9.2.2012   

SV

Europeiska unionens officiella tidning

C 35/16

1.

Den 28 november 2011 antog kommissionen ett förslag till rådets beslut om ingående av avtalet mellan Amerikas förenta stater och Europeiska unionen om användning och överföring av passageraruppgifter till Förenta staternas Department of Homeland Security (3) (nedan kallat ”avtalet”).

2.

Den 9 november 2011 rådfrågades Europeiska datatillsynsmannen informellt om utkastet till förslag i samband med en snabbehandling. Den 11 november 2011 lämnade Europeiska datatillsynsmannen ett antal begränsade synpunkter. Syftet med detta yttrande är att komplettera dessa synpunkter med hänsyn till detta förslag och offentliggöra dem. Detta yttrande bygger på ett antal tidigare interventioner från Europeiska datatillsynsmannen och artikel 29-arbetsgruppen när det gäller PNR.

3.

Syftet med avtalet är att ge en solid rättslig grund för överföringen av PNR-uppgifter från EU till Förenta staterna. I dagsläget bygger överföringen på avtalet från 2007 (4) eftersom parlamentet beslutade sig för att skjuta upp sin omröstning om godkännande tills hänsyn har tagits till uppgiftsskyddsaspekterna. Bland annat hänvisade parlamentet i sin resolution av den 5 maj 2010 (5) till följande krav:

4.

Det aktuella avtalet måste övervägas inom ramen för den övergripande strategin för PNR, som innefattar förhandlingar med andra tredjeländer (dvs. Australien (8) och Kanada (9)), och ett förslag till ett PNR-system på EU-nivå (10). Dessutom faller avtalet inom ramen för de pågående förhandlingarna om ett avtal mellan EU och Förenta staterna om utbyte av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete (11). Sett i ett större sammanhang har avtalet paraferats några få veckor före det förväntade antagandet av förslagen till översyn av den allmänna ramen för dataskydd (12).

5.

Europeiska datatillsynsmannen välkomnar denna övergripande strategi som syftar till att skapa en sammanhängande rättslig ram för PNR-avtal som är i linje med EU:s rättsliga krav men beklagar att denna tidsplan i praktiken inte medger att överensstämmelsen mellan dessa avtal och EU-reglerna för dataskydd säkerställs. Datatillsynsmannen vill också påminna om att det allmänna avtalet mellan EU och Förenta staterna om utbyte av uppgifter bör vara tillämpligt på PNR-avtalet mellan EU och Förenta staterna.

6.

Enligt Europeiska unionens stadga om de grundläggande rättigheterna måste varje begränsning av de grundläggande rättigheterna och friheterna vara nödvändig, proportionerlig och föreskriven i lag. Såsom Europeiska datatillsynsmannen har påpekat vid upprepade tillfällen (13), liksom artikel 29-arbetsgruppen (14), har nödvändighet och proportionalitet hittills inte visats vare sig för PNR-systemen eller för huvuddelen av de gruppvisa överföringarna av PNR-uppgifter till tredjeländer. Europeiska ekonomiska och sociala kommittén och byrån för grundläggande rättigheter instämmer i detta påpekande (15). De särskilda synpunkterna nedan påverkar inte denna preliminära och grundläggande iakttagelse.

7.

Detta avtal har förbättrats på vissa punkter jämfört med avtalet från 2007 och innefattar adekvata garantier för dataskydd och tillsyn, men ingen hänsyn har tagits till de huvudsakliga betänkligheter som tas upp i ovannämnda yttranden och inte heller har de villkor uppfyllts som Europaparlamentet kräver för att ge sitt godkännande (16).

8.

Enligt artikel 4.1 i avtalet behandlar Förenta staterna PNR-uppgifter i syfte att förebygga, upptäcka, utreda och lagföra a) terroristbrott och därmed förknippade brott och b) andra brott som leder till fängelsestraff i minst tre år och som är av gränsöverskridande natur. Vissa av dessa begrepp definieras närmare.

