EUROPESE COMMISSIE
Brussel, 27.9.2019
COM(2019) 420 final
BIJLAGE
bij de
aanbeveling
voor een
BESLUIT VAN DE RAAD
houdende machtiging tot het openen van onderhandelingen over een overeenkomst tussen de Europese Unie en Japan betreffende de doorgifte en verwerking van persoonsgegevens van passagiers (PNR-gegevens) ter voorkoming en bestrijding van terrorisme en andere ernstige grensoverschrijdende criminaliteit
BIJLAGE
Richtsnoeren voor de onderhandelingen over een overeenkomst tussen de Europese Unie en Japan betreffende de doorgifte en het gebruik van persoonsgegevens van passagiers (PNR-gegevens) ter voorkoming en bestrijding van terrorisme en andere ernstige grensoverschrijdende criminaliteit
Tijdens de onderhandelingen dient de Europese Commissie de hieronder in detail omschreven doelstellingen voor ogen te houden.
(1)De overeenkomst dient te voorzien in de rechtsgrondslag, de voorwaarden en de waarborgen voor de doorgifte van PNR-gegevens naar Japan.
(2)In de overeenkomst dient tot uitdrukking te komen dat het gebruik van PNR-gegevens noodzakelijk en belangrijk is voor het voorkomen en bestrijden van terrorisme en andere ernstige misdrijven van grensoverschrijdende aard.
(3)Daartoe dient de overeenkomst uitsluitend ter voorkoming en bestrijding van terrorisme en andere ernstige grensoverschrijdende criminaliteit te voorzien in een regeling voor het doorgeven en gebruiken van PNR-gegevens, met volledige inachtneming van de bescherming van de persoonlijke levenssfeer, persoonsgegevens, de grondrechten en de fundamentele vrijheden van personen onder de in de overeenkomst vast te stellen voorwaarden.
(4)In de overeenkomst dient ook te worden erkend dat de doorgifte van PNR-gegevens aan Japan bevorderlijk is voor de politiële en justitiële samenwerking, dankzij de doorgifte van analytische informatie die is afgeleid uit PNR-gegevens. Derhalve dient de overeenkomst de doorgifte te waarborgen van de van de bevoegde Japanse autoriteiten afkomstige analytische informatie naar de politiële en justitiële autoriteiten van de lidstaten, alsook naar Europol en Eurojust, op hun respectieve bevoegdheidsgebieden.
(5)Om de inachtneming van het doelbindingsbeginsel te waarborgen, dient de overeenkomst de verwerking van PNR-gegevens strikt te beperken tot het voorkomen, opsporen, onderzoeken of vervolgen van terrorisme en andere ernstige grensoverschrijdende criminaliteit, als omschreven in de relevante EU-instrumenten.
(6)De overeenkomst moet de volledige eerbiediging waarborgen van de grondrechten en de fundamentele vrijheden als vastgelegd in artikel 6 van het Verdrag betreffende de EU, met name het recht op bescherming van persoonsgegevens als vervat in artikel 16 van het Verdrag betreffende de werking van de EU en artikel 8 van het Handvest van de grondrechten van de EU. Ook dient de overeenkomst te waarborgen dat de beginselen van noodzakelijkheid en evenredigheid volledig in acht worden genomen waar het gaat om het recht op eerbiediging van het privéleven en het familie- en gezinsleven en de bescherming van persoonsgegevens verankerd in artikel 7 en artikel 8 van het Handvest van de grondrechten van de EU als uitgelegd door het Hof van Justitie in zijn advies 1/15 over de beoogde PNR-overeenkomst tussen de EU en Canada.
(7)De overeenkomst dient te voorzien in rechtszekerheid, met name voor luchtvaartmaatschappijen, door hun een rechtsgrondslag te bieden voor de doorgifte van de PNR-gegevens uit hun geautomatiseerde boekings- en vertrekcontrolesystemen.
(8)In de overeenkomst moeten de noodzakelijke waarborgen en controles met betrekking tot de bescherming van persoonsgegevens, grondrechten en fundamentele vrijheden van personen, ongeacht nationaliteit en verblijfplaats, in het kader van de doorgifte van PNR-gegevens aan Japan duidelijk en nauwkeurig worden omschreven. Deze waarborgen dienen de volgende garanties te bieden:
(a)De categorieën van door te geven PNR-gegevens dienen uitputtend en op duidelijke en nauwkeurige wijze te worden gespecificeerd, overeenkomstig de internationale normen. De gegevensdoorgifte dient tot het noodzakelijke te worden beperkt en moet in verhouding staan tot het gespecificeerde doel van de overeenkomst.
(b)Gevoelige gegevens in de zin van het EU-recht, waaronder persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken en gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid, mogen niet worden verwerkt.
(c)De overeenkomst dient bepalingen inzake gegevensbeveiliging te bevatten op grond waarvan met name slechts een beperkt aantal speciaal gemachtigde individuen toegang heeft tot PNR-gegevens, die voorzien in een verplichting de Europese toezichthoudende autoriteiten voor gegevensbescherming onverwijld in kennis te stellen van inbreuken op de gegevensbeveiliging die gevolgen hebben voor PNR-gegevens, tenzij het onwaarschijnlijk is dat de inbreuk een risico oplevert voor de rechten en vrijheden van natuurlijke personen, en waarin sprake is van doeltreffende en afschrikkende sancties.
(d)De overeenkomst dient bepalingen te bevatten over het verstrekken van adequate en transparante informatie aan passagiers over de verwerking van hun PNR-gegevens, alsook over het recht van individuele kennisgeving ingeval van gebruik na aankomst, toegang en eventuele rectificatie en verwijdering.
(e)De overeenkomst dient de rechten van doeltreffende administratieve en gerechtelijke beroepsmogelijkheden te waarborgen op niet-discriminerende wijze, ongeacht nationaliteit of woonplaats, voor eenieder wiens gegevens uit hoofde van de overeenkomst worden verwerkt, overeenkomstig artikel 47 van het Handvest van de grondrechten van de EU.
(f)De overeenkomst dient ervoor te zorgen dat geautomatiseerde verwerking moet zijn gebaseerd op specifieke, objectieve, niet-discriminerende en betrouwbare, vooraf vastgestelde criteria, en niet mag worden gebruikt als enige basis voor besluiten met nadelige wettelijke gevolgen of met ernstige gevolgen voor een persoon. De databanken aan de hand waarvan de PNR-gegevens worden vergeleken, dienen alleen die te zijn welke relevant zijn voor de doeleinden van de overeenkomst en dienen betrouwbaar en actueel te zijn.
(g)Het gebruik van PNR-gegevens door de Japanse bevoegde autoriteit buiten het kader van veiligheids- en grenscontroles dient te zijn gebaseerd op nieuwe omstandigheden en te zijn onderworpen aan materiële en formele voorwaarden op basis van objectieve criteria. Met name dient een dergelijk gebruik eerst te worden getoetst door een rechter of een onafhankelijk bestuursorgaan, behalve in gevallen van naar behoren aangetoonde urgentie.
(h)De bewaringstermijn van de PNR-gegevens dient beperkt te zijn en mag niet langer zijn dan nodig is voor het oorspronkelijke doel. Het bewaren van PNR-gegevens na het vertrek van de luchtvaartpassagiers uit Japan dient in overeenstemming te zijn met de vereisten die zijn vastgesteld in de jurisprudentie van het Hof van Justitie. De overeenkomst dient te vereisen dat de gegevens na het verstrijken van de bewaringstermijn worden verwijderd of zodanig worden geanonimiseerd dat de betrokkene niet meer kan worden geïdentificeerd.
(i)De overeenkomst dient ervoor te zorgen dat de verdere bekendmaking van PNR-gegevens aan andere overheidsinstanties in hetzelfde land of aan andere landen alleen mag plaatsvinden in individuele gevallen en met inachtneming van bepaalde voorwaarden en waarborgen. Met name mag een dergelijke bekendmaking alleen plaatsvinden indien de ontvangende autoriteit functies vervult die met de bestrijding van terrorisme of ernstige grensoverschrijdende criminaliteit verband houden en dezelfde bescherming waarborgt als die waarin de overeenkomst voorziet. Verdere doorgifte aan de bevoegde autoriteiten van andere derde landen dient te worden beperkt tot de landen waarmee de EU al een gelijkwaardige PNR-overeenkomst heeft of ten aanzien waarvan de EU op grond van de EU-wetgeving inzake gegevensbescherming al een adequaatheidsbesluit heeft vastgesteld voor de relevante instanties waaraan PNR-gegevens zouden worden doorgegeven.
(9)Om te zorgen dat controle wordt uitgeoefend op de overheidsinstanties die PNR-gegevens gebruiken, dient de overeenkomst te voorzien in een systeem van toezicht door een onafhankelijke overheidsinstantie die verantwoordelijk is voor gegevensbescherming en die over effectieve onderzoeks-, interventie- en handhavingsbevoegdheden beschikt. Deze instantie dient bevoegd te zijn om kennis te nemen van klachten van betrokkenen, met name wat de verwerking van hun PNR-gegevens betreft. Overheidsinstanties die PNR-gegevens gebruiken, dienen verantwoording af te leggen over de naleving van de voorschriften inzake de bescherming van persoonsgegevens in het kader van de overeenkomst.
(10)De overeenkomst dient te vereisen dat de gegevens uitsluitend op basis van een “push”-systeem worden doorgegeven.
(11)De overeenkomst dient te waarborgen dat de doorgifte van PNR-gegevens wat betreft frequentie en tijdstip geen onredelijke belasting voor de vervoerders meebrengt en tot het strikt noodzakelijke wordt beperkt.
(12)De overeenkomst dient te waarborgen dat luchtvaartmaatschappijen niet worden verplicht om meer gegevens te verzamelen dan thans het geval is of om bepaalde soorten gegevens te verzamelen, maar enkel de gegevens hoeven door te geven die zij reeds verzamelen in het kader van hun bedrijfsactiviteit.
(13)De overeenkomst dient bepalingen te bevatten voor een regelmatige gezamenlijke evaluatie van alle aspecten van de uitvoering van de overeenkomst, waaronder de betrouwbaarheid en actualiteit van vooraf vastgestelde modellen, criteria en databanken, en met inbegrip van een evenredigheidsbeoordeling van de bewaarde gegevens op basis van hun waarde voor de voorkoming en bestrijding van terrorisme en andere ernstige grensoverschrijdende criminaliteit.
(14)De overeenkomst dient te voorzien in een geschillenbeslechtingsmechanisme voor wat betreft de uitlegging, toepassing en uitvoering ervan.
(15)De overeenkomst dient te worden gesloten voor een periode van zeven jaar en moet een bepaling bevatten op grond waarvan de overeenkomst kan worden verlengd met eenzelfde periode, tenzij een partij de overeenkomst beëindigt.
(16)De overeenkomst dient een clausule te bevatten over de territoriale toepassing ervan.
(17)De overeenkomst dient authentiek te zijn in de Bulgaarse, de Deense, de Duitse, de Engelse, de Estse, de Finse, de Franse, de Griekse, de Hongaarse, de Italiaanse, de Kroatische, de Letse, de Litouwse, de Maltese, de Nederlandse, de Poolse, de Portugese, de Roemeense, de Sloveense, de Slowaakse, de Spaanse, de Tsjechische en de Zweedse taal en moet een bepaling in die zin bevatten.