Accept Refuse

EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52012XX0209(03)

Advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een besluit van de Raad tot sluiting van de Overeenkomst tussen de Verenigde Staten van Amerika en de Europese Unie inzake het gebruik en de doorgifte van persoonsgegevens van passagiers aan het Amerikaanse Ministerie van Binnenlandse Veiligheid

OJ C 35, 9.2.2012, p. 16–22 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

9.2.2012   

NL

Publicatieblad van de Europese Unie

C 35/16


Advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een besluit van de Raad tot sluiting van de Overeenkomst tussen de Verenigde Staten van Amerika en de Europese Unie inzake het gebruik en de doorgifte van persoonsgegevens van passagiers aan het Amerikaanse Ministerie van Binnenlandse Veiligheid

2012/C 35/03

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 16,

Gezien het Handvest van de grondrechten van de Europese Unie, en met name de artikelen 7 en 8,

Gezien Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1),

Gezien Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2), en met name artikel 41,

BRENGT HET VOLGENDE ADVIES UIT:

1.   INLEIDING

1.1.   Raadpleging van de EDPS en doel van het advies

1.

Op 28 november 2011 heeft de Commissie haar goedkeuring gehecht aan een voorstel voor een besluit van de Raad tot sluiting van de Overeenkomst tussen de Verenigde Staten van Amerika en de Europese Unie inzake het gebruik en de doorgifte van persoonsgegevens van passagiers aan het Amerikaanse Ministerie van Binnenlandse Veiligheid (3) (hierna: „de overeenkomst”).

2.

Op 9 november 2011 is de EDPS in het kader van een versnelde procedure informeel geraadpleegd over het ontwerpvoorstel. Op 11 november 2011 heeft hij hierover een aantal vertrouwelijke opmerkingen gemaakt. Dit advies heeft ten doel die opmerkingen in het licht van het thans voorliggende voorstel aan te vullen en zijn standpunten publiekelijk kenbaar te maken. Dit advies bouwt voort op een aantal eerdere interventies van de EDPS en de Groep gegevensbescherming artikel 29 met betrekking tot persoonsgegevens van passagiers („Passenger Name Records” of „PNR-gegevens”).

1.2.   Achtergrond van het voorstel

3.

Met de overeenkomst wordt beoogd een solide rechtsgrondslag te scheppen voor de doorgifte van PNR-gegevens van de EU naar de VS. De overdracht van dergelijke gegevens is thans nog gebaseerd op de PNR-overeenkomst van 2007 (4), aangezien het Parlement heeft besloten zijn stemming over de goedkeuring van de nieuwe overeenkomst uit te stellen totdat zijn bezwaren met betrekking tot gegevensbeschermingskwesties uit de weg zijn geruimd. In zijn resolutie van 5 mei 2010 (5) heeft het Parlement onder meer de volgende eisen gesteld:

naleving van de gegevensbeschermingswetgeving op nationaal en Europees niveau;

een effectbeoordeling betreffende bescherming van de persoonlijke levenssfeer voorafgaand aan de goedkeuring van elk nieuw wetgevingsinstrument;

een evenredigheidstest die aantoont dat de bestaande wetgevingsinstrumenten niet toereikend zijn;

strikte doelafbakening (6), beperking van het gebruik van PNR-gegevens tot specifieke misdaden of dreigingen en beoordeling van dit gebruik per geval;

beperking van de toegestane hoeveelheid verzamelde gegevens;

beperking van de duur van opslag;

verbod op het gebruik van de PNR-gegevens voor datamining of profilering;

niet toestaan van geautomatiseerde beslissingen die verstrekkende gevolgen voor de betrokken burgers hebben (7);

gepaste mechanismen voor onafhankelijke herziening, gerechtelijk toezicht en democratische controle;

naleving van de gegevensbeschermingswetgeving van de EU bij elke vorm van internationale gegevensoverdracht, die bovendien alleen op voorwaarde van vaststelling van gepastheid mag plaatsvinden.

4.

