EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52008XX0501(01)

Eiropas datu aizsardzības uzraudzītāja atzinums saistībā ar ierosināto Padomes Pamatlēmumu par pasažieru datu reģistra (PDR) izmantošanu tiesībaizsardzības mērķiem

OJ C 110, 1.5.2008, p. 1–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

1.5.2008   

LV

Eiropas Savienības Oficiālais Vēstnesis

C 110/1


Eiropas datu aizsardzības uzraudzītāja atzinums saistībā ar ierosināto Padomes Pamatlēmumu par pasažieru datu reģistra (PDR) izmantošanu tiesībaizsardzības mērķiem

(2008/C 110/01)

EIROPAS DATU AIZSARDZĪBAS UZRAUDZĪTĀJS,

ņemot vērā Eiropas Kopienas dibināšanas līgumu un jo īpaši tā 286. pantu,

ņemot vērā Eiropas Savienības Pamattiesību hartu un jo īpaši tās 8. pantu,

ņemot vērā Eiropas Parlamenta un Padomes 1995. gada 24. oktobra Direktīvu 95/46/EK par indivīdu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (1),

ņemot vērā Eiropas Parlamenta un Padomes Regulu (EK) Nr. 45/2001 (2000. gada 18. decembris) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi Kopienas iestādēs un struktūrās un par šādu datu brīvu apriti (2), un jo īpaši tās 41. pantu,

ņemot vērā 2007. gada 13. novembrī saņemto Eiropas Komisijas lūgumu nākt klajā ar atzinumu saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu,

IR PIEŅĒMIS ŠO ATZINUMU.

I.   IEVADS

Apspriedes ar Eiropas datu aizsardzības uzraudzītāju (EDAU)

1.

Komisija saskaņā ar Regulas (EK) Nr. 45/2001 28. panta 2. punktu ierosināto Padomes Pamatlēmumu par pasažieru datu reģistra (PDR) izmantošanu tiesībaizsardzības mērķiem (še turpmāk “ierosinātais tiesību akts”) nosūtīja EDAU, lai uzzinātu viņa viedokli par to.

2.

Ierosinātais tiesību akts attiecas uz PDR datu apstrādi Eiropas Savienībā un ir cieši saistīts ar citām pasažieru datu vākšanas un izmantojuma sistēmām, jo īpaši ar ES un ASV 2007. gada jūlija nolīgumu. Minētās sistēmas izraisa lielu EDAU ieinteresētību, un viņam jau ir dota iespēja nosūtīt dažus provizoriskus komentārus saistībā ar Komisijas 2006. gada decembrī attiecīgām ieinteresētām personām izsūtīto anketi par iecerēto ES PDR sistēmu (3). EDAU ir gandarīts par apspriedēm ar Komisiju. EDAU uzskata, ka šis atzinums būtu jāmin Padomes lēmuma preambulā.

Ierosinātais tiesību akts no minētā viedokļa

3.

Priekšlikuma mērķis ir saskaņot dalībvalstu noteikumus par pienākumiem, kas uzlikti aviopārvadātājiem, kuri veic lidojumus uz vismaz vienas dalībvalsts teritoriju vai no tādas dalībvalsts teritorijas — saistībā ar PDR datu pārsūtīšanu kompetentām iestādēm, lai novērstu un apkarotu terorismu un organizētu noziedzību.

4.

Eiropas Savienība ar ASV, kā arī ar Kanādu ir noslēgusi PDR datu pārsūtīšanas nolīgumus datu salīdzināšanas vajadzībām. Pirmā, 2004. gada maijā ar ASV noslēgtā nolīguma vietā ir stājies jauns, 2007. gada jūlija nolīgums (4). Līdzīgs nolīgums ar Kanādu ir noslēgts 2005. gada jūlijā (5). Turklāt ir jāsākas ES sarunām ar Austrāliju par PDR datu apmaiņas nolīgumu, tāpat arī Dienvidkoreja prasa PDR datus par lidojumiem uz tās teritoriju — šajā stadijā neparedzot sarunas Eiropas līmenī.

5.

Eiropas Savienībā ierosinātais tiesību akts papildina Padomes Direktīvu 2004/82/EK (6) par pārvadātāju pienākumu darīt zināmus pasažieru datus, ko dēvē par provizoriskas pasažieru informācijas (API) datiem, lai apkarotu nelegālu imigrāciju un uzlabotu robežkontroli. Šai direktīvai būtu bijis jābūt transponētai dalībvalstu tiesībās vēlākais līdz 2006. gada 5. septembrim. Tomēr tās īstenošana vēl nav nodrošināta visās dalībvalstīs.

6.

Atšķirībā no provizoriskas pasažieru informācijas (Advanced Passenger InformationAPI) datiem, kam jāpalīdz identificēt cilvēkus, ierosinātajā tiesību aktā minētie PDR dati palīdzētu veikt personu radītu apdraudējumu ekspertīzes, gūt izlūkdatus un atklāt zināmu cilvēku saistību ar nezināmiem.

7.

Ierosinātajā tiesību aktā ir šādi galvenie elementi:

Tajā ir paredzēts, ka aviopārvadātāji kompetentām dalībvalstu iestādēm dara pieejamus PDR datus, lai novērstu un apkarotu terora aktus un organizētu noziedzību.

Tajā ir paredzēts, ka faktiski katrā dalībvalstī izveido pasažieru informācijas vienību (Passenger Information UnitPIU), kas būtu atbildīga par PDR datu saņemšanu no aviopārvadātājiem (vai norīkotiem starpniekiem) un par pasažieru radītu apdraudējumu ekspertīzēm.

Attiecīgi izvērtēto informāciju pārsūtīs kompetentām katras dalībvalsts iestādēm. Minētajā informācijā dalīsies ar citām dalībvalstīm, katru gadījumu izskatot atsevišķi, un iepriekš minētajām vajadzībām.

Uz pārsūtīšanu uz valstīm ārpus Eiropas Savienības attiecas papildu nosacījumi.

Datus glabās trīspadsmit gadus, no kuriem astoņus — neaktīvā datu bāzē.

Paredzēts, ka apstrādi regulēs (projekta stadijā esošais) Padomes pamatlēmums par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās (še turpmāk “datu aizsardzības pamatlēmums”) (7).

Dalībvalstu pārstāvju komiteja palīdzēs Komisijai datu protokola un šifrēšanas jautājumos, kā arī saistībā ar apdraudējumu ekspertīžu kritērijiem un praksi.

Lēmumu pārskatīs trijos gados pēc stāšanās spēkā.

Atzinuma galvenā doma

8.

Ierosinātais tiesību akts, par ko ir lūgts EDAU atzinums, ir vēl viens solis pretī tam, lai ierasta kļūtu datu vākšana par tādiem cilvēkiem, ko netur aizdomās par noziegumiem. Kā jau iepriekš teikts, tāda evolūcija notiek starptautiskā un Eiropas mērogā.

9.

EDAU norāda, ka arī 29. panta darba grupa un policijas un tieslietu sadarbības darba grupa ir nākusi klajā ar kopīgu atzinumu par ierosināto tiesību aktu (8). EDAU atbalsta minēto atzinumu. Šajā atzinumā ir uzsvērti un izvērsti arī vairāki citi aspekti.

10.

Kaut arī EDAU atzinumā būs analizēti visi svarīgākie ierosinātā tiesību akta aspekti, īpaša uzmanība būs pievērsta četrām galvenām problēmām.

Pirmā problēma ir iecerēto pasākumu likumīgums. Jautājums par ierosinātā tiesību akta mērķi, vajadzību un samērību būs vērtēts, samērojot ar Eiropas Savienības Pamattiesību hartas 8. panta kritērijiem.

Atzinumā būs analizēts arī jautājums par tiesībām, ko piemēro ierosinātajām apstrādes darbībām. Konkrēti, īpašu ievērību ir pelnījusi datu aizsardzības pamatlēmuma piemērošanas joma saistībā ar pirmā pīlāra datu aizsardzības tiesību aktiem. Tāpat arī būs aplūkotas piemērojamā datu aizsardzības režīma sekas no datu subjektu tiesību īstenošanas viedokļa.

Tad atzinumā būs īpaši aplūkota datu saņēmēju kvalitāte attiecīgu valstu līmenī. Konkrēti, tādu pasažieru informācijas vienību, starpnieku un kompetentu iestāžu kvalitāte, kurām ir uzticētas apdraudējumu ekspertīzes un pasažieru datu analīze, rada konkrētas bažas, jo ierosinātajā tiesību aktā nekas nav šajā sakarā precizēts.

Ceturtā problēma attiecas uz nosacījumiem par datu pārsūtīšanu trešām valstīm. Nav skaidrs, kādi noteikumi atteiksies uz pārsūtītiem datiem, ja pastāv dažādi noteikumu kompleksi: datu pārsūtīšanas nosacījumi, ka ir paredzēti šajā ierosinātajā tiesību aktā, līdz ar tiem, kas doti datu aizsardzības pamatlēmumā un spēkā esošos starptautiskos nolīgumos (ar ASV un Kanādu).

11.

Citi būtiski aspekti un arī citi iemesli uztraukumam, ko rada ierosinātais tiesību akts, būs apzināti pēdējā daļā, kā arī no datu aizsardzības viedokļa pozitīvi pasākumi.

II.   IEROSINĀTO PASĀKUMU LIKUMĪGUMS

12.

Lai analizētu ierosināto pasākumu likumību saskaņā ar datu aizsardzības pamatprincipiem, un jo īpaši — ar Eiropas Pamattiesību hartas 8. pantu un Eiropas Padomes 108. konvencijas 5. līdz 8. pantu (9), ir skaidri jāapzina iecerēto personas datu apstrādes mērķi, lai izvērtētu to vajadzīgumu un samērību. Būtu jānodrošina, ka, lai sasniegtu iecerēto mērķi, nav pieejami citi līdzekļi, ar kuriem mazāk iejauktos personīgajā dzīvē.

Mērķa apzināšana

13.

Ierosinātā tiesību akta izteiksme un efektivitātes ekspertīze rāda, ka akta mērķis nav tikai identificēt zināmus teroristus vai zināmus, organizētā noziedzībā iesaistītus noziedzniekus, salīdzinot viņu vārdus ar vārdiem, kas figurē tiesībaizsardzības iestāžu apsaimniekotos sarakstos. Mērķis ir vākt izlūkdatus par terorismu vai organizētu noziedzību, un, precīzāk izsakoties, “veikt personu radītu apdraudējumu ekspertīzes, gūt izlūkdatus un atklāt zināmu cilvēku saistību ar nezināmiem” (10). Ierosinātā tiesību akta 3. panta 5. punktā norādītais mērķis pirmkārt un galvenokārt ir “identificēt personas, kas ir iesaistītas kādā terora aktā vai varbūt ir tādā iesaistītas, vai arī ir iesaistītas kādā ar organizētu noziedzību saistītā noziedzīgā nodarījumā — kā arī viņu sabiedrotos”.

14.

Šis ir iemesls, ko piesauc, lai skaidrotu, ka ar provizoriskas pasažieru informācijas (API) datiem ir par maz, lai sasniegtu minēto mērķi. Patiesi, kā jau norādīts, kaut arī ir paredzēts, ka provizoriskas pasažieru informācijas (API) dati palīdzēs identificēt personas, PDR datus nevāc identifikācijas nolūkiem, toties sīki PDR dati palīdzētu personu radītu apdraudējumu ekspertīzēs, kā arī vākt izlūkdatus un savā starpā saistīt zināmus cilvēkus ar nezināmiem.

15.

Paredzēto pasākumu mērķis ir ne tikai notvert jau zināmas personas, bet arī noteikt tādu personu atrašanās vietu, kuras varētu atbilst ierosinātā tiesību akta kritērijiem.

Lai identificētu minētās personas, projekta galvenā daļa ir apdraudējumu analīze un uzvedības modeļu apzināšana. Ierosinātā tiesību akta 9. apsvērumā ir skaidri teikts, ka dati jāglabā “pietiekami ilgu laiku, lai varētu sasniegt mērķi — izstrādāt apdraudējumu kritērijus un apzināt ceļošanas paradumus un uzvedības modeļus”.

16.

Tātad mērķis ir raksturots divos slāņos: pirmajā slānī ir vispārējs mērķis apkarot terorismu un organizētu noziedzību, bet otrā slānī ir līdzekļi un pasākumi, kā sasniegt minēto mērķi. Kaut arī mērķis — apkarot terorismu un organizētu noziedzību šķiet gana skaidrs un likumīgs, līdzekļi, kā to sasniegt, atstāj vietu pārrunām.

Uzvedības modeļu apzināšana un apdraudējumu ekspertīze

17.

Ierosinātajā tiesību aktā nav norādīts, kā noteikt uzvedības modeļus un kā notiks apdraudējumu ekspertīzes. Ekspertīzē ar šādu precizitāti ir raksturots PDR datu lietojums: salīdzināt pasažieru datus “ar raksturīgām pazīmēm un uzvedības modeļiem, lai sastādītu apdraudējuma ekspertīzi. Ja pasažieris atbilst kādiem apdraudējuma ekspertīzes parametriem, viņu var identificēt kā pasažieri, kas rada paaugstinātu apdraudējumu” (11).

18.

Aizdomās turētās personas var atlasīt saskaņā ar konkrētiem aizdomu elementiem, kas rodami viņu PDR datos (piem., kontakti ar aizdomīgu ceļojumu aģentūru, zagtas kredītkartes izmantojums), kā arī, par pamatu ņemot “uzvedības modeļus” vai kādu abstraktu profilu. Dažādus standartprofilus patiesi varētu ņemt par pamatu gan “parastu pasažieru”, gan “aizdomīgu pasažieru” ceļošanas paradumiem. Tādi profili ļautu padziļināti analizēt datus par tādiem pasažieriem, kas neatbilstu “normālu pasažieru kategorijai”, un vēl jo vairāk — ja viņu profils būtu saistīts ar citiem aizdomīgiem elementiem, piemēram, zagtu kredītkarti.

19.

Kaut arī nevar pieņemt, ka pret pasažieriem vērsīsies viņu ticības vai citu diskrētu datu dēļ, tomēr šķiet, ka viņu datus analizētu, balstoties uz in concreto un in abstracto informācijas kokteili, kurā būtu ietverti parastas uzvedības modeļi un abstrakti profili.

20.

Varētu pārrunāt, vai tāda tipa datu analīze būtu atzīstama par profila izstrādi. Profilu izstrāde būtu “datorizēta metode, ar ko datu noliktavā meklētu datus, darot iespējamu klasifikāciju vai paredzot darīt to iespējamu, iespējams, nākot klajā ar prognozēm — un tādējādi pieļaujot iespēju kļūdīties — par kādu cilvēku konkrētā kategorijā, lai pieņemtu individuālus lēmumus par attiecīgo personu” (12).

21.

EDAU zina, ka notiek diskusijas par profilu izstrādes definīciju. Neatkarīgi no tā, vai ir oficiāli atzīts, ka ierosinātajā tiesību aktā ir paredzēts izstrādāt pasažieru profilus, galvenais jautājums nav saistīts ar definīcijām. Runa ir par to, kā tas ietekmē cilvēkus.

22.

EDAU visvairāk ir norūpējies par to, ka lēmumus par cilvēkiem pieņems, par pamatu ņemot uzvedības modeļus un kritērijus, kas būs noteikti, izmantojot vispārīgus datus par pasažieriem. Tādējādi lēmumus par kādu cilvēku var pieņemt, par atsauci (vismaz daļēji) izmantojot uzvedības modeļus, kas ir atvedināti no citu personu datiem. Tādējādi lēmumus pieņems saistībā ar abstraktu kontekstu, un tas var stipri ietekmēt datu subjektus. Cilvēkiem ir ļoti grūti aizsargāties pret tādiem lēmumiem.

23.

Turklāt apdraudējumu ekspertīzes ir paredzēts veikt, kaut arī nav vienotu standartu, kā identificēt aizdomās turamos. EDAU nopietni apšauba visa filtrēšanas procesa juridisko noteiktību un uzskata, ka kritēriji, ar ko saskaņā izskatīs katra pasažiera datus, ir definēti ļoti vāji.

24.

EDAU atgādina Eiropas Cilvēktiesību tiesas jurisprudenci, kurā ir paredzēts, ka iekšzemes tiesību aktiem ir jābūt pietiekami precīziem, lai pilsoņiem norādītu, kādos apstākļos un ar kādiem noteikumiem valsts iestādes ir pilnvarotas par viņu privāto dzīvi krāt informāciju un izmantot to. Informācijai “būtu jābūt attiecīgai personai pieejamai un tās sekām jābūt paredzamām”. Obligāta ir “paredzamība” — “ja tā ir formulēta pietiekami precīzi, lai jebkurš cilvēks — vajadzības gadījumā saņēmis attiecīgus padomus — varētu regulēt savas darbības” (13).

25.

Nobeigumā ir jānorāda, ka tieši tādu riska iespējamību dēļ šis ierosinātais tiesību akts ir rūpīgi jāapsver. Kaut arī galvenais mērķis — apkarot terorismu un organizētu noziedzību pats par sevi ir skaidrs un likumīgs, nešķiet, ka ieviešamās datu apstrādes būtība ir pietiekami precīzi izstrādāta un pamatota. Tālab EDAU aicina ES likumdevējus jautājumam pievērsties nopietni, pirms pamatlēmuma pieņemšanas.

Vajadzība

26.

Kā iepriekš norādīts, tas, ka paredzētie pasākumi iejaucas privātā dzīvē, ir acīmredzams. No otras puses, to lietderīgums nebūt nav pierādīts.

27.

Ierosinātā tiesību akta efektivitātes ekspertīzē uzmanība ir īpaši pievērsta tam, kā labāk izveidot ES PDR, nevis tam, vai PDR vispār ir vajadzīgs. Ekspertīzē ir dota atsauce (14) uz PDR sistēmām, kas darbojas citās valstīs, proti — Amerikas Savienotajās Valstīs un Apvienotajā Karalistē. Tomēr var tikai nožēlot, ka trūkst precīzu faktu un skaitļu par minētajām sistēmām. Apvienotās Karalistes semafora sistēmā ziņo par “daudziem arestiem” saistībā ar “dažādiem noziegumiem”, neprecizējot par saiknēm ar terorismu vai organizētu noziedzību. Nekas sīkāk nav teikts par ASV programmu, vienīgi, ka “ES ir varējusi izvērtēt PDR datu vērtību un apzināties, cik liels ir to potenciāls, lai īstenotu tiesībaizsardzības mērķus”.

28.

Ierosinātajā tiesību aktā ne tikai trūkst precīzas informācijas par konkrētiem rezultātiem, ko dod tādas PDR sistēmas, bet arī citu aģentūru — piem., GAO (ASV) — publicētos ziņojumos šajā stadijā nav apstiprināts, ka tādi pasākumi būtu efektīvi (15).

29.

EDAU uzskata, ka cilvēku radīta apdraudējuma izvērtēšanas paņēmieni, kuros izmanto datu ieguves instrumentus un uzvedības modeļus, ir rūpīgāk jāizvērtē, un to lietderīgums no terorisma apkarošanas viedokļa ir skaidri jānosaka, pirms tos sāk lietot tik plašos mērogos.

Samērība

30.

Lai izvērtētu līdzsvaru starp iejaukšanos cilvēku privātā dzīvē un pasākuma vajadzību (16), ir jāņem vērā šādi elementi:

Pasākumi attiecas uz visiem pasažieriem neatkarīgi no tā, vai tiesībaizsardzības iestādes izskata pret viņiem celtas lietas. Tie paredz pašierosinātu datu analīzi — turklāt nepieredzētos mērogos;

Lēmumi par cilvēkiem var balstīties uz abstraktiem profiliem, un tādējādi var būt iespējamas nopietnas kļūdas;

Tādu pasākumu būtība, kurus ir paredzēts vērst pret cilvēkiem, ir saistīta ar tiesību aktu (piespiedu) īstenošanu: sekas, ko rada atstumšana vai piespiešana, tādējādi daudz vairāk iejaucas privātā dzīvē nekā citos apstākļos, piemēram, ja notiek krāpniecība ar kredītkartēm vai tirgū laišanu.

31.

Ievērot samērības principu nozīmē ne tikai to, ka ierosinātajam pasākumam jābūt efektīvam, bet arī to, ka iecerēto ierosinātā tiesību akta mērķi nevar sasniegt, izmantojot instrumentus, ar ko mazāk jaucas privātā dzīvē. Iecerēto pasākumu efektivitāte nav pierādīta. Ir rūpīgi jāizvērtē alternatīvas iespējas, pirms ieviest papildu/jaunus pasākumus personu informācijas apstrādei. Cik ir zināms EDAU, pilnīga ekspertīze nav notikusi.

32.

EDAU vēlas atgādināt par citām plaša mēroga sistēmām, ar ko pārraudzīt personu pārvietošanos ES robežās vai pie tām, neatkarīgi, vai tās jau darbojas, vai tās paredz īstenot, konkrēti aptverot Vīzu informācijas sistēmu (17) un Šengenas Informācijas sistēmu (18). Kaut arī galvenais šo instrumentu izmantojums nav apkarot terorismu vai organizētu noziedzību, tās ir vai būs savā ziņā pieejamas tiesībaizsardzības iestādēm, lai ar plašāku vērienu apkarotu noziedzību (19).

33.

Cits piemērs attiecas tādu personas datu pieejamību, kuri atrodas attiecīgu valstu policijas datu bāzēs — jo īpaši tas attiecas uz biometrijas informācijas datiem — 2005. gada maijā parakstītā Prīmes līguma sakarā, ko piemēro visās Eiropas Savienības dalībvalstīs (20).

34.

Dažādajiem minētiem instrumentiem kopīgs ir tas, ka tie ļauj pasaules mērogā pārraudzīt cilvēku pārvietošanos, kaut arī no dažādām perspektīvēm. Tas, kā tie jau tagad var palīdzēt konkrētu formu noziegumu, arī terorisma apkarošanā, būtu padziļināti un pilnībā jāizanalizē, pirms pieņemt lēmumu visām personām, kas ar lidmašīnām izlido no ES vai ielido tajā, izstrādāt jaunu, sistemātisku datu pārbaudi. EDAU iesaka, lai Komisija vadītu tādu analīzi, kas būtu likumdošanas procedūrā vajadzīgs pasākums.

Secinājumi

35.

Ņemot vērā iepriekš teikto, EDAU izdara šādus secinājumus par ierosināto pasākumu likumību. Apkopot datus no dažādām datu bāzēm, negūstot vienotu priekšstatu par konkrētiem rezultātiem un trūkumiem:

ir pretrunā racionālai likumdošanas politikai, kurā jaunus instrumentus nevar pieņemt, kamēr spēkā esošie nav pilnībā īstenoti, un ir izrādījies, ka tie nav pietiekami (21).

Tas var tuvināt totālas novērošanas sabiedrības rašanos.

36.

Terorisma apkarošana noteikti var būt likumīgs pamats, lai piemērotu izņēmumus pamattiesībām uz privātumu un datu aizsardzību. Tomēr, lai to varētu pamatot, iejaukšanās vajadzība ir jāpamato ar skaidriem un neapstrīdamiem elementiem, un ir jāpierāda, ka datu apstrāde notiek samērīgi. Tas ir jo obligātāk gadījumos, ja notiek plaša iejaukšanās cilvēku privātā dzīvē, kā paredzēts ierosinātajā tiesību aktā.

37.

Var tikai konstatēt, ka ierosinātajā tiesību aktā tādu pamatojuma elementu trūkst, un nav pārbaudīts vajadzīgums un samērīgums.

38.

EDAU uzsver, ka vajadzīguma un samērīguma pārbaude, par ko izvērstāk runāts iepriekš, ir būtiski svarīga. Abas tās ir condicio sine qua non, lai ierosinātais tiesību akts varētu stāties spēkā. Visas turpmākās EDAU piebildes šajā atzinumā ir jāuztver, paturot prātā šo obligāto priekšnosacījumu.

III.   PIEMĒROJAMĀS TIESĪBAS — DATU SUBJEKTU TIESĪBU ĪSTENOŠANA

Piemērojamās tiesības

39.

Turpmākā analīze īpaši pievērsīsies trijiem punktiem:

ierosinātajā tiesību aktā paredzēto dažādo datu apstrādes posmu apraksts, lai apzinātu, kādas tiesības ir piemērojamas katrā stadijā;

nepilnības ierosinātajā Padomes pamatlēmumā par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās — no darbības jomas viedokļa un no datu subjekta tiesību viedokļa;

vispārīgāka analīze, ciktāl trešā pīlāra instruments var attiekties uz privātiem darbību veicējiem, kas apstrādā datus pirmā pīlāra sistēmā;

Dažādās datu apstrādes pakāpēs piemērojamās tiesības

40.

Ierosinātā tiesību akta 11. pantā ir norādīts — “dalībvalstis nodrošina, ka datiem, ko apstrādā saskaņā ar šo pamatlēmumu, piemēro Padomes Pamatlēmumu (…) par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās”.

41.

Tomēr, kaut arī šis noteikums skaidri nenosaka, ciktāl datu aizsardzības pamatlēmums — instruments, kas pieder pie ES Līguma trešā pīlāra darbības jomas — būs piemērojams datiem, ko apstrādā aviosabiedrības, ko vāc pasažieru informācijas vienības, un ko pēc tam lieto citas kompetentas iestādes.

42.

Pirmais solis personas datu apstrādē, kā paredzēts ierosinātajā tiesību aktā, ir to apstrāde aviosabiedrībās, kam ir pienākums darīt pieejamus PDR datus attiecīgo valstu pasažieru informācijas vienībām, faktiski izmantojot tādu sistēmu, lai dati būtu apstrādāti, lidmašīnai izlidojot (“push system”). Ierosinātā tiesību akta un tā efektivitātes ekspertīzes (22) formulējums šķiet liecinām, ka aviosabiedrības varētu arī kompleksi pārsūtīt starpniekiem visus datus. Aviosabiedrības galvenokārt darbojas komercvidē, uz ko attiecas attiecīgu valstu datu aizsardzības tiesību akti, ar kuriem īsteno Direktīvu 95/46/EK (23). Jautājumi par piemērojamām tiesībām radīsies, kad savāktos datus lietos tiesībaizsardzības vajadzībām (24).

43.

Datus pēc tam filtrētu kāds starpnieks (tos paredzēts formatēt un neiekļaut PDR datus, kas nav iekļauti ar ierosināto tiesību aktu paredzēto datu sarakstā) vai tos tieši sūta pasažieru informācijas vienībām. Starpnieki varētu būt arī privatajā sektorā aktīvi darbību veicēji, kāda ir SITA, kas no šāda aspekta darbojas saskaņā ar Kanādu noslēgto PDR nolīgumu.

44.

Runājot par pasažieru informācijas vienībām, kas atbild par apdraudējumu ekspertīzi, analizējot visu datu kopumu, nav skaidrs, kas atbildēs par datu apstrādi. Var būt iesaistītas muitas un robežsardzes iestādes, un tām par katru cenu nav jābūt tiesībaizsardzības iestādēm.

45.

Filtrēto datu nosūtīšana “kompetentām iestādēm” vēlāk droši vien notiktu tiesībaizsardzības sakarā. Ierosinātajā tiesību aktā ir norādīts, ka “Kompetentas iestādes ir tikai tādas iestādes, kas ir atbildīgas par terora aktu un organizētas noziedzības novēršanu un apkarošanu”.

46.

Citu pēc cita veicot datu apstrādes stadijas, procesā iesaistītie darbību veicēji, kā arī īstenojamais mērķis ciešāk saistās ar policijas un tiesu sadarbību krimināllietās. Ierosinātajā tiesību aktā gan nav skaidri teikts, kad īsti būs jāpiemēro datu aizsardzības pamatlēmums. Formulējums var pat likt domāt, ka tas attiecas uz visu datu apstrādi, un pat uz aviosabiedrībām (25). Tomēr pašā personas datu aizsardzības pamatlēmumā ir daži ierobežojumi.

47.

Šādā sakarā EDAU pašos pamatos apšauba to, vai ES Līguma VI sadaļa var noderēt par tiesisko pamatu regulārām juridiskām saistībām un tiesībaizsardzības vajadzībām privātajā sektorā. Turklāt svarīgs ir jautājums, vai ES Līguma VI sadaļa var noderēt par tiesisko pamatu, lai uzliktu juridiskas saistības valsts iestādēm, kas nav iesaistītas tiesībaizsardzības jomā izvērstā sadarbībā. Šiem jautājumiem šajā atzinumā rūpīgāka uzmanība būs pievērsta vēlāk.

Datu aizsardzības pamatlēmuma darbības ierobežojumi

48.

Ierosinātajā Padomes pamatlēmumā par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās, ir vismaz divi darbības ierobežojumi, kas ir svarīgi darbības jomas ziņā.

49.

Pirmkārt, datu aizsardzības pamatlēmuma darbības joma ir skaidri definēta pašā pamatlēmumā: tas attiecas “tikai [uz] tādiem datiem, ko kompetentas iestādes iegūst vai apstrādā saistībā ar noziedzīgu nodarījumu novēršanu, izmeklēšanu, atklāšanu un kriminālvajāšanu par tiem, vai saistībā ar kriminālsodu izpildi” (26).

50.

Otrām kārtām, nav paredzēts datu aizsardzības pamatlēmumu piemērot datiem, ko apstrādā tikai pašas valsts līmenī, bet tas aprobežojas ar dalībvalstu savstarpēju datu apmaiņu un to vēlāku sūtīšanu trešām valstīm (27).

51.

Datu aizsardzības pamatlēmumā arī ir daži trūkumi salīdzinājumā ar Direktīvu 95/46/EK, jo īpaši, paredzot plašus izņēmumus principam, kas paredz informāciju izmantot tikai tam mērķim, kam tā sākotnēji domāta. Ievērojot minēto principu, kas paredz informāciju izmantot tikai mērķim, kam tā domāta, ierosinātajā tiesību aktā ir skaidri noteikts, ka datu apstrādes mērķi nesniedzas tālāk par terorisma un organizētas noziedzības apkarošanu. Tomēr datu aizsardzības pamatlēmumā ir atļauts datus apstrādāt plašākiem mērķiem. Tādā gadījumā lex specialis (ierosinātajam tiesību aktam) būtu jāpatur virsroka pār lex generalis (datu aizsardzības pamatlēmumu) (28). Ierosinātajā tiesību aktā tam būtu jābūt skaidri saprotamam.

52.

Tālab EDAU iesaka ierosinātajā tiesību aktā iekļaut šādu noteikumu: “Personas datus, ko aviosabiedrības pārsūta saskaņā ar šo pamatlēmumu, nevar apstrādāt citiem nolūkiem kā tikai terorisma un organizētas noziedzības apkarošanai. Nav spēkā izņēmumi principam, kas paredz informāciju izmantot tikai tam mērķim, kam tā sākotnēji domāta, kuri ir ietverti Padomes pamatlēmumā par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās”.

53.

Nobeigumā EDAU norāda uz nopietnu juridiskas noteiktības trūkumu no dažādiem projektā iesaistītiem darbību veicējiem piemērojamā datu aizsardzības režīma viedokļa, un jo īpaši no aviosabiedrību un citu pirmā pīlāra darbību veicēju viedokļa: vienalga, vai tie ir ierosinātajā tiesību aktā ietvertie noteikumi, datu aizsardzības pamatlēmuma noteikumi, vai noteikumi, kas ietverti attiecīgu valstu tiesību aktos, ar ko īsteno Direktīvu 95/46/EK. Likumdevējiem būtu skaidri jānosaka, tieši kurā datu apstrādes brīdī piemēro minētos dažādos noteikumus.

Nosacījumi pirmā un trešā pīlāra noteikumu piemērošanai

54.

EDAU pašos pamatos apšauba to, vai trešā pīlāra instruments rada regulāri īstenojamas juridiskas saistības, kā arī saistības tiesībaizsardzības vajadzībām privātā vai valsts sektorā iesaistītiem darbību veicējiem, uz ko būtībā neattiecas sadarbība tiesībaizsardzības jomā.

55.

To varētu salīdzināt ar diviem citiem gadījumiem, kuros ir iesaistīts privātais sektors — datu glabāšanā vai pārsūtīšanā no tiesībaizsardzības perspektīves:

ASV gadījums ar PDR, kurā bija paredzēts, ka aviolīnijas regulāri pārsūtīs PDR datus tiesībaizsardzības iestādēm. PDR lietā Tiesa nolēma, ka Kopiena nav kompetenta noslēgt PDR nolīgumus. Viens pamatojums bija tāds, ka PDR datu pārsūtīšana ASV Muitas un robežapsardzes birojam nozīmēja veikt datu apstrādes darbības, kas skar attiecīgu valstu drošību un valstu darbības krimināltiesību jomā (29). Šajā gadījumā datu apstrādes darbība bija regulāra datu pārsūtīšana ASV Muitas un robežapsardzes birojam, un tas ir atšķirīgs, salīdzinot ar šādu gadījumu:

To, ka elektronisku saziņas līdzekļu apsaimniekotāji parasti saglabā datus. Kas attiecas uz Kopienas kompetenci noteikt tādus datu glabāšanas termiņus, ASV Muitas un robežapsardzes biroja gadījums būtu jāvērtē citādi, ņemot vērā, ka Direktīvā 2006/24/EK (30) ir paredzēts tikai pienākums glabāt datus, datiem paliekot saziņas līdzekļu apsaimniekotāju pārziņā. Nav paredzēts regulāri pārsūtīt datus tiesībaizsardzības iestādēm. Var secināt, ka tikmēr, kamēr dati paliek saziņas līdzekļu apsaimniekotāju pārziņā, minētie apsaimniekotāji arī ir atbildīgi par personas datu aizsardzības pienākumu ievērošanu vis-à-vis datu subjektiem.

56.

ES PDR priekšlikumā, kāds tas ir pašlaik, aviosabiedrībām regulāri jādara pieejami visu pasažieru PDR dati. Minētos datus tomēr tieši un kompleksi nepārsūta tiesībaizsardzības iestādēm: tos var sūtīt kādam starpniekam, un tos izvērtē kāda trešā puse, kuras statuss nav skaidrs, pirms atlasīto informāciju nosūta kompetentām iestādēm.

57.

Apstrāde lielākoties notiek juridiski neskaidrā kontekstā un ir reāli saistīta gan ar pirmo pīlāru, gan ar trešo pīlāru. IV nodaļā būs izvērstāk aprakstīts, kāpēc nav skaidrs jautājums par datu apstrādātāju kvalitāti. Aviosabiedrības acīmredzami nav tiesībaizsardzības iestādes, un starpnieki varētu būt darbību veicēji no privātā sektora. Arī attiecībā uz pasažieru informācijas vienībām, kas ir valsts iestādes, ir jāuzsver, ka ne katra valsts iestāde ir kvalificēta un kompetenta regulāri veikt tiesībaizsardzības uzdevumus.

58.

