6.9.2005   

SV

Europeiska unionens officiella tidning

C 218/6

1.

Europeiska datatillsynsmannen välkomnar att han rådfrågas på grundval av artikel 28.2 i förordning (EG) nr 45/2001. Detta bekräftar Europeiska datatillsynsmannens stånd-punkt, framlagd i policydokumentet av den 18 mars 2005 ( ”… hur [datatillsynsmannen] ser på sin roll som rådgivare åt gemenskapsinstitutionerna i fråga om förslag till lagstiftning och därmed sammanhängande dokument”) att rådgivningen omfattar ingående av avtal mellan EG och tredjeländer och/eller internationella organisationer med avseende på behandling av personuppgifter.

2.

Eftersom artikel 28.2 i förordning (EG) nr 45/2001 är bindande bör detta yttrande omnämnas i ingressen till rådets beslut.

3.

Enligt skälen i ingressen till beslutet avser det aktuella avtalet mellan den Europeiska gemenskapen och Kanada ett kommissionsbeslut i enlighet med artikel 25.6 i direktiv 95/46/EG, varvid den relevanta kanadensiska behöriga myndigheten anses tillhandahålla en adekvat nivå av skydd för API- och PNR-uppgifter (”Kommissionens beslut”). Europeiska datatillsynsmannen anser att även kommissionens beslut skulle ha skickats för samråd, eftersom det ingår i det gemensamma lagstiftningspaketet.

4.

Detta beslut är det andra i raden, efter avtalet av den 17 maj 2004 (1) mellan Europeiska gemenskapen och Amerikas förenta stater, vars laglighet ifrågasattes av parlamentet i enlighet artikel 230 i EG-fördraget. I sitt inlägg inför domstolen stödde Europeiska datatillsynsmannen parlamentets slutsatser om att upphäva avtalet.

5.

Detta förslag till avtal är av liknande karaktär som avtalet med Amerikas förenta stater. Det är kopplat till ett beslut av kommissionen enligt artikel 25.6 i direktiv 95/46/EG, syftet är att förbättra den allmänna säkerheten och lufttrafikföretaget är skyldigt att överföra uppgifter till ett tredjeland.

6.

I sak finns det emellertid viktiga skillnader, vilket påpekats i två yttranden från artikel 29-gruppen för skydd av personuppgifter (2). Europeiska datatillsynsmannen framhåller fyra väsentliga skillnader som kommer att spela en roll i hela detta yttrande. För det första införs genom förslaget ett ”push-system” (och inte ett ”pull-system”), vilket har som följd att flygbolagen i Europeiska gemenskapen kan kontrollera överföringen av uppgifter till de kanadensiska myndigheterna. För det andra är de kanadensiska myndigheternas åtaganden bindande (artikel 2.1 i avtalet), vilket bidrar till ett bättre avvägt förslag jämfört med avtalet med USA. För det tredje är den förteckning över PNR-uppgifter som skall överföras mer begränsad och omfattar inte ”öppna kategorier” av passageraruppgifter som skulle kunna avslöja känslig information. Slutligen utnyttjas i avtalet ett mycket mer utvecklat lagstiftningssystem för skydd av personuppgifter, som erbjuder skydd för den registrerade, inklusive övervakning av en oberoende myndighet för skydd av personuppgifter. Den kanadensiska lagstiftningen ger emellertid inte ett fullständigt skydd för medborgare i Europeiska unionen. De kanadensiska myndigheternas åtaganden syftar till ett finna en lösning för dessa medborgare.

7.

I systemet enligt direktiv 95/46/EG faller överföringen av uppgifter till ett tredjeland inom definitionen av behandling av personuppgifter (enligt artikel 2 b i direktivet, ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter”) och som en följd är kapitel II i direktivet (”Allmänna bestämmelser om när personuppgifter får behandlas”) tillämpligt på överföringen. Innebörden i artikel 25 i direktivet i detta sammanhang är att det införs ett ytterligare skydd vid överföring till ett tredjeland, eftersom uppgifterna från och med tidpunkten för överföringen inte befinner sig inom en medlemsstats jurisdiktion.

8.

Genom förslaget till avtal med Kanada kombinerat med kommissionens förslag är flygbolagen skyldiga att överföra uppgifter till Kanada. Det måste fastställas om denna skyldighet hindrar dem från att uppfylla de skyldigheter som åläggs dem genom den nationella lagstiftningen om genomförande av direktiv 95/46/EG, i synnerhet kapitel II, och därigenom påverkar direktivets effektivitet.

9.

Enligt artikel 5 i förslaget är Europeiska lufttrafikföretag skyldiga att behandla API- och PNR-uppgifter i sina automatiserade boknings- och avgångskontrollsystem på det sätt som den behöriga kanadensiska myndigheten begär i enlighet med kanadensisk lagstiftning. Det fastställs inte i förslaget att gemenskapslagstiftningen, närmare bestämt bestämmelserna om behandling av personuppgifter i enlighet med kapitel II i direktiv 95/46/EG, skall vara tillämplig. Eftersom det saknas en sådan bestämmelse kan lufttrafikföretag vara skyldiga att behandla uppgifter, även om denna behandling inte skulle vara i fullständig överensstämmelse med kapitel II i direktiv 95/46/EG. De är endast skyldiga att agera i enlighet med de väsentliga bestämmelserna i kanadensisk lagstiftning.

10.

Även om det, som det har sagts tidigare och kommer att förklaras längre fram i detta yttrande, i Kanada finns ett utvecklat lagstiftningssystem för uppgiftsskydd och det inte finns något som helst skäl att påstå att den kanadensiska lagstiftningen om uppgiftsskydd allvarligt skadar den registrerades intressen inom Europeiska gemenskapen, finns det inget ytterligare skäl att anta att den kanadensiska lagstiftningen fullt ut överensstämmer med alla bestämmelser i kapitel II i direktiv 95/46/EG. Något sådant antagande kan man inte sluta sig till av avtalet och inte heller av motiveringen. Dessutom är antagandet inte möjligt, eftersom de kanadensiska myndigheterna inte är bundna av någon (framtida) tolkning av direktivet från EG-domstolens sida, och det kan inte heller garanteras att framtida ändringar i kanadensisk lagstiftning (eller nya tolkningar från det kanadensiska rättsväsendets sida) överensstämmer med gemenskapslagstiftningen.

11.

På grundval av denna analys drar Europeiska datatillsynsmannen slutsatsen att avtalet medför en ändring av direktiv 95/46/EG. Av detta skäl och oberoende av möjlig, betydande skada för den registrerade, bör Europaparlamentets samtycke erhållas i enlighet med artikel 300.3 i EG-fördraget.

12.

I detta avseende anser Europeiska datatillsynsmannen att institutionella frågor i allmänhet faller utanför hans uppdrag. I detta fall utrycker Europeiska datatillsyns-mannen dock sin ståndpunkt om en sådan fråga, eftersom bristande efterlevnad av parlamentets befogenheter leder till en ändring av direktivet och därigenom påverkar nivån på uppgiftsskyddet inom Europeiska gemenskapens territorium.

13.

Alternativt skulle avtalet kunna ändras så att det säkerställer att europeiska flygbolags behandling av API- och PNR-uppgifter måste uppfylla direktiv 95/46/EG. Genom tillägg av en bestämmelse i detta avseende skulle avtalet inte längre medföra en ändring av direktivet.

14.

Trots procedurkraven för antagandet av förslaget har Europeiska datatillsynsmannen undersökt huruvida det föreslagna avtalet i sak skyddar den registrerade tillräckligt, i synnerhet hans eller hennes grundläggande rättigheter enligt artikel 6 i EU-fördraget.

15.

Europeiska datatillsynsmannen noterar de viktigaste skillnaderna i förslaget jämfört med avtalet med USA (se punkt 6 ovan). Det kan konstateras att bristerna i det senare avtalet på tre viktigare punkter inte gäller det aktuella förslaget, åtminstone inte i samma utsträckning.

16.

Europeiska datatillsynsmannen noterar vidare att artikel 29-gruppen för skydd av personuppgifter i sitt yttrande av den 19 januari 2005 har godkänt de viktigaste delarna av (det föreslagna) kommissionsbeslutet om att den skyddsnivå som den kanadensiska gränsförvaltningen (Canada Border Services Agency, CBSA) erbjuder är adekvat. I gruppens utvärdering spelar de åtaganden som görs av CBSA (bilagan till kommissions-beslutet) en viktig roll. Europeiska datatillsynsmannen ansluter sig till de slutsatser som artikel 29-gruppen för skydd av personuppgifter kommit fram till, även med beaktande av att Kanadas oberoende dataskyddsombudsman godkänner begränsningarna i tillträde till API- och PNR-uppgifter för regerings- och brottsbekämpningsändamål (3).

17.

För Europeiska datatillsynsmannen är det mycket viktigt att ”push-systemet” för överföring av API- och PNR-uppgifter gör det möjligt för det europeiska flygbolaget att kontrollera behandlingen och överföringen av uppgifterna. Denna verksamhet faller således inom medlemsstaternas jurisdiktion och gemenskapslagstiftningen är tillämplig.

18.

Det är lika viktigt att det i artikel 2 i förslaget uttryckligen anges att parterna till avtalet har enats om att API/PNR skall behandlas i enlighet med åtagandena. Åtagandena, vilka bifogas kommissionens beslut, är således bindande.

19.

Slutligen framhåller Europeiska datatillsynsmannen vikten av att det inrättas en gemensam kommitté, som bland annat skall organisera gemensamma översyner. Detta gör det möjligt att övervaka genomförandet av rättsinstrumenten. Detta är desto viktigare eftersom rättsinstrumenten är nya och det saknas erfarenheter av genomförandet av dessa typer av rättsinstrument.

20.

I detta sammanhang och mot bakgrund av den i punkt 4.2 nämnda analysen av det policydokument som omnämns i punkt 1 godkänner Europeiska datatillsynsmannen de viktigaste delarna i förslaget och inskränker sina kommentarer till några specifika punkter, i synnerhet

21.