9.

Definitionerna är mer precisa än i avtalet från 2007, men det finns fortfarande vaga begrepp och undantag som skulle kunna åsidosätta ändamålsbegränsningen och undergräva rättssäkerheten. Särskilt gäller följande:

10.

Bilaga I till avtalet innehåller 19 typer av uppgifter som kommer att skickas till Förenta staterna. De flesta av dessa innefattar dessutom olika kategorier av uppgifter och är identiska med datafälten i avtalet från 2007, vilket Europeiska datatillsynsmannen och artikel 29-arbetsgruppen redan då ansåg vara oproportionerligt (18).

11.

Detta gäller särskilt fältet ”Allmänna anmärkningar, inklusive OSI-information (19), SSI-information (20) och SSR (21)-information”, där uppgifter om religiös övertygelse (t.ex. önskemål om kost) eller hälsa (t.ex. begäran om rullstol) kan avslöjas. Sådana känsliga uppgifter bör uttryckligen uteslutas från förteckningen.

12.

Vid bedömningen av förteckningens proportionalitet bör hänsyn även tas till att dessa kategorier på grund av den avancerade överföringen (artikel 15.3 i avtalet) inte bara gäller faktiska passagerare utan även den som i slutänden inte flyger (t.ex. på grund av avbokningar).

13.

Dessutom kan förekomsten av obegränsade fält undergräva rättssäkerheten. Kategorier som ”all tillgänglig kontaktinformation”, ”all bagageinformation” och ”allmänna anmärkningar” bör definieras närmare.

14.

Därför bör förteckningen inskränkas. Europeiska datatillsynsmannen anser i linje med yttrandet från artikel 29-arbetsgruppen (22) att uppgifterna bör begränsas till följande: PNR-postens lokaliseringskod, datum för bokning, planerat/planerade resdatum, passagerarens namn, andra namn bland PNR-uppgifterna, alla resrutter, identifiering av fribiljetter, biljetter för enkel resa, biljettinformation, ATFQ (automatiska biljettprisuppgifter), biljettnummer, datum för utfärdande av biljett, passagerare som tidigare inte har checkat in (no show), antal kollin, bagagelappsnummer, passagerare som tidigare har checkat in utan bokning (go show), antal kollin på varje sträcka, frivilliga/ofrivilliga uppgraderingar, ändringshistorik för PNR-uppgifter avseende ovannämnda poster.

15.

Enligt artikel 6 i avtalet ska DHS använda automatiska system för att filtrera och maskera känsliga uppgifter, men uppgifterna kommer att lagras i minst 30 dagar och kan användas i särskilda fall (artikel 6.4). Europeiska datatillsynsmannen skulle vilja betona att dessa uppgifter förblir ”känsliga” även efter att de har ”maskerats” och hänför sig till identifierbara fysiska personer.

16.

Såsom redan påpekats av Europeiska datatillsynsmannen bör DHS inte behandla känsliga uppgifter om EU-medborgare, även om uppgifterna är maskerade vid mottagandet. Datatillsynsmannen rekommenderar att det i avtalstexten anges att lufttrafikföretag inte ska överföra känsliga uppgifter till DHS.

17.

Enligt artikel 8 kommer PNR-uppgifter att lagras i upp till fem år i en aktiv databas och därefter överföras till en vilande databas för en period på upp till tio år. Denna maximala lagringstid på 15 år är uppenbart oproportionerlig, oavsett om uppgifterna lagras i aktiva eller vilande databaser, vilket redan har betonats av Europeiska datatillsynsmannen och artikel 29-arbetsgruppen.

18.

Enligt artikel 8.1 ska uppgifterna göras anonyma och maskeras sex månader efter att de har mottagits av DHS. Både ”maskerade” uppgifter och uppgifter som lagras i en ”vilande databas” är dock fortfarande personuppgifter så länge de inte anonymiseras. Därför bör uppgifterna anonymiseras (oåterkalleligen) eller raderas omedelbart efter analys eller efter högst sex månader.

19.

Europeiska datatillsynsmannen välkomnar artikel 15.1, som anger att sändmetoden ska användas för överföring av uppgifter, men enligt artikel 15.5 måste lufttrafikföretagen i särskilda undantagsfall låta DHS ”få tillgång till uppgifterna”. För att definitivt utesluta att systemet med ”pull” används, och med tanke på de betänkligheter som nyligen togs upp på nytt av artikel 29-arbetsgruppen (23), rekommenderar Europeiska datatillsynsmannen starkt att avtalet uttryckligen förbjuder möjligheten för amerikanska tjänstemän att separat få tillgång till uppgifter via ett system med ”pull”.

20.

Antal och periodicitet för överföringarna från lufttrafikföretag till DHS bör definieras i avtalet. För att öka rättssäkerheten bör det även definieras närmare vilka villkor som måste uppfyllas för att ytterligare överföringar ska tillåtas.

21.

Europeiska datatillsynsmannen välkomnar avtalets artikel 5, om datasäkerhet och integritet, framför allt skyldigheten att underrätta berörda enskilda vid en incident som gäller integritet. Däremot bör följande element förtydligas för underrättelse om incidenter som rör integritet:

22.

Europeiska datatillsynsmannen stödjer skyldigheten att loggföra eller dokumentera all åtkomst till och behandling av PNR-uppgifter eftersom detta medger kontroll av såväl att DHS använder PNR-uppgifter korrekt som huruvida otillåtet tillträde till systemet har förekommit.

23.

Europeiska datatillsynsmannen välkomnar att efterlevnaden av de bestämmelser som garanterar integritet i avtalet kommer att omfattas av oberoende granskning och tillsyn av ministeriets uppgiftsskyddsansvariga, t.ex. DHS högste dataskyddsansvarig, såsom anges i artikel 14.1. Men för att säkerställa att de registrerades rättigheter tas till vara effektivt bör Europeiska datatillsynsmannen och de nationella dataskyddsmyndigheterna samarbeta med DHS om förfaranden och metoder för utövandet av dessa rättigheter (24). Europeiska datatillsynsmannen skulle välkomna en hänvisning till detta samarbete i avtalet.

24.

Europeiska datatillsynsmannen stödjer helhjärtat rätten till prövning oavsett nationalitet, ursprungsland eller bostadsort som fastställs i andra stycket i artikel 14.1. Däremot beklagar han att det i artikel 21 uttryckligen anges att avtalet enligt amerikansk lagstiftning inte ska ligga till grund för några rättigheter eller förmåner för några privata eller offentliga personer eller enheter. Även om rätten till rättslig prövning beviljas i Förenta staterna enligt avtalet kan en sådan rätt inte motsvara rätten till effektiv rättslig prövning i EU, särskilt inte i ljuset av den begränsning som anges i artikel 21.

25.

Artikel 16 i avtalet förbjuder överföring av uppgifter till myndigheter i Förenta staterna som inte behandlar PNR-uppgifterna i enlighet med skyddsåtgärder som ”motsvarar eller är jämförbara med” skyddsåtgärderna i avtalet. Datatillsynsmannen välkomnar denna bestämmelse. Förteckningen över myndigheter som får ta emot PNR-uppgifter bör dock specificeras ytterligare. När det gäller internationella överföringar föreskriver avtalet att sådana förutom i krislägen endast ska äga rum om mottagarens planerade användning är förenlig med avtalet och det visas att ett skydd av personuppgifter garanteras som är ”jämförbart” med det avtalet ger.

26.

När det gäller begreppen ”jämförbar” och ”motsvarande” som används i avtalet skulle Europeiska datatillsynsmannen vilja betona att ingen nationell eller internationell vidareöverföring från DHS bör äga rum annat än om mottagarna visar att garantier tillämpas för skydd av personuppgifter som inte är mindre strikta än de som fastställs i detta avtal. Det bör också klargöras i avtalet att överföring av PNR-uppgifter ska göras från fall till fall och att det ska säkerställas att endast nödvändiga uppgifter överförs till relevanta mottagare. Inga undantag bör tillåtas. Dessutom rekommenderar Europeiska datatillsynsmannen att överföring av uppgifter till tredjeländer bör vara föremål för förhandsgodkännande av domstol.

27.

Enligt artikel 17.4 gäller att om DHS får kännedom om att uppgifter om en medborgare eller person som är bosatt i en medlemsstat överförs ska de behöriga myndigheterna i den berörda medlemsstaten informeras om detta snarast möjligt. Detta villkor bör strykas, eftersom DHS alltid bör ha kännedom om vidareöverföringar till tredjeländer.

28.

Det framgår inte klart vilken juridisk form som Förenta staterna valt för att ingå detta avtal och hur avtalet kommer att bli rättsligt bindande i Förenta staterna. Detta bör klargöras.

29.

I artikel 20.2 tas sambandet med ett eventuellt PNR-system för EU upp. Europeiska datatillsynsmannen noterar att samråden om anpassning av detta avtal särskilt ska undersöka huruvida framtida EU-system för PNR-uppgifter skulle tillämpa mindre stränga normer för uppgiftsskydd än de som föreskrivs i detta avtal. Eventuella anpassningar bör också (och särskilt) ta hänsyn till strängare normer i ett eventuellt framtida PNR-system så att överensstämmelse säkerställs.

30.

Avtalet bör också ses över med hänsyn till den nya ramen för dataskydd och till ett eventuellt ingående av ett allmänt avtal mellan EU och Förenta staterna om utbyte av personuppgifter inom ramen för polissamarbete och straffrättsligt samarbete. En ny bestämmelse motsvarande artikel 20.2 skulle kunna läggas till som anger att om och när en ny rättslig ram för dataskydd antas i EU eller ett nytt avtal om utbyte av uppgifter mellan EU och Förenta staterna ingås ska parterna samråda för att fastställa huruvida avtalet behöver ändras i konsekvens med detta. Vid detta samråd ska man särskilt undersöka huruvida framtida ändringar av EU:s rättsliga ram för dataskydd eller eventuella framtida avtal om dataskydd mellan EU och Förenta staterna skulle tillämpa starkare garantier för dataskydd än dem som fastställs i detta avtal.

31.

När det gäller översynen av avtalet (artikel 23) anser Europeiska datatillsynsmannen att de nationella dataskyddsmyndigheterna uttryckligen bör inkluderas i översynsgruppen. Översynen bör också inriktas på bedömning av åtgärdernas nödvändighet och proportionalitet och ett effektivt utövande av de registrerades rättigheter samt inbegripa kontroll av hur de registrerades begäranden behandlas i praktiken, särskilt när ingen direkt åtkomst är tillåten. Frekvensen för översyner bör anges.

32.

Europeiska datatillsynsmannen välkomnar de garantier för datasäkerhet och tillsyn som föreskrivs i avtalet och förbättringarna jämfört med avtalet från 2007. Många betänkligheter kvarstår dock, särskilt när det gäller sambandet med den övergripande strategin för PNR, ändamålsbegränsningen, vilka kategorier av uppgifter som ska överföras till DHS, behandlingen av känsliga uppgifter, lagringsperioden, undantag från sändmetoden, de registrerades rättigheter och vidareöverföring av uppgifter.

33.

Dessa iakttagelser påverkar inte kraven på nödvändighet och proportionalitet för varje legitimt PNR-system och PNR-avtal om gruppöverföring av PNR-uppgifter från EU till tredjeländer. Såsom Europaparlamentet upprepar i sin resolution av den 5 maj gäller att nödvändighet och proportionalitet är grundläggande principer och att utan dem kan kampen mot terrorismen aldrig bli effektiv.