52010DC0492

[pic] | EVROPSKA KOMISIJA |

Bruselj, 21.9.2010

COM(2010) 492 konč.

SPOROČILO KOMISIJE

o globalnem pristopu k prenosu podatkov iz evidence imen letalskih potnikov (PNR) tretjim državam

SPOROČILO KOMISIJE

o globalnem pristopu k prenosu podatkov iz evidence imen letalskih potnikov (PNR) tretjim državam

UVOD

Teroristični napadi v Združenih državah Amerike leta 2001, Madridu leta 2004 in Londonu leta 2005 so privedli do novega pristopa k politikam zagotavljanja notranje varnosti. Nedavni dogodki, kot sta poskusa terorističnih napadov na letalu na božični dan leta 2009 in na Times Squaru v New Yorku leta 2010, pričajo o obstoječi nevarnosti terorističnih groženj. Hkrati narašča organizirani kriminal, zlasti trgovina z drogami in trgovina z ljudmi[1].

V odziv na te nenehne grožnje so EU in tretje države sprejele nove ukrepe, ki vključujejo zbiranje in izmenjavo osebnih podatkov. Komisija jih je predstavila v Pregledu upravljanja informacij na območju svobode, varnosti in pravice[2]. Eden takih ukrepov je uporaba podatkov iz evidence imen letalskih potnikov (Passenger Name Record – PNR) za namene pregona.

Komisija je 16. januarja 2003 izdala Sporočilo Svetu in Parlamentu z naslovom „Prenos podatkov iz evidence imen letalskih potnikov (PNR): globalni pristop EU“[3], v katerem so bili določeni elementi globalnega pristopa EU v zvezi s PNR. Sporočilo je pozvalo k vzpostavitvi pravno varnega okvira za prenos podatkov PNR ministrstvu za domovinsko varnost Združenih držav in k sprejetju notranje politike v zvezi s PNR. Sporočilo je vsebovalo tudi poziv k razvoju sistema zahtev za prenos podatkov s strani letalskih prevoznikov (t. i. sistema „push“)[4] in pripravi mednarodne pobude glede prenosa podatkov PNR v okviru Mednarodne organizacije civilnega letalstva (ICAO).

Zahteve iz sklepnih ugotovitev navedenega sporočila so bile v veliki meri izvedene, druge pa so v procesu izvajanja. Tako je EU z ministrstvom za domovinsko varnost Združenih držav podpisala sporazum o prenosu podatkov PNR, katerega namen je boj proti terorizmu in hudim mednarodnim kaznivim dejanjem, zagotavlja pa prenos podatkov PNR ob hkratnem varstvu osebnih podatkov[5]. Poleg tega je Komisija sprejela predlog Okvirnega sklepa Sveta o uporabi evidence podatkov o potnikih (PNR) za namene kazenskega pregona[6]. Na podlagi ocene učinka trenutno preučuje možnost, da bi ga zamenjala s predlogom Direktive o uporabi podatkov iz evidence imen letalskih potnikov (PNR) za namene kazenskega pregona. Večina letalskih prevoznikov je ustrezno razvila sistem prenosa podatkov (t. i. sistem „push“), Mednarodna organizacija civilnega letalstva (ICAO) pa je sprejela vrsto smernic za prenos podatkov PNR vladam.

Poleg sporazuma z Združenimi državami je EU podpisala podobna sporazuma s Kanado[7] in Avstralijo[8]. Tudi Nova Zelandija, Južna Koreja in Japonska uporabljajo podatke PNR, vendar do dne tega poročila niso sklenile sporazumov z EU. V EU ima sistem PNR Združeno kraljestvo, druge države članice pa so sprejele vsaj ustrezno zakonodajo ali pa preskušajo uporabo podatkov PNR.

Ta razvoj kaže, da uporaba podatkov PNR narašča in se vse bolj dojema kot redni in potrebni element dela na področju pregona. Obenem uporaba podatkov PNR vključuje obdelavo osebnih podatkov, kar zastavlja pomembna vprašanja glede temeljnih pravic varstva zasebnosti in osebnih podatkov.

Posledično se EU srečuje z novimi izzivi v zvezi z mednarodnimi prenosi podatkov PNR. Zelo verjetno je, da se bo število držav, ki razvijajo sisteme PNR, v prihodnjih letih povečalo. EU je z izkušnjami pri izvedbi skupnih pregledov izvajanja sporazumov z Združenimi državami in Kanado dobila pomemben vpogled v strukturo in pomen sistemov PNR.