Bilaga II till förslaget innehåller inte känsliga uppgifter i den mening som avses i artikel 8 i direktiv 95/46/EG, och den innehåller inte heller ”öppna kategorier” av passageraruppgifter som, beroende på vilket sätt dessa kategorier utformas i ett formulär, skulle kunna avslöja känsliga uppgifter (till exempel kostkrav som avslöjar religiös övertygelse eller medicinska uppgifter).

22.

Den förteckning över PNR-uppgifter som skall samlas in (bilaga II till förslaget) innehåller emellertid uppgifter som skulle kunna vara av betydelse för skyddet av passagerarens grundläggande rättigheter, i synnerhet hans eller hennes privatliv. Europeiska datatillsynsmannen nämner kategori 10 (uppgifter om bonusprogram), som skulle kunna avslöja fakta om passagerarens beteende (även om inte alla uppgifter om bonusprogram finns med), och kategori 23 (eventuella APIS-uppgifter), som innehåller inte bara namnet utan också annan information på passagerarens pass.

23.

Europeiska datatillsynsmannen är inte övertygad om att det är nödvändigt och proportionellt att införa dessa uppgifter och förslår en omprövning av behovet att införa dessa kategorier i bilagan till avtalet. Det faktum att dessa kategorier sätts upp på förteckningen är dock i sig inte allvarligt nog för att det skall krävas omförhandling av avtalet och bör enligt Europeiska datatillsynsmannens åsikt inte leda till att avtalet upphävs.

24.

Som vi tidigare sett i rättsinstrument som kräver behandling av personuppgifter för bekämpande av terrorism har lagstiftaren inte begränsat ändamålet med behandlingen till terrorism som sådan, utan utvidgat de ändamål som möjliggör behandling till annan allvarlig brottslighet eller, i några fall, till och med till brottsbekämpning i allmänhet.

25.

I det aktuella förslaget nämns bekämpande av annan allvarlig gränsöverskridande brottslighet, t.ex. organiserad brottslighet. Enligt de åtaganden som gjorts av CBSA (avsnitt 12) kan informationen endast utbytas med andra avdelningar inom den kanadensiska regeringen för samma ändamål. Informationen skall endast delas med myndigheterna i tredjeländer för dessa ändamål och under förutsättning att bestämmelsen i artikel 25 i direktiv 95/46/EG, enligt vilken skyddsnivån i det berörda tredjelandet skall bedömas vara adekvat, är tillämplig. Denna begränsning av ändamålet innebär i sig inte något brott mot bestämmelserna i direktivet och inte heller de principer som detta bygger på.

26.

Avtalet innehåller uttryckliga bestämmelser som syftar till att skydda den registrerades intressen. Europeiska datatillsynsmannen framhåller uttryckligen artikel 3 i avtalet, som handlar om tillgång, rättelser och anmärkningar. Enligt denna bestämmelse kan en registrerad person som är bosatt inom Europeiska unionens territorium utöva rätten till tillgång, rättelser och anmärkningar under samma omständigheter som personer som är bosatta i Kanada.

27.

Att dessa rättigheter medges innebär inte att den registrerade erhåller nödvändigt skydd. Det måste ges garantier för att rättigheterna kan utövas effektivt.

28.

Omfattningen av och det sakliga innehållet i dessa rättigheter fastställs genom kanadensisk lag. För att ge nödvändigt skydd för den europeiska registrerade personen måste lagstiftningen på detta område vara tillgänglig för den berörda personen och dess följder för honom eller henne måste även kunna förutses. För att denna skyldighet skulle uppfyllas förslog artikel 29-gruppen för skydd av personuppgifter att den kanadensiska lagstiftningen på detta område skall införas som en bilaga till kommissionens beslut.

29.

Detta förslag har inte följts men i kommissionens förslag och i CBSA:s åtaganden ges en förklaring till den rättsliga ramen på detta område. I de avsnitt i åtagandena som handlar om detta kan flygpassagerarna informera sig om sina rättigheter.

30.

Europeiska datatillsynsmannen noterar att det inte bara är viktigt att de flygpassagerare som är bosatta i Europeiska gemenskapen har tillgång till lydelsen av rättsinstrumenten, utan att det är lika viktigt att de har en effektiv tillgång till rättsmedel.

31.

I detta avseende stöder Europeiska datatillsynsmannen det förfarande som nämns i avsnitt 31 i åtagandena. Enligt detta förfarande får Kanadas dataskyddsombudsman behandla klagomål som dataskyddsmyndigheterna i medlemsstaterna hänskjuter till honom för sådana personers räkning som är bosatta i Europeiska unionen. Enligt Europeiska datatillsynsmannen skulle ett sådant förfarande i praktiken till och med kunna vara effektivare än att personer som är bosatta i Europa har formell rätt till rättslig prövning vid kanadensiska domstolar.

32.

Europeiska datatillsynsmannen drar följande slutsatser: