Meddelande från kommissionen till rådet och Europaparlamentet - Överföring av flygpassagerares (PNR)-uppgifter: en övergripande EU-strategi /* KOM/2003/0826 slutlig */
MEDDELANDE FRÅN KOMMISSIONEN TILL RÅDET OCH EUROPAPARLAMENTET - Överföring av flygpassagerares (PNR)-uppgifter: en övergripande EU-strategi 1. Inledning och bakgrund Efter händelserna den 11 september 2001 införde Förenta staterna lagstiftning som ålade flygbolag som flyger till, från eller genom landet att ge den amerikanska tullmyndigheten elektronisk tillgång till passageraruppgifter, PNR (Passenger Name Record), från de automatiska kontrollsystemen för bokningar och avgångar. Kommissionen erkänner Förenta staternas legitima säkerhetsintressen, men informerade redan i juni 2002 landet om att dessa krav skulle kunna komma i konflikt med gemenskapens och medlemsstaternas lagstiftning om uppgiftsskydd [1] och med vissa bestämmelser i förordningen om datoriserade bokningssystem [2]. De amerikanska myndigheterna sköt upp de nya kravens ikraftträdande, men vägrade slutligen att göra avkall på sina krav på att flygbolag som inte följde reglerna efter den 5 mars 2003 skulle betala böter. Flera större flygbolag inom EU har sedan dess lämnat tillgång till sina passageraruppgifter. [1] Se i synnerhet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, EGT L 281, 23.11.1995, s. 31. [2] Rådets förordning (EEG) nr 2299/89 av den 24 juli 1989 om en uppförandekod för datoriserade bokningssystem, EGT L 220, 29.7.1989, s. 1, senast ändrad genom rådets förordning (EG) nr 323/1999 av den 8 februari 1999, EGT L 40, 13.2.1999, s. 1. Den 18 februari 2003 gjorde kommissionen och Förenta staterna ett gemensamt uttalande, där de påpekade att de hade ett gemensamt intresse av att bekämpa terrorism, fastställde en inledande åtagandeförklaring från den amerikanska tullmyndigheten rörande uppgiftsskydd, noterade att parterna förpliktade sig att fortsätta diskussionerna så att kommissionen kan fatta ett beslut i enlighet med artikel 25.6 i uppgiftsskyddsdirektivet 95/45/EG och konstatera att skyddsnivån för överförda uppgifter är adekvat. Syftet med diskussionerna har således varit att föra Förenta staternas användning och skydd av PNR-uppgifter närmare EU:s standarder. Under tiden har andra länder utanför gemenskapen, även Kanada och Australien, begärt eller övervägt att begära tillgång till PNR-uppgifter. Vissa medlemsstater undersöker också möjligheten att använda PNR-uppgifter för flyg- och gränssäkerhetsändamål. I två resolutioner av den 13 mars 2003 [3] och den 9 oktober 2003 [4] uppmanade Europaparlamentet kommissionen att vidta ett antal åtgärder när det gäller överföring av PNR-uppgifter till Förenta staterna, för att säkerställa att europeiska dataskyddsintressen beaktas. [3] P5_TA(2003)0097. [4] P5_TA(2003)0097. Kommissionen är enig med Europaparlamentet om att det brådskar att finna en lösning på problemen i samband med krav från länder utanför gemenskapen, i synnerhet Förenta staterna, på PNR-uppgifter. En sådan lösning måste vila på en rättslig grundval. Den måste säkerställa skyddet av medborgarnas personuppgifter och privatliv, men också deras fysiska säkerhet. Den måste i alla avseenden fylla behovet av att bekämpa terrorism och internationell organiserad brottslighet. Den måste innebära ett slut på den rättsliga osäkerheten för både europeiska och icke-europeiska flygbolag. Och den måste underlätta för resenärer som följer gällande lagar. Men det är inte tillräckligt att EU bara reagerar på andras initiativ. Ett antal medlemsstater har också visat att de är intresserade av effektiva åtgärder för att förbättra flyg- och gränssäkerheten. Och en EU-strategi bör utgöra grundvalen för ett initiativ för att finna en multilateral lösning, vilket skulle vara det enda sättet att i praktiken lösa problem i samband med internationella flygresor. I detta meddelande fastställs vilka beståndsdelar som kommissionen anser nödvändiga i en övergripande EU-strategi. 2. Huvudbeståndsdelarna i EU:s övergripande strategi En övergripande och balanserad strategi som gör det möjligt att finna en lösning på alla de problemställningar som uppstått i synnerhet på grund av amerikansk lagstiftning som kräver överföring av PNR, men som också gör det möjligt att uppfylla de ytterligare behov som anförs ovan måste väga in följande hänsyn: - Kampen mot terrorism och internationell brottslighet. - Rätten till skydd av privatlivet och de grundläggande medborgerliga rättigheterna. - Flygbolagens behov av att kunna följa olika rättsliga krav utan att detta medför orimliga kostnader. - Förhållandet mellan EU och Förenta staterna på en mer generellt nivå. - Flygpassagerarnas säkerhet och bekvämlighet. - Säkerheten vid gränserna. - Den internationella och till och med världsomspännande dimensionen av dessa frågor. Alla ensidiga strategier eller strategier som inte gör det möjligt att föra samman alla dessa trådar kommer inte att vara balanserade och hållbara. Samtidigt får man vid sökandet efter en verkligt övergripande lösning inte försena eller förhindra en rättslig lösning på problemet med den pågående överföringen av PNR till Förenta staterna - för att inte tala om den växande pressen på de flygbolag inom EU som inte ännu har gett Förenta staterna tillgång till sina passageraruppgifter. Kommissionens flerspårsstrategi består således av följande huvuddelar: a. Rättsliga ramar för existerande överföring av PNR till Förenta staterna. Detta kommer få formen av ett kommissionens beslut enligt artikel 25.6 i uppgiftsskyddsdirektivet (95/46/EG) som åtföljs av ett "lätt" bilateralt internationellt avtal. b. Fullständig, korrekt och aktuell information för passagerare. Kommissionen, flygbolagen, resebyråerna, de ansvariga för de datoriserade bokningssystemen och dataskyddsmyndigheterna, samt eventuellt myndigheterna i de berörda länderna utanför gemenskapen har gjort en gemensam ansträngning för att säkerställa att passagerarna innan biljettköpet får fullständig och korrekt information om hur deras PNR-uppgifter kommer att användas och ger sitt samtycke till överföringen av dem. c. Ändring av det nuvarande systemet för uppgiftsöverföring, så att de flygbolag som idag ger de amerikanska myndigheterna direkt tillgång till sina databaser istället lämnar över uppgifterna efter att ha filtrerat dem på lämpligt vis. Kommissionen har på detta område redan kommit långt i sina tekniska diskussioner med industrin. Kommissionen kommer att rekommendera att det nya systemet för uppgiftsöverföring snabbt genomförs inom ramen för en EU-politik. d. Utarbetande av en EU-hållning när det gäller användningen av passageraruppgifter, inklusive PNR, i samband med flyg- och gränssäkerhet. e. Inrättande av multilaterala rambestämmelser för överföring av PNR-uppgifter inom den internationella civila flygorganisationen ICAO (International Civil Aviation Organisation). 3. Detaljerad beskrivning av beståndsdelarna i den övergripande EU-strategin 3.1. Resultat av diskussionerna mellan EU och Förenta staterna om överföring av PNR-uppgifter I ett gemensamt uttalandet i februari 2003 förpliktade sig både kommissionen och Förenta staterna att arbeta för att när det gäller överföring av PNR-uppgifter finna en lösning som beaktar båda parternas lagstiftning. Det framgår av den gemensamma förklaringen att en eventuell lösning framför allt skulle innebära att Förenta staterna tillhandahåller ytterligare information och förbättrade förpliktelser, så att kommissionen får möjlighet att i enlighet med artikel 25.6 i dataskyddsdirektivet anta ett beslut där den konstaterar att det finns en adekvat skyddsnivå. Under dessa diskussioner har kommissionens därför huvudsakligen strävat efter att få fram bästa möjliga skyddsstandarder för personliga uppgifter som överförs från EU och införliva dem i en lämplig rättslig ram. Samtidigt har den försökt tillgodose även de andra mål som redan nämnts (att samarbeta med Förenta staterna i kampen mot terrorismen och relaterad brottslighet, att underlätta lagligt resande samt att säkra rättvisa och genomförbara driftsvillkor för flygbolagen inom EU). Den har också försökt undvika att lägga hinder i vägen för utvecklingen av en EU-hållning när det gäller användningen av uppgifter om internationella resenärer till fördel för EU:s egen flyg- och gränssäkerhet, och har därvid också tagit hänsyn till att medlemsstaterna få anta lagstiftning om undantag från vissa dataskyddskrav om detta sker med hänvisning till den nationella säkerheten eller lagtillämpande åtgärder, såsom avses i artikel 13 i dataskyddsdirektivet. Kommissionen hade bett de berörda amerikanska myndigheterna att skjuta upp genomförandet av sina krav tills det att säkra rättsliga ramar för sådana överföringar hade etablerats. Mot bakgrund av Förenta staternas vägran skulle det ha varit politiskt rättfärdigat att insistera på att lagen genomförs på EU:s sida, men det skulle inte ha tjänat ovannämnda syften. Det skulle ha underminerat inflytandet från mer moderata och samarbetsvilliga rådgivare i Washington och det verkliga inflytande vi har som samarbetspartners skulle ha ersatts med en maktkamp. Denna strategi har nu gett resultat. Sedan starten på samarbetsfasen i dessa förhandlingar (markerad genom det gemensamma uttalandet av den 18 februari 2003), har betydande framsteg gjorts i riktning mot ett uppfyllande av ovannämnda mål. I synnerhet har kommissionen förhandlat med Förenta staternas tull- och gränsskyddsmyndighet, CBP (Bureau of Customs and Border Protection) om märkbart förbättrade uppgiftsskyddsarrangemang för PNR-uppgifter som överförs till Förenta staterna. Dessa åtgärder utgör grundvalen för en rättslig ram i form av ett beslut från kommissionen i enlighet med artikel 25.6 i direktiv 95/46/EG, i kombination med ett internationellt avtal som ger flygbolagen rätt att behandla de amerikanska kraven som rättsliga EU-krav [5], och som förpliktar Förenta staterna att bevilja ömsesidighet och säkerställa en "rimlig behandling" av EU-medborgare. [5] Förutom frågan om adekvat skyddsnivå enligt artikel 25 i direktivet, måste man också ta ställning till ett antal rättsliga frågor som följer av artiklarna 4, 6 och 7 i direktivet. Ett beslut varigenom det konstateras att det finns en adekvat skyddsnivå har inga andra syften än just det. Det föreslagna internationella avtalet är därför nödvändigt för att man skall kunna behandla övriga rättsliga frågor. Sedan samtalen inleddes i mars 2003 har kommissionen lyckats erhålla följande förpliktelser från Förenta staternas sida: - Klara gränser för vilken mängd uppgifter som överförs. Uppgifterna kommer endast att röra flygningar till, från eller genom Förenta staterna. Istället för alla uppgifter i PNR är den amerikanska begäran nu begränsad till en sluten förteckning omfattande 34 uppgiftskategorier. I praktiken består de flesta individuella PNR i allmänhet inte av fler än 10 till 15 delar, och Förenta staterna har gett garantier för att de inte kommer att kräva att flygbolagen samlar in ytterligare uppgifter om något av dessa 34 fält skulle vara tomt. - Alla kategorier av känsliga uppgifter enligt definitionen i artikel 8.1 i uppgiftsskyddsdirektivet [6] kommer att utplånas. Kommissionen har erhållit de nödvändiga garantierna från Förenta staterna om att alla personliga uppgifter som rör ras eller etniskt ursprung (t.ex. särskilda preferenser i fråga om livsmedel), hälsa osv. kommer att sorteras bort och utplånas. [6] Enligt artikel 8 i direktivet omfattas särskilda kategorier av uppgifter av ett utökat skydd. Dessa uppgifter definieras i artikel 8.1 som " personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa och sexualliv". - Uppgifternas användningsområden kommer att göras tydligare och betydligt snävare. Förenta staterna har äntligen tillmötesgått kommissionens (och Europaparlamentets) återkommande begäran att användningen skall begränsas till terrorism och brottslighet som är eller kan vara kopplad till terrorism - vilket utesluter "inrikes" brottslighet. - En betydande förbättring har åstadkommits när det gäller uppgifternas förvaringstid. Ursprungligen föreslog Förenta staterna en förvaringstid på 50 år, men har nu gått med på att sänka kravet till tre och ett halvt år. Detta hänger samman med att hela överenskommelsen löper ut efter tre och ett halvt år. Förvaringsperiodens längd är således bunden till överenskommelsens livstid. - Kongressen har krävt att man skulle inrätta en dataskyddsansvarig tjänsteman, CPO (Chief Privacy Officer), under ministeriet för nationens säkerhet, DHS (Department of Homeland Security), vilken årligen ska avlägga rapport till kongressen och vars resultat är bindande för ministeriet. CPO har gått med på att ta emot och snabbt hantera anmälningar som dataskyddsmyndigheter i EU sänder på medborgarnas vägnar om dessa anser att DHS inte har behandlat deras klagomål på ett tillfredsställande vis. EU-medborgarna får därmed en starkare garanti för en rättvis behandling. - CBP har accepterat att tillsammans med en EU-delegation under ledning av kommissionen delta i en årlig gemensam utvärdering av Förenta staternas genomförande av sina åtaganden. Detta kommer att ge en ovärderlig inblick i Förenta staternas löpande praxis och ett medel att kontrollera att amerikanerna följer sina förpliktelser. Utvärderingsprocessen skulle också kunna bli utgångspunkt för ett framtida närmare samarbete med Förenta staterna på detta område. Ministeriet för nationens säkerhet ville att den amerikanska transportsäkerhetsförvaltningens (Transportation Security Administration) CAPPS II-system (Computer Assisted Passenger Pre-Screening System) skulle omfattas av de avtalade rättsliga ramarna. Kommissionen har lyckats motstå denna press med hänvisning till att den kan ta ställning först när de interna amerikanska förfarandena är avslutade och det står klart att kongressen inte längre har några förbehåll när det gäller CAPPS II-systemet och skyddet av privatlivet. CAPPS II kommer därför att behandlas först under en andra förhandlingsrunda. Dessutom har den amerikanska sidan efter förslag från kommissionen godtagit att alla eventuella rättsliga ramar skall tidsbegränsas och endast förlängas om båda sidor är överens om detta. Den överenskomna livstiden för avtalet (konstaterande av adekvat skyddsnivå plus en "lätt" internationell överenskommelse) skall vara tre och ett halvt år. Detta skapar lämpliga villkor så att man kan företa en grundlig utvärdering mot bakgrund av erfarenheterna av avtalets genomförande och senare utveckling; denna utvärdering bör starta ungefär ett år innan avtalet löper ut. Vid det laget kommer EU att ha utarbetat en egen hållning rörande användningen av PNR för transport- och gränssäkerhetsändamål, och den amerikanska debatten om skydd av personuppgifter och privatlivets helgd kan också ha utvecklats. Slutligen kan ett antal multilaterala ramar också ha fastställts då. Kommissionen kommer nu att inleda de förfaranden som är nödvändiga för antagandet av ett beslut enligt artikel 25.6 i direktivet och för ingåendet av ett internationellt avtal. Med hänsyn till de förfaranden som finns fastställda siktar kommissionen på att fullfölja denna process i mars 2004, med förbehåll för att denna tidtabell kommer att kunna hållas endast om alla inblandade samarbetar fullt ut. 3.2. Information till passagerare Kommissionen har med hjälp av dataskyddsmyndigheterna [7] och den amerikanska tull- och gränsskyddsmyndigheten utarbetat en text som nu lämnas till flygbolagen, bl.a. genom IATA, och som skall användas som en modell när det gäller den information som de och/eller deras resebyråer bör tillhandahålla passagerarna före köp av flygbiljetter till Förenta staterna. Man försöker också att samarbeta med flygbolagens datoriserade bokningssystem för att säkerställa en maximal täckning av biljettförsäljningen, särskilt genom resebyråer. [7] Trots att dataskyddsmyndigheterna har konsulterats och trots att många av dess kommentarer har införlivats så har artikel 29-gruppen vägrat att godkänna texten med motiveringen att överföringarna till de Förenade staterna är olagliga och inget bör göras för att dölja detta faktum. Fullständiga, korrekta och aktuella uppgifter är ett viktigt dataskyddskrav i allmänhet, i synnerhet i sådana fall där det krävs samtycke. Den registrerades samtycke betraktas som giltigt endast om vederbörande har mottagit nödvändig information. Enligt rättspraxis och god praxis är dessutom samtycket endast giltigt om den registrerade har ett fritt val. I den nuvarande situationen intog artikel 29-gruppen i yttrande 6/2002 av den 24 oktober 2002 hållningen att samtyckesförfarandet inte kunde användas och att det undantag från kravet om adekvat skyddsnivå som avses i artikel 26.1 a i direktivet (den registrerade har "otvetydigt [...] samtyckt till den planerade överföringen") därför inte utgjorde någon rättsligt godtagbar lösning. Kommission instämmer med åsikten att en rättslig lösning som helt förlitar sig på samtycket skulle vara en dålig lösning ur dataskyddssynpunkt, men anser att information och ett medvetet beslut från passagerarnas sida likväl är en viktig del av hela paketet. 3.3. Utveckling av system för överföring av uppgifter efter filtrering Införandet av system för överföring av uppgifter efter filtrering är en annan viktig del av en övergripande strategi. Sådana system skulle göra det möjligt att i EU kontrollera uppgiftsflödena från flygbolagen eller de datoriserade bokningssystemen till de amerikanska säkerhetsmyndigheterna, och när man väl har enats om vilka uppgifter som är relevanta, att begränsa överföringen till vad som är strängt nödvändigt med hänsyn till säkerheten. Kommissionen är av den uppfattningen att det är nödvändigt att så snabbt som möjligt utveckla och införa lämplig teknik för att filtrera och överföra uppgifterna, och även parlamentet har i sin resolution av den 9 oktober uppmanat kommissionen att "vidta de åtgärder som är nödvändiga för att underlätta genomförandet av databaserade filtersystem". Kommissionen har i flera månader fört en dialog med flygbolagen om införandet av sådana system, och har rådgjort med tekniska experter från många olika organisationer och IT-företag. Flygbolagen är öppna inför tanken att genomföra datorbaserade filtersystem (system som innebär filtrering och därefter överföring av uppgifterna). Kommissionen har gjorts uppmärksam på ett antal möjliga tekniska lösningar, inklusive det österrikiska förslag som Europaparlamentet hänvisar till i sin resolution. Kommissionen hade ett andra tekniskt möte med industriexperter och olika teknikleverantörer den 13 november. Den fick då reda på att dessa system var tekniskt genomförbara, men det är fortfarande oklart hur de bäst skulle kunna genomföras eller övervakas. Det klargjordes också vid det mötet att genomförandet av ett system för överföring av uppgifter inte är tillräckligt för att lösa problemet. Filter skulle också behöva installeras. Dessa filter medför stora kostnader för flygbolagen, vilket betyder att det bör vara ett rättsligt krav att de skall installeras, så att alla flygbolag måste uppfylla samma krav. Flygbolagen har också anfört att de föredrar ett centraliserat system. Det skulle vara svårt att tvinga flygbolagen, även amerikanska sådana, att införa ett sådant system utan hjälp av lagstiftning. Det finns för närvarande ingen EU-lag eller gemenskapspolitik som förpliktar flygbolagen att överföra PNR-uppgifter på detta sätt. En möjlig ram för införandet av ett sådant system skulle kunna vara en gemenskapspolitik rörande insamling av PNR-uppgifter för säkerhets- och/eller migrationsändamål. I linje med den tidtabell som fastställts för utarbetandet av ramarna för politiken på detta område (se avsnitt 3.4) borde man kunna inrätta en plan som gör det möjligt att byta till ett filterbaserat system för uppgiftsöverföring i mitten av 2004. 3.4. Utvecklingen av en EU-hållning när det gäller användningen av PNR-uppgifter Samtalen med länder utanför gemenskapen om överföring av PNR-uppgifter bör kompletteras och om möjligt äga rum efter utarbetandet av en EU-strategi när det gäller användningen av PNR och/eller andra uppgifter om passagerare mer generellt inom unionen. I en sådan strategi måste det finnas en balans mellan olika intressen, i synnerhet mellan legitima säkerhetsintressen och skyddet av grundläggande rättigheter, inklusive skyddet av privatlivet. I detta sammanhang förefaller det som om den begränsning av syftet som man nyligen enats med Förenta staterna om är en god utgångspunkt för att arbeta vidare med en EU-strategi som omfattar både kampen mot terrorismen och organiserad brottslighet med internationella förgreningar. Förteckningen över uppgiftskategorier verkar också tillräckligt omfattande för att tillfredsställa behovet av lagtillämpande åtgärder i EU. Det tycks således inte finnas något i de villkor som avtalats med Förenta staterna som kan få en skadlig inverkan på utvecklandet av en lämplig EU-strategi. Som påpekas i slutet av avsnitt 3.3 finns det också en möjlig förbindelse mellan å ena sidan en framtida EU-politik när det gäller användningen av PNR eller andra uppgifter om passagerare för ändamål som rör säkerhet och lagtillämpande åtgärder och å andra sidan utvecklandet av ett överföringssystem med filter, särskilt om detta sker på centraliserad nivå. En centraliserad struktur inom EU skulle kunna ge de nödvändiga garantierna när det gäller ansvarsskyldighet (uppgifternas riktighet), säkerhet (tekniska möjligheter, filter) och övervakning (t.ex. ett gemensamt övervakningsorgan), såväl som mervärde för liknande initiativ på nationell nivå inom EU. Slutligen bör alla utbyten av uppgifter med de amerikanska myndigheterna baseras på principen om ömsesidighet vid överföringen av uppgifter mellan EU och Förenta staterna, samtidigt som man undersöker möjligheten att samla in och göra en kontrollerad överföring av PNR-uppgifter genom ett centralt europeiskt organ. Utarbetandet av en EU-politik befinner sig fortfarande i ett inledande stadium. För att påbörja utarbetandet av en EU-hållning anordnade kommissionen den 9 oktober 2003 ett expertmöte om PNR, där kommissionstjänstemän samt rättsliga myndigheter och dataskyddsmyndigheter från medlemsstaterna träffades. Ytterligare möten med rättsliga myndigheter är planerade att äga rum under kommande veckor och månader. Diskussionerna kommer att inriktas på för- och nackdelarna med en centraliserad kontaktpunkt för utbyte av uppgifter med länder utanför gemenskapen, förteckningen över uppgifter som kan betraktas som relevanta och nödvändiga, de minimivillkor som krävs för uppgiftsskydd, den allmänna bedömningen av risker och slutligen system för utarbetande av profiler för brottslingar. Avsikten är att lämna ett förslag till ett rambeslut om dataskydd inom rättsligt samarbete i mitten av 2004, vilket betyder att man vill inrätta en hållbar grundval som skall reglera användning av kommersiella uppgifter för rättsliga ändamål, samtidigt som hänsyn tas till dataskyddsintressen i gemenskapslagstiftningen. Ett sådant rambeslut kommer att utgöra grundvalen för inrättandet av en "informationspolitik" för rättsliga myndigheter. Detta kommer att utgöra ryggraden i en förebyggande politik när det gäller organiserad brottslighet och terrorism, särskilt med hänsyn till databehandlingssystemens säkerhet och ömsesidigheten vid uppgiftsutbyte. 3.5. Inrättandet av en multilateral ram för överföring av PNR-uppgifter inom den internationella civila luftfartsorganisationen ICAO (International Civil Aviation Organisation) Överföringen av PNR-uppgifter är ett verkligt internationellt problem, inte bara ett bilateralt sådant. Därför har kommissionen av den uppfattningen att den bästa lösningen skulle vara en multilateral sådan, och att ICAO skulle utgöra den lämpligaste ramen för ett multilateralt initiativ. I september 2003 beslutade kommissionen att påskynda arbetet med att utarbeta en internationell överenskommelse om överföring av PNR-uppgifter inom ICAO. Kommissionen har för detta ändamål utarbetat ett arbetsdokument, och gemenskapen och dess medlemsstater kommer snart att överlämna det till ICAO. Med hänsyn till flygsäkerhet, gränskontroll och krav på skydd av personuppgifter, samt till de många olika initiativ rörande överföring av PNR-uppgifter som tagits bland ICAO:s medlemsstater, kommer detta arbetsdokument att behandla följande aspekter: - Räckvidden för de uppgifter som får användas för dessa ändamål. - Vilken praxis som får tillämpas vid insamling och behandling av sådana uppgifter. - De tekniska aspekterna när det gäller de system som används för insamling, behandling, lagring och överföring av sådana uppgifter. Detta arbetsdokument får naturligtvis inte ligga till hinder för utvecklingen av en EU-politik på detta område (se föregående avsnitt) utan snarare låta sig styras av den. Detta initiativ kommer under alla omständigheter att kräva enighet bland alla parter som deltar i ICAO och kan därför ta tid att slutföra. 4. Kommissionens genomförande av förordning 2299/89 När det gäller förordningen om datoriserade bokningssystem har kommissionen övervakat situationen under flera månader för att få en precis bild av hur det nuvarande systemet för tillgång till uppgifter fungerar ur teknisk synpunkt och i vilken utsträckning de ansvariga för de datoriserade bokningssystemen omfattas av förordning 2299/89 om en uppförandekod för datoriserade bokningssystem. Denna genomgång, vilken avslutades genom ett andra möte med industrin den 13 november 2003, har visat att de ansvariga för de datoriserade bokningssystemen för dessa ändamål kanske behandlar uppgifter såsom underleverantörer till flygbolagen och på deras vägnar, men inte i egenskap av ansvariga för de datoriserade bokningssystemen. Det kommer att bli nödvändigt att klargöra denna aspekt närmare innan slutlig ställning kan tas i fråga om förordningens tillämpbarhet. Eftersom kommissionen har fått in ett klagomål med hänvisning till artikel 11 i förordningen (inledande av förfaranden för att få överträdelser av bestämmelserna i förordningen att upphöra), agerar den dock i enlighet med artikel 12 (befogenhet för kommissionen inhämta alla nödvändiga upplysningar från företag) och har sänt brev till de ansvariga för de datoriserade bokningssystemen och begärt information om huruvida systemleverantörerna uppfyller förordningens bestämmelser om dataskydd. 