De onderhavige overeenkomst moet worden beschouwd in de context van de algemene aanpak met betrekking tot PNR-gegevens, waartoe ook onderhandelingen met andere derde landen (met name Australië (8) en Canada (9)) en een voorstel voor een PNR- regeling op Europees niveau (10) behoren. De overeenkomst is tevens voorwerp van de lopende onderhandelingen tussen de EU en de VS over de uitwisseling van persoonsgegevens in het kader van de politiële en justitiële samenwerking in strafzaken (11). De overeenkomst werd enkele weken voor de verwachte goedkeuring van de voorstellen ter herziening van het algemene gegevensbeschermingskader geparafeerd (12).

5.

De EDPS is verheugd over deze algemene aanpak, die erop is gericht een samenhangend rechtskader voor PNR-overeenkomsten op te stellen in overeenstemming met de wettelijke voorschriften van de EU. Hij betreurt evenwel dat het op grond van deze timing in de praktijk niet mogelijk zal zijn om voor de nodige samenhang tussen deze overeenkomsten met de nieuwe EU-regels inzake gegevensbescherming te zorgen. Tevens wenst hij eraan te herinneren dat de algemene overeenkomst tussen de EU en de VS over uitwisseling van gegevens van toepassing zou moeten zijn op de PNR-overeenkomst EU/VS.

2.   ALGEMENE OPMERKINGEN

6.

Volgens het Europees Handvest van de grondrechten kunnen alleen beperkingen aan fundamentele rechten en vrijheden worden gesteld indien zij noodzakelijk, evenredig en bij wet bepaald zijn. De EDPS (13) en de Groep gegevensbescherming artikel 29 (14) hebben er al herhaaldelijk op gewezen dat de noodzakelijkheid en evenredigheid van de PNR-regelingen en van de massale overdracht van PNR-gegevens naar derde landen tot dusver niet zijn aangetoond. Het Europees Economisch en Sociaal Comité en het Bureau van de Europese Unie voor de grondrechten delen deze opvatting (15). De hieronder gemaakte specifieke opmerkingen laten dit voorlopige en fundamentele oordeel onverlet.

7.

De onderhavige overeenkomst bevat weliswaar een aantal verbeteringen ten opzichte van de overeenkomst van 2007 en bevat passende waarborgen inzake gegevensbeveiliging en toezicht, maar geen van de hoofdbezwaren die in de bovengenoemde adviezen naar voren zijn gebracht, lijkt te zijn weggenomen, noch lijkt te zijn voldaan aan de voorwaarden die het Europees Parlement aan zijn instemming met de overeenkomst heeft gesteld (16).

3.   SPECIFIEKE OPMERKINGEN

3.1.   De doeleinden moeten worden verduidelijkt

8.

In artikel 4, lid 1, van de overeenkomst is bepaald dat de Verenigde Staten PNR-gegevens verzamelt, gebruikt en verwerkt met het oog op het voorkomen, het opsporen, het onderzoeken en het vervolgen van a) terroristische misdrijven en aanverwante criminaliteit en b) andere misdrijven waarop een gevangenisstraf van drie jaar of meer is gesteld en die een grensoverschrijdend karakter hebben. Sommige van deze termen zijn nader ingevuld.

9.

Hoewel de betreffende definities nauwkeuriger zijn dan die in de overeenkomst van 2007, is er nog steeds sprake van een aantal vage termen en uitzonderingen die de doelafbakening teniet zouden kunnen doen en de rechtszekerheid zouden kunnen ondermijnen. Dit probleem betreft met name de volgende aspecten:

In artikel 4, lid 1, onder a), punt i), zou de formulering „gedrag dat […] lijkt te zijn bedoeld om […] te intimideren of te dreigen” of „het beleid van een overheid […] te beïnvloeden” eveneens betrekking kunnen hebben op activiteiten die in overeenstemming met Kaderbesluit 2002/475/JBZ van de Raad (17) niet als terroristische activiteiten kunnen worden beschouwd. De bewoordingen „lijkt”, „intimideren” en „beïnvloeden” dienen te worden verduidelijkt om deze mogelijkheid uit te sluiten;