Parasti tiesībaizsardzības joma ir skaidri nošķirta no privātā sektora darbībām, kurā tiesībaizsardzības uzdevumus veic īpašas iestādes, konkrēti, policijas spēki, un privātu darbību veicējus piesaista tikai konkrētos gadījumos, lai darītu zināmus personas datus minētajām tiesībaizsardzības iestādēm. Tagad ir sākusies tendence privātiem darbību veicējiem regulāri uzspiest sadarbību tiesībaizsardzības jomā, un tas liek jautāt, kāda datu aizsardzības sistēma (pirmā vai trešā pīlāra sistēma) attiecas uz tādas sadarbības nosacījumiem — vai tādiem noteikumiem būtu jābalstās uz datu kontroliera kvalitāti (privātais sektors), vai arī uz sasniedzamo mērķi (tiesībaizsardzība)?

59.

EDAU jau ir atgādinājis par briesmām, kas rodas tāpēc, ka pirmā un trešā pīlāra juridiskās sistēmas nav savā starpā salāgotas (31). Nepavisam nav skaidrs, vai Eiropas Savienības likumdevēju darbības joma saskaņā ar LES 30., 31. un 34. pantu attiecas uz tādu privātu uzņēmējsabiedrību darbībām, kuras ir kaut kā saistītas ar krimināltiesību īstenošanu.

60.

Ja vispārējā (pirmā pīlāra) sistēma nebūtu piemērojama, pakalpojumu sniedzējiem savās datu bāzēs vajadzētu veikt sarežģītus nošķīrumus. Saskaņā ar pašreizējo režīmu ir skaidrs, ka datu kontrolieriem ir jārespektē datu subjektu datu aizsardzība neatkarīgi no iemesliem, kas pamato datu glabāšanu. Tālab būtu jāvairās no tā, ka uz datu apstrādes pakalpojumu sniedzējiem, kas dažādām vajadzībām apstrādā datus, attiektos dažādas datu aizsardzības sistēmas.

Datu subjektu tiesību īstenošana

61.

Dažādie tiesiskie regulējumi, kas būtu jāpiemēro attiecīgu valstu mērogā, stipri ietekmētu galvenokārt datu subjektu tiesību īstenojumu.

62.

Ierosinātā tiesību akta preambulā ir norādīts, ka “saskaņā ar datu aizsardzības pamatlēmumu jānodrošina informācija, piekļuve, datu labošana, dzēšana un piekļuves aizliegums, kā arī tiesības uz kompensāciju un tiesiskas aizsardzības līdzekļiem”. Tomēr šī deklarācija neatbild uz jautājumu — kas ir tas kontrolieris, kam ir jāatbild uz datu subjektu lūgumiem.

63.

Ja arī informāciju par datu apstrādi var darīt zināmas aviosabiedrības, jautājums ir sarežģītāks, kad sākas runa par piekļuvi datiem vai datu labošanu. Minētās tiesības patiešām ir ierobežotas saskaņā ar datu aizsardzības pamatlēmumu. Kā iepriekš norādīts, ir jāšaubās, vai tādiem pakalpojumu sniedzējiem kā aviosabiedrības varētu uzlikt pienākumu dot diferencētas tiesības piekļūt datiem un tiesības labot datus, kas ir to rīcībā, atkarībā no sasniedzamā mērķa (komercija vai tiesībaizsardzība). Var teikt, ka minētās tiesības ir paredzēts īstenot pasažieru informācijas vienībās vai citās īpaši norīkotās kompetentās iestādēs. Ierosinātajā tiesību aktā tomēr nav sīkāku norāžu par to, un, kā jau norādīts, nav skaidrs, vai minētās iestādes (vismaz pasažieru informācijas vienības) būs tās tiesībaizsardzības iestādes, kam parasti uzticēs ierobežotas (droši vien netiešas) piekļuves procedūras.

64.

Tāpat pastāv iespējamība, ka cilvēkiem ir jāsastopas ar dažādiem datu saņēmējiem, ciktāl ir runa par pasažieru informācijas vienībām — datus patiešām pārsūta tās valsts pasažieru informācijas vienībai, kurā reiss sākas vai beidzas, un, iespējams, arī pasažieru informācijas vienībām citās dalībvalstīs — atkarībā no konkrētā gadījuma. Turklāt varbūt vairākas dalībvalstis var izveidot vai norīkot vienu kopīgu un vienotu pasažieru informācijas vienību. Tādā gadījumā datu subjektiem varbūt ir jāīsteno tiesiska aizsardzība citas dalībvalsts iestādē. Arī šajā gadījumā nav skaidrs, vai būs piemērojami attiecīgu valstu datu aizsardzības likumi (kam Eiropas Savienībā būtu jābūt saskaņotiem), vai arī jāņem vērā īpaši tiesībaizsardzības tiesību akti (ņemot vērā to, ka trešajā pīlārā saskaņošana valstu līmenī nav pietiekama).

65.

Jautājums ir viens un tas pats attiecībā uz piekļuvi starpnieku apstrādātiem datiem, kā statuss nav skaidrs, un kas var būt arī kopīgs dažādu ES valstu aviolīnijām.

66.

EDAU pauž nožēlu par skaidrības trūkumu, kas joprojām saglabājas jautājumā par šo datu subjektu pamattiesību īstenošanu. Viņš uzsver, ka šādā stāvoklī ir vainojams galvenokārt tas, ka tiesībaizsardzības pienākumi ir uzticēti tādiem darbību veicējiem, kam tie nav galvenais uzdevums.

Secinājumi

67.

EDAU uzskata, ka ierosinātajā tiesību aktā būtu skaidri jānorāda, kāds tiesisks regulējums būtu jāpiemēro konkrētā datu apstrādes stadijā, un konkrēti jānosaka, uz kādu darbību veicēju vai kādu iestādi attiecas piekļuve un jāizmanto tiesiskās aizsardzības līdzekļi. EDAU atgādina, ka noteikumiem par datu aizsardzību saskaņā ar LES 30. panta 1. punkta b) apakšpunktu būtu jābūt pietiekamiem, un tiem jāattiecas uz visu to apstrādes darbību klāstu, kuras ir ieviestas ar ierosināto tiesību aktu. Ar vienkāršu atsauci uz datu aizsardzības pamatlēmumu nepietiek, jo minētā pamatlēmuma darbības joma ir ierobežota, un ir ierobežotas tajā paredzētās tiesības. Ciktāl šajā procesā ir iesaistītas tiesībaizsardzības iestādes, datu aizsardzības pamatlēmumā ietvertajiem noteikumiem būtu jāattiecas vismaz uz visu ierosinātajā tiesību aktā paredzēto datu apstrādi, lai nodrošinātu kosekventu datu aizsardzības principu piemērojumu.

IV.   DATU SAŅĒMĒJU KVALITĀTE

68.

EDAU norāda, ka ierosinātajā tiesību aktā nav teikts nekas konkrēts par aviosabiedrību vākto personas datu saņēmēju kvalitāti — ne par starpnieku, ne pasažieru informācijas vienību, ne par kompetentu iestāžu kvalitāti. Ir jāuzsver, ka datu saņēmēju kvalitāte ir tieši saistīta ar to, kāda tipa datu aizsardzības garantijas attiecas uz minēto datu saņēmēju. Garantiju atšķirība, konkrēti, tas, kā atšķiras pirmā un trešā pīlāra noteikumos paredzētās garantijas, jau ir pieminēta. Ir būtiski, lai piemērojamais datu aizsardzības režīms būtu skaidrs visiem iesaistītiem darbību veicējiem, arī valstu valdībām, tiesībaizsardzības aģentūrām, datu aizsardzības iestādēm, kā arī iesaistītajiem datu apstrādātājiem un datu subjektiem.

Starpnieki

69.

Ierosinātajā tiesību aktā nekas nav teikts par starpnieku kvalitāti (32). Starpnieku kā datu kontrolieru vai apstrādātāju vieta arī nav konkrēti raksturota. No pieredzes var teikt, ka, šķiet, privātā sektora vienībām, vai tās būtu datorizētas biļešu rezervācijas sistēmas vai citas, varētu droši uzticēt uzdevumu vākt PDR datus tieši no aviosabiedrībām un tos pārsūtīt pasažieru informācijas vienībām. Tā tiešām apstrādā datus saskaņā ar PDR nolīgumu, kas noslēgts ar Kanādu. SITA  (33) ir uzņēmējsabiedrība, kas atbild par informācijas apstrādi. Starpnieku vieta ir būtiski svarīga, jo viņi var būt atbildīgi par to datu filtrēšanu/atkārtotu formatēšanu, ko kompleksi pārsūta aviosabiedrības (34). Pat, ja starpniekiem ir pienākums likvidēt apstrādāto informāciju, kad tā ir pārsūtīta pasažieru informācijas vienībām, pati datu apstrāde ir ļoti delikāta: starpnieku iejaukšanās nozīmē radīt jaunu, papildu datu bāzi, kurā būtu milzīgs daudzums datu, tostarp — saskaņā ar ierosināto tiesību aktu — diskrētu datu (starpniekiem tad ir pienākums iznīcināt diskrētos datus). Tāpēc EDAU iesaka, ka nekādus starpniekus nevajadzētu iesaistīt pasažieru datu apstrādē, ja vien to kvalitāte un uzdevumi ir noteikti ļoti konkrēti.

Pasažieru informācijas vienības

70.

Pasažieru informācijas vienībām ir būtiski svarīgs uzdevums identificēt personas, kas ir iesaistītas terorismā vai organizētā noziedzībā — vai var būt tādā iesaistītas vai ar to saistītas. Saskaņā ar ierosināto tiesību aktu tās būs atbildīgas par apdraudējumu kritēriju izstrādi un to, lai būtu nodrošināti izlūkdati par ceļošanas paradumiem (35). Ja apdraudējumu ekspertīzes pamatā būs standartizēti ceļošanas paradumi, nevis būtiski pierādījumi, kas ir saistīti ar kādu konkrētu gadījumu, var uzskatīt, ka analīze ir aktīva datu meklēšana. EDAU uzsver, ka tāda datu apstrāde dalībvalstu tiesību aktos ir stingri reglamentēta (ja nav aizliegta), un tā ir uzticēta konkrētām valsts iestādēm, kuru darbības tāpat ir stingri reglamentētas.

71.

Pasažieru informācijas vienībām tālab uztic ļoti diskrētu informācijas apstrādi, bet ierosinātajā tiesību aktā nav ne mazākās norādes, kādai jābūt to kvalitātei un priekšnosacījumiem, lai tās varētu īstenot tādu kompetenci. Kaut arī visticamāk šo uzdevumu veiks kāda valdības struktūra, droši vien muita vai robežsardze, ierosinātajā tiesību aktā skaidri nav liegts dalībvalstīm to uzticēt izlūkdienestiem vai pat kuram katram citam datu apstrādātājam. EDAU uzsver, ka pārskatāmība un garantijas, kas attiecas uz izlūkdienestiem, ne vienmēr ir identas tām, ko piemēro parastām tiesībaizsardzības iestādēm. Sīkas ziņas par pasažieru informācijas vienību kvalitāti ir būtiski svarīgas, jo tām būs tiešas sekas uz piemērojamo tiesību sistēmu un pārraudzības nosacījumiem. EDAU uzskata, ka ierosinātajā tiesību aktā jāietver papildu noteikums, kurā būtu sīkāk izstrādātas pasažieru informācijas vienību svarīgākās iezīmes.

Kompetentas iestādes

72.

Ierosinātā tiesību akta 4. pants rada iespaidu, ka jebkura iestāde, kas ir atbildīga par terora aktu un organizētas noziedzības novēršanu vai apkarošanu, var saņemt datus. Kaut arī mērķis ir definēts skaidri, par iestāžu kvalitāti nav teikts nekas. Ierosinātajā tiesību aktā nav paredzēts nekas, lai datu saņēmēju lokā būtu tikai tiesībaizsardzības iestādes.

