7.12.2013

Europeiska unionens officiella tidning

C 358/19

Sammanfattning av Europeiska datatillsynsmannens yttrande om kommissionens förslag till förordning om rapportering av händelser inom civil luftfart och om upphävande av direktiv 2003/42/EG, kommissionens förordning (EG) nr 1321/2007, kommissionens förordning (EG) nr 1330/2007 och artikel 19 i förordning (EU) nr 996/2010

(Den fullständiga texten i detta yttrande finns på engelska, franska och tyska på Europeiska datatillsynsmannens webbplats http://www.edps.europa.eu)

2013/C 358/11

1. Inledning

1.1 Samråd med Europeiska datatillsynsmannen

Den 18 december 2012 antog kommissionen ett förslag till förordning om rapportering av händelser inom civil luftfart och om upphävande av direktiv 2003/42/EG, kommissionens förordning (EG) nr 1321/2007, kommissionens förordning (EG) nr 1330/2007 och artikel 19 i förordning (EU) nr 996/2010 (nedan kallat förslaget) (1). Förslaget sändes till Europeiska datatillsynsmannen för samråd den 8 januari 2013.

2.	Europeiska datatillsynsmannen välkomnar att kommissionen rådfrågar honom och att en hänvisning till detta yttrande införs i inledningen till förslaget. Innan förslaget antogs fick Europeiska datatillsynsmannen tillfälle att lämna informella kommentarer till kommissionen.

1.2 Förslagets mål och omfattning

De tre instrument som ska upphävas genom förslaget organiserar rapportering av händelser på följande sätt: i direktiv 2003/42/EG (2) krävs att alla medlemsstater inrättar ett system för obligatorisk rapportering av händelser. Enligt denna lagstiftning är yrkesverksamma inom luftfarten skyldiga att rapportera händelser (3) som inträffar i deras dagliga operativa arbete via det system som deras organisation (4) inrättat. Medlemsstaterna ska dessutom samla in, lagra, skydda och sinsemellan sprida information om händelser. Två tillämpningsbestämmelser kompletterar lagstiftningen: kommissionens förordning (EG) nr 1321/2007 (5), genom vilken ett europeiskt centralt upplag inrättas om alla händelser inom civil luftfart som medlemsstaterna samlat in, och kommissionens förordning (EG) nr 1330/2007 (6), som innehåller bestämmelser för spridning av upplagets information.

Förslaget bygger på direktiv 2003/42/EG och ska förbättra det befintliga systemet för rapportering av händelser inom civilflyget på både nationell och europeisk nivå. Bland annat föreslås följande ändringar:

—	Säkerställande av att alla relevanta händelser rapporteras och att de rapporterade och lagrade händelserna är fullständiga och av hög kvalitet.

—	Komplettering av det obligatoriska systemet med ett frivilligt rapporteringssystem.

—	Krav på att inte bara medlemsstater utan även organisationer rapporterar händelser och organiserar överföringen av dessa rapporter till det centrala upplaget.

—	Främjande av rapporteringen genom ett harmoniserat skydd mot att enskilda som rapporterar händelser bestraffas av överordnade eller riskerar åtal.

—	Säkerställande av lämplig tillgång till information i det centrala upplaget.

1.3 Syftet med Europeiska datatillsynsmannens yttrande

Av förslaget följer att händelser kommer att rapporteras av anställda till respektive organisation som sedan lagrar informationen i en databas och rapporterar den till nationella behöriga myndigheter eller till den europeiska byrån för flygsäkerhet (Easa). Dessa myndigheter kommer att tillsammans med Easa och kommissionen överföra information om händelser inom civil luftfart till det centrala upplaget som förvaltas av kommissionen. Kommissionen kommer dessutom att behandla uppgifter om parter som begär tillgång till information som lagras i det centrala upplaget.

Europeiska datatillsynsmannen inser att syftet med förslaget inte är att reglera behandlingen av personuppgifter. Den information som ska lagras, rapporteras och överföras kan emellertid gälla fysiska personer som antingen direkt eller indirekt är identifierbara, såsom uppgiftslämnare, tredje parter som är inblandade i den rapporterade händelsen och berörda parter som ansöker om tillträde (7). Den rapporterade informationen kan innehålla tekniska problem men även exempelvis information om våldsamma passagerare, inkompetent besättning eller sjukdomsfall (8).

7.	I detta yttrande analyseras därför de avsnitt i förslaget som gäller behandling av personuppgifter. Det bygger på ett tidigare yttrande från Europeiska datatillsynsmannen (9) om en av de förordningar som upphävs genom förslaget (10).

4. Slutsatser

46.

Europeiska datatillsynsmannen välkomnar att skyddet av personuppgifter uppmärksammas, särskilt genom åtagandet att ”anonymisera” en stor del av de uppgifter som behandlas vid händelserapportering. Han erinrar emellertid om att de behandlade uppgifterna fortfarande är personuppgifter och välkomnar därför hänvisningen till tillämpningen av EU:s lagstiftning om uppgiftsskydd. Det som åstadkoms innebär i bästa fall en partiell avidentifiering.

47.

Europeiska datatillsynsmannen rekommenderar att omfattningen av ”anonymisering” klargörs. Han föreslår framför allt följande förbättringar av texten:

—

I förordet bör det klargöras att anonymisering i den mening som avses i förslaget är relativ och inte motsvarar fullständig avidentifiering. I enlighet med ovannämnda rekommendationer bör det i inledningen också förklaras att anonymisering och fullständiga avidentifieringsåtgärder måste tillämpas i olika sammanhang.

—	I artikel 16 bör det specificeras att uppgifter som är tillgängliga för oberoende operatörer också bör anonymiseras eller raderas så snart som möjligt om det inte är motiverat att lagra uppgifterna, exempelvis för att uppfylla andra rättsliga skyldigheter för organisationen.

—	I syfte att klargöra omfattningen av anonymiseringen rekommenderar Europeiska datatillsynsmannen att ”personuppgifter” i artikel 16.1 och 16.2 ersätts med ”personliga upplysningar” och lägga till en hänvisning till möjligheten med identifiering genom tekniska detaljer, i enlighet med artikel 2.1

—

Artikel 5.6 innebär att medlemsstater och organisationer får inrätta andra rapporteringssystem. Det bör specificeras att denna information också bör anonymiseras. Europeiska datatillsynsmannen rekommenderar att det i artikel 16.2 klargörs att personuppgifter vid insamling av säkerhetsinformation och i system för behandling av uppgifter som inrättats i enlighet med artikel 5.6 också bör anonymiseras.

—	I artikel 13.10 bör det specificeras att informationen bör avidentifieras (11) innan den offentliggörs.

—

I artikel 11.4 bör det specificeras att information som gjorts tillgänglig för de berörda parter som anges i bilaga III och inte rör deras egen utrustning, eget arbete eller eget verksamhetsområde inte bara bör slås samman och anonymiseras, enligt kravet i artikel 11.4, utan även avidentifieras fullständigt.

48.

Europeiska datatillsynsmannen rekommenderar att det i förslaget anges vem som ska kontrollera respektive databas. Han rekommenderar även att det i bilaga I och II och i artikel 5.6 definieras alla kategorier uppgifter som ska behandlas och att artikel 7.1 och 11.1 förtydligas i enlighet med detta. Om det inte är möjligt att specificera samtliga händelser och uppgiftsområden som ska behandlas enligt artikel 7.1, 5.3, 5.6 och 11.1 bör det i dessa artiklar åtminstone anges att kompletterande information som inte krävs i förslaget inte ska innehålla särskilda uppgiftskategorier enligt definitionen i artikel 8 i direktiv 95/46/EG och artikel 10 i förordning (EG) nr 45/2001 (”känsliga uppgifter”):

49.	Europeiska datatillsynsmannen rekommenderar också att det specificeras hur länge uppgifter ska lagras i databaserna, vilka rättigheter de har som omfattas av uppgifterna och vilka säkerhetsåtgärder som måste genomföras.

50.

Vid överföring till organisationer i tredje land eller internationella organisationer bör dessa förbinda sig att respektera fullgoda garantier i ett bindande instrument. Dessa garantier kan baseras på principerna om uppgiftsskydd i standardavtalsklausulerna för överföring av personuppgifter till tredje land som antagits av kommissionen och kan läggas till i förslagets bilaga.

51.

När det gäller behandlingen av uppgifter från berörda parter som begär tillträde till det centrala upplaget rekommenderar datatillsynsmannen att det i förslaget specificeras vilka åtgärder för uppgiftsskydd som ska gälla för behandling av uppgifter rörande tredje part (till exempel hur länge uppgifterna kommer att lagras efter att tillträde beviljats eller förvägrats och vem som har tillträde till dessa uppgifter). Blanketten i bilaga IV bör dessutom, utöver uppgiften om tillträde till information (12), även innehålla ett meddelande om skydd av personuppgifter.

52.

Avslutningsvis bör behovet av att behandla känsliga uppgifter på grund av något av de skäl som anges i artikel 8.2-4 i direktiv 95/46/EG och artikel 10.2-4 i förordning (EG) nr 45/2001 motiveras i förordet. Europeiska datatillsynsmannen rekommenderar även att kompletterande garantier ska antas för behandling av särskilda kategorier uppgifter, såsom striktare säkerhetsåtgärder, förbud mot att avslöja närliggande uppgiftskategorier till tredje part som inte omfattas av EU:s lagstiftning och uppgiftsskydd och begränsat avslöjande av uppgifter till andra berörda parter. Behandling av dessa uppgiftskategorier kan dessutom omfattas av kontroll i förväg av EU:s nationella myndigheter för dataskydd och av Europeiska datatillsynsmannen.

Utfärdat i Bryssel den 10 april 2013.

Giovanni BUTTARELLI

Biträdande Europeisk datatillsynsman

(1) COM(2012) 776 final.

(2) Europaparlamentets och rådets direktiv 2003/42/EG av den 13 juni 2003 om rapportering av händelser inom civil luftfart (EUT L 167, 4.7.2003, s. 23).

(3) Händelse är varje betydande flygsäkerhetshändelse, inbegripet tillbud, olyckor och allvarliga tillbud (se artikel 2.8 i förslaget).

(4) ”Organisation” definieras i förslaget som ”en organisation som tillhandahåller luftfartsprodukter och/eller luftfartstjänster och som särskilt omfattar luftfartygsoperatörer, godkända underhållsorganisationer, organisationer som ansvarar för typkonstruktion och/eller tillverkning av luftfartyg, leverantörer av flygtrafiktjänster och certifierade flygplatser” (se artikel 2.9 i förslaget).

(5) Kommissionens förordning (EG) nr 1321/2007 av den 12 november 2007 om genomförandebestämmelser för att i ett centralt upplag integrera information om händelser inom civil luftfart (EUT L 294, 13.11.2007, s. 3).

(6) Kommissionens förordning (EG) nr 1330/2007 av den 24 september 2007 om genomförandebestämmelser för spridning till berörda parter av information om händelser inom civil luftfart (EUT L 295, 14.11.2007, s. 7).

(7) När det gäller personuppgifter se särskilt avsnitt 3.1.

(8) Se bilaga I i förslaget ”Förteckning över tillbud som ska rapporteras enligt systemet för obligatorisk rapportering av händelser”.

(9) Se Europeiska datatillsynsmannens yttrande om förslaget till Europaparlamentets och rådets förordning om utredning och förebyggande av olyckor och tillbud inom civil luftfart (EUT C 132, 21.5.2010, s. 1).

(10) Europaparlamentets och rådets förordning (EU) nr 996/2010 av den 20 oktober 2010 om utredning och förebyggande av olyckor och tillbud inom civil luftfart och om upphävande av direktiv 94/56/EG Text av betydelse för EES (EUT L 295, 12.11.2010, s. 35).

(11) Det innebär att se till att enskilda inte kan identifieras, med beaktande av alla sätt som kontrollanten eller en annan person rimligen kan antas använda.

(12) Punkt 7 i bilaga IV.