DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYT- TELSE
DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYT- TELSE
Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til Rådets afgørelse om indgåelse af en aftale mellem Det Europæiske Fællesskab og Canadas regering om behandling af forhåndsinformation om passagerer (API — Advance Passenger Information) og passagerlisteoplys- ninger (PNR — Passenger Name Record) (KOM(2005) 200 endelig)
(2005/C 218/06)
DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE,
som henviser til traktaten om oprettelse af Det Europæiske Fællesskab, særlig artikel 286, som henviser til EU-chartret om grundlæggende rettigheder, særlig artikel 8,
som henviser til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplys- ninger,
som henviser til Europa-Parlamentets og Rådets forordning (EF) nr. 45/2001 af 18. december 2000 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i fællesskabsinstitutio- nerne og -organerne og om fri udveksling af sådanne oplysninger, særlig artikel 41, og
som henviser til anmodning om udtalelse fra Kommissionen, jf. artikel 28, stk. 2, i forordning (EF) nr. 45/2001, modtaget den 26. maj 2005,
HAR VEDTAGET FØLGENDE UDTALELSE:
1. Indledning
1. Den tilsynsførende glæder sig over at blive hørt på grundlag af artikel 28, stk. 2, i forordning (EF) nr. 45/2001. Dette bekræfter den tilsynsførendes synspunkt, som det fremgår af hans politikpapir af 18. marts 2005 (»Den Europæiske Tilsynsførende for Databeskyttelse som rådgiver for EF-insti- tutionerne i forbindelse med lovgivningsforslag og dokumenter i den forbindelse«), at hans rådgiv- ningsopgave også omfatter indgåelse af aftaler mellem EF og tredjelande og/eller internationale organisationer, når det drejer sig om behandling af personoplysninger.
2. Under hensyn til den bindende karakter af artikel 28, stk. 2, i forordning (EF) nr. 45/2001 bør denne udtalelse nævnes i præamblen til Rådets afgørelse.
3. Det fremgår af betragtningerne i den foreliggende aftale mellem Det Europæiske Fællesskab og Canada, at den tager hensyn til en kommissionsafgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46/EF, ifølge hvilken den relevante canadiske kompetente myndighed anses for at sikre et tilstrækkeligt beskyttelsesniveau for API/PNR-oplysninger (i det følgende benævnt »Kommissionens afgørelse«). Den tilsynsførende er af den opfattelse, at Kommissionens afgørelse også burde have været sendt til høring, da den er en del af den fælles lovpakke.
4. Dette er det andet forslag i rækken efter aftalen af 17. maj 2004 (1) mellem Det Europæiske Fællesskab og USA, som Parlamentet bestrider lovligheden af i medfør af EF-traktatens artikel
230. I sin intervention for Domstolen støttede den tilsynsførende Parlamentets konklusioner, dvs. at aftalen skulle annulleres.
2. Aftalens substans
5. Forslaget til aftale ligner meget aftalen med USA. Der henvises til en kommissionsafgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46/EF, formålet er at forbedre den offentlige sikkerhed, og luftfartsselskaberne er forpligtet til at overføre oplysninger til et tredjeland.
6. Hvad angår substansen er der imidlertid vigtige forskelle, således som det er blevet bemærket i to udtalelser fra Gruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Per- sonoplysninger (Artikel 29-Gruppen) (2). Den tilsynsførende fremhæver fire væsentlige forskelle, der spiller en rolle i hele denne udtalelse. For det første indeholder forslaget et push-system (og ikke et pull-system), hvilket betyder, at luftfartsselskaberne i EF kan kontrollere overførslen af oplysninger til de canadiske myndigheder. For det andet er de forpligtelser, som de canadiske myndigheder påtager sig, bindende (artikel 2, stk. 1, i aftalen), hvilket bidrager til et mere afba- lanceret forslag sammenlignet med aftalen med USA. For det tredje er listen over de PNR-oplys- ninger, der skal overføres, mere begrænset og omfatter ikke »åbne kategorier« af passageroplys- ninger, der kan afsløre følsomme oplysninger. For det fjerde er aftalen baseret på en meget mere udviklet databeskyttelseslovgivning, der yder de registrerede beskyttelse, bl.a. tilsyn fra en uafhængig datatilsynsmyndighed. Den canadiske lovgivning yder imidlertid ikke EU-borgere fuld beskyttelse. De canadiske myndigheder har givet tilsagn om at prøve at finde en løsning for EU- borgerne.
3. Virkningerne af direktiv 95/46/EF
7. Ifølge direktiv 95/46/EF falder overførsel af oplysninger til et tredjeland ind under behandlingen af personoplysninger, der i direktivets artikel 2, litra b), defineres som »enhver operation eller række af operationer, som personoplysninger gøres til genstand for«. Dette betyder, at direktivets kapitel II (»Almindelige betingelser for lovlig behandling af personoplysninger«) gælder for sådanne overførsler. Formålet med direktivets artikel 25 er i den forbindelse at yde ekstra beskyt- telse i tilfælde af overførsel til et tredjeland, eftersom oplysningerne ikke længere hører under en medlemsstats jurisdiktion fra det øjeblik, hvor overførslen finder sted.
8. Forslaget til aftale med Canada set i sammenhæng med Kommissionens afgørelse forpligter luft- fartsselskaberne til at overføre oplysninger til Canada. Det vil skulle klarlægges, om denne forplig- telse hindrer dem i at opfylde de forpligtelser, de pålægges ved den nationale lovgivning til gennemførelse af direktiv 95/46/EF, særlig kapitel II, og om den derved får indflydelse på direkti- vets effektivitet.
9. Ifølge forslagets artikel 5 skal europæiske luftfartsselskaber behandle de API/PNR-oplysninger, der opbevares i deres automatiske reservationssystemer og afgangskontrolsystemer, på den måde, der kræves af de kompetente canadiske myndigheder i overensstemmelse med den canadiske lovgiv- ning. Der står ikke noget i forslaget om, at fællesskabslovgivningen og nærmere bestemt reglerne om behandling af personoplysninger i kapitel II i direktiv 95/46/EF finder anvendelse. I mangel af en sådan bestemmelse kan luftfartsselskaberne være forpligtet til at behandle oplysninger, også selv om dette ikke er i fuld overensstemmelse med kapitel II i direktiv 95/46/EF. De er kun forpligtet til at handle i overensstemmelse med substansbestemmelserne i canadisk lovgivning.
(1) Sag C-317/04, der verserer for Domstolen.
(2) Dette er en uafhængig rådgivende gruppe bestående af repræsentanter for medlemsstaternes databeskyttelsesmyndig- heder, den tilsynsførende og Kommissionen, der er nedsat ved direktiv 95/46/EF. Den tilsynsførende henviser til udta- lelse 3/2004 af 11. februar 2004 og udtalelse 1/2005 af 19. januar 2005 om det beskyttelsesniveau, der sikres i Canada for så vidt angår passagerlisteoplysninger og forhåndsinformation om passagerer, der overføres fra luftfarts- selskaberne.
10. Selv om der — som nævnt ovenfor og som udbygget nedenfor — findes en veludviklet databe- skyttelseslovgivning i Canada, og der ikke er den mindste grund til at tro, at den canadiske data- beskyttelseslovgivning vil være til alvorlig skade for EF-registreredes interesser, er der på den anden side heller ingen grund til at formode, at den canadiske lovgivning til fulde overholder alle bestemmelserne i kapitel II i direktiv 95/46/EF. En sådan formodning kan ikke udledes af aftalen og heller ikke af begrundelsen. Det taler også imod denne formodning, at de canadiske myndig- heder ikke er bundet af EF-Domstolens eventuelle (fremtidige) fortolkning af direktivet, og det kan heller ikke sikres, at senere ændringer i canadisk lovgivning (eller canadiske retters nyfortolk- ninger) er i overensstemmelse med EF-lovgivningen.
11. På grundlag af denne analyse konkluderer den tilsynsførende, at aftalen medfører en ændring af direktiv 95/46/EF. Af denne grund — og uafhængigt af, om de registreredes interesser skades i væsentligt omfang — bør der i overensstemmelse med EF-traktatens artikel 300, stk. 3, indhentes samstemmende udtalelse fra Europa-Parlamentet.
12. Det bemærkes i den forbindelse, at den tilsynsførende generelt finder, at institutionelle spørgsmål falder uden for hans ansvarsområde. I det foreliggende tilfælde tager den tilsynsførende imidlertid stilling til et institutionelt spørgsmål, eftersom tilsidesættelse af Parlamentets prærogativer fører til en ændring af direktivet og derved får konsekvenser for databeskyttelsesniveauet på EF's område.
13. Alternativet ville være at ændre aftalen, så det sikres, at europæiske luftfartsselskabers behandling af API/PNR-oplysninger overholder direktiv 95/46/EF. Hvis der tilføjes en sådan bestemmelse, vil aftalen ikke længere føre til en ændring af direktivet.
4. Substansen i aftalen med Canada
4.1. Godkendelse af forslagets hovedelementer
14. Uanset procedurekravene i forbindelse med forslagets vedtagelse har den tilsynsførende undersøgt, om den foreslåede aftale i substansen yder de registrerede tilstrækkelig beskyttelse og især beskytter deres grundlæggende rettigheder som omhandlet i EU-traktatens artikel 6.
15. Den tilsynsførende bemærker, at der er store forskelle mellem forslaget og aftalen med USA (jf. punkt 6 ovenfor). Xxxxxxxxx ved USA-aftalen gør sig således ikke gældende i forbindelse med det foreliggende forslag på tre væsentlige punkter, i det mindste ikke i samme grad.
16. Den tilsynsførende bemærker endvidere, at Artikel 29-Gruppen i sin udtalelse af 19. januar 2005 godkendte hovedelementerne i forslaget til Kommissionens afgørelse om, at Det Canadiske Grænseagentur (CBSA) sikrer et tilstrækkeligt beskyttelsesniveau. CBSA's forpligtelser (jf. bilaget til Kommissionens afgørelse) spiller en vigtig rolle for evalueringen. Den tilsynsførende tilslutter sig Artikel 29-Gruppens resultater og tager også hensyn til, at Canadas uafhængige datatilsynsmyn- dighed godkender begrænsningerne i adgangen til API/PNR-oplysninger, dvs. at de kun er til brug for myndighederne og til retshåndhævelsesformål (1).
17. Det er meget vigtigt for den tilsynsførende, at det push-system, der vil komme til at gælde i forbindelse med API/PNR-oplysningerne, giver de europæiske luftfartsselskaber mulighed for at kontrollere behandlingen og overførslen af oplysninger. Disse aktiviteter falder således inden for medlemsstaternes jurisdiktion, og EF-lovgivningen finder anvendelse.
18. Det er ligeså vigtigt, at det i artikel 2 i forslaget udtrykkeligt hedder, at parterne i aftalen er blevet enige om, at API/PNR-oplysninger vil blive behandlet som fastsat i forpligtelserne. Dermed bliver forpligtelserne i bilaget til Kommissionens afgørelse bindende.
(1) Jf. datatilsynsmyndighedens udtalelse af 9. april 2003 (xxxx://xxx.xxxxxxx.xx.xx/xxxXxxxxx/xx-xx/xx-xx-xxx_x.xxx).
19. Endelig fremhæver den tilsynsførende betydningen af, at der nedsættes et blandet udvalg, der bl.a. skal tilrettelægge fælles undersøgelser. Det giver mulighed for at overvåge gennemførelsen af de juridiske instrumenter. Dette er så meget vigtigere, som de juridiske instrumenter er nye, og der mangler erfaringer med gennemførelsen af denne type juridiske instrumenter.
20. På den baggrund og i lyset af den analyse, der er omtalt i punkt 4.2. i det i punkt 1 nævnte poli- tikpapir, godkender den tilsynsførende hovedelementerne i forslaget og ønsker blot at kommen- tere nogle specifikke punkter, især:
— antallet og arten af de API/PNR-oplysninger, der skal overføres
— formålet med behandlingen, der ikke er begrænset til bekæmpelse af terrorisme, men også vedrører anden grov grænseoverskridende kriminalitet
— artikel 3 i aftalen om adgang, rettelse og notat.
4.2. API/PNR-oplysningernes antal og art
21. Bilag II til forslaget indeholder ingen følsomme oplysninger som omhandlet i artikel 8 i direktiv 95/46/EF og heller ingen »åbne kategorier« af passageroplysninger, der, alt efter hvordan disse kategorier udfyldes på en formular, kan afsløre sådanne følsomme oplysninger (f.eks. oplysninger om kost, der kan afsløre religion eller medicinske data).
22. Listen over PNR-dataelementer, som skal indhentes (bilag II til forslaget), omfatter oplysninger, der kan være relevante for beskyttelsen af passagerernes grundlæggende rettigheder, især privatli- vets fred. Den tilsynsførende nævner i den forbindelse kategori 10 (frequent flyer-oplysninger), der kan afsløre oplysninger om passagerernes adfærd (selv om ikke alle frequent flyer-oplysninger er omfattet), og kategori 23 (eventuelle indsamlede APIS-oplysninger (Advance Passenger Infor- mation System)), der ikke blot indeholder navn, men også andre pasoplysninger.