Komisija zato meni, da mora ponovno preučiti svoj globalni pristop k prenosu podatkov PNR tretjim državam. Pregled tega pristopa naj bi zagotovil trdna jamstva glede varstva podatkov in popolno spoštovanje temeljnih pravic ter bil v skladu z načeli oblikovanja politike, opredeljenimi v Pregledu upravljanja informacij na območju svobode, varnosti in pravice[9]. Pri oblikovanju spremenjenega pristopa v zvezi s PNR so zlasti pomembna stališča glavnih zainteresiranih strani, tj. držav članic, Evropskega parlamenta, evropskega nadzornika za varstvo podatkov in delovne skupine za varstvo podatkov iz člena 29, o splošnih vprašanjih PNR.

Glavni cilj tega sporočila je prvič določiti niz splošnih meril, ki naj bi bila podlaga za prihodnja pogajanja o sporazumih PNR s tretjimi državami. To bo EU v pomoč pri odzivanju na trenutne trende, hkrati pa bo sporočilo tretjim državam, državam članicam in državljanom o tem, kako želi Evropska komisija določiti svojo zunanjo politiko PNR. Priporočila Komisije v zvezi s pogajanji o sporazumih PNR s tretjimi državami bi v prihodnje morala upoštevati vsaj splošna merila iz tega sporočila, dodatna merila pa bi se lahko določila v vsakem posameznem priporočilu.

MEDNARODNI TRENDI V ZVEZI S PNR

Podatki PNR in njihova uporaba

Podatki PNR so nepreverjene informacije, ki jih predložijo potniki in zbirajo letalski prevozniki za omogočanje rezervacij in izvedbo postopka prijave na let. Gre za zbirko zahtevanih podatkov za potovanje vsakega potnika, ki so shranjeni v rezervacijskem sistemu letalskih prevoznikov in sistemu za nadzor odhodov pri letalskih prevoznikih. Zbirka vsebuje različne vrste informacij, na primer datum in načrt potovanja, podatke o vozovnici, kontaktne podatke, npr. naslov in telefonske številke, podatke o potovalni agenciji, podatke o plačilu, številko sedeža in informacije o prtljagi.

Podatki PNR se razlikujejo od podatkov API (Advance Passenger Information). Podatki API so podatki o istovetnosti osebe, ki se razberejo iz strojno čitljivega dela potnega lista in vsebujejo ime, stalno prebivališče, kraj rojstva in državljanstvo osebe. V skladu z direktivo API[10] se podatki API posredujejo organom mejne kontrole samo glede letalskih potnikov, ki vstopajo v EU, in sicer z namenom izboljšanja mejne kontrole in boja proti nezakonitemu priseljevanju. Čeprav ta direktiva dovoljuje uporabo podatkov API za namene pregona, se to zdi prej izjema kot pravilo. Države članice smejo te podatke hraniti 24 ur.

Podatki API se uporabljajo predvsem za preverjanje identitete v okviru mejnih kontrol in upravljanja meja, v nekaterih primerih pa jih uporabljajo tudi organi pregona, da lahko identificirajo osumljence in iskane osebe. Torej so podatki API v prvi vrsti orodje za upravljanje identitete. Uporaba takih podatkov na svetu vedno bolj narašča; več kot 30 držav jih uporablja sistematično, več kot 40 držav pa vzpostavlja sisteme API.

Nekatere države od letalskih prevoznikov zahtevajo, da jim poleg podatkov API posredujejo tudi podatke PNR. Ti podatki se potem uporabijo v boju proti terorizmu in hudim kaznivim dejanjem, kot sta trgovina z ljudmi in trgovina z drogami. Podatke PNR že skoraj 60 let uporabljajo predvsem carinski organi, pa tudi organi pregona po celem svetu. Vendar do nedavnega elektronski in vnaprejšnji dostop do teh podatkov tehnološko ni bil možen, tako da je bila njihova uporaba omejena na ročno obdelavo samo nekaterih letov. Tehnološki napredek danes omogoča vnaprejšnji elektronski prenos podatkov.

Načini uporabe podatkov PNR in podatkov API se zelo razlikujejo, predvsem zaradi dejstva, da evidenca PNR vsebuje zelo različne vrste podatkov. Podatki PNR se uporabljajo predvsem kot kriminalistični obveščevalni podatki in ne toliko za preverjanje identitete. Načini uporabe podatkov PNR so zlasti: (i) ocena tveganja v zvezi s potniki in identifikacija „neznanih“ oseb, tj. oseb, ki bi lahko bile zanimive za organe pregona in do zdaj niso bile osumljene; (ii) hitrejša dostopnost v primerjavi s podatki API, kar je prednost za organe pregona, saj imajo več časa za postopke, analize in morebitne nadaljnje ukrepe; (iii) odkrivanje, katerim osebam pripadajo določeni naslovi, kreditne kartice itd., povezani s kaznivimi dejanji; in (iv) primerjava podatkov PNR z drugimi podatki PNR za odkrivanje udeležencev pri kaznivem dejanju, povezanih z osumljenci, na primer z ugotovitvijo, kdo potuje skupaj.