Artikel 4, lid 1, onder b), moet een specifieke lijst misdrijven bevatten. De formulering „andere misdrijven waarop een gevangenisstraf van drie jaar of meer is gesteld” volstaat niet, aangezien de categorieën misdrijven die in de EU en de VS respectievelijk in de verschillende EU-lidstaten en staten van de VS onder de door deze drempel omschreven misdrijven vallen van elkaar verschillen;

Geringe vergrijpen moeten uitdrukkelijk worden uitgesloten van de doeleinden waarvoor volgens de overeenkomst PNR-gegevens mogen worden gebruikt en doorgegeven;

In artikel 4, lid 2, moet de term „ernstige dreiging” worden gedefinieerd en moet het gebruik van PNR-gegevens waar dat „door een rechterlijke instantie is bevolen”, te worden beperkt tot de in artikel 4, lid 1, genoemde gevallen;

Om te voorkomen dat artikel 4, lid 3, van toepassing is op doeleinden als grensbewaking, dient te worden gespecificeerd dat alleen personen die worden verdacht van betrokkenheid bij een misdrijf als bedoeld in artikel 4, lid 1, „nader [mogen] worden ondervraagd of onderzocht”.

3.2.   De lijst van PNR-gegevens die mogen worden doorgegeven, moet worden beperkt

10.

In bijlage I van de overeenkomst worden negentien soorten gegevens genoemd die aan de VS zullen worden doorgegeven. De meeste omvatten verschillende categorieën gegevens en zijn identiek aan de gegevensvelden in de overeenkomst van 2007, die door de EDPS en de Groep gegevensbescherming artikel 29 al onevenredig zijn bevonden (18).

11.

Dit geldt met name voor het gegevensveld „Algemene opmerkingen, waaronder OSI- (19), SSI- (20) en SSR- (21) informatie”, waaruit informatie met betrekking tot geloofsovertuiging (bijv. maaltijdwensen) of de gezondheidstoestand (bijv. verzoek om een rolstoel) kunnen worden opgemaakt. Dergelijke gevoelige gegevens moeten uitdrukkelijk worden uitgesloten van de lijst.

12.

Bij de beoordeling of de lijst evenredig is, moet ook rekening worden gehouden met het feit dat deze categorieën op grond van de doorgifte van de gegevens voor vertrek van de vlucht (artikel 15, lid 3) niet alleen betrekking hebben op de feitelijke passagiers, maar ook op de personen die uiteindelijk niet meevliegen (bijvoorbeeld vanwege annuleringen).

13.

Bovendien kan de rechtszekerheid worden ondermijnd, omdat sommige gegevenssoorten zeer open zijn geformuleerd. Categorieën als „alle beschikbare contactgegevens”, „alle bagage-informatie” en „algemene opmerkingen” moeten beter worden gedefinieerd.

14.

Om deze redenen dient de lijst te worden beperkt. In overeenstemming met het advies van de Groep gegevensbescherming artikel 29 (22) is de EDPS van mening dat de gegevens alleen de volgende informatie mogen omvatten: de PNR-bestandslocatiecode, de datum van boeking, de geplande reisdatum/data, de naam van de reiziger, andere namen in het PNR, de volledige reisroute, identificatiemiddelen voor gratis biljetten, biljetten voor enkele reizen, informatie uit het reisbiljetveld („ticketing field”-informatie), gegevens met betrekking tot de geautomatiseerde prijsnotering van reisbiljetten, het biljetnummer, de datum van afgifte van het biljet, „No-show”-voorgeschiedenis, aantal stuks bagage, bagagebiljetnummers, „Go-show”-informatie, aantal stuks bagage per segment, upgrades op verzoek van de reiziger/ongevraagde upgrades, alle eerdere wijzigingen in de hierboven genoemde PNR-gegevens.

3.3.   Het DHS mag geen gevoelige informatie verwerken

15.