Kā iepriekš minēts saistībā ar pasažieru informācijas vienībām, ir būtiski svarīgi, lai svarīgu, diskrētu informāciju apstrādātu vidē, kurā ir skaidra juridiskā sistēma. Tas vēl jo vairāk attiecas, piem., uz tiesībaizsardzības iestādēm, nevis izlūkdienestu struktūrām. Tā kā ierosinātajā tiesību aktā ir paredzēti datu meklēšanas elementi un pašierosināta datu analīze, ir jāpieļauj, ka arī izlūkdienesti būs iesaistīti datu apstrādē, un ir jāpieļauj, ka ar to varēs nodarboties jebkura tipa iestādes.

Secinājumi

73.

EDAU piebilst, ka kopumā ES PDR sistēmas īstenošana ir apgrūtināta, ņemot vērā to, ka tiesībaizsardzības iestādēm ir dažādas kompetences — atkarībā no attiecīgās dalībvalsts tiesību aktiem, neatkarīgi no tā, vai tās būtu izlūkdienesti, nodokļu iestādes, imigrācijas iestādes vai policija. Tas tomēr ir vēl viens iemesls ieteikt, lai ierosinātais tiesību akts būtu daudz precīzāks no iepriekš minēto darbību veicēju kvalitātes viedokļa — un no tāda viedokļa, kādas būs viņu veikto uzdevumu kontroles garantijas. Ierosinātajā tiesību aktā būtu jāintegrē papildu noteikumi, lai stingri un konkrēti precizētu starpnieku, pasažieru informācijas vienību un citu kompetentu iestāžu kompetences un juridiskos pienākumus.

V.   NOSACĪJUMI PAR DATU PĀRSŪTĪŠANU TREŠĀM VALSTĪM

74.

Ierosinātajā tiesību aktā ir paredzēti daži drošības pasākumi PDR datu pārsūtīšanai uz trešām valstīm (36). Citastarp tajā ir skaidri paredzēts piemērot datu aizsardzības pamatlēmumu datu pārsūtīšanai, tajā ir īpašs noteikums par informācijas izmantošanu tikai tam mērķim, kam tā ir domāta, un postulēts, ka ir vajadzīga attiecīgās dalībvalsts piekrišana, lai tos pārsūtītu tālāk. Datu pārsūtīšanai arī būtu jāatbilst attiecīgās dalībvalsts tiesību aktiem, kā arī visiem spēkā esošiem starptautiskiem nolīgumiem.

75.

Daudzi jautājumi tomēr paliek joprojām neatbildēti, jo īpaši attiecībā uz piekrišanas kvalitāti, datu aizsardzības pamatlēmuma piemērošanas nosacījumiem un jautājumu par savstarpējību, pārsūtot datus trešām valstīm.

Piekrišanas kvalitāte

76.

Datu izcelsmes dalībvalstij ir jādod skaidra piekrišana, lai datus no kādas trešās valsts pārsūtītu tālāk uz kādu citu trešo valsti. Ierosinātajā tiesību aktā nav konkrēti noteikts, kādos apstākļos un kam dos minēto piekrišanu, kā arī — vai attiecīgu valstu datu aizsardzības iestādēm (Data Protection AuthorityDPA) būtu jābūt iesaistītām lēmuma pieņemšanā. EDAU uzskata, ka tam, kā dos piekrišanu, būtu vismaz jāatbilst attiecīgu valstu tiesību aktiem, kuros ir fiksēti nosacījumi, kā pārsūtīt personas datus trešām valstīm.

77.

Turklāt tam, vai dalībvalsts dod piekrišanu, nevajadzētu gūt virsroku pār principu, ar ko saskaņā iecerētajai datu apstrādei ir jāparedz pietiekama līmeņa aizsardzība datu saņēmējā valstī. Priekšnosacījumiem būtu jābūt kumulatīviem, tādiem, kādi tie ir datu aizsardzības pamatlēmumā (14. pants). EDAU tālab ierosina pievienot 8. panta 1. punktam c) apakšpunktu, kurā būtu teikts “un c) trešā valsts vai starptautiskā organizācija paredzētajai datu apstrādei nodrošina piemērota līmeņa aizsardzību.” EDAU šajā sakarā atgādina, ka ir jāievieš mehānismi, lai no pareizības viedokļa nodrošinātu vienotus standartus un saskaņotus lēmumus (37).

Datu aizsardzības pamatlēmuma piemērošana

78.

Ierosinātajā tiesību aktā ir dota atsauce uz datu aizsardzības pamatlēmumā ietvertiem nosacījumiem un drošības pasākumiem, reizē arī konkrēti nosakot dažus priekšnosacījumus, konkrēti — iepriekš minēto attiecīgās dalībvalsts piekrišanu un noteikums par informācijas izmantošanu tikai terora aktu un organizētas noziedzības novēršanai un apkarošanai.

79.

Pašā datu aizsardzības pamatlēmumā ir paredzēti priekšnosacījumi personas datu pārsūtīšanai trešām valstīm, jo īpaši saistībā ar noteikumu par datu izmantošanu tikai tam mērķim, kam tie ir domāti, saņēmēju kvalitāti, dalībvalsts piekrišanu un pietiekamības principu. Tomēr tajā ir paredzētas arī atkāpes no minētajiem datu pārsūtīšanas nosacījumiem: likumīgas prioritāras intereses, jo īpaši — svarīgas sabiedriskas intereses var būt par pietiekamu iemeslu pārsūtīt datus, kaut arī nebūtu ievēroti iepriekš minētie priekšnoteikumi.

80.

Kā jau minēts šā atzinuma III nodaļā, EDAU uzskata, ka ierosinātajā tiesību aktā jābūt skaidri noteiktam, ka ierosinātajā tiesību aktā paredzētās precīzākās garantijas ir prioritāras salīdzinājumā ar vispārējiem datu aizsardzības pamatlēmuma nosacījumiem — un tā izņēmumiem, ja tādi ir.

Savstarpējība

81.

Ierosinātajā tiesību aktā ir aplūkots jautājums par iespējamiem “atriebības lūgumiem” — ar tiem varētu nākt klajā valstis, kas varētu no ES lūgt PDR datus par reisiem no ES uz to teritoriju. Ja ES lūdz datus no tādu trešo valstu aviosabiedrību datu bāzēm tāpēc, ka tās ir ekspluatantes reisiem uz ES vai no ES, tādas trešās valstis varētu lūgt to pašu no Eiropas Savienībā bāzētām aviosabiedrībām — arī no ES valstspiederīgiem saņemtus datus. Kaut arī Komisija tādu iespējamību uzskata par “ļoti mazticamu”, tā to pieļauj. Ierosinātajā tiesību aktā ir šajā sakarā minēts tas, ka nolīgumā ar ASV un Kanādu ir paredzēta tāda savstarpējība, un to “var īstenot automātiski” (38). EDAU apšauba, vai tādai automātiskai savstarpējībai ir kāda nozīme, kā arī to, vai uz minēto datu pārsūtīšanu būtu jāattiecina drošības pasākumi, jo īpaši — ņemot vērā to, vai attiecīgajā valstī pastāv pietiekama līmeņa aizsardzība.

82.

Būtu jānošķir trešās valstis, kas jau ir noslēgušas nolīgumu ar ES, no tām valstīm, kam nav tāda nolīguma.

Valstis, kam ir nolīgums ar ES

83.

EDAU norāda, ka savstarpējības dēļ personu datus varētu pārsūtīt uz valstīm, kur nevar nodrošināt nekādas garantijas demokrātijas standartu un pietiekamas datu aizsardzības ziņā.

84.

Efektivitātes ekspertīzē ir ietverti arī citi elementi, kas attiecas uz priekšnosacījumiem, kā pārsūtīt datus uz trešām valstīm: ir uzsvērtas priekšrocības, ko dod ES PDR sistēma, ja datus filtrē pasažieru informācijas vienībās. Vienīgi īpaši atlasītus datus par aizdomās turamiem indivīdiem (nevis datu kompleksus) pārsūtītu kompetentām dalībvalstu un droši vien arī trešo valstu iestādēm (39). EDAU iesaka šo ierosinātā tiesību akta punktu formulēt skaidrāk. Vienkāršs apgalvojums efektivitātes ekspertīzē nenodrošina vajadzīgo aizsardzību.

85.

Kaut arī datu atlasei būtu jāpalīdz panākt, lai trieciens pasažieru privātumam būtu pēc iespējas mazāks, būtu jāatceras, ka datu aizsardzības principi sniedzas daudz tālāk par datu apjoma samazināšanu, un pie tiem pieder tādi principi kā vajadzības princips, pārskatāmības princips un datu subjektu tiesību īstenošanas princips, un visi principi ir jāņem vērā, nosakot, vai kāda trešā valsts nodrošina pietiekama līmeņa aizsardzību.

Valstis, kam ir divpusēji līgumi ar ES

86.

Efektivitātes ekspertīze liecina, ka datu apstrāde dos ES iespēju “prasīt, lai būtu ievēroti vairāki standarti un tādos divpusējos nolīgumos ar trešām valstīm nodrošināta konsekvence. Tā arī dos iespēju lūgt attiecīgi tādu pašu attieksmi no trešām valstīm, ar ko ES ir noslēgusi līgumu — kaut ko tādu, kas tagad nav iespējams” (40).

87.

Tādi novērojumi rada jautājumu par ierosinātā tiesību akta ietekmi uz spēkā esošiem nolīgumiem ar Kanādu un ASV. Minētajos nolīgumos paredzētie nosacījumi, kā piekļūt datiem šajos nolīgumos, patiesi ir daudz plašāki, jo uz tiem neattiecas līdzīga atlase, pirms tos pārsūta uz minētajām trešām valstīm.

88.

Efektivitātes ekspertīze rāda, ka “gadījumos, kad ES ir noslēgusi starptautisku līgumu ar kādu trešo valsti par dalīšanos PDR datos/to pārsūtīšanu uz kādu trešo valsti, tādus nolīgumus pienācīgi ievēro. Aviopārvadātājiem būtu jāsūta PDR dati Pasažieru informācijas nodaļām saskaņā ar ierasto praksi, ko paredz pašlaik spēkā esošais pasākums. Pasažieru informācijas vienības, kas saņem tādus datus, pārsūta tos kompetentai iestādei trešā valstī, ar ko ir noslēgts tāds nolīgums” (41).

89.

Kaut arī no vienas puses šķiet, ka ar ierosināto tiesību aktu ir iecerēts pārsūtīt tikai atlasītus datus kādām kompetentām iestādēm Eiropas Savienībā vai ārpus tās, savukārt, no otras puses, efektivitātes ekspertīzē, ierosinātā tiesību akta preambulā (21. apsvērums) un pašā 11. pantā ir atgādināts, ka pienācīgi jāņem vērā spēkā esošie nolīgumi. Tas var likt secināt, ka filtrēšana varētu būt izmantojams pasākums vienīgi tādiem nolīgumiem, ko noslēgs nākotnē. No šīs perspektīves var paredzēt, ka piekļuve visiem PDR datiem kopumā joprojām būs parastā piekļuve datiem, ko saskaņā ar ES un ASV nolīgumu izmantos, piem., ASV iestādes, bet ka līdztekus un īpašos konkrētos gadījumos uz ASV varētu pārsūtīt datus, kas pieder pie īpašiem, pasažieru informācijas vienību identificētiem datiem, pie kā piederētu arī dati par reisiem uz ASV — bet kas neaprobežotos ar tādiem datiem.

90.

EDAU pauž nožēlu par skaidrības trūkumu šajā būtiski svarīgajā ierosinātā tiesību akta punktā. EDAU uzskata par ļoti svarīgu to, lai nosacījumi par PDR datu pārsūtīšanu trešām valstīm būtu viendabīgi un uz tiem attiektos saskaņota līmeņa aizsardzība. Turklāt, juridiskas noteiktības dēļ pašā ierosinātajā tiesību aktā būtu precīzi jāformulē garantijas, kas attiecas uz datu pārsūtīšanu, un ne tikai tā efektivitātes ekspertīzē — kā pašlaik.

