6.9.2005   

NL

Publicatieblad van de Europese Unie

C 218/6

1.

De EDPS is verheugd dat hij op grond van artikel 28, lid 2, van Verordening (EG) nr. 45/2001 is geraadpleegd. Dit bevestigt het standpunt dat de EDPS heeft ingenomen in zijn beleidsnota van 18 maart 2005 („De EDPS als adviseur van de communautaire instellingen voor wetgevingsvoorstellen en documenten die daarmee verband houden”), namelijk dat zijn adviestaak zich uitstrekt tot de sluiting van overeenkomsten tussen de EG en derde landen en/of internationale organisaties betreffende de verwerking van persoonsgegevens.

2.

Artikel 28, lid 2, van Verordening (EG) nr. 45/2001 heeft een dwingend karakter, zodat het onderhavige advies in de preambule van het Raadsbesluit dient te worden vermeld.

3.

In de overwegingen van de overeenkomst tussen de Europese Gemeenschap en Canada wordt verwezen naar de beschikking van de Commissie, vastgesteld op grond van artikel 25, lid 6, van Richtlijn 95/46/EG, waarbij de betrokken Canadese bevoegde autoriteit geacht wordt een passend beschermingsniveau te bieden voor API/PNR-gegevens (hierna de Commissiebeschikking genoemd). Naar de mening van de EDPS had de Commissiebeschikking, als onderdeel van het algemene wetgevingspakket, ook om advies aan hem moeten worden voorgelegd.

4.

Dit voorstel is het tweede in een reeks. De eerste was de overeenkomst van 17 mei 2004 (1) tussen de Europese Gemeenschap en de Verenigde Staten van Amerika, waarvan het Europees Parlement de wettigheid bestrijdt op grond van artikel 230 van het EG-Verdrag. In zijn tussenkomst voor het Hof van Justitie heeft de EDPS de conclusie van het Parlement tot nietigverklaring van de overeenkomst gesteund.

5.

Dit voorstel voor een overeenkomst vertoont veel gelijkenis met de overeenkomst met de Verenigde Staten van Amerika. Het voorstel houdt verband met een beschikking van de Commissie die is vastgesteld op grond van artikel 25, lid 6, van Richtlijn 95/46/EG, het doel is de openbare veiligheid te verbeteren en de luchtvaartmaatschappijen worden verplicht gegevens door te geven aan een derde land.

6.

Ten gronde zijn er echter grote verschillen, zoals is opgemerkt in twee adviezen van de Groep gegevensbescherming artikel 29 (2). De EDPS legt de nadruk op vier essentiële verschillen, die een rol zullen spelen in dit advies. In de eerste plaats voorziet het voorstel in een „pushmethode” (en niet in een „pullmethode”), waardoor de luchtvaartmaatschappijen in de Europese Unie de doorgifte van gegevens aan de Canadese autoriteiten kunnen controleren. Ten tweede hebben de Canadese autoriteiten „verbintenissen” aangegaan (artikel 2, lid 1, van de overeenkomst), hetgeen het voorstel, vergeleken bij de overeenkomst met de Verenigde Staten van Amerika, evenwichtiger maakt. Ten derde is de lijst van PNR-gegevens die moeten worden doorgegeven, beperkter en bevat hij geen „open categorieën” van passagiersgegevens die gevoelige informatie zouden kunnen onthullen. Ten slotte trekt de overeenkomst profijt van een veel sterker ontwikkelde regelgeving inzake gegevensbescherming die de betrokkene bescherming biedt, inclusief toezicht door een onafhankelijke commissaris voor gegevensbescherming. Aan onderdanen van de Europese Unie biedt de Canadese wetgeving echter geen volledige bescherming. De verbintenissen die de Canadese autoriteiten zijn aangegaan, moeten hiervoor een oplossing bieden.

7.