23. Den tilsynsførende er ikke overbevist om, at det er nødvendigt og står i et rimeligt forhold til målet at medtage disse kategorier. Han foreslår, at man endnu en gang overvejer behovet for at tage disse kategorier med i bilaget til aftalen. Den omstændighed, at disse kategorier er med på listen over oplysninger, er imidlertid ikke i sig selv alvorlig nok til at kræve genforhandling af aftalen og bør efter den tilsynsførendes opfattelse ikke føre til, at den annulleres.
4.3. Formålet med behandlingen
24. Som vi tidligere har set det i forbindelse med juridiske instrumenter, der kræver behandling af personoplysninger med henblik på bekæmpelse af terrorisme, har lovgiveren ikke begrænset formålet med behandlingen til terrorisme som sådan, men tillige tilladt behandling med henblik på bekæmpelse af anden grov kriminalitet eller i nogle tilfælde endog med henblik på rets- håndhævelse i almindelighed.
25. Forslaget nævner bekæmpelse af anden grov grænseoverskridende kriminalitet, herunder organi- seret kriminalitet. Ifølge CBSA's forpligtelser (punkt 12) kan oplysningerne kun videregives til andre offentlige myndigheder i Canada til samme formål. Oplysningerne vil kun blive videregivet til et tredjelands myndigheder til disse formål, og kun hvis det konstateres, at det pågældende tredjeland sikrer et tilstrækkeligt beskyttelsesniveau, jf. artikel 25 i direktiv 95/46/EF. Denne formålsbegrænsning er ikke i sig selv i modstrid med direktivets bestemmelser eller de principper, det bygger på.
4.4. Beskyttelse af de registrerede
26. Aftalen indeholder udtrykkelige bestemmelser, der tager sigte på at beskytte de registreredes inte- resser. Den tilsynsførende fremhæver udtrykkeligt aftalens artikel 3 om adgang, rettelse og notat. Ifølge denne bestemmelse har dataregistrerede, der opholder sig på EU's område, samme rettig- heder til adgang, rettelse og notat som personer, der opholder sig i Canada.
27. Disse rettigheder yder ikke i sig selv de registrerede den nødvendige beskyttelse. Det skal sikres, at rettighederne kan udøves i praksis.
28. Disse rettigheders rækkevidde og substans fastsættes ved canadisk lovgivning. For at yde euro- pæiske registrerede den nødvendige beskyttelse skal den relevante lovgivning være tilgængelig for de pågældende registrerede, og dens virkning for dem skal også være forudsigelig. For at opfylde denne forpligtelse har Artikel 29-Gruppen foreslået, at det relevante canadiske lovgrundlag indsættes som bilag til Kommissionens afgørelse.
29. Dette forslag er ikke blevet fulgt, men Kommissionens afgørelse og CBSA's forpligtelser forklarer det relevante lovgrundlag. De relevante dele af forpligtelserne giver flypassagererne mulighed for at gøre sig bekendt med deres rettigheder.
30. Den tilsynsførende bemærker, at det ikke blot er vigtigt, at flypassagerer, der opholder sig i EF, har adgang til teksten til de juridiske instrumenter, det er ligeså vigtigt, at de har effektiv adgang til retsmidler.
31. Den tilsynsførende godkender i den forbindelse proceduren i punkt 31 i forpligtelserne. Ifølge denne procedure kan den canadiske tilsynsmyndighed for privatlivets fred behandle klager, som medlemsstaternes databeskyttelsesmyndigheder henviser til den på vegne af personer, der opholder sig i EU. Den tilsynsførende er af den opfattelse, at en sådan procedure i praksis nok vil være endnu mere effektiv end at give personer, opholder sig i Europa, en formel direkte adgang (jus standi) til de canadiske retter.
5. Konklusion
32. Den tilsynsførende konkluderer følgende:
— Denne udtalelse bør nævnes i præamblen til Rådets afgørelse.
— Den tilsynsførende burde have været hørt om Kommissionens afgørelse i henhold til artikel 25, stk. 6, i direktiv 95/46/EF om, at Det Canadiske Grænseagentur anses for at sikre et tilstrækkeligt beskyttelsesniveau for API/PNR-oplysninger.
— Der bør i overensstemmelse med EF-traktatens artikel 300, stk. 3, indhentes samstemmende udtalelse fra Europa-Parlamentet.
— Alternativt kan aftalen ændres, så det sikres, at europæiske luftfartsselskabers behandling af API/PNR-oplysninger overholder direktiv 95/46/EF.
— Den tilsynsførende godkender hovedelementerne i den foreslåede aftale.
Udfærdiget i Bruxelles, den 15. juni 2005
Xxxxx XXXXXXX
Europæisk Tilsynsførende for Databeskyttelse