Narava in uporaba podatkov PNR sta posebni. Uporaba je lahko:

reaktivna (pretekli podatki): uporaba v preiskavah, pregonu, pri razkrivanju mrež po storitvi kaznivega dejanja. Da se organi pregona lahko vrnejo dovolj nazaj v času, morajo ustrezno dolgo hraniti podatke;

v realnem času (sedanji podatki): uporaba za preprečevanje kaznivih dejanj, nadzor ali prijetje oseb pred storitvijo kaznivega dejanja oziroma ker je bilo kaznivo dejanje storjeno ali se izvršuje. V takih primerih se podatki PNR pregledujejo glede na vnaprej določene na dejstvih osnovane kazalnike tveganja, da bi se identificirale prej „neznane“ osebe, ter glede na različne zbirke podatkov iskanih oseb in predmetov;

proaktivna (vzorci): uporaba za analizo trendov in oblikovanje na dejstvih osnovanih potovalnih vzorcev ter vzorcev splošnega obnašanja, ki se potem lahko uporabijo v realnem času. Za določitev potovalnih vzorcev in vzorcev obnašanja mora biti analitikom trendov dovoljeno uporabljati podatke v dovolj dolgem časovnem obdobju. V takih primerih morajo organi pregona ustrezno dolgo hraniti podatke.

Trenutni trendi

Nekatere tretje države, tj. Združene države, Kanada, Avstralija, Nova Zelandija in Južna Koreja, že uporabljajo podatke PNR za namene pregona. Druge tretje države (Japonska, Saudova Arabija, Južna Afrika in Singapur) pa so sprejele ustrezno zakonodajo in/ali trenutno preskušajo uporabo podatkov PNR. Več tretjih držav razmišlja o uporabi podatkov PNR, ustrezna zakonodaja pa še ni sprejeta. V EU sistem PNR že ima Združeno kraljestvo. Francija, Danska, Belgija, Švedska in Nizozemska so sprejele ustrezno zakonodajo in/ali trenutno preskušajo uporabo podatkov PNR. Več drugih držav članic razmišlja o uvedbi sistemov PNR.

Priznavajoč nujnost podatkov PNR za preprečevanje terorizma in hudih kaznivih dejanj ter boj proti njim, je Evropska komisija v skladu s sporočilom iz leta 2003 pripravila predlog Okvirnega sklepa o uporabi evidence podatkov o potnikih (PNR) za namene kazenskega pregona. Zaradi začetka veljavnosti Lizbonske pogodbe zdaj razmišlja o tem, da bi ga zamenjala s predlogom Direktive o uporabi podatkov iz evidence imen letalskih potnikov (PNR) za namene kazenskega pregona. Predlog bo od letalskih prevoznikov zahteval, da državam članicam posredujejo podatke PNR za uporabo v boju proti terorizmu in hudim kaznivim dejanjem.

Na mednarodni ravni so podatki PNR vse bolj sprejeti kot nujno potrebno orodje v boju proti terorizmu in hudim kaznivim dejanjem. Ta trend je posledica treh dejavnikov. Prvič, mednarodni terorizem in mednarodna kazniva dejanja predstavljajo resno grožnjo družbi in proti tem težavam je treba ukrepati. Eden od ukrepov, ki je nujen z vidika pregona, je dostop do podatkov PNR in njihova analiza. Drugič, najnovejši tehnološki dosežki omogočajo tak dostop in analizo, kar je bilo še pred nekaj leti nepojmljivo. Različne tehnološke dosežke zadnjih let uporabljajo tudi storilci kaznivih dejanj pri načrtovanju, pripravi in izvršitvi kaznivih dejanj. In tretjič, ob hitrem naraščanju mednarodnih potovanj in števila potnikov so z elektronsko obdelavo podatkov pred prihodom potnikov v veliki meri olajšane in pospešene varnostne in mejne kontrole, saj je postopek ocene tveganja izveden pred prihodom. Organi pregona imajo možnost, da se osredotočijo le na tiste potnike, za katere utemeljeno domnevajo, da predstavljajo dejansko nevarnost za varnost, kot pa da njihove ocene temeljijo na občutkih, predsodkih ali predstavah.

Vplivi trenutnih trendov na Evropsko unijo

Zakonodaja EU o varstvu podatkov letalskim prevoznikom, ki izvajajo lete z ozemlja EU, brez ustreznih zaščitnih ukrepov ne dovoljuje posredovanja podatkov PNR o potnikih tretjim državam, ki ne zagotavljajo ustrezne ravni varstva osebnih podatkov. Letalski prevozniki so se torej znašli v zelo težki situaciji, ko so Združene države, Kanada in Avstralija od njih zahtevale prenos podatkov PNR o potnikih na letih v te države. Zato se je vključila EU ter izpogajala in podpisala ločene mednarodne sporazume z vsako od teh treh držav[11], s čimer je bil omogočen prenos podatkov PNR iz EU organom pregona teh treh držav. Namen je bil pomagati letalskim prevoznikom iz opisane situacije, zagotoviti ustrezno raven varstva podatkov o potnikih ter priznati nujnost in pomen uporabe podatkov PNR v boju proti terorizmu in hudim kaznivim dejanjem.

Pričakovati je, da se bo ta tematika še naprej pojavljala, saj vse več držav uvaja sisteme PNR. Če se Komisija odloči nadaljevati postopek v zvezi s predlogom direktive EU o PNR, bi take zahteve lahko postale pogostejše, če bi tretje države od EU zahtevale vzajemnost.

Do danes je bilo sklepanje mednarodnih sporazumov o PNR s tretjimi državami odvisno od „povpraševanja“ in opravljeno za vsak primer posebej. Čeprav so v vseh sporazumih obravnavana splošna vprašanja in urejene iste zadeve, njihove določbe niso enake. Posledica tega so bila včasih različna pravila za letalske prevoznike in varstvo podatkov. Ker se bo „povpraševanje“ v bližnji prihodnosti verjetno povečalo, bi lahko strategija Evropski uniji omogočila bolj strukturirano odzivanje nanj, kar bi pomenilo manj razhajanja med določbami različnih sporazumov.

SPREMENJEN GLOBALNI PRISTOP ZA EU V ZVEZI S PNR

Razlogi za spremenjen globalni pristop v zvezi s PNR

V času, ko se izvajajo zahteve iz sklepnih ugotovitev sporočila iz leta 2003 in se EU srečuje z novimi trendi in izzivi, je pomembno, da jih ustrezno upošteva pri nadaljnjem oblikovanju globalnega pristopa v zvezi s prenosom podatkov PNR tretjim državam, razlogi pa so naslednji.

Boj proti terorizmu in hudim mednarodnim kaznivim dejanjem: EU ima obveznost do sebe in tretjih držav, da z njimi sodeluje v boju proti tem grožnjam. Eden od načinov sodelovanja je izmenjava podatkov s tretjimi državami. Zagotovitev podatkov PNR za namene pregona je nujna za boj proti terorizmu in hudim mednarodnim kaznivim dejanjem. V strategiji o zunanji razsežnosti pravosodja in notranjih zadev[12] ter tudi v strategiji EU za boj proti terorizmu[13] in stockholmskem programu[14] je omenjena potreba po tesnem sodelovanju s tretjimi državami.

Zagotovitev varstva osebnih podatkov in zasebnosti: EU je zavezana zagotoviti visoko raven in učinkovitost varstva osebnih podatkov, vključno s tem, da vsak prenos podatkov PNR tretjim državam poteka na varen način v skladu z veljavnimi pravnimi zahtevami EU ter da potniki lahko uveljavljajo pravice v zvezi z obdelavo njihovih podatkov.

Potreba po zagotovitvi pravne varnosti in poenotenju obveznosti letalskih prevoznikov: pomembno je, da EU zagotovi usklajen pravni okvir za prenos podatkov PNR s strani letalskih prevoznikov tretjim državam. To je potrebno za zaščito prevoznikov pred sankcijami in zagotovitev, da so pogoji in postopki za prenos podatkov po celem svetu čim bolj enotni in usklajeni, da se zmanjša stroškovna obremenitev industrije in zagotovijo enaki pogoji v sektorju.

Določitev splošnih pogojev z namenom zagotovitve usklajenosti in nadaljnjega oblikovanja mednarodnega pristopa: sporazumi PNR, ki jih je EU podpisala s tretjimi državami, imajo podoben namen, njihova vsebina pa se razlikuje glede na postopke prenosa in naravo obveznosti tretje države. Glede na različne zahteve in različne pravne rede v teh državah je takšno razhajanje obveznosti do neke mere sprejemljivo, v vseh pa bi se morala upoštevati določena splošna merila (glej točki 3.2 in 3.3 v nadaljevanju). Za zagotovitev čim enotnejše obravnave potnikov in zmanjšanje stroškov panoge je pomembno, da so vsebina in standardi prihodnjih sporazumov s tretjimi državami čim bolj podobni. To bi lahko bila podlaga za naslednji korak, ki bi lahko zajemal bolj usklajen večstranski pristop k izmenjavam podatkov PNR.

Prispevek k večji udobnosti potnikov: v spoprijemanju z grožnjami za varnost, ki so prisotne v naši družbi, kontrole potnikov pri prečkanju meja postajajo podrobnejše in daljše. V povezavi s stalnim naraščanjem obsega mednarodnih potovanj to vodi k daljšim čakalnim dobam na mejah. Vnaprejšnji elektronski prenos podatkov PNR pred prečkanjem meje omogoča vnaprejšnjo kontrolo potnikov, ki lahko tako hitreje in lažje prečkajo mejo, organi pregona pa se osredotočijo le na osebe, ki jih zanimajo.

Splošni dejavniki

Namen spremenjenega globalnega pristopa v zvezi s PNR je Evropski uniji zagotoviti podlago za odločanje, kako najbolje obravnavati zahteve tretjih držav za prenos podatkov PNR v prihodnosti. Poleg načel oblikovanja politike, opredeljenih v Pregledu upravljanja informacij na območju svobode, varnosti in pravice, so pomembni naslednji posebni dejavniki:

skupen varnostni interes: terorizem in huda kazniva dejanja so mednarodne narave. Nekatere države na svetu so naraščajočim grožnjam terorizma in hudih kaznivih dejanj bolj izpostavljene kot druge. EU je zavezana k sodelovanju z njimi in pomoči v boju proti takšnemu ogrožanju varnosti;

varstvo osebnih podatkov: ker prenos, uporaba in obdelava podatkov PNR vplivajo na temeljno pravico posameznikov do varstva njihovih osebnih podatkov, je izredno pomembno, da EU sodeluje samo s tistimi tretjimi državami, ki lahko zagotovijo ustrezno raven varstva podatkov PNR, ki izvirajo iz EU;

zunanji odnosi: upoštevati je treba tudi celotne zunanje odnose EU s tretjimi državami. Delovanje policije in sodstva ter sodelovanje z njima, načelo pravne države in splošno spoštovanje temeljnih pravic so pomembni dejavniki, ki jih je treba upoštevati.

Standardi, vsebina in merila

V globalnem pristopu PNR naj bi bili določeni splošni standardi, ki bi jih mednarodni sporazumi med EU in tretjimi državami morali upoštevati, da bi se dosegla čim večja skladnost v zvezi z jamstvi glede varstva podatkov v navedenih državah in postopki prenosa podatkov s strani letalskih prevoznikov.

Bistveno je tudi, da ima EU na voljo mehanizme spremljanja pravilnega izvajanja, na primer v obliki rednih skupnih pregledov izvajanja sporazumov, in učinkovite mehanizme reševanja sporov.

Varstvo osebnih podatkov

Zbiranje in prenos podatkov PNR tretjim državam zadeva zelo veliko število posameznikov in njihovih osebnih podatkov. Zato je treba posebno pozornost nameniti učinkovitemu varstvu osebnih podatkov.

V Evropi sta temeljni pravici do spoštovanja zasebnega življenja in varstva osebnih podatkov določeni v členu 8 Evropske konvencije o varstvu človekovih pravic in temeljnih svoboščin (EKČP) ter členih 7 in 8 Listine EU o temeljnih pravicah[15]. Ti temeljni pravici sta priznani vsakomur ne glede na državljanstvo ali stalno prebivališče. Nadaljnji standardi varstva podatkov so določeni v Konvenciji Sveta Evrope št. 108 o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov iz leta 1981 ter njenem dodatnem protokolu št. 181 iz leta 2001.

Kakršno koli omejevanje uresničevanja pravic in svoboščin, ki jih priznava Listina EU o temeljnih pravicah, mora biti predpisano z zakonom in spoštovati bistveno vsebino teh pravic in svoboščin. Ob upoštevanju načela sorazmernosti so omejitve dovoljene samo, če so potrebne in če dejansko ustrezajo ciljem splošnega interesa, ki jih priznava Unija, ali če so potrebne zaradi zaščite pravic in svoboščin drugih.

Ker se ureditve varstva podatkov v tretjih državah lahko razlikujejo od veljavne ureditve v EU, je pomembno, da tretja država pri vseh prenosih podatkov PNR iz držav članic EU v tretje države zagotavlja ustrezno raven varstva podatkov na trdni pravni podlagi. Taka ustrezna raven varstva podatkov je lahko določena v zakonodaji tretje države ali zagotovljena v obliki pravno zavezujočih obveznosti v mednarodnem sporazumu o obdelavi osebnih podatkov.

Ustreznost ravni varstva podatkov, ki jo zagotavlja tretja država, se oceni glede na vse okoliščine postopka prenosa podatkov. EU bo v tem okviru preučila tudi upoštevanje mednarodnih standardov v tretji državi v zvezi z ratifikacijo mednarodnih pravnih aktov o varstvu podatkov in temeljnimi pravicami na splošno. Odločitve glede ustreznosti, ki jih je Evropska komisija že sprejela, naj bi se uporabile kot smernice za to, kaj se lahko šteje za ustrezno.

Temeljna načela varstva osebnih podatkov, ki bi jih morala upoštevati tretja država, ki zahteva prenos podatkov, so:

- omejitev namena – uporaba podatkov: področje uporabe podatkov s strani tretje države bi moralo biti jasno in natančno določeno v sporazumu in ne bi smelo biti širše od tistega, kar je potrebno za dosego ciljev. Izkušnje z veljavnimi sporazumi PNR kažejo, da bi bilo treba podatke PNR uporabljati le za namene pregona in varnosti v boju proti terorizmu in hudim mednarodnim kaznivim dejanjem. Ključne pojme, kot sta terorizem in huda mednarodna kazniva dejanja, bi bilo treba opredeliti na način, kot so opredeljeni pojmi v zadevnih pravnih aktih EU;

- omejitev namena – obseg podatkov: izmenjava podatkov bi morala biti omejena na minimum in sorazmerna. Vsak sporazum bi moral vsebovati izčrpen seznam kategorij podatkov PNR, ki se prenesejo;

- posebne kategorije osebnih podatkov (občutljivi podatki): podatki PNR, ki razkrivajo rasno ali etnično poreklo, politična, verska ali filozofska prepričanja, članstvo v sindikatih in zdravstveno stanje ali spolno življenje, se smejo uporabiti le v izjemnih okoliščinah, kadar obstaja neposredna nevarnost za življenje, ter pod pogojem, da so v tretji državi predvideni ustrezni zaščitni ukrepi, na primer da se smejo taki podatki uporabiti samo v posameznih primerih, po odobritvi visokega uradnika in izključno za namene prvotnega prenosa;

- varnost podatkov: podatki PNR morajo biti zaščiteni pred zlorabo in nepooblaščenim dostopom z ustreznimi tehničnimi varnostnimi postopki in ukrepi, ki ščitijo pred tveganji za varnost, zaupnost in celovitost podatkov;

- nadzor in odgovornost: vzpostaviti je treba sistem nadzora s strani neodvisnega organa javne uprave, pristojnega za varstvo podatkov, z učinkovitimi intervencijskimi in izvršilnimi pooblastili, ki nadzoruje tiste organe javne uprave, ki uporabljajo podatke PNR. Ti odgovarjajo za upoštevanje veljavnih predpisov o varstvu osebnih podatkov in bi morali biti pooblaščeni za obravnavo pritožb posameznikov v zvezi z obdelavo podatkov PNR;

- preglednost in obveščanje: vsakega posameznika je treba obvestiti vsaj o namenu obdelave osebnih podatkov, subjektu, ki jih bo obdeloval, predpisih, na podlagi katerih se bodo obdelovali, vrstah tretjih oseb, ki jim bodo podatki razkriti, ter o možnem pravnem varstvu;

- dostop, popravek in izbris: vsak posameznik ima pravico do dostopa do svojih podatkov PNR ter, če je to primerno, pravico do popravka in izbrisa navedenih podatkov;

- pravno varstvo: vsak posameznik ima pravico do učinkovitega upravnega in sodnega varstva v primeru kršitve njegove zasebnosti ali predpisov o varstvu podatkov, in sicer na nediskriminatorni podlagi ne glede na državljanstvo ali stalno prebivališče. Vsaka taka kršitev se kaznuje z ustreznimi in učinkovitimi sankcijami in/ali sredstvi;

- avtomatizirane posamične odločitve: odločitve, ki imajo negativne učinke za posameznika, se ne smejo sprejemati zgolj na podlagi avtomatizirane obdelave osebnih podatkov, ne da bi bili vključeni ljudje;

- hramba podatkov: obdobje hrambe podatkov PNR ne bi smelo biti daljše, kot je potrebno za izvedbo opredeljenih nalog. Pri tem bi bilo treba upoštevati različne načine uporabe podatkov PNR (glej točko 1.2.1 zgoraj) in možnosti omejitve pravic do dostopa med obdobjem hrambe, na primer s postopnim anonimiziranjem podatkov;

- omejitve v zvezi z nadaljnjimi prenosi drugim vladnim organom: podatki PNR se lahko razkrijejo le tistim vladnim organom, ki so pooblaščeni za boj proti terorizmu in hudim mednarodnim kaznivim dejanjem ter zagotavljajo enako raven varstva, kot jo zagotavlja organ prejemnik na podlagi sporazuma in v skladu s svojimi prizadevanji. Podatki PNR se nikoli ne smejo razkriti v celoti, temveč le v posameznih primerih;

- omejitve v zvezi z nadaljnjimi prenosi tretjim državam: gre predvsem za omejitve glede uporabe in nadaljnjega razširjanja, da se prepreči izogibanje sporazumu, ko se podatki PNR prenesejo drugi tretji državi. Takšni nadaljnji prenosi so odvisni od ustreznih jamstev. Zlasti bi morala tretja država prejemnica prenesti podatke pristojnemu organu druge tretje države le, če ta zagotavlja enako raven varstva podatkov, kot je določena v sporazumu, in če je prenos strogo omejen na namen izvirnega prenosa podatkov. Podatki PNR se nikoli ne smejo razkriti v celoti, temveč le v posameznih primerih.

Modalnosti prenosa

Za zagotovitev pravne varnosti in zmanjšanje finančne obremenitve letalskih prevoznikov je pomembno poenotiti pravila o prenosu podatkov s strani prevoznikov tretjim državam. Z enotnimi obveznostmi bi se finančna obremenitev prevoznikov v veliki meri zmanjšala, saj bi lahko manj vlagali v izpolnjevanje obveznosti. Zato je zaželeno, da bi bile standardizirane vsaj naslednje modalnosti prenosa:

- metoda prenosa : zaradi varstva podatkov v podatkovnih zbirkah prevoznikov in ohranitve nadzora nad njimi bi se podatki smeli prenašati izključno z uporabo t. i. sistema „push“;

- pogostost prenosa : število zahtev tretje države za prenos podatkov bi moralo biti v razumnih mejah, kar bi ustrezno koristilo varnosti in obenem zmanjšalo stroške prevoznikov;

- prevozniki brez obveznosti zbiranja dodatnih podatkov: od prevoznikov se ne bi smelo zahtevati, da zbirajo kakršne koli dodatne podatke ali da obvezno zbirajo določene vrste podatkov, temveč samo, da posredujejo podatke, ki jih že zbirajo v okviru svojega poslovanja.

Glavni koncepti

- Trajanje in ponovna preučitev: pogoji sodelovanja s tretjimi državami bi morali veljati določen čas, vsaka pogodbenica pa bi morala imeti možnost odstopiti od sporazuma. Obstajati bi morala možnost ponovne preučitve pogojev sodelovanja, kadar se to zdi primerno.

- Spremljanje: bistveno je, da ima EU na voljo mehanizme spremljanja pravilnega izvajanja, na primer v obliki rednih skupnih pregledov izvajanja vseh vidikov sporazumov, vključno z omejitvijo namena, pravicami potnikov in nadaljnjim prenosom podatkov PNR ter z oceno sorazmernosti hranjenih podatkov na podlagi njihovega pomena za doseganje namenov, za katere so bili preneseni. Ugotovitve takšnih skupnih pregledov bi bilo treba predstaviti Svetu in Evropskemu parlamentu.

- Reševanje sporov: na voljo bi morali biti učinkoviti mehanizmi reševanja sporov v zvezi z razlago, uporabo in izvajanjem sporazumov.

- Vzajemnost: zagotoviti bi bilo treba vzajemnost, zlasti s prenosom analitičnih informacij, ki izhajajo iz podatkov PNR, s strani pristojnih organov tretje države prejemnice policijskim in pravosodnim organom držav članic ter Europolu in Eurojustu.

DOLGOROčNA USMERITEV

Ker vse več držav na svetu uporablja podatke PNR, vprašanja v zvezi s tako uporabo zadevajo mednarodno skupnost. Čeprav je bil dvostranski pristop, ki ga je EU sprejela, v takratnih okoliščinah najbolj primeren in se zdi najbolj primeren tudi za bližnjo prihodnost, pa obstaja nevarnost, da ne bo več primeren, če bo še veliko več držav začelo uporabljati PNR. Zato bi EU morala preučiti možnost določitve standardov za prenos in uporabo podatkov PNR na mednarodni ravni. Smernice o dostopu do podatkov PNR, ki jih je leta 2004 sprejela Mednarodna organizacija civilnega letalstva (ICAO), so trdna podlaga za uskladitev načinov prenosa podatkov PNR. Vendar te smernice niso zavezujoče in vprašanj varstva podatkov ne obravnavajo v zadostni meri. Zato niso zadostne same po sebi, temveč imajo predvsem usmerjevalno vlogo, zlasti glede vprašanj, ki zadevajo prevoznike.

Na podlagi navedenega bi EU morala razmisliti o začetku pogovorov z mednarodnimi partnerji, ki uporabljajo podatke PNR, in tistimi, ki razmišljajo o taki uporabi, da ugotovi, ali med njimi obstaja soglasje glede obravnave prenosa podatkov PNR na večstranski ravni. V primeru uspešnih pogovorov bi EU morala začeti uradna pogajanja z zainteresiranimi mednarodnimi partnerji za dosego večstranske rešitve.

SKLEPNE UGOTOVITVE

To sporočilo vsebuje pregled trenutnih trendov pri uporabi podatkov PNR v EU in po svetu. V odziv na navedene trende in grožnje, s katerimi se EU in svet še naprej soočata, Komisija meni, da je treba spremeniti globalni pristop EU k prenosu podatkov PNR. Komisija pri tem upošteva stališča glavnih zainteresiranih strani o splošnih vprašanjih PNR in načela oblikovanja politike, opredeljena v Pregledu upravljanja informacij na območju svobode, varnosti in pravice.

V tem sporočilu je prvič določen niz splošnih meril, ki naj bi bila podlaga za pogajanja EU o sporazumih PNR s tretjimi državami. Upoštevanje navedenih načel naj bi vodilo k večji usklajenosti različnih sporazumov PNR, hkrati pa zagotavljalo spoštovanje temeljnih pravic do spoštovanja zasebnega življenja in varstva osebnih podatkov. Obenem je Sporočilo dovolj prožno in prilagodljivo posebnim varnostnim vprašanjem in nacionalnemu pravnemu redu vsake tretje države.

V luči dolgoročne usmeritve pri oblikovanju politik PNR po celem svetu je sklepna ugotovitev tega sporočila, da bi EU morala preučiti možnost srednjeročne zamenjave dvostranskih sporazumov z večstranskim sporazumom z vsemi državami, ki uporabljajo podatke PNR.

[1] Eurostat 36/2009.

[2] COM(2010) 385.

[3] COM(2003) 826.

[4] Sistem „push“ pomeni, da prevoznik pošlje podatke tretji državi in ne, da tretji državi omogoči dostop do svojih podatkovnih zbirk.

[5] UL L 204, 4.8.2007, str. 16.

[6] COM(2007) 654.

[7] UL L 91, 29.3.2006, str. 53, UL L 91, 29.3.2006, str. 49 in UL L 82, 21.3.2006, str. 15.

[8] UL L 213, 8.8.2008, str. 49.

[9] COM(2010) 385.

[10] Direktiva Sveta 2004/82/ES z dne 29. aprila 2004 o dolžnosti prevoznikov, da posredujejo podatke o potnikih.

[11] Sporazum PNR med ES in ZDA iz leta 2004 (UL L 183, 20.5.2004, str. 84) in Odločba Komisije z dne 14. maja 2004 (UL L 235, 6.7.2004, str. 11); Sporazum PNR med EU in ZDA iz leta 2006 (UL L 298, 27.10.2006, str. 29) in spremna pisma (UL C 259, 27.10.2006, str. 1); Sporazum PNR med EU in ZDA iz leta 2007 (UL L 204, 4.8.2007, str. 18), Sporazum PNR med EU in Kanado (UL L 82, 21.3.2006, str. 15, UL L 82, 21.3.2006, str. 15, in UL L 91, 29.3.2006, str. 49) ter Sporazum PNR med EU in Avstralijo (UL L 213, 8.8.2008, str. 47).

[12] COM(2005) 491.

[13] Dokument Sveta št. 14469/4/05 z dne 30. novembra 2005.

[14] Dokument Sveta št. 17024/09 z dne 2. decembra 2009.

[15] Treba je omeniti, da so podobna načela varstva podatkov določena v mednarodnih pravnih aktih o varstvu zasebnosti in osebnih podatkov, na primer v: členu 17 Mednarodnega pakta o državljanskih in političnih pravicah z dne 16. decembra 1966, smernicah Združenih narodov za urejanje računalniških osebnih datotek (Resolucija Generalne skupščine ZN št. 45/95 z dne 14. decembra 1990), Priporočilu Sveta Organizacije za gospodarsko sodelovanje in razvoj (OECD) o smernicah, ki urejajo varovanje zasebnosti in čezmejni prenos osebnih podatkov, Konvenciji Sveta Evrope o varstvu posameznikov glede na avtomatsko obdelavo osebnih podatkov (ETS št. 108) ter dodatnem protokolu k tej konvenciji (ETS št. 181), h katerima lahko pristopijo tudi neevropske države.