5. Slutsatser Med hänsyn till de berörda frågornas komplexitet och flerdimensionella natur har kommissionen valt att använda en övergripande strategi när det gäller överföring av PNR-uppgifter, vilken förenar de ovannämnda individuella delar. * Den lägger mycket stor vikt vid att man snabbt inrättar rättsligt säkra ramar för överföring av PNR till det amerikanska ministeriet för nationens säkerhet och dess myndighet för tull och gränsskydd. * Kommissionen föreslår att man på grundval av resultaten av förhandlingarna med de amerikanska myndigheterna och som en del av det åtgärdspaket som utgör den övergripande strategin, inrättar dessa rättsliga ramar i form av ett beslut om konstaterande av en adekvat skyddsnivå i enlighet med artikel 25.6 i dataskyddsdirektivet, åtföljt av ett internationellt avtal med Förenta staterna på grundval av artikel 300.3 första stycket i fördraget. Europaparlamentet kommer att höras när det gäller båda delarna av denna lösning, i båda fallen med lämpliga tidsfrister. * Kommissionen kommer också att fortsätta förhandlingarna med andra länder utanför gemenskapen för att så snabbt som möjligt finna lämpliga lösningar för att avlägsna eventuella problem i form av oförenlighet mellan lagstiftningar. * Kommissionen kommer att fortsätta sitt samarbete med flygbolagen och deras branschorganisationer, såväl som med de ansvariga för de datoriserade bokningssystemen för att säkerställa att passagerarna före biljettköpet får fullständig och korrekt information om hur deras PNR-uppgifter kommer att användas, så att de kan göra ett informerat val. Kommissionen kommer på det bestämdaste att uppmuntra operatörer att på ett systematiskt vis skaffa sig passagerarnas samtycke till att deras uppgifter överförs, så långt som det är möjligt, men anser samtidigt att det är nödvändigt att inrätta en rättslig ram som inte endast bygger på samtycke. Kommissionen vill hänvisa till sin initiativrätt att föreslå en reglering av samtycket på EU-nivå om operatörerna undlåter att genomföra effektiva lösningar inom en rimlig tidsram. * Kommissionen bekräftar åter sitt starka stöd för ett snabbt genomförande av teknik för överföring av uppgifter tillsammans med lämpliga filter när det gäller PNR-uppgifter som lämnas till länder utanför gemenskapen. Den anser att en centraliserad eller grupperad strategi har klara fördelar jämfört med om varje flygbolag självt sköter frågan, både när det gäller effektivitet och kostnader. Den kommer även i fortsättningen att prioritera att tillsammans med industrin undersöka möjligheterna till alternativa lösningar. Om det blir nödvändigt är den beredd att ta lämpliga initiativ för att säkerställa finansiering från befintliga resurser i gemenskapens budget för att stödja utvecklingen av ett sådant system. Kommissionen strävar efter att senast i mitten av 2004 ha funnit en strategi för hur man skall kunna gå vidare i frågan. En av de möjligheter som skulle kunna övervägas kunde vara införandet av ett system för informationsöverföring inom ramen för en överordnad EU-strategi för användningen av passageraruppgifter för gräns- och flygsäkerhetsändamål (se nedan). * Kommissionen kommer att prioritera fortsättningen av de diskussioner som har inletts med medlemsstaterna och andra relevanta parter, t.ex. Europol, för att kunna lägga fram ett första förslag i mitten av 2004, där den drar upp huvudlinjerna för en EU-strategi för användningen av passageraruppgifter för gräns- och flygsäkerhetsändamål och andra lagtillämpande åtgärder. Dessa politiska ramar måste bygga på en balans mellan säkerhetsintressen å ena sidan och uppgiftsskydd och andra medborgerliga friheter å andra sidan. * Kommissionen inleder ett internationellt initiativ rörande överföring av PNR-uppgifter i ICAO:s regi. Ett förslag om detta kommer att lämnas till rådet.