In het stelsel van Richtlijn 95/46/EG valt de doorgifte van gegevens aan een derde land onder de definitie van verwerking van persoonsgegevens (volgens artikel 2, onder b), van de Richtlijn is dat „elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens”) en is hoofdstuk II van de richtlijn („Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens”) derhalve van toepassing op de doorgifte. In deze context moet artikel 25 van de richtlijn worden gezien als een extra waarborg in geval van doorgifte aan een derde land, aangezien de gegevens na de doorgifte niet meer onder de rechtsmacht van een lidstaat vallen.

8.

Het voorstel voor een overeenkomst met Canada, gelezen in samenhang met de beschikking van de Commissie, verplicht de luchtvaartmaatschappijen om gegevens door te geven aan Canada. Het staat nog te bezien of de luchtvaartmaatschappijen als gevolg daarvan de verplichtingen zullen kunnen nakomen die hen zijn opgelegd bij de nationale wetgeving ter uitvoering van Richtlijn 95/46/EG, met name hoofdstuk II, en of dit gevolgen heeft voor de doeltreffendheid van de richtlijn.

9.

Artikel 5 van het voorstel verplicht Europese luchtvaartmaatschappijen ertoe de in hun geautomatiseerde boekingssystemen vervatte API/PNR-gegevens te verwerken zoals vereist door de bevoegde Canadese autoriteiten overeenkomstig de Canadese wet. Het voorstel bepaalt echter niet dat de Gemeenschapswetgeving, met name hoofdstuk II van Richtlijn 95/46/EG inzake de verwerking van persoonsgegevens, van toepassing is. Bij gebreke van een zodanige bepaling zullen de luchtvaartmaatschappijen verplicht kunnen zijn gegevens te verwerken, zelfs als dat niet geheel in overeenstemming is met hoofdstuk II van Richtlijn 95/46/EG. Zij zijn alleen verplicht de Canadese wetgeving na te leven.

10.

Zoals is opgemerkt en nog zal worden bevestigd, bestaat er in Canada een goed uitgebouwde wettelijke regeling voor gegevensbescherming en is er geen reden om te stellen dat de Canadese wetgeving op het gebied van gegevensbescherming de belangen van de gegevenssubjecten in de Europese Gemeenschap ernstige schade zou toebrengen. Toch zijn er evenmin redenen om aan te nemen dat de Canadese wetgeving geheel in overeenstemming is met alle bepalingen van hoofdstuk II van Richtlijn 95/46/EG. Dit kan namelijk niet worden afgeleid uit de overeenkomst noch uit de toelichting. Bovendien zijn de Canadese autoriteiten niet gebonden door een (toekomstige) uitlegging van de richtlijn door het Hof van Justitie, en kan niet worden gewaarborgd dat toekomstige wijzigingen van de Canadese wet (of nieuwe uitleggingen ervan door Canadese rechters) in overeenstemming met de Gemeenschapswetgeving zullen zijn.

11.

Op basis van deze analyse concludeert de EDPS dat de overeenkomst een wijziging van Richtlijn 95/46/EG inhoudt. Daarom is, los van eventuele aanzienlijke schade die het gegevenssubject kan worden toegebracht, overeenkomstig artikel 300, lid 3, van het EG-Verdrag de instemming van het Europees Parlement vereist.

12.

In dit verband is de EDPS van oordeel dat institutionele vraagstukken algemeen gezien buiten zijn opdracht vallen. In dit geval bepaalt de EDPS echter wel zijn standpunt over een dergelijk vraagstuk. Immers, het niet eerbiedigen van de prerogatieven van het Parlement leidt tot een wijziging van de richtlijn en dit heeft daarmee gevolgen voor het niveau van de gegevensbescherming op het grondgebied van de Europese Gemeenschap.

13.

Een andere mogelijkheid bestaat er in de overeenkomst zo aan te passen dat de verwerking van API/PNR-gegevens door Europese luchtvaartmaatschappijen moet voldoen aan Richtlijn 95/46/EG. Als een daartoe strekkende bepaling wordt toegevoegd, zou de overeenkomst geen wijziging van de richtlijn meer inhouden.

14.

Niettegenstaande de procedurele voorwaarden voor de aanneming van het voorstel, heeft de EDPS onderzocht of de voorgestelde overeenkomst ten gronde voldoende bescherming biedt aan het gegevenssubject, met name aan zijn grondrechten als bedoeld in artikel 6 van het EU-Verdrag.

15.

De EDPS merkt op dat het voorstel grote verschillen vertoont met de overeenkomst met de Verenigde Staten van Amerika (zie punt 6). De tekortkomingen van die overeenkomst zijn dan ook in drie belangrijke opzichten niet, of althans niet in dezelfde mate op het voorstel van toepassing.

16.

De EDPS merkt voorts op dat de Groep gegevensbescherming artikel 29 in het advies van 19 januari 2005 haar goedkeuring heeft gehecht aan de voornaamste onderdelen van (het voorstel voor) de beschikking van de Commissie betreffende het adequate niveau van gegevensbescherming van het Canadese Grensagentschap (Canadian Border Service Agency — CBSA). De verbintenissen die het CBSA is aangegaan (bijlage bij de Commissiebeschikking) speelden een belangrijke rol in de evaluatie van de Groep Gegevensbescherming artikel 29. De EDPS schaart zich achter de conclusies van de groep, onder meer rekening houdend met het feit dat de onafhankelijke Canadese Commissaris voor gegevensbescherming de beperkingen op de toegang tot API/PNR-gegevens voor overheids- en wetshandhavingsdoeleinden onderschrijft (3).

17.

Voor de EDPS is het van het hoogste belang dat de Europese luchtvaartmaatschappijen, dankzij de „pushmethode” voor API/PNR-gegevens, de verwerking en doorgifte van de gegevens kunnen controleren. Deze activiteiten vallen dus onder de rechtsmacht van de lidstaten en de Gemeenschapswetgeving is van toepassing.

18.

Net zo belangrijk is dat in artikel 2 van het voorstel uitdrukkelijk wordt bepaald dat de partijen bij de overeenkomst overeengekomen zijn dat de API/PNR-gegevens zullen worden verwerkt zoals aangegeven in de verbintenissen. Het gaat hier dus om bindende afspraken, die zijn opgenomen in de bijlage bij de Commissiebeschikking.

19.

Tenslotte wijst de EDPS op het belang van de oprichting van een Gemengd Comité, dat onder meer de gezamenlijke toetsing moet organiseren. Hierdoor kan toezicht worden uitgeoefend op de toepassing van de wetgevingsinstrumenten. Dit is des te belangrijker omdat het nieuwe wetgevingsinstrumenten betreft, met de toepassing waarvan nog geen ervaring is opgedaan.

20.

Mede in het licht van de analyse in paragraaf 4.2 van de in punt 1 bedoelde beleidsnota stemt de EDPS in met de voornaamste onderdelen van het voorstel en beperkt hij zijn opmerkingen tot enkele specifieke punten, met name:

21.

In bijlage II bij het voorstel is geen sprake van gevoelige gegevens als bedoeld in artikel 8 van Richtlijn 95/46/EG en evenmin van „open categorieën” van passagiersgegevens die, afhankelijk van de invulling op een formulier, gevoelige gegevens zouden kunnen onthullen (zoals voedingsgewoonten waaruit de godsdienstige overtuiging of medische informatie zou kunnen worden afgeleid).

22.

De lijst van te verzamelen PNR-gegevens (bijlage II bij het voorstel) bevat gegevens die relevant zouden kunnen zijn voor de bescherming van de grondrechten van de passagier, met name zijn privacy. De EDPS noemt categorie 10 („Frequent Flyer”-gegevens), waaruit feiten betreffende het gedrag van de passagier zouden kunnen worden afgeleid (hoewel niet alle „Frequent Flyer”-gegevens opgenomen zijn) en categorie 23 (eventuele APIS-informatie), die niet alleen de naam, maar ook andere gegevens uit het paspoort van de passagier bevat.

23.

De EDPS betwijfelt of de opneming van die categorieën nodig en evenredig is, en geeft in overweging, opnieuw te bezien of die categorieën in de bijlage bij de overeenkomst moeten worden opgenomen. Het feit dat deze categorieën op de lijst van gegevens zijn geplaatst, betekent niet dat de overeenkomst moet worden heronderhandeld en hoeft volgens de EDPS niet tot nietigverklaring van de overeenkomst leiden.

24.

Het is al eerder voorgevallen dat de wetgever, in instrumenten die de verwerking van persoonsgegevens met het oog op terrorismebestrijding nodig maken, het doel van de verwerking niet heeft beperkt tot terrorismebestrijding als zodanig, maar het heeft uitgebreid tot verwerking in verband met andere ernstige strafbare feiten of, in sommige gevallen, wetshandhaving in het algemeen.

25.

In het onderhavige voorstel wordt de bestrijding van andere ernstige vormen van grensoverschrijdende criminaliteit genoemd, met inbegrip van georganiseerde criminaliteit. Volgens de verbintenissen van het CBSA (paragraaf 12) kunnen de gegevens alleen voor dezelfde doeleinden worden doorgegeven aan andere Canadese overheidsdiensten. De gegevens zullen met de autoriteiten van derde landen alleen worden uitgewisseld voor die doeleinden voorzover overeenkomstig artikel 25 van Richtlijn 95/46/EG is vastgesteld dat in het betrokken derde land een adequaat beschermingsniveau bestaat. Deze beperking van de doeleinden levert op zichzelf geen schending van de bepalingen van de richtlijn op en evenmin van de beginselen die eraan ten grondslag liggen.

26.

In de overeenkomst zijn bepalingen opgenomen om de belangen van het gegevenssubject te beschermen. De EDPS verwijst uitdrukkelijk naar artikel 3 van de overeenkomst, dat gaat over toegang, correctie en aantekening. Volgens die bepaling kan een gegevenssubject dat op het grondgebied van de Europese Unie verblijft, zijn recht van toegang, correctie en aantekening onder dezelfde voorwaarden uitoefenen als personen met woonplaats in Canada.

27.

De toekenning van die rechten biedt het gegevenssubject op zich nog niet de nodige bescherming. Gewaarborgd moet worden dat de rechten daadwerkelijk kunnen worden uitgeoefend.

28.

De omvang en de inhoud van die rechten worden bepaald door de Canadese wet. Om een Europees gegevenssubject de nodige bescherming te bieden, moet de toepasselijke wetgeving voor de betrokkene toegankelijk zijn en moeten de gevolgen ervan te voorzien zijn. Om dit te bewerkstelligen heeft de Groep gegevensbescherming artikel 29 in overweging gegeven, het toepasselijke Canadese bestuursrechtelijke kader als bijlage aan de Commissiebeschikking te hechten.

29.

Aan dat voorstel is geen gevolg gegeven. Echter, de Commissiebeschikking en de verbintenissen van het CBSA bevatten een toelichting bij het toepasselijke wetgevingskader. Aan de hand van de toepasselijke paragrafen van de verbintenissen kunnen passagiers kennis nemen van hun rechten.

30.

De EDPS wijst erop dat het niet alleen belangrijk is dat passagiers met woonplaats in de Europese Gemeenschap toegang hebben tot de teksten van de wetgevingsinstrumenten, maar dat het net zo belangrijk is dat zij een daadwerkelijke toegang tot rechtsmiddelen hebben.

31.

In dat verband onderschrijft de EDPS de procedure bedoeld in paragraaf 31 van de verbintenissen. Volgens die procedure kan de Canadese commissaris voor gegevensbescherming klachten behandelen die namens personen met woonplaats in de Europese Unie aan hem zijn doorgezonden door de gegevensbeschermingsautoriteiten van de lidstaten. Volgens de EDPS kan een dergelijke procedure in de praktijk nog effectiever blijken dan een formeel klachtrecht van Europese onderdanen voor Canadese rechters.

32.

De EDPS concludeert als volgt: