This document is an excerpt from the EUR-Lex website
Document 62004CC0317
Opinion of Mr Advocate General Léger delivered on 22 November 2005. # European Parliament v Council of the European Union (C-317/04) and Commission of the European Communities (C-318/04). # Protection of individuals with regard to the processing of personal data - Air transport - Decision 2004/496/EC - Agreement between the European Community and the United States of America - Passenger Name Records of air passengers transferred to the United States Bureau of Customs and Border Protection - Directive 95/46/EC - Article 25 - Third countries - Decision 2004/535/EC - Adequate level of protection. # Joined cases C-317/04 and C-318/04.
Förslag till avgörande av generaladvokat Léger föredraget den 22 november 2005.
Europaparlamentet mot Europeiska unionens råd (C-317/04) och Europeiska kommissionen (C-318/04).
Skydd för fysiska personer avseende behandling av personuppgifter -Lufttransport - Beslut 2004/496/EG - Avtal mellan Europeiska gemenskapen och Amerikas förenta stater - Passagerarregister som överförs till Förenta staternas tull- och gränsskyddsmyndighet - Direktiv 95/46/EG - Artikel 25 - Tredjeländer - Beslut 2004/535/EG - Adekvat skyddsnivå.
Förenade målen C-317/04 och C-318/04.
Förslag till avgörande av generaladvokat Léger föredraget den 22 november 2005.
Europaparlamentet mot Europeiska unionens råd (C-317/04) och Europeiska kommissionen (C-318/04).
Skydd för fysiska personer avseende behandling av personuppgifter -Lufttransport - Beslut 2004/496/EG - Avtal mellan Europeiska gemenskapen och Amerikas förenta stater - Passagerarregister som överförs till Förenta staternas tull- och gränsskyddsmyndighet - Direktiv 95/46/EG - Artikel 25 - Tredjeländer - Beslut 2004/535/EG - Adekvat skyddsnivå.
Förenade målen C-317/04 och C-318/04.
Rättsfallssamling 2006 I-04721
ECLI identifier: ECLI:EU:C:2005:710
FÖRSLAG TILL AVGÖRANDE AV GENERALADVOKAT
PHILIPPE LÉGER
föredraget den 22 november 2005 1(1)
Mål C-317/04
Europaparlamentet
mot
Europeiska unionens råd
”Skydd för fysiska personer avseende behandling av personuppgifter – Talan om ogiltigförklaring – Rådets beslut 2004/496/EG – Avtal mellan Europeiska gemenskapen och Amerikas förenta stater angående behandling och överföring av passageraruppgifter (Passenger Name Records)”
Mål C-318/04
Europaparlamentet
mot
Europeiska gemenskapernas kommission
”Talan om ogiltigförklaring – Kommissionens beslut 2004/535/EG om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet – Direktiv 95/46/EG”
Innehållsförteckning
I – Målens bakgrund
II – Tillämpliga bestämmelser i målen
A – EU-fördraget
B – Fördraget om upprättande av Europeiska gemenskapen
C – Europarättsliga bestämmelser avseende skyddet för personuppgifter
III – De omtvistade besluten
A – Beslutet om adekvat skydd
B – Rådets beslut
IV – Parlamentets grunder i de två målen
V – Talan om ogiltigförklaring av beslutet om adekvat skydd (mål )
A – Huruvida kommissionen överträtt sina befogenheter genom att anta beslutet om adekvat skydd
1. Parternas argument
2. Bedömning
B – Åsidosättande av grundläggande rättigheter och av proportionalitetsprincipen
VI – Talan om ogiltigförklaring av rådets beslut (mål C-317/04)
A – Huruvida artikel 95 EG var en korrekt rättslig grund för rådets beslut
1. Parternas argument
2. Bedömning
B – Åsidosättande av artikel 300.3 andra stycket EG genom att direktiv 95/46 ändrats
1. Parternas argument
2. Bedömning
C – Åsidosättande av skyddet för personuppgifter och av proportionalitetsprincipen
1. Parternas argument
2. Bedömning
a) Intrång i privatlivet
b) Motivering av intrånget i privatlivet
i) Är intrånget föreskrivet i lag?
ii) Uppfyller intrånget ett legitimt intresse?
iii) Är intrånget nödvändigt i ett demokratiskt samhälle för att uppnå ett sådant ändamål?
D – Huruvida rådets beslut varit tillräckligt motiverat
E – Huruvida principen om lojalt samarbete i artikel 10 EG har åsidosatts
VII – Rättegångskostnader
VIII – Förslag till avgörande
1. Europaparlamentet har med stöd av artikel 230 EG väckt talan om ogiltigförklaring vid domstolen i två mål. Mål C-317/04, parlamentet mot rådet, gäller ogiltigförklaring av rådets beslut av den 17 maj 2004 om ingående av ett avtal mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security.(2) I mål C-318/04, parlamentet mot kommissionen, har parlamentet yrkat ogiltigförklaring av kommissionens beslut av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet.(3)
2. Domstolen har i dessa båda mål att uttala sig angående skyddet för personuppgifter för flygpassagerare när det för att motivera att sådana uppgifter överförs till och behandlas i tredjeland, i detta fall Förenta staterna,(4) har åberopats tvingande skäl avseende allmän säkerhet och straffrättsliga överväganden såsom förhindrande och bekämpande av terrorism och andra grova brott.
3. Målen har sin bakgrund i en serie händelser som skall redovisas i det följande. Därefter anges de bestämmelser som är tillämpliga i målen.
I – Målens bakgrund
4. Efter terroristattackerna den 11 september 2001 har Förenta staterna utfärdat lagstiftning med bestämmelser om att lufttrafikföretag med trafik till, inom eller från Förenta staternas territorium är skyldiga att ge CBP elektronisk tillgång till de uppgifter som samlas in och lagras i lufttrafikföretagens automatiska system för bokning och kontroll vid avgångar, kallade Passenger Name Records (nedan kallade PNR-uppgifter).(5) Kommissionen har, utan att ifrågasätta legitimiteten i de säkerhetsintressen som står på spel, sedan juni 2002 informerat Förenta staternas myndigheter om att dessa bestämmelser kan strida mot gemenskapsrättens och medlemsstaternas bestämmelser om skydd för personuppgifter och mot vissa bestämmelser i reglerna om användning av datoriserade bokningssystem (SIR).(6) Förenta staternas myndigheter har senarelagt ikraftträdandet av de nya bestämmelserna, men vägrat att avstå från att föreskriva sanktioner för de lufttrafikföretag som inte uppfyller dessa bestämmelser efter den 5 mars 2003. Efter den tidpunkten har ett flertal stora lufttrafikföretag som är etablerade inom medlemsstaterna i Europeiska gemenskapen gett amerikanska myndigheter tillgång till sina PNR.
5. Kommissionen har förhandlat med de amerikanska myndigheter som utformat ett dokument avseende CBP:s åtaganden, för att kommissionen, med stöd av artikel 25.6 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter,(7) skall anta ett beslut i vilken den konstaterar att Förenta staterna erbjuder en adekvat skyddsnivå för dessa personuppgifter.
6. Den så kallade ”artikel 29-gruppen”, (8) som arbetar med frågor om skydd för personuppgifter, lämnade den 13 juni 2003 ett yttrande i vilket den uttryckte tvivel avseende nivån på det skydd för personuppgifter som skulle säkerställas genom CBP:s tilltänkta åtaganden.(9) Den upprepade sina tvivel i ett nytt yttrande av den 29 januari 2004.(10)
7. Kommissionen lämnade den 1 mars 2004 ett förslag till beslut om adekvat skydd till Europaparlamentet, tillsammans med CBP:s förklaring om åtaganden.
8. Kommissionen lämnade den 17 mars 2004, i syfte att höra Europaparlamentet enligt artikel 300.3 första stycket EG, ett förslag till Europeiska unionens råds beslut avseende slutande av avtal mellan gemenskapen och Förenta staterna. Rådet begärde, med hänvisning till det brådskande förfarande som föreskrivs i artikel 112 i parlamentets arbetsordning (numera artikel 134 i samma arbetsordning), i skrivelse av den 25 mars 2004 att Europaparlamentets yttrande över detta förslag skulle avges senast den 22 april 2004. I sin skrivelse underströk rådet att ”kampen mot terrorismen, vilken rättfärdigar de föreslagna åtgärderna, har högsta prioritet för Europeiska unionen. Lufttrafikföretagen och passagerarna befinner sig för närvarande i en situation av osäkerhet, vilken bör åtgärdas skyndsamt. Det är dessutom nödvändigt att skydda berörda parters ekonomiska intressen.”
9. Parlamentet antog den 31 mars 2004, med tillämpning av artikel 8 i rådets beslut av den 28 juni 1999 om de förfaranden som skall tillämpas vid utövandet av kommissionens genomförandebefogenheter,(11) en resolution i vilken det angavs en rad rättsliga reservationer angående detta tillvägagångssätt. I synnerhet angavs att parlamentet ansåg att förslaget till beslut om adekvat skydd gick utöver de befogenheter som kommissionen erhållit genom artikel 25 i direktiv 95/46. Parlamentet begärde att ett anpassat folkrättsligt avtal skulle slutas som tillgodosåg grundläggande rättigheter, och begärde att kommissionen skulle lämna ett nytt förslag till beslut till parlamentet. Parlamentet förbehöll sig vidare rätten att väcka talan vid domstolen för att få till stånd en laglighetsprövning av det föreslagna avtalet, och i synnerhet dess förenlighet med skyddet för privatlivet.
10. Parlamentet beslutade den 21 april 2004, på begäran av dess ordförande, att godta en rekommendation från utskottet för rättsliga frågor, att enligt artikel 300.6 EG inhämta domstolens yttrande om huruvida det tilltänkta avtalet var förenligt med fördraget. Det förfarandet inleddes samma dag. Parlamentet beslutade samma dag att sända sin rapport angående förslaget till rådets beslut till utskottet, vilket således underförstått innebar ett avslag på rådets begäran om skyndsam handläggning av den 25 mars 2004.
11. Rådet lämnade den 28 april 2004, med hänvisning till artikel 300.3 första stycket EG, en skrivelse till parlamentet i vilken det begärde att parlamentet skulle yttra sig angående ingåendet av avtalet före den 5 maj 2004. Rådet upprepade de skäl för skyndsam handläggning som det angivit i sin skrivelse av den 25 mars 2004.(12)
12. Domstolens justitiesekreterare informerade den 30 april 2004 parlamentet om att fristen för medlemsstaternas, rådets och kommissionens yttranden avseende begäran om yttrande 1/04 fastställts till den 4 juni 2004.
13. Parlamentet avslog den 4 maj 2004 rådets begäran om skyndsam handläggning av den 28 april.(13) Två dagar senare vände sig parlamentets ordförande till rådet och kommissionen och begärde att de inte skulle gå vidare förrän domstolen lämnat det yttrande som begärts den 21 april 2004.
14. Kommissionen antog den 14 maj 2004 med stöd av artikel 25.6 i direktiv 95/46 beslutet om adekvat skydd av personuppgifter som finns i passageraruppgifter som överförs till CBP.
15. Rådet antog den 17 maj 2004 beslutet om ingående av ett avtal mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till CBP.
16. Parlamentet informerade i skrivelse av den 9 juli 2004 domstolen om att det återkallade sin begäran om yttrande 1/04.(14) Parlamentet har senare beslutat väcka talan i två mål mot rådet och mot kommissionen.
II – Tillämpliga bestämmelser i målen
A – EU-fördraget
17. I artikel 6 EU föreskrivs följande:
”1. Unionen bygger på principerna om frihet, demokrati och respekt för de mänskliga rättigheterna och de grundläggande friheterna samt på rättsstatsprincipen, vilka principer är gemensamma för medlemsstaterna.
2. Unionen skall som allmänna principer för gemenskapsrätten respektera de grundläggande rättigheterna, såsom de garanteras i Europakonventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, undertecknad i Rom den 4 november 1950, och såsom de följer av medlemsstaternas gemensamma konstitutionella traditioner.
…”
B – Fördraget om upprättande av Europeiska gemenskapen
18. I artikel 95.1 EG föreskrivs följande:
”Med avvikelse från artikel 94 och om inte annat föreskrivs i detta fördrag skall följande bestämmelser tillämpas för att nå de mål som anges i artikel 14. Rådet skall enligt förfarandet i artikel 251 och efter att ha hört Ekonomiska och sociala kommittén, besluta om åtgärder för tillnärmning av sådana bestämmelser i lagar och andra författningar i medlemsstaterna som syftar till att upprätta den inre marknaden och få den att fungera”.
19. När det gäller förfarandet för gemenskapens ingående av internationella avtal föreskrivs i artikel 300.2 första stycket EG, första meningen, att ”[o]m inte annat följer av kommissionens befogenheter på detta område skall både undertecknandet … och ingåendet av avtalen beslutas av rådet med kvalificerad majoritet på förslag av kommissionen”.
20. I artikel 300.3 EG föreskrivs följande:
”Med undantag för sådana avtal som avses i artikel 133.3 skall rådet ingå avtal efter att ha hört Europaparlamentet och detta även om avtalet omfattar ett område där interna regler skall antas enligt förfarandet i artikel 251 eller 252. Europaparlamentet skall avge sitt yttrande inom den tid som rådet får bestämma med hänsyn till hur brådskande ärendet är. Om ett yttrande inte har avgetts inom denna tid, får rådet fatta beslut.
Med avvikelse från föregående stycke krävs Europaparlamentets samtycke för ingåendet av sådana avtal som avses i artikel 310, andra avtal som skapar en särskild institutionell ram genom att samarbetsförfaranden inrättas, sådana avtal som har betydande budgetmässiga följder för gemenskapen samt sådana avtal som medför ändring av en rättsakt som har antagits enligt förfarandet i artikel 251.
Rådet och Europaparlamentet får i brådskande fall komma överens om den tid inom vilken samtycke skall ges.”
C – Europarättsliga bestämmelser avseende skyddet för personuppgifter
21. I artikel 8 i Europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (nedan kallad EMRK) föreskrivs följande:
”1. Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.
2. Offentlig myndighet får inte inskränka åtnjutande av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter.”
22. Europarättsliga bestämmelser avseende skyddet för personuppgifter har främst utformats inom ramen för Europarådet. Konventionen om skydd för enskilda vid automatisk databehandling av personuppgifter har således öppnats för undertecknande av Europarådets medlemmar i Strasbourg den 28 januari 1981.(15) Dess syfte är att inom varje konventionsstats territorium säkerställa att varje fysisk persons, oavsett nationalitet eller hemvist, grundläggande rättigheter respekteras, och i synnerhet rätten till privatliv, med avseende på automatisk behandling av personuppgifter som berör dessa personer.
23. Vad gäller Europeiska unionen föreskrivs i dess stadga om de grundläggande rättigheterna(16), förutom i dess artikel 7 som rör rätten till respekt för privatlivet och familjelivet, i artikel 8 i stadgan specifika bestämmelser om skyddet av personuppgifter. Den har följande lydelse:
”1. Var och en har rätt till skydd av de personuppgifter som rör honom eller henne.
2. Dessa uppgifter skall behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
3. En oberoende myndighet skall kontrollera att dessa regler efterlevs.”
24. När det gäller gemenskapens primärrätt föreskrivs i artikel 286.1 EG att ”[f]rån och med den 1 januari 1999 skall gemenskapsrättsakter om skydd för enskilda när det gäller behandling av och fri rörlighet för personuppgifter vara tillämpliga på de institutioner och organ som inrättas genom eller på grundval av detta fördrag”.(17)
25. I gemenskapens sekundärrätt återfinns de grundläggande bestämmelserna i direktiv 95/46.(18) Dess samband med Europarådets texter framgår uttryckligen av skälen 10 och 11 i direktivet. I skäl 10 anförs nämligen att ”[ä]ndamålet med den nationella lagstiftningen om behandling av personuppgifter är att skydda grundläggande fri- och rättigheter, särskilt den rätt till privatlivet som erkänns både i artikel 8 i [EMRK] och i gemenskapsrättens allmänna rättsprinciper. Av denna anledning får tillnärmningen av denna lagstiftning inte medföra någon inskränkning i det skydd de ger, utan skall i stället syfta till att garantera en hög skyddsnivå inom gemenskapen.” Dessutom anges i skäl 11 i direktiv 95/46 att de ”principer om skydd för enskilda personers fri- och rättigheter, särskilt rätten till privatlivet, som detta direktiv innehåller, utgör en precisering och en förstärkning av principerna i Europarådets konvention [nr 108]… om skydd för enskilda vid automatisk databehandling av personuppgifter”.
26. Direktiv 95/46 har antagits med stöd av artikel 100a i EG-fördraget (nu artikel 95 EG i ändrad lydelse). Dess ursprung återfinns i den tanke som uttrycks i skäl 3, där det anförs att ”[u]pprättandet av den inre marknaden och dennas funktion … förutsätter inte bara att personuppgifter fritt kan överföras från en medlemsstat till en annan utan också att enskilda personers grundläggande rättigheter skyddas”. Närmare bestämt har gemenskapslagstiftaren utgått ifrån konstaterandet att ”[s]killnaden i skyddsnivå mellan medlemsstater vad gäller enskilda personers fri- och rättigheter, särskilt rätten till privatliv med avseende på behandling av personuppgifter, kan hindra översändande av sådana uppgifter från en medlemsstats territorium till en annans”,(19) vilket i synnerhet kan hindra utövandet av aktiviteter på gemenskapsnivå och snedvrida konkurrensen. Gemenskapslagstiftaren har vidare anfört att ”[f]ör att hindren mot flöden av personuppgifter skall kunna avskaffas måste skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana uppgifter vara likvärdig i alla medlemsstater”.(20) Detta kommer att medföra att ”medlemsstaterna inte längre [kommer] att kunna hindra det fria flödet av personuppgifter mellan dem under hänvisning till enskilda personers fri- och rättigheter, särskilt rätten till privatliv”.(21)
27. I artikel 1 i direktiv 95/46 genomförs detta på följande sätt:
”1. Medlemsstaterna skall i enlighet med detta direktiv skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter.
2. Medlemsstaterna får varken begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna av skäl som har samband med det under punkt 1 föreskrivna skyddet.”
28. I artikel 2 i direktivet definieras bland annat begreppen ”personuppgifter”, ”behandling av personuppgifter” och ”registeransvarig”.
29. Sålunda definieras personuppgifter i artikel 2 a i direktiv 95/46 som ”varje upplysning som avser en identifierad eller identifierbar fysisk person (den registrerade). En identifierbar person är en person som kan identifieras, direkt eller indirekt, framför allt genom hänvisning till ett identifikationsnummer eller till en eller flera faktorer som är specifika för hans fysiska, fysiologiska, psykiska, ekonomiska, kulturella eller sociala identitet”.
30. Behandling av personuppgifter definieras i artikel 2 b i direktivet som ”varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter, vare sig det sker på automatisk väg eller inte, till exempel insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring”.
31. I artikel 2 d i direktiv 95/46 definieras registeransvarig som ”den fysiska eller juridiska person, den myndighet, den institution eller det andra organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter …”.
32. När det gäller det materiella tillämpningsområdet för direktiv 95/46 anges i artikel 3.1 att direktivet ”gäller för sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg liksom för annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register”.
33. I artikel 3.2 i direktivet ges en möjlighet att begränsa dess materiella tillämpningsområde. Där anges följande:
” Detta direktiv gäller inte för sådan behandling av personuppgifter
– som utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område,
…”
34. Kapitel II i direktiv 95/46 innehåller ”allmänna bestämmelser om när personuppgifter får behandlas”. Dess avdelning I innehåller ”principer om uppgifternas kvalitet”. I dess artikel 6 anges principerna om korrekt behandling, lagenlighet, ändamålsenlighet, proportionalitet och noggrannhet vid behandlingen av personuppgifter. Den har följande lydelse:
”1. Medlemsstaterna skall föreskriva att personuppgifter
a) skall behandlas på ett korrekt och lagligt sätt,
b) skall samlas in för särskilda, uttryckligt angivna och berättigade ändamål; senare behandling får inte ske på ett sätt som är oförenligt med dessa ändamål. …,
c) skall vara adekvata och relevanta och inte får omfatta mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas,
d) skall vara riktiga och, om nödvändigt, aktuella …,
e) förvaras på ett sätt som förhindrar identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades ...
2. Det åligger den registeransvarige att säkerställa att punkt 1 efterlevs.”
35. I avdelning II i kapitel II i direktivet finns bestämmelser om ”principer som gör att uppgiftsbehandling kan tillåtas”. Dess artikel 7 har följande lydelse:
”Medlemsstaterna skall föreskriva att personuppgifter får behandlas endast om
a) den registrerade otvetydigt har lämnat sitt samtycke, eller
b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, eller
c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, …
…”
36. När det gäller personuppgifter som klassificerats som känsliga föreskrivs i artikel 8.1 ett förbud mot behandling av sådana personuppgifter. Där föreskrivs nämligen att ”[m]edlemsstaterna skall förbjuda behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv”. Det finns emellertid ett flertal undantag från denna förbudsbestämmelse som anges i de följande punkterna i samma artikel.
37. Artikel 13.1, som har rubriken ”Undantag och begränsningar”, har följande lydelse:
”Medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de skyldigheter och rättigheter som anges i artiklarna 6.1, 10, 11.1, 12 och 21 i fall då en sådan begränsning är en nödvändig åtgärd med hänsyn till
a) statens säkerhet,
b) försvaret,
c) allmän säkerhet,
d) förebyggande, undersökning, avslöjande av brott eller åtal för brott eller av överträdelser av etiska regler som gäller för lagreglerade yrken,
e) ett viktigt ekonomiskt eller finansiellt intresse hos en medlemsstat eller hos Europeiska unionen, inklusive monetära frågor, budgetfrågor och skattefrågor,
f) en tillsyns-, inspektions- eller regleringsfunktion som, även om den är av övergående karaktär, är förbunden med myndighetsutövning i de under punkterna c), d) och e) nämnda fallen,
g) skydd av den registrerades eller andras fri- och rättigheter.”
38. Gemenskapslagstiftaren har även velat tillse att den sålunda skapade skyddsordningen inte fallerar genom att personuppgifter lämnar gemenskapens territorium. Det är nämligen uppenbart att det internationella flödet av personuppgifter(22) medför att ett regelsystem som endast omfattar det egna territoriet är otillräckligt, för att inte säga meningslöst. Gemenskapslagstiftaren har således upprättat ett system enligt vilket det för att överföring av personuppgifter till ett tredjeland skall vara tillåtet krävs att det landet säkerställer en ”adekvat skyddsnivå”.
39. Gemenskapslagstiftaren har således uppställt en bestämmelse av innebörden att ”[o]m ett tredje land inte garanterar en adekvat skyddsnivå skall överföring av personuppgifter till det landet förbjudas”.(23)
40. Mot denna bakgrund har i artikel 25 i direktiv 95/46 angivits de principer som gäller för överföring av personuppgifter till tredjeland:
”1. Medlemsstaterna skall föreskriva att överföringen av personuppgifter som är under behandling eller som är avsedda att behandlas efter överföring till tredje land endast får ske om ifrågavarande tredjeland – utan att detta påverkar tillämpningen av de nationella bestämmelser som antagits till följd av de andra bestämmelserna i detta direktiv – säkerställer en adekvat skyddsnivå.
2. Bedömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Härvid skall särskilt beaktas uppgiftens art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavarande tredje land liksom de regler för yrkesverksamhet och säkerhet som gäller där.
3. Medlemsstaterna och kommissionen skall informera varandra när de anser att ett tredje land inte erbjuder en adekvat skyddsnivå enligt punkt 2.
4. Om kommissionen i enlighet med ett sådant förfarande som beskrivs i artikel 31.2 finner att ett tredje land inte erbjuder en sådan adekvat skyddsnivå som beskrivs i punkt 2 i denna artikel, skall medlemsstaterna vidta de åtgärder som är nödvändiga för att hindra överföring av uppgifter av samma slag till ifrågavarande tredje land.
5. Vid lämpligt tillfälle skall kommissionen inleda förhandlingar för att avhjälpa den situation som uppstått när kommissionen kommit till den slutsats som anges i punkt 4.
6. Kommissionen kan, i enlighet med det i artikel 31.2 angivna förfarandet, konstatera att ett tredje land genom sin interna lagstiftning eller på grund av de internationella förpliktelser som – särskilt till följd av sådana förhandlingar som anges i punkt 5 och som gäller skyddet för privatliv och enskilda personers grundläggande fri- och rättigheter – åligger landet har en skyddsnivå som är adekvat i den mening som avses i punkt 2 i denna artikel.
Medlemsstaterna skall vidta de åtgärder som är nödvändiga för att följa kommissionens beslut.”
41. Det skall slutligen framhållas att inom ramen för avdelning VI i EU-fördraget, vilken rör polissamarbete och straffrättsligt samarbete, har skyddet för personuppgifter reglerats i vissa specifika instrument. Det rör sig huvudsakligen om sådana instrument genom vilka gemensamma informationssystem på europeisk nivå har upprättats, såsom konventionen om tillämpning av Schengenavtalet,(24) vilken innehåller specifika bestämmelser om skydd för personuppgifter inom ramen för Schengens informationssystem (SIS),(25) konvention som utarbetats på grundval av artikel K.3 i Fördraget om Europeiska unionen om upprättandet av en europeisk polisbyrå,(26) rådets beslut om inrättande av Eurojust (27) och reglerna för behandling och skydd av personuppgifter vid Eurojust,(28) konvention som utarbetats på grundval av artikel K.3 i Fördraget om Europeiska unionen om användning av informationsteknologi för tulländamål, vilken innehåller bestämmelser om skydd för personuppgifter som gäller för tullens informationssystem,(29) och konventionen om ömsesidig rättslig hjälp i brottmål mellan Europeiska unionens medlemsstater.(30)
42. Kommissionen lämnade den 4 oktober 2005 ett förslag till rådets rambeslut om skydd för personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete.(31)
III – De omtvistade besluten
43. Jag övergår nu till de två omtvistade besluten, i den ordning som dessa antagits.
A – Beslutet om adekvat skydd
44. Beslutet om adekvat skydd har antagits av kommissionen med stöd av artikel 25.6 i rådets direktiv 95/46, vilket såsom påpekats ovan ger kommissionen behörighet att konstatera att ett tredjeland säkerställer en adekvat nivå på skyddet för personuppgifter.(32) Kommissionen anför i skäl 2 i beslutet att ”[k]ommissionen kan konstatera att ett tredjeland har en adekvat skyddsnivå. I sådana fall får personuppgifter överföras från medlemsstaterna utan att det behövs några ytterligare garantier.”
45. I skäl 11 i beslutet anför kommissionen att ”[n]är CBP mottar PNR behandlar den flygpassagerarnas personuppgifter i enlighet med villkoren i den åtagandeförklaring som myndigheten avgav den 11 maj 2004 (Undertakings of the Department of Homeland Security Bureau of Customs and Border Protection, nedan kallat åtagandeförklaringen) samt den nationella amerikanska lagstiftning som nämns i åtagandeförklaringen”. Kommissionen konstaterar även i skäl 14 i beslutet att ”[n]ormerna som CBP, på grundval av den amerikanska lagstiftningen och åtagandeförklaringen, kommer att tillämpa för behandlingen av passagerares PNR-uppgifter omfattar nödvändiga grundprinciper för att säkerställa en adekvat skyddsnivå för fysiska personer”.
46. I konsekvens härmed föreskrivs i artikel 1 i beslutet följande:
”För tillämpningen av artikel 25.2 i direktiv 95/46/EG skall Förenta staternas tull- och gränsskyddsmyndighet, CBP … anses säkerställa en adekvat skyddsnivå för PNR-uppgifter avseende flyg till och från Förenta staterna som överförs från gemenskapen i överensstämmelse med åtagandeförklaringen i bilagan.”
47. I artikel 3 i beslutet om adekvat skydd föreskrivs vidare att överföring av personuppgifter till CBP kan avbrytas av medlemsstaternas behöriga myndigheter på följande villkor:
”1. Behöriga myndigheter i medlemsstaterna får, utan att det påverkar deras befogenheter att vidta åtgärder för att säkerställa efterlevnaden av nationella bestämmelser som antagits enligt andra bestämmelser än artikel 25 i direktiv 95/46/EG, utöva sina befintliga befogenheter för att tills vidare avbryta uppgiftsöverföringar till CBP i syfte att skydda enskilda med avseende på behandlingen av deras personuppgifter i följande fall:
a) om en behörig amerikansk myndighet fastställt att CBP bryter mot tillämpliga skyddsregler,
b) om sannolikheten är stor att skyddsreglerna i bilagan inte efterlevs, om det finns rimliga skäl att anta att CBP inte vidtar eller inte kommer att vidta adekvata åtgärder i tid för att lösa ärendet, om fortsatt överföring skulle innebära en överhängande risk för att de registrerade lider allvarlig skada och de behöriga myndigheterna i medlemsstaten under dessa omständigheter har vidtagit rimliga åtgärder för att underrätta CBP och gett den tillfälle att yttra sig.
2. Avbrottet skall upphöra så snart det är fastställt att skyddsreglerna följs och de behöriga myndigheterna i medlemsstaterna har underrättats om detta.”
48. Medlemsstaterna är skyldiga att informera kommissionen om de åtgärder som vidtas i enlighet med artikel 3 i beslutet om adekvat skydd. Vidare skall medlemsstaterna och kommissionen enligt artikel 4.2 i beslutet underrätta varandra om varje förändring av skyddsreglerna och om fall där skyddsreglerna inte förefaller efterlevas i tillräcklig grad. I artikel 4.3 i beslutet om adekvat skydd föreskrivs att ”[o]m den information som inhämtats enligt artikel 3 och punkterna 1 och 2 i denna artikel visar att nödvändiga grundprinciper för att säkerställa en adekvat skyddsnivå för fysiska personer inte längre efterlevs, eller att ett organ som ansvarar för att CBP följer skyddsreglerna i bilagan inte fullgör denna uppgift på ett verkningsfullt sätt, skall CBP underrättas om detta och vid behov skall det förfarande som anges i artikel 31.2 i direktiv 95/46/EG tillämpas i syfte att tills vidare eller slutgiltigt upphäva detta beslut.”
49. I artikel 5 i beslutet om adekvat skydd föreskrivs att tillämpningen av beslutet skall övervakas, och att ”alla relevanta slutsatser skall rapporteras till den kommitté som inrättats enligt artikel 31 i direktiv 95/46/EG”.
50. I artikel 7 i beslutet om adekvat skydd anges vidare att detta ”upphör att gälla tre år och sex månader efter det att det delgivits, om det inte förlängs i enlighet med det förfarande som föreskrivs i artikel 31.2 i direktiv 95/46/EG”.
51. Bifogat beslutet finns CBP:s åtagandeförklaring, i vilken det anges i inledningen att kommissionen har för avsikt att konstatera att CBP kan garantera adekvat dataskydd i samband med överföring av passageraruppgifter. Enligt dess lydelse, som omfattar 48 punkter, skall den ”inte tjäna som prejudikat för framtida diskussioner med kommissionen, Europeiska unionen eller något härtill knutet organ, eller ett tredjeland, om överföring av uppgifter”.(33)
52. Jag kommer att i samband med min bedömning redovisa de delar av innehållet i åtagandeförklaringen som är relevanta för målets avgörande.
53. Slutligen innehåller beslutet om adekvat skydd en bilaga ”A”, i vilken det under 34 rubriker uppräknas de uppgifter som CBP kräver av lufttrafikföretagen.(34)
54. Detta kommissionsbeslut kompletteras av rådets beslut om att ingå ett avtal mellan Europeiska gemenskapen och Förenta staterna.
B – Rådets beslut
55. Rådets beslut har antagits med stöd av artikel 95 jämförd med artikel 300.2 första stycket första meningen EG.
56. I skäl 1 i beslutet anges att ”[d]en 23 februari 2004 bemyndigade rådet kommissionen att på gemenskapens vägnar förhandla om ett avtal med Förenta staterna om lufttrafikföretags behandling och överföring av passageraruppgifter till [CBP]”.(35) I skäl 2 i beslutet anges att ”Europaparlamentet [inte har] avgivit ett yttrande inom den tid som rådet fastställt i enlighet med artikel 300.3 första stycket i fördraget och det är synnerligen brådskande att åtgärda den situation av osäkerhet som lufttrafikföretag och passagerare befinner sig i samt skydda de berördas finansiella intressen”.
57. Enligt artikel 1 i rådets beslut har avtalet godkänts på gemenskapens vägnar. Enligt artikel 2 i beslutet bemyndigas rådets ordförande att utse den eller de personer som skall ha rätt att på Europeiska gemenskapens vägnar underteckna avtalet.
58. Avtalstexten är bifogad rådets beslut. I punkt 7 i avtalet anges att det träder i kraft vid undertecknandet. Enligt denna bestämmelse trädde avtalet, som undertecknades den 28 maj 2004 i Washington, i kraft samma dag.(36)
59. I avtalets ingress har Europeiska gemenskapen och Amerikas förenta stater angivit att de ”erkänner vikten av att grundläggande fri- och rättigheter respekteras, särskilt privatlivets helgd, och vikten av att dessa värden respekteras i samband med förebyggandet och bekämpandet av terrorism och därmed närstående brottslighet och annan allvarlig brottslighet av överstatlig karaktär, däribland organiserad brottslighet”.
60. I ingressen till avtalet hänvisas det till följande: direktiv 95/46, särskilt dess artikel 7 c, CBP:s åtagandeförklaring, och beslutet om adekvat skydd.(37)
61. Avtalsparterna har även anmärkt att ”lufttrafikföretag med boknings- och avgångskontrollsystem belägna i en medlemsstat i Europeiska gemenskapen bör se till att PNR-uppgifter överförs till CBP så snart det är tekniskt möjligt och att de amerikanska myndigheterna fram till dess bör ges direkt tillgång till uppgifterna i enlighet med bestämmelserna i detta avtal”.(38)
62. I punkt 1 i avtalet föreskrivs således att ”CBP skall ha elektronisk tillgång till PNR-uppgifter från lufttrafikföretags boknings- och avgångskontrollsystem … belägna på Europeiska gemenskapens medlemsstaters territorium i strikt överensstämmelse med bestämmelserna i beslutet [(39)] så länge som det tillämpas, men bara tills ett tillfredsställande system har inrättats som möjliggör för lufttrafikföretagen att föra över sådana uppgifter”.
63. Till komplettering av den behörighet som sålunda givits CBP att direkt få tillgång till passageraruppgifter föreskrivs i punkt 2 i avtalet en skyldighet för de lufttrafikföretag som bedriver utrikes passagerartrafik till eller från Förenta staterna att föra över PNR-uppgifter som bevaras i deras elektroniska bokningssystem ”efter CBP:s begäran i enlighet med amerikansk lagstiftning och i strikt överensstämmelse med bestämmelserna i beslutet [(40)]så länge som det tillämpas”.
64. I avtalets punkt 3 anges vidare att CBP ”noterar” kommissionens beslut om adekvat skydd och ”förklarar att det tillämpar den åtagandeförklaring som bifogats de[t]samma”. I avtalets punkt 4 anges att ”CBP skall behandla de PNR-uppgifter som den tar emot och de registrerade personer som berörs av denna behandling i enlighet med gällande amerikansk lagstiftning och konstitutionella krav och utan diskriminering, framför allt grundad på nationalitet eller land där personen är bosatt”.
65. CBP och kommissionen har vidare åtagit sig att tillsammans och regelbundet se över avtalets genomförande.(41) I avtalet föreskrivs även att ”[o]m det i Europeiska unionen införs ett identifieringssystem för flygpassagerare vilket kräver att lufttrafikföretag ger myndigheterna tillgång till PNR-uppgifter om personer vilkas resrutt omfattar en flygning till eller från Europeiska unionen, skall DHS [Department of Homeland Security], i den mån det är praktiskt genomförbart och helt och hållet grundat på ömsesidighet, aktivt uppmana flygbolag inom dess jurisdiktion att samarbeta”.(42)
66. Förutom att det i punkt 7 i avtalet föreskrivs att detta träder i kraft vid undertecknandet, föreskrivs där också att envar part kan säga upp avtalet när som helst. I sådant fall upphör avtalet att gälla 90 dagar efter att den part som säger upp avtalet underrättat motparten. I samma punkt föreskrivs vidare att avtalet när som helst kan ändras genom skriftlig överenskommelse mellan parterna.
67. I punkt 8 i avtalet anges slutligen att ”detta avtal [varken innebär] undantag från eller ändring av parternas lagstiftning; avtalet utgör ej heller grund för några fördelar eller rättigheter för några andra privata eller offentliga personer eller enheter”.
IV – Parlamentets grunder i de två målen
68. Parlamentet har i mål C-317/04 anfört sex grunder till stöd för sitt yrkande om ogiltigförklaring av rådets beslut:
– artikel 95 EG är inte korrekt rättslig grund,
– artikel 300.3 andra stycket EG har åsidosatts genom att direktiv 95/46 har ändrats,
– rätten till skydd för personuppgifter har åsidosatts,
– proportionalitetsprincipen har åsidosatts,
– det omtvistade beslutet är otillräckligt motiverat, och
– principen om lojalt samarbete i artikel 10 EG har åsidosatts.
69. Förenade konungariket Storbritannien och Nordirland och kommissionen har medgetts tillstånd att intervenera till stöd för rådets yrkanden.(43) Vidare har Europeiska datatillsynsmannen (nedan kallad datatillsynsmannen) medgetts tillstånd att intervenera till stöd för parlamentets yrkanden.(44)
70. Parlamentet har i mål C-318/04 anfört fyra grunder till stöd för sitt yrkande om ogiltigförklaring av beslutet om adekvat skydd:
– kommissionen har överträtt sina befogenheter,
– väsentliga principer i direktiv 95/46 har åsidosatts,
– grundläggande rättigheter har åsidosatts, och
– proportionalitetsprincipen har åsidosatts.
71. Förenade kungariket har medgetts tillstånd att intervenera till stöd för kommissionens yrkanden.(45) Datatillsynsmannen har medgetts tillstånd att intervenera till stöd för parlamentets yrkanden.(46)
72. Jag skall pröva de två målen i den ordning som de omtvistade besluten antagits. Jag kommer således först att pröva talan om ogiltigförklaring av beslutet om adekvat skydd (mål C-318/04), och därefter talan om ogiltigförklaring av rådets beslut (mål C-317/04).
V – Talan om ogiltigförklaring av beslutet om adekvat skydd (mål )
A – Huruvida kommissionen överträtt sina befogenheter genom att anta beslutet om adekvat skydd
1. Parternas argument
73. Parlamentet har till stöd för denna grund för det första anfört att beslutet om adekvat skydd åsidosätter direktiv 95/46, eftersom det avser förverkligandet av ett mål som inte omfattas av direktivets materiella tillämpningsområde, nämligen allmän säkerhet och straffrätt. Detta är uttryckligen stadgat i artikel 3.2 första strecksatsen i direktiv 95/46, vilken bestämmelse inte låter sig tolkas restriktivt. Den omständigheten att personuppgifter insamlas under utövandet av en ekonomisk verksamhet, det vill säga vid försäljningen av en flygbiljett som ger rätt till en tjänst, motiverar inte att direktivet, och i synnerhet inte dess artikel 25, skall tillämpas utanför sitt tillämpningsområde.
74. Parlamentet har för det andra gjort gällande att CBP inte är ett tredjeland i den mening som avses i artikel 25 i direktiv 95/46. I artikel 25.6 föreskrivs att kommissionen kan konstatera att ett ”tredjeland” kan ha en adekvat skyddsnivå för personuppgifter. Detta gäller således endast en stat eller liknande enhet, och inte en administrativ enhet som utövar en del av den verkställande makten i en stat.
75. Parlamentet har för det tredje anfört att kommissionens antagande av beslutet om adekvat skydd utgör ett behörighetsöverskridande eftersom den vidhängande åtagandeförklaringen uttryckligen medger en rätt för CBP att överföra passageraruppgifter till andra amerikanska eller utländska myndigheter.
76. Parlamentet har för det fjärde gjort gällande att beslutet om adekvat skydd medför vissa begränsningar av och undantag från de principer som återfinns i direktiv 95/46, trots att denna behörighet enligt artikel 13 i direktivet uttryckligen är förbehållen medlemsstaterna. Kommissionen har således genom att anta beslutet satt sig i medlemsstaternas ställe, och därmed åsidosatt artikel 13 i nämnda direktiv. Kommissionen har genom ett beslut avseende verkställigheten av direktiv 95/46 tillskansat sig den behörighet som strikt har förbehållits medlemsstaterna.
77. Parlamentet har för det femte gjort gällande att tillhandahållandet av uppgifter genom systemet med ”pull” inte utgör en ”överföring” i den mening som avses i artikel 25 i direktivet. Detta kan således inte tillåtas.
78. Parlamentet har slutligen, mot bakgrund av sambandet mellan beslutet om adekvat skydd och avtalet, anfört att beslutet skall anses vara en åtgärd som inte är lämplig för att utfärda föreskrifter om överföring av passageraruppgifter.
79. Datatillsynsmannen har, till skillnad från parlamentet, anfört att den omständigheten att en person eller institution i ett tredjeland ges tillgång till personuppgifter kan utgöra en överföring och att artikel 25 i direktiv 95/46 således är tillämplig. Enligt datatillsynsmannen skulle nämligen en begränsning av begreppet ”till en överföring som genomförts av avsändaren” kringgå de villkor som föreskrivs i den bestämmelsen, och därmed motverka det skydd för personuppgifter som bestämmelsen ger.
80. Kommissionen har, med stöd av Förenade kungariket, anfört att den verksamhet som bedrivs av lufttrafikföretagen omfattas av gemenskapsrättens tillämpningsområde, och att direktiv 95/46 således är tillämpligt. Det regelsystem som upprättats för passageraruppgifter omfattar inte medlemsstaternas eller offentliga myndigheters aktiviteter, vilka faller utanför gemenskapsrättens tillämpningsområde.
81. Kommissionen har vidare anfört att avtalet undertecknats i Förenta staternas namn, och inte av en statlig myndighet. När det gäller de överföringar som CBP senare kan göra av passageraruppgifter anser kommissionen att dessa inte är oförenliga med tillståndet till sådana överföringar, under förutsättning att dessa är underkastade lämpliga och nödvändiga begränsningar.
82. Kommissionen har slutligen påpekat att artikel 13 i direktiv 95/46 inte är relevant i förevarande mål, och att ”överföring” i den mening som avses i artikel 25 i direktivet för lufttrafikföretagen består i att aktivt göra dessa tillgängliga för CBP. Det ifrågavarande systemet innehåller således överföring i den mening som avses i direktiv 95/46.
2. Bedömning
83. Parlamentet har sålunda gjort gällande att det omtvistade beslutet om adekvat skydd utgör ett åsidosättande av direktiv 95/46, och i synnerhet av artiklarna 3.2, 13 och 25 i detta. Det har i synnerhet gjort gällande att beslutet inte lagligen kan antas med stöd av direktivet.
84. Såsom ovan påpekats är syftet med direktiv 95/46 att, mot bakgrund av den inre marknadens upprättande och funktion, undanröja hinder mot den fria rörligheten av personuppgifter genom att göra skyddsnivån när det gäller enskilda personers fri- och rättigheter med avseende på behandlingen av sådana uppgifter likvärdig i alla medlemsstater.
85. Gemenskapslagstiftaren har vidare avsett att den skyddslagstiftning som sålunda upprättas inte skall äventyras när personuppgifter lämnar gemenskapens territorium. Den har därför föreskrivit att tredjeland skall säkerställa en adekvat skyddsnivå för personuppgifter för att det skall vara tillåtet att överföra sådana uppgifter dit. Direktiv 95/46 innehåller således en förbud mot överföring av personuppgifter till tredjeland som inte kan erbjuda en adekvat skyddsnivå för dessa.
86. I artikel 25 i direktiv 95/46 föreskrivs en rad skyldigheter för medlemsstaterna och kommissionen, i syfte att kontrollera att överföringar av personuppgifter till tredjeland sker med hänsyn till det skydd som sådana uppgifter har i vart och ett av dessa länder. Där anges vidare metod och kriterier för bedömningen av huruvida ett tredjeland skall anses tillhandahålla en adekvat skyddsnivå för de personuppgifter som överförs dit.
87. Domstolen har fastslagit att reglerna för överföringar av personuppgifter till tredjeland utgör en ”speciell ordning, som innehåller speciella bestämmelser vilka syftar till att säkerställa att medlemsstaterna har kontroll över överföringen av personuppgifter till tredje land”. Domstolen har vidare fastslagit att dessa regler utgör ett ”system som kompletterar det allmänna system som införts genom kapitel II i det nämnda direktivet, vilket kapitel avser frågan när personuppgifter får behandlas”.(47)
88. Särdragen i de bestämmelser som omger överföringar av personuppgifter till tredjeland förklaras till stor del av den centrala roll som begreppet adekvat skyddsnivå har. Detta begrepp skall, för att bestämma dess omfattning, särskiljas från begreppet likvärdigt skydd, vilket skulle innebära att tredjeland skall erkänna och tillämpa samtliga de principer som direktiv 95/46 innehåller.
89. Begreppet adekvat skyddsnivå innebär att tredjeland skall vara i stånd att säkerställa ett adekvat skydd enligt en modell som bedöms vara acceptabel i fråga om skyddsnivå för personuppgifter. Ett sådant system som grundar sig på att skyddet för personuppgifter är adekvat i ett tredjeland ger medlemsstaterna och kommissionen en avsevärd handlingsfrihet vid deras bedömning av de garantier som lämnas av det land till vilket personuppgifterna överförs. Vägledning för denna bedömning återfinns i artikel 25.2 i direktiv 95/46, där vissa faktorer som får beaktas vid denna bedömning räknas upp .(48) Den regel som gemenskapslagstiftaren uppsatt i detta avseende är att ”[b]edömningen av om skyddsnivån i ett tredje land är adekvat skall ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter”.
90. Såsom domstolen fastslagit definieras inte begreppet ”överföring till tredje land” i direktiv 95/46.(49) I synnerhet preciseras inte huruvida begreppet omfattar enbart när en registeransvarig aktivt kommunicerar personuppgifter till tredjeland, eller om det omfattar även den situationen att en enhet i ett tredjeland ges behörighet att få tillgång till uppgifter som finns i en medlemsstat. Direktivet innehåller således inga bestämmelser angående på vilka sätt en överföring till tredjeland får ske.
91. Jag anser i motsats till vad parlamentet anfört i förevarande mål att den tillgång som CBP har till passageraruppgifter omfattas av begreppet ”överföring av personuppgifter”. Enligt min mening är nämligen det som är avgörande för att karaktärisera en sådan överföring att personuppgifter flyttas från en medlemsstat till ett tredjeland, i förevarande fall Förenta staterna.(50) Det saknar i detta avseende betydelse huruvida överföringen genomförs av avsändaren eller av mottagaren. Såsom datatillsynsmannen anfört skulle nämligen en begränsning av tillämpningsområdet för artikel 25 i direktiv 95/46 till överföringar som genomförs av avsändaren lätt kunna medföra att de villkor som föreskrivits i den bestämmelsen kringgås.
92. Med detta sagt skall det emellertid framhållas att kapitel IV i direktivet, i vilket artikel 25 ingår, inte reglerar all överföring av personuppgifter, oavsett av vilket slag dessa är, till tredjeland. Det omfattar enligt artikel 25.1 i direktivet endast överföring av personuppgifter som ”är under behandling eller som är avsedda att behandlas efter överföring”.
93. Jag påminner om att det i artikel 2 b i direktiv 95/46 anges att med behandling av personuppgifter avses ” varje åtgärd eller serie av åtgärder som vidtas beträffande personuppgifter … till exempel insamling, registrering, … inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter …”.(51)
94. Systemet i direktiv 95/46 med överföring av personuppgifter till tredjeland är, oavsett dess särdrag som i stor utsträckning grundar sig på begreppet adekvat skydd vilket redogjorts för ovan, underkastat de begränsningar som gäller direktivets tillämpningsområde.(52)
95. Frågan är således huruvida en överföring till tredjeland, för att omfattas av bestämmelserna i artikel 25 i direktiv 95/46, måste röra personuppgifter vars behandling, oavsett om den faktiskt sker inom gemenskapen eller endast är avsedd att ske i ett tredjeland, omfattas av direktivets tillämpningsområde. Det är endast om så är fallet som beslutet om adekvat skydd lagligen kan anses utgöra en verkställighetsakt i förhållande till direktiv 95/46.
96. Jag framhåller i detta avseende att, när det gäller direktivets materiella tillämpningsområde, detta inte skall tillämpas på all behandling av personuppgifter som kan omfattas av artikel 2 b. I artikel 3.2 första strecksatsen i direktiv 95/46 anges nämligen att direktivet inte skall tillämpas på behandling av personuppgifter som ”utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i Fördraget om Europeiska unionen, och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område”.(53)
97. Enligt min mening utgör inhämtandet, CBP:s användning och utlämnandet till CBP av passageraruppgifter från lufttrafikföretagens inom medlemsstaterna bokningssystem behandling av personuppgifter som rör allmän säkerhet och statens verksamhet på straffrättens område. Denna behandling omfattas således inte av tillämpningsområdet för direktiv 95/46.
98. Syftet med behandlingen som passageraruppgifterna genomgår visas genom lydelsen av beslutet om adekvat skydd. Efter att ha angett att kravet på överföring till CBP av passageraruppgifter grundar sig på en lag som utfärdats i Förenta staterna i november 2001 och på de bestämmelser som utfärdats av CBP med stöd av den lagen,(54) har kommissionen uttalat att ett av syftena med den amerikanska lagstiftningen i fråga är att ”öka säkerheten”.(55) Kommissionen har vidare angett att ”[g]emenskapen [fullständigt stöder] Förenta staternas kamp mot terrorism inom de ramar som fastställs i gemenskapsrätten”.(56)
99. Vidare anges i skäl 15 i beslutet om adekvat skydd att ”PNR-uppgifter [endast kommer] att användas i syfte att förebygga och bekämpa terrorism och därmed relaterad kriminalitet samt andra allvarliga brott, inklusive organiserad brottslighet, av gränsöverskridande beskaffenhet och flykt från ett anhållnings- eller häktningsbeslut för dessa brott”.
100. Enligt min mening kan direktiv 95/46, och särskilt dess artikel 25.6, inte utgöra rättslig grund för kommissionen att anta en verkställighetsakt såsom ett beslut avseende den adekvata skyddsnivån för personuppgifter som uttryckligen är uteslutna från direktivets tillämpningsområde. Att på grundval av direktiv 95/46 ge tillstånd till överföringar av sådana uppgifter innebär således att på ett otillåtet sätt utsträcka direktivets tillämpningsområde.
101. Det skall kommas ihåg att direktiv 95/46, som antagits med stöd av artikel 100a i EG-fördraget, definierar de principer för skyddet av personuppgifter som skall tillämpas för behandling av personuppgifter när den registeransvariges verksamhet omfattas av gemenskapsrättens tillämpningsområde, men att det till följd av valet av rättslig grund inte kan reglera statlig verksamhet, såsom sådan verksamhet som avser allmän säkerhet eller eftersträvar repressiva syften, vilken inte omfattas av gemenskapsrätten.(57)
102. Det är riktigt att sådan behandling som utgörs av lufttrafikföretagens insamlande och registrering av passageraruppgifter allmänt har ett kommersiellt syfte, eftersom den är direkt knuten till genomförandet av de flygningar som tillhandahålls av lufttrafikföretagen. Det är också riktigt att passageraruppgifterna initialt insamlas av lufttrafikföretagen inom ramen för en verksamhet som omfattas av gemenskapsrätten, det vill säga försäljning av en flygbiljett som ger rätt till en tjänst. Behandlingen av personuppgifter som avses med beslutet om adekvat skydd är emellertid av en helt annan art, då den avser ett senare skede än det initiala insamlandet av uppgifter. Det rör, som ovan anförts, nämligen inhämtandet, CBP:s användning och utlämnandet till CBP av passageraruppgifter från lufttrafikföretagens inom medlemsstaterna i gemenskapen bokningssystem.
103. Beslutet om adekvat skydd rör inte en behandling av uppgifter som är nödvändig för tillhandahållandet av en tjänst, utan som är nödvändig för att säkerställa allmän säkerhet och repressiva syften. Detta är ändamålet med överföringen och behandlingen av passageraruppgifter. Den omständigheten att personuppgifterna insamlats inom ramen för en ekonomisk verksamhet kan således enligt min mening inte motivera en tillämpning av direktiv 95/46, och i synnerhet inte av artikel 25 häri, på ett område där det inte skall tillämpas.
104. Detta är enligt min mening tillräckligt för att fastslå, såsom parlamentet anfört, att kommissionen inte med stöd av artikel 25 i direktiv 95/46 varit behörig att anta ett beslut avseende den adekvata skyddsnivån för personuppgifter som överförs inom ramen för och för en behandling som uttryckligen är utesluten från direktivets tillämpningsområde.(58)
105. Beslutet om adekvat skydd utgör således ett åsidosättande av den rättsliga grunden, som är direktiv 95/46, och i synnerhet av dess artikel 25, som inte är en korrekt rättslig grund. Det skall således enligt min mening ogiltigförklaras.
106. Vidare är det, eftersom beslutet om adekvat skydd inte omfattas av tillämpningsområdet för direktiv 95/46, enligt min mening inte relevant att pröva huruvida, såsom parlamentet har gjort gällande, beslutet strider mot de väsentliga principer som fastslagits i direktivet.(59) Jag kommer således inte att pröva den andra grunden.
107. När det gäller den tredje och fjärde grunden för förevarande talan, som jag endast kommer att pröva subsidiärt, kan dessa inte bedömas annat än gemensamt eftersom ett eventuellt åsidosättande av grundläggande rättigheter med nödvändighet innefattar att beslutet åsidosätter proportionalitetsprincipen med avseende på det ändamål som eftersträvas med detta. Jag föreslår således att domstolen skall pröva den tredje och den fjärde grunden gemensamt.
B – Åsidosättande av grundläggande rättigheter och av proportionalitetsprincipen
108. Parlamentet har gjort gällande att beslutet om adekvat skydd inte uppfyller rätten till skydd för personuppgifter såsom den säkerställs genom artikel 8 i EMRK. Parlamentet anser, när det gäller de närmare villkor som föreskrivs i den bestämmelsen, att beslutet innebär ett intrång i privatlivet som inte kan anses föreskrivet i lag, eftersom det rör sig om en åtgärd som inte är tillgänglig och förutsebar. Parlamentet har vidare anfört att denna åtgärd inte är proportionerlig i förhållande till det ändamål som eftersträvas, särskilt med hänsyn till det mycket stora antal typer av passageraruppgifter som begärs och den mycket långa tid under vilka dessa uppgifter skall bevaras.
109. I dess talan i mål C-317/04, som avser ogiltigförklaring av rådets beslut, har parlamentet åberopat dessa två grunder, och till stöd för dessa utvecklat argument som i stora delar sammanfaller. Enligt min mening bör dessa argument i de båda målen prövas tillsammans, och den prövningen bör lämpligen genomföras inom ramen för bedömningen i mål C-317/04.
110. Det framgår nämligen av de argument som parterna anfört i sina inlagor att det inte är möjligt att separat, med avseende på rätten till skydd för privatlivet, gripa sig an de enskilda komponenterna i regelsystemet avseende CBP:s behandling av PNR-uppgifter,(60) det vill säga avtalet såsom det godkänts av rådet, beslutet om adekvat skydd och CBP:s åtaganden som bifogats kommissionens beslut. Parterna har vid upprepade tillfällen hänvisat till den ena eller den andra av dessa rättsakter när de sökt underbygga sin talan.
111. Sambandet mellan dessa tre komponenter i bestämmelserna om passageraruppgifter framgår även uttryckligen av lydelsen av avtalet. Såväl CBP:s åtaganden som beslutet om adekvat skydd nämns nämligen i ingressen till avtalet. Vidare anges i punkt 1 i avtalet att CBP skall ha tillgång till passageraruppgifter ”i strikt överensstämmelse med bestämmelserna i beslutet [om adekvat skydd] så länge som det tillämpas … ”. Även om det i punkt 2 i avtalet anges att lufttrafikföretagen skall föra över passageraruppgifter ”efter CBP:s begäran i enlighet med amerikansk lagstiftning” skall det ske ”i strikt överensstämmelse med bestämmelserna i beslutet [om adekvat skydd] så länge som det tillämpas”. Slutligen anges i punkt 3 i beslutet att ”CBP noterar beslutet [om adekvat skydd] och förklarar att det tillämpar den åtagandeförklaring som bifogats de[t]samma”.
112. Den rätt till tillgång till passageraruppgifter som CBP fått genom avtalet och den skyldighet att behandla dessa uppgifter som åvilar de lufttrafikföretag som utpekas i avtalet är således underställda en strikt och effektiv tillämpning av beslutet om adekvat skydd.
113. Mot bakgrund av sambandet mellan dessa tre komponenter i PNR-bestämmelserna och den omständigheten att parlamentet i båda de mål som domstolen har att avgöra har åberopat grunder avseende åsidosättande av grundläggande rättigheter och av proportionalitetsprincipen, anser jag att dessa grunder avser att domstolen skall konstatera att PNR-bestämmelserna, i dess tre beståndsdelar, är oförenliga med rätten till skydd för privatlivet i artikel 8 i EMRK. Enligt min mening vore det nämligen konstlat att pröva beslutet om adekvat skydd utan att ta hänsyn till avtalet, vilket medför vissa skyldigheter för lufttrafikföretagen, och även det motsatta, nämligen att pröva detta avtal utan att ta hänsyn till de andra texter till vilka avtalet uttryckligen hänvisar.
114. Eftersom systemet är uppbyggt av ett flertal delar som inte kan särskiljas bör bedömningen enligt min mening inte uppdelas på ett konstlat sätt.
115. Det intrång i privatlivet som här är i fråga består, utifrån detta synsätt, av avtalet såsom det godkänts genom rådets beslut, av beslutet om adekvat skydd och av CBP:s åtaganden tagna tillsammans. För att avgöra om detta intrång är föreskrivet i lag, om det sker för att fylla ett legitimt syfte och om det är nödvändigt i ett demokratiskt samhälle, är det också nödvändigt att, såsom parlamentet gjort i sina två ansökningar, beakta hela den ”treväxlade mekanism” som sålunda upprättats. Jag skall, för att kunna göra en helhetsbedömning av PNR-bestämmelserna, fortsätta med den bedömningen inom ramen för prövningen av talan om ogiltigförklaring av rådets beslut.
VI – Talan om ogiltigförklaring av rådets beslut (mål C-317/04)
A – Huruvida artikel 95 EG var en korrekt rättslig grund för rådets beslut
1. Parternas argument
116. Parlamentet har gjort gällande att artikel 95 EG inte är en korrekt rättslig grund för rådets beslut. Beslutets syfte eller verkan är nämligen inte den inre marknadens upprättande och funktion. Syftet med rådets beslut är snarare att legalisera den behandling av personuppgifter som genomförs av amerikanska myndigheter, och som föreskrivs i amerikansk lag med skyldigheter för företag som är etablerade inom gemenskapens territorium. I beslutet anges inte på vilket sätt lagstiftningen om överföring av personuppgifter bidrar till den inre marknadens upprättande eller funktion.
117. Enligt parlamentet kan inte heller innehållet i rådets beslut motivera användandet av artikel 95 EG som rättslig grund. Beslutet innebär att en rätt för CBP att få tillgång till lufttrafikföretagens inom gemenskapen bokningssystem, för att dessa,, i enlighet med amerikansk lag, skall kunna genomföra flygningar mellan Förenta staterna och medlemsstaterna, i syfte att förhindra och bekämpa terrorism. Genomförandet av dessa ändamål omfattas inte av artikel 95 EG.
118. Parlamentet har slutligen anfört att artikel 95 EG inte medför behörighet för gemenskapen att sluta avtalet i fråga, i den mån det syftar till behandling av personuppgifter som sker för att säkerställa allmän säkerhet, vilken behandling således inte omfattas av tillämpningsområdet för direktiv 95/46, som antagits med stöd av artikel 95 EG.
119. Rådet har gjort gällande att det var korrekt att anföra artikel 95 EG som rättslig grund för dess beslut. Enligt rådet får denna artikel anföras som rättslig grund för åtgärder som syftar till att säkerställa att konkurrensvillkoren inte snedvrids på den inre marknaden. Avtalet syftar till att undanröja varje störning av konkurrensen mellan lufttrafikföretagen i gemenskapen och lufttrafikföretagen i tredjeland som kan uppkomma till följd av amerikanska krav och skyddet för personliga fri- och rättigheter. Konkurrensvillkoren för de företag i medlemsstaterna som tillhandahåller internationella passagerartransporttjänster till eller från Förenta staterna skulle snedvridas ifall bara vissa av dessa skulle ge amerikanska myndigheter tillgång till sina databaser med personuppgifter.
120. Rådet har vidare anfört dels att de av lufttrafikföretagen som inte uppfyller amerikanska krav skulle vidkännas böter som utfärdas av amerikanska myndigheter, råka ut för förseningar och förlora passagerare till förmån för andra lufttrafikföretag som träffat uppgörelser med Förenta staterna, dels att vissa medlemsstater skulle kunna bestraffa de lufttrafikföretag som överför personuppgifter, medan andra medlemsstater inte nödvändigtvis skulle handla på samma sätt.
121. Mot denna bakgrund och i avsaknad av gemensamma bestämmelser om amerikanska myndigheters tillgång till passageraruppgifter, anser rådet att konkurrensvillkoren skulle riskera att snedvridas och att enhetligheten på den inre marknaden skulle kunna skadas allvarligt. Det var således nödvändigt att upprätta harmoniserade villkor angående amerikanska myndigheters tillgång till passageraruppgifter, samtidigt som gemenskapens krav på upprätthållande av grundläggande rättigheter tillgodosågs. Det gällde att säkerställa att alla berörda företag underkastats harmoniserade villkor och att de externa aspekterna av den inre marknadens upprättande och funktion tillgodosågs.
122. Rådet har slutligen anmärkt att avtalet träffats efter att beslutet om adekvat skydd antagits med stöd av artikel 25.6 i direktiv 95/46. Enligt rådet var det således både normalt och korrekt att hänvisa till samma rättsliga grund som direktivet, det vill säga artikel 95 EG.
123. Kommissionen har i sin interventionsinlaga anfört att skälen i ingressen till avtalet visar att det främsta syftet för Förenta staterna var att bekämpa terrorismen, medan det för gemenskapen var att bibehålla de grundläggande beståndsdelarna i sin lagstiftning angående skyddet för personuppgifter.
124. Kommissionen har, samtidigt som den kritiserat valet av artikel 95 EG som rättslig grund för rådets beslut, anmärkt att parlamentet inte presenterat något trovärdigt alternativ. Enligt kommissionen är artikel 95 EG den ”naturliga” rättsliga grunden för rådets beslut, i den mån som den externa dimensionen av skyddet för personuppgifter måste grundas på samma bestämmelse i fördraget som ligger till grund för den interna åtgärd som direktiv 95/46 utgör, och detta gäller i än högre grad eftersom denna externa aspekt uttryckligen anges i artiklarna 25 och 26 i direktivet. Vidare har, med hänsyn till det nära sambandet mellan avtalet, beslutet om adekvat skydd och CBP:s åtaganden, artikel 95 EG visat sig vara den korrekta rättsliga grunden. I alla händelser har kommissionen gjort gällande att rådet varit behörigt att sluta avtalet med stöd av artikel 95 EG, eftersom direktiv 95/46 skulle ha påverkats i den mening som avses i domen i målet AETR,(61) för det fall att medlemsstaterna var för sig eller tillsammans hade träffat ett sådant avtal utanför gemenskapens ramar.
125. Kommissionen har slutligen gjort gällande att den inledande behandlingen av personuppgifter som lufttrafikföretagen genomför sker i kommersiellt syfte. Användningen av dessa uppgifter hos amerikanska myndigheter skall således anses omfattas av direktiv 95/46.
2. Bedömning
126. Genom sin första grund vill parlamentet att domstolen skall avgöra huruvida artikel 95 EG är den korrekta rättsliga grunden för rådets beslut angående gemenskapens ingående av ett internationellt avtal såsom det som är aktuellt i förevarande mål. Vid besvarandet av denna fråga skall domstolens fasta praxis angående valet av rättslig grund tillämpas. Enligt denna skall valet av rättslig grund för en rättsakt inom gemenskapen ske utifrån objektiva kriterier, som kan bli föremål för domstolsprövning. Bland dessa kriterier ingår bland annat rättsaktens syfte och innehåll.(62) Det är nämligen så, att ”inom ramen för gemenskapens system för kompetensfördelning kan valet av rättslig grund för en rättsakt inte bero enbart på en institutions uppfattning om det eftersträvade målet …”.(63)
127. Domstolen har fastslagit att ”valet av lämplig rättslig grund är av konstitutionell betydelse. Eftersom gemenskapen enbart har den behörighet som den tilldelats måste den nämligen anknyta [det aktuella internationella avtalet] till en bestämmelse i fördraget som ger den [behörighet] att godkänna en sådan rättsakt. Om en felaktig rättslig grund används kan detta således göra själva ingåenderättsakten ogiltig och följaktligen göra gemenskapens samtycke att vara bunden av det avtal som den har undertecknat ogiltigt”.(64)
128. Jag kommer således att, i enlighet med den bedömningsmodell som domstolen angivit, pröva huruvida avtalets med Förenta staterna syfte och innehåll medfört behörighet för rådet att med stöd av artikel 95 EG anta ett beslut om att, enligt dess artikel 1, godkänna avtalet på gemenskapens vägnar.
129. När det gäller avtalets syfte framgår det uttryckligen av punkt 1 i ingressen till detta att det har två syften, nämligen dels att förhindra och bekämpa terrorism och brott som hör samman med terrorism, liksom andra grova brott av transnationell karaktär, i synnerhet organiserad brottslighet,(65) dels att respektera grundläggande fri- och rättigheter, i synnerhet skyddet för privatlivet.
130. Syftet att bekämpa terrorismen och andra grova brott bekräftas av hänvisningen, i punkt 2 i avtalets ingress, till amerikanska lagar och andra bestämmelser som antagits efter terroristattentaten den 11 september 2001, enligt vilka alla lufttrafikföretag som utför passagerartransporter till eller från Förenta staterna skall ge CBP elektronisk tillgång till PNR-uppgifter som insamlats och bevarats i företagens elektroniska boknings- och avgångssystem.
131. När det gäller syftet att respektera grundläggande fri- och rättigheter framgår detta genom hänvisningen till direktiv 95/46. Det är här fråga om att säkerställa skyddet för personuppgifter för de fysiska personer som företagen transporterar.
132. Detta säkerställande har eftersträvats såväl inom ramen för CBP:s åtaganden av den 11 maj 2004, vilka enligt punkt 4 i avtalets ingress har offentliggjorts i Federal Register, som inom ramen för beslutet om adekvat skydd, till vilket det hänvisas i punkt 5 i samma ingress.
133. Dessa två ändamål skall enligt punkt 1 i ingressen till avtalet eftersträvas samtidigt. Avtalet mellan gemenskapen och Förenta staterna är således ett försök att jämka samman dessa båda syften, det vill säga att avtalet grundas på den tanken att bekämpandet av terrorismen och andra grova brott skall ske med säkerställande av grundläggande fri- och rättigheter, i synnerhet skyddet för privatlivet, och närmare bestämt skyddet för personuppgifter.
134. Avtalets innehåll bekräftar denna bedömning. I punkt 1 i avtalet föreskrivs nämligen att CBP skall ha elektronisk tillgång till PNR-uppgifter från lufttrafikföretags boknings- och avgångssystem belägna på medlemsstaternas territorium ”i strikt överensstämmelse med bestämmelserna i beslutet om adekvat skydd så länge som det tillämpas”. Jag drar av detta slutsatsen att bekämpandet av terrorism och andra grova brott genom att ge tillgång till passageraruppgifter endast tillåts så länge Förenta staterna anses tillgodose en adekvat skyddsnivå för dessa uppgifter. Innehållet i denna bestämmelse ger således uttryck för det samtidiga eftersträvandet av målen att bekämpa terrorism och andra grova brott och skyddet för personuppgifter.
135. Samma sak kan konstateras när det gäller punkt 2 i avtalet, i vilken det föreskrivs att de lufttrafikföretag som bedriver utrikes passagerartrafik till och från Förenta staterna skall föra över PNR-uppgifter som bevaras i deras elektroniska bokningssystem ”efter CBP:s begäran i enlighet med amerikansk lagstiftning och i strikt överensstämmelse med bestämmelserna i beslutet [om adekvat skydd] så länge som det tillämpas”. Också i detta fall är den skyldighet som föreskrivits för lufttrafikföretagen i syfte att bekämpa terrorism och andra grova brott nära förbunden med ett adekvat skydd för flygpassagerarnas personuppgifter.
136. Det finns även andra bestämmelser i avtalet som syftar till att genomföra målen att dels bekämpa terrorism och andra grova brott, dels skydda flygpassagerarnas personuppgifter.
137. Vad gäller skyddet för passagerarnas personuppgifter föreskrivs i punkt 3 i avtalet att ”CBP noterar beslutet [om adekvat skydd] och förklarar att det tillämpar den åtagandeförklaring som bifogats de[t]samma”.
138. I punkt 6 i avtalet anges att för det fall att Europeiska unionen i sin tur skulle införa ett identifieringssystem för flygpassagerare vilket kräver att lufttrafikföretag ger myndigheterna tillgång till PNR-uppgifter om personer vilkas resrutt omfattar en flygning till eller från Europeiska unionen, skall Department of Homeland Security, ”i den mån det är praktiskt genomförbart och helt och hållet grundat på ömsesidighet, aktivt uppmana flygbolag inom dess jurisdiktion att samarbeta”. Denna bestämmelse avser även den att genomföra målet att bekämpa terrorism och andra grova brott.
139. Jag skall i detta avseende, till svar på vissa argument som framförts av kommissionen, anföra att det förefaller svårligen kunna påstås att det är Förenta staterna som ensidigt och självt eftersträvar målet att bekämpa terrorism och andra grova brott, medan gemenskapen endast har för avsikt att skydda flygpassagerarnas personuppgifter.(66) Enligt min mening är avtalets syfte och innehåll ur båda parters synvinkel och samtidigt att jämka samman ändamålen att dels bekämpa terrorism och andra grova brott, dels skydda flygpassagerarnas personuppgifter. Avtalet utgör på detta sätt ett samarbete mellan de fördragsslutande parterna som är avsett just att uppnå detta dubbla syfte samtidigt.
140. Med avseende på avtalets sålunda beskrivna syfte och innehåll anser jag att artikel 95 EG inte är en korrekt rättslig grund för rådets beslut.
141. Jag påminner om att det i artikel 95.1 EG föreskrivs att rådet får vidta åtgärder för tillnärmning av sådana bestämmelser i lagar och andra författningar i medlemsstaterna som syftar till att upprätta den inre marknaden och få den att fungera.
142. Den behörighet som gemenskapen tilldelats genom denna artikel i fördraget är av horisontell karaktär, det vill säga den är inte begränsad till något visst sakområde. Omfattningen av gemenskapens behörighet har således definierats ”på grundval av ett funktionellt kriterium som omfattar alla åtgärder som är avsedda att förverkliga den ’inre marknaden’ ”.(67)
143. Det framgår vidare av domstolens praxis att de åtgärder som avses i artikel 95.1 EG syftar till att förbättra villkoren för upprättandet av den inre marknaden och dess funktion och att de faktiskt skall uppfylla ett sådant syfte, genom att bidra till att undanröja hinder för den fria rörligheten för varor och friheten att tillhandahålla tjänster samt till att förhindra snedvridningar av konkurrensen.(68) Det framgår även av domstolens praxis att även om artikel 95 EG får användas som rättslig grund för att förebygga att framtida handelshinder uppstår till följd av en olikartad utveckling av nationella lagar, är det emellertid sannolikt att sådana hinder kan uppstå och åtgärden i fråga skall ha till syfte att förebygga dem.(69)
144. Såsom ovan anförts har rådet gjort gällande att det var korrekt av det att anta beslutet med stöd av artikel 95 EG, eftersom avtalet har bidragit till att förhindra att den inre marknadens enhetlighet har vållats allvarlig skada genom att konkurrensstörningar mellan lufttrafikföretagen i medlemsstaterna och lufttrafikföretagen i tredjeland har undanröjts.
145. Det skall visserligen anmärkas att skäl 2 i rådets beslut innehåller en hänvisning till att ”det är synnerligen brådskande att åtgärda den situation av osäkerhet som lufttrafikföretag och passagerare befinner sig i samt skydda de berördas finansiella intressen”. Detta kan förstås som en hänvisning till de sanktioner som behöriga amerikanska myndigheter skulle kunna ålägga de lufttrafikföretag som vägrade att ge tillgång till passageraruppgifterna för sina resenärer, vilket skulle få ekonomiska konsekvenser för dessa företag. Det är tänkbart att de negativa ekonomiska konsekvenser för vissa företag som dessa sanktioner i så fall skulle få skulle snedvrida konkurrensen mellan samtliga lufttrafikföretag som etablerats inom medlemsstaternas territorium.
146. Det kan även tänkas att skillnader i uppfattning mellan medlemsstaterna, där vissa vid vite skulle förbjuda lufttrafikföretagen inom dess territorium att överföra passageraruppgifter för sina resenärer medan andra inte gör så skulle kunna påverka, om än indirekt, den inre marknadens funktion genom den eventuella snedvridning av konkurrensen som kunde följa mellan lufttrafikföretagen.
147. Det skall emellertid konstateras att ett sådant syfte att förhindra snedvridningar i konkurrensen, i den mån rådet verkligen eftersträvat det, är av underordnad art jämfört med de två huvudsakliga syftena att bekämpa terrorism och andra grova brott samt skydda resenärernas personuppgifter vilka, såsom beskrivits ovan, nämns uttryckligen och verkligen genomförs i avtalets bestämmelser.
148. Syftet att förhindra snedvridningar i konkurrensen, av vilket slag dessa må vara, mellan lufttrafikföretagen i medlemsstaterna och dem i tredjeland, nämns på intet sätt uttryckligen i avtalets bestämmelser. Det är underförstått och således underordnat de två övriga syftena.
149. Såsom domstolen fastslagit kan ”enbart det förhållandet att en rättsakt kan ha viss inverkan på den inre marknadens upprättande och funktion inte i sig självt motivera att nyssnämnda artikel åberopas som rättslig grund för rättsakten”.(70)
150. Framför allt framgår det av domstolens fasta praxis att när bedömningen av en gemenskapsrättsakt visar att den har flera syften eller flera beståndsdelar och ett, respektive en, av dessa kan identifieras som det huvudsakliga eller avgörande, medan det, respektive den, andra endast är av underordnad betydelse, skall rättsakten endast ha en rättslig grund, nämligen den som krävs med hänsyn till det huvudsakliga eller avgörande syftet eller den huvudsakliga eller avgörande beståndsdelen.(71) Om det visas att en rättsakt har flera syften, vilka har ett sådant samband att de inte kan åtskiljas, utan att det ena syftet är sekundärt och indirekt i förhållande till det andra, kan en sådan rättsakt i undantagsfall ha flera rättsliga grunder som motsvarar syftena.(72) Så är enligt min mening inte fallet i förevarande mål.
151. Jag skall också påpeka att, även om de tre syftena skulle anses vara sådana att de inte kan åtskiljas i avtalet, rådets val att endast åberopa artikel 95 EG som rättslig grund för sitt beslut ändå skulle anses vara felaktigt enligt denna rättspraxis.
152. Det framgår nämligen vid en närmare granskning av hela skäl 2 i rådets beslut att hänvisningen till att det är ”synnerligen brådskande” har gjorts i det huvudsakliga syftet att motivera den frist som fastställts för parlamentet att lämna sitt yttrande, i enlighet med artikel 300.3 första stycket EG, i vilken det föreskrivs att när det gäller förfarandet för ingående av avtal skall ”Europaparlamentet … avge sitt yttrande inom den tid som rådet får bestämma med hänsyn till hur brådskande ärendet är”. I den bestämmelsen anges även att ”[o]m ett yttrande inte har avgetts inom denna tid, får rådet fatta beslut”. Detta är det förfarande som tillämpats vid antagandet av rådets beslut.
153. Med andra ord anser jag att även om den omständigheten att det var ”synnerligen brådskande att åtgärda den situation av osäkerhet som lufttrafikföretag och passagerare befinner sig i samt skydda de berördas finansiella intressen” verkligen hade kunnat beaktas inom ramen för upprättandet av PNR-bestämmelserna, förefaller detta beaktande ha spelat en större roll inom ramen för det förfarande som tillämpats än vid angivandet av avtalets mål och innehåll.
154. Vad gäller rådets och kommissionens argument att en rättsakt avseende den externa dimensionen av skyddet för personuppgifter skall antas med stöd av samma rättsliga grund som den interna rättsakt som direktiv 95/46 utgör, skall jag framhålla att domstolen fastslagit att den omständigheten att en viss fördragsbestämmelse använts som rättslig grund för antagandet av en intern rättsakt inte är tillräckligt för att visa att samma rättsliga grund skall användas för godkännandet av ett internationellt avtal med liknande syfte.(73) Jag har dessutom ovan klargjort att avtalet varken till syfte eller innehåll förbättrar den inre marknadens funktion, medan direktiv 95/46, som antagits med stöd av artikel 95 EG, ”syftar till att genom tillnärmning av nationella bestämmelser om skyddet av fysiska personer i samband med behandlingen av personuppgifter säkerställa det fria flödet av dessa uppgifter mellan medlemsstaterna”.(74)
155. Mot bakgrund av vad som ovan anförts anser jag att prövningen av avtalets syfte och innehåll visar att artikel 95 EG inte var den korrekta rättsliga grunden för rådets beslut.
156. Följaktligen föreslår jag att domstolen skall bifalla parlamentets talan med stöd av den första grunden. Rådets beslut skall således ogiltigförklaras till följd av det felaktiga valet av rättslig grund.
157. Det skulle förvisso vara intressant att ställa frågan vilken rättslig grund som vore den korrekta för ett sådant beslut. Domstolen har emellertid inte att avgöra denna delikata fråga inom ramen för förevarande mål. Jag skall därför begränsa mig till några allmänna anmärkningar angående arten av PNR-bestämmelserna såsom de förhandlats fram med Förenta staterna.
158. Till att börja med visar enligt min mening, till skillnad från vad rådet gjort gällande, den omständigheten att PNR-bestämmelserna inte har upprättats inom ramen för EU-fördraget inte att rådets och kommissionens tillvägagångssätt varit juridiskt korrekt.
159. Vidare och mer allmänt anser jag att en rättsakt i vilken det föreskrivs att personuppgifter skall insamlas och användas av en enhet som har till uppgift att säkerställa den inre säkerheten i en stat, liksom tillhandahållandet av dessa uppgifter till en sådan enhet, kan likställas med samarbete mellan offentliga myndigheter.(75)
160. Vidare föreligger det ingen grundläggande skillnad mellan att föreskriva att en juridisk person skall genomföra en sådan behandling av dessa personuppgifter och ett direkt utbyte av uppgifter mellan offentliga myndigheter.(76) Det avgörande är den obligatoriska överföringen av uppgifter för säkerhets- och repressiva ändamål, och inte det specifika tillvägagångssättet i den ena eller den andra situationen. Förevarande mål rör ett nytt problem, som avser användning av kommersiella uppgifter i repressivt syfte.(77)
161. Det skall slutligen anmärkas att förstainstansrätten har fastslagit att ”kampen mot den internationella terrorismen … inte kan hänföras till något av de mål för gemenskapen som uttryckligen anges i artiklarna 2 EG och 3 EG”.(78)
162. Med hänsyn till att min bedömning av den första grunden är att föreslå att domstolen skall ogiltigförklara rådets beslut till följd av det felaktiga valet av rättslig grund, skall jag endast subsidiärt pröva de övriga grunder som parlamentet åberopat till stöd för förevarande talan.
B – Åsidosättande av artikel 300.3 andra stycket EG genom att direktiv 95/46 ändrats
1. Parternas argument
163. Parlamentet har genom denna andra grund gjort gällande att avtalet mellan gemenskapen och Förenta staterna endast kunde godkännas för gemenskapens räkning enligt det förfarande som anges i artikel 300.3 andra stycket EG. Det föreskrivs nämligen i den bestämmelsen att det ”krävs Europaparlamentets samtycke för ingåendet av sådana avtal … som medför ändring av en rättsakt som har antagits enligt förfarandet i artikel 251”. Enligt parlamentet medför det ifrågavarande avtalet ändringar i direktiv 95/46, vilket antagits enligt förfarandet i artikel 251 EG.
164. Enligt parlamentets uppfattning är de åtaganden som de amerikanska myndigheterna godtagit enligt avtalet mindre långtgående än de villkor för behandling av personuppgifter som föreskrivs i direktiv 95/46. Således kan avtalet medföra avvikelser från vissa väsentliga principer i direktivet, och medföra att behandling av personuppgifter som inte är tillåten enligt direktivet blir laglig. Avtalet modifierar på detta sätt direktiv 95/46. Parlamentet har i synnerhet pekat på följande ändringar.
165. Avtalet avser förhindrande och bekämpande av terrorism, medan det i artikel 3.2 första strecksatsen i direktiv 95/46 anges att överföring av personuppgifter till offentliga myndigheter i tredjeland av skäl som har att göra med den allmänna säkerheten i det landet inte omfattas av direktivets tillämpningsområde. Parlamentet har anmärkt att medlemsstaterna infört sådana bestämmelser i Europolkonventionen, och att det således kan antas att dessa båda instrument, som antagits med stöd av olika bestämmelser, i viss mån kompletterar varandra.
166. För det andra utgör även behöriga amerikanska myndigheters möjlighet att få direkt tillgång till personuppgifter inom gemenskapens territorium (”pull-systemet”) en ändring av direktiv 95/46. I artiklarna 25 och 26 i direktivet finns nämligen inget som medger att tredjeland har rätt till en direkt tillgång till dessa uppgifter.
167. För det tredje ger avtalet, med hänvisning till åtagandena, CBP rätt att från fall till fall fritt överföra passageraruppgifter till brottsbekämpande myndigheter eller för att bekämpa terrorism utanför Förenta staterna. Denna handlingsfrihet som givits de amerikanska myndigheterna innebär ett åsidosättande av direktiv 95/46, och i synnerhet artikel 25.1 i detta, där det föreskrivs att ”överföring av personuppgifter … till tredje land endast får ske om ifrågavarande tredje land … säkerställer en adekvat skyddsnivå”. Enligt parlamentet skulle nämligen systemet för skydd av personuppgifter som upprättats genom direktivet omintetgöras ifall det tredjeland som är föremål för ett positivt beslut om adekvat skydd därefter fritt kunde överföra personuppgifter till andra länder som kommissionen inte granskat.
168. För det fjärde medför avtalet en förändring av direktiv 95/46 genom att CBP, även om det inte skulle välja att använda ”känsliga” personuppgifter, har givits en rätt att insamla sådana uppgifter, vilket utgör behandling i den mening som avses i artikel 2 b i direktivet.
169. Parlamentet har för det femte anfört att avtalet ändrar direktivet genom att rätten till prövning i domstol om sådana kränkningar av rättigheter som skyddas av den nationella lagstiftning som är tillämplig, som föreskrivs i artikel 22 i direktiv 95/46, inte har säkerställts på ett tillfredställande sätt. Framför allt kan en person vars passageraruppgifter överförts inte på något sätt föra talan, till exempel när uppgifterna använts felaktigt, vid användning av känsliga uppgifter eller när uppgifter överförs till andra myndigheter.
170. För det sjätte och sista har parlamentet pekat på den mycket långa tid under vilken passageraruppgifter som överförts till CBP får förvaras, vilket innebär en ändring av direktivet, och i synnerhet dess artikel 6.1 e, i vilket det föreskrivs att en förvaring inte får pågå ”under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna samlades in eller för vilka de senare behandlades”.
171. Datatillsynsmannen har stött parlamentets yrkanden och gjort gällande att avtalet påverkar direktiv 95/46. Enligt datatillsynsmannen kunde avtalet endast slutas under parlamentets demokratiska kontroll, eftersom det påverkar nivån på harmoniseringen mellan nationella lagar såsom den kommit till uttryck i direktivet, och även iakttagandet av grundläggande rättigheter. Enligt datatillsynsmannen orsakas påverkan på skyddsnivån för personuppgifter enligt direktivet främst genom att lufttrafikföretagen enligt såväl ”pull-systemet” som ”push-systemet” är skyldiga att handla i strid med direktivet, och i synnerhet artikel 6.1 b och 6.1 c i detta. Eftersom denna påverkan på skyddsnivån för personuppgifter innebär en förändring av direktiv 95/46 skulle förfarandet enligt artikel 300.3 andra stycket ha iakttagits. Datatillsynsmannen har vidare anfört att ”de materiella garantierna” heller inte har iakttagits, i synnerhet som CBP:s åtaganden är av frivillig art.
172. Rådet har, med stöd av kommissionen, anfört att avtalet inte innebär någon ändring av direktiv 95/46. Rådet har till stöd för den uppfattningen hänvisat till punkt 8 i avtalet, i vilken det anges att avtalet varken ”innebär … undantag från eller ändring av parternas lagstiftning”. Rådet har vidare anfört att kommissionen i direktiv 95/46 ges en betydande handlingsfrihet vid bedömningen av huruvida ett tredjeland ger ett adekvat skydd. Enligt rådet skall frågan huruvida kommissionen har gått utöver denna handlingsfrihet snarare prövas inom ramen för talan om ogiltigförklaring av beslutet om adekvat skydd i mål C-318/04.
173. Rådet har även anfört att de mål (säkerhet, kampen mot terrorism eller annat) som fått CBP att kräva överföring av passageraruppgifter varken är avtalets syfte eller innehåll ur gemenskapens synvinkel. I direktiv 95/46 föreskrivs vidare att personuppgifter inom ramen för den inre marknaden får användas för legitima ändamål, såsom skyddet för en stats säkerhet.
174. Enligt rådet skulle det, även om gemenskapen inte varit behörig att sluta avtalet, inte ha varit nödvändigt att erhålla parlamentets samtycke till följd av den föregivna ändringen av direktiv 95/46. Ett samtycke från parlamentet kan nämligen inte i något fall medföra att gemenskapens behörighet utvidgas.
175. När det gäller CBP:s möjligheter att få direkt tillgång till passageraruppgifter (”pull-systemet”, som för närvarande tillämpas i avvaktan på ”push-systemet”) har rådet anfört att även om det inte uttryckligen nämns någon sådan möjlighet i direktiv 95/46, så innehåller direktivet heller inget förbud mot detta. Ur gemenskapens synvinkel är det villkoren för tillgång till personuppgifter som är avgörande.
176. Kommissionen har anfört att oavsett för vilka ändamål som CBP använder personuppgifterna är och förblir dessa uppgifter för lufttrafikföretagen inom gemenskapen sådana kommersiella uppgifter som omfattas av tillämpningsområdet för direktiv 95/46 och som således skall skyddas och behandlas i enlighet med det direktivet.
2. Bedömning
177. När det gäller gemenskapens slutande av internationella avtal är den allmänna regeln utanför den gemensamma handelspolitikens ram att parlamentet skall höras. Så föreskrivs i artikel 300.3 första stycket EG, vilken omfattar det fallet att avtalet rör ett område där medbestämmandeförfarandet enligt artikel 251 EG är tillämpligt för antagande av interna bestämmelser.
178. Med avvikelse från denna allmänna regel föreskrivs i artikel 300.3 andra stycket EG att parlamentets samtycke krävs i fyra fall, av vilka ”sådana avtal som medför ändring av en rättsakt som har antagits enligt förfarandet i artikel 251” är av intresse i förevarande mål. Den bestämmelsen säkerställer att parlamentet i egenskap av medverkande i lagstiftningen ges kontroll över huruvida ett internationellt avtal medför förändringar av en rättsakt som antagits av parlamentet.
179. Direktiv 95/46 har antagits med tillämpning av medbestämmandeförfarandet. Parlamentet har gjort gällande att eftersom avtalet medför förändringar av direktivet krävdes det således parlamentets godkännande för rådets beslut att godkänna avtalet för gemenskapens räkning.
180. Jag skall inledningsvis, vid prövningen av huruvida vad parlamentet sålunda anfört är välgrundat, framhålla att det enligt min mening saknar betydelse att det i punkt 8 i avtalet angivits att det varken ”innebär … undantag från eller ändring av parternas lagstiftning”. Vad som skall prövas vid avgörandet av huruvida artikel 300.3 andra stycket EG är tillämplig är nämligen ifall avtalet innebär någon ändring av den interna gemenskapsrättsliga akten, det vill säga huruvida dess verkan är att rättsakten ändras, oberoende av huruvida detta är dess syfte.
181. Med detta sagt förefaller det som om domstolen ännu inte haft att uttala sig angående innebörden av det relativt vaga uttrycket ”medför ändring av en rättsakt som har antagits enligt förfarandet i artikel 251”.(79) Vissa författare har frågat sig huruvida ”ändring” innebär att endast ”en förändring som är oförenlig med lydelsen” av den interna rättsakten eller att ”varje förändring av rättsakten, även om den är förenlig med lydelsen” av den interna rättsakten medför krav på parlamentets samtycke.(80)
182. Det uttryck som används i artikel 300.3 andra stycket EG ger även upphov till frågan huruvida avtalets tillämpningsområde, i vart fall delvis, måste omfatta detsamma som den interna rättsakten för att parlamentets samtycke skall krävas, eller om det är tillräckligt att en intern rättsakt antagits med stöd av samma rättsliga grund som används för slutandet av avtalet.(81)
183. Enligt min allmänna uppfattning är det ett villkor för att ett internationellt avtal skall anses medföra en ”ändring” av en gemenskapsrättslig akt som antagits enligt medbestämmandeförfarandet att avtalets tillämpningsområde omfattar detsamma som den interna rättsakten. I sådant fall kan nämligen en ändring av den interna rättsakten uppkomma antingen genom att avtalet innehåller en bestämmelse som står i strid med en bestämmelse i den interna rättsakten, eller genom att avtalet lägger till något till den interna rättsakten, även om det inte direkt står i strid med denna.
184. I förevarande mål anser jag att avtalet inte medfört någon ändring av innehållet i direktiv 95/46.
185. Jag grundar denna uppfattning på, för det första, att avtalets huvudsakliga syfte, såsom framgått av bedömningen av den första grunden, är att bekämpa terrorism och andra grova brott samtidigt som skyddet för passagerarnas personuppgifter säkerställs. Direktiv 95/46 syftar däremot till att säkerställa den fria rörligheten för personuppgifter mellan medlemsstaterna genom harmonisering av nationella bestämmelser om skydd för fysiska personer avseende behandlingen av sådana uppgifter. De två rättsakterna har således olika syften, även om de båda rör skyddet för personuppgifter.(82)
186. För det andra, och i linje med konstaterandet att deras syften är olika, har avtalet och direktiv 95/46 olika tillämpningsområden. Medan avtalet tillämpas på behandling av personuppgifter som genomförts vid utövandet av verksamhet avseende skyddet för den inre säkerheten i Förenta staterna, och närmare bestämt verksamhet avseende bekämpandet av terrorism och andra grova brott, anges det i artikel 3.2 första strecksatsen i direktivet uttryckligen att behandling av personuppgifter som ”utgör ett led i en verksamhet som inte omfattas av gemenskapsrätten, exempelvis sådan verksamhet som avses i avdelningarna V och VI i [EU-fördraget], och inte under några omständigheter behandlingar som rör allmän säkerhet, försvar, statens säkerhet (inbegripet statens ekonomiska välstånd när behandlingen har samband med frågor om statens säkerhet) och statens verksamhet på straffrättens område” undantagits från direktivets tillämpningsområde.(83)
187. Mot bakgrund av att de två rättsakterna i förevarande mål har olika syften och olika tillämpningsområden kan jag inte förstå hur innehållet i den ena skulle kunna medföra någon ändring av innehållet i den andra. Avtalet rör behandling av personuppgifter vilka gemenskapslagstiftaren klart har angivit inte skall omfattas av det system för skydd som upprättats genom direktiv 95/46. Detta gemenskapslagstiftarens angreppssätt är för övrigt förenligt med valet av rättslig grund för direktivet, det vill säga artikel 95 EG.
188. Denna bedömning påverkas inte av vad kommissionen anfört om att oavsett för vilket syfte personuppgifterna används av CBP är och förblir dessa uppgifter för lufttrafikföretagen inom gemenskapen sådana kommersiella uppgifter som omfattas av tillämpningsområdet för direktiv 95/46, vilka skall skyddas och behandlas i enlighet med det direktivet.
189. Även om den behandling av personuppgifter som består i lufttrafikföretagens insamling och registrering av passageraruppgifter i allmänhet har ett kommersiellt syfte, eftersom de har direkt samband med genomförandet av den flygtransport som företagen skall ombesörja, är den behandling av personuppgifter som avtalet avser av en annan art, eftersom de dels sker i ett senare skede än insamlingen av uppgifter, dels sker av säkerhetsskäl.
190. Mot denna bakgrund anser jag således att parlamentets talan inte skall bifallas med stöd av den andra grunden.
191. Av samma skäl som anförts inom ramen för prövningen av mål C-318/04,(84) skall jag därefter övergå till att pröva den tredje och den fjärde grunden som parlamentet anfört, det vill säga åsidosättandet av skyddet för personuppgifter och av proportionalitetsprincipen.
192. Jag påminner om att det som skall prövas är PNR-bestämmelserna i sin helhet, eftersom det föreligger ett så nära samband mellan avtalet såsom det godkänts av rådet, beslutet om adekvat skydd och CBP:s åtaganden som bifogats kommissionens beslut.(85)
C – Åsidosättande av skyddet för personuppgifter och av proportionalitetsprincipen
1. Parternas argument
193. Europaparlamentet har gjort gällande att PNR-bestämmelserna medför ett åsidosättande av skyddet för personuppgifter, såsom det anges i synnerhet i artikel 8 i EMRK.
194. Genom att föreskriva att CBP skall ha tillgång på elektronisk väg till passageraruppgifter i bokningssystemen hos de lufttrafikföretag som etablerats inom medlemsstaternas territorium, och genom att föreskriva att dessa företag, när skall behandla dessa uppgifter som begärda av CBP enligt amerikansk lag, avser avtalet enligt parlamentet behandling av personuppgifter som innebär ett intrång i privatlivet i den mening som avses i artikel 8 i EMRK. På samma sätt strider beslutet om adekvat skydd mot den bestämmelsen.
195. Enligt parlamentet måste ett sådant intrång, för att inte stå i strid med artikel 8 i EMRK, vara föreskrivet i lag, ske för ett legitimt ändamål och vara nödvändigt i ett demokratiskt samhälle för att uppnå ett sådant ändamål. Avtalet och beslutet om adekvat skydd uppfyller inte dessa villkor.
196. När det för det första gäller villkoret att intrånget skall vara föreskrivet i lag har parlamentet anfört att varken avtalet eller beslutet om adekvat skydd uppfyller kraven på tillgänglighet och förutsebarhet som skall uppfyllas enligt praxis från Europadomstolen för mänskliga rättigheter. När det gäller kravet på tillgänglighet innebär den allmänna hänvisningen till tillämplig amerikansk lagstiftning att avtalet och beslutet om adekvat skydd inte i sig själva innehåller de rättigheter och skyldigheter som gäller för passagerare och europeiska lufttrafikföretag. Kravet på rättssäkerhet medför att en rättsakt inom gemenskapen som medför rättsliga skyldigheter skall ge möjlighet för enskilda att exakt kunna avgöra omfattningen av de skyldigheter som de därigenom åläggs.(86) Dessutom är tillämplig amerikansk lagstiftning inte tillgänglig på alla gemenskapens officiella språk, vilket strider mot kravet på tillgänglighet. Parlamentet har vidare anfört att hänvisningen i avtalets ingress till kommissionens beslut om adekvat skydd och dagen för dess antagande är felaktig. När det gäller kravet på förutsebarhet är detta inte uppfyllt eftersom avtalet och beslutet om adekvat skydd inte med tillräcklig precision anger de rättigheter och skyldigheter som gäller för europeiska lufttrafikföretag och medborgare i gemenskapen. Dessutom erhåller passagerarna endast en allmän information, vilket strider mot kravet på information enligt artiklarna 10 och 11 i direktiv 95/46 och artikel 8a i konvention nr 108. Slutligen innehåller avtalet och CBP:s åtaganden en rad alltför allmänna bestämmelser, som inte är förenliga med artikel 8 i EMRK.
197. När det för det andra gäller villkoret i artikel 8.2 i EMRK att intrånget i privatlivet skall ske för ett legitimt ändamål menar parlamentet att detta villkor är uppfyllt. Parlamentet har härvid erinrat om att det vid flera tillfällen uttalat sitt stöd för rådets arbete med terrorismbekämpning.
198. Parlamentet anser för det tredje att villkoret att intrånget skall vara nödvändigt i ett demokratiskt samhälle med hänsyn till landets yttre säkerhet, den allmänna säkerheten, landets ekonomiska välstånd, förebyggande av oordning eller brott, skyddandet av hälsa eller moral eller av andra personers fri- och rättigheter inte är uppfyllt av följande skäl:
– Det framgår av punkt 3 i CBP:s åtaganden att behandlingen av personuppgifter inte är begränsad till enbart terroristbekämpning, utan även får ske för att förhindra och bekämpa andra grova brott, inklusive organiserad brottslighet, flykt från ett anhållnings- eller häktningsbeslut för ett av ovanstående brott. I den utsträckning som behandlingen av personuppgifter går utöver vad som är nödvändigt för enbart terroristbekämpning är det inte nödvändigt för eftersträvandet av legitima ändamål.
– Enligt avtalet skall ett mycket stort antal kategorier av uppgifter (34) överföras. Detta innebär att proportionalitetsprincipen åsidosätts. Vad gäller iakttagandet av en adekvat skyddsnivå för personuppgifter förefaller 19 av dessa 34 kategorier av uppgifter vara acceptabla. Enligt parlamentet föreligger det en ”avsevärd skillnad” vid en jämförelse av det antal kategorier av personuppgifter som omfattas av jämförbara regler inom Europeiska unionen och dem som krävs enligt avtalet.(87) Dessutom kan vissa av de kategorier av passageraruppgifter som krävs innehålla känsliga uppgifter.
– Uppgifterna lagras av de amerikanska myndigheterna längre än vad som är nödvändigt med avseende på det eftersträvade ändamålet. Av CBP:s åtaganden framgår nämligen att efter tillgången på elektronisk väg för de personer som CBP gett behörighet, vilken tillgång varar i sju dagar, lagras alla personuppgifter under tre och ett halvt år. De uppgifter som inhämtats manuellt under den perioden överförs av CBP i form av rådata till en akt med uteslutna uppgifter, där de lagras i ytterligare åtta år innan de förstörs. En jämförelse med informationssystem som upprättats inom till exempel konventionen om tillämpning av Schengenavtalet, Europolkonventionen och Eurojustbeslutet, i vilka det föreskrivs att uppgifter skall sparas i mellan ett och tre år, visar att den tid som angivits i åtagandena är orimligt lång.
– I avtalet föreskrivs ingen domstolskontroll avseende de amerikanska myndigheternas behandling av personuppgifter. Eftersom varken avtalet eller åtagandena ger några rättigheter till de personer vars personuppgifter behandlas, kan parlamentet vidare inte förstå hur dessa skall kunna göra sådana rättigheter gällande inför amerikansk domstol.
– I avtalet medges att personuppgifter överförs till andra offentliga myndigheter, vilket innebär att det går längre än vad som är nödvändigt för att bekämpa terrorism.
199. Enligt datatillsynsmannen visar behandlingen av sex kategorier av personuppgifter att rätten till skydd för privatlivet åsidosätts.(88) Ett sådant åsidosättande följer även av möjligheten att skapa personliga profiler utifrån dessa personuppgifter. Datatillsynsmannen har biträtt vad parlamentet anfört till stöd för att intrånget i privatlivet inte skall anses vara motiverat utifrån bestämmelserna i artikel 8.2 i EMRK. Datatillsynsmannen har även anfört att den skyddsnivå som CBP kan erbjuda inte är adekvat i den mening som avses i artikel 25 i direktiv 95/46, framför allt eftersom villkoren i artikel 8 i EMRK inte är uppfyllda.
200. Enligt rådet och kommissionen uppfyller PNR-bestämmelserna de villkor som anges i artikel 8.2 i EMRK, såsom dessa tolkats av Europadomstolen för mänskliga rättigheter.
201. När det för det första gäller villkoret att intrånget skall vara föreskrivet i lag har rådet anfört att det inte är nödvändigt, för att kravet på tillgänglighet skall vara uppfyllt, att avtalet i sig självt innehåller alla de bestämmelser som eventuellt kan påverka berörda personer. Det är inte rättsstridigt att i ett avtal ange en hänvisning till beslutet om adekvat skydd och CBP:s åtaganden som bifogats det beslutet, eftersom samtliga texter offentliggjorts i Europeiska unionens officiella tidning. I denna kan vidare inte lagarna i tredjeland offentliggöras. Vad avser den felaktiga hänvisningen i avtalets ingress har rådet anfört att det vidtagit nödvändiga åtgärder för att en rättelse skall införas i tidskriften. Dessa fel av teknisk art påverkar emellertid inte tillgängligheten till de ifrågavarande rättsakterna i den mening som avses i Europadomstolen för mänskliga rättigheters praxis. Vad gäller kravet på förutsebarhet har rådet anfört att detta inte åsidosatts enbart genom att CBP:s åtaganden samt amerikanska lagar och konstitutionella villkor inte återgetts i själva avtalet. Dessutom gör CBP:s åtaganden, vid en noggrann genomgång, det möjligt för berörda personer att anpassa sitt uppträdande.
202. Vad för det andra gäller villkoret att intrånget skall ske för att uppnå ett legitimt ändamål, har rådet anfört att bekämpandet av andra grova brott än terrorism omfattas av flera av de kategorier av legitima intressen som uppräknas i artikel 8.2 i EMRK (i synnerhet allmän säkerhet, upprätthållande av allmän ordning och förhindrandet av brott). Avtalet och CBP:s åtaganden har således tillkommit för att uppnå ett legitimt ändamål genom att avse bekämpandet av andra grova brott.
203. Enligt rådet är intrånget i privatlivet proportionerligt i förhållande till det eftersträvade ändamålet. De kategorier av passageraruppgifter som CBP kräver används för att förhindra terroristaktiviteter eller organiserad brottslighet, liksom för att underlätta undersökningar efter ett attentat, genom att göra det lättare att identifiera de personer som är knutna till terroristgrupper eller den organiserade brottsligheten. När det gäller antalet kategorier av passageraruppgifter som överförs är jämförelsen med de informationssystem som upprättats inom Europeiska unionen inte relevant, eftersom, förutom att dessa system har andra ändamål och innehåll än PNR-bestämmelserna, nödvändigheten av att upprätta profiler över tänkbara terrorister gör det nödvändigt att ha tillgång till en större mängd uppgifter. När det gäller de tre kategorier av personuppgifter som enligt parlamentet kan innehålla känsliga uppgifter,(89) har rådet anfört att CBP:s tillgång till dessa tre kategorier har begränsats strikt i punkt 5 i CBP:s åtaganden.(90) Enligt punkterna 9, 10 och 11 i åtagandena är det i alla händelser uteslutet att CBP kan använda känsliga uppgifter.(91) När det gäller längden på den period under vilken passageraruppgifter lagras har rådet anfört att en period på tre och ett halvt år i normalfallet och längre tid i de specifika fall när denna period kan förlängas är väl avvägd mot bakgrund av att det kan ta flera år att genomföra de utredningar som följer på ett attentat. Det finns vidare inga skäl att anse att det saknas ett system för oberoende kontroll. När det slutligen gäller överföring av personuppgifter till andra myndigheter omges dessa av tillräckliga garantier, i synnerhet genom att CBP endast får överföra uppgifter till andra myndigheter efter en prövning i det enskilda fallet, och endast i syfte att förhindra eller bekämpa terrorism eller andra grova brott.
204. Enligt kommissionen råder det ingen tvekan om att den helhet som utgörs av avtalet, beslutet om adekvat skydd och CBP:s åtaganden medför en risk för vissa intrång i privatlivet. Allvaret i dessa intrång kan variera beroende på vilka uppgifter som överförs. Detta intrång är föreskrivet i lag – det vill säga denna helhet uppfyller ett legitimt intresse, genom att den löser en konflikt mellan amerikanska säkerhetsbestämmelser och gemenskapsrättsliga bestämmelser om skydd för personuppgifter – och är nödvändigt i ett demokratiskt samhälle, för att uppnå detta syfte.
205. Förenade kungariket anser att rådets beslut, avtalet, beslutet om adekvat skydd och CBP:s åtaganden skall bedömas som en helhet när det gäller frågan huruvida ett åsidosättande av rätten till skydd för personuppgifter har skett, eftersom dessa har ett nära rättsligt samband. Förenade kungariket har vidare anfört att det är tillgängligheten och förutsebarheten hos den tillämpliga gemenskapsrätten som skall prövas, och inte hos de bestämmelser som skall tillämpas inom Förenta staternas territorium. Sammantaget utgör avtalet, beslutet om adekvat skydd och CBP:s åtaganden en klar och fullständig redovisning av den rättsliga ställningen för varje berörd person. Förenade kungariket bestrider att CBP:s åtaganden till sin art är ensidiga och kan ändras eller återtas av amerikanska myndigheter utan påföljd.
206. När det gäller intrångets nödvändighet har Förenade kungariket inledningsvis understrukit att bekämpandet av andra grova brott klart har angivits som ett av avtalets syften, att detta syfte hör samman med bevarandet av allmän ordning och att det är legitimt på samma sätt som bekämpandet av terrorism. Enligt Förenade kungariket skall samtliga de uppgifter som kan överföras, den tidsperiod under vilken de lagras och möjligheten att överföra dessa till andra myndigheter anses motsvara och vara proportionerliga i förhållande till dessa syften, särskilt mot bakgrund av den långa rad av garantier som återfinns i åtagandena och beslutet om adekvat skydd i syfte att begränsa risken för intrång i passagerarnas privatliv. Förenade kungariket har slutligen anfört att proportionaliteten enligt EG-domstolens och Europadomstolens praxis skall bedömas mot bakgrund av arten och betydelsen av ifrågavarande syften.
2. Bedömning
207. Parlamentet har gjort gällande att rådets beslut och beslutet om adekvat skydd åsidosätter skyddet för personuppgifter såsom det föreskrivs i synnerhet i artikel 8 i EMRK.
208. Enligt fast rättspraxis utgör grundläggande rättigheter en integrerad del av de rättsprinciper som domstolen skall säkerställa.(92) Domstolen utgår därvid från medlemsstaternas gemensamma konstitutionella traditioner liksom från uppgifter i de internationella dokument som rör skyddet för de mänskliga rättigheterna och som medlemsstaterna varit med om att utarbeta eller tillträtt. I detta avseende är Europakonventionen ”av särskild betydelse”.(93) Åtgärder som är oförenliga med respekten för de mänskliga rättigheter som sålunda fastslagits är således inte tillåtna inom gemenskapen.(94) Dessa principer har återgetts i artikel 6.2 EU.
209. Till följd av denna rättspraxis har domstolen inlemmat rätten till skydd för privatlivet i gemenskaprätten.(95) Rätten till skydd för personuppgifter utgör en aspekt av rätten till skydd för privatlivet, och skyddas således genom artikel 8 i EMRK, som ingår i gemenskapsrättens allmänna rättsprinciper.
210. Jag skall pröva huruvida PNR-bestämmelserna utgör ett åsidosättande av skyddet för privatlivet genom att följa det schema för bedömningen som följer av lydelsen av artikel 8 i EMRK. Således skall jag först pröva huruvida bestämmelserna utgör ett intrång i privatlivet, för att därefter pröva huruvida det är motiverat.
a) Intrång i privatlivet
211. Det föreligger enligt min mening inte några tvivel om att den helhet som utgörs av rådets beslut att godkänna avtalet, beslutet om adekvat skydd och CBP:s åtaganden medför ett intrång i privatlivet. CBP:s insamling och användning samt tillhandahållande av passageraruppgifter från bokningssystemen hos de lufttrafikföretag som etablerats inom medlemsstaternas territorium utgör en inblandning från offentliga myndigheter i passagerarnas privatliv.
212. Jag skall framhålla att det sker ett intrång i flygpassagerarnas privatliv även om vissa kategorier av passageraruppgifter tagna för sig inte medför något intrång i en enskild flygpassagerares privatliv. Den förteckning av kategorier av passageraruppgifter som CBP begärt skall bedömas i sin helhet, eftersom dessa uppgifter kan användas för att skapa personliga profiler.
213. Ett intrång i privatlivet utgör ett åsidosättande av rätten till skydd för privatlivet, om det inte är motiverat.
b) Motivering av intrånget i privatlivet
214. Ett intrång i privatlivet skall, för att vara tillåtet, uppfylla tre villkor: det skall vara föreskrivet i lag, uppfylla ett legitimt intresse och vara nödvändigt i ett demokratiskt samhälle.
i) Är intrånget föreskrivet i lag?
215. Enligt Europadomstolen för mänskliga rättigheters fasta praxis innebär detta villkor att den ifrågasatta åtgärden skall vara lagligen grundad, men det rör även kvaliteten på den ifrågavarande lagen.(96) I prövningen av lagens kvalitet ligger att den skall vara tillgänglig för medborgarna, och vara precis och förutsebar när det gäller dess konsekvenser. Detta innebär att det i lagen med tillräcklig precision skall anges de villkor och rättsliga begränsningar som behövs för att medborgarna skall kunna anpassa sitt beteende och skyddas från godtyckliga ingrepp.(97)
216. Parlamentet har gjort gällande att de rättsakter som medför intrånget varken är tillgängliga eller har förutsebara konsekvenser. Jag delar inte denna uppfattning.
217. Jag anser tvärtom att rådets beslut och det avtal som bifogats detta, liksom beslutet om adekvat skydd och CBP:s åtaganden som bifogats detta, gör det möjligt för berörda personer, det vill säga lufttrafikföretagen och flygpassagerarna, att erhålla tillräckligt med information för att kunna anpassa sitt beteende.
218. Jag noterar i detta avseende den relativt detaljerade arten av dessa 48 punkter i CBP:s åtaganden, vilken medför att den tillämpliga rättsliga ramen preciseras. Vidare återfinns i ingressen i beslutet om adekvat skydd hänvisningar till relevant amerikansk lagstiftning och de genomförandebestämmelser som CBP antagit med stöd av denna.(98) Det vore överdrivet långtgående att kräva att tillämplig amerikansk lagstiftning och genomförandebestämmelser skulle offentliggöras i dess helhet i Europeiska unionens officiella tidning. Förutom att lagstiftningen i tredjeland, såsom rådet framhållit, inte kan offentliggöras i denna tidning, anser jag att CBP:s åtaganden, vilka offentliggjorts i densamma, innehåller de väsentliga upplysningarna angående förfarandet för CBP.s användning av personuppgifter och de garantier som omger detta förfarande.
219. I enlighet med kravet på rättssäkerhet är de lufttrafikföretag som omfattas av PNR-bestämmelserna informerade om sina skyldigheter enligt avtalet, och flygpassagerarna är informerade om sina rättigheter, i synnerhet vad gäller personuppgifter och korrigering av dessa.(99)
220. Det är visserligen beklagligt, mot bakgrund av det nära sambandet mellan beståndsdelarna i PNR-bestämmelserna, att ingressen i avtalet innehåller felaktigheter vad avser hänvisningen till och dagen för antagande av beslutet om adekvat skydd. Dessa felaktigheter försvårar för medborgare som önskar sätta sig in i innehållet i de regler som förhandlats fram med Förenta staterna. Enligt min mening medför de emellertid inte att det är orimligt svårt att göra sådana efterforskningar, eftersom beslutet om adekvat skydd har offentliggjorts i Europeiska gemenskapens officiella tidning och sökverktyg, i synnerhet databaserade sådana, gör det lätt att hitta det. Rådet har vidare sökt åstadkomma att en rättelse skall offentliggöras i Europeiska gemenskapens officiella tidning, vilket också skett.(100)
221. Jag anser således att intrånget i flygpassagerarnas privatliv skall anses ha skett ”med stöd av lag” i den mening som avses i artikel 8.2 i EMRK.
ii) Uppfyller intrånget ett legitimt intresse?
222. Med hänsyn till de olika syften som anges i artikel 8.2 i EMRK anser jag att det ifrågavarande intrånget i privatlivet uppfyller ett legitimt syfte, i synnerhet vad gäller kampen mot terrorism.
223. Jag anser, i likhet med rådet, att bekämpande av andra grova brott än terrorism(101) omfattas av flera av de kategorier av legitima intressen som anges i artikel 8.2 i EMRK, såsom landets yttre säkerhet, den allmänna säkerheten, och förebyggande av oordning eller brott. Jag anser således att PNR-bestämmelserna uppfyller ett legitimt syfte också i den mån de avser bekämpandet av andra grova brott.
224. Jag skall vidare pröva huruvida intrånget är proportionerligt, genom att undersöka huruvida det är nödvändigt i ett demokratiskt samhälle för att förhindra eller bekämpa terrorism och andra grova brott.
iii) Är intrånget nödvändigt i ett demokratiskt samhälle för att uppnå ett sådant ändamål?
225. Innan jag gå in på den närmare bedömningen av huruvida intrånget är proportionerligt, skall jag lämna några allmänna anmärkningar angående omfattningen av domstolens kontroll.
226. Enligt Europadomstolen för mänskliga rättigheter innebär adjektivet ”nödvändigt” i artikel 8.2 i EMRK att ett ”tvingande samhällsändamål” står på spel och att den vidtagna åtgärden är ”proportionerlig i förhållande till det eftersträvade ändamålet”.(102) Vidare har ”nationella myndigheter en omfattande handlingsfrihet, vars omfattning beror inte bara på syftet utan även på arten av själva intrånget”.(103)
227. Inom ramen för kontrollen av staternas handlingsfrihet prövar Europadomstolen för mänskliga rättigheter traditionellt huruvida de skäl som åberopats till stöd för intrånget är relevanta och tillräckliga, därefter huruvida intrånget är proportionerligt i förhållande till det eftersträvade legitima intresset, och slutligen att en intresseavvägning mellan allmänintresset och den enskildes intresse har gjorts.(104) Utifrån denna rättspraxis har det konstaterats att ”proportionalitetsprincipen, vilken innebär ett krav på adekvat samband mellan ett legitimt intresse och de medel som använts för att uppnå detta, [således står] i centrum för kontrollen av handlingsfriheten”.(105)
228. Den proportionalitetskontroll som Europadomstolen för mänskliga rättigheter genomför varierar utifrån faktorer såsom arten av rättighet och ifrågavarande aktivitet, syftet med intrånget och förekomsten av gemensamma drag i staternas rättssystem.
229. När det gäller arten av rättighet och ifrågavarande verksamhet förefaller Europadomstolen för mänskliga rättigheter anse att eftersom det rör sig om en rättighet som står nära individens privata sfär, såsom rätten till konfidentialitet för personuppgifter avseende hälsa(106) är statens handlingsfrihet mindre omfattande.(107)
230. När syftet med intrånget är bevarandet av allmän säkerhet(108) eller bekämpande av terrorism(109) medger Europadomstolen för mänskliga rättigheter staterna ett större mått av handlingsfrihet.
231. Vad gäller arten och betydelsen av syftet att bekämpa terrorism, vilket förefaller vara det dominerande inom ramen för PNR-bestämmelserna, och med beaktande av det känsliga politiska sammanhang i vilket förhandlingarna mellan gemenskapen och Förenta staterna skett, bör domstolen i förevarande mål fastslå att rådet och kommissionen har haft en omfattande handlingsfrihet vid förhandlingarna om innehållet i PNR-bestämmelserna med de amerikanska myndigheterna. Härav följer att domstolens kontroll avseende intrångets nödvändighet enligt min mening skall begränsas till huruvida dessa institutioner gjort uppenbart oriktiga bedömningar.(110) Genom att på så sätt begränsa sin kontroll undviker domstolen också risken att sätta sin egen bedömning av vilken slags åtgärder som är lämpligast för att bekämpa terrorism och andra grova brott i gemenskapens politiska institutioners ställe.
232. Vid fastställandet av omfattningen av den kontroll som domstolen har att göra kan den, förutom att se till ovan nämnda rättspraxis från Europadomstolen för mänskliga rättigheter, också använda sig av sin egen rättspraxis, i vilken det fastslagits att när en av gemenskapens institutioner har en omfattande handlingsfrihet ”… kan endast en beslutad åtgärds uppenbart olämpliga karaktär i förhållande till det mål som den behöriga institutionen skall eftersträva, påverka rättsenligheten av en sådan åtgärd”.(111) Denna begränsning av proportionalitetskontrollen ”gäller särskilt” ”i de fall då rådet … måste jämka samman motstridiga intressen och alltså träffa politiska val mellan olika alternativ inom sitt eget ansvarsområde”.(112) Den begränsade kontrollen kan också motiveras av den omständigheten att en gemenskapsinstitution på ett visst område har att genomföra komplicerade bedömningar.(113)
233. Denna rättspraxis och de skäl som ligger till grund för den gäller enligt min mening även i förevarande mål, eftersom rådet och kommissionen vid utarbetandet av PNR-bestämmelserna har ställts inför politiska val mellan olika svårförenliga intressen och komplicerade bedömningar.(114) Detta är förenligt med den maktdelning som ålägger domstolen att respektera det politiska ansvar som de lagstiftande och administrativa organen inom gemenskapen har, och inte sätta sin egen politiska bedömning i deras ställe.
234. Det skall nu prövas huruvida rådet och kommissionen uppenbart gått utöver sitt omfattande utrymme för skönsmässig bedömning avseende rätten till skydd för privatlivet, och närmare bestämt avseende flygpassagerarnas rätt till skydd för personuppgifter med avseende på det eftersträvade ändamålet, när de antagit de olika instrument som PNR-bestämmelserna består av.
235. Vid denna prövning har innehållet i CBP:s åtagandeförklaring särskilt stor betydelse, eftersom dessa innehåller detaljerna i de garantier som omger PNR-bestämmelserna. Jag skall framhålla att det enligt min mening inte är så att denna förklaring inte är tvingande och att de åtaganden den innehåller fritt kan ändras eller återtas av amerikanska myndigheter.
236. Åtagandeförklaringen, som ju bifogats beslutet om adekvat skydd, utgör nämligen en av delarna i PNR-bestämmelserna. En underlåtenhet att iaktta denna skulle således medföra att PNR-bestämmelserna helt skulle sättas ur spel. Jag understryker i detta avseende att det i punkterna 1 och 2 i avtalet angivits att den behandling av passageraruppgifter som lufttrafikföretagen ålagts gäller i strikt överensstämmelse med bestämmelserna i beslutet om adekvat skydd och endast ”så länge som det tillämpas”. Vidare anges i punkt 3 i avtalet att CBP ”tillämpar den åtagandeförklaring som bifogats de[t]samma”. Slutligen anges i artiklarna 3, 4 och 5 i beslutet om adekvat skydd de åtgärder som skall vidtas för det fall de skyddsnormer som anges i åtagandeförklaringen inte tillämpas. En av dessa är att medlemsstaternas behöriga myndigheter får föreskriva att överföringen av personuppgifter till CBP skall avbrytas. Vidare anges att när nödvändiga grundprinciper för att säkerställa en adekvat skyddsnivå för berörda personer inte efterlevs kan beslutet om adekvat skydd tills vidare eller slutgiltigt upphävas, vilket skulle medföra att punkterna 1 och 2 i avtalet inte längre skulle tillämpas.
237. Parlamentet har, till stöd för påståendet att intrånget i privatlivet inte är förenligt med proportionalitetsprincipen, för det första anfört att antalet kategorier av personuppgifter som CBP kräver av lufttrafikföretagen är orimligt stort. Det har vidare gjort gällande att vissa av dessa kategorier kan innehålla känsliga uppgifter.
238. Enligt min mening har kommissionen, genom att godta förteckningen med trettiofyra kategorier av personuppgifter, inte accepterat en åtgärd som är uppenbart olämplig för att uppnå det eftersträvade intresset att bekämpa terrorism och andra grova brott. För det första är informationsverksamhet betydelsefullt i kampen mot terrorism, eftersom tillgång till adekvat information kan göra det möjligt för säkerhetstjänsten i en stat att förhindra en eventuell terroristattack. Det kan i detta perspektiv krävas tillgång till ett stort antal uppgifter för att det skall vara möjligt att göra profiler över potentiella terrorister. För det andra visar inte den omständigheten att det i andra instrument avseende informationsutbyte inom Europeiska unionen föreskrivs utbyte av ett lägre antal kategorier av personuppgifter att det antal uppgifter som krävs enligt det specifika instrument för terroristbekämpning som PNR-bestämmelserna utgör är orimligt högt.(115)
239. Även om det vidare är riktigt som parlamentet har anfört att tre av de kategorier av uppgifter som begärs kan vara känsliga,(116) skall jag framhålla att för det första är CBP:s tillgång till dessa tre kategorier enligt punkt 5 i åtagandeförklaringen mycket begränsad, och för det andra är det enligt punkterna 9–11 i den förklaringen uteslutet att CBP får använda känsliga uppgifter. CPB har även upprättat ett system för filtrering av sådana uppgifter, i enlighet med sina åtaganden.(117)
240. Parlamentet har för det andra gjort gällande att passageraruppgifterna lagras av de amerikanska myndigheterna längre än vad som är nödvändigt för att uppnå det eftersträvade ändamålet.
241. Den tid under vilken uppgifterna får lagras fastställs i punkt 15 i åtagandeförklaringen, där det i sak föreskrivs att den elektroniska direkttillgången till uppgifterna för de användare som CBP medgett behörighet initialt gäller i sju dagar. Efter denna period har en begränsad grupp av behöriga tjänstemän möjlighet att under tre och ett halvt år använda dessa uppgifter. Efter denna period skall de uppgifter som inte konsulterats manuellt förstöras. De uppgifter som konsulterats manuellt under perioden på tre och ett halvt år skall CBP överföra till en fil för borttagna uppgifter, där de bevaras under åtta år innan de förstörs.(118)
242. Av denna bestämmelse framgår att den normala tidsperiod under vilken passageraruppgifter bevaras är tre och ett halvt år, förutom i de fall där uppgifterna använts manuellt under den perioden. En sådan tidsperiod är inte orimligt lång, i synnerhet mot bakgrund av att, såsom rådet framhållit, de undersökningar som kan följa på en terroristattack eller andra grova brott kan ta flera år. Även om det i princip är önskvärt att personuppgifter bevaras så kort tid som möjligt, skall vidare i förevarande mål den tid under vilken passageraruppgifter lagras ställas mot den nytta dessa har inte bara för att förhindra terrorism, utan även mer allmänt i repressiva sammanhang.
243. Bestämmelserna om lagring av dessa uppgifter i punkt 15 i CBP:s åtagandeförklaring utgör mot denna bakgrund inte något uppenbart åsidosättande av rätten till skydd för privatlivet.
244. Parlamentet har för det tredje anfört att det inte finns någon möjlighet till domstolskontroll av de amerikanska myndigheternas behandling av personuppgifter.
245. I såväl konvention nr 108 som direktiv 95/46 föreskrivs att det skall finnas möjlighet till att föra talan vid domstol i händelse av åsidosättande av de nationella bestämmelser som tillämpas avseende de regler som finns i dessa instrument.(119)
246. Med avseende på tillämpningen av artikel 8.2 i EMRK anser jag att de bestämmelser som anges i punkt 36 och följande punkter i åtagandeförklaringen, där det anges en rad garantier i form av information, tillgång till uppgifter och möjligheter för de berörda flygpassagerarna att föra talan, gör det möjligt att undvika eventuella missbruk. Intrånget är, med hänsyn till dessa garantier sammantagna och mot bakgrund av den omfattande handlingsfrihet som rådet och kommissionen har, proportionerligt i förhållande till det legitima intresse som PNR-bestämmelserna uppfyller.
247. Förutom den allmänna information som CBP åtagit sig att lämna flygpassagerarna(120) anges det närmare bestämt i punkt 37 i åtagandeförklaringen att berörda personer, i enlighet med bestämmelser om informationsfrihet,(121) skall kunna få kopior av den information som hämtats ur PNR som rör dem och som återfinns i CBP:s databaser.(122)
248. Visserligen föreskrivs i punkt 38 i åtagandeförklaringen att CBP har möjlighet att ”i undantagsfall” neka eller skjuta upp utlämnandet av vissa eller samtliga uppgifter i en akt, exempelvis när ett sådant utlämnande ”kan hindra polisiära förfaranden” eller ”avslöja metoder och förfaranden som används vid polisiära undersökningar”. Förutom att denna möjlighet är begränsad genom bestämmelser i lag, skall det emellertid framhållas att det i samma punkt i åtagandeförklaringen anges att enligt FOIA ”har varje ansökare behörighet att genom ett förvaltningsrättsligt eller rättsligt förfarande överklaga CBP:s beslut att inte lämna ut uppgifter”.(123)
249. När det gäller rättelse av passageraruppgifter i CBP:s databaser och klagomål mot CBP:s användning av passageraruppgifter föreskrivs vidare i punkt 40 i åtagandeförklaringen att dessa skall sändas till CBP:s ”Assistant Commissioner”.(124)
250. När ett klagomål inte kan hanteras av CBP skall detta sändas till den ”högst ansvarige vid DHS:s dataskyddsenhet” (Chief Privacy Officer).(125)
251. I punkt 42 i åtagandeförklaringen föreskrivs vidare att ”DHS:s dataskyddsenhet (Privacy Office) [kommer] att skyndsamt handlägga klagomål som inkommit från EU-medlemsstaternas dataskyddsmyndigheter på begäran av en person bosatt i EU, i den mån han eller hon har gett dataskyddsmyndigheten tillåtelse att agera på hans eller hennes vägnar och menar att CBP eller dataskyddsenheten inom DHS inte hanterat hans eller hennes dataskyddsklagomål när det gäller PNR på ett tillfredsställande sätt (enligt punkterna 37 till 41 i denna åtagandeförklaring)”.
252. I punkt 42 föreskrivs även för det första att dataskyddsenheten ”kommer att rapportera sina slutsatser och underrätta berörda dataskyddsmyndigheter om vilka eventuella åtgärder som bör vidtas” och, för det andra, att Chief Privacy Officer ”i sin rapport till Kongressen [kommer att] ta upp antalet klagomål som gäller hanteringen av personuppgifter som t.ex. PNR, innehållet i dessa och hur de lösts”.(126)
253. Det är riktigt som parlamentet har framhållit att Chief Privacy Officer inte är ett domstolsorgan. Det skall emellertid framhållas att det rör sig om ett administrativt organ som har en viss självständighet i förhållande till ministeriet för inre säkerhet och vars beslut är bindande.(127)
254. Möjligheten för flygpassagerarna att klaga till Chief Privacy Officer och att föra talan vid domstol inom ramen för bestämmelserna i FOIA utgör således betydelsefulla garantier avseende deras rätt till skydd för privatlivet. Jag anser mot bakgrund av dessa garantier att rådet och kommissionen inte har gått utöver ramarna för sin handlingsfrihet när de antagit PNR-bestämmelserna.
255. Parlamentet har slutligen gjort gällande att PNR-bestämmelserna går längre än vad som är nödvändigt för att bekämpa terrorism och andra grova brott, genom att det genom dessa är tillåtet att överföra passageraruppgifter till andra offentliga myndigheter. Enligt parlamentet får CBP diskretionärt besluta om överföring av uppgifter ur PNR till andra offentliga myndigheter, inklusive sådana myndigheter i utlandet, vilket är oförenligt med artikel 8.2 i EMRK.
256. Jag delar inte den uppfattningen. Jag anser nämligen även i denna del att de garantier som omgärdar överföringen av passageraruppgifter till andra offentliga myndigheter medför att intrånget i flygpassagerarnas privatliv är proportionerligt i förhållande till det ändamål som PNR-bestämmelserna eftersträvar.
257. Även om CBP i åtagandeförklaringen ges en omfattande handlingsfrihet är denna frihet omgärdad av bestämmelser. Enligt punkt 29 i åtagandeförklaringen får överföring av passageraruppgifter till andra offentliga myndigheter, ”även utländska”, som ”sysslar med kontraterrorism eller brottsbekämpning”, endast ske ”från fall till fall” och endast i princip ”för att förebygga och bekämpa de brott som definierades i punkt 3”. CBP skall enligt punkt 30 i åtagandeförklaringen pröva huruvida det skäl som åberopas för ett utlämnande av uppgifter är förenliga med detta syfte.
258. Visserligen utvidgas detta syfte genom punkterna 34 och 35 i åtagandeförklaringen i den mån de gör det möjligt för behöriga offentliga myndigheter att använda eller lämna ut passageraruppgifter ”när detta är nödvändigt för att man skall kunna skydda intressen som är av avgörande betydelse för den registrerade eller andra personer, särskilt när det gäller allvarliga hälsorisker”, och att använda eller lämna ut passageraruppgifter ”i samband med straffrättsliga förfaranden eller för att uppfylla de villkor som krävs i lag”.
259. Förutom att dessa syften i stort har samband med det legitima ändamål som eftersträvas genom PNR-bestämmelserna innehåller emellertid åtagandeförklaringen en rad garantier i detta avseende. Till exempel föreskrivs sålunda i punkt 31 i denna att ”[f]ör att reglera spridningen av PNR-uppgifter som kan utväxlas med andra utsedda myndigheter betraktas CBP som ’ägare’ till uppgifterna och dessa utsedda myndigheter måste uppfylla [vissa] krav enligt de särskilda villkoren för utlämnande”. Bland dessa skyldigheter återfinns i synnerhet den att ”se till att de PNR-uppgifter som mottagits regelbundet ordnas, i enlighet med den utsedda myndighetens förfarande för registerhållning” och att ” erhålla CBP:s uttryckliga godkännande för varje ytterligare spridning”.
260. Vidare föreskrivs i punkt 32 i åtagandeförklaringen att ”CBP [endast lämnar] ut PNR-uppgifter om det mottagande organet kommer att behandla dessa uppgifter som ur polisiär synvinkel känslig, konfidentiell, kommersiell information eller som konfidentiella personuppgifter om den registrerade …, som skall behandlas som undantagna från utlämnande enligt lagen om informationsfrihet”. I samma punkt föreskrivs följande: ”[v]idare kommer man att meddela det mottagande organet att det inte är tillåtet att vidareutlämna sådana uppgifter utan särskilt förhandsgodkännande från CBP”. CBP får vidare inte bemyndiga ”någon vidare överföring av PNR-uppgifter för andra ändamål än dem som anges i punkterna 29, 34 och 35”. Slutligen föreskrivs i punkt 33 i åtagandeförklaringen att ”[p]ersoner som är anställd[a] vid sådana utsedda myndigheter och som utan tillbörligt godkännande lämnar ut PNR-uppgifter riskerar straffrättsliga påföljder”.
261. Rådet och kommissionen har, mot bakgrund av dessa garantier tagna tillsammans, inte överträtt ramarna för den handlingsfrihet som de enligt min mening skall anses ha för att bekämpa terrorism och andra grova brott.
262. Talan skall således inte bifallas på den grunden att rätten till skydd för personuppgifter eller proportionalitetsprincipen har åsidosatts.
D – Huruvida rådets beslut varit tillräckligt motiverat
263. Parlamentet har gjort gällande att rådet inte uppfyllt den motiveringsskyldighet som föreskrivs i artikel 253 EG. Parlamentet har i synnerhet anfört att beslutet inte innehåller några skäl som visar ifall och på vilket sätt det har till syfte att stärka den inre marknadens funktion.
264. Rådet har, med stöd av kommissionen och Förenade kungariket, gjort gällande att motiven i beslutet uppfyller de krav som ställs av domstolen.
265. Även om rådets motivering är något kortfattad är den enligt min mening tillräcklig.
266. Enligt fast rättspraxis skall den motivering som krävs enligt artikel 253 EG ”anpassas efter vilket slags rättsakt det är fråga om. Motiveringen skall på ett klart och otvetydigt sätt återge det resonemang som förts av den institution som är upphovsman till rättsakten, så att berörda parter kan få reda på skälen för den vidtagna åtgärden och domstolen ges möjlighet att utöva kontroll. Vidare framgår det av denna rättpraxis att det inte kan krävas att motiveringen av en rättsakt anger samtliga relevanta sakförhållanden och rättsliga överväganden, eftersom frågan huruvida motiveringen av en rättsakt uppfyller kraven i artikel [253 EG] inte enbart skall bedömas mot bakgrund av motiveringens lydelse, utan även mot bakgrund av det sammanhang i vilket motiveringen ingår samt alla rättsregler som reglerar den berörda frågan.”(128)
267. När det gäller rättsaktens art skall jag framhålla att det rör sig om ett beslut vars huvudsakliga syfte är att i gemenskapens namn godkänna avtalet mellan denna och Förenta staterna. Beslutet innehåller i detta avseende de nödvändiga uppgifterna angående det förfarande som tillämpats, det vill säga antagande av rådet enligt det förfarande som föreskrivs i artikel 300.2 första stycket EG, och en upplysning om att Europaparlamentet inte har yttrat sig inom den frist som rådet fastställt enligt artikel 300.3 första stycket EG. Vidare anges artikel 95 EG i beslutet.
268. Mot bakgrund av det ifrågavarande beslutets särskilda art, vilket är svårt att helt särskilja från det internationella avtal som det avser, skall vidare frågan huruvida motiveringen är tillräcklig enligt min mening även innefatta ingressen i själva avtalet. En tolkning av rådets beslut i förening med avtalets ingress gör det, såsom prövningen av de tidigare grunderna i målet visar, möjligt för domstolen att utöva sin kontroll, i synnerhet vad gäller frågan huruvida den angivna rättsliga grunden är korrekt.
269. Talan skall således inte bifallas på den grunden att rådet inte i tillräcklig grad har motiverat beslutet.
E – Huruvida principen om lojalt samarbete i artikel 10 EG har åsidosatts
270. Parlamentet har gjort gällande att även om det enligt artikel 300.3 första stycket EG är tillåtet för rådet att fastställa en frist inom vilken parlamentet skall yttra sig och förfarandet för inhämtande av yttrande från domstolen avseende ett tilltänkt avtal enligt artikel 300.6 EG inte har suspensiv verkan har rådet vid förfarandet för utarbetande av avtalet åsidosatt sin skyldighet enligt artikel 10 EG att samarbeta lojalt.
271. Rådet har, med stöd av kommissionen och Förenade kungariket, gjort gällande att det inte åsidosatt sin samarbetsskyldighet enligt artikel 10 EG genom att sluta avtalet trots att parlamentet begärt att domstolen skulle yttra sig enligt artikel 300.6 EG.
272. I artikel 10 EG föreskrivs en skyldighet för medlemsstaterna att lojalt samarbeta med gemenskapens institutioner, men den innehåller inte någon uttrycklig skyldighet för gemenskapens institutioner att lojalt samarbeta med varandra. Domstolen har emellertid fastslagit att ”inom ramen för den dialog som förs mellan institutionerna, som förfarandet för samråd i synnerhet vilar på, gäller samma ömsesidiga skyldigheter till lojalt samarbete som de som reglerar relationerna mellan medlemsstaterna och gemenskapens institutioner”.(129)
273. Kommissionen lämnade den 17 mars 2004 förslaget till rådets beslut till parlamentet. Genom skrivelse av den 25 mars 2004 begärde rådet att parlamentet skulle yttra sig över förslaget senast den 22 april 2004. I skrivelsen anförde rådet att ”kampen mot terrorismen, vilken berättigar de föreslagna åtgärderna, har högsta prioritet för Europeiska unionen. Lufttrafikföretagen och passagerarna befinner sig för närvarande i en situation av osäkerhet, vilken bör åtgärdas skyndsamt. Det är dessutom nödvändigt att skydda berörda parters ekonomiska intressen.”
274. Parlamentet beslutade den 21 april 2004 att enligt artikel 300.6 EG begära domstolens yttrande angående huruvida det tilltänkta avtalet var förenligt med fördragets bestämmelser.
275. Rådet lämnade den 28 april 2004, med hänvisning till artikel 300.3 EG, en skrivelse till parlamentet i vilken det begärde att parlamentet skulle yttra sig angående ingåendet av avtalet före den 5 maj 2004. Rådet upprepade de skäl för skyndsam handläggning som det angivit i sin skrivelse av den 25 mars 2004.
276. Parlamentet avslog denna begäran om skyndsam handläggning, och dess ordförande begärde att rådet och kommissionen inte skulle gå vidare förrän domstolen lämnat det yttrande som begärts den 21 april 2004. Rådet antog trots detta det omtvistade beslutet den 17 maj 2004.
277. Enligt min mening har rådet inte åsidosatt sin skyldighet att samarbeta lojalt med parlamentet genom att anta beslutet att i gemenskapens namn godkänna avtalet innan förfarandet för inhämtande av yttrande från domstolen som parlamentet inlett enligt artikel 300.6 EG hade avslutats.
278. Såsom parlamentet självt medgett har nämligen ett sådant förfarande inte suspensiv verkan. Det utgjorde således inte något hinder för rådet att anta beslutet trots att förfarandet i fråga ännu pågick. Detta gäller även om tiden mellan att ansökan lämnats till domstolen och beslutet att godkänna avtalet, såsom i förevarande mål, är relativt kort.
279. Jag skall i detta avseende framhålla att det framgår såväl av lydelsen av artikel 300.6 EG, där det inte uttryckligen föreskrivs att förfarandet har suspensiv verkan, och av domstolens rättspraxis att förfarandet avseende yttrande från domstolen enligt den bestämmelsen saknar suspensiv verkan. Domstolen har nämligen i sitt yttrande 3/94 fastslagit att en sådan begäran skall anses sakna föremål då det tilltänkta avtalet slutits efter det att begäran anhängiggjorts vid domstolen. Det saknas därför anledning att avge det begärda yttrandet.(130) Domstolen har vidare uttalat att förfarandet i artikel 300.6 EG ”främst [syftar] till att förebygga svårigheter till följd av för gemenskapen bindande internationella avtals oförenlighet med fördraget, och inte till att skydda intressen och rättigheter för den medlemsstat eller institution som begär yttrande”,(131) och vidare att ”[d]en stat eller institution som begär yttrande har under alla omständigheter möjlighet att väcka talan om ogiltigförklaring av rådets beslut att sluta avtalet …”.(132)
280. Det framgår för övrigt av såväl handlingarna i målet som av skäl 2 i rådets beslut att rådet har anfört tillräckliga skäl till varför det förelåg sådana krav på skyndsamhet som det åberopat till stöd för att enligt artikel 300.3 första stycket EG fastställa en så kort frist för parlamentet. I den bestämmelsen anges slutligen uttryckligen att ”[o]m ett yttrande inte har avgetts inom denna tid, får rådet fatta beslut”.
281. Talan skall således inte bifallas på den grunden att rådet åsidosatt sin skyldighet att samarbeta lojalt.
VII – Rättegångskostnader
282. Eftersom parlamentet vunnit framgång med sin talan i mål C-318/04 skall kommissionen enligt artikel 69.2 i domstolens rättegångsregler förpliktas ersätta rättegångskostnaderna. Enligt artikel 69.4 i rättegångsreglerna skall intervenienterna, det vill säga Förenade kungariket och datatillsynsmannen, stå sina egna rättegångskostnader.
283. Eftersom parlamentet vunnit framgång med sin talan i mål C-317/04 skall rådet enligt artikel 69.2 i domstolens rättegångsregler förpliktas ersätta rättegångskostnaderna. Enligt artikel 69.4 i rättegångsreglerna skall intervenienterna, det vill säga Förenade kungariket och datatillsynsmannen, stå sina egna rättegångskostnader.
VIII – Förslag till avgörande
284. Mot ovanstående bakgrund föreslår jag att domstolen skall
– i mål C-318/04 ogiltigförklara kommissionens beslut 2004/535/EG av den 14 maj 2004 om adekvat skydd av personuppgifter som finns i Passenger Name Record för flygpassagerare som överförs till Förenta staternas tull- och gränsskyddsmyndighet,
– i mål C-317/04 ogiltigförklara rådets beslut 2004/496/EG av den 17 maj 2004 om ingående av ett avtal mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security.
1 – Originalspråk: franska.
2 – Beslut 2004/496/EG (EUT L 183, s. 83), nedan kallat rådets beslut.
3 – Beslut 2004/535/EG (EUT L 235, s. 11), nedan kallat beslutet om adekvat skydd.
4 – Denna problematik rör även förhållandena mellan Europeiska gemenskapen och övriga tredjeländer. Jag skall sålunda framhålla att ett avtal av samma slag som det i fråga i mål C‑317/04 mellan Europeiska gemenskapen och Kanada har undertecknats den 3 oktober 2005.
5 – Se Aviation and Transportation Security Act (ATSA) av den 19 november 2001 (Public Law 107-71, 107th Congress, kapitel 49, section 44909(c)(3) i Förenta staternas lagsamling). Denna lag har följts av genomförandebestämmelser som utfärdats av United States Bureau of Customs and Border Protection (tull- och gränsskyddsmyndighet inom Förenta staternas Department of Homeland Security, nedan kallad CBP) såsom ”Passenger and Crew Manifests Required for Passengers Flights in Foreign Air Transportation to the United States”, offentliggjord i Federal Register (amerikanska federala lagsamlingen) den 31 december 2001, och ”Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States”, offentliggjord i Federal Register den 25 juni 2002 (kapitel 19, section 122.49b i federala lagsamlingen).
6 – Rådets förordning (EEG) nr 2299/89 av den 24 juli 1989 om en uppförandekod för datoriserade bokningssystem (EGT L 220, s. 1), i dess lydelse enligt rådets förordning (EG) nr 323/1999 av den 8 februari 1999 (EGT L 40, s. 1).
7 – EGT L 281, s. 31, i dess lydelse enligt Europaparlamentets och rådets förordning (EG) nr 1882/2003 av den 29 september 2003 om anpassning till rådets beslut 1999/468/EG av de bestämmelser i rättsakter som omfattas av förfarandet i artikel 251 i EG-fördraget som avser de kommittéer som biträder kommissionen när den utövar sina genomförandebefogenheter (EUT L 284, s. 1).
8 – Denna arbetsgrupp har upprättats med stöd av artikel 29 i direktiv 95/46. Den är ett rådgivande oberoende organ som är verksamt på området för skydd för personer avseende behandling av personuppgifter. Dess uppgifter anges i artikel 30 i direktivet och i artikel 15.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, s. 37).
9 – Yttrande 4/2003 angående den skyddsnivå som garanteras i Förenta staterna vid överföring av passageraruppgifter. Se Internet, http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2003_fr.htm.
10 – Yttrande 2/2004 om adekvat skydd för sådana personuppgifter som ingår i flygpassagerares PNR och som skall överföras till Förenta staternas tull- och gränsskyddsmyndighet (United States' Bureau of Customs and Border Protection, US CBP). Se Internet, http://europa.eu.int/comm/justice_home/fsj/privacy/docs/wpdocs/2004/wp87_sv.pdf.
11 – Beslut 1999/468/EG (EGT L 184, s. 23).
12 – Se punkt 8 ovan.
13 – Parlamentet har i sin ansökan motiverat detta avslag med att det alltjämt saknades vissa språkversioner av förslaget till rådets beslut.
14 Denna begäran om yttrande avskrevs från domstolens register genom beslut av domstolens ordförande den 16 december 2004.
15 – Europeisk fördragssamling, nr 108 (nedan kallad konvention nr 108). Denna konvention trädde i kraft den 1 oktober 1985. Tillägg till konventionen har antagits av Europarådets ministerråd den 15 juni 1999, i syfte att möjliggöra Europeiska gemenskapernas anslutning (dessa tillägg har hittills inte godtagits av samtliga stater som är anslutna till konvention nr 108). Se även tilläggsprotokoll till konvention nr 108, angående kontrollmyndigheter och gränsöverskridande förflyttningar av personuppgifter, som öppnades för undertecknande den 8 november 2001 och trädde i kraft den 1 juli 2004 (Europeisk fördragssamling, nr 181).
16 – EGT C 364, 2000, s. 1. Denna stadga, som har undertecknats och kungjorts av ordförandena för Europaparlamentet, rådet och kommissionen, liksom av Europeiska rådet i Nice den 7 december 2000, återfinns i del II i fördraget om upprättande av en konstitution för Europa, vilket ännu inte trätt i kraft (EUT C 310, 2004, s. 41). ”[Ä]ven om [stadgan om de grundläggande rättigheterna] saknar bindande rättskraft, visar [den] vilken vikt de rättigheter som anges i den tillmäts [i] gemenskapens rättsordning”, såsom förstainstansrätten vid Europeiska gemenskapernas domstol har påpekat i beslut av den 15 januari 2003 i de förenade målen T-377/00, T-379/00, T-380/00, T-260/01 och T-272/01, Philip Morris International, m.fl. mot kommissionen (REG 2003, s. II‑1), punkt 122.
17 – Artikel 286.2 EG har följande lydelse:
”Före den tidpunkt som avses i punkt 1 skall rådet enligt förfarandet i artikel 251 inrätta ett oberoende övervakningsorgan som skall ansvara för att övervaka att dessa gemenskapsrättsakter tillämpas på gemenskapens institutioner och organ samt vid behov anta andra för ändamålet relevanta bestämmelser.”
På grundval av artikel 286 EG har Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1) antagits.
18 – För en detaljerad genomgång av det sammanhang i vilket detta direktiv och dess bestämmelser har upprättats, se Boulanger, M.-H., de Terwangne, C., Léonard, T., Louveaux, S., Moreau, D., och Poullet, Y.,”La protection des données à caractère personnel en droit communautaire” JTDE, 1999, nr 40, 41 och 42. Se även Simitis, S., Data Protection in the European Union – the Quest for Common Rules, Collected Courses of the Academy of European Law, Volume VIII, Book I, 2001, s. 95. Jag skall även framhålla att det finns ett särskilt direktiv, nämligen direktiv 2002/58, för reglering av sektorn för elektronisk kommunikation.
19 – Skäl 7.
20 – Skäl 8.
21 – Skäl 9.
22 – Det kan till exempel hänvisas till det flöde av uppgifter som hör samman med personers mobilitet, elektronisk handel och överföringar inom en företagsgrupp.
23 – Skäl 57 i direktiv 95/46.
24 – Konvention om tillämpning av Schengenavtalet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Förbundsrepubliken Tyskland och Franska republiken om gradvis avskaffande av kontroller vid de gemensamma gränserna, undertecknad i Schengen den 19 juni 1990 (EGT L 239, 2000, s. 19).
25 – Se artiklarna 102–118 i den konventionen. Vad gäller andra generationen av Schengens informationssystem (SIS II) har kommissionen lagt fram ett förslag till rådets beslut (KOM (2005) 230 slutlig) och två förordningar (KOM (2005) 236 slutlig) och (KOM (2005) 237 slutlig).
26 – (EGT C 316, 1995, s. 2), nedan kallad Europolkonventionen.
27 – 2002/187/RIF: Rådets beslut av den 28 februari 2002 om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EGT L 63, s. 1), nedan kallat Eurojust-beslutet. Se artikel 14 och följande artiklar i detta beslut.
28 – EUT C 68, 2005, s. 1.
29 – EGT C 316, 1995, s. 34. Se, i synnerhet, artiklarna 13, 14, 15, 17 och 18 i denna konvention.
30 – Rådets akt av den 29 maj 2000 om att i enlighet med artikel 34 i Fördraget om Europeiska unionen upprätta denna konvention (EGT C 197, 2000, s. 1). Se, i synnerhet, artikel 23 i denna.
31 – KOM (2005) 475 slutlig. Detta förslag till rambeslut grundas på artiklarna 30 EU, 31 EU och 34.2 b EU. Det utgör en av de åtgärder som föreskrivs i rådets och kommissionens handlingsplan för genomförande av Haagprogrammet för ett stärkt område med frihet, säkerhet och rättvisa i Europeiska unionen (EUT C 198, 2005, s. 1, punkt 3.1).
32 – När det gäller verkställighetsåtgärder för direktiv 95/46 har beslutet om adekvat skydd fattats med tillämpning av det förfarande som anges i artikel 31.2 i direktivet, vilket medför krav på tillämpning av artiklarna 4, 7 och 8 i beslut 1999/468. När kommissionen antar sådana verkställighetsåtgärder för direktivet biträds den av en kommitté som består av representanter för medlemsstaterna och leds av en representant för kommissionen. Det rör sig i förevarande fall om den så kallade ”artikel 31-kommittén”.
33 – Se punkt 48 i åtagandeförklaringen.
34 – Närmare bestämt följande kategorier: ”1) PNR-postens lokaliseringskod 2) Bokningsdatum 3) Planerat/planerade resedatum 4) Namn 5) Andra namn i PNR-registret 6) Adress 7) Alla former av betalningsinformation 8) Faktureringsadress 9) Telefonnummer 10) Hela resrutten för aktuell PNR 11) Uppgifter om bonusprogram (endast antal miles och adresser) 12) Resebyrå 13) Resehandläggare 14) PNR-uppgifter om code share (gemensam linjebeteckning) 15) Passagerarens resestatus 16) Delade PNR-uppgifter 17) E-postadress 18) Biljettuppgifter 19) Allmänna kommentarer 20) Biljettnummer 21) Stolsnummer 22) Datum då biljetten utfärdades 23) Passagerare som tidigare inte har checkat in (no show) 24) Bagagelappsnummer 25) Passagerare som tidigare har checkat in utan bokning (go show) 26) OSI-uppgifter [Other Service Information] 27) SSI/SSR-uppgifter [Special Service Request] 28) Upplysningar om källor 29) Alla tidigare ändringar av PNR 30) Antal resande i PNR 31) Information om det säte passageraren använt 32) Enkelbiljetter 33) Eventuella APIS-uppgifter [Advanced Passenger Information System] 34) ATFQ-fält [Automatic Ticket Fare Quote]”.
35 – Nedan kallat avtalet.
36 – Se Information om datum för ikraftträdande av avtalet mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security (EUT C 158, 2004, s. 1).
37 – Det skall i detta avseende framhållas att ingressen i avtalet innehåller en felaktig hänvisning till beslutet om adekvat skydd. Den skulle ha varit till beslut 2004/535/EG av den 14 maj 2004, delgivet med nummer C(2004) 1914, och inte beslut C(2004) 1799 av den 17 maj 2004. Detta misstag har rättats genom ett meddelande i Europeiska unionens officiella tidning [se protokollet avseende rättelsen av avtalet (EUT L 255, 2005, s. 168)].
38 – Lufttrafikföretagens överföring av personuppgifter motsvarar vad som vanligtvis kallas systemet ”push” medan CBP:s direkta tillgång till dessa uppgifter motsvarar systemet ”pull”.
39 – Hänvisningen avser kommissionens beslut om adekvat skydd, men endast ”beslutet” anges i avtalets ingress.
40 – Samma anmärkning som i föregående fotnot.
41 – Punkt 5 i avtalet.
42 – Punkt 6 i avtalet.
43 – Domstolens ordförandes beslut av den 18 januari 2005 respektive den 18 november 2004.
44 – Domstolens beslut av den 17 mars 2005.
45 – Domstolens ordförandes beslut av den 17 december 2004.
46 – Domstolens beslut av den 17 mars 2005.
47 – Dom av den 6 november 2003 i mål C–101/01, Lindqvist (REG 2003, s. I–12971, punkt 63).
48 – Bland dessa faktorer återfinns i synnerhet arten av personuppgifter samt ändamålet med och varaktigheten av den avsedda behandlingen.
49 – Domen i det ovannämnda målet Lindqvist, punkt 56. Domstolen fastslog där att utläggande av personuppgifter på Internet redan av den anledningen att detta gör uppgifterna åtkomliga för personer som befinner sig i tredje land inte utgör ”överföring till tredje land” i den mening som avses i artikel 25 i direktiv 95/46. Domstolen beaktade därvid dels den arten av de ifrågavarande tekniska hjälpmedel som användes, dels syftet med och systematiken i kapitel IV i direktivet, där artikel 25 återfinns.
50 – Detta gäller även fa om uppgifterna mottas av en specifik del av den interna administrativa strukturen i nämnda tredje land.
51 – Det kan vara intressant att notera att begreppen behandling och överföring av personuppgifter överlappar varandra en aning. Ett meddelande genom överföring, spridning eller tillhandahållande av personuppgifter kan sålunda på en gång utgöra behandling och överföring av sådana uppgifter i den mening som avses i direktivet. I förevarande mål sammanfaller begreppen behandling och överföring, eftersom PNR-bestämmelserna i synnerhet syftar till att tillhandahålla passageraruppgifter till CBP. Detta konstaterande förklaras till stor del av den omfattande betydelse som begreppet behandling har fått, omfattande en rad åtgärder. Slutligen skall, i sådant fall, överföring av personuppgifter till tredje land anses utgöra en specifik form av behandling. För ett motsvarande synsätt, se kommissionens förslag till rambeslut, där dess artikel 15 avseende ”[ö]verföring till behöriga myndigheter i tredje land eller internationella organ” ingår i kapitel III som har titeln ”Specifika former av behandling”.
52 – Jag anmärker att det i artikel 1 i kommissionens beslut 2000/519/EG av den 26 juli 2000 enligt direktiv 95/46 om adekvat skydd av personuppgifter i Ungern (EGT L 215, s. 4) föreskrivs att ”[f]ör det ändamål som avses i artikel 25.2 i direktiv 95/46/EG anses Ungern, för alla de verksamheter som omfattas av det direktivet, erbjuda en adekvat skyddsnivå för personuppgifter som överförs från gemenskapen” (min kursivering).
53 – Min kursivering. I domen i det ovannämnda målet Lindqvist, anförde domstolen att ”[d]en verksamhet som nämns såsom exempel i artikel 3.2 första strecksatsen i direktiv 95/46 … är i samtliga fall statens eller statliga myndigheters verksamhet och har ingenting att göra med enskildas verksamhetsområden” (punkt 43).
54 – Skäl 6.
55 – Skäl 7.
56 – Skäl 8.
57 – Se, för ett motsvarande synsätt, en artikel av Poullet, Y., och Peres Asinan, M. V., ”Données des voyageurs aériens: le débat Europe – Etats-Unis”, JTDE, 2004, nr 113, s. 274. Enligt dessa författare måste ”en lösning som legitimerar dessa gränsöverskridande flöden av ett väldigt speciellt slag säkerställa att överföringar av personuppgifter till utländska administrativa myndigheter sker för att bekämpa terrorism … vilket som alla vet går utöver tillämpningsområdet för ett direktiv i första pelaren”. De anför vidare att ”[d]etta är, på den europeiska nivån, en tredjepelarfråga, vilket ifrågasätter kommissionens behörighet att agera i frågan … ”. Se även De Schutter, O., ”La Convention européenne des droits de l’homme à l’épreuve de la lutte contre le terrorisme”, i Lutte contre le terrorisme et droits fondamentaux, Bribosia, E., och Weyembergh, A. (red.), Collection droit et justice, Bruylant, Bruxelles, 2002, s. 112, fotnot 43: efter att ha återgett artikel 3.2 första strecksatsen i direktiv 95/46 anmärker författaren att ”[d]enna begränsning av [d]irektivets tillämpningsområde förklaras av den begränsade behörighet som Europeiska gemenskapen har. Den har ingen allmän behörighet att lagstifta på området för mänskliga rättigheter, utan får endast agera på detta område när och i den mån, såsom är fallet med [direktivet], det är fråga om att underlätta upprättandet av den inre marknaden, innebärande i synnerhet att undanröja hinder mot den fria rörligheten för varor och tjänster.”
58 – Passageraruppgifter behandlas inom gemenskapen, genom att dessa ställs till CBP:s förfogande. De behandlas även sedan de överförts genom att CBP använder dem.
59 – Detta innebär inte att ett beslut om adekvat skydd som antagits i ett liknande sammanhang som i förevarande mål, inom Europeiska unionens rättsordning, skall anses inte behöva respektera väsentliga garantier för skyddet av personuppgifter, såsom dessa anges i särskilt konvention nr 108. Jag anser i detta sammanhang endast att direktiv 95/46 inte utgör referensnormen eftersom, som ovan visats, syftet med beslutet om adekvat skydd går utöver tillämpningsområdet för direktivet, som är dess rättsliga grund. I avsaknad av en sekundärrättslig bestämmelse som är tillämplig vid överföringar av personuppgifter i bestraffningssyfte och i syfte att främja allmän säkerhet är det således inte möjligt att genomföra någon abstrakt domstolskontroll av dessa garantier. Det saknas emellertid inte rättsligt skydd i en sådan situation. Kontrollen av väsentliga garantier för skyddet av personuppgifter är nämligen, som vi skall se, nära förbunden med de villkor som anges i artikel 8.2 i EMRK.
60 – Nedan kallade PNR-bestämmelserna.
61 – Dom av den 31 mars 1971 i mål 22/70, kommissionen mot rådet, kallad AETR (REG 1971, s. 263, svensk specialutgåva, volym 1, s. 551).
62 – Se, i synnerhet, dom av den 11 juni 1991 i mål C-300/89, kommissionen mot rådet, kallat Titandioxid (REG 1991, s. I-2867, svensk specialutgåva, volym 11, s. I-199) punkt 10, av den 12 november 1996 i mål C-84/94, Förenade kungariket mot rådet (REG 1996, s. I-5755), punkt 25, av den 25 februari 1999 i de förenade målen C-164/97 och C-165/97, parlamentet mot rådet (REG 1999, s. I-1139), punkt 12, av den 4 april 2000 i mål C-269/97, kommissionen mot rådet (REG 2000, s. I-2257), punkt 43, av den 19 september 2002 i mål C-336/00, Huber (REG 2002, s. I-7699), punkt 30, av den 29 april 2004 i mål C-338/01, kommissionen mot rådet (REG 2004, s. I-4829), punkt 54, och av den 13 september 2005 i mål C-176/03, kommissionen mot rådet (REG 2005, s. I-0000), punkt 45.
63 – Dom av den 26 mars 1987 i mål 45/86, kommissionen mot rådet (REG 1987, s. 1493; svensk specialutgåva, volym 9, s. 55), punkt 11.
64 – Yttrande av den 6 december 2001 i mål 2/00, lämnat med stöd av artikel 300.6 EG, Cartagenaprotokollet (REG 2001, s. I-9713), punkt 5.
65 – Jag kommer nedan att använda benämningen bekämpande av terrorism och andra grova brott för detta syfte.
66 – Terrorism är dessutom ett internationellt fenomen som inte känner några gränser.
67 – Se punkt 10 i generaladvokaten Tesauros förslag till avgörande inför domen i det ovannämnda målet titandioxid.
68 – Dom av den 5 oktober 2000 i mål C-376/98, Tyskland mot parlamentet och rådet (REG 2000, s. I-8419), punkterna 83, 84 och 95), och av den 10 december 2002 i mål C-491/01, British American Tobacco (Investments) och Imperial Tobacco (REG 2002, s. I-11453), punkt 60.
69 – Se, för ett motsvarande synsätt, dom av den 13 juli 1995 i mål C-350/92, Spanien mot rådet (REG 1995, s. I-1985), punkt 35, domen i det ovannämnda målet Tyskland mot parlamentet och rådet, punkt 86, av den 9 oktober 2001 i mål C-377/98, Nederländerna mot parlamentet och rådet (REG 2001, s. I-7079), punkt 15, i det ovannämnda målet British American Tobacco (Investments) och Imperial Tobacco, punkt 61, och av den 14 december 2004 i mål C-434/02, Arnold André (REG 2004, s. I-11825), punkt 31.
70 – Se, i synnerhet, dom av den 9 november 1995 i mål C-426/93, Tyskland mot rådet (REG 1995, s. I-3723), punkt 33.
71 – Se, i synnerhet, dom av den 17 mars 1993 i mål C-155/91, kommissionen mot rådet (REG 1993, s. I-939; svensk specialutgåva, volym 14, s. 67), punkterna 19 och 21, av den 23 februari 1999 i mål C-42/97, parlamentet mot rådet (REG 1999, s. I-869), punkterna 39 och 40, av den 30 januari 2001 i mål C-36/98, Spanien mot rådet (REG 2001, s. I-779), punkt 59, och av den 12 december 2002 i mål C-281/01, kommissionen mot rådet (REG 2002, s. I-12049), punkt 34.
72 – Se, i synnerhet, domarna i de ovannämnda målen av Titandioxid (punkterna 13 och 17), av den 23 februari 1999, parlamentet mot rådet (punkterna 38 och 43), Huber (punkt 31), och av den 12 december 2002, kommissionen mot rådet (punkt 35).
73 – Dom av den 12 december 2002 i det ovannämnda målet kommissionen mot rådet, punkt 46.
74 – Dom av den 20 maj 2003 i de förenade målen C-465/00, C-138/01 och C-139/01, Österreichischer Rundfunk m.fl. (REG 2003, s. I-4989), punkt 39. Med hänsyn till skillnaden i fråga om syfte och mål mellan avtalen och direktiv 95/46, anser jag att det är osannolikt att, såsom kommissionen gjort gällande, detta direktiv skulle ha påverkats i den mening som avses i målet AETR om medlemsstaterna träffat separata eller gemensamma överenskommelser av detta slag utanför gemenskapens ramar.
75 – Jag konstaterar att ”tredjepelardimensionen” av lufttrafikföretagens överföring av personuppgifter till Förenta staterna ibland åberopas. Sålunda har ”artikel 29-gruppen” avseende skydd för personuppgifter antagit ett yttrande den 24 oktober 2002 (Yttrande 6/2002 om överlämnande av information ur flygbolagens passagerarlistor och övriga upplysningar till USA), i vilket den anfört att ”[ö]verföring av uppgifter till myndigheter i tredje land med hänvisning till allmän ordning i landet bör ske inom ramen för de samarbetssystem som inrättats enligt tredje pelaren (rättsligt och polisiärt samarbete). … Samarbetet enligt tredje pelaren bör inte få hindras av första pelaren.” Se Internet,
http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/docs/wpdocs/2002/wp66_sv.pdf.
76 – När det gäller direkt utbyte av information mellan offentliga myndigheter skall jag hänvisa till rådets beslut av den 27 mars 2000 om bemyndigande för Europols direktör att inleda förhandlingar om avtal med tredjeland och organ utan anknytning till EU (EGT C 106, s. 1). På grundval av detta beslut har ett avtal om utbyte av personuppgifter undertecknats mellan Europol och Amerikas förenta stater den 20 december 2002.
77 – Denna problematik är central i den pågående interinstitutionella diskussionen avseende tjänsteoperatörers inom telefoni och elektroniska kommunikationer bevarande av personuppgifter. Motstående synpunkter har uttryckts under denna diskussion. Det finns de som anser att denna problematik skall beaktas inom ramen för första pelaren, och andra som anser att frågan hör hemma i tredje pelaren. Detta vittnar om att problematiken med användning av kommersiella uppgifter i repressivt syfte är både ny och komplex. Se, i denna fråga, förslag till rambeslut avseende bevarande av personuppgifter som behandlats och lagrats vid tillhandahållande till allmänheten av elektroniska kommunikationstjänster eller uppgifter som överförts via allmänna kommunikationsnät, i syfte att förhindra och utreda brott och straffbara handlingar, inklusive terrorism (förslag presenterat den 28 april 2004 på initiativ av Republiken Frankrike, Irland, Konungariket Sverige och Förenade konungariket), och det därmed konkurrerande förslaget från kommissionen till Europaparlamentets och rådets direktiv om bevarande av personuppgifter som behandlats inom ramen för tillhandahållande av elektroniska kommunikationstjänster för allmänheten, med ändring av direktiv 2002/58, presenterat den 21 september 2005 (KOM (2005) 438 slutlig).
78 – Se, vad gäller om införande av ekonomiska sanktioner såsom frysning av tillgångar för enskilda och organ som misstänks bidra till finansieringen av terrorism, två domar från förstainstansrätten av den 21 september 2005 i mål T-306/01, Yusuf och Al Barakaat International Foundation mot rådet och kommissionen (REG 2005, s. II-0000), punkt 152, och i mål T-315/01, Kadi mot rådet och kommissionen (REG 2005, s. II-0000), punkt 116. Förstainstansrätten har emellertid i dessa mål tagit hänsyn till ”den länk som uttryckligen infördes vid revideringen i Maastricht mellan gemenskapens genomförande av ekonomiska sanktionsåtgärder med stöd av artiklarna 60 EG och 301 EG och EU-fördragets utrikespolitiska mål” (punkt 159 i mål T-306/01, och punkt 123 i mål T-315/01). Mer allmänt framhöll förstainstansrätten att ”kampen mot den internationella terrorismen och finansieringen av denna obestridligen är att hänföra till unionens mål inom ramen för den gemensamma utrikes- och säkerhetspolitiken, såsom de anges i artikel 11 EU …” (punkt 167 i mål T-306/01, och punkt 131 i mål T-315/01). I artikel 2 EU anges att ”Unionen skall ha som mål att … bevara och utveckla unionen som ett område med frihet, säkerhet och rättvisa, där den fria rörligheten för personer garanteras samtidigt som lämpliga åtgärder vidtas avseende kontroller vid yttre gränser, asyl, invandring och förebyggande och bekämpande av brottslighet” (min kursivering). Enligt artikel 29 andra stycket EU skall Unionens mål att ge medborgarna en hög säkerhetsnivå inom ett område med frihet, säkerhet och rättvisa ”uppnås genom förebyggande och bekämpande av brottslighet, vare sig denna är organiserad eller ej, särskilt terrorism” (min kursivering). Angående externa aspekter av europeisk straffrätt, se Kerchove, G., och Weyembergh, A., Sécurité etjustice: enjeu de la politique extérieure de l’Union européenne, éditions de l’Université de Bruxelles, 2003.
79 – Domstolen har däremot uttalat sig angående ett annat fall där parlamentets samtycke krävs, nämligen angående ”avtal som har betydande budgetmässiga följder för gemenskapen”, i dom av den 8 juli 1999 i mål C-189/97, parlamentet mot rådet (REG 1999, s. I-4741).
80 – Se Schmitter, C., ”Artikel 228”, i Constantinesco, V., Kovar, R., och Simon, D., Traité sur l’Union européenne, commentaire article par article, Économica, 1995, s. 725, särskilt punkt 43.
81 – Se, för ett motsvarande synsätt, Schmitter, C., hänvisning ovan.
82 – Angreppssättet i fördraget om upprättande av en konstitution för Europa är vidare och ger mer utrymme för godkännande av parlamentet. I dess artikel III-325 avseende förfarandet för slutande av internationella avtal föreskrivs nämligen, i punkt 6 a v, att rådet skall anta ett beslut om att ingå ett avtal efter parlamentets godkännande bland annat när det gäller ”[a]vtal som gäller områden som omfattas av det ordinarie lagstiftningsförfarandet eller det särskilda lagstiftningsförfarandet då Europaparlamentets godkännande krävs” (min kursivering).
83 – Min kursivering.
84 – Punkt 107 ovan.
85 – Se punkterna 109 och följande ovan.
86 – Europaparlamentet har i detta avseende hänvisat till domen av den 20 maj 2003 i mål C-108/01, Consorzio del Prosciutto di Parma och Salumificio S. Rita (REG 2003, s. I-5121), punkt 89.
87 – Europaparlamentet har i synnerhet hänvisat till Europolkonventionen, vilken i artikel 8.2 innehåller föreskrifter avseende behandling av fem kategorier av uppgifter, och till rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (EGT L 261, s. 24). I detta direktiv, som grundar sig på artiklarna 62.2 a EG och 63.3 b EG, föreskrivs i artikel 3 en skyldighet för lufttrafikföretagen att på begäran av de myndigheter som ansvarar för personkontrollen vid de yttre gränserna översända totalt nio kategorier av personuppgifter.
88 – Det rör sig enligt datatillsynsmannen om kategori 11 ”Uppgifter om bonusprogram (endast antal miles och adresser)”, 19 ”Allmänna kommentarer”, 26 ”OSI-uppgifter [Other Service Information]”, 27 ”SSI/SSR-uppgifter [Special Service Request]”, 30 ”Antal resande i PNR”, och 33 ”Eventuella APIS-uppgifter [Advanced Passenger Information System]”.
89 – Nämligen kategorierna 19, 26 och 27 (se föregående fotnot).
90 – Punkt 5 i åtagandeförklaringen har följande innehåll:
”När det gäller rubrikerna ’OSI’ och ’SSI/SSR’ (allmänt kallade ’allmänna kommentarer’ och ’öppna fält’ ) kommer CBP:s elektroniska system att söka i dessa fält efter någon av de andra uppgifterna som förtecknas i [fälten över begärda PNR-uppgifter]. CBP:s personal är inte behörig att manuellt gå igenom alla OSI- och SSI/SSR-fälten, såvida inte CBP klassat den person som PNR-uppgifterna gäller som en högriskperson när det gäller någon av de aktiviteter som anges i punkt 3.”
91 – Punkt 9 i åtagandeförklaringen har följande innehåll:
”CBP kommer inte att använda ’känsliga’ uppgifter (dvs. personuppgifter som avslöjar ras eller etnisk tillhörighet, politisk, religiös eller filosofisk övertygelse, fackföreningstillhörighet eller uppgifter om den registrerades hälsa eller sexliv) från PNR-fältet som beskrivs nedan.”
Punkt 10 i förklaringen har följande innehåll:
”CBP kommer snarast möjligt att införa ett elektroniskt system som filtrerar och tar bort vissa ’känsliga’ PNR-koder och upplysningar som CBP har fastställt i samråd med kommissionen.”
Punkt 11 i åtagandeförklaringen har följande lydelse:
”I väntan på att sådana elektroniska filter skall införas försäkrar CBP att man inte använder och inte kommer att använda ’känsliga’ PNR-uppgifter och att man kommer att ta bort sådana uppgifter varje gång uppgifter lämnas ut skönsmässigt i enlighet med punkterna 28–34.”
Dessa punkter avser överföring av passageraruppgifter till andra offentliga myndigheter.
92 – Se, i synnerhet, dom av den 12 november 1969 i mål 29/69, Stauder (REG 1969, s. 419; svensk specialutgåva, volym 1, s. 421), punkt 7, av den 17 december 1970 i mål 11/70, Internationale Handelsgesellschaft (REG 1970, s. 1125, svensk specialutgåva, volym 1, s. 503), punkt 4, och av den 14 maj 1974 i mål 4/73, Nold mot kommissionen (REG 1974, s. 491, svensk specialutgåva, volym 2, s. 291), punkt 13.
93 – Se, i synnerhet, dom av den 18 juni 1991 i mål C-260/89, ERT (REG 1991, s. I-2925, svensk specialutgåva, volym 11, s. I-209), punkt 41, av den 29 maj 1997 i mål C-299/95, Kremzow (REG 1997, s. I-2629), punkt 14, och av den 6 mars 2001 i mål C-274/99 P, Connolly mot kommissionen (REG 2001, s. I-1611), punkt 37.
94 – Dom av den 13 juli 1989 i mål 5/88, Wachauf (REG 1989, s. 2609), punkt 19.
95 – Dom av den 26 juni 1980 i mål 136/79, National Panasonic mot kommissionen (REG 1980, s. 2033, svensk specialutgåva, volym 5, s. 253), punkterna 18 och 19. Denna rättighet omfattar bland annat rätten till skydd för medicinsk sekretess (se dom av den 8 april 1992 i mål C-62/90, kommissionen mot Tyskland, REG 1992, s. I-2575, svensk specialutgåva, volym 12, s. I-29, och av den 5 oktober 1994 i mål C-404/92 P, X mot kommissionen, REG 1994, s. I-4737). När det gäller skyddet för personuppgifter hänvisar jag på nytt till domarna i de ovannämnda målen Österreichischer Rundfunk m.fl. och Lindqvist.
96 – Europadomstolens dom av den 24 april 1990, Kruslin mot France (Serie A nr 176, § 27).
97 – Europadomstolens dom av den 24 mars 1988, Olsson mot Sverige (Serie A nr 130, §§ 61 och 62). Restriktionerna skall vara föreskrivna i bindande bestämmelser som är tillräckligt klart formulerade för att enskilda skall kunna anpassa sitt beteende med stöd av klargörande råd (Europadomstolens dom av den 26 april 1979, Sunday Times mot Förenade kungariket (Serie A nr 30, § 49)).
98 – Se skäl 6 i beslutet om adekvat skydd, och fotnoterna 2 och 3 i detta.
99 – Se punkterna 36–42 i åtagandeförklaringen.
100 – Se protokollet avseende rättelse av avtalet, vilken som ovan nämnts offentliggjordes i EUT L 255 den 30 september 2005.
101 – I ingressen i avtalet hänvisas till förebyggande och bekämpande av terrorism ”och därmed närstående brottslighet och annan allvarlig brottslighet av överstatlig karaktär”. Vidare föreskrivs i punkt 3 i åtagandeförklaringen att ” CBP använder endast PNR-uppgifterna för att förebygga och bekämpa 1) terrorism och terrorrelaterad kriminalitet, 2) andra allvarliga brott, inklusive organiserad gränsöverskridande brottslighet och 3) flykt från ett anhållnings- eller häktningsbeslut för ett av ovanstående brott.” Se även skäl 15 i beslutet om adekvat skydd.
102 – Se, i synnerhet, Europadomstolens dom av den 24 november 1986, Gillow mot Förenade kungariket (Serie A nr 109, § 55).
103 – Europadomstolens dom av den 26 mars 1987, Leander mot Sverige (Serie A nr 116, § 59).
104 – Se, till exempel, Europadomstolens dom av den 6 september 1978, Klass (serie A nr 28, § 59), avseende medborgarnas skydd för post- och telehemligheter vid bekämpande av terrorism. I den domen fastslog Europadomstolen att ”en viss grad av förenlighet mellan försvaret av det demokratiska samhället och skyddet för individuella rättigheter är en inneboende del i det system som upprättats genom konventionen”.
105 – Sudre, F., Droit européen och international des droits de l’homme, 7:e upplagan, PUF, 2005, s. 219). Författaren har även konstaterat att ”[a]llt eftersom den mer eller mindre strikt har betonat villkoret om proportionalitet – strikt, korrekt, rimlig proportionalitet – har Europadomstolen anpassat intensiteten i sin kontroll, och följaktligen har utrymmet för statens handlingsfrihet varierat …”.
106 – Europadomstolens dom av den 25 februari 1997, Z. mot Finland (Domsamling 1997-I).
107 – För ett motsvarande synsätt, se Sudre, F., hänvisning ovan, s. 219. Se även Wachsmann, P., ”Le droit au secret de la vie privée”, i Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, Sudre, S. (red.), Bruylant, 2005, s. 141. När det gäller domen i det ovannämnda målet Z. mot Finland, har författaren anmärkt att ”kontrollen avseende intrångets nödvändighet [i förevarande fall har] genomförts strängt, vilket förklaras av hur känsligt ett avslöjande av att någon är HIV-positiv till utomstående är”.
108 – Domen i det ovannämnda målet Leander mot Sverige. Leander var föreståndare för ett svenskt sjöfartsmuseum och hade förlorat sitt arbete efter en personalkontroll som byggde på för honom hemliga uppgifter. Kontrollen ledde fram till slutsatsen att han inte kunde arbeta på museet, som hade flera upplag på militärt skyddat område. Europadomstolen för mänskliga rättigheter fastslog klart principen om att lagring och överföring av personuppgifter tillsammans med den omständigheten att dessa inte får motbevisas utgör ett intrång i skyddet för privatlivet. Vid prövningen av huruvida ett sådant intrång skall anses vara berättigat anförde Europadomstolen följande: ”[d]et kan inte förnekas att de fördragsslutande staterna, för att bevara allmän säkerhet, har ett behov av lagar som gör det möjligt för behöriga nationella myndigheter att samla in och lagra upplysningar om människor i hemliga akter, och att använda dessa vid prövningen av sökande till viktiga tjänster i säkerhetshänseende” (§ 59). Med avseende på de garantier som omgav det svenska systemet för personalkontroll och staternas omfattande handlingsutrymme anförde Europadomstolen att ”den svarande regeringen hade rätt att anse att nationella säkerhetsintressen gick före sökandens individuella intressen”. Det intrång som Leander vidkänts var således inte oproportionerligt i förhållande till det eftersträvade legitima intresset. (§ 67).
109 – Europadomstolens dom D. H. Murray mot Förenade kungariket av den 28 oktober 1994 (Serie A, nr 300, §§ 47 och 90). I det målet ansågs syftet att bekämpa terrorism motivera militärens förvaring av personuppgifter vad gällde den första sökanden. Europadomstolen anförde bland annat att det inte ankom på denna att ”sätta sin egen bedömning i de nationella myndigheters, vilka är bättre politiskt lämpade inom området för utredning av terroristattentat, ställe” (§ 90). Se även domen i det ovannämnda målet Klass, § 49.
110 – Enligt D. Ritleng föreligger det, såsom vid bedömningen av det synonyma begreppet ”uppenbart felaktig”, en uppenbar felbedömning vid ett åsidosättande av bestämmelser i lag som är så allvarligt att åsidosättandet är självklart. Även om den är helt skönsmässig kan bedömningen av omständigheterna inte leda till att gemenskapsinstitutionerna kan besluta på vilket sätt som helst. Vid prövningen av huruvida det skett en uppenbar felbedömning anses det inte tillåtet att använda bedömningsfriheten på ett uppenbart felaktigt sätt. Se ”Le contrôle de la légalité des actes communautaires par la Cour de justice och le Tribunal de première instance des Communautés européennes”, avhandling försvarad den 24 januari 1998 vid Université Robert Schuman de Strasbourg, s. 538, punkt 628.
111 – Se, avseende gemenskapens jordbrukspolitik, domstolens dom av den 13 november 1990 i mål C-331/88, Fedesa m.fl. (REG 1990, s. I-4023), punkt 14. Se även, avseende antidumpning, förstainstansrättens dom av den 5 juni 1996 i mål T-162/94, NMB mot kommissionen (REG 1996, s. II-427), punkt 70.
112 – Se, avseende den gemensamma jordbrukspolitiken, domstolens dom av den 5 oktober 1994 i mål C-280/93, Tyskland mot rådet (REG 1994, s. I-4973, svensk specialutgåva, volym 16, s. I‑171), punkt 91). Denna rättspraxis gäller även på andra områden, till exempel inom socialpolitiken, där domstolen tillerkänt rådet ”ett omfattande utrymme för skönsmässig bedömning mot bakgrund av att det rör sig om ett område där … lagstiftaren har att fatta socialpolitiska beslut och göra komplexa bedömningar”. (domen i det ovannämnda målet Förenade kungariket mot rådet, punkt 58). Jag skall vidare framhålla att när det gäller allmänhetens tillgång till gemenskapsinstitutionernas handlingar och omfattningen av en domstolsprövning av ett avslagsbesluts laglighet har förstainstansrätten tillerkänt rådet en omfattande handlingsfrihet när ett avslagsbeslut grundas på allmänintresset i internationella relationer eller skyddet för allmänintresset inom ramen för allmän säkerhet. Se i synnerhet, avseende terroristbekämpning, förstainstansrättens dom av den 26 april 2005 i de förenade målen T-110/03, T-150/03 och T-405/03, Sison mot rådet (REG 2005, s. II-0000) punkterna 46 och 71–82).
113 – Det finns, förutom domen i det ovannämnda målet Förenade kungariket mot rådet, en rad exempel på att gemenskapsdomstolarna har hänvisat till den komplicerade arten av bedömningar som gemenskapsinstitutionerna har att göra. Se, i synnerhet, rörande etableringsfrihet, dom av den 13 maj 1997 i mål C-233/94, Tyskland mot parlamentet och rådet (REG 1997, s. I-2405), punkt 55. Ett exempel på förstainstansrättens hänvisning till ”komplicerade ekonomiska och sociala bedömningar” återfinns i dess dom av den 13 september 1995 i de förenade målen T-244/93 och T-486/93, TWD mot kommissionen (REG 1995, s. II‑2268), punkt 82.
114 – Sålunda skall enligt min mening kommissionen anses ha haft en omfattande handlingsfrihet inom ramen för överföringar av passageraruppgifter vid prövningen av huruvida Förenta staterna kunde säkerställa ett adekvat skydd för dessa personuppgifter.
115 – Enligt kommissionen är ”PNR-bestämmelserna … en specifik lösning på ett specifikt problem …”. Gemenskapen och Förenta staterna har nämligen utformat ett slutet system för skydd av CBP:s egna uppgifter, åtskilt från det amerikanska systemet, och omgärdat av ytterligare administrativa garantier i form av amerikansk administrativ kontroll och europeisk rättslig och administrativ kontroll” (punkt 13 i kommissionens yttrande över EGDP:s interventionsinlaga i mål C-318/04).
116 – Jag påminner om att detta avser fälten 19 Allmänna kommentarer, 26 OSI-uppgifter (Other Service Information) och 27 SSI/SSR-uppgifter (Special Service Request).
117 – Se punkterna 20 och 21 i kommissionens yttrande över EGDP:s interventionsinlaga i mål C‑318/04.
118 – Det har även angivits i anmärkning 7 i åtagandeförklaringen att när PNR-uppgifterna överförs till filen med borttagna uppgifter lagras de som rådata, det vill säga i en form som inte gör det möjligt att söka direkt och därför kan de inte användas vid ”traditionella” brottsutredningar.
119 – Se punkterna 8 d och 10 i konvention nr 108, och artikel 22 i direktiv 95/46.
120 – Se punkt 36 i åtagandeförklaringen, där följande anges:
”CBP kommer att upplysa resenärerna om PNR-kravet och de olika aspekterna av dess tillämpning (på CBP:s webbplats och i resebroschyrer kan man få allmän information om den myndighet som ansvarar för insamlingen av uppgifterna, syftet med insamlingen, dataskydd, uppgiftsutväxling, den ansvarige tjänstemannen, möjligheterna att överklaga samt kontaktuppgifter som kan användas om man har frågor eller särskilda problem osv.).”
121 – Freedom of Information Act (nedan kallad FOIA) (kapitel 5, section 552, i Förenta staternas lagsamling). När det gäller de handlingar som CBP bevarar skall bestämmelserna i FOIA läsas tillsammans med kapitel 19, section 103.0 och följande i federala författningssamlingen.
122 – Enligt FOIA presumeras varje handling hos den federala regeringen vara tillgänglig för var och en. Det berörda regeringsorganet kan emellertid motverka denna presumtion genom att visa att de efterfrågade uppgifterna tillhör en kategori av uppgifter som undantagits från denna skyldighet. I detta avseende anges i punkt 37 i åtagandeförklaringen, att ”[v]id en första parts-ansökan kommer CBP inte att tillämpa FOIA-principen om att PNR-uppgifter skall betraktas som den registrerades konfidentiella personuppgifter eller som flygbolagens konfidentiella kommersiella uppgifter, för att undanhålla PNR-uppgifter från den registrerade”.
123 – Min kursivering. I punkt 38 i åtagandeförklaringen hänvisas i detta avseende till kapitel 5, section 552(a)(4)(B) i Förenta staternas lagsamling, och till kapitel 19, section 103.7–103.9 i federala författningssamlingen. Av dessa framgår att domstolsprövning (judicial review) av ett avslagsbeslut från CBP angående en begäran om utlämnande skall föregås av en administrativ prövning hos ”FOIA Appeals Officer” (kapitel 19, section 103.7 i federala författningssamlingen). När avslagsbeslutet kvarstår efter den administrativa prövningen får sökanden väcka talan vid federal ”District Court”, vilken är behörig att föreskriva utlämnande av alla uppgifter som felaktigt innehållits av ett regeringsorgan.
124 – Adressen till Assistant Commissioner anges i samma punkt.
125 – Adressen återfinns i punkt 41 i åtagandeförklaringen.
126 – Se, för ett motsvarande synsätt, punkt 5 i section 222 i den amerikanska lagen år 2002 om inre säkerhet (Homeland Security Act – Public Law, 107-296, av den 25 november 2002), i vilken det föreskrivs att Chief Privacy Officer varje år skall lämna en rapport till kongressen angående verksamheten vid ministeriet för inre säkerhet som påverkar skyddet för privatlivet, och redovisa eventuella klagomål avseende intrång i privatlivet.
127 – Se fotnot 11 i åtagandeförklaringen, i vilken det anges att Chief Privacy Officer ”är oberoende av alla andra direktorat inom Departementet för hemlandets säkerhet. Hon är enligt lag skyldig att garantera att personuppgifter används på sätt som överensstämmer med relevanta lagar …. [Chief Privacy Officers] slutsatser är bindande för departementet och invändningar får inte göras mot dessa av politiska orsaker”. Jag skall vidare framhålla att kravet på att det skall vara möjligt att anföra klagomål hos ett oberoende organ med beslutsrätt följer bland annat av Europadomstolens för mänskliga rättigheter dom av den 7 juli 1989, Gaskin mot Förenade kungariket (serie A, nr 160, § 49). Vidare anges i artikel 8.3 i Europeiska unionens stadga om grundläggande rättigheter att ”[e]n oberoende myndighet skall kontrollera att dessa regler efterlevs”.
128 – Se, till exempel, dom av den 29 februari 1996 i mål C-56/93, Belgien mot kommissionen (REG 1996, s. I-723), punkt 86.
129 – Dom av den 27 september 1988 i mål 204/86, Grekland mot rådet (REG 1988, s. 5323), punkt 16, och av den 30 mars 1995 i mål C-65/93, parlamentet mot rådet (REG 1995, s. I-643), punkt 23.
130 – Yttrande av den 13 december 1995 (REG 1995, s. I-4577), angående en begäran från Förbundsrepubliken Tyskland om huruvida ramavtalet om bananer mellan Europeiska gemenskapen och Columbia, Costa Rica, Nicaragua och Venezuela är förenligt med fördraget.
131 – Punkt 21 i yttrandet (min kursivering).
132 – Punkt 22 i yttrandet.