstā precizēt, ka gaisa pārvadātājiem nebūtu jāpārsūta sensitīvi dati Iekšzemes drošības departamentam.

17.

8. pantā noteikts, ka PDR datus glabā aktīvā datubāzē ilgākais 5 gadus un pēc tam pārvieto uz neaktīvu datubāzi un glabā ilgākais 10 gadus. Šis maksimālais 15 gadu glabāšanas periods ir acīmredzami neproporcionāls, neatkarīgi no tā, vai datus glabā “aktīvajā” vai “neaktīvajā” datubāzē, kā jau pasvītrojis EDAU un 29. panta darba grupa.

18.

8. panta 1. punktā noteikts, ka datus “depersonalizē un maskē” sešus mēnešus pēc tam, kad IDD tos ir saņēmis. Taču gan “maskētie” dati, gan dati, ko glabā “neaktīvā datubāzē”, ir personas dati, kamēr tie nav anonimizēti. Tādējādi dati būtu jāanonimizē (neatgriezeniski) vai jāizdzēš nekavējoties pēc izanalizēšanas vai ilgākais pēc 6 mēnešiem.

19.

EDAU atzinīgi novērtē 15. panta 1. punktu, kurā noteikts, ka datus pārsūta ar “push” metodi. Taču 15. panta 5. punktā pieprasīts pārvadātājiem atsevišķos gadījumos “nodrošināt piekļuvi” PDR datiem. Lai galīgi novērstu “pull” sistēmas izmantošanu un ņemot vērā bažas, ko nesen vēlreiz pasvītrojusi 29. panta darba grupa (23), mēs stingri iesakām noteikt, lai nolīgums skaidri aizliegtu iespēju ASV amatpersonām atsevišķi piekļūt datiem, izmantojot “pull” sistēmu.

20.

Nolīgumā būtu jādefinē gaisa pārvadātāju veikto pārsūtījumu Iekšzemes drošības departamentam skaits un periodiskums. Lai veicinātu juridisku skaidrību, būtu sīkāk jāizklāsta arī apstākļi, kādos atļaujama datu papildu pārsūtīšana.

21.

EDAU atzinīgi novērtē 5. pantu par datu drošību un integritāti un, jo īpaši, pienākumu paziņot attiecīgajām personām par privātuma incidentu gadījumiem. Taču būtu jāizskaidro šādi datu drošības paziņojuma faktori:

22.

EDAU atbalsta pienākumu reģistrēt vai dokumentēt jebkuru piekļuvi PDR datiem un to apstrādi, jo tas ļauj pārbaudīt, vai IDD ir atbilstīgi izmantojis PDR datus un vai ir bijusi kāda neatļauta piekļuve sistēmai.

23.

EDAU atzinīgi novērtē faktu, ka, kā noteikts 14. panta 1. punktā, atbilstību nolīgumā paredzētajiem privātuma aizsardzības pasākumiem neatkarīgi izskata un uzrauga departamenta privātuma amatpersonas, tostarp IDD galvenā privātuma amatpersona. Taču, lai nodrošinātu datu subjektu tiesību efektīvu īstenošanu, EDAU un valstu datu aizsardzības iestādēm būtu jāstrādā kopā ar IDD pie šo tiesību īstenošanas procedūrām un kārtības (24). EDAU atzinīgi novērtētu atsauci uz šo sadarbību nolīgumā.

24.

EDAU viennozīmīgi atbalsta tiesības uz kompensāciju “neatkarīgi no pilsonības, izcelsmes valsts vai dzīvesvietas”, kas paredzētas 14. panta 1. punkta otrajā rindkopā. Taču viņš pauž nožēlu, ka 21. pantā skaidri noteikts, ka ar nolīgumu “saskaņā ar ASV tiesību aktiem netiek paredzētas vai piešķirtas nekādas tiesības vai priekšrocības nevienai personai”. Pat ja saskaņā ar nolīgumu Amerikas Savienotajās Valstīs ir garantētas tiesības uz “pārsūdzību”, šādas tiesības var nebūt līdzvērtīgas tiesībām uz efektīvu tiesas kompensāciju Eiropas Savienībā, jo īpaši, ņemot vērā 21. pantā minēto ierobežojumu.

25.

Nolīguma 16. pantā ir aizliegums pārsūtīt datus tādām valsts iestādēm, kas PDR datiem nepiemēro “līdzvērtīgus vai salīdzināmus” aizsardzības pasākumus, kuri paredzēti šajā nolīgumā. EDAU atzinīgi novērtē šo noteikumu. Taču būtu sīkāk jāprecizē to iestāžu saraksts, kuras drīkst saņemt PDR datus. Attiecībā uz starptautiska mēroga pārsūtījumiem nolīgumā noteikts, ka tos var veikt tikai tad, ja datu saņēmējs plāno izmantot šos datus saskaņā ar šo nolīgumu un, izņemot ārkārtas gadījumus, nodrošina tādus privātuma aizsardzības pasākumus, kas ir “salīdzināmi” ar tiem, kuri paredzēti nolīgumā.

26.

Attiecībā uz nolīgumā izmantoto formulējumu “salīdzināmi” vai “līdzvērtīgi” EDAU vēlētos uzsvērt, ka IDD nedrīkstētu veikt nekādu iekšzemes vai starptautiska mēroga datu tālāku pārsūtīšanu, ja saņēmējs nenodrošina tikpat stingru aizsardzības pasākumu izpildi kā tie, kas paredzēti šajā nolīgumā. Nolīgumā būtu arī jāprecizē, ka PDR datu pārsūtīšana notiek, izskatot katru gadījumu atsevišķi, nodrošinot, ka attiecīgajiem saņēmējiem tiek pārsūtīti tikai vajadzīgie dati, un nebūtu pieļaujamas nekādas atkāpes. Turklāt EDAU iesaka, ka datu pārsūtīšanai trešām valstīm vajadzētu notikt ar tiesas atļauju.

27.

17. panta 4. punktā teikts, ka, ja kādas ES dalībvalsts pastāvīgā iedzīvotāja dati tiek pārsūtīti trešai valstij, attiecīgās dalībvalsts kompetentās iestādes jāinformē gadījumos, kad IDD ir informēts par šo situāciju. Šis nosacījums būtu jāsvītro, jo IDD būtu vienmēr jābūt informētam par datu tālāku nosūtīšanu trešām valstīm.

28.

Nav skaidrs, kāda ir Amerikas Savienoto Valstu izvēlētā juridiskā forma šā nolīguma noslēgšanai un kā šis nolīgums kļūs juridiski saistošs Amerikas Savienotajās Valstīs. Tas būtu jāprecizē.

29.

20. panta 2. punkts attiecas uz saskaņotību ar iespējamo ES PDR sistēmu. EDAU atzīmē, ka, apspriežoties par šā nolīguma pielāgošanu, jo īpaši būtu jāizskata, “vai jebkādā plānotā ES PDR sistēmā tiktu piemēroti datu aizsardzības standarti, kas ir mazāk stingri nekā šajā nolīgumā paredzētie standarti”. Lai nodrošinātu konsekvenci, jebkurā pielāgojumā arī (un jo īpaši) būtu jāņem vērā stingrāki aizsardzības pasākumi jebkurā turpmākajā PDR sistēmā.

30.

Nolīgums būtu jāpārskata, arī ņemot vērā jauno datu aizsardzības sistēmu un iespējamo vispārēja nolīguma noslēgšanu starp Eiropas Savienību un Amerikas Savienotajām Valstīm par apmaiņu ar personas datiem policijas un tiesu iestāžu sadarbības krimināllietās ietvaros. Varētu tikt pievienots jauns, 20. panta 2. punktam līdzīgs, noteikums, kas paredzētu, ka “tad, ja Eiropas Savienība pieņem jaunu datu aizsardzības tiesisko regulējumu vai ja Eiropas Savienība un Amerikas Savienotās Valstis noslēdz jaunu nolīgumu par datu apmaiņu, Puses savstarpēji apspriežas, lai izlemtu, vai nepieciešams attiecīgi pielāgot šo nolīgumu. Apspriedēs jo īpaši izskata, vai jebkādos plānotajos grozījumos ES datu aizsardzības tiesiskajā regulējumā vai jebkādos turpmākajos Eiropas Savienības un Amerikas Savienoto Valstu datu aizsardzības nolīgumos tiktu piemēroti datu aizsardzības standarti, kas ir stingrāki nekā šajā nolīgumā paredzētie standarti”.

31.

Attiecībā uz nolīguma pārskatīšanu (23. pants) EDAU uzskata, ka valsts datu aizsardzības iestādēm būtu jābūt skaidri iekļautām pārskatīšanas darba grupā. Pārskatīšanai būtu jākoncentrējas arī uz pasākumu nepieciešamības un proporcionalitātes novērtēšanu, uz datu subjektu tiesību efektīvu īstenošanu un jāiekļauj pārbaude par to, kā datu subjektu pieprasījumi tiek apstrādāti praksē, jo īpaši, ja nav atļauta tieša piekļuve datiem. Būtu jākonkretizē pārskatīšanas biežums.

32.

EDAU atzinīgi novērtē datu drošības aizsardzības pasākumus un uzraudzību, ko paredz nolīgums, un uzlabojumus salīdzinājumā ar 2007. gada nolīgumu. Tomēr vēl ir daudz bažu, jo īpaši attiecībā uz saskaņotību ar vispārējo pieeju pasažieru datu reģistram, nolūka ierobežojumam, Iekšzemes drošības departamentam pārsūtāmo datu kategorijām, sensitīvu datu apstrādi, glabāšanas periodu, “push” metodes piemērošanas izņēmumiem, datu subjektu tiesībām un tālāku pārsūtīšanu.

33.

Šie apsvērumi nav pretrunā ar nepieciešamības un proporcionalitātes prasībām jebkurai likumīgai PDR sistēmai un nolīgumu, kas paredz PDR datu liela apjoma pārsūtīšanu no Eiropas Savienības uz trešām valstīm. Kā Eiropas Parlaments atkārtoti apstiprināja savā 5. maija rezolūcijā, “nepieciešamība un proporcionalitāte ir galvenie principi, bez kuriem cīņa pret terorismu nekad nebūs efektīva”.