6.9.2005   

SL

Uradni list Evropske unije

C 218/6

1.

Evropski nadzornik za varstvo podatkov (EDPS) pozdravlja dejstvo, da se z njim posvetuje na podlagi člena 28 (2) Uredbe (ES) št. 45/2001. To potrjuje stališče EDPS, kakor je opredeljeno v njegovem strateškem dokumentu z dne 18. marca 2005 („EDPS kot svetovalec institucijam Skupnosti za zakonodajne predloge in s tem povezane dokumente“), da svetovalna naloga vključuje sklepanje sporazumov med Evropsko skupnostjo in tretjimi državami in/ali mednarodnimi organizacijami v zvezi z obdelavo osebnih podatkov.

2.

Glede na obvezen značaj člena 28 (2) Uredbe (ES) št. 45/2001 je treba to mnenje navesti v preambuli sklepa Sveta.

3.

V skladu s svojo uvodno izjavo zadevni sporazum med Evropsko skupnostjo in Kanado upošteva sklep Komisije na podlagi člena 25(6) Direktive 95/46/ES, po katerem ustrezni kanadski pristojni organ zagotavlja ustrezno raven varstva podatkov API/PNR („sklep Komisije“). Po mnenju EDPS bi moral biti tudi sklep Komisije poslan v posvetovanje, saj je del skupnega pravnega paketa.

4.

To je že drugi predlog zapored, po sporazumu z dne 17. maja 2004 (1) med Evropsko skupnostjo in Združenimi državami Amerike, katerega zakonitost je spodbijal Parlament skladno s členom 230 Pogodbe ES. V svojem posredovanju pred Sodiščem Evropskih skupnosti je EDPS podprl sklepne predloge Parlamenta o razveljavitvi sporazuma.

5.

Ta predlog za sporazum je podobnega značaja kakor sporazum z Združenimi državami Amerike. Povezan je s sklepom Komisije v skladu s členom 25 (6) Direktive 95/46/ES, cilj je izboljšati javno varnost in letalski prevoznik mora prenesti podatke v tretjo državo.

6.

Vendar pa po vsebini obstajajo velike razlike, kakor je bilo ugotovljeno v dveh mnenjih Delovne skupine za varstvo podatkov iz člena 29 (2). EDPS poudarja štiri bistvene razlike, ki ves čas igrajo vlogo v tem mnenju. Prvič, predlog predvideva sistem „push“ in ne sistema „pull“, zaradi česar lahko letalski prevozniki v Evropski skupnosti nadzorujejo prenos podatkov kanadskim organom. Drugič, obveznosti, katere so sprejeli kanadski organi, so zavezujoče (člen 2 (1) sporazuma), kar prispeva k bolj uravnoteženemu predlogu v primerjavi s sporazumom z Združenimi državami Amerike. Tretjič, seznam podatkov PNR, ki se bodo prenesli, je bolj omejen in ne vsebuje „odprtih kategorij“ podatkov o potnikih, ki bi lahko razkrile občutljive podatke. Nazadnje sporazum prispeva k mnogo bolj razvitemu zakonodajnemu sistemu varstva podatkov, ki zagotavlja zaščito posameznika, na katerega se osebni podatki nanašajo, vključno z nadzorom neodvisnega komisarja za varstvo podatkov. Vendar kanadska zakonodaja ne nudi popolne zaščite državljanom Evropske unije. Kanadski organi so se zavezali, da bodo našli rešitev za te državljane.

7.

V skladu z Direktivo 95/46/ES prenos podatkov v tretjo državo spada pod opredelitev obdelave osebnih podatkov (v skladu s členom 2 (b) te direktive je to „kakršen koli postopek ali niz postopkov, ki se izvajajo v zvezi z osebnimi podatki“) in se zato za prenos uporablja poglavje II Direktive („Splošna pravila o zakonitosti obdelave osebnih podatkov“). Namen člena 25 Direktive v tem smislu je zagotoviti dodaten zaščitni ukrep v primeru prenosa v tretjo državo, saj od trenutka prenosa podatki niso več v pristojnosti države članice.

8.

Predlog sporazuma s Kanado, v povezavi s sklepom Komisije zavezuje letalske prevoznike k prenosu podatkov Kanadi. Treba je ugotoviti, ali jim ta dolžnost preprečuje izpolnjevanje obveznosti, ki jih predpisuje nacionalna zakonodaja za izvajanje Direktive 95/46/ES, zlasti poglavja II, in ali to vpliva na učinkovitost Direktive.

9.

Člen 5 predloga zavezuje evropske letalske prevoznike k obdelavi podatkov API/PNR, vsebovanih v njihovih računalniško podprtih rezervacijskih sistemih in sistemih za nadzor odhodov, kakor to zahtevajo kanadski organi v skladu s kanadsko zakonodajo. Predlog ne določa, da se uporablja pravo Skupnosti, ali natančneje predpisi o obdelavi osebnih podatkov, kakor je predvideno v poglavju II Direktive 95/46/ES. Če takšne določbe ni, bi lahko bili letalski prevozniki zavezani k obdelavi podatkov, četudi ta obdelava ne bi bila popolnoma v skladu s poglavjem II Direktive 95/46/ES. Ravnati morajo le skladno s temeljnimi določbami kanadskega prava.

10.

Čeprav, kot je že bilo rečeno in bo še razloženo kasneje v tem mnenju, obstaja v Kanadi razvit zakonodajni sistem varstva podatkov in ni nikakršnega razloga za predvidevanje, da kanadska zakonodaja o varstvu podatkov resno škoduje interesom posameznika, na katerega se osebni podatki nanašajo, znotraj Evropske skupnosti, prav tako ni razloga za domnevanje, da je kanadska zakonodaja popolnoma skladna z vsemi določbami poglavja II Direktive 95/46/ES. Tega ne moremo sklepati niti iz sporazuma niti iz obrazložitvenega memoranduma. Poleg tega to domnevanje ni verjetno, glede na to da kanadski organi niso vezani na morebitne (prihodnje) razlage direktive s strani Sodišča, niti ne more biti zagotovljeno, da bi bile naknadne spremembe kanadskega prava (ali nove razlage kanadskega sodstva) skladne s pravom Skupnosti.

11.

Na podlagi te analize EDPS zaključuje, da je posledica sporazuma sprememba Direktive 95/46/ES. Zato je potrebno ne glede na morebitno znatno škodo posamezniku, na katerega se osebni podatki nanašajo, pridobiti privolitev Evropskega parlamenta v skladu s členom 300 (3) Pogodbe ES.

12.

V zvezi s tem EDPS meni, da so institucionalna vprašanja sicer zunaj obsega njegovih nalog. Vendar v tem primeru EDPS izraža svoje stališče do takega vprašanja, saj neupoštevanje pravic Parlamenta privede do spremembe Direktive in s tem vpliva na raven varstva podatkov na ozemlju Evropske skupnosti.

13.

Druga možnost pa je, da se s spremembo sporazuma zagotovi usklajenost obdelave podatkov API/PNR s strani evropskih letalskih prevoznikov z Direktivo 95/46/ES. Z dodano določbo v tem smislu sporazum ne bi imel več za posledico spremembe Direktive.

14.

Ne glede na postopkovne zahteve za sprejem predloga je EDPS preučil, ali predlagani sporazum po vsebini zadostno ščiti posameznika, na katerega se osebni podatki nanašajo, še posebej njegove temeljne pravice, kot so opredeljene v členu 6 Pogodbe EU.

15.

EDPS ugotavlja bistvene razlike med tem predlogom in sporazumom z Združenimi državami Amerike (glej točko 6 zgoraj). Zato pomanjkljivosti slednjega sporazuma v treh bistvenih točkah ne veljajo za ta predlog, vsaj ne v enakem obsegu.

16.

Prav tako EDPS ugotavlja, da je Delovna skupina za varstvo podatkov iz člena 29 v svojem mnenju z dne 19. januarja 2005 potrdila glavne elemente (predlaganega) sklepa Komisije o ustrezni ravni varstva Kanadske obmejne službe (CBSA — Canadian Border Service Agency). Po njeni oceni obveznosti CBSA (priloga sklepa Komisije) igrajo pomembno vlogo. EDPS soglaša z ugotovitvami Delovne skupine za varstvo podatkov iz člena 29, ob tem pa prav tako upošteva, da neodvisni kanadski pooblaščenec za zasebnost (Privacy Commissioner of Canada) odobrava omejitve dostopa do podatkov API/PNR v vladne namene ali namene kazenskega pregona (3).

17.

EDPS meni, da je zelo pomembno, da sistem „push“ za podatke API in PNR omogoča evropskemu letalskemu prevozniku nadzor nad obdelavo in prenosom teh podatkov. Za te dejavnosti so torej pristojne države članice in uporablja se pravo Skupnosti.

18.

Prav tako je pomembno, da člen 2 predloga izrecno navede, da se pogodbenici sporazuma strinjata o obdelavi podatkov API/PNR na način, kakor je zapisan v obveznostih. Obveznosti, priložene sklepu Komisije, so torej zavezujoče.

19.

Nazadnje EDPS poudarja pomen ustanovitve skupnega odbora, ki bo med drugim organiziral skupne preglede. To omogoča spremljanje izvajanja pravnih instrumentov. To je toliko bolj pomembno tudi zato, ker so pravni instrumenti novi in ker še ni dovolj izkušenj z izvajanjem takih vrst pravnih instrumentov.

20.

V tej zvezi in v luči analize, predvidene v odstavku 4.2 strateškega dokumenta, omenjenega v točki 1, EDPS odobrava glavne elemente predloga in omejuje svoje pripombe na nekatere posebne točke, zlasti na:

21.

Priloga II predloga ne vsebuje občutljivih podatkov v smislu člena 8 Direktive 95/46/ES, niti ne vsebuje „odprtih kategorij“ podatkov o potnikih, ki bi lahko, odvisno od tega na kakšen način so te kategorije izpolnjene na obrazcu, razkrile takšne občutljive podatke (kot na primer prehranske potrebe, ki bi lahko razkrile versko prepričanje ali zdravstvene podatke).

22.

Vendar seznam podatkovnih elementov PNR, ki se bodo zbrali (Priloga II predloga), vsebuje podatke, ki bi lahko bili pomembni za varstvo temeljnih pravic potnika, zlasti njegove zasebnosti. EDPS omenja kategorijo 10 (informacije za pogoste potnike), ki bi lahko razkrila dejstva o vedenju potnika (čeprav niso vključene vse informacije za pogoste potnike) in kategorijo 23 (kakršne koli zbrane informacije APIS), ki ne vsebujejo samo imena, temveč tudi ostale podatke iz potnega lista potnika.

23.

EDPS ni prepričan, ali je vključitev takšnih kategorij potrebna in sorazmerna, ter predlaga ponovno preučitev potrebe po vključitvi teh kategorij v prilogo sporazuma. Vendar dejstvo, da se te kategorije vključijo na seznam podatkov, samo po sebi ni dovolj resno, da bi zahtevalo ponovno pogajanje o sporazumu in po mnenju EDPS ne bi smelo povzročiti razveljavitve sporazuma.

24.

Kot smo že videli v pravnih instrumentih, ki zahtevajo obdelavo osebnih podatkov zaradi boja proti terorizmu, zakonodajalec ni omejil namena obdelave na sam terorizem, ampak je razširil namen obdelave na ostala resna kriminalna dejanja ali v nekaterih primerih celo na kazenski pregon nasploh.

25.

Sedanji predlog omenja boj proti drugim hujšim kaznivim dejanjem, ki so transnacionalna po svoji naravi, vključno z organiziranim kriminalom. V skladu z obveznostmi CBSA (oddelek 12) se lahko te informacije izmenjajo samo z drugimi kanadskimi vladnimi službami za enake namene. Informacije se z organi tretjih držav izmenjajo le za te namene in pod pogojem da v zadevni tretji državi velja ugotovitev o ustreznem varstvu podatkov iz člena 25 Direktive 95/46/ES. Ta omejitev namena sama po sebi ne krši določb iz Direktive niti njenih temeljnih načel.

26.

Sporazum vsebuje jasne določbe, katerih namen je zavarovati interese posameznika, na katerega se osebni podatki nanašajo. EDPS izrecno poudarja člen 3 sporazuma o dostopu, popravku in zapisu. Skladno s to določbo lahko posameznik, na katerega se osebni podatki nanašajo in ki prebiva na ozemlju Evropske unije, uresničuje pravico do dostopa, popravka in zapisa pod enakimi pogoji kot prebivalci Kanade.

27.

Omogočanje teh pravic samo po sebi ne zagotavlja potrebnega varstva posameznika, na katerega se osebni podatki nanašajo. Treba je zagotoviti, da se lahko te pravice učinkovito izvršujejo.

28.

Obseg in vsebino teh pravic določa kanadsko pravo. Da bi zagotovili potrebno varstvo posameznika iz Evrope, na katerega se osebni podatki nanašajo, mora biti ta zakonodaja dostopna zadevnemu posamezniku in tudi posledice zanj morajo biti predvidljive. Za izpolnitev teh obveznosti je Delovna skupina za varstvo podatkov iz člena 29 predlagala vključitev ustreznega kanadskega pravnega okvira v obliki priloge k sklepu Komisije.

29.

Ta predlog je bil zavrnjen, vendar sklep Komisije in obveznosti CBSA pojasnjujejo ustrezni pravni okvir. Ustrezni oddelki obveznosti omogočajo letalskim potnikom, da se seznanijo s svojimi pravicami.

30.

EDPS ugotavlja, da ni pomembno le to, da imajo letalski potniki, ki prebivajo na ozemlju Evropske skupnosti, dostop do besedil o pravnih instrumentih, ampak je prav tako pomembno, da imajo učinkovit dostop do pravnih sredstev.

31.

V tej zvezi EDPS odobrava postopek, omenjen v oddelku 31 obveznosti. V skladu s tem postopkom sme kanadski pooblaščenec za zasebnost obravnavati pritožbe, ki so mu jih predložili organi za varstvo podatkov držav članic v imenu prebivalcev Evropske unije. Po mnenju EDPS bi lahko bil takšen postopek v praksi še učinkovitejši kot uradni ius standi evropskih prebivalcev pred kanadskimi sodišči.

32.

EDPS zaključuje: