RP 143/2007 rd
RP 143/2007 rd
Regeringens proposition till Riksdagen om godkän- nande av avtalet mellan Europeiska unionen och Ameri- kas förenta stater om lufttrafikföretags behandling av passageraruppgifter (PNR) och överföring av dessa till Förenta staternas Department of Homeland Security (DHS) (2007 års PNR-avtal) och med förslag till lag om sättande i kraft av de bestämmelser i avtalet som hör till området för lagstiftningen och om tillämpning av avtalet samt lag om upphävande av lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i avtalet mellan Europeiska unionen och Amerikas förenta stater om lufttrafikföretags behandling av passagerar- uppgifter och överföring av dessa till Förenta staternas Department of Homeland Security och om tillämpning av avtalet
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL
I denna proposition föreslås det att riksda- gen ska godkänna avtalet som i juli 2007 in- gicks mellan Europeiska unionen och Ame- rikas förenta stater om lufttrafikföretags be- handling av passageraruppgifter (PNR) och överföring av dessa till Förenta staternas De- partment of Homeland Security (DHS) (2007 års PNR-avtal) samt anta en lag om sättande i kraft av de bestämmelser i avtalet som hör till området för lagstiftningen och om till- lämpning av avtalet.
Vissa delar av avtalet avviker från de tidi- gare avtalen, dvs. 2004 års avtal mellan Eu- ropeiska gemenskapen och Amerikas förenta stater och 2006 års avtal mellan Europeiska unionen och Amerikas förenta stater. Syftet med överföringen av passageraruppgifter kvarstår som i tidigare avtal. Avtalets syfte är att bekämpa terrorism, därmed förknippad brottslighet samt andra grova brott av gräns- överskridande karaktär.
I propositionen ingår ett förslag till lag om sättande i kraft av de bestämmelser i avtalet som hör till området för lagstiftningen och om tillämpning av avtalet.
Lagen avses träda i kraft samma dag som avtalet träder i kraft mellan Europeiska unio- nen och Förenta staterna, vid en tidpunkt som bestäms genom en förordning av statsrådet. Avtalet träder i kraft den första dagen i den månad som följer på den dag då parterna ut- växlat underrättelser om att de har avslutat sina interna förfaranden i detta syfte. Avtalet tillämpas provisoriskt från och med att det undertecknades.
I propositionen ingår också ett förslag till lag om upphävande av lagen om sättande i kraft av de bestämmelser som hör till områ- det för lagstiftningen i 2006 års PNR-avtal. Meningen är att den lagen ska träda i kraft vid en tidpunkt som fastställs i en förordning av statsrådet.
—————
293793
2 RP 143/2007 rd
INNEHÅLL
PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL 1
INNEHÅLL 2
ALLMÄN MOTIVERING 3
1 Inledning 3
2 Nuläge och praxis 3
2.1 Internationella avtal och nationell lagstiftning 3
Europarådets dataskyddskonvention 3
Dataskyddsdirektivet 4
Nationell lagstiftning 4
Förslag till rambeslut om dataskydd inom tredje pelaren 5
2.2 Praxis 5
3 Europeiska gemenskapens och Europeiska unionens befogenheter inom avtalets räckvidd 5
4 Målsättning och de viktigaste förslagen 7
5 Propositionens konsekvenser 8
6 Beredningen av propositionen 9
6.1 Avtalsförhandlingarna 9
6.2 Beredningen av propositionen i Finland 9
7 Temporär tillämpning 10
DETALJMOTIVERING 12
1 Avtalsskyldighetens innebörd och förhållande till lagstiftningen i Finland 12
1.1 Avtalet mellan Europeiska unionen och Amerikas förenta stater om lufttrafikföretags behandling av passageraruppgifter (PNR) och överföring av dessa till Förenta staternas Department of Homeland Security (DHS) (2007 års PNR-avtal) 12
1.2 Förenta staternas skrivelse till EU 16
1.3 EU:s skrivelse till Förenta staterna 19
2 Lagförslag 20
3 Ikraftträdande 20
4 Behovet av riksdagens samtycke och behandlingsordning 21
LAGFÖRSLAG 24
Lag om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i avtalet mellan Europeiska unionen och Amerikas förenta stater om lufttrafikföretags behandling av passageraruppgifter (PNR) och överföring av dessa till Förenta staternas Department of Homeland Security (DHS) (2007 års PNR- avtal) och om tillämpning av avtalet 24
Lag om upphävande av lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i avtalet mellan Europeiska unionen och Amerikas förenta stater om lufttrafikföretags behandling av passageraruppgifter och överföring av dessa till Förenta staternas Department of Homeland Security och om tillämpning av avtalet 25
FÖRDRAGSTEXT 26
RP 143/2007 rd 3
ALLMÄN MOTIVERING
1 Inledning
I propositionen ingår ett förslag till god- kännande av avtalet mellan Europeiska unio- nen (EU) och Amerikas förenta stater (USA) om lufttrafikföretags behandling av passage- raruppgifter (PNR) och överföring av dessa till Förenta staternas Department of Home- land Security (DHS) (2007 års PNR-avtal).
Europeiska unionens råd beslutade den 22 februari 2007 att bemyndiga ordförandelan- det att med bistånd av kommissionen inleda förhandlingar med USA om ett långsiktigt nytt avtal i stället för 2006 års PNR-avtal. Beslutet fattades med stöd av artikel 24 och 38 i fördraget om Europeiska unionen (FEU). Syftet med förhandlingarnas var att säkerstäl- la att den transatlantiska flygtrafiken kan fortsätta utan störningar samtidigt som flyg- passagerarnas privatliv skyddas vid behand- lingen av PNR. Man ville också att lufttrafik- företagen skulle få en lämplig rättssäkerhets- grund för överföringen av PNR-uppgifter.
Förhandlingsresultatet behandlades i de ständiga representanternas kommitté (Core- per) den 29 juni 2007 och medlemsstaterna gav huvudlinjerna sitt politiska stöd. Man strävar efter att avtalet ska kunna antas slut- ligt i EU genast efter det att medlemsstaterna har slutfört sina nationella förfaranden. Avta- let undertecknades på EU:s vägnar i Bryssel den 23 juli 2007 och på USA:s vägnar i Washington den 26 juli 2007 (EUT L nr 204,
4.8.2007 s. 16). Avtalet tillämpas proviso- riskt från och med den 26 juli 2007.
2007 års PNR-uppgörelse består av ett av- tal samt en skrivelse från amerikanska depar- tementet för inrikes säkerhet (US Department of Homeland Security), nedan DHS, och EU:s svarsskrivelse. I formellt hänseende är skrivelserna inte en del av avtalet. Skrivelsen från DHS ersätter USA:s åtagandeförklaring från år 2004 om behandlingen och överfö- ringen av PNR-uppgifter, vilken utgjort grunden för de tidigare avtalen. I skrivelsen lämnar USA garantier för sin behandling av PNR. Enligt EU:s svarsskrivelse kan EU tack
vare garantierna göra bedömningen att DHS säkerställer en tillfredsställande dataskydds- nivå för avtalet. DHS:s skrivelse och EU:s svarsskrivelse har publicerats tillsammans med rådets beslut om undertecknandet av av- talet (EUT L nr 204, 4.8.2007, s. 21–25). Av-
talet har ingåtts på åtminstone sju år.
Avtalsuppgörelsen har en struktur som motsvarar 2006 års uppgörelse, men innehål- let är inte helt lika. Det kan anses att de ga- rantier som DHS lämnar i sin skrivelse i stort sätt gäller samma saker som 2004 års åta- gandeförklaring som legat till grund för de tidigare PNR-avtalen, men de är av allmän- nare karaktär. Detta gäller t.ex. överföring av uppgifter till tredjeland. Lagringstiden för PNR-uppgifter i aktiv databas har förlängts från 3,5 år till 7 år och i DHS-skrivelsen finns ett uttryckligt omnämnande om DHS:s rätt att använda känsliga uppgifter i undan- tagsfall. Sista datum, dvs. 1 januari 2008, har bestämts för USA:s övergång till det s.k. push-systemet i fråga om lufttrafikföretag som uppfyller DHS:s tekniska krav. Efter detta datum kommer DHS inte längre att ha direkt åtkomst till lufttrafikbolagens bok- ningssystem. I stället är det lufttrafikföreta- gen själva som för över uppgifterna.
2007 års PNR-avtal mellan EU och USA föreslås bli satt i kraft genom en blandad lag.
2 Nuläge och praxis
2.1 Internationella avtal och nationell lagstiftning
Europarådets dataskyddskonvention
I Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databe- handling av personuppgifter (FördrS 35– 36/1992), nedan dataskyddskonventionen, definieras de grundprinciper för dataskyddet som de avtalsslutande parterna förbinder sig att genomföra i sin lagstiftning för att skydda integriteten vid automatisk databehandling av personuppgifter. Alla EU:s medlemsstater
4 RP 143/2007 rd
har antagit Europarådets (ER) dataskydds- konvention. Konventionen trädde internatio- nellt i kraft den 1 oktober 1985 och för Fin- lands del den 1 april 1992. Konventionen in- nehåller inga bestämmelser om överföring av personuppgifter till stater som inte är parter i konventionen.
Ett tilläggsprotokoll från år 2001 om till- synsmyndigheter och gränsöverskridande flöden av personuppgifter till konventionen om skydd för enskilda vid automatisk data- behandling av personuppgifter, nedan tilläggsprotokollet, gäller tillsynsmyndighe- ter och internationella överföringar av upp- gifter samt innehåller bestämmelser om över- låtelse av personuppgifter till sådana stater och organisationer som inte berörs av be- stämmelserna i dataskyddskonventionen. Tilläggsprotokollet trädde internationellt i kraft den 1 juli 2004, men alla Europarådets medlemsstater har inte ännu godkänt det. Av EU:s medlemsstater har 21 undertecknat tilläggsprotokollet och hittills har 13 med- lemsstater godkänt det. Finland underteckna- de tilläggsprotokollet i november 2001, men har inte ännu godkänt det. Enligt tilläggspro- tokollet kan personuppgifter överföras till en stat eller organisation som inte berörs av be- stämmelserna i dataskyddskonventionen en- dast när staten eller organisationen i fråga ga- ranterar en tillräcklig dataskyddsnivå för överföringen av uppgifterna.
Dataskyddsdirektivet
Europaparlamentet och Europeiska unio- nens råd antog i oktober 1995 ett direktiv om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (95/46/EG), nedan dataskyddsdirektivet. Dataskyddsdi- rektivet bygger på ER:s dataskyddskonven- tion, som direktivet preciserar. Dataskyddsdi- rektivet innehåller grundläggande bestäm- melser om behandlingen av personuppgifter som ska iakttas inom ramen för EU:s första pelare. Direktivet innehåller bl.a. bestämmel- ser om överföring av personuppgifter utanför EU. Flera EU-stater har följt direktivets prin- ciper även vid behandlingen av personupp- gifter inom ramen för de övriga pelarna, dock
med tillämpning av de undantag som direkti- vet möjliggör.
Enligt dataskyddsdirektivet är överföring av personuppgifter utanför EU, dvs. till s.k. tredjeland, i regel tillåten endast om en ade- kvat dataskyddsnivå garanteras i landet. Uppgifter kan också överföras bl.a. om den berörda entydigt har gett sitt samtycke till att uppgifterna överförs. Bedömning av om skyddsnivån i ett tredjeland är adekvat ska ske på grundval av alla de förhållanden som har samband med en överföring eller en grupp av överföringar av uppgifter. Då ska man särskilt beakta uppgifternas art, den eller de avsedda behandlingarnas ändamål och varaktighet, ursprungslandet och det slutliga bestämmelselandet, de allmänna respektive särskilda rättsregler som gäller i ifrågavaran- de tredjeland liksom de regler för yrkesverk- samhet och säkerhet som gäller där.
Nationell lagstiftning
Den nationella lagstiftningen i Finland har harmonierats med dataskyddsdirektivet ge- nom personuppgiftslagen, som trädde i kraft den 1 juni 1999 (523/1999). Bestämmelserna om överföring av personuppgifter komplette- rades år 2000 genom en ändring i person- uppgiftslagen (986/2000). Förutsättningarna för överföring av uppgifter till tredjeland är de samma som i dataskyddsdirektivet.
Personuppgiftslagen är en allmän lag med ett mera omfattande tillämpningsområde än dataskyddsdirektivet. Enligt 2 § 1 mom. ska vid behandling av personuppgifter iakttas vad som bestäms i personuppgiftslagen, om inte annat bestäms någon annanstans i lag. Personuppgiftslagen, inklusive bestämmel- serna om överföring av personuppgifter till tredjeland, tillämpas således i princip på be- handlingen av personuppgifter i all verksam- het oavsett under vilken EU-pelare verksam- heten hör. I princip är förutsättningen för en överföring av personuppgifter utanför EU:s medlemsstater eller Europeiska ekonomiska området att en adekvat nivå på dataskyddet kan säkerställas i det aktuella landet. Uppgif- ter kan också överföras bl.a. när den registre- rade har gett sitt samtycke till överföringen. Det förutsätts att samtycket är en frivillig,
RP 143/2007 rd 5
särskild och på information baserad viljeytt- ring.
Förslag till rambeslut om dataskydd inom tredje pelaren
Inom EU pågår arbetet med ett förslag till rambeslut om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (KOM(2005)
475 slutlig), det s.k. rambeslutet om data- skydd inom tredje pelaren. Rambeslutet in- nehåller inga bestämmelser om enskildas, t.ex. lufttrafikföretags rätt eller skyldighet att överlämna personuppgifter.
2.2 Praxis
Finnair har transporterat ca 55 000 passa- gerare från Finland till USA och ungefär lika många från USA till Finland under tiden 1.1– 20.9.2007. Finnair har fått en del förfråg- ningar om överlåtelse av PNR-uppgifter, men på Finnair finns inga registrerade uppgifter om att någon skulle ha låtit bli att resa p.g.a. överlåtelse av PNR-uppgifter.
I samband med bokningen informerar Finnair alltid passagerarna om överlåtelse av PNR-uppgifter. Informationen lämnas skrift- ligen eller muntligen eller, vid bokning över internet, i ett pop-up fönster. På Finnairs webbsidor finns dessutom närmare informa- tion om PNR-avtalet och om myndigheternas rätt till Finnairs passageraruppgifter samt adekvata länkar. På Finnairs webbsidor finns heltäckande information bl.a. om typen av uppgifter som lämnas till de amerikanska myndigheterna, om överlämnandet till tredje- land, om följderna av att låta bli att lämna över uppgifter samt om användningsända- mål, lagringstider och datasäkerhet vid över- föring och lagring.
3 Europeiska gemenskapens och
Europeiska unionens befogenhe- ter inom avtalets räckvidd
Efter att Europaparlamentet väckt talan i frågan upphävde EG-domstolen i maj 2006 rådets och kommissionens beslut om 2004 års avtal mellan Europeiska gemenskapen
(EG) och Amerikas förenta stater (USA) om passagerarregister (Passenger Name Record) som överförs till USA:s myndigheter (för- enade målen C-317/04 och 318/04). Xxxxxx- xxx ansåg att gemenskapsavtalet och kom- missionens beslut, fattat med stöd av EG:s dataskyddsdirektiv, inte hade behörig rättslig grund. Med anledning av EG-domstolens be- slut sade gemenskapen upp avtalet.
Till följd av domen förhandlades 2006 års och 2007 års PNR-avtal inte längre fram som gemenskapsavtal. I stället användes unions- fördragets artikel 24 (gemensam utrikes- och säkerhetspolitik) och artikel 38 (polissamar- bete och straffrättsligt samarbete) som grund för mandaten. Enligt artikel 24 i unionsför- draget får rådet på de aktuella områdena be- myndiga ordförandelandet, som om det är lämpligt ska biträdas av kommissionen, att föra förhandlingar för att ingå ett avtal med en eller flera stater eller internationella orga- nisationer. Sådana avtal ska ingås av rådet ef- ter rekommendation av ordförandelandet (punkt 1). När avtalet avser en fråga där en- hällighet krävs ska beslut om avtal som in- gåtts med stöd av artikel 24 fattas enhälligt (punkt 2). Enligt punkt 3 ska rådet fatta be- slut med kvalificerad majoritet när avtalet syftar till att genomföra en gemensam åtgärd eller en gemensam ståndpunkt. Enligt punkt 4 ska samma bestämmelser även tillämpas på frågor som omfattas av avdelning VI (be- stämmelser om polissamarbete och straff- rättsligt samarbete) i unionsfördraget. Enligt punkt 5 ska ett avtal inte vara bindande för en medlemsstat vars företrädare i rådet för- klarar att medlemsstaten måste uppfylla vissa krav som följer av dess egna konstitutionella förfaranden. De övriga rådsmedlemmarna kan enas om att avtalet likväl ska gälla provi- soriskt. Enligt punkt 6 är avtalen bindande för unionens institutioner.
Den rätt att ingå avtal som beviljats unio- nen på grundval av artikel 24 i unionsfördra- get kan tolkas innebära att medlemsstaterna har gett unionen behörighet, i det fall som avses i rådets beslut, att ingå avtal med den aktuella tredje staten. I princip skulle det allt- så ha varit möjligt att överenskomma om överföringar av uppgifter med USA genom bilaterala avtal mellan USA och EU:s med- lemsstater eller genom att ändra den nationel-
6 RP 143/2007 rd
la lagstiftningen i EU:s medlemsstater. I det fallet hade risken dock varit att det skulle uppstå flera, sinsemellan olika dataskyddsar- rangemang för överföringar av PNR- uppgifter i Europa. Därför beslöt man försö- ka uppnå ett nytt avtal som förhandlas fram på unionsnivå.
Artikel 38 i EU-fördraget innehåller en hänvisningsbestämmelse, enligt vilken de av- tal som avses i artikel 24 kan innehålla be- stämmelser om områden som hör till avdel- ning VI i EU-fördraget. Om ett avtal som förhandlats fram i enlighet med artikel 24 i EU-fördraget innehåller bestämmelser om polissamarbete eller straffrättsligt samarbete, behövs även artikel 38 i EU-fördraget som rättslig grund.
I det nya PNR-avtalet ingår inga hänvis- ningar till polissamarbete och straffrättsligt samarbete. På sin höjd kan satsen i tredje le- det i avtalsingressen anses hänvisa till detta. Där erkänner parterna ”att, för att skydda allmän säkerhet och av brottsbekämpnings- skäl, regler bör fastställas om lufttrafikföre- tags överföring av PNR-uppgifter till DHS”. Tolkningen kan dessutom påverkas indirekt av att det i DHS-skrivelsen i punkten om öm- sesidighet finns ett omnämnande om att främja polissamarbete och rättsligt samarbe- te. Avgörande med tanke på bedömningen av rättslig grund är dock innehållet i avtalets operativa stycken, som inte innehåller några hänvisningar. Under dessa omständigheter verkar det som om det inte finns något direkt behov av att använda artikel 38 i EU- fördraget som en andra rättslig grund för be- slutet. Vid bedömningen av om det är nöd- vändigt att använda artikel 38 i EU-fördraget ska dock även beaktas de mera omfattande verkningar avgörandet har för den allmänna tolkningen av tillämpningsområdet för tredje pelaren. Avdelning VI i EU-fördraget ska inte heller självklart tolkas så att den kan an- ses täcka även de avtalsreglerade frågor vars samband med polissamarbete och straffrätts- ligt samarbete förblir avlägset. Å andra sidan har inte valet av rättslig grund i avtalsför- handlingarna någon inverkan på det förfa- rande som iakttas när avtalet förhandlas fram och ingås. Tillägget av artikel 38 kan dock ha verkningar för kommissionens ställning och EG-domstolens befogenhet.
Domstolen har i princip inga befogenheter på området för unionens andra pelare. På om- rådet för tredje pelaren har domstolen be- gränsade befogenheter. Enligt artikel 35.6 i EU-fördraget ska gemenskapens domstol vara behörig att granska lagenligheten av rambeslut och andra beslut när en medlems- stat eller kommissionen väcker talan rörande bristande behörighet, åsidosättande av vä- sentliga formföreskrifter, åsidosättande av unionsfördraget eller av någon rättsregel som gäller dess tillämpning eller rörande makt- missbruk. Om även artikel 38 förutom artikel 24 i EU-fördraget används som rättslig grund för godkännande av avtalet kan man således anse det vara möjligt att väcka talan om ogil- tigförklarande av rådets beslut om godkän- nande av avtalet. Frågan om domstolens be- hörighet vid tolkningen av avtal som hör till EU-fördragets tillämpningsområde lämnar dock rum för tolkning, för även när artikel 38 i EU-fördraget, som hör till området för av- delning VI i EU-fördraget, används som rättslig grund är den andra rättsliga grunden artikel 24 i EU-fördraget, som innehåller för- faranderegler för förhandlingar.
På ovan anförda grunder kan man anse att det inte finns något egentligt hinder för att använda artikel 24 och 38 i EU-fördraget som rättslig grund för rådets beslut om god- kännande på samma sätt som för de tidigare besluten om meddelande av förhandlings- fullmakter. Å andra sidan kan man även anse att det inte finns något egentligt behov av att använda artikel 38 i EU-fördraget och att ar- tikel 24 ensam räcker som rättslig grund för beslutet. Beslutet om undertecknande av av- talet har på samma sätt som förhandlingsbe- myndigandet fattats med stöd av båda artik- larna, vilket ovan i texten konstaterats vara fallet också i fråga om 2006 års PNR-avtal.
När grundlagsutskottet behandlade reger- ingens proposition om godkännande av avta- len om utlämning för brott samt om ömsesi- dig rättslig hjälp mellan Europeiska unionen och Amerikas förenta stater konstaterade ut- skottet att bestämmelserna i grundlagen om fördrag och andra internationella förpliktelser inte nödvändigt förutsätter statsinterna åtgär- der för att unionens internationella avtal ska kunna sättas i kraft. Utskottet påpekade vida- re att i dagens läge har avtalen på området
RP 143/2007 rd 7
för polissamarbete och straffrättsligt samar- bete en något oklar status i relation till den unionsrätt som ska tillämpas i medlemssta- terna. Det är olämpligt att grunderna för för- pliktelser som gäller den enskildes rättsliga ställning är juridiskt oklara. Utskottet ansåg att det av unionsrätten inte följer något hin- der för att genom nationell lag sätta i kraft ett unionsavtal som ingåtts med stöd av artikel 24 och 28 (GrUU 5/2007 rd – RP 86/2005
rd). Den provisoriska tillämpningen av avta- let kommenteras nedan i texten.
4 Målsättning och de viktigaste förslagen
Propositionens syfte är att 2007 års PNR- avtal mellan EU och USA, som ersätter det tidigare PNR-avtalet, ska godkännas. Avtalet avser att bekämpa terrorism och därmed för- knippad brottslighet och andra grova gräns- överskridande brott, däribland organiserad brottslighet, samtidigt som de grundläggande fri- och rättigheterna, särskilt skyddet för privatlivet respekteras. Det nationella god- kännandet i Finland är för sin del en förut- sättning för att EU:s råd ska kunna fatta be- slut om att godkänna avtalet. Strukturen i 2007 års PNR-avtal motsvarar det tidigare avtalet, men innehållet sammanfaller inte fullständigt med det gamla avtalet. Behand- lingen av PNR-uppgifter kvarstår som i det tidigare avtalet. Det är fråga om ett tidsbun- det avtal som upphör att gälla sju år efter den dag då det undertecknades, om inte parterna ömsesidigt beslutar att ersätta det. Avtalet innebär inte undantag från lagstiftningen i USA eller EU eller dess medlemsstater.
Till skillnad från 2004 års avtal och 2006 års avtal iakttar USA:s myndigheter, dvs. i det här fallet DHS, inte längre den ameri- kanska tull- och gränsskyddsmyndighetens (CBP) åtagandeförklaring från år 2004 om behandling och överföring av PNR-uppgifter. I stället lämnar DHS i skrivelsen som med- följer avtalet garantier för hur PNR- uppgifterna ska skyddas. På grundval av dessa garantier förbinder sig EU att för sin del säkerställa att lufttrafikföretag som be- driver internationell passagerartrafik till och från USA lämnar ut PNR-uppgifter i sina
bokningssystem till DHS på det sätt som DHS förutsätter. DHS kommer omedelbart och senast den 1 januari 2008 att övergå till ett ”exportsystem” (push-system) för överfö- ring av uppgifter från alla de lufttrafikföretag som har infört ett system som överensstäm- mer med DHS:s tekniska krav. I fråga om de övriga lufttrafikföretagen har DHS fortfaran- de elektronisk tillgång till PNR-uppgifter (pull-system) i de lufttrafikföretags bok- ningssystem som är belägna inom EU:s med- lemsstater. Också i fråga om dessa lufttrafik- företag övergår man till ett push-system när ett tillfredsställande system har upprättats genom vilket lufttrafikföretagen själva kan lämna ut dessa uppgifter. DHS behandlar uppgifterna i enlighet med USA:s lagstift- ning och grundlag utan olaglig diskrimine- ring i synnerhet på basis av nationalitet eller bosättningsland. Avtalet innehåller på samma sätt som de tidigare avtalen en bestämmelse om översyn av genomförandet av avtalet. En- ligt avtalet förväntar sig DHS att det inte ska begäras att DHS vidtar åtgärder för uppgifts- skydd i sitt PNR-system som är striktare än de som tillämpas av myndigheter inom EU för deras inhemska PNR-system och DHS begär inte att myndigheterna inom EU ska vidta åtgärder för uppgiftsskydd i deras PNR- system som är striktare än de som tillämpas av USA för deras PNR-system. Om PNR- systemet tas i bruk inom EU eller dess med- lemsstater, ska DHS under iakttagande av ömsesidighetsprincipen aktivt uppmuntra lufttrafikföretag inom dess jurisdiktion att samarbeta.
I avtalet ingår en uttrycklig bestämmelse, enligt vilken DHS vid tillämpningen av avta- let ska anses säkerställa en tillfredsställande skyddsnivå för de PNR-uppgifter som över- förs från EU. Detta grundar sig på att DHS iakttar de garantier som lämnas i DHS- skrivelsen. Samtidigt förbinder sig EU att inte blanda sig i förbindelserna mellan USA och tredjeländer när det gäller utbyte av pas- sageraruppgifter. I avtalet åtar sig USA och EU att arbeta för att främja större synlighet för meddelanden som beskriver PNR-system för resenärer. Om EU finner att USA har bru- tit mot avtalet sägs avtalet upp och det fast- ställande av tillfredsställande skyddsnivå som avses i avtalet upphävs. Om EU bryter
8 RP 143/2007 rd
mot avtalet sägs avtalet upp och DHS- skrivelsen upphävs.
Det föreslås att de bestämmelser i PNR- avtalet som hör till området för lagstiftningen ska sättas i kraft genom en s.k. blandad lag. Det föreslås att lagen ska få en materiell be- stämmelse som ålägger lufttrafikbolagen att behandla och överföra passageraruppgifter i enlighet med PNR-avtalet. En motsvarande bestämmelse ingick i lagen om sättande i kraft av 2006 års PNR-avtal. I föreliggande proposition ingår också ett förslag till lag om upphävande av lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i avtalet mellan Europeiska unionen och Amerikas förenta stater om luft- trafikföretags behandling av passagerarupp- gifter och överföring av dessa till Förenta staternas Department of Homeland Security och om tillämpning av avtalet (293/2007). Den lagen har provisoriskt tillämpats med stöd av en förordning av statsrådet (365/2007).
5 Propositionens konsekvenser
Genom det nya PNR-avtalet tryggas en fortsatt störningsfri och trygg flygtrafik mel- lan EU och USA när 2006 års PNR-avtal upphör att gälla. Överföringen av PNR- uppgifter får en rättslig grund och man för- söker trygga skyddet för flygresenärernas privatliv.
Utan avtalet skulle det inte finnas någon så- dan reglering på EU-nivå som skulle ge flyg- trafikföretagen rätt att överlämna PNR- uppgifter till USA för de ändamål som anges i avtalet. I det fallet skulle rätten till överfö- ring av uppgifter bestämmas på basis av na- tionell lagstiftning, som i fråga om detaljerna varierar beroende på medlemsstat. För att le- galisera överföringen av uppgifter skulle man sannolikt bli tvungen att ändra eller precisera nationella lagstiftningar eller alternativt komma överens om överföringarna med USA genom bilaterala avtal. I det fallet finns det risk för att det skulle uppstå flera, sins- emellan olika dataskyddssystem för överlå- telser av PNR-uppgifter i Europa. Genom PNR-avtalet tryggas sålunda också en jämlik behandling av lufttrafikföretagen och EU- medborgarna, eftersom systemet gäller alla
uppgifter i lufttrafikföretagens bokningssy- stem inom EU på samma sätt.
Att avtalet sätts i kraft har inte någon direkt inverkan på de nationella dataskyddsmyn- digheternas befogenheter. Enligt artikel 9 i avtalet innebär avtalet varken undantag från eller ändring av lagstiftningen i medlemssta- terna. Dataskyddsmyndigheternas nuvarande befogenheter kvarstår med andra ord som förut. Enligt personuppgiftslagen får person- uppgifter i regel översändas till tredjeland endast om staten i fråga har en tillräcklig da- taskyddsnivå. Enligt artikel 6 i avtalet ska DHS anses säkerställa en tillfredsställande skyddsnivå för de PNR-uppgifter som över- förs från EU. En sådan avtalsbestämmelse kan inte anses binda de nationella data- skyddsmyndigheterna i formellt hänseende, men bestämmelsen skapar en stark presum- tion om att dataskyddet är tillräckligt vid överföringen av PNR-uppgifter och att data- skyddsmyndigheterna därför inte har skäl att ingripa i överföringarna av uppgifter så länge som DHS följer sina åtaganden. Data- skyddsmyndigheterna har fortsättningsvis rätt att ingripa i överföringar av PNR- uppgifter om de anser att uppgifterna inte har behandlats enligt de nationella dataskyddsbe- stämmelserna före överföringen (t.ex. att oriktiga uppgifter inte har rättats).
För lufttrafikföretagen har skyldigheten att behandla och överföra PNR-uppgifter föran- lett behov av att utveckla bokningssystemen. Det bokningssystem enligt pull-metoden och som har tagits fram för de amerikanska myn- digheterna har medfört utvecklings-, drifts- och tranaktionskostnader för lufttrafikföreta- gen. Senare har kostnader tillkommit på grund av att bokningssystemen ändrats så att man kan använda en push-metod i stället för en pull-metod. Finnair Abp:s utvecklings- kostnader har uppgått till ca 15 000 euro. Driftskostnaderna har utgjort cirka 1 200 euro i månaden och transaktionskostnaderna cirka 10 000 euro i månaden. Ändringen av bokningssystemet från pull till push har in- neburit kostnader på ca 10 000 euro för Finn- air Abp. Efter övergången till push-systemet kommer kostnaderna per månad enligt Finn- air Abp att vara betydligt lägre än i det pull- system som nu används. I push-systemet blir transaktionskostnaderna endast ca 100 euro i
RP 143/2007 rd 9
månaden. Finnair Abp har inte ännu ingått något avtal med bolaget Amadeus, som till- handahåller bokningstjänster för lufttrafikfö- retag, om de framtida driftskostnaderna, men kostnaderna kommer sannolikt att röra sig i samma klass som de nuvarande driftskostna- derna, dvs. cirka 1 200 euro i månaden. Dessutom bör det beaktas att USA också kräver push-överföringar ad hoc när det be- hövs, utöver de fyra normala push- överföringarna. Ad hoc-överföringarna sker senare än 72 timmar före planerad avgång. Därför måste flygtrafikbolagen ha dygnet- runt-beredskap att med 15 minuters varsel kunna leverera PNR-uppgifter till USA om någon viss flygning. Tills vidare finns inte denna beredskap inom Finnair Abp. Ama- deus erbjuder Finnair denna tjänst till ett pris på 600 euro per månad och detta kommer så- lunda att öka lufttrafikbolagens månatliga kostnader för överföring av PNR-uppgifter i push-systemet. Det nya avtalet medför alltså inte extra kostnader för flygtrafikbolagen. I push-systemet är transaktionskostnaderna be- tydligt lägre än i pull-systemet vilket betyder att push-systemet kommer att vara förmånli- gare för flygtrafikföretagen i framtiden. USA:s krav har även konsekvenser för andra finska lufttrafikföretag än Finnair. Kraven gäller även bland annat charterflyg som pas- serar Förenta staternas luftrum. Dessutom ska kraven beaktas i lufttrafikföretag som säljer andra företags flygningar till Förenta staterna.
Förslaget har ingen inverkan på statsbudge- ten.
6 Beredningen av propositionen
6.1 Avtalsförhandlingarna
Samförstånd om det tidigare PNR-avtalet från år 2006 uppnåddes den 6 oktober 2006. I rådets beslut om undertecknande ingick en bestämmelse om provisorisk tillämpning av avtalet från och med dagen för underteck- nandet. Enligt artikel 7 upphörde avtalet att gälla den dag då ett annat avtal ersätter det och i vilket fall som helst senast den 31 juli 2007, såvida det inte förlängs genom skriftlig överenskommelse mellan parterna. Under förhandlingarna kom man överens om att
förhandlingar om ett nytt avtal om överföring av PNR-uppgifter inleds utan dröjsmål.
Förhandlingsmandatet för ett nytt avtal som ersätter 2006 års avtal godkändes som A-punkt i rådet den 22 februari 2007. Tysk- land förde i egenskap av EU-ordförandeland tillsammans med kommissionen förhandling- ar med USA. Ordförandelandet och kommis- sionen informerade Xxxxxxx om förhand- lingsläget i flera repriser. RIF-rådet informe- rades om förhandlingsläget den 20 april 2007 och frågan debatterades under en lunch med RIF-rådet den 12 juni 2007. Ett förhandlings- resultat om det nya avtalet uppnåddes den 27 juni 2007. Det behandlades i Xxxxxxx den 29 juni 2007 och där fick huvudlinjerna i för- handlingsresultatet politiskt stöd av med- lemsstaterna.
Rådet godkände underteckningsfullmakter- na den 23 juli 2007 då avtalet även under- tecknades på EU:s vägnar i Bryssel. På USA:s vägnar undertecknades avtalet i Washington den 26 juli 2007.
Rådets beslut om undertecknande av avta- let innehåller en bestämmelse om att avtalet ska tillämpas provisoriskt från och med da- gen för undertecknandet och avtalet har så- lunda tillämpats provisoriskt från den 26 juli 2007. Beslut om det slutliga godkännandet av avtalet på unionens vägnar fattas sedan medlemsstaterna avslutat sina egna interna förfaranden.
6.2 Beredningen av propositionen i Fin- land
Kommissionens förslag till förhandlings- mandat behandlades i EU-ministerutskottet den 19 januari. Riksdagen informerades om förhandlingsmandatet i en E-skrivelse (E 150/2006 rd). Förhandlingsresultatet med- delades riksdagen i en U-skrivelse den 5 juli 2007 (U 18/2007 rd) samt en kompletterande utredning den 9 juli 2007 (U 18/2007 1, JM 9.7.2007 rd). Stora utskottet har i sitt uttalan- de den 12 juli 2007 omfattat statsrådets ståndpunkt, enligt vilken statsrådet kan god- känna förhandlingsresultatet även om det kan anses att det nya PNR-avtalet till vissa delar är svagare än det gällande avtalet. Enligt statsrådet och stora utskottet är det nödvän- digt att snabbt ingå ett nytt avtal eftersom
10 RP 143/2007 rd
den provisoriska tillämpningen av det gäl- lande avtalet upphörde den 31 juli 2007. På detta sätt kan man trygga att flygtrafiken mellan EU och USA kan fortsätta utan stör- ningar och att EU-medborgarna behandlas jämlikt vid överföringen av PNR-uppgifter. I samband med behandlingen av förslaget till undertecknande av avtalet har stora utskottet också förutsatt att Finland lämnar en förklar- ing enligt artikel 24.5 i EU-fördraget om att de konstitutionella förfarandena följs. I detta sammanhang påpekade utskottet att godkän- nandet av rådets beslut för Finlands del inte utgör ett prejudikat för innehållet i de natio- nella förfarandena (StU 14/2007 rd, 19 §).
Förslaget till regeringens proposition har beretts i justitieministeriet, tillsammans med utrikesministeriet, kommunikationsministeri- et och statsrådets kansli.
Propositionsutkastet har varit på remiss hos inrikesministeriet, handels- och industrimini- steriet, Luftfartsförvaltningen, Dataombuds- mannen och Finnair Abp. Utlåtandena har beaktats i arbetet med att färdigställa propo- sition.
7 Temporär tillämpning
I arbetet med 2007 års PNR-avtal beakta- des sannolikheten att en del av medlemssta- terna måste följa de förfaranden som avses i artikel 24.5 i EU-fördraget, då avtalet god- känns på unionens vägnar, vilket framkom- mit redan i samband med 2006 års PNR- avtal. Enligt artikel 24.5 i fördraget ska ett avtal inte vara bindande för en medlemsstat vars företrädare i rådet förklarar att med- lemsstaten måste uppfylla vissa krav som föl- jer av dess egna konstitutionella förfaranden. De övriga rådsmedlemmarna kan enas om att avtalet likväl ska gälla provisoriskt.
Den aktuella bestämmelsen i unionsfördra- get har senast ändrats genom Nicefördraget. Enligt regeringspropositionen om Niceför- draget ändrades bestämmelsen så att de övri- ga rådsmedlemmarna kan enas om att avtalet dock ska gälla temporärt i en sådan situation. Enligt den tidigare bestämmelsen kunde de övriga rådsmedlemmarna enas om att avtalet tillämpas temporärt på dem. Efter ändringen är tillämpningen sålunda inte längre begrän- sad endast till de medlemsstater som är
bundna av avtalet (RP 93/2001 rd). Grund- lagsutskottet ansåg att denna regel är nöd- vändig på grund av de praktiska omständig- heterna, inte minst i en utvidgad union. Ut- skottet ansåg att den inskränkning i suveräni- teten som artikeln medger har så små effekter på medlemsstaterna att den står i samklang med bestämmelserna om suveränitet i grund- lagen (GrUU 38/2001 rd). Eftersom det re- dan på förhand var känt att en del av med- lemsstaterna måste använda sig av möjlighe- ten i artikel 24.5 i EU-fördraget att följa sina konstitutionella förfaranden, togs en be- stämmelse om provisorisk tillämpning av av- talet in i avtalets ikraftträdandebestämmelse och rådet fattade beslut om provisorisk till- lämpning den 23 juli 2007. Till rådets proto- koll fogades dessutom en förklaring där det konstateras att medlemsstaterna temporärt tillämpar avtalet, som inte avviker från eller ändrar vare sig EU-rättsakterna eller lagstift- ningen i medlemsländerna. Tillämpningen sker med ärligt uppsåt och inom ramen för respektive medlemsstats gällande lagstift- ning. En förklaring med motsvarande inne- håll lämnades också i samband med under- tecknandet av 2006 års PNR-avtal.
Av EU:s medlemsstater har förutom Fin- land också Belgien, Tjeckien, Tyskland, Spanien, Lettland, Litauen, Ungern, Malta, Nederländerna och Polen lämnat en förklar- ing enligt artikel 24.5 i EU-fördraget.
I statsrådets förordning om provisorisk till- lämpning av avtalet mellan Europeiska unio- nen och Amerikas förenta stater om lufttra- fikföretags behandling av passageraruppgif- ter och överföring av dessa till Förenta sta- ternas Department of Homeland Security och av lagen om sättande i kraft av de bestäm- melser i avtalet som hör till området för lag- stiftningen (365/2007) föreskrivs att 2006 års PNR-avtal ska tillämpas provisoriskt från och med undertecknandet, dvs. från den 19 oktober 2006. I förordningen bestäms det också att den blandade lagen om sättande i kraft av avtalet ska tillämpas provisoriskt från nämnda tidpunkt. Eftersom det i 2006 års PNR-avtal bestäms att det avtalet upphör att gälla senast den 31 juli 2007, såvida det inte förlängs genom skriftlig överenskom- melse mellan parterna, föreslås det att både den nämnda lagen och statsrådets förordning
RP 143/2007 rd 11
upphävs. Detta är motiverat eftersom 2007 års PNR-avtal har ersatt 2006 års avtal i sin helhet från och med det att 2007 års avtal undertecknades. Meningen är att i statsrådet
lägga fram förslaget om upphävande av lagen och förordningen samtidigt som riksdagens svar på regeringens proposition om 2007 års PNR-avtal föredras i statsrådet.
12 RP 143/2007 rd
DETALJMOTIVERING
1 Avtalsskyldighetens innebörd
och förhållande till lagstiftning- en i Finland
1.1 Avtalet mellan Europeiska unionen och Amerikas förenta stater om luft- trafikföretags behandling av passa- geraruppgifter (PNR) och överföring av dessa till Förenta staternas De- partment of Homeland Security (DHS) (2007 års PNR-avtal)
Avtalets ingress. Avtalets syfte är det samma som i de tidigare avtalen. I ingressens första led erkänns fortfarande de avtals- slutande parternas önskan att effektivt före- bygga och bekämpa terrorism och gränsöver- skridande brottslighet.
Ingressens andra led är nytt i jämförelse med det tidigare avtalet. I det erkänner par- terna att informationsutbyte är ett väsentligt inslag i kampen mot terrorism och gräns- överskridande brottslighet och att använd- ningen av passageraruppgifter (PNR- uppgifter) är ett viktigt redskap i detta sam- manhang.
I det tredje ledet erkänner parterna att det för att skydda allmän säkerhet och av brotts- bekämpningsskäl bör fastställas regler om lufttrafikföretags överföring av PNR- uppgifter till DHS. Detta led i ingressen mot- svarar det andra ledet i det tidigare avtalet med den skillnaden att det inte längre anges vilka alla organisationer som ska räknas till DHS. Enligt den tidigare definitionen av DHS avsåg man med DHS tull- och gräns- skyddsmyndigheten (Bureau of Customs and Border Protection), Förenta staternas migra- tions- och tullkriminalpolis (U.S. Immigra- tion and Customs Enforcement), samt kabi- nettet (Office of the Secretary) vid departe- mentet för inrikes säkerhet och de enheter som direkt stöder det. Utanför definitionen hade uttryckligen lämnats de övriga avdel- ningarna vid departementet för inrikes säker- het, t.ex. immigrationsmyndigheten (Citizen-
ship and Immigration Services), trafiksäker- hetsförvaltningen (Transportation Security Administration), Förenta staternas underrät- telsetjänst (United States Secret Service), Förenta Staternas kustbevakning (United Sta- tes Coast Guard) samt federationens rädd- ningsverk (Federal Emergency Management Agency). Eftersom de nämnda organen, som tidigare utelämnats, utgör en del av DHS om- fattas också bl.a. dessa nu av det nya avtalet. DHS:s beståndsdelar (components) finns uppräknade på DHS webbsidor. Samtliga DHS-organ ska behandla PNR-uppgifterna på det sätt som avtalet förutsätter.
Enligt ingressens fjärde led erkänner par- terna på samma sätt som i det tidigare avtalet vikten av att förebygga och bekämpa terro- rism och därmed förknippad brottslighet samt andra grova brott av gränsöverskridan- de karaktär, däribland organiserad brottslig- het, samtidigt som de grundläggande fri- och rättigheterna, särskilt skydd för privatlivet, respekteras.
Ingressens femte led är nytt i jämförelse med det tidigare avtalet. I det erkänner par- terna att USA:s och EU:s lagstiftning och po- licy rörande skyddet av privatlivet har en gemensam grund och att eventuella skillna- der i tillämpningen av dessa principer inte bör utgöra något hinder för samarbetet mel- lan USA och EU.
Enligt det sjätte ledet beaktar parterna in- ternationella konventioner och amerikanska lagar och förordningar enligt vilka alla luft- trafikföretag som bedriver utländsk passage- rartrafik till och från USA ska ge DHS till- gång till PNR-uppgifter i den mån de samlas in och bevaras i lufttrafikföretagens datorise- rade boknings- och avgångskontrollsystem (nedan kallade ”bokningssystem”) samt jäm- förbara krav som tillämpas i EU. I fråga om innehållet motsvarar texten det tidigare avta- let i sak, men numera förutsätts det på grund av övergången till push-systemet inte längre att DHS får elektronisk tillgång till systemen. Xxxxx har också fått en hänvisning till inter-
RP 143/2007 rd 13
nationella konventioner och en ömsesidig- hetsklausul om jämförbara krav som tilläm- pas inom EU.
Det sjunde ledet motsvarar det tidigare av- talet och där erkänner parterna att de beaktar artikel 6.2 i fördraget om Europeiska unionen om respekt för de grundläggande rättigheter- na och i synnerhet den närliggande rätten till skydd av personuppgifter.
Enligt det åttonde ledet noterar parterna de tidigare avtalen från år 2004 och 2006 om överföring av PNR-uppgifter.
I nionde ledet hänvisas det liksom i det ti- digare avtalet till relevant amerikansk lag- stiftning efter år 2001, dvs. lagen om säker- het vid flygtransporter (Aviation Transport Security Act) från år 2001, lagen om nationell säkerhet (Homeland Security Act) från år 2002, lagen om reform av underrättelsevä- sendet och förebyggande av terrorism (Intel- ligence Reform and Terrorism Prevention Act) från år 2004 och förordningen 13388 (Executive Order) om samarbetet mellan Förenta Staternas regeringsorgan i kampen mot terrorism. Till skillnad från det tidigare avtalet hänvisas det dessutom till lagen om skydd för privatlivet (Privacy Act) från år 1974, lagen om informationsfrihet (Freedom of Informations Act) från 2002 och lagen om e-förvaltning (E-government Act) från år 2002.
I ingressens tionde led förutsätts det att EU bör garantera att lufttrafikföretag med bok- ningssystem belägna inom EU ger DHS till- gång till PNR-uppgifter och följer de teknis- ka krav för denna överföring som specifice- ras av DHS. Enligt det tidigare avtalet skulle DHS få datoriserad åtkomst till PNR- uppgifter (pull-systemet) tills det blev tek- niskt möjligt för lufttrafikföretagen att inleda överföringen av uppgifterna till DHS. Den nya formuleringen beror på att man senast den 1.1.2008 övergår till ett push-system och då kan DHS inte längre själv hämta uppgifter i lufttrafikföretagens bokningssystem. Över- gången till push-systemet sker dock endast i fråga om de lufttrafikföretag som uppfyller de tekniska krav som DHS ställer. I fråga om de övriga fortsätter man med pull-systemet.
I det elfte ledet bekräftas på samma sätt om i det tidigare avtalet att avtalet inte utgör nå- got prejudikat för eventuella framtida över-
läggningar eller förhandlingar mellan USA och Europeiska unionen eller mellan någon av parterna och någon stat när det gäller be- handling och överföring av PNR-uppgifter eller andra slags uppgifter.
Ingressens tolfte led är nytt i jämförelse med det tidigare avtalet och i det meddelar parterna att de strävar efter att öka och främja samarbetet mellan parterna i en anda av transatlantiskt partnerskap.
Artikel 1. I artikeln åläggs EU att se till att lufttrafikföretag som bedriver utländsk pas- sagerartrafik till eller från Förenta staterna efter begäran från DHS ska ge tillgång till PNR-uppgifter som bevaras i deras bok- ningssystem. Skyldigheten utgår från garan- tierna i skrivelsen från DHS där dess skydd av PNR-uppgifter förklaras. I princip mot- svarar artikeln artikel 1 i det tidigare avtalet i sak. Förutsättningen för EU:s skyldigheter enligt det tidigare avtalet var dock att DHS följde åtagandena i det tidigare avtalet från 2004 så som de tolkades i ljuset av senare händelser. Nu bygger skyldigheterna på ga- rantier som DHS har lämnat tidigare.
Artikel 2. Artikeln innehåller en bestäm- melse om övergång till ett system där lufttra- fikföretagen själva levererar PNR-uppgifter till DHS med hjälp av ett push-system. Enligt artikeln ska DHS omedelbart och senast den 1 januari 2008 övergå till ett push-system för alla sådana lufttrafikföretag som har infört ett system som överensstämmer med DHS:s tekniska krav. För de lufttrafikföretag som inte har infört ett sådant system ska de nuva- rande systemen fortsätta att gälla till dess att lufttrafikföretagen har infört ett system som överensstämmer med DHS tekniska krav. I enlighet med artikel 2 i det tidigare avtalet garanteras DHS sålunda elektronisk tillgång till PNR-uppgifter från lufttrafikföretags bokningssystem som är belägna inom EU till dess att ett tillfredsställande system har inrät- tats som gör det möjligt för lufttrafikföreta- gen att föra över sådana uppgifter. För närva- rande används push-system endast av KLM och Swiss International Air Lines. Lufttrafik- företaget Virgin Atlantic har för avsikt att övergå till systemet före ingången av år 2008. SAS, Alitalia och AerLingus samt Amadeus-lufttrafikföretagen Finnair, British Airways, Iberia, Lufthansa, Air France, Au-
14 RP 143/2007 rd
strian Airlines och Oantas har inte ännu övergått till att använda push-system.
Artikel 3. Artikeln innehåller en bestäm- melse som förbjuder diskriminering. Enligt den ska DHS behandla de PNR-uppgifter som den tar emot och de registrerade perso- ner som berörs av denna behandling i enlig- het med gällande amerikansk lagstiftning och konstitutionella krav och utan olaga diskri- minering, framför allt grundad på nationalitet eller bosättningsland. Till denna del motsva- rar artikeln de tidigare avtalen. I artikeln på- pekas det dessutom att dessa och andra skyddsåtgärder anges i DHS-skrivelsen.
Artikel 4. I överensstämmelse med det tidi- gare avtalet har det i avtalet tagits in en be- stämmelse om att genomförandet av avtalet ska ses över gemensamt. Enligt det tidigare avtalet skedde översynen regelbundet (regu- larly). Enligt den nya artikel 4 ska DHS och EU regelbundet (periodically) se över till- lämpningen av avtalet och översynen gäller också DHS-skrivelsen samt USA:s och EU:s policy och praxis i fråga om PNR-systemet. Syftet med översynen är att ömsesidigt ga- rantera att deras system fungerar effektivt och skyddar privatlivet.
Artikel 5. I artikeln föreskrivs om ömsesi- dighetsprincipen. Enligt artikeln förväntar sig DHS genom detta avtal att det inte ska begä- ras att DHS vidtar sådana åtgärder för upp- giftsskydd i sitt PNR-system som är striktare än de som tillämpas av europeiska myndig- heter för deras inhemska PNR-system. I arti- keln anges det också att DHS på motsvaran- de sätt inte begär att de europeiska myndig- heterna ska vidta sådana åtgärder för upp- giftsskydd i deras PNR-system som är strik- tare än de som tillämpas av Förenta staterna för deras PNR-system. Om denna förvänt- ning inte uppfylls förbehåller sig DHS rätten att upphäva de tillämpliga bestämmelserna i DHS-skrivelsen under den tid som samråd hålls med EU i syfte att nå en snabb och till- fredsställande lösning.
Bestämmelsen är ny i jämförelse med det tidigare avtalet. Genom den vill USA säker- ställa att om EU eller något av dess med- lemsländer tar i bruk ett PNR-system med mindre strikta krav på uppgiftsskydd än vad som tillämpas i USA på EU-PNR-uppgifter, ska USA ha rätt att sänka sin skyddsnivå på
motsvarande sätt. Med andra ord vill USA inte ge PNR-uppgifter som kommer från EU ett mer effektivt skydd än vad EU själv till- handahåller.
I artikeln fastställs det dessutom att om det i EU eller i en eller flera av dess medlemssta- ter införs ett PNR-system som kräver att luft- trafikföretag ger myndigheterna tillgång till PNR-uppgifter om personer vilkas resrutt omfattar en flygning till eller från EU, ska DHS, helt och hållet grundat på ömsesidig- het, aktivt främja samarbete mellan lufttrafik- företag inom dess jurisdiktion. Bestämmel- sen motsvarar i huvudsak bestämmelsen i det tidigare avtalet. I skrivningen har man dock beaktat övergången från pull-system till push-system. Enligt det tidigare avtalet skulle dessutom DHS endast i den mån det var praktiskt genomförbart uppmana flygbolag inom dess jurisdiktion att samarbeta.
Artikel 6. Enligt artikeln ska DHS för till- lämpningen av detta avtal anses säkerställa en tillfredsställande skyddsnivå för de PNR- uppgifter som överförs från EU. En motsva- rande bestämmelse ingick också i det tidigare avtalet. Artikeln är viktig därför att det enligt artikel 25 i EG:s dataskyddsdirektiv får ske en överföring av personuppgifter till tredje- land endast om ifrågavarande tredjeland sä- kerställer en adekvat skyddsnivå. De flesta gamla EU-staterna har hittills följt principer- na i dataskyddsdirektivet även på andra om- råden än sådana som hör till tillämpningsom- rådet för dataskyddsdirektivet inom den för- sta pelaren. Sålunda tillämpas principerna i dataskyddsdirektivet allmänt även på överfö- ringar av PNR-uppgifter även om det inte finns någon skyldighet till följd av EG-rätten att göra detta. Bestämmelsen i artikel 6 för- anleder antagandet att så länge DHS tilläm- par garantierna som lämnas i skrivelsen har de nationella dataskyddsmyndigheterna inte någon anledning att ingripa i överföringar av uppgifter med motiveringen att DHS inte ga- ranterar ett tillräckligt skydd för PNR- uppgifter.
I artikeln anges vidare att EU inte av upp- giftsskyddsskäl ska blanda sig i förbindelser- na mellan USA och tredjeländer när det gäll- er utbyte av passageraruppgifter. I det tidiga- re avtalet ingick ingen motsvarande bestäm- melse. I praktiken betyder detta att EU vid
RP 143/2007 rd 15
tillämpningen av avtalet inte kan blanda sig i överföringen av PNR-uppgifter från USA till tredjeland, inte ens när det i princip kan an- ses att landet i fråga inte kan garantera en tillräcklig skyddsnivå.
Enligt DHS-skrivelsen utbyts PNR- uppgifter med statliga myndigheter i tredje- länder först efter beaktande av mottagarens avsedda användningsområden och förmåga att skydda informationen. Med undantag av brådskande situationer ska allt sådant utbyte av uppgifter ske enligt uttryckliga överens- kommelser mellan parterna. Överenskom- melserna ska innehålla bestämmelser om skydd för personuppgifter som är jämförbara med det skydd som DHS tillämpar på EU- PNR-uppgifter och som beskrivs i andra stycket i punkt II. Punkten i fråga gäller ut- byte av PNR-uppgifter.
Artikel 7. Artikeln är ny i jämförelse med de tidigare avtalen och den gäller information till passagerarna. Enligt artikeln ska USA och EU samarbeta med berörda parter i luft- fartssektorn för att främja större synlighet för meddelanden som beskriver PNR-system (inklusive prövnings- och insamlingsförfa- randen) för resenärer och ska uppmana luft- trafikföretag att hänvisa till och införliva des- sa meddelanden i det officiella befordrings- avtalet. Motsvarande bestämmelse fanns inte i de tidigare avtalen, men i de åtaganden som avtalen utgick från förutsattes det att resenä- rerna informeras.
Artikel 8. Om EU fastställer att USA har brutit mot detta avtal är den enda korriger- ingsåtgärden att säga upp avtalet och upphä- va det fastställande av tillfredsställande skyddsnivå som avses i punkt 6. Om USA fastställer att EU har brutit mot avtalet är den enda korrigeringsåtgärden att säga upp avta- let och upphäva DHS-skrivelsen.
Artikel 9. Artikeln innehåller ikraftträdel- sebestämmelsen samt bestämmelserna om provisorisk tillämpning, avbrytande av till- lämpningen, uppsägning och upphörande av avtalet. Enligt artikeln träder avtalet i kraft den första dagen i den månad som följer på den dag då parterna utväxlat underrättelser om att de har avslutat sina interna förfaran- den i detta syfte. Enligt artikel 24.5 i fördra- get om Europeiska unionen ska ett avtal inte vara bindande för en medlemsstat vars före-
trädare i rådet förklarar att medlemsstaten måste uppfylla vissa krav som följer av dess egna konstitutionella förfaranden. I fråga om 2007 års PNR-avtal lämnade elva stater, in- klusive Finland, en förklaring enligt artikel
24.5. Dessutom fogades en förklaring av EU till avtalet, i vilken det fastställs att medlems- staterna fram till dess att avtalet träder i kraft tillämpar avtalet provisoriskt och med ärligt uppsåt samt inom ramen för gällande natio- nell rätt. I förklaringen konstateras det också att avtalet varken avviker eller ändrar lag- stiftningen i EU eller i dess medlemsländer. För Finlands del innebär detta förfarande att avtalet blir bindande för Finland först sedan riksdagen har behandlat det i enlighet med den finska grundlagen och detta har anmälts till rådets sekretariat.
Enligt artikel 9 tillämpas det nya avtalet provisoriskt från och med dagen för under- tecknandet. Varje part får säga upp eller av- bryta avtalet när som helst genom anmälan på diplomatisk väg. Uppsägningen får verkan trettio (30) dagar efter dagen för sådan anmä- lan till den andra parten, om inte någon av parterna anser att en kortare uppsägningstid är väsentlig på grund av nationella säkerhets- intressen. Detta avtal och de skyldigheter det medför ska upphöra att gälla sju år efter den dag då det undertecknades om inte parterna ömsesidigt beslutar att ersätta det.
Enligt artikeln innebär avtalet inte något undantag från eller någon ändring av lagstift- ningen vare sig i USA eller i EU eller dess medlemsstater. En motsvarande bestämmelse ingick i det tidigare avtalet. Detta betyder för EU att de nationella dataskyddsmyndigheter- nas befogenheter kvarstår oförändrade. Data- skyddsmyndigheterna kan följaktligen för- hindra överföring av uppgifter om PNR- uppgifterna inte har behandlats i enlighet med de nationella bestämmelserna om data- skydd (t.ex. om felaktiga uppgifter inte har korrigerats) innan överföringen till DHS. I det tidigare avtalet ingick omnämnandet av de nationella dataskyddsmyndigheternas be- fogenheter i rådets beslut om undertecknan- defullmakterna för avtalet. Nu har det inte ansetts nödvändigt att ta med motsvarande omnämnande i rådets beslut.
Enligt slutbestämmelserna utgör avtalet inte heller grund för några rättigheter eller
16 RP 143/2007 rd
förmåner för några andra privata eller offent- liga personer eller enheter. Också till denna del motsvarar artikeln det tidigare avtalet.
1.2 Förenta staternas skrivelse till EU
Xxxxxxxxxxx huvudsakliga innehåll
Enligt skrivelsen syftar den till att förklara hur DHS hanterar insamling, användning och lagring av PNR-uppgifter. Skrivelsen ersätter åtagandena från år 2004 som de tidigare PNR-avtalen har byggt på. Skrivelsen tar upp det syfte som PNR-uppgifter används för, ut- byte av PNR-uppgifter med andra ameri- kanska myndigheter och tredjeländer, typer av information som samlas in, den registre- rades tillgång till och rätt till prövning av uppgifter samt verkställande, meddelande om behandlingen av PNR-uppgifter, bevarande av uppgifter, överföring av uppgifter från flygtrafikbolagen till DHS, ömsesidighet och översyn av avtalet. Enligt skrivelsen utgör ingen policy som framförs i skrivelsen någon grund för några rättigheter eller förmåner för privata eller offentliga personer eller parter och inte heller några andra korrigeringsåt- gärder än de som anges i avtalet mellan EU och DHS. I stället ger skrivelsen garantier och återspeglar den policy som DHS tilläm- par på PNR-uppgifter enligt amerikansk lag- stiftning.
I Det syfte som PNR-uppgifter används för
I DHS-skrivelsen har det syfte som PNR- uppgifterna används för definierats liksom i de amerikanska åtagandena som hört till de tidigare avtalen. DHS använder uppgifter uteslutande i syfte att förhindra och bekämpa
1) terrorism och därmed förknippad brotts- lighet, 2) annan grov brottslighet, inklusive organiserad brottslighet, av gränsöverskri- dande karaktär, och 3) flykt från arreste- ringsorder eller frihetsberövande i samband med ovan nämnda brott.
I DHS-skrivelsen fastställs det också att PNR-uppgifter får användas när de behövs för att skydda den registrerade personens el- ler andra personers vitala intressen. Uppgifter får också användas i straffrättsliga förfaran- den eller i andra fall då det krävs enligt lag-
stiftningen. Dessa båda syften har varit tillåt- na redan med stöd av de tidigare avtalen.
Enligt skrivelsen kommer DHS att under- rätta EU om antagandet av amerikansk lag- stiftning som påverkar sakinnehållet i de för- klaringar som ges i denna skrivelse.
II Utbyte av PNR-uppgifter
Enligt skrivelsen ska DHS utbyta EU- PNR-uppgifter endast för de syften som an- ges ovan.
Enligt det andra stycket meddelar DHS att EU-PNR-uppgifter ska behandlas som käns- liga och konfidentiella i enlighet med USA:s lagar. DHS tillhandahåller PNR-uppgifter endast till andra inhemska statliga myndighe- ter som har en funktion som rör brottsbe- kämpning, allmän säkerhet eller kamp mot terrorism. Uppgifter lämnas ut som stöd för ärenden som avser kamp mot terrorism, gränsöverskridande brottslighet och allmän säkerhet. Hot, flygningar, personer och rutter som väcker farhågor nämns som exempel. Åtkomsten begränsas enligt proportionali- tetsprincipen strikt och omsorgsfullt till de fall som beskrivs ovan.
Enligt det tredje stycket utbyts PNR- uppgifter med andra statliga myndigheter i tredjeländer först efter beaktande av mottaga- rens avsedda användningsområde(n) och förmåga att skydda informationen. Med un- dantag av brådskande situationer ska allt så- dant utbyte av uppgifter ske enligt överens- kommelser mellan parterna. Dessa överens- kommelser ska innehålla sådana bestämmel- ser om skydd för personuppgifter som är jämförbara med de bestämmelser om skydd som DHS tillämpar på EU-PNR-uppgifter enligt föregående stycke.
Enligt 2004 års åtaganden som utgjort grund för de tidigare avtalen kunde uppgifter utbytas med andra myndigheter i USA och andra stater endast från fall till fall för att förhindra och förebygga specificerade brott. I DHS-skrivelsen förutsätts det inte att överfö- ringen ska ske från fall till fall. Redan i sin skrivelse om tolkningen av åtagandena till 2006 års avtal meddelade DHS att man hade för avsikt underlätta överföringen av PNR- uppgifter till sådana amerikanska myndighe- ter som arbetade med terrorismbekämpning
RP 143/2007 rd 17
och som behövde PNR-uppgifter i aktuella fall för att förebygga och bekämpa terrorism och därmed förknippad brottslighet. Detta var en följd av den nya amerikanska lagstift- ningen och byggde på punkt 35 i åtagandena. Enligt den punkten hindrade inte någon be- stämmelse i åtagandena att PNR-uppgifter användes i eller överlämnades för straffrätts- liga förfaranden eller andra fall då det kräv- des enligt lagstiftningen. Enligt punkt 35 skulle CBP underrätta kommissionen om an- tagandet av amerikansk lagstiftning som på- verkade sakinnehållet i de förklaringar som gavs i åtagandena. I sin skrivelse meddelade DHS att underrättelsereformen och 2004 års lag om bekämpning av terrorism förutsatte att presidenten etablerade en underrättelse- miljö som skulle underlätta utbytet av upp- gifter om terrorism. I skrivelsen angavs det att presidenten efter lagens tillkomst hade ut- färdat en förordning, Executive Act 13388, den 25 oktober 2005 enligt vilken DHS och andra myndigheter utan dröjsmål ger ledaren för varje myndighet med uppdrag som är för- knippade med terrorism tillgång till uppgifter om terrorism. Genom förordningen etablera- des också ett system för att skapa en under- rättelsemiljö.
III Typer av information som samlas in
Avtalet utökar inte antalet PNR-uppgifter som ska samlas in. Tidigare fanns det 34 uppgiftsgrupper men nu har de reducerats till
19. Uppgifterna som behandlas har dock de facto inte minskat utan de har omgrupperats och uppgifter av liknande typ har samman- förts i en och samma grupp (t.ex. hör uppgif- terna om resebyrå och tjänsteman nu till samma grupp och platsinformationen omfat- tar numera också platsnummer som tidigare utgjorde en egen grupp). Lufttrafikbolagen samlar också andra PNR-uppgifter än de 19 grupper som ska överföras.
Om de uppgifter som DHS får innehåller känsliga uppgifter, som anges med de PNR- koder eller PNR-beteckningar som DHS har fastställt i samråd med kommissionen, utnytt- jar DHS ett automatiskt system som filtrerar de känsliga koderna och beteckningarna och använder inte denna information. Känsliga uppgifter raderas i regel genast. Som känsli-
ga uppgifter räknas t.ex. personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter som rör en persons hälsa eller sexualliv.
DHS får kräva och använda också annan information i EU-PNR-uppgifter än de som förtecknas ovan, inklusive känsliga uppgifter, om det är nödvändigt i undantagsfall då en registrerad person eller andra personers liv kan vara i fara eller då dessa personer riske- rar att skadas allvarligt. I sådana fall kommer DHS att föra en åtkomstlogg för alla känsliga EU-PNR-uppgifter och kommer att radera uppgifterna inom 30 dagar, så snart det syfte för vilket åtkomst har skett har uppnåtts och om det inte krävs enligt lag att uppgifterna bevaras. DHS kommer att underrätta kom- missionen, normalt inom 48 timmar, om att åtkomst har skett till sådana uppgifter.
De tidigare avtalsarrangemangen innehöll inte något uttryckligt omnämnande av han- teringen av känsliga PNR-uppgifter.
Genom granskning av en persons flygbil- jett och andra resehandlingar kan DHS erhål- la de flesta PNR-uppgifterna även utan det avtal som nu förhandlats fram. DHS anser dock att möjligheten att erhålla dessa uppgif- ter elektroniskt ökar i betydande utsträckning DHS förmåga att inrikta sina resurser på högriskfrågor, vilket främjar och skyddar re- sande med ärligt uppsåt.
IV Tillgång och prövning
DHS meddelar i sin skrivelse att man fattat ett policybeslut om att utvidga federationens administrativa skydd enligt lagen om skydd för privatlivet (Privacy Act) till att gälla PNR-uppgifter oberoende av den registrerade personens nationalitet och bosättningsland, inklusive uppgifter som avser europeiska medborgare. Att skyddet enligt Privacy Act utsträcks till även andra personer än ameri- kanska medborgare eller personer som är fast bosatta i landet är något som inte funnits i de tidigare avtalen.
Privacy Act från år 1974 togs fram särskilt som ett svar på de utmaningar som är för- knippade med e-tekniken och personregist- ren. Privacy Act gäller största delen av de personregister som federationen upprätthål-
18 RP 143/2007 rd
ler. Den garanterar vissa rättigheter för de amerikanska medborgarna och för dem som är fast bosatta i landet, om inte något annat föreskrivs i någon annan lag. Enligt Privacy Act får personuppgifter behandlas endast för nödvändiga och lagenliga ändamål och upp- gifterna ska vara korrekta och aktuella med hänsyn till användningsändamålet. En regi- strerad person har rätt att få information om hur uppgifterna om honom eller henne be- handlas och utan den registrerade personens samtycke får uppgifterna inte användas eller överlämnas för något annat ändamål än det de ursprungligen insamlats för. Privacy Act har dock urvattnats genom flera undantag. Dessa gäller bl.a. CIA:s och de brottsbekäm- pande myndigheternas register. Privacy Act blir inte tillämplig om uppgifterna ska över- lämnas med stöd av lagen om informations- frihet (Freedom of Information Act, FOIA). Enligt det största undantaget kan uppgifter överlämnas för vilket rutinändamål som helst om överlämnandet är förenligt med det ur- sprungliga användningsändamålet. Lagen tillåter bl.a. utbyte av uppgifter mellan de fe- derala myndigheterna för civilrättsliga och straffrättsliga ändamål. Sammantaget finns det ca ett dussin försvagande undantag till Privacy Act.
DHS meddelar i sin skrivelse att DHS upp- rätthåller ett system i enlighet med Förenta staternas lagstiftning, ett system som är till- gängligt för enskilda personer, oberoende av nationalitet och bosättningsland, för att bevil- ja prövning för personer som söker informa- tion om eller rättelse av PNR-uppgifter. En- ligt skrivelsen finns denna policy tillänglig på DHS:s webbplats. PNR-uppgifter som lämnats om en enskild person ska dessutom lämnas ut till den registrerade i enlighet med Förenta staternas lagstiftning. Enligt lagen om informationsfrihet FOIA tillåts en person (oberoende av nationalitet och bosättnings- land) att få tillgång till registren hos Förenta staternas federala byrå, utom i de undantags- fall som föreskrivs i lagen. Om DHS i vissa undantagsfall med stöd av FOIA vägrar att lämna ut uppgifter till en registrerad person, har han eller hon rätt att begära administrativ eller rättslig prövning av DHS:s beslut att hålla inne information.
V Verkställande
Administrativa, civila och straffrättsliga verkställandeåtgärder finns tillgängliga enligt amerikansk lag vid kränkningar av bestäm- melserna om skydd för privatlivet och obehö- rigt utlämnande av registeruppgifter.
VI Meddelande
DHS har informerat resenärerna om sin be- handling av PNR-uppgifter genom offentlig- görande i det federala registret (Federal Re- gister) och på sin webbplats. DHS kommer också att ge lufttrafikföretagen ett meddelan- deformulär om insamling av PNR-uppgifter och prövningsförfaranden som ska finnas tillgängligt för allmänheten. DHS och EU kommer att samarbeta med de berörda par- terna inom luftfartssektorn för att främja att detta meddelande får större spridning.
VII Bevarande av uppgifter
PNR-uppgifter ska numera bevaras i en ak- tiv databas under sju år, tidigare var uppbe- varingstiden 3,5 år. Enligt kommissionens meddelande har uppbevaringstiden i aktiv databas förlängts för att DHS ska kunna sam- la in mera erfarenhet om hur länge det är nödvändigt att spara PNR-uppgifter i anti- terroristiskt syfte. Uppgifter som rör ett spe- cifikt ärende eller en specifik utredning får bevaras i en aktiv databas till dess att ärendet eller utredningen har arkiverats.
Uppgifter i vilande status (data in dormant status), dvs. uppgifter som inte längre an- vänds aktivt bevaras åtta år liksom tidigare. Denna information får användas endast för utredningar av specifika fall.
DHS konstaterar i sin skrivelse att man för- väntar sig att EU-PNR-uppgifter ska raderas vid utgången av åtta år i vilande status. En- ligt skrivelsen kommer DHS och EU att i framtida diskussioner behandla frågor om hur och när PNR-uppgifter som samlats in i enlighet med skrivelsen ska förstöras. DHS har för avsikt att analysera de effekter som dessa regler för bevarande har på operationer och utredningar, på grundval av sina erfaren- heter under de närmaste sju åren. DHS kom-
RP 143/2007 rd 19
mer att diskutera resultatet av denna översyn med EU.
De ovan nämnda bevarandeperioderna gäller också EU-PNR-uppgifter som samlats in på grundval av de tidigare avtalen.
VIII Överföring
Lufttrafikföretagen börjar själva överföra uppgifter till DHS (push) genast som detta blir tekniskt möjligt. Detta konstaterades re- dan i det tidigare avtalet. Nu har ett sista da- tum satts ut för övergången till push-systemet (1 januari 2008). Före detta datum ska DHS övergå till ett push-system för alla sådana lufttrafikföretag som har infört ett system som överensstämmer med alla DHS:s teknis- ka krav. Finnair som är ett lufttrafikföretag inom Amadeus har inte ännu börjat använda push-metoden. Lufttrafikföretagen inom Amadeus har skickat skrivelser till de ameri- kanska myndigheterna i maj och augusti 2007 i vilka de föreslår att övergången till push-systemet ska ske så snart som möjligt. I en svarsskrivelse i oktober 2007 har de ame- rikanska myndigheterna dock låtit förstå att det push-system som Amadeus föreslår inte motsvarar de amerikanska myndigheternas krav. AEA (Association European Airlines) kommer att informera kommissionen om USA:s svar.
I enlighet med de tidigare avtalen överförs PNR-uppgifter under normala förhållanden till DHS 72 timmar före en planerad avgång och därefter får DHS de uppdateringar som behövs för att garantera uppgifternas kor- rekthet. DHS får kräva PNR-uppgifter tidiga- re än 72 timmar före den planerade avgången om det finns tecken på att det är nödvändigt med tidig åtkomst för att ge bistånd vid han- teringen av ett specifikt hot mot en flygning, en rad flygningar, en rutt eller andra omstän- digheter i samband med användningsända- målen för PNR-uppgifter. Enligt 2004 års av- tal överfördes uppgifter undantagsvis tidigare än 72 timmar före avgång om man hade fått förhandsinformation om att en person som gav anledning till särskild oro skulle resa med flyget. I samband med 2006 års avtal meddelade DHS att man tolkar denna punkt i åtagandena till avtalet så att DHS ska ha åt- komst till PNR-uppgifter tidigare än 72 tim-
mar om det finns tecken på att tidig tillgång till uppgifterna sannolikt skulle underlätta avvärjandet av ett särskilt hot mot ett flyg, en rad flyg, en rutt eller andra omständigheter i anslutning till brott som avses i åtagandena.
IX Ömsesidighet
I skrivelsen finns en likadan bestämmelse om ömsesidighet som i själva avtalet. Dess- utom fastställs det i skrivelsen att DHS, för att främja polissamarbete och rättsligt samar- bete, kommer att främja överföringen av ana- lytisk information som härrör från PNR- uppgifter från behöriga myndigheter i USA till polismyndigheter och rättsliga myndighe- ter i de berörda medlemsstaterna och, i före- kommande fall, till Europol och Eurojust. DHS förväntar sig att också EU och dess medlemsstater ska uppmana sina berörda myndigheter att lämna motsvarande informa- tion till DHS och andra berörda myndigheter i USA.
X Översyn
DHS och EU kommer att regelbundet se över tillämpning av avtalet, DHS-skrivelsen, USA:s och EU:s policy och praxis när det gäller PNR-uppgifter samt alla fall av åt- komst till känsliga uppgifter, i syfte att bidra till ett effektivt genomförande och skydd för privatlivet.
Vid översynen kommer EU att företrädas av kommissionsledamoten för rättvisa, frihet och säkerhet och DHS av sekreteraren för DHS eller av en sådan ömsesidigt godtagbar tjänsteman som parterna kan enas om. EU och DHS fastställer föreskrifterna för över- synen i samråd.
1.3 EU:s skrivelse till Förenta staterna
I EU:s svarsskrivelse fastställs det att de garantier som EU fått och som förklaras i Förenta staternas skrivelse till EU gör det möjligt för EU att bedöma att DHS säkerstäl- ler en tillfredsställande skyddsnivå för PNR- avtalet som undertecknades i juli 2007.
På grundval av detta kommer EU att vidta alla åtgärder som krävs för att hindra interna- tionella organisationer och tredjeländer från
20 RP 143/2007 rd
att blanda sig i överföringar av EU-PNR- uppgifter till USA. EU och dess medlemssta- ter kommer också att uppmana sina behöriga myndigheter att lämna analytisk information som härrör från PNR-uppgifter till DHS och andra behöriga myndigheter i USA.
I skrivelsen uttrycks EU:s avsikt att samar- beta med DHS och luftfartssektorn för att garantera att passagerarna informeras om hur regeringarna kan använda deras informa- tion.
2 Lagförslag
Lag om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i av- talet mellan Europeiska unionen och Ameri- kas förenta stater om lufttrafikföretags be- handling av passageraruppgifter (PNR) och överföring av dessa till Förenta staternas Department of Homeland Security (DHS) (2007 års PNR-avtal) och om tillämpning av avtalet
1 §. Paragrafen innehåller en bestämmelse om att de bestämmelser som hör till området för lagstiftningen gäller som lag sådana som Finland som medlemsstat i Europeiska unio- nen har förbundit sig till dem. Bestämmelsen avviker från den vanliga blankobestämmel- sen i lagarna om ikraftsättande av Finlands fördrag. Grundlagsutskottet har ansett det nödvändigt att revidera skrivningen av be- stämmelsen på det i 1 § föreslagna sättet ef- tersom ett avtal som grundar sig på artikel 24 och 38 i unionsfördraget blir bindande för Finland som medlemsstat i Europeiska unio- nen och genom beslut av rådet, även om rå- dets slutliga beslut om att avtalet ska vara bindande blir beroende av att Finlands kon- stitutionella förfaranden följs (GrUU 5/2007 rd). Därför måste det i bestämmelsen framgå om det är fråga om ett internationellt åtagan- de som binder Finland i egenskap av avtals- slutande part eller i egenskap av medlemsstat i Europeiska unionen. Ett sättande i kraft av de avtalsbestämmelser som hör till området för lagstiftningen föreslås på grund av att det är fråga om åtaganden som gäller den enskil- des rättsliga ställning och det är olämpligt att grunden för ikraftträdandet förblir oklar i ju- ridiskt hänseende (GrUU 5/2007 rd).
2 §. Paragrafen innehåller en materiell verkställighetsbestämmelse genom vilken lufttrafikföretag som bedriver internationell passagerarflygtrafik till eller från USA åläggs att behandla och överföra PNR- uppgifter, dvs. passageraruppgifter, i sina bokningssystem i enlighet med bestämmel- serna i det avtal som nämns i 1 §.
3 §. Enligt paragrafen bestäms ikraftträ- dandet av lagen genom en förordning av statsrådet. Eftersom EU är avtalsslutande part i det avtal som ska sättas i kraft, ska verkstäl- ligheten betraktas som Finlands åtgärder med anledning av ett beslut som fattas inom EU och därför hör det enligt 93 § 2 mom. i grundlagen till statsrådet att utfärda förord- ningen om lagens ikraftträdande (GrUU 49/2001 rd). Avtalet tillämpas i enlighet med dess bestämmelser provisoriskt från och med datum för undertecknandet. I paragrafen in- går därför en bestämmelse enligt vilken det genom förordning av statsrådet kan föreskri- vas att lagen, innan avtalet träder i kraft in- ternationellt, tillämpas från den dag det un- dertecknas.
Lag om upphävande av lagen om sättande i kraft av de bestämmelser som hör till områ- det för lagstiftningen i avtalet mellan Euro- peiska unionen och Amerikas förenta stater om lufttrafikföretags behandling av passa- geraruppgifter och överföring av dessa till Förenta staternas Department of Homeland Security och om tillämpning av avtalet
1 §. I paragrafen föreslås det att lagen om sättande i kraft av 2006 års PNR-avtal ska upphävas.
2 §. Enligt paragrafen bestäms ikraftträ- dandet av lagen genom en förordning av statsrådet. Skälen för detta är de samma som de skäl som framgår av motiveringen till 3 § i lagen om sättande i kraft av 2007 års PNR- avtal. Meningen är att lagen ska träda i kraft samma dag som statsrådets förordning om provisorisk tillämpning av 2007 års PNR- avtal träder i kraft.
3 Ikraftträdande
Avtalet träder i kraft den första dagen i den månad som följer på den dag då parterna ut-
RP 143/2007 rd 21
växlat underrättelser om att de har avslutat sina interna förfaranden i detta syfte. Avtalet tillämpas provisoriskt från den dag det under- tecknas. Avtalet kan sägas upp eller tillämp- ningen av avtalet avbrytas genom anmälan på diplomatisk väg från någon av parterna.
Avtalet och alla de skyldigheter det medför upphör att gälla sju år efter den dag då det undertecknades, dvs. den 26 juli 1014, vilket betyder att avtalet och skyldigheterna inte längre tillämpas efter detta datum om inte parterna ömsesidigt beslutar att ersätta avta- let.
Avsikten är inte att genom avtalet göra un- dantag från lagstiftningen i USA eller EU el- ler dess medlemsstater. Genom avtalet ska- pas inte rättigheter eller fördelar för enskilda eller offentliga instanser. Avtalet underteck- nas i två original på engelska. De övriga språkversionerna på EU:s officiella språk blir giltiga sedan parterna har godkänt dem.
Avsikten är att den blandade ikraftsättande- lag som föreslås ska träda i kraft genom en förordning av statsrådet samtidigt som själva avtalet träder i kraft. Genom förordning av statsrådet kan dock föreskrivas att lagen in- nan avtalet träder i kraft internationellt ska tillämpas från den dag det har undertecknas. Eftersom det i 2006 års PNR-avtal bestämdes att det avtalet upphör att gälla senast den 31 juli 2007, om inte det förlängs genom skrift- lig överenskommelse mellan parterna, är det meningen att föreslå att statsrådets förord- ning om provisorisk tillämpning av avtalet mellan Europeiska unionen och Amerikas förenta stater om lufttrafikföretags behand- ling av passageraruppgifter och överföring av dessa till Förenta staternas Department of Homeland Security och av lagen om sättande i kraft av de bestämmelser i avtalet som hör till området för lagstiftningen (365/2007) ska upphävas samtidigt som riksdagens svar på regeringens proposition om 2007 års PNR- avtal föredras i statsrådet.
Lagen om upphävande av lagen om sättan- de i kraft av de bestämmelser som hör till området för lagstiftningen i avtalet mellan Europeiska unionen och Amerikas förenta stater om lufttrafikföretags behandling av passageraruppgifter och överföring av dessa till Förenta staternas Department of Home- land Security och om tillämpning av avtalet
avses träda i kraft vid en tidpunkt som fast- ställs genom en förordning av statsrådet, dvs. samtidigt som statsrådets förordning om pro- visorisk tillämpning av 2007 års PNR-avtal träder i kraft.
4 Behovet av riksdagens samtycke och behandlingsordning
2007 års PNR-avtalet mellan EU och USA har ingåtts med stöd av artikel 24 och 38 i unionsfördraget. Enligt artikel 24 i unions- fördraget är ingångna avtal bindande för uni- onen och dess avtalsslutande parter. Enligt en uttrycklig bestämmelse i unionsfördraget är avtal som ingåtts med stöd av artikel 24 bin- dande för unionens institutioner. Sådana av- tal är förpliktande även för unionens med- lemsstater. Enligt artikel 24.5 i unionsfördra- get ska ett avtal dock inte vara bindande för en medlemsstat vars företrädare i rådet för- klarar att medlemsstaten måste uppfylla vissa krav som följer av dess egna konstitutionella förfaranden. Finland lämnade en sådan för- klaring i samband med rådets beslut om un- dertecknande av avtalet. Anmälan innebär att avtalet inte blir bindande för Finland förrän riksdagen har behandlat avtalet på det sätt som förutsätts i Finlands grundlag och an- mält detta till rådets sekretariat.
Hittills har riksdagen förelagts tre avtal i vilka Finland åberopar sina konstitutionella förfaranden. Riksdagens godkännande har begärts genom regeringens proposition RP 86/2005 rd för avtalen mellan Europeiska unionen och Amerikas förenta stater om ut- lämning för brott samt ömsesidig rättslig hjälp. Dessutom har riksdagens godkännande begärts för 2006 års PNR-avtal (RP 260/2006 rd – RSv 317/2006 rd). I dessa fall har man tillämpat 94 och 95 § i grundlagen.
Xxxxx tolkningar har föreslagits för de kon- stitutionella förfaranden som avses i artikel
24.5 i unionsfördraget, inklusive synsätt en- ligt vilka de inte innebär att samma slags rati- ficeringsförfarande ska följas som när den aktuella medlemsstaten ensam eller tillsam- mans med gemenskapen ingår ett internatio- nellt avtal. Till stöd för detta synsätt har det konstaterats att om det hade ansetts vara nödvändigt att medlemsstaterna ratificerar
22 RP 143/2007 rd
(eller godkänner) avtal som ingåtts med stöd av denna artikel, skulle en uttrycklig be- stämmelse ha tagits in i avtalet enligt vilken avtalen borde ha ingåtts på medlemsstaternas vägnar. Därför har det ansetts att när en med- lemsstat utnyttjar denna möjlighet, kan rådet ingå avtalet på unionens vägnar först när den aktuella medlemsstaten har avslutat sina egna interna förfaranden. Avtalet tillämpas dock provisoriskt från och med att det underteck- nas. När propositionen om de nämnda avta- len mellan EU och USA behandlades påpe- kade grundlagsutskottet uttryckligen att riks- dagen, när den beslutar om godkännande av sådana avtal, inte beslutar om godkännande av att Finland särskilt förbinder sig vid avta- len. Däremot beslutar riksdagen om det finns något hinder från Finlands sida för att rådet fattar ett beslut utifrån artikel 24 och 38 i unionsfördraget om att avtalen ska vara bin- dande. Den nationella beredningen av rådets beslut ska i sinom tid dessutom ske särskilt utifrån 93 § 2 mom. och 96 § i grundlagen (GrUU 5/2007 rd).
Frågan om iakttagandet av konstitutionella förfaranden ska avgöras på basis av innehål- let i det avtal som behandlas. I enlighet med 94 § 1 mom. i grundlagen godkänner riksda- gen fördrag och andra internationella förplik- telser som innehåller sådana bestämmelser som hör till området för lagstiftningen eller annars har avsevärd betydelse, eller som en- ligt grundlagen av någon annan anledning kräver riksdagens godkännande. Enligt 95 § 1 mom. i grundlagen ska de bestämmelser som hör till området för lagstiftningen i ett avtal sättas i kraft genom lag. När grundlags- utskottet behandlade propositionen om de nämnda avtalen mellan EU och USA ansåg utskottet att riksdagens godkännande är det konstitutionella förfarandet i Finland vid be- slut om godkännande av förpliktelser enligt 94 § 1 mom. i grundlagen i sådana fall där Finland i enlighet med artikel 24.5 i unions- fördraget har förklarat att det måste uppfylla sina egna konstitutionella krav (GrUU 5/2007 rd).
En bestämmelse i ett fördrag eller någon annan internationell förpliktelse hör enligt grundlagsutskottets utlåtanden till området för lagstiftning 1) om bestämmelsen gäller utövande eller inskränkning av en grund-
läggande fri- eller rättighet som är tryggad i grundlagen, 2) om bestämmelsen i övrigt gäller grunderna för individens rättigheter el- ler skyldigheter, 3) om den sak som bestäm- melsen gäller enligt grundlagen ska föreskri- vas i lag, 4) om det finns lagbestämmelser om den sak som bestämmelsen avser eller
5) om det enligt rådande uppfattning i Fin- land ska föreskrivas om den i lag. På dessa grunder hör en bestämmelse i en internatio- nell förpliktelse till området för lagstiftning- en oavsett om den strider mot eller överens- stämmer med en bestämmelse som utfärdats genom lag i Finland (t.ex. GrUU 11/2000 rd och 12/2000 rd).
I PNR-avtalet föreskrivs om behandling och överföring av personuppgifter ur bok- ningssystem i Europeiska unionens med- lemsstater.
Enligt 10 § i grundlagen är vars och ens privatliv tryggat. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Hänvisningen i grundlagen förutsätter att denna rättighet ska ordnas genom lag (GrUB 25/1994 rd, s. 6/I), men överlåter detaljerna i regleringen åt lagstiftarens prövning. En så- dan bestämmelse om de grundläggande fri- och rättigheterna binder lagstiftarens pröv- ningsrätt visavi innehållet i mindre grad än en bestämmelse med ett sådant reglerings- förbehåll, där den grundläggande fri- och rät- tigheten konstateras föreligga i enlighet med vad som bestäms i lag (t.ex. GrUU 51/2002 rd, s. 2/I och GrUU 35/2004 rd, s. 2/I).
Enligt grundlagsutskottets praxis (t.ex. GrUU 14/2002 rd, s. 2) begränsas lagstifta- rens spelrum dock av att skyddet för person- uppgifter utgör en del av skyddet för privat- livet i samma moment. Det är alltså fråga om att lagstiftaren ska trygga denna rättighet på ett sätt som kan anses godtagbart med hänsyn till de grundläggande fri- och rättigheterna. Lagstiftaren är i sin prövning bunden av att det med tanke på skyddet för personuppgifter vid en registrering är viktigt att reglera åt- minstone registreringens syfte, innehållet i de registrerade personuppgifterna, tillåtna an- vändningsändamål, inbegripet uppgifternas tillförlitlighet och bevaringstiden för uppgif- terna i personregistren samt den registrerades rättsskydd. Regleringen av dessa faktorer på lagnivå ska dessutom vara omfattande och
RP 143/2007 rd 23
detaljerad (t.ex. GrUU 51/2002 rd, s.2/I och GrUU 35/2004 rd, s. 2/II).
PNR-avtalet innehåller bestämmelser om flera av de ovan nämnda omständigheter som grundlagsutskottet har ansett vara viktiga att reglera med tanke på skyddet för personupp- gifter. Även den i avtalet ålagda skyldigheten för utövare av flygtrafik att behandla PNR- uppgifter ska enligt rådande uppfattning i Finland regleras genom lag.
Enligt 22 § i personuppgiftslagen (523/1999) får personuppgifter översändas till stater utanför Europeiska unionens med- lemsstaters territorium eller Europeiska eko- nomiska samarbetsområdet endast om staten i fråga tryggar en tillräcklig dataskyddsnivå. Enligt PNR-avtalet ska DHS anses säkerstäl- la en adekvat skyddsnivå för PNR-uppgifter. Tolkningen stöder sig på att DHS i enlighet med sin anmälan följer de garantier som år 2007 har lämnats om behandlingen av PNR- uppgifter.
Riksdagens förvaltningsutskott har i sitt be- tänkande med anledning av regeringens pro- position om 2006 års PNR-avtal (FvUB 40/2006 rd – RP 260/2006 rd) konstaterat att utskottet med hänvisning till propositionen och annan information finner förslaget nöd- vändigt och lämpligt. Utskottet har tillstyrkt PNR-avtalet och lagförslaget i propositionen utan ändringar enligt vad som framgår av be- tänkandet, Skälen för ett godkännande av 2007 års PNR-avtal motsvarar i hög grad
skälen för godkännandet av 2006 års av- tal.
Avtalet innehåller på ovan nämnda grunder bestämmelser som hör till området för lag- stiftningen och kräver enligt 94 § i grundla- gen riksdagens godkännande.
Avtalet gäller inte på ovan nämnda grunder grundlagen på det sätt som avses i dess 94 § 2 mom. och det lagförslag som ingår i propo- sitionen gäller inte grundlagen på det sätt som avses i dess 95 § 2 mom. Avtalet kan så- lunda godkännas med enkel majoritet och förslaget till lag om sättande i kraft av avtalet kan godkännas i vanlig lagstiftningsordning.
Med stöd av vad som anförts ovan och i enlighet med 94 § i grundlagen föreslås att
Riksdagen godkänner det avtal som ingåtts i Bryssel den 23 juli 2007 och i Washington den 26 juli 2007 mellan Europeiska unionen och Amerikas för- enta stater om lufttrafikföretags be- handling av passageraruppgifter (PNR) och överföring av dessa till Förenta staternas Department of Ho- meland Security (DHS) (2007 års PNR-avtal)
Eftersom avtalet innehåller bestämmelser som hör till området för lagstiftningen, före- läggs Riksdagen samtidigt följande lagför- slag:
24 RP 143/2007 rd
Lagförslag
1.
Lag
om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i avtalet mel- lan Europeiska unionen och Amerikas förenta stater om lufttrafikföretags behandling av passageraruppgifter (PNR) och överföring av dessa till Förenta staternas Department of Homeland Security (DHS) (2007 års PNR-avtal) och om tillämpning av avtalet
I enlighet med riksdagens beslut föreskrivs:
1 §
De bestämmelser som hör till området för lagstiftningen i det i Bryssel den 23 juli 2007 och i Washington den 26 juli 2007 ingångna avtalet mellan Europeiska unionen och Ame- rikas förenta stater om lufttrafikföretags be- handling av passageraruppgifter (PNR) och överföring av dessa till Förenta staternas De- partment of Homeland Security (DHS) (2007 års PNR-avtal) gäller som lag sådana som Finland som medlemsstat i Europeiska unio- nen har förbundit sig till dem.
2 §
Lufttrafikföretag som bedriver internatio- nell passagerartrafik till eller från Amerikas
förenta stater ska behandla och överföra pas- sageraruppgifter (PNR) i sina bokningssy- stem i enlighet med bestämmelserna i det av- tal som nämns i 1 §.
3 §
Om ikraftträdandet av denna lag bestäms genom förordning av statsrådet.
Genom förordning av statsrådet kan före- skrivas att lagen ska tillämpas innan avtalet träder i kraft internationellt från den dag det undertecknas.
—————
RP 143/2007 rd 25
2.
Lag
om upphävande av lagen om sättande i kraft av de bestämmelser som hör till området för lagstiftningen i avtalet mellan Europeiska unionen och Amerikas förenta stater om lufttra- fikföretags behandling av passageraruppgifter och överföring av dessa till Förenta staternas Department of Homeland Security och om tillämpning av avtalet
I enlighet med riksdagens beslut föreskrivs:
1 §
Genom denna lag upphävs lagen av den 23 november 2007 om sättande i kraft av de be- stämmelser som hör till området för lagstift- ningen i avtalet mellan Europeiska unionen och Amerikas förenta stater om lufttrafikfö- retags behandling av passageraruppgifter och
överföring av dessa till Förenta staternas De- partment of Homeland Security och om till- lämpning av avtalet (293/2007).
2 §
Om ikraftträdandet av denna lag bestäms genom förordning av statsrådet.
—————
Helsingfors den 2 november 2007
Republikens President
XXXXX XXXXXXX
Justitieminister Xxxxx Xxxx
26 RP 143/2007 rd
Fördragstext
AVTAL
MELLAN EUROPEISKA UNIONEN OCH AMERIKAS FÖRENTA STATER OM LUFTTRAFIKFÖRETAGS BEHANDLING AV PASSAGERARUPPGIFTER (PNR) OCH ÖVERFÖRING AV DESSA TILL FÖRENTA STATERNAS DEPARTMENT OF HOMELAND SECURITY (DHS) (2007 ÅRS PNR-AVTAL)
AGREEMENT
BETWEEN THE EUROPEAN UNION AND THE UNITED STATES OF AMER- ICA ON THE PROCESSING AND TRANSFER OF PASSENGER NAME RE- CORD (PNR) DATA BY AIR CARRIERS TO THE UNITED STATES DEPART- MENT OF HOMELAND SECURITY (DHS) (2007 PNR AGREEMENT)
EUROPEISKA UNIONEN och AMERI- KAS FÖRENTA STATER,
SOM ÖNSKAR förebygga och bekämpa terrorism och gränsöverskridande brottslighet effektivt som ett sätt att skydda sina respekti- ve demokratiska samhällen och gemensamma värden,
SOM ERKÄNNER att informationsutbyte är ett väsentligt inslag i kampen mot terrorism och gränsöverskridande brottslighet och att användningen av passageraruppgifter (PNR- uppgifter) är ett viktigt redskap i detta sam- manhang,
SOM ERKÄNNER att, för att skydda all- män säkerhet och av brottsbekämpningsskäl, regler bör fastställas om lufttrafikföretags överföring av PNR-uppgifter till DHS,
SOM ERKÄNNER vikten av att förebygga och bekämpa terrorism och därmed förknip- pad brottslighet samt andra grova brott av gränsöverskridande karaktär, däribland orga- niserad brottslighet, samtidigt som de grund- läggande fri- och rättigheterna, särskilt skydd för privatlivet, respekteras,
SOM ERKÄNNER att Förenta staternas och Europas lagstiftning och policy rörande skyddet för privatlivet har en gemensam grund och att eventuella skillnader i tillämp- ningen av dessa principer inte bör utgöra nå- got hinder för samarbetet mellan Förenta sta- terna och Europeiska unionen (EU),
SOM BEAKTAR internationella konven- tioner, amerikanska lagar och förordningar enligt vilka alla lufttrafikföretag som bedriver utländsk passagerartrafik till och från Förenta staterna skall ge DHS tillgång till PNR-
THE EUROPEAN UNION and THE UNITED STATES OF AMERICA,
DESIRING to prevent and combat terror- ism and transnational crime effectively as a means of protecting their respective democ- ratic societies and common values,
RECOGNISING that information sharing is an essential component in the fight against terrorism and transnational crime and that in this context the use of PNR data is an impor- tant tool,
RECOGNISING that, in order to safeguard public security and for law enforcement pur- poses, rules should be laid down on the trans- fer of PNR data by air carriers to DHS,
RECOGNISING the importance of pre- venting and combating terrorism and related crimes, and other serious crimes that are transnational in nature, including organised crime, while respecting fundamental rights and freedoms, notably privacy,
RECOGNISING that U.S. and European privacy law and policy share a common basis and that any differences in the implementa- tion of these principles should not present an obstacle to cooperation between the U.S. and the European Union (EU),
HAVING REGARD to international con- ventions, U.S. statutes, and regulations re- quiring each air carrier operating passenger flights in foreign air transportation to or from the United States to make PNR data available
RP 143/2007 rd 27
uppgifter i den mån de samlas in och bevaras i lufttrafikföretagens datoriserade boknings- och avgångskontrollsystem (nedan kallade ”bokningssystem”), samt jämförbara krav som tillämpas i EU,
SOM BEAKTAR artikel 6.2 i fördraget om Europeiska unionen om respekt för de grund- läggande rättigheterna och i synnerhet den närliggande rätten till skydd av personuppgif- ter,
SOM NOTERAR de tidigare avtalen om PNR-uppgifter mellan Europeiska gemenska- pen och Amerikas förenta stater av den 28 maj 2004 samt mellan Europeiska unionen och Amerikas förenta stater av den 19 okto- ber 2006,
SOM BEAKTAR de tillämpliga bestäm- melserna i lagen om säkerhet vid flygtrans- porter (Aviation Transport Security Act) från 2001, lagen om nationell säkerhet (Homeland Security Act) från 2002, lagen om reform av underrättelseväsendet och förebyggande av terrorism (Intelligence Reform and Terrorism Prevention Act) från 2004 och Executive Or- der 13388 om samarbetet mellan Förenta sta- ternas regeringsorgan i kampen mot terrorism samt lagen om skydd för privatlivet (Privacy Act) från 1974, lagen om informationsfrihet (Freedom of Information Act) och lagen om e-förvaltning (Egovernment Act) från 2002,
SOM KONSTATERAR att Europeiska unionen bör garantera att lufttrafikföretag med bokningssystem belägna inom Europeis- ka unionen ger DHS tillgång till PNR- uppgifter och följer de tekniska krav för den- na överföring som specificerats av DHS,
SOM BEKRÄFTAR att detta avtal inte ut- gör något prejudikat för eventuella framtida överläggningar eller förhandlingar mellan Förenta staterna och Europeiska unionen eller mellan någon av parterna och någon stat när det gäller behandling och överföring av PNR- uppgifter eller andra typer av uppgifter,
SOM STRÄVAR EFTER att öka och främ- ja samarbetet mellan parterna i en anda av transatlantiskt partnerskap,
HAR ENATS OM FÖLJANDE:
(1) På grundval av garantierna i DHS skri- velse där dess skydd av PNR-uppgifter för- klaras (DHS-skrivelsen) skall Europeiska unionen se till att lufttrafikföretag som bedri- ver utländsk passagerartrafik till eller från
to DHS to the extent they are collected and contained in the air carrier’s automated res- ervation/departure control systems (hereinaf- ter reservation systems), and comparable re- quirements implemented in the EU,
HAVING REGARD to Article 6 paragraph 2 of the Treaty on European Union on re- spect for fundamental rights, and in particular to the related right to the protection of per- sonal data,
NOTING the former agreements regarding PNR between the European Community and the United States of America of 28 May 2004 and between the European Union and the United States of America of 19 October 2006,
HAVING REGARD to relevant provisions of the Aviation Transportation Security Act of 2001, the Homeland Security Act of 2002, the Intelligence Reform and Terrorism Pre- vention Act of 2004 and Executive Order 13388 regarding cooperation between agen- cies of the United States government in com- bating terrorism, as well as the Privacy Act of 1974, Freedom of Information Act and the E-Government Act of 2002,
NOTING that the European Union should ensure that air carriers with reservation sys- tems located within the European Union make available PNR data to DHS and com- ply with the technical requirements for such transfers as detailed by DHS,
AFFIRMING that this Agreement does not constitute a precedent for any future discus- sions or negotiations between theUnited States and the European Union, or between either of the Parties and any State regarding the processing and transfer of PNR or any other form of data,
SEEKING to enhance and encourage coop- eration between the Parties in the spirit of transatlantic partnership,
HAVE AGREED AS FOLLOWS:
(1) On the basis of the assurances in DHS’s letter explaining its safeguarding of PNR (the DHS letter), the European Union will ensure that air carriers operating passenger flights in foreign air transportation to or from the
28 RP 143/2007 rd
Förenta staterna efter begäran från DHS skall ge tillgång till PNR-uppgifter som bevaras i deras bokningssystem.
(2) DHS skall omedelbart övergå till ett ex- portsystem för överföringen av uppgifter från sådana lufttrafikföretag, senast den 1 januari 2008 för alla sådana lufttrafikföretag som har infört ett system som överensstämmer med DHS tekniska krav. För de lufttrafikföretag som inte har infört ett sådant system skall de nuvarande systemen fortsätta att gälla till dess att lufttrafikföretagen har infört ett system som överensstämmer med DHS tekniska krav. Likaledes skall DHS ha elektronisk till- gång till PNR-uppgifter från lufttrafikföretags bokningssystem som är belägna inom Euro- peiska unionens medlemsstaters territorium till dess att ett tillfredsställande system har in- rättats som gör det möjligt för lufttrafikföre- tagen att överföra sådana uppgifter.
(3) DHS skall behandla de PNR-uppgifter som den tar emot och de registrerade personer som berörs av denna behandling i enlighet med gällande amerikansk lagstiftning och konstitutionella krav och utan olaga diskrimi- nering, framför allt grundad på nationalitet el- ler bosättningsland. I DHS-skrivelsen anges dessa och andra skyddsåtgärder.
(4) DHS och EU skall regelbundet se över tillämpningen av detta avtal, DHS-skrivelsen samt Förenta staternas och EU:s policy och praxis när det gäller PNR-uppgifter för att ömsesidigt garantera att deras system funge- rar effektivt och skyddar privatlivet.
(5) Genom detta avtal förväntar sig DHS att det inte skall begäras att DHS vidtar åtgärder för uppgiftsskydd i sitt PNR-system som är striktare än de som tillämpas av europeiska myndigheter för deras inhemska PNR-system. DHS begär inte att de europeiska myndighe- terna skall vidta åtgärder för uppgiftsskydd i deras PNR-system som är striktare än de som tillämpas av Förenta staterna för deras PNR- system. Om denna förväntning inte uppfylls förbehåller sig DHS rätten att upphäva de till- lämpliga bestämmelserna i DHS-skrivelsen under den tid som samråd hålls med EU i syf- te att nå en snabb och tillfredsställande lös- ning. Om det i Europeiska unionen eller i en eller flera av dess medlemsstater införs ett PNR-system som kräver att lufttrafikföretag ger myndigheterna tillgång till PNR-uppgifter
United States of America will make available PNR data contained in their reservation sys- tems as required by DHS.
(2) DHS will immediately transition to a push system for the transmission of data by such air carriers no later than 1 January 2008 for all such air carriers that have imple- mented such a system that complies with DHS’s technical requirements. For those air carriers that do not implement such a system, the current systems shall remain in effect un- til the carriers have implemented a system that complies with DHS’s technical require- ments. Accordingly, DHS will electronically access the PNR from air carriers’ reservation systems located within the territory of the Member States of the European Union until there is a satisfactory system in place allow- ing for the transmission of such data by the air carriers.
(3) DHS shall process PNR data received and treat data subjects concerned by such processing in accordance with applicable
U.S. laws, constitutional requirements, and without unlawful discrimination, in particular on the basis of nationality and country of residence. The DHS’s letter sets forth these and other safeguards.
(4) DHS and the EU, will periodically re- view the implementation of this Agreement, the DHS letter, and U.S. and EU PNR poli- cies and practices with a view to mutually as- suring the effective operation and privacy protection of their systems.
(5) By this Agreement, DHS expects that it is not being asked to undertake data protec- tion measures in its PNR system that are more stringent than those applied by Euro- pean authorities for their domestic PNR sys- tems. DHS does not ask European authorities to adopt data protection measures in their PNR systems that are more stringent than those applied by the U.S. for its PNR system. If its expectation is not met, DHS reserves the right to suspend relevant provisions of the DHS letter while conducting consultations with the EU with a view to reaching a prompt and satisfactory resolution. In the event that a PNR system is implemented in the European Union or in one or more of its Member States that requires air carriers to make available to authorities PNR data for persons whose
RP 143/2007 rd 29
om personer vilkas resrutt omfattar en flyg- ning till eller från Europeiska unionen, skall DHS, helt och hållet grundat på ömsesidighet, aktivt främja samarbete mellan lufttrafikföre- tag inom dess jurisdiktion.
(6) För tillämpningen av detta avtal skall DHS anses säkerställa en tillfredsställande skyddsnivå för de PNR-uppgifter som över- förs från Europeiska unionen. Samtidigt skall EU inte av uppgiftsskyddsskäl blanda sig i förbindelserna mellan Förenta staterna och tredjeländer när det gäller utbyte av passage- raruppgifter.
(7) Förenta staterna och EU skall samarbeta med berörda parter i luftfartssektorn för att främja större synlighet för meddelanden som beskriver PNR-system (inklusive prövnings- och insamlingsförfaranden) för resenärer och skall uppmana lufttrafikföretag att hänvisa till och införliva dessa meddelanden i det offici- ella befordringsavtalet.
(8) Om EU fastställer att Förenta staterna har brutit mot detta avtal är den enda korrigeringsåtgärden att säga upp avtalet och upphäva det fastställande av tillfredsställande skyddsnivå som avses i punkt 6. Om Förenta staterna fastställer att EU har brutit mot detta avtal är den enda korrigeringsåtgärden att säga upp avtalet och upphäva DHS- skrivelsen.
(9) Detta avtal träder i kraft den första dagen i den månad som följer på den dag då parterna utväxlat underrättelser om att de har avslutat sina interna förfaranden i detta syfte. Detta avtal skall tillämpas provisoriskt från och med dagen för undertecknandet. Varje part får säga upp eller avbryta detta avtal när som helst genom anmälan på diplomatisk väg. Uppsägningen skall få verkan trettio (30) dagar efter dagen för en sådan anmälan till den andra parten om inte någon av parterna anser att en kortare uppsägningstid är väsentlig på grund av nationella säkerhetsintressen. Detta avtal och de skyldigheter det medför skall upphöra att gälla sju år efter den dag då det undertecknades om inte parterna ömsesidigt beslutar att ersätta det.
Detta avtal innebär varken undantag från eller ändring av lagarna i Förenta staterna eller i Europeiska unionen eller dess medlemsstater. Detta avtal utgör inte heller
travel itinerary includes a flight to or from the European Union, DHS shall, strictly on the basis of reciprocity, actively promote the cooperation of the airlines within its jurisdic- tion.
(6) For the application of this Agreement, DHS is deemed to ensure an adequate level of protection for PNR data transferred from the European Union. Concomitantly, the EU will not interfere with relationships between the United States and third countries for the exchange of passenger information on data protection grounds.
(7) The U.S. and the EU will work with in- terested parties in the aviation industry to promote greater visibility for notices describ- ing PNR systems (including redress and col- lection practices) to the travelling public and will encourage airlines to reference and in- corporate these notices in the official contract of carriage.
(8) The exclusive remedy if the EU deter- mines that the U.S. has breached this Agree- ment is the termination of this Agreement and the revocation of the adequacy determi- nation referenced in paragraph 6. The exclu- sive remedy if the U.S. determines that the EU has breached this agreement is the termi- nation of this Agreement and the revocation of the DHS letter.
(9) This Agreement will enter into force on the first day of the month after the date on which the Parties have exchanged notifica- tions indicating that they have completed their internal procedures for this purpose. This Agreement will apply provisionally as of the date of signature. Either Party may terminate or suspend this Agreement at any time by notification through diplomatic channels. Termination will take effect 30 days from the date of notification thereof to the other Party unless either Party deems a shorter notice period essential for its national security or homeland security interests. This Agreement and any obligations thereunder will expire and cease to have effect seven years after the date of signature unless the parties mutually agree to replace it.
This Agreement is not intended to derogate from or amend the laws of the United States of America or the European Union or its Member States. This Agreement does not
30 RP 143/2007 rd
grund för några rättigheter eller förmåner för några andra privata eller offentliga personer eller enheter.
Detta avtal skall upprättas i två original på engelska. Det skall även upprättas på bulga- riska, danska, estniska, finska, franska, gre- kiska, italienska, lettiska, litauiska, maltesis- ka, nederländska, polska, portugisiska, ru- mänska, slovakiska, slovenska, spanska, svenska, tjeckiska, tyska och ungerska, och parterna skall godkänna dessa språkversioner. När de har godkänts skall dessa språkversio- ner vara lika giltiga.
create or confer any right or benefit on any other person or entity, private or public.
This Agreement shall be drawn up in du- plicate in the English language. It shall also be drawn up in the Bulgarian, Czech, Danish, Dutch, Estonian, Finnish, French, German, Greek, Hungarian, Italian, Latvian, Lithua- nian, Maltese, Polish, Portuguese, Romanian, Slovak, Slovenian, Spanish, and Swedish languages, and the Parties shall approve these language versions. Once approved, the ver- sions in these languages shall be equally au- thentic.
Utfärdat i Bryssel den 23 juli 2007 och i Washington den 26 juli 2007.
Done at Brussels, 23 July 2007 and at Washington, 26 July 2007.
PÅ EUROPEISKA UNIONENS VÄGNAR
PÅ AMERIKAS FÖRENTA STATERS VÄGNAR
FOR THE EUROPEAN UNION
FOR THE UNITED STATES OF AMERICA