VI.   CITI SVARĪGI ASPEKTI

Automatizēta apstrāde

91.

EDAU atgādina, ka ierosinātajā tiesību aktā ir skaidri norādīts, ka pasažieru informācijas vienības un kompetentas dalībvalstu iestādes neveic nekādas tiesībaizsardzības darbības, par pamatu ņemot tikai automātiski apstrādātus PDR datus vai personas rasi vai etnisko izcelsmi, reliģisko vai filozofisko pārliecību, politiskos uzskatus vai seksuālo orientāciju (42).

92.

Tāda precizitāte ir apsveicama, jo mazina iespējamību, ka pret cilvēkiem vērsīsies ar patvaļīgiem pasākumiem. EDAU tomēr norāda, ka ierosinātā tiesību akta darbības joma nesniedzas tālāk par pasažieru informācijas vienību vai kompetentu iestāžu veiktām tiesībaizsardzības darbībām. Pašreizējā formulējumā tajā ir pieļauts automatizēti filtrēt personas saskaņā ar standartprofiliem, tāpat arī tajā nav aizliegts automatizēti sastādīt aizdomās turamu personu sarakstus un veikt tādus pasākumus kā izvērsta novērošana, ja tādus pasākumus neuzskata par tiesībaizsardzības darbībām.

93.

EDAU uzskata, ka tiesībaizsardzības darbību jēdziens ir pārāk nekonkrēts un nekādus lēmumus nevajadzētu pieņemt par cilvēkiem vienīgi tāpēc, ka viņu dati ir automātiski apstrādāti (43). EDAU iesaka attiecīgi grozīt ierosināto tiesību aktu.

Datu kvalitāte

94.

Ierosinātā tiesību akta 5.2. pantā ir svarīgs precizējums, jo tajā ir skaidri teikts, ka aviosabiedrībām ir uzlikts pienākums vākt vai glabāt datus — papildus tiem, kas ir vākti komerciālām vajadzībām.

95.

Vairāki šo datu apstrādes aspekti tomēr ir pelnījuši papildu komentārus:

To datu apjoms, kuri ir jādara pieejami, kā uzskaitīts ierosinātā tiesību akta 1. pielikumā, ir ļoti liels, un to uzskaitījums atgādina to datu uzskaitījumu, kurus dara pieejamus ASV iestādēm saskaņā ar ES un ASV nolīgumu. Dažu to datu kvalitāti, kurus ir lūgts darīt pieejamus, jau ir vairākkārt apšaubījušas datu aizsardzības iestādes, un jo īpaši — 29. panta darba grupa (44).

Efektivitātes ekspertīzes (45) un ierosinātā tiesību akta 6.3. panta formulējums šķiet liecinām, ka aviosabiedrības varētu arī kompleksi pārsūtīt datus starpniekiem. Pirmajā stadijā kādai trešai pusei pārsūtītie dati dati pat nebūs ierobežoti, lai tie atbilstu ierosinātā tiesību akta 1. pielikumā uzskaitītajiem PDR datiem.

Runājot par diskrētu datu apstrādi — pat tad, ja starpnieku stadijā varētu nofiltrēt diskrētus datus, joprojām atklāts ir jautājums, vai aviosabiedrībām tiešām ir jāpārsūta dati par neaizpildītām ailēm.

EDAU atbalsta argumentus, kas šajā sakarā ir ietverti atzinumā Nr. WP29.

PDR datu pārsūtīšanas paņēmiens

96.

Aviopārvadātājiem, kas ir reģistrēti ārpus ES, ir prasīts pašiem, bez uzaicinājuma sūtīt datus pasažieru informācijas vienībām vai starpniekiem, ja vien viņiem ir tehniska arhitektūra, lai to darītu. Ja tā nenotiek, viņiem vajadzēs ļaut datus iegūt, izmantojot paņēmienu, kas paredz prasīt datus.

97.

Tas, ka dažādām aviosabiedrībām būs atļauts izmantot dažādus paņēmienus, lai datus darītu zināmus, tikai apgrūtinās kontroli, kā PDR datu pārsūtīšana saskan ar datu aizsardzības likumiem. Tas var arī kropļot ES aviosabiedrību konkurenci ar citu valstu aviosabiedrībām.

98.

EDAU atgādina, ka paņēmiens, kas paredz automātiski sūtīt datus, ļauj aviosabiedrībām paturēt kontroli par pārsūtīto datu kvalitāti un pārsūtīšanas apstākļiem, ir vienīgais pieļaujamais paņēmiens no datu apstrādes samērības viedokļa. Turklāt datu sūtīšanas automātiskumam būtu jābūt efektīvam, tas ir, datus nevajadzētu kompleksi sūtīt kādam starpniekam, bet tie būtu jāfiltrē jau pašā pirmajā datu apstrādes pakāpē. Nav pieļaujams, ka nevajadzīgus datus — un datus, kas nav uzskaitīti ierosinātā tiesību akta 1. pielikumā — sūtītu kādai trešai pusei, kaut arī ir paredzams, ka attiecīgā trešā puse tūlīt izdzēsīs minētos datus.

Datu glabāšana

99.

Ierosinātā tiesību akta 9. pantā PDR datiem ir paredzēts 5 gadus ilgs glabāšanas termiņš un vēl 8 gadus ilgs glabāšanas termiņš, kad datus paredz glabāt “neaktīvā datu bāzē”, kas būs pieejama tikai īpašos apstākļos.

100.

EDAU apšauba to, ka abu tipu datu bāzes nopietni atšķirtos savā starpā: ir apšaubāms, vai minētā neaktīvā datu bāze būtu īsts arhīvs, kurā izmantotu dažādus datu glabāšanas un izguves paņēmienus. Patiesi, lielākā daļa nosacījumu, kas izvirzīti, lai piekļūtu neaktīvajai datu bāzei, ir aizsargpasākumi, ko varētu attiecināt arī uz “to datu bāzi, kurā dati glabājas 5 gadus”.

101.

Kopējais glabāšanas termiņš — 13 gadi — noteikti ir pārāk ilgs. Efektivitātes ekspertīzē glabāšanas termiņa ilgums ir pamatots ar vajadzību izstrādāt apdraudējumu kritērijus un noteikt ceļošanas paradumus un uzvedības modeļus (46), kuru efektivitāte vēl ir jāpierāda. Kaut arī ir skaidrs, ka konkrētos gadījumos datus var glabāt, cik vien ilgi vajadzīgs, kamēr notiek izmeklēšana, nekādi nav attaisnojama visu pasažieru datu glabāšana 13 gadus, ja uz viņiem nekrīt nekādas aizdomas.

102.

EDAU turklāt norāda, ka tāds glabāšanas termiņš nav atbalstīts dalībvalstu atbildēs uz Komisijas anketi, ar ko saskaņā vidējais obligātas glabāšanas laiks būtu 3,5 gadi (47).

103.

Turklāt 13 gadus ilgs termiņš ir salīdzināms ar 15 gadus ilgu glabāšanas termiņu, kas paredzēts nolīgumā ar ASV. EDAU labi saprot, ka nolīgums par tik ilgu glabāšanas posmu ir panākts tikai ASV valdības spiediena dēļ — jo tā prasīja, lai datu glabāšanas termiņš būtu daudz ilgāks par 3,5 gadiem — nevis tāpēc, ka Padome vai Komisija būtu to aizstāvējusi jelkādā stadijā. Nav iemesla pašas ES juridiskā instrumentā transponēt kompromisu, ko attaisno vienīgi vajadzīgā iznākuma panākšana sarunās.

Dalībvalstu komitejas uzdevums

104.

Dalībvalstu komiteja, ko izveidos saskaņā ar ierosinātā tiesību akta 14. pantu, būs kompetenta drošības jautājumos, arī PDR datu protokolā un šifrēšanā, kā arī dos norādes par kopīgiem vispārējiem kritērijiem, metodēm un praksi saistībā ar apdraudējumu ekspertīzēm.

105.

Šie ir vienīgie norādījumi par to, ka ierosinātajā tiesību aktā nebūs iekļauti nekādi elementi vai kritēriji par konkrētiem apdraudējumu ekspertīzes procesa priekšnosacījumiem un sistēmu. Efektivitātes ekspertīzē ir minēts, ka kritēriji būs galvenokārt atkarīgi no katras dalībvalsts rīcībā esošiem izlūkdatiem, kas visu laiku attīstās. Ir paredzēts apdraudējumu ekspertīzi veikt, kaut arī nav vienotu standartu, kā identificēt aizdomās turamos. Tādējādi šķiet apšaubāms, cik labi dalībvalstu komiteja varēs pildīt uzticēto uzdevumu no šā viedokļa.

Drošība

106.

Ierosinātajā tiesību aktā ir sīki izstrādāti vairāki drošības pasākumi (48), kas jāveic pasažieru informācijas vienībām, starpniekiem un citām kompetentām iestādēm, lai aizsargātu datus. Ņemot vērā to, cik svarīga ir datu bāze un cik diskrēta ir datu apstrāde, EDAU uzskata, ka visā datu apstrādē papildus paredzētajiem pasākumiem vajadzētu varēt arī uzlikt pienākumu oficiāli darīt zināmus jebkādus drošības pārkāpumus.

107.

EDAU zina par ieceri Eiropas līmenī izstrādāt tādu paziņošanas procedūru elektroniskas saziņas jomā. EDAU iesaka ietvert tādu aizsargelementu ierosinātajā tiesību aktā un šajā sakarā atgādina drošības pārkāpumu novēršanas sistēmu, kas Savienotajās Valstīs ieviesta štatu aģentūrām (49). Patiesi, drošības pārkāpumi var notikt ikvienā darbības jomā, tiklab privātā, kā arī valsts sektorā, ko pierāda tas, ka Lielbritānijas valdība nesen ir pazaudējusi veselu datu bāzi ar pilsoņu datiem (50). Lielas datu bāzes, piemēram, tādas, kāda ir paredzēta ierosinātajā tiesību aktā, prioritārā sarakstā būtu pirmās, kas varētu izmantot tādu brīdinājumu sistēmu.

Pārskatīšana un pašizbeigšanās klauzula

108.

EDAU norāda, ka pārskatīšana ir paredzēta trīs gadus pēc tam, kad pamatlēmums būs stājies spēkā, par pamatu ņemot Komisijas sagatavotu ziņojumu. EDAU atzīst, ka tādā ziņojumā, kam pamatā būtu dalībvalstu sniegta informācija, īpaša uzmanība būs pievērsta datu aizsardzības elementiem, un pie tiem piederēs paņēmiens, kas paredz datus darīt pieejamus automātiski (“push method”), datu glabāšana un apdraudējumu ekspertīzes kvalitāte. Lai pārskatīšana būtu pilnvērtīga, tajā jāietver PDR informācijas apstrādē gūto statistikas datu rezultāti. Statistikā — papildinot ierosinātā tiesību akta 18. pantā minētos elementus — būtu jāietver sīki statistikas dati par tādu personu identifikāciju, kuras var radīt nopietnu apdraudējumu, piemēram, identifikācijas kritēriji un konkrētu, identifikācijas dēļ veiktu tiesībaizsardzības darbību rezultāti.

109.

EDAU šajā atzinumā jau ir norādījis, ka trūkst konkrētu elementu, lai pārliecinātos, vai ierosinātā sistēma ir vajadzīga. Viņš tomēr uzskata, ja pamatlēmums stātos spēkā, tas obligāti jāpapildina ar pašizbeigšanās klauzulu. Triju gadu ilgā termiņa beigās pamatlēmums būtu jāatceļ, ja neviens elements neatbalstītu tā palikšanu spēkā.

Ietekme uz citiem juridiskiem instrumentiem

110.

Ierosinātā tiesību akta nobeiguma noteikumos ir izvirzīts priekšnoteikums turpmāk piemērot jau pastāvošos divpusējos vai daudzpusējos nolīgumus vai mehānismus. Minētos instrumentus var piemērot, tikai ciktāl tie sader ar ierosinātā pamatlēmuma mērķiem.

111.

EDAU nav skaidra šā noteikuma darbības joma. Kā sakarā ar savstarpējību jau minēts V nodaļā, nav skaidrs, kā šis noteikums iespaidos saturu nolīgumos ar trešām valstīm, piemēram, nolīgumā ar ASV. No citas perspektīves — nav skaidrs, vai šis noteikums varētu ietekmēt nosacījumus, kā piemērot instrumentus, kuru darbības joma ir plašāka, piemēram, Eiropas Padomes Konvenciju Nr. 108. Kaut arī var šķist, ka tas nav iespējams — ņemot vērā atšķirīgo organizatorisko kontekstu un darbību veicējus — būtu jāvairās no jebkādas nepareizas interpretācijas, un ierosinātajā tiesību aktā būtu skaidri jāparedz, ka tas nekādi neietekmē instrumentus ar plašāku darbības jomu, jo īpaši tādus, kā mērķis ir aizsargāt pamattiesības.

VII.   SECINĀJUMI

112.

EDAU uzsver, ka šis ierosinātais tiesību akts nopietni ietekmēs datu aizsardzību. Analīzē viņš ir īpaši pievērsies četriem svarīgākajiem jautājumiem, ko izvirza ierosinātais tiesību akts, un uzstāj, ka izvirzītās problēmas ir jārisina kompleksi. Pašreizējos apstākļos ierosinātais tiesību akts nesaskan ar pamattiesībām, konkrēti — ar Eiropas Savienības Pamattiesību hartas 8. pantu, un to nevajadzētu pieņemt.

113.

Ja iepriekš minētās piebildes ievēros, jo īpaši par likumīguma pārbaudi, der atcerēties, ka šajā atzinumā ir ietverti daži priekšlikumi šā tiesību akta izstrādei, kuri likumdevējiem būtu jāņem vērā. Ar to ir konkrēti domātas atsauces uz atzinuma 67., 73., 77., 80., 90., 93., 106., 109. un 111. punktu.

Ierosināto pasākumu likumība

114.

Kaut arī vispārējais mērķis apkarot terorismu un organizētu noziedzību pats par sevi ir skaidrs un likumīgs, datu apstrāde, ko paredzēts ieviest, pašā būtībā nav pietiekami aprakstīta un pamatota.

115.

EDAU uzskata, ka paņēmieni, kā izvērtēt indivīdu radīto apdraudējumu, izmantojot datu ieguves instrumentus un uzvedības modeļus, ir jāizvērtē rūpīgāk, un to lietderīgums ir skaidri jāpierāda no terorisma apkarošanas viedokļa, pirms tos sāk lietot tik plašā mērogā.

116.

Dažādu datu bāzu izmantojums, negūstot vispārēju priekšstatu par konkrētiem rezultātiem un trūkumiem:

ir pretrunā racionālai likumdošanas politikai, ar ko paredz, ka nedrīkst pieņemt jaunus instrumentus, pirms spēkā esošie instrumenti ir pilnībā īstenoti, un ir pierādījies, ka ar tiem nepietiek.

Citādā ziņā tas var palīdzēt virzīties pretī totālas novērošanas sabiedrībai.

117.

Terorisma apkarošana noteikti var būt likumīgs pamatojums, lai pieļautu izņēmumus pamattiesībām uz privātumu un datu aizsardzību. Tomēr, lai iejaukšanās būtu likumīga, iejaukšanās vajadzība ir jāpamato ar skaidriem un neapstrīdamiem elementiem, un jāpierāda, ka apstrāde būs samērīga. Tas ir vēl jo svarīgāks gadījumos, ja notiek plaša iejaukšanās cilvēku privātā dzīvē, kā paredzēts ierosinātajā tiesību aktā.

118.

Ierosinātajā tiesību aktā minēto pamatojuma elementu trūkst, un tas nav pārbaudīts no vajadzīguma un samērības viedokļa.

119.

EDAU uzsver, ka iepriekš izstrādātā pārbaude no vajadzīguma un samērības viedokļa ir būtiski svarīga. Tās ir condicio sine qua non, lai ierosinātais tiesību akts stātos spēkā.

Piemērojamā juridiskā sistēma

120.

EDAU norāda uz nopietnu juridiskas noteiktības trūkumu no tā viedokļa, kādu datu aizsardzības režīmu piemērot dažādiem projektā iesaistītiem darbību veicējiem, un jo īpaši — aviosabiedrībām un citiem pirmā pīlāra darbību veicējiem — neatkarīgi no tā, vai runa būtu par ierosināto tiesību aktu, par datu aizsardzības pamatlēmumu vai attiecīgas valsts tiesību aktiem, ar ko īsteno Direktīvu 95/46/EK. Likumdevējiem būtu skaidri jānosaka, kādās datu apstrādes stadijās piemēros šos dažādos noteikumus.

121.

Pašreizējā tendence — privātiem darbību veicējiem uzspiest sistemātisku sadarbību tiesībaizsardzības jomā liek jautāt — kāda datu aizsardzības sistēma (pirmā vai trešā pīlāra sistēma) attiecas uz minētās sadarbības priekšnosacījumiem — nav skaidrs, vai noteikumiem būtu jānosaka datu apstrādātāja kvalitāte (privātais sektors) vai sasniedzamais mēŗkis (tiesībaizsardzība).

122.

EDAU jau ir uzsvēris, ka nopietnas problēmas var rasties tāpēc, ka pirmā un trešā pīlāra juridiskās sistēmas nav savā starpā salāgotas (51). Patiesi, nebūt nav skaidrs, vai uz tādu privātu uzņēmumu darbībām, kuri ir jelkā saistīti ar krimināltiesību īstenošanu, attiecas saskaņā ar LES 30., 31. un 34. pantu veiktas Eiropas Savienības likumdevēju darbības.

123.

Būtu jāvairās no tā, lai uz datu apstrādi, ko dažādiem mērķiem veic pakalpojumu sniedzēji, attiecinātu dažādas datu aizsardzības sistēmas, jo īpaši tāpēc, ka tas radītu lielas grūtības no datu subjektu tiesību īstenošanas viedokļa.

Datu saņēmēju kvalitāte

124.

Ierosinātajā tiesību aktā būtu jāparedz konkrēti aviosabiedrību vākto personas datu saņēmēju kvalitātes parametri, neatkarīgi no tā, vai datu saņēmēji būtu starpnieki, pasažieru informācijas vienības vai kompetentas iestādes.

125.

Datu saņēmēju kvalitāte — dažos gadījumos viņi varētu būt privātā sektora darbību veicēji — ir tieši saistīti ar to, kāda tipa datu aizsardzības garantijas ir jāpiemēro attiecīgam datu saņēmējam. Ir būtiski svarīgi, lai piemērojamais datu aizsardzības režīms būtu skaidrs visiem iesaistītiem darbību veicējiem, arī likumdevējiem, datu aizsardzības iestādēm, un tāpat arī iesaistītajiem datu apstrādātājiem un datu subjektiem.

Datu pārsūtīšana trešām valstīm

126.

EDAU uzsver vajadzību pārliecināties, ka datu saņēmējā valstī tiem nodrošina pietiekama līmeņa aizsardzību. Viņš arī apšauba ierosinātajā tiesību aktā minētā “savstarpējības principa” nozīmi un to, kā tas būtu piemērojams valstīm, ar ko ES jau noslēgusi nolīgumu, piemēram, Kanādu vai ASV. EDAU uzskata, ka būtu ārkārtīgi svarīgi, lai nosacījumi PDR datu pārsūtīšanai trešām valstīm būtu viendabīgi un uz tiem attiektos saskaņota līmeņa aizsardzība.

Citi būtiski jautājumi

127.

EDAU arī pievērš likumdevēju uzmanību konkrētiem ierosinātā tiesību akta aspektiem, kas būtu jāprecizē vai kuros pilnīgāk jāievēro datu aizsardzības princips. Īpaši svarīgi tas ir saistībā ar šādiem aspektiem:

apstākļi, kādos automatizēta lēmumu pieņemšana būtu jāierobežo;

apstrādājamo datu daudzums būtu jāsamazina;

datu pārsūtīšanai būtu jāizmanto tikai paņēmiens, kas paredz datus darīt pieejamus automātiski (“push method”);

datu glabāšanas termiņš ir uzskatāms par nevajadzīgi ilgu un nepamatotu;

dalībvalstu komitejas uzdevums varētu būt precīzāks no tāda viedokļa — kādas norādes tā dos par “apdraudējumu ekspertīzēm”;

drošības pasākumos būtu jāietver “drošības pārkāpumu paziņošanas” procedūra;

pārskatītā lēmumā būtu jāiekļauj pašizbeigšanās klauzula;

ierosinātajā tiesību aktā būtu skaidri jānosaka, ka tas neietekmē instrumentus ar plašāku darbības jomu, kuru mērķis ir pamattiesību aizsardzība.

Nobeiguma apsvērumi

128.

EDAU norāda, ka ierosinātais tiesību akts ir sastādīts laikā, kad Eiropas Savienības organizatoriskā struktūra tūlīt tūlīt būtiski mainīsies. Lisabonas Līguma sekas no lēmumu pieņemšanas viedokļa būs ļoti nopietnas, jo īpaši no Parlamentam atvēlētās vietas viedokļa.

129.

Ņemot vērā ierosinātā tiesību akta nepieredzēto ietekmi uz pamattiesībām, EDAU iesaka nepieņemt to saskaņā ar pašreizējo līgumu sistēmu, bet nodrošināt, ka to pieņem ar jaunajā līgumā paredzēto koplēmuma procedūru. Tas stiprinātu juridisko pamatu nopietnajiem pasākumiem, kuru pieņemšana ir paredzēta ierosinātajā tiesību aktā.


(1)  OV L 281, 23.11.1995., 31. lpp.

(2)  OV L 8, 12.1.2001., 1. lpp.

(3)  Pie tām piederēja dalībvalstis, datu aizsardzības iestādes un aviolīniju apvienības. Ankete bija sastādīta, Eiropas Komisijai gatavojot efektivitātes ekspertīzes par šo ierosināto tiesību aktu.

(4)  Nolīgums starp Eiropas Savienību un Amerikas Savienotajām Valstīm par gaisa pārvadātāju veikto pasažieru datu reģistra (PDR) datu apstrādi un pārsūtīšanu Amerikas Savienoto Valstu Iekšzemes drošības departamentam (IDD) (2007. gada PDR nolīgums) (OV L 204, 4.8.2007., 18. lpp.).

(5)  Nolīgums starp Eiropas Kopienu un Kanādas valdību par papildu informācijas par pasažieri un pasažieru datu reģistra datu apstrādi (OV L 82, 21.3.2006., 15. lpp.).

(6)  Padomes Direktīva 2004/82/EK (2004. gada 29. aprīlis) par pārvadātāju pienākumu paziņot datus par pasažieriem (OV L 261, 6.8.2004., 24. lpp.).

(7)  Jaunākais ierosinātā tiesību akta variants ir pieejams Padomes reģistrā ar dokumenta numuru 16397/07.

(8)  Kopīgs atzinums par ierosināto Padomes Pamatlēmumu par pasažieru datu reģistra (PDR) izmantošanu tiesībaizsardzības mērķiem, ar ko Komisija nākusi klajā 2007. gada 6. novembrī, kuru pieņēmusi 29. panta darba grupa 2007. gada 5. decembrī, un policijas un tieslietu sadarbības darba grupa 2007. gada 18. decembrī, Nr. WP 145, WPPJ 01/07.

(9)  Eiropadomes 1981. gada 28. janvāra Konvencija par indivīda aizsardzību attiecībā uz personas datu automātisko apstrādi.

(10)  Ierosinātā tiesību akta paskaidrojuma raksts, I nodaļa.

(11)  Ekspertīzes 2.1. nodaļa, “Problēmas apraksts”.

(12)  Definīcija ir ņemta no jauna Eiropas Padomes pētījuma par profilēšanu: L'application de la Convention 108 au mécanisme de profilage, Eléments de réflexion destinés au travail futur du Comité consultatif (T-PD), Jean-Marc Dinant, Christophe Lazaro, Yves Poullet, Nathalie Lefever, Antoinette Rouvroy, November 2007 (vēl nav publicēts). Skat. arī Lee Bygrave doto definīciju: “Visumā profilēšana ir process, ko izmanto, lai atvedinātu raksturīgu iezīmju kompleksu (tipiski biheiviorisku) saistībā ar kādu indivīdu vai kolektīvu vienību, un tad izturētos pret attiecīgo personu/vienību (vai citām personām/vienībām), ņemot vērā minētās raksturīgās iezīmes. Tādējādi profilēšanā ir divas galvenās sastāvdaļas: i) profila izstrāde — profila atvedināšana; ii) profila piemērošana — izturēšanās pret personām/vienībām saskaņā ar minēto profilu”. L. A. BYGRAVE, Minding the machine: Article 15 of the EC Data Protection Directive and Automated Profiling, Computer Law & Security Report, 2001, vol. 17, pp. 17-24

http://www.austlii.edu.au/au/journals/PLPR/2000/40.html

(13)  Rotaru pret Rumāniju, Nr. 28341/95, §§ 50., 52. un 55.

Skat. arī Amann pret Šveici, Nr. 27798/95, §§50 et s.

(14)  2.1. nodaļa, “Problēmas apraksts”.

(15)  Skat., piem., ASV valdības atbildības biroja (United States Government Accountability Office) 2007. gada maija ziņojumu jautājumu iesniedzējiem kongresā, “Aviācijas drošība — centieni stiprināt pasažieru iepriekšējas pārbaudes starptautiskā mērogā turpinās, bet ar plānošanu un īstenošanu saistītas problēmas paliek (Aviation Security: Efforts to Strengthen International Passenger Prescreening are Under Way, but Planning and Implementation Issues remain)”,

http://www.gao.gov/new.items/d07346.pdf

(16)  Saskaņā ar 108. konvencijas 9. pantu “atkāpšanās no šīs konvencijas 5., 6. un 8. panta ir pieļaujama, ja tā ir paredzēta puses tiesību aktos un ir demokrātiskā sabiedrībā vajadzīgs pasākums, lai:

1.

sargātu valsts drošību, sabiedrisko kārtību, valsts monetārās intereses vai apkarotu kriminālnoziegumus;

2.

sargātu datu subjektus vai citu cilvēku tiesības un brīvības”.

(17)  Padomes Lēmums Nr. 2004/512/EK (2004. gada 8. jūnijs), ar ko izveido Vīzu informācijas sistēmu (VIS) (OV L 213, 15.6.2004., 5. lpp.); Priekšlikums Eiropas Parlamenta un Padomes Regulai par Vīzu informācijas sistēmu (VIS) un datu apmaiņu starp dalībvalstīm saistībā ar īstermiņa vīzām (COM(2004) 0835 galīgā redakcija); Priekšlikums Padomes Lēmumam par dalībvalstu iestāžu, kas ir atbildīgas par iekšējo drošību, un Eiropola piekļuvi Vīzu informācijas sistēmai (VIS) konsultēšanās nolūkos, lai novērstu, atklātu un izmeklētu teroristiskus nodarījumus un citus smagus noziedzīgus nodarījumus (COM(2005) 0600 galīgā redakcija).

(18)  Skat. jo īpaši Padomes Lēmumu 2007/533/TI (2007. gada 12. jūnijs) par otrās paaudzes Šengenas Informācijas sistēmas (SIS II) izveidi, darbību un izmantošanu (OV L 205, 7.8.2007.).

(19)  Šajā jautājumā skat.: Eiropas datu aizsardzības uzraudzītāja atzinums par priekšlikumu Padomes lēmumam par to, kā par iekšējo drošību atbildīgām dalībvalstu iestādēm un Eiropolam informācijas nolūkos piekļūt Vīzu informācijas sistēmai (VIS), lai novērstu, atklātu un izmeklētu terora aktus un citus smagus noziedzīgus nodarījumus (COM(2005) 600 galīgais variants) (OV C 97, 25.4.2006., 6. lpp.).

(20)  Skat. EDAU atzinumus par Prīmes līguma sakarā pieņemtiem lēmumiem — 2007. gada 4. aprīļa atzinumu par dalībvalstu ierosmi, lai varētu pieņemt Padomes lēmumu par izvērstu pārrobežu sadarbību, jo īpaši terorisma un pārrobežu noziedzības apkarošanā (OV C 169, 21.7.2007., 2. lpp.) un 2007. gada 19. decembra atzinumu par Vācijas Federatīvās Republikas ierosmi pieņemt Padomes lēmumu par to, kā īstenot Padomes Lēmumu 2007/…/TI par pārrobežu sadarbības pastiprināšanu, jo īpaši, apkarojot terorismu un pārrobežu noziedzību, kas atrodams internetā:

http://www.edps.europa.eu

(21)  Šo aspektu EDAU ir uzsvēris vairākkārt, nesenākais gadījums ir bijis 2007. gada 25. jūlija atzinumā par datu aizsardzības direktīvas īstenošanu (OV C 255, 27.10.2007., 1. lpp.).

(22)  Priekšlikuma 6.3. pants un Efektivitātes ekspertīze, A pielikums, “Aviopārvadātāju izmantotais datu pārraides paņēmiens”.

(23)  Eiropas Parlamenta un Padomes Direktīva 95/46/EK (1995. gada 24. oktobris) par personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti (OV L 281, 23.11.1995., 31. lpp.).

(24)  No šāda viedokļa aplūkojiet PDR nolēmuma sekas. Tiesas nolēmums (2006. gada 30. maijs), Eiropas Parlaments pret Padomi (C-317/04) un Komisiju (C-318/04), apvienotas lietas Nr. C-317/04 un Nr. C-318/04, ECR [2006], 56. punkts.

(25)  Ierosinātā tiesību akta 11. pants. Skat. arī preambulas 10. apsvērumu: “Padomes Pamatlēmums par tādu personas datu aizsardzību, kurus apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās (…), būtu jāpiemēro visiem datiem, ko apstrādā saskaņā ar šo pamatlēmumu. Datu subjektu tiesībām attiecībā uz tādu apstrādi, piemēram, tiesībām uz informāciju, piekļuves tiesībām, datu labošanas, dzēšanas un piekļuves aizlieguma tiesībām, kā arī tiesībām uz kompensāciju un tiesiskas aizsardzības līdzekļiem būtu jābūt tādām, kas ir paredzētas minētajā pamatlēmumā”.

(26)  Datu aizsardzības pamatlēmuma apsvērums Nr. 5(a), 2007. gada 11. decembra versija.

(27)  1. pants.

(28)  Šā punkta sakarā jaunākais variants iecerētā trešā pīlāra datu aizsardzības pamatlēmuma 27.b pantam būtu rūpīgi jāizsver un jāpārrunā.

(29)  Tiesas nolēmums (2006. gada 30. maijs), Eiropas Parlaments pret Padomi (C-317/04) un Komisiju (C-318/04), apvienotas lietas Nr. C-317/04 un Nr. C-318/04, ECR [2006], 56. punkts.

(30)  Eiropas Parlamenta un Padomes Direktīva 2006/24/EK (2006. gada 15. marts) par tādu datu glabāšanu, kurus iegūst vai apstrādā saistībā ar publiski pieejamu elektronisko komunikāciju pakalpojumu sniegšanu vai publiski pieejamu komunikāciju tīklu nodrošināšanu, un par grozījumiem Direktīvā 2002/58/EK (OV L 105, 13.4.2006., 54. lpp.).

(31)  Skat. Eiropas datu aizsardzības uzraudzītāja atzinumu par Komisijas ziņojumu Eiropas Parlamentam un Padomei par turpinājumu darba programmai, ar ko labāk īstenot datu aizsardzības direktīvu (OV C 255, 27.10.2007., 1. lpp.). Skat. arī 2006. gada pārskatu, 47. lpp.

(32)  Ierosinātā tiesību akta 6. pants.

(33)  11 aviosabiedrības 1949. gadā izveidoja uzņēmējsabiedrību SITA un kļuva par tās loceklēm. Komerciāla uzņēmējsabiedrība SITA INC (t.i., Information, Networking Computing — informācija, datortīkli) sadarbojoties piedāvā risinājumus aviotransporta nozarei, izmantojot un tīkla pakalpojumus ar SITA SC starpniecību.

(34)  Efektivitātes ekspertīze, A pielikums, “Aviopārvadātāju izmantotais datu pārraides paņēmiens”.

(35)  Ierosinātā tiesību akta 3. pants.

(36)  Ierosinātā tiesību akta 8. pants.

(37)  EDAU 2007. gada 26. jūnija atzinums par ierosināto Padomes pamatlēmumu, kā aizsargāt personas datus, ko apstrādā, policijas un tiesu iestādēm sadarbojoties krimināllietās, 27. līdz 30. punkts (OV C 139, 23.6.2007., 1. lpp.).

(38)  Ierosinātā tiesību akta paskaidrojuma raksts, 2. nodaļa.

(39)  Efektivitātes ekspertīze, 5.2. nodaļa, “Privātās dzīves aizsardzība”.

(40)  Efektivitātes ekspertīze, 5.2. nodaļa, “Attiecības ar trešām valstīm”.

(41)  Efektivitātes ekspertīze, A pielikums, “Struktūras, kas saņem datus no pasažieru informācijas vienībām”.

(42)  Ierosinātā tiesību akta 20. apsvērums un 3.3. un 3.5. pants.

(43)  Šajā sakarā skat. Direktīvas 95/46/EK 15.1 pantu. Direktīvā ir aizliegti tādi automatizēti lēmumi gadījumos, ja attiecīgais lēmums iespaidotu indivīdu. Runājot par ierosinātā tiesību akta kontekstu, ir paredzams, ka tiesībaizsardzības jomā pieņemti lēmumi katrā ziņā nopietni ietekmēs datu subjektus. Arī tas, ka sekundāras pārbaudes var ietekmēt datu subjektus, jo īpaši, ja tādas darbības veic atkārtoti.

(44)  Konkrēti skat. atzinumu Nr. 5/2007 (2007. gada 17. augusts) par turpmākiem pasākumiem pēc 2007. gada jūlijā noslēgtā Eiropas Savienības un Amerikas Savienoto Valstu nolīguma par aviopārvadātāju veikto pasažieru datu reģistra (PDR) datu apstrādi un pārsūtīšanu ASV Iekšzemes drošības departamentam (WP 138).

(45)  Efektivitātes ekspertīze, A pielikums, “Aviopārvadātāju izmantotais datu pārraides paņēmiens”.

(46)  Efektivitātes ekspertīze, A pielikums, “Datu glabāšanas termiņš”.

(47)  Efektivitātes ekspertīze, B pielikums.

(48)  Ierosinātā tiesību akta 12. pants.

(49)  Skat. konkrēti ASV “Identitātes zādzību darba grupas” darbus —

http://www.idtheft.gov/

(50)  Skat. saiti ar Lielbritānijas Karaliskā ieņēmumu dienesta un muitas tīkla lapu:

http://www.hmrc.gov.uk/childbenefit/update-faqs.htm

Skat. arī

http://news.bbc.co.uk/1/hi/uk_politics/7103566.stm

(51)  Skat. Eiropas datu aizsardzības uzraudzītāja atzinumu par Komisijas ziņojumu Eiropas Parlamentam un Padomei par turpinājumu darba programmai, ar ko labāk īstenot datu aizsardzības direktīvu (OV C 255, 27.10.2007., 1. lpp.). Skat. arī 2006. gada pārskatu, 47. lpp.


Top