KOMISJA EUROPEJSKA
Bruksela, dnia 27.9.2019
COM(2019) 420 final
ZAŁĄCZNIK
Zalecenia
do
DECYZJI RADY
upoważniającej do podjęcia rokowań w sprawie umowy między Unią Europejską a Japonią o przekazywaniu i wykorzystywaniu danych dotyczących przelotu pasażera (PNR) w celu zapobiegania terroryzmowi i innym poważnym przestępstwom o charakterze transgranicznym oraz walki z nimi
ZAŁĄCZNIK
Wytyczne negocjacyjne dotyczące umowy między Unią Europejską a Japonią o przekazywaniu i wykorzystywaniu danych dotyczących przelotu pasażera (PNR) w celu zapobiegania terroryzmowi i innym poważnym przestępstwom o charakterze transgranicznym oraz walki z nimi
W trakcie rokowań Komisja Europejska powinna dążyć do osiągnięcia celów przedstawionych szczegółowo poniżej:
(1)Celem umowy powinno być zapewnienie podstawy prawnej, warunków i zabezpieczeń dotyczących przekazywania Japonii danych PNR.
(2)Umowa powinna należycie odzwierciedlać konieczność i znaczenie wykorzystywania danych PNR w kontekście zapobiegania terroryzmowi i innym poważnym przestępstwom o charakterze transgranicznym oraz zwalczania tych zjawisk.
(3)Dlatego celem niniejszej umowy powinno być uregulowanie przekazywania i wykorzystywania danych PNR wyłącznie w celu zapobiegania terroryzmowi i innym poważnym przestępstwom o charakterze transgranicznym oraz zwalczania tych zjawisk, przy pełnym poszanowaniu ochrony prywatności, danych osobowych oraz podstawowych praw i wolności osób fizycznych na warunkach, które zostaną określone w umowie.
(4)Umowa powinna również uwzględniać znaczenie transferu danych PNR do Japonii w kontekście wspierania współpracy policyjnej i sądowej, czego wyrazem będzie przekazywanie informacji analitycznych wynikających z danych PNR. W związku z tym umowa powinna zapewnić przekazywanie informacji analitycznych pochodzących od właściwych organów Japonii do organów policyjnych i sądowych państw członkowskich, a także do Europolu i Eurojustu w ramach ich odpowiednich kompetencji.
(5)Aby zagwarantować zgodność z zasadą celowości, umowa powinna ograniczać przetwarzanie danych PNR wyłącznie do celów związanych z zapobieganiem terroryzmowi i innym poważnym przestępstwom o charakterze transgranicznym, ich wykrywaniem, prowadzeniem dochodzeń w ich sprawie lub ich ściganiem, w oparciu o definicje określone w odpowiednich instrumentach UE.
(6)Umowa powinna zapewniać pełne poszanowanie podstawowych praw i wolności zapisanych w art. 6 Traktatu o Unii Europejskiej, w szczególności prawa do ochrony danych osobowych przewidzianego w art. 16 Traktatu o funkcjonowaniu Unii Europejskiej i art. 8 Karty praw podstawowych Unii Europejskiej. Powinna ona również zapewnić pełne poszanowanie zasad konieczności i proporcjonalności w odniesieniu do prawa do życia prywatnego i rodzinnego oraz ochrony danych osobowych zgodnie z art. 7 i art. 8 Karty praw podstawowych UE zgodnie z wykładnią Trybunału Sprawiedliwości zawartą w jego opinii 1/15 dotyczącej planowanej umowy między UE a Kanadą w sprawie danych PNR.
(7)Umowa powinna zagwarantować pewność prawa, w szczególności przewoźnikom lotniczym, przez zapewnienie im podstawy prawnej do przekazywania danych PNR zawartych w ich zautomatyzowanych systemach rezerwacji i odpraw pasażerskich.
(8)Umowa powinna w jasny i precyzyjny sposób określać, w kontekście przekazywania Japonii danych PNR, niezbędne zabezpieczenia i środki kontroli w odniesieniu do ochrony danych osobowych, podstawowych praw i wolności osób fizycznych, niezależnie od obywatelstwa i miejsca zamieszkania. Zabezpieczenia te powinny zapewniać wypełnienie następujących warunków:
a)Kategorie danych PNR, które mają być przekazywane, powinny być określone wyczerpująco oraz w sposób jasny i precyzyjny, zgodnie z międzynarodowymi standardami. Przekazywanie danych powinno ograniczać się do niezbędnego minimum i być proporcjonalne do określonego celu umowy.
b)Nie należy przetwarzać danych szczególnie chronionych w rozumieniu prawa UE, w tym danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych lub dotyczących zdrowia lub życia seksualnego lub orientacji seksualnej danej osoby.
c)Umowa powinna zawierać postanowienia dotyczące bezpieczeństwa danych, w szczególności zezwalać jedynie ograniczonej liczbie specjalnie upoważnionych osób na dostęp do danych PNR i przewidywać obowiązek niezwłocznego powiadamiania europejskich organów ochrony danych osobowych o przypadkach naruszenia bezpieczeństwa danych, które mają związek z danymi PNR, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności osób fizycznych, oraz wskazywać na skuteczne i odstraszające sankcje.
d)Umowa powinna zawierać postanowienia dotyczące odpowiednich i przejrzystych informacji dla pasażerów w związku z przetwarzaniem ich danych PNR, a także prawa do indywidualnego powiadomienia w przypadku wykorzystania tych danych po przybyciu, prawa do dostępu do nich oraz, w stosownych przypadkach, do ich sprostowania i usunięcia.
e)Umowa powinna zapewniać prawo do skutecznego dochodzenia roszczeń na drodze administracyjnej lub sądowej w sposób niedyskryminacyjny, niezależnie od narodowości lub miejsca zamieszkania, w odniesieniu do każdej osoby, której dane są przetwarzane na podstawie umowy, zgodnie z art. 47 Karty praw podstawowych Unii Europejskiej.
f)Umowa powinna zapewniać, aby zautomatyzowane przetwarzanie danych było oparte na konkretnych, obiektywnych, niedyskryminacyjnych i wiarygodnych oraz wcześniej ustalonych kryteriach i nie powinno być wykorzystywane jako jedyna podstawa jakichkolwiek decyzji mających negatywne skutki prawne lub poważnie wpływających na daną osobę. Bazami danych, w których porównywane są dane PNR, powinny być wyłącznie te bazy, które są istotne dla celów objętych umową, i powinny być one wiarygodne i aktualne.
g)Wykorzystanie danych PNR przez właściwy organ japoński do celów innych niż kontrole bezpieczeństwa i odprawy graniczne powinno opierać się na nowych okolicznościach i być uzależnione od materialnych i proceduralnych przesłanek opartych na obiektywnych kryteriach. Wykorzystanie takich danych powinno być w szczególności przedmiotem uprzedniej kontroli przeprowadzanej przez sąd lub niezależny organ administracyjny, z wyjątkiem należycie uzasadnionych pilnych przypadków.
h)Okres przechowywania danych PNR powinien być ograniczony i nie powinien być dłuższy niż jest to konieczne do osiągnięcia pierwotnego celu. Zatrzymywanie danych PNR po wyjeździe pasażerów lotniczych z Japonii powinno być zgodne z wymogami określonymi w orzecznictwie Trybunału Sprawiedliwości. Umowa powinna przewidywać, że dane będą usuwane po upływie okresu przechowywania lub anonimizowane w taki sposób, by danej osoby nie można już było zidentyfikować.
i)Umowa powinna zapewnić, by dalsze ujawnianie danych PNR innym organom rządowym w obrębie tego samego kraju lub innym krajom mogło odbywać się wyłącznie w poszczególnych przypadkach oraz na pewnych warunkach, przy zapewnieniu określonych zabezpieczeń. W szczególności ujawnianie może mieć miejsce tylko wtedy, gdy organ przyjmujący pełni funkcje związane z walką z terroryzmem lub poważną przestępczością transgraniczną i zapewnia taką samą ochronę, jaką przewidziano w umowie. Dalsze przekazywanie danych właściwym organom innych państw trzecich powinno być ograniczone do tych państw, z którymi UE zawarła równoważne umowy w sprawie danych PNR lub w odniesieniu do których UE przyjęła decyzję stwierdzającą odpowiedni stopień ochrony na mocy unijnego prawa o ochronie danych, obejmującą odpowiednie organy, którym mają zostać przekazane dane PNR.
(9)Umowa powinna zapewniać system nadzoru przez niezależny organ publiczny odpowiedzialny za ochronę danych, dysponujący skutecznymi uprawnieniami w zakresie prowadzenia dochodzeń, interwencji i egzekwowania przepisów w celu sprawowania nadzoru nad organami publicznymi, które wykorzystują dane PNR. Organ ten powinien posiadać uprawnienia do rozpatrywania skarg osób fizycznych, w szczególności dotyczących przetwarzania danych PNR tych osób. Organy publiczne, które wykorzystują dane PNR, powinny odpowiadać za przestrzeganie przepisów dotyczących ochrony danych osobowych na mocy przedmiotowej umowy.
(10)Umowa powinna wymagać, by dane były przekazywane wyłącznie za pomocą systemu „push”.
(11)Umowa powinna gwarantować, że częstotliwość i terminy przekazywania danych PNR nie będą stwarzały nieuzasadnionego obciążenia dla przewoźników i będą ograniczały się do tego, co absolutnie konieczne.
(12)Umowa powinna gwarantować, że przewoźnicy lotniczy nie będą zobowiązani do gromadzenia dodatkowych danych, ani do gromadzenia określonych rodzajów danych, lecz wyłącznie do przekazywania danych, które już gromadzą w ramach swojej działalności.
(13)Umowa powinna zawierać postanowienia dotyczące regularnego wspólnego przeglądu wszystkich aspektów wdrażania umowy, w tym wiarygodności i aktualności określonych wcześniej modeli i kryteriów i baz danych, obejmującego ocenę proporcjonalności zatrzymanych danych na podstawie ich wartości do celów zapobiegania terroryzmowi i innym poważnym przestępstwom o charakterze transgranicznym oraz walki z nimi.
(14)Umowa powinna przewidywać mechanizm rozstrzygania sporów w zakresie jej interpretacji, stosowania i wdrażania.
(15)Umowa powinna zostać zawarta na okres 7 lat i powinna zawierać postanowienie, na mocy którego umowa może zostać przedłużona na podobny okres, chyba że jedna ze stron wypowie umowę.
(16)Umowa powinna zawierać klauzulę dotyczącą terytorialnego stosowania.
(17)Umowa powinna być autentyczna w języku angielskim, bułgarskim, chorwackim, czeskim, duńskim, estońskim, fińskim, francuskim, greckim, hiszpańskim, litewskim, łotewskim, maltańskim, niderlandzkim, niemieckim, polskim, portugalskim, rumuńskim, słowackim, słoweńskim, szwedzkim, węgierskim i włoskim i zawierać w tym celu klauzulę językową.