In artikel 6 wordt vermeld dat het Ministerie van Binnenlandse Veiligheid van de VS (Department of Homeland Security, afgekort DHS) geautomatiseerde systemen gebruikt om gevoelige gegevens uit de PNR-gegevens te filteren en „af te schermen”. Gevoelige gegevens worden echter minstens dertig dagen bewaard en mogen in specifieke gevallen worden gebruikt (artikel 6, lid 4). De EDPS wil benadrukken dat dergelijke gegevens ook nadat zij zijn „afgeschermd”, nog steeds „gevoelige” gegevens betreffende identificeerbare natuurlijke personen zijn.

16.

De EDPS heeft reeds eerder opgemerkt dat het DHS geen gevoelige gegevens betreffende EU-burgers mag verwerken, ook al worden die gegevens bij ontvangst „afgeschermd”. De EDPS beveelt aan om in de tekst van de overeenkomst uitdrukkelijk te bepalen dat luchtvaartmaatschappijen geen gevoelige gegevens aan het DHS mogen doorgeven.

3.4.   De bewaringstermijn is buitensporig

17.

In artikel 8 is bepaald dat PNR-gegevens gedurende ten hoogste vijf jaar in een actieve database kunnen worden bewaard en gedurende ten hoogste tien jaar kunnen worden opgeslagen. Zoals de EDPS en de Groep gegevensbescherming artikel 29 reeds eerder hebben onderstreept, is deze maximale bewaringstermijn duidelijk buitensporig, ongeacht de vraag of de gegevens in een „actieve” of een „slapende” database worden bewaard.

18.

In artikel 8, lid 1, is bepaald dat de gegevens zes maanden na ontvangst door het DHS worden „geanonimiseerd en afgeschermd”. Zolang zij niet zijn geanonimiseerd, zijn echter zowel de „afgeschermde” gegevens als de in een „slapende” database opgeslagen gegevens persoonsgegevens. Daarom dienen de gegevens na maximaal zes maanden of onmiddellijk na analyse ervan (onherroepelijk) te worden geanonimiseerd of gewist.

3.5.   Gebruik van de „push-methode” en frequentie van doorgifte

19.

De EDPS is ingenomen met artikel 15, lid 1, waarin wordt bepaald dat de PNR-gegevens volgens de „push-methode” worden doorgegeven. Volgens artikel 15, lid 5, kan het DHS echter in uitzonderlijke omstandigheden van luchtvaartmaatschappijen verlangen dat zij de PNR-gegevens „ter beschikking stellen”. Teneinde het gebruik van het „pull-systeem” definitief uit te sluiten en in het licht van de bezwaren die onlangs nog eens door de Groep gegevensbescherming artikel 29 zijn onderstreept (23), doet de EDPS de dringende aanbeveling om in de overeenkomst uitdrukkelijk te verbieden dat ambtenaren van de VS via het „pull-systeem” een aparte toegang tot de gegevens krijgen.

20.

Het aantal doorgiften van gegevens door de luchtvaartmaatschappijen aan het DHS en de frequentie daarvan dienen in de overeenkomst te worden vastgelegd. Om voor meer rechtszekerheid te zorgen dienen de omstandigheden waaronder aanvullende doorgiften toegestaan zijn, eveneens nader te worden ingevuld.

3.6.   Gegevensbeveiliging

21.

De EDPS is verheugd over artikel 5 van de overeenkomst betreffende de beveiliging en de integriteit van de gegevens, en met name met de verplichting om de betrokken personen in te lichten in het geval van een incident in verband met gegevensbescherming. De volgende elementen van de desbetreffende kennisgeving moeten echter worden verduidelijkt:

Ontvangers van de kennisgeving: er moet worden gespecificeerd welke „bevoegde Europese autoriteiten” moeten worden ingelicht. De nationale gegevensbeschermingsautoriteiten moeten in elk geval tot de in te lichten instanties behoren. Tevens dient een bevoegde autoriteit van de VS op de hoogte te worden gesteld;

Drempel voor kennisgeving aan deze autoriteiten: er moet worden omschreven wat onder een „ernstig incident in verband met de bescherming van PNR-gegevens” is te verstaan;

De inhoud van de kennisgeving aan de betrokken personen en de bevoegde autoriteiten moet nader worden bepaald.

22.

De EDPS staat achter de verplichting om alle toegang tot en verwerking en gebruik van PNR-gegevens vast te leggen of te documenteren, aangezien hierdoor kan worden nagegaan of het DHS op passende wijze gebruik heeft gemaakt van PNR-gegevens en of op onrechtmatige wijze toegang is verkregen tot het systeem.

3.7.   Toezicht en handhaving

23.

De EDPS is verheugd over het feit dat in overeenstemming met artikel 14, lid 1, de naleving van de van de in deze overeenkomst vastgestelde waarborgen voor de gegevensbescherming staat onder onafhankelijk toezicht van de voor gegevensbescherming bevoegde ambtenaren, zoals de Chief Privacy Officer van het DHS. Om een doeltreffende uitoefening van de rechten van de betrokkenen te waarborgen, dienen echter de EDPS en de nationale gegevensbeschermingsautoriteiten samen met het DHS de procedures en modaliteiten voor de uitoefening van deze rechten vast te leggen (24). De EDPS zou graag zien dat een dergelijke samenwerking in de overeenkomst wordt vermeld.

24.

De EDPS staat volledig achter het recht dat iedere betrokkene krachtens artikel 14, lid 1, tweede alinea, wordt verleend om „ongeacht zijn nationaliteit, land van herkomst of verblijfplaats” een klacht in te dienen. Evenwel betreurt hij dat in artikel 21 uitdrukkelijk wordt bepaald dat de overeenkomst „op grond van het Amerikaanse recht geen rechten of voordelen voor private of publieke personen of entiteiten” schept of verleent. Weliswaar voorziet de overeenkomst in het recht om in de VS „een rechtsmiddel in te stellen”, maar een dergelijk recht is mogelijk niet gelijkwaardig aan het recht om in de EU een rechtsmiddel in te stellen, met name gezien de in artikel 21 bedoelde beperking.

3.8.   Verdere nationale en internationale doorgifte van gegevens

25.

Artikel 16 verbiedt dat gegevens worden doorgegeven aan binnenlandse overheidsinstanties in verband met de PNR-gegevens waarborgen bieden die „gelijkwaardig zijn aan of vergelijkbaar zijn met” de waarborgen die in deze overeenkomst zijn vastgesteld. De EDPS is ingenomen met deze bepaling. De lijst van autoriteiten waaraan PNR-gegevens mogen worden doorgegeven, moet echter nader worden gespecificeerd. In de overeenkomst is bepaald dat de internationale doorgifte van PNR-gegevens alleen is toegestaan indien het beoogde gebruik door de ontvangende instantie in overeenstemming is met de overeenkomst en indien daarbij — behoudens in noodsituaties — is voorzien in waarborgen voor de gegevensbescherming die „vergelijkbaar” zijn met die van de overeenkomst.

26.

Wat betreft de in de overeenkomst gebruikte formuleringen „vergelijkbaar met” of „gelijkwaardig aan”, wil de EDPS benadrukken dat het DHS gegevens alleen aan binnenlandse overheidsinstanties of overheidsinstanties van derde landen mag doorgeven indien de ontvangende instantie waarborgen biedt die ten minste even streng zijn als die waarin de overeenkomst voorziet. In de overeenkomst moet ook worden verduidelijkt dat de doorgifte van PNR-gegevens slechts per geval plaatsvindt, om te waarborgen dat alleen noodzakelijke gegevens aan de bevoegde ontvangende instanties worden doorgegeven, en dat geen uitzonderingen op deze regel mogen worden toegestaan. Daarnaast beveelt de EDPS aan om de doorgifte van gegevens naar derde landen afhankelijk te maken van voorafgaande toestemming van de rechter.

27.

In artikel 17, lid 4, is bepaald dat wanneer PNR-gegevens van een onderdaan of inwoner van een EU-lidstaat zijn doorgegeven, de bevoegde autoriteiten van de betrokken lidstaat daarvan in kennis moeten worden gesteld indien het DHS van de doorgifte op de hoogte is. Deze voorwaarde moet worden geschrapt, daar het DHS in elk geval op de hoogte dient te zijn van de doorgifte van gegevens naar derde landen.

3.9.   Vorm en evaluatie van de overeenkomst

28.

Het is niet duidelijk in welke wettelijke vorm de VS de overeenkomst beogen te sluiten en op welke wijze de overeenkomst daar juridisch bindende werking zal krijgen. Dit punt moet worden verduidelijkt.

29.

Artikel 20, lid 2, heeft betrekking op de samenhang met een mogelijk toekomstig PNR-systeem van de EU. De EDPS merkt op dat in het overleg over de dan eventueel nodige aanpassing van de overeenkomst met name dient te worden onderzocht „of een toekomstig PNR-systeem van de EU minder strenge gegevensbeschermingsnormen zou toepassen dan die welke in deze overeenkomst zijn vastgesteld”. Om voor de nodige samenhang te zorgen, moet echter bij een eventuele aanpassing ook (en vooral) worden gelet op sterkere waarborgen die een dergelijk toekomstig PNR-systeem zou bieden.

30.

De overeenkomst moet tevens worden geëvalueerd in het licht van het nieuwe gegevensbeschermingskader en van de mogelijke sluiting van een algemene overeenkomst tussen de EU en de VS over de uitwisseling van persoonsgegevens in het kader van politiële en justitiële samenwerking in strafzaken. In dit verband zou in de overeenkomst de volgende nieuwe, op artikel 20, lid 2, gebaseerde bepaling kunnen worden opgenomen: „Indien en wanneer in de EU een nieuw wetgevingskader voor gegevensbescherming wordt ingevoerd of tussen de EU en de VS een nieuwe overeenkomst over de uitwisseling van gegevens wordt gesloten, plegen de partijen overleg om na te gaan of deze overeenkomst moet worden aangepast. Bij dat overleg wordt met name onderzocht of een toekomstig gewijzigd Europees wetgevingskader voor gegevensbescherming of een toekomstige overeenkomst EU/VS betreffende gegevensbescherming strengere gegevensbeschermingsnormen zou toepassen dan die welke in deze overeenkomst zijn vastgesteld en of deze overeenkomst derhalve moet worden aangepast.”

31.

Met betrekking tot de evaluatie van de overeenkomst (artikel 23) is de EDPS van oordeel dat de nationale gegevensbeschermingsautoriteiten uitdrukkelijk bij de evaluatie moeten worden betrokken. Tevens moet de evaluatie specifiek zijn gericht op de beoordeling van de noodzakelijkheid en evenredigheid van de maatregelen en op de doeltreffende uitoefening van de rechten van de betrokkenen, en moet bij de evaluatie onder meer worden nagegaan op welke wijze de verzoeken van betrokkenen in de praktijk worden behandeld, met name wanneer geen rechtstreekse toegang tot hun gegevens is toegestaan. Er moet nader worden bepaald met welke frequentie de overeenkomst dient te worden geëvalueerd.

4.   CONCLUSIE

32.

De EDPS is ingenomen met de waarborgen voor gegevensbescherming en het toezicht daarop waarin de overeenkomst voorziet, alsook met de verbeteringen ten opzichte van de overeenkomst van 2007. Toch maakt de EDPS zich nog steeds zorgen over met name de samenhang van de algemene aanpak met betrekking tot PNR-gegevens, de doelafbakening, de categorieën gegevens die mogen worden doorgegeven aan het DHS, de verwerking van gevoelige gegevens, de bewaringstermijn, de uitzonderingen op de toepassing van de „push-methode”, de rechten van de betrokkenen en de verdere doorgifte van gegevens.

33.

Deze opmerkingen laten onverlet dat elke rechtmatige PNR-regeling of -overeenkomst die in de massale doorgifte van PNR-gegevens van de EU naar derde landen voorziet, aan de vereisten van noodzakelijkheid en evenredigheid moet voldoen. Zoals het Europees Parlement in zijn resolutie van 5 mei 2011 nogmaals heeft bevestigd, zijn „noodzaak en evenredigheid grondbeginselen […] zonder welke terrorismebestrijding nooit doeltreffend zal zijn”.

Gedaan te Brussel, 9 december 2011.

Peter HUSTINX

Europese Toezichthouder voor gegevensbescherming


(1)  PB L 281 van 23.11.1995, blz. 31.

(2)  PB L 8 van 12.1.2001, blz. 1.

(3)  COM(2011) 807 definitief.

(4)  Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika (PB L 204 van 4.8.2007, blz. 18).

(5)  Resolutie van het Europees Parlement van 5 mei 2010 over de opening van onderhandelingen over overeenkomsten inzake persoonsgegevens van passagiers (PNR-gegevens) met de Verenigde Staten, Australië en Canada (PB C 81E van 15.3.2011, blz. 70). Zie tevens de resoluties van het Europees Parlement van 13 maart 2003 over de overdracht van persoonsgegevens door luchtvaartmaatschappijen bij transatlantische vluchten (PB C 61E van 10.3.2004, blz. 381), van 9 oktober 2003 over de overdracht van persoonsgegevens door luchtvaartmaatschappijen bij transatlantische vluchten: de stand van zaken bij de onderhandelingen met de VS (PB C 81E van 31.3.2004, blz. 105), van 31 maart 2004 over het ontwerpbesluit van de Commissie ter vaststelling van een passend beschermingsniveau voor gegevens van persoonlijke aard in de bestanden van vliegtuigpassagiers (PNR) die naar het Bureau Douane en Grensbescherming van de Verenigde Staten worden doorgezonden (PB C 103E van 29.4.2004, blz. 665), de aanbeveling van het Europees Parlement aan de Raad betreffende de onderhandelingen over een overeenkomst met de Verenigde Staten van Amerika inzake het gebruik van persoonsgegevens van passagiers (Passenger Name Records — PNR) voor het voorkomen en bestrijden van terrorisme en grensoverschrijdende criminaliteit, met inbegrip van georganiseerde criminaliteit (PB C 305E van 14.12.2006, blz. 250), zijn resolutie van 14 februari 2007 over SWIFT, de PNR-overeenkomst en de transatlantische dialoog over deze kwesties (PB C 287E van 29.11.2007, blz. 349), en zijn resolutie van 12 juli 2007 over de PNR-overeenkomst met de Verenigde Staten van Amerika (Aangenomen teksten, P6_TA(2007)0347). Al deze documenten zijn beschikbaar op http://www.europarl.europa.eu

(6)  Beperking van het gebruik van de gegevens voor doeleinden in het kader van wetshandhaving of bescherming van de veiligheid in gevallen van ernstige georganiseerde en grensoverschrijdende criminaliteit of terrorisme, op basis van de definities die zijn vastgesteld in Kaderbesluit 2002/475/JBZ van de Raad van 13 juni 2002 inzake terrorismebestrijding (PB L 164 van 22.6.2002, blz. 3) en in Kaderbesluit 2002/584/JBZ van de Raad van 13 juni 2002 het Europees aanhoudingsbevel (PB L 190 van 18.7.2002, blz. 1).

(7)  „Besluiten tot instapweigering of om een onderzoek of vervolging in te stellen mogen nooit uitsluitend op basis van de resultaten van dergelijke automatische zoekacties of navigatie in databanken, worden genomen.”.

(8)  Overeenkomst tussen de Europese Unie en Australië inzake de verwerking en doorgifte van persoonsgegevens van passagiers (PNR) door luchtvaartmaatschappijen aan de Australische dienst Douane en Grensbescherming, ondertekend op 29 september 2011.

(9)  Overeenkomst tussen de Europese Gemeenschap en de regering van Canada inzake de verwerking van op voorhand af te geven passagiersgegevens en persoonsgegevens van passagiers (PB L 82 van 21.3.2006, blz. 15).

(10)  Voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit (COM/2011/0032 definitief).

(11)  Op 3 december 2010 heeft de Raad machtiging gegeven voor het openen van onderhandelingen met het oog op sluiting van een overeenkomst tussen de EU en de VS inzake de bescherming van persoonsgegevens die worden doorgegeven en verwerkt met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten, waaronder terrorisme, in het kader van politiële en justitiële samenwerking in strafzaken. Zie de persmededeling van de Commissie: http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1661

(12)  Zie de mededeling van de Commissie over „Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie” (COM(2010) 609 definitief van 4 november 2010), en daarop aansluitende documenten.

(13)  Advies van de EDPS van 25 maart 2011 over het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit; advies van de EDPS van 15 juli 2011 voor gegevensbescherming over het voorstel voor een besluit van de Raad inzake de sluiting van de Overeenkomst tussen de Europese Unie en Australië inzake de verwerking en doorgifte van persoonsgegevens van passagiers (Passenger Name Record — PNR) door luchtvaartmaatschappijen aan de Australische dienst Douane en grensbescherming; advies van de EDPS van 19 oktober 2010 betreffende de mededeling van de Commissie over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record — PNR) aan derde landen; en advies van de EDPS van 20 december 2007 betreffende het voorstel voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden. Deze adviezen zijn beschikbaar op http://www.edps.europa.eu

(14)  Advies 10/2011 van de Groep gegevensbescherming artikel 29 over het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit; Advies 7/2010 betreffende de mededeling van de Europese Commissie over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record — PNR) aan derde landen; Advies 5/2007 over de follow-upovereenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het Ministerie van Binnenlandse Veiligheid van de Verenigde Staten van Amerika, gesloten in juli 2007; en Advies 4/2003 over het in de VS voor de doorgifte van passagiersgegevens gewaarborgde beschermingsniveau. Deze adviezen zijn beschikbaar op http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/2011_en.htm

(15)  Advies van het Bureau van de Europese Unie voor de grondrechten van 14 juni 2011 inzake het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit (beschikbaar op http://fra.europa.eu/fraWebsite/attachments/FRA-PNR-Opinion-June2011.pdf) en advies van het EESC van 5 mei 2011 over het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende het gebruik van persoonsgegevens van passagiers voor het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en zware criminaliteit (beschikbaar op http://www.eesc.europa.eu/?i=portal.en.soc-opinions.15579).

(16)  Vgl. voetnoot 5.

(17)  Kaderbesluit 2002/475/JBZ van de Raad van 13 juni 2002 inzake terrorismebestrijding (PB L 164 van 22.6.2002, blz. 3).

(18)  Zie de hierboven aangehaalde adviezen van de EDPS en de Groep gegevensbescherming artikel 29.

(19)  Other supplementary information.

(20)  Special Services Information.

(21)  Special Service Requests.

(22)  Zie het hierboven aangehaalde Advies 4/2003 van de Groep gegevensbescherming artikel 29.

(23)  Zie de brief van 19 januari 2011 van de Groep gegevensbescherming artikel 29 aan commissaris Malmström over de PNR-overeenkomsten die de EU heeft gesloten met de VS, Canada en Australië.

(24)  De Groep gegevensbescherming artikel 29 heeft bijvoorbeeld reeds richtsnoeren opgesteld voor informatieverstrekking aan passagiers (zie Advies 2/2007 van de Groep gegevensbescherming artikel 29 van 15 februari 2007 (herzien en bijgewerkt op 24 juni 2008) inzake informatieverstrekking aan passagiers over de doorgifte van PNR-gegevens aan de Amerikaanse overheid, dat beschikbaar is op http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp151_nl.pdf).


Top