EUROPEISKA KOMMISSIONEN
Bryssel den 27.9.2019
COM(2019) 420 final
BILAGA
till
Rekommendation
till
RÅDETS BESLUT
om bemyndigande att inleda förhandlingar om ett avtal mellan Europeiska unionen och Japan om överföring och användning av passageraruppgifter (PNR-uppgifter) för att förhindra och bekämpa terrorism och annan grov gränsöverskridande brottslighet
BILAGA
Direktiv för förhandlingarna om ett avtal mellan Europeiska unionen och Japan om överföring och användning av passageraruppgifter (PNR-uppgifter) för att förhindra och bekämpa terrorism och annan grov gränsöverskridande brottslighet
Under förhandlingarna bör Europeiska kommissionen försöka uppnå de närmare mål som beskrivs i det följande:
(1)Syftet med avtalet bör vara att fastställa en rättslig grund, villkor och skyddsåtgärder för överföring av PNR-uppgifter till Japan.
(2)Nödvändigheten och vikten av att PNR-uppgifter används för att förhindra och bekämpa terrorism och annan grov gränsöverskridande brottslighet bör tydligt återspeglas i avtalet.
(3)Syftet med detta avtal bör därför vara att reglera överföring och användning av PNR-uppgifter som uteslutande sker i syfte att förhindra och bekämpa terrorism och annan grov gränsöverskridande brottslighet samt med full respekt för individens rätt till skydd av privatliv, personuppgifter och grundläggande fri- och rättigheter enligt de i avtalet fastställda villkoren.
(4)I avtalet bör även framhållas att överföringen av PNR-uppgifter till Japan främjar polisiärt och rättsligt samarbete, i och med att den analysinformation som ingår i PNR-uppgifterna överförs mellan parterna. Avtalet bör därför säkerställa att behöriga myndigheter i Japan överför analysinformation till medlemsstaternas polisiära och rättsliga myndigheter, samt till Europol och Eurojust inom deras respektive behörighetsområden.
(5)För att säkerställa att principen om ändamålsbegränsning iakttas bör behandling av PNR-uppgifter enligt avtalet uteslutande få ske för att förebygga, upptäcka, utreda eller lagföra terrorism eller annan grov gränsöverskridande brottslighet enligt de definitioner som fastställs i relevanta EU-rättsakter.
(6)Avtalet bör säkerställa full respekt för grundläggande fri- och rättigheter i enlighet med artikel 6 i EU-fördraget, särskilt den rätt till skydd av personuppgifter som fastställs i artikel 16 i fördraget om Europeiska unionens funktionssätt och artikel 8 i EU:s stadga om de grundläggande rättigheterna. Det bör även säkerställa full respekt för de principer om nödvändighet och proportionalitet vad gäller rätten till skydd för privat- och familjeliv och skydd av personuppgifter som anges i artiklarna 7 och 8 i EU:s stadga om de grundläggande rättigheterna, såsom de tolkas av domstolen i dess yttrande 1/15 om det planerade avtalet om PNR-uppgifter mellan EU och Kanada.
(7)Avtalet bör skapa ett säkert rättsläge för framför allt luftföretag genom att utgöra en rättslig grund för dessa företags överföring av PNR-uppgifter som finns i deras automatiserade boknings- och avgångskontrollsystem.
(8)Avtalet bör klart och tydligt precisera nödvändiga skyddsåtgärder och kontroller vad gäller skydd av personuppgifter, individers grundläggande fri- och rättigheter, oavsett nationalitet och bostadsort, i samband med överföring av PNR-uppgifter till Japan. Sådana skyddsåtgärder bör säkerställa följande:
(a)Det bör klart och tydligt anges exakt vilka kategorier av PNR-uppgifter som ska överföras. Överföringen av uppgifter bör begränsas till vad som är absolut nödvändigt och stå i proportion till avtalets angivna syfte.
(b)Uppgifter som i EU-rätten betraktas som känsliga, däribland personuppgifter som anger ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening samt om en fysisk persons hälsa eller sexualliv eller sexuella läggning, bör inte behandlas.
(c)Avtalet bör innehålla bestämmelser om datasäkerhet och i synnerhet bara tillåta att ett begränsat antal bemyndigade personer har tillgång till PNR-uppgifterna samt föreskriva en skyldighet att utan dröjsmål underrätta de europeiska dataskyddsmyndigheterna om datasäkerhetsintrång som berör PNR-uppgifter, såvida det inte är osannolikt att intrånget medför en risk för fysiska personers fri- och rättigheter, och även hänvisa till effektiva och avskräckande påföljder.
(d)Avtalet bör innehålla bestämmelser om att passagerare ska få tillräcklig och transparent information om behandlingen av deras PNR-uppgifter, samt om rätten för enskilda att underrättas om användning efter ankomst, om tillgång och i lämpliga fall rättelse och radering.
(e)Avtalet bör säkerställa rätten till en effektiv administrativ eller rättslig prövning på icke-diskriminerande grundval oavsett nationalitet eller bostadsort för alla personer vars uppgifter behandlas enligt avtalet, i enlighet med artikel 47 i EU:s stadga om de grundläggande rättigheterna.
(f)Avtalet bör säkerställa att automatiserad behandling baseras på särskilda, objektiva, icke-diskriminerande och tillförlitliga på förhand fastställda kriterier och inte används som det enda underlaget för beslut som har negativa rättsliga effekter för eller allvarligt påverkar en enskild person. PNR-uppgifter bör bara jämföras mot databaser som är relevanta för de syften som omfattas av avtalet och som är tillförlitliga och uppdaterade.
(g)Den japanska behöriga myndighetens användning av PNR-uppgifter för annat än säkerhets- och gränskontroller bör förutsätta att det föreligger nya omständigheter och materiella och förfarandemässiga villkor som grundas på objektiva kriterier. Sådan användning bör i synnerhet förutsätta en föregående prövning utförd av antingen en domstol eller ett oberoende administrativt organ, utom i fall som på ett giltigt sätt har fastställts vara brådskande.
(h)Lagringsperioden för PNR-uppgifter bör vara begränsad och inte längre än vad som är nödvändigt för det ursprungliga syftet. Lagringen av PNR-uppgifter sedan flygpassagerare lämnat Japan bör vara förenlig med EU-domstolens rättspraxis. Avtalet bör kräva att uppgifterna raderas när lagringsperioden har löpt ut, eller att de anonymiseras på ett sådant sätt att den berörda personen inte längre kan identifieras.
(i)Avtalet bör säkerställa att PNR-uppgifter bara får lämnas ut till andra statliga myndigheter i samma land eller till andra länder efter en bedömning av varje enskilt fall, på vissa villkor och underställt vissa skyddsåtgärder. Det bör särskilt anges att sådant utlämnande av uppgifter bara är tillåtet om den mottagande myndigheten utövar funktioner som har anknytning till kampen mot terrorism eller grov gränsöverskridande brottslighet, samt att man i dessa fall säkerställer samma skydd som det som fastställs i avtalet. Vidareöverföring till behöriga myndigheter i andra tredjeländer bör begränsas till länder med vilka EU har ett likvärdigt PNR-avtal eller för vilka EU har antagit ett beslut om adekvat skyddsnivå enligt EU:s dataskyddslagstiftning som omfattar de relevanta myndigheter till vilka PNR-uppgifterna ska överföras.
(9)Avtalet bör säkerställa ett system som innebär att en oberoende offentlig myndighet som ansvarar för dataskydd och har faktiska befogenheter vad gäller utredning, ingripande och verkställande övervakar de offentliga myndigheter som använder PNR-uppgifter. Myndigheten bör ha befogenheter att höra klagomål från enskilda, i synnerhet rörande behandling av deras PNR-uppgifter. Offentliga myndigheter som använder PNR-uppgifter bör kunna ställas till svars för sin efterlevnad av reglerna om skydd av personuppgifter enligt detta avtal.
(10)Avtalet bör kräva att uppgifter uteslutande överförs på begäran (push-metoden).
(11)Avtalet bör säkerställa att villkoren för frekvens och tidpunkt för överföring av PNR-uppgifter inte leder till en orimlig börda för lufttrafikföretagen, och är begränsade till det som är absolut nödvändigt.
(12)Avtalet bör säkerställa att lufttrafikföretag inte behöver samla in uppgifter utöver de som redan samlas in eller samla in vissa typer av uppgifter, utan enbart överföra vad de redan samlar in inom ramen för sin verksamhet.
(13)Avtalet bör innehålla bestämmelser om regelbunden gemensam översyn av alla aspekter av avtalets genomförande, inbegripet av tillförlitlighet och aktualitet hos på förhand fastställda modeller, kriterier och databaser, som även omfattar en proportionalitetsbedömning av de lagrade uppgifterna med utgångspunkt i deras värde för att förebygga och bekämpa terrorism och annan grov gränsöverskridande brottslighet.
(14)Avtalet bör föreskriva en tvistlösningsmekanism vad gäller dess tolkning, tillämpning och genomförande.
(15)Avtalet bör ingås för en period av sju år, och innehålla en bestämmelse genom vilken avtalet kan förlängas med samma period såvida det inte sägs upp av någon av parterna.
(16)Avtalet bör innehålla en klausul om dess territoriella tillämpning.
(17)Avtalet bör äga samma giltighet på bulgariska, kroatiska, tjeckiska, danska, nederländska, engelska, estniska, finska, franska, tyska, grekiska, ungerska, italienska, lettiska, litauiska, maltesiska, polska, portugisiska, rumänska, slovakiska, slovenska, spanska och svenska och bör innehålla en språkklausul om detta.