Lagar & Förordningar

Lagar & Förordningar är en kostnadsfri rättsdatabas från Norstedts Juridik där alla Sveriges författningar och EU-rättsliga dokument finns samlade. Nu kan organisationer och företag prova den mer omfattande juridiska informationstjänsten JUNO - gratis i 14 dagar - läs mer om erbjudandet och vad du kan få tillgång till här.

Dokumentet som PDF i original:

52010DC0492.pdf

52010DC0492



[pic] | EUROPEISKA KOMMISSIONEN |

Bryssel den 21.9.2010

KOM(2010) 492 slutlig

MEDDELANDE FRÅN KOMMISSIONEN

om en övergripande strategi när det gäller överföring av passageraruppgifter (PNR-uppgifter) till tredjeländer

MEDDELANDE FRÅN KOMMISSIONEN

om en övergripande strategi när det gäller överföring av passageraruppgifter (PNR-uppgifter) till tredjeländer

INLEDNING

Terroristattackerna i Förenta staterna 2001, Madrid 2004 och London 2005 har lett till ett nytänkande på området inre säkerhet. Den senaste tidens händelser, t.ex. den misslyckade terroristattacken på ett flygplan juldagen 2009 och attacken på Times Square i New York, utgör bevis för att terroristhotet inte har upphört. Dessutom har den organiserade brottsligheten ökat, särskilt narkotika- och människohandeln[1].

Till följd av dessa hot har både EU och vissa tredjeländer vidtagit nya åtgärder, bl.a. insamling och utbyte av personuppgifter. Kommissionen har redovisat dessa åtgärder i sitt meddelande Översikt av informationshanteringen inom området med frihet, säkerhet och rättvisa [2]. En av dessa åtgärder är användning av passageraruppgifter (nedan kallade PNR-uppgifter ) i brottsbekämpningssyfte.

I sitt meddelande till rådet och Europaparlamentet av den 16 januari 2003 Överföring av flygpassagerares (PNR)-uppgifter: En övergripande EU-strategi [3] redogör kommissionen för de beståndsdelar som den anser bör ingå i en övergripande EU-strategi. Kommissionen anger i meddelandet att den anser att det bör inrättas rättsligt säkra ramar för överföring av PNR-uppgifter till Förenta staternas Department of Homeland Security (DHS) och införas en intern strategi för PNR-uppgifter. Den ansåg vidare att det bör utvecklas ett sändsystem (push system) för överföring av uppgifter via lufttrafikföretagen[4] och ett internationellt initiativ för överföring av PNR-uppgifter inom den internationella civila luftfartsorganisationen (ICAO).

Slutsatserna i meddelandet har i stor utsträckning redan genomförts, även om det fortfarande finns en del kvar som är under genomförande. Bland annat har EU ingått ett avtal med Förenta staternas Department of Homeland Security om överföring av PNR-uppgifter i syfte att bekämpa terrorism och grov gränsöverskridande brottslighet[5]. Kommissionen har även antagit ett förslag till rambeslut om användande av PNR-uppgifter i brottsbekämpningssyfte[6]. På grundval av en konsekvensbedömning håller kommissionen för närvarande på att överväga möjligheten av att ersätta detta med ett direktiv om användande av PNR-uppgifter i brottsbekämpningssyfte. Flertalet lufttrafikföretag har infört sändsystemet för överföring av personuppgifter och ICAO har utarbetat ett antal riktlinjer för överföring av PNR-uppgifter till myndigheter.

Förutom avtalet med Förenta staterna har EU även ingått avtal med Kanada[7] och Australien[8]. Nya Zeeland, Sydkorea och Japan använder också PNR-uppgifter, men hade när denna rapport lades fram inte ingått några avtal med EU. Inom EU har Förenade kungariket redan infört ett PNR-system och vissa andra medlemsstater har antingen antagit relevant lagstiftning eller håller på att testa PNR-uppgifter.

Denna utveckling tyder på att PNR-uppgifter används i allt högre utsträckning och alltmer har kommit att ses som ett ordinarie och nödvändigt inslag i brottsbekämpningsarbetet. Användandet av PNR-uppgifter innebär dock behandling av personuppgifter, vilket ger upphov till viktiga frågor när det gäller respekten av de grundläggande rättigheterna skydd av privatlivet och skydd av personuppgifter.

Detta har fått till följd att EU måste hantera frågan om internationella överföringar av PNR-uppgifter. Under de kommande åren kommer sannolikt allt fler länder att utveckla PNR-system. EU har dessutom fått värdefulla kunskaper om PNR-systemens struktur och värde i samband med de gemensamma översyner de företagit av avtalen med Förenat staterna och Kanada.

Kommissionen har således kommit fram till att den behöver se över sin övergripande strategi när det gäller överföring av PNR-uppgifter till tredjeländer. Översynen av strategin ska ge till resultat att det garanteras omfattande dataskyddsgarantier och att de grundläggande rättigheterna respekteras till fullo. Den ska genomföras i överensstämmelse med de principer för utveckling av strategier som fastställs i översikten av informationshanteringen inom området med frihet, säkerhet och rättvisa[9]. Vid utarbetandet av den reviderade strategin för PNR-uppgifter kommer särskild hänsyn att tas till de synpunkter på allmänna PNR-frågor som framläggs av viktiga intressenter som t.ex. medlemsstaterna, Europaparlamentet, Europeiska datatillsynsmannen och artikel 29-gruppen för dataskydd.

Huvudsyftet för detta meddelande är att, för första gången, fastställa ett antal allmänna kriterier som ska utgöra grunden för framtida förhandlingar om PNR-avtal med tredjeländer. På detta sätt får EU ett redskap för att anpassa sig till den aktuella utvecklingen och för att informera tredjeländer, medlemsstaterna och allmänheten om hur Europeiska kommissionen ämnar utforma sin externa PNR-politik. Kommissionens rekommendationer rörande inledande av förhandlingar om PNR-avtal med tredjeländer ska i fortsättningen således utformas med hänsyn till alla de allmänna kriterier som fastställs i detta meddelande och med möjlighet att lägga till även andra kriterier i varje rekommendation.

DEN INTERNATIONELLA UTVECKLINGEN NÄR DET GÄLLER PNR-UPPGIFTER

PNR-uppgifter och deras användning

PNR-uppgifter är obestyrkta uppgifter som lämnas av passagerare och samlas in av lufttrafikföretagen i syfte att göra reservationer och genomföra incheckningsförfarandet. Det är ett register som innehåller de uppgifter om de enskilda passagerarnas reseförhållanden som finns i lufttrafikföretagens system för bokning och avgångskontroll. Det innehåller flera olika slags uppgifter, t.ex. resedatum, resrutt, biljettinformation, kontaktuppgifter som adress och telefonnummer, resebyrå, betalningsinformation, platsnummer och bagageinformation.

PNR-uppgifter och förhandsinformation om passagerare (Advance Passenger Information, nedan kallade API-uppgifter ) är inte samma sak. API-uppgifter är den biografiska information som tas från passets maskinläsbara del, dvs. namn, bosättningsort, födelseort och medborgarskap. Enligt API-direktivet[10] ska API-uppgifter göras tillgängliga för gränskontrollmyndigheterna vid flygningar som avser inresa till EU:s territorium i syfte att förbättra gränskontrollen och bekämpa olaglig invandring. Direktivet tillåter visserligen att API-uppgifter används även för andra brottbekämpande syften, men det rör sig snarast om undantagsfall från den allmänna regeln. Uppgifterna bevaras av medlemsstaterna i 24 timmar.

API-uppgifter används huvudsakligen för de identitetskontroller som genomförs som ett led i gränskontrollerna och gränsförvaltningen, vilket dock inte utesluter att de ibland även används av de brottsbekämpande myndigheterna för att dessa ska kunna identifiera misstänkta och eftersökta personer. API-uppgifter används således huvudsakligen som ett verktyg för identifiering. Det har blivit allt vanligare världen över att man använder sig av API-uppgifter och mer än 30 länder använder sig av dem regelbundet. Dessutom håller ett fyrtiotal länder på att inrätta API-system.

Förutom överföring av API-uppgifter kräver en del länder dessutom PNR-uppgifter av lufttrafikföretagen. De använder dessa uppgifter för att bekämpa terrorism och allvarlig brottslighet som t.ex. människo- och narkotikahandel. PNR-uppgifter har använts i närmare 60 år, främst av tullmyndigheterna men också till viss del av brottsbekämpande myndigheter världen över. Eftersom det fram till helt nyligen inte varit tekniskt möjligt med förhandsöverföring på elektronisk väg har det endast förekommit manuell behandling av PNR-uppgifter i samband med enstaka flygningar. Dagens tekniska framsteg har gjort det möjligt med förhandsöverföring av uppgifterna på elektronisk väg.

PNR-uppgifter används på ett helt annat sätt än API-uppgifter, vilket till stor del beror på att PNR-uppgifterna har ett annat innehåll. PNR-uppgifter används snarare som ett verktyg för kriminalunderrättelse än som ett verktyg för identitetskontroll. PNR-uppgifter används främst till följande ändamål i) riskbedömning av passagerare och identifiering av ”okända” personer, dvs. personer som skulle kunna vara av intresse för de brottsbekämpande myndigheterna men som inte är misstänkta sedan tidigare; ii) snabbare tillgång än för API-uppgifter, vilket ger de brottsbekämpande myndigheterna längre tid till behandling, analys och uppföljning av uppgifterna; iii) fastställande av vem vissa adresser, kreditkort osv. som är kopplade till brott hör; iv) jämförelse av PNR-uppgifter med andra PNR-uppgifter i syfte att identifiera personer som är associerade med misstänkta, t.ex. genom att kontrollera vilka personer som reser tillsammans.

PNR- uppgifter är unika till sin natur och har unika användningar. Det rör sig bland annat om följande användningar:

Reaktivering av uppgifter (historiska uppgifter): Uppgifterna används i samband med brottsutredningar, lagföring och upplösning av nätverk efter det att ett brott har begåtts. För att de brottsbekämpande myndigheterna ska få möjlighet att gå tillräckligt långt tillbaka i tiden måste de ha rätt att lagra uppgifterna så länge som behövs för detta ändamål.

Användning av uppgifter i realtid (aktuella uppgifter): Uppgifterna används för att förhindra brott och övervaka eller frihetsberöva personer innan ett brott hunnit begås eller när ett brott har begåtts eller håller på att begås. I dessa fall behövs PNR-uppgifterna för en jämförelse mot förutfastställda faktabaserade riskindikatorer som gör det möjligt att identifiera tidigare "okända" misstänkta eller för en jämförelse mot olika databaser över eftersökta personer och föremål.

Användning av uppgifter i förebyggande syfte (mönster): Uppgifterna används för att analysera utvecklingstendenser och fastställa faktabaserade resemönster och allmänna beteendemönster som sedan kan användas i realtid. För att utvecklingsanalytikerna ska kunna fastställa rese- och beteendemönster måste de ha tillgång till uppgifterna under tillräckligt lång tid. I dessa fall måste de brottsbekämpande myndigheterna ha rätt att lagra uppgifterna så länge som behövs för detta ändamål.

Aktuella tendenser

Vissa tredjeländer, t.ex. Förenta staterna, Kanada, Australien, Nya Zeeland och Sydkorea, använder redan PNR-uppgifter i brottsbekämpningssyfte. Andra tredjeländer har antingen redan antagit relevant lagstiftning eller håller på att testa användandet av PNR-uppgifter, t.ex. Japan, Saudiarabien, Sydafrika och Singapore. Flera andra tredjeländer har uppgivit att de överväger att använda PNR-uppgifter men att de ännu inte antagit relevant lagstiftning. Inom EU är det endast Förenade kungariket som redan har ett PNR-system. Frankrike, Danmark, Belgien, Sverige och Nederländerna har antingen antagit relevant lagstiftning eller håller på att testa användandet av PNR-uppgifter. Flera andra medlemsstater överväger att införa PNR-system.

Europeiska kommissionen anser att PNR-uppgifter är ett nödvändigt redskap i arbetet med att förebygga och bekämpa terrorism och allvarlig brottslighet och har därför, i överensstämmelse med meddelandet från 2003, lagt fram ett förslag till rambeslut om användande av passageraruppgifter (PNR-uppgifter) i brottsbekämpningssyfte. Till följd av Lissabonfördragets ikraftträdande ämnar kommissionen ersätta detta förslag med ett förslag till direktiv om användande av PNR-uppgifter i brottsbekämpningssyfte. Detta förslag innebär att lufttrafikföretag blir skyldiga att överföra PNR-uppgifter till medlemsstaterna för användning i kampen mot terrorism och allvarlig brottslighet.

Internationellt sett har det blivit alltmer accepterat att PNR-uppgifter är ett nödvändigt verktyg i kampen mot terrorism och allvarlig brottslighet. Det finns tre skäl till denna utveckling För det första utgör internationell terrorism och brottslighet ett allvarligt hot mot samhället som måste bemötas genom olika åtgärder. Tillgång till, och analys av, PNR-uppgifter är en sådan åtgärd som anses vara nödvändig ur ett brottsbekämpningsperspektiv. För det andra har den senaste tidens tekniska utveckling möjliggjort tillgång till och analys av PNR-uppgifter på ett sätt som inte tidigare var möjligt. Även brottslingarna har dock av nytta av den tekniska utvecklingen när det gäller att planera, förbereda och utföra brott. För det tredje gör den snabba ökningen av det internationella resandet och passagerarvolymen att elektronisk behandling av passageraruppgifterna före passagerarnas ankomst underlättar och påskyndar säkerhets- och gränskontrollerna, eftersom riskbedömningen redan är klar vid passagernas ankomst. Detta innebär att de brottsbekämpande myndigheterna kan koncentrera sig på de passagerare som enligt ett faktaunderlag verkligen skulle kunna utgöra en säkerhetsrisk, i stället för att utgå från bedömningar som grundar sig enbart på instinkt, förutfattade stereotyper eller profiler.

Vilken inverkan har den aktuella utvecklingen på Europeiska unionen?

Enligt EU:s dataskyddslagstiftning är det inte tillåtet för lufttrafikföretag som upprätthåller flygförbindelser från EU att överföra PNR-uppgifter för sina passagerare till tredjeländer som inte kan garantera en tillräcklig skyddsnivå för personuppgifter eller visa på att de har lämpliga skyddsåtgärder. Detta ledde till lufttrafikföretag som vid flygningar till Förenta staterna, Kanada och Australien fått en begäran om överföring av PNR-uppgifter från dessa länder hamnade i en svår situation. EU grep därför in och förhandlade fram och undertecknade separata internationella avtal med vart och ett av dessa tre länder[11] så att det blev möjligt att överföra PNR-uppgifter från EU till de brottsbekämpande myndigheterna i dessa tredjeländer. Syftet med detta var att lösa situationen för lufttrafikföretagen och garantera en tillräcklig skyddsnivå för passagerarnas personuppgifter, samtidigt som det även innebar ett erkännande av att PNR-uppgifter är ett nödvändigt och viktigt redskap i kampen mot terrorism och allvarlig brottslighet.

Denna fråga kommer att komma upp på nytt i takt med att allt fler länder börjar införa PNR-system. Om kommissionen beslutar att gå vidare med förslaget till ett EU-direktiv avseende PNR-uppgifter kan det dessutom komma att bli allt vanligare med sådana önskemål om tredjeländer börjar begära ömsesidighet av EU.

Hittills har ingåendet av internationella PNR-avtal med tredjeländer varit ”efterfrågestyrt” och hanterats på fall till fall-basis. Även om alla dessa avtal behandlar och reglerar samma frågor är de inte identiska till sitt innehåll. Detta har ibland lett till olika regler för lufttrafikföretag och uppgiftsskydd. Eftersom efterfrågan på detta slags avtal sannolikt kommer att öka under den närmaste framtiden vore det bra om EU hade en strategi för att hantera önskemål om avtal på ett mer strukturerat sätt för att undvika att det uppstår alltför stora skillnader mellan avtalen.

EN REVIDERAD ÖVERGRIPANDE EU-STRATEGI NÄR DET GÄLLER PNR-UPPGIFTER

Motiven för en reviderad övergripande strategi när det gäller PNR-uppgifter

I ett läge där slutsatserna i 2003 års meddelande håller på att genomföras och där EU står inför nya utvecklingstendenser och utmaningar är det viktigt att EU tar hänsyn till dessa genom att utveckla sin övergripande strategi när det gäller överföring av PNR-uppgifter till tredjeländer. Skälen till detta redovisas nedan.

Kampen mot terrorism och allvarlig gränsöverskridande brottlighet. EU har en skyldighet både mot sig självt och mot tredjeländer att samarbeta med dem i syfte att bekämpa dessa hot. En typ av samarbete är utbyte av uppgifter med tredjeländer. Att göra PNR-uppgifter tillgängliga i brottsbekämpningssyfte är nödvändigt för att man ska lyckas bekämpa terrorism och allvarlig gränsöverskridande brottslighet. Även i strategin för den yttre dimensionen av området med frihet, säkerhet och rättvisa[12], EU:s strategi för kampen mot terrorism[13] och Stockholmsprogrammet[14] påpekas det att det finns ett behov av ett nära samarbete med tredjeländer.

Skydd av personuppgifter och privatliv. EU har föresatt sig att säkerställa en hög och välfungerande skyddsnivå för personuppgifter, vilket även innebär att alla överföringar av PNR-uppgifter till tredjeland ska ske på ett säkert sätt och i enlighet med gällande EU-lagstiftning samt att passagerare ska ha möjlighet att göra sina rättigheter gällande när det gäller behandlingen av deras personuppgifter.

Behov av rättslig förutsebarhet och enhetliga skyldigheter för lufttrafikföretagen. Det är viktigt att EU skapar en enhetlig rättslig ram för överföring av PNR-uppgifter från lufttrafikföretag till tredjeländer. Detta är nödvändigt för att skydda lufttrafikföretagen från påföljder och göra villkoren och reglerna för överföringar världen över så enhetliga och harmoniserade som möjligt i syfte att minska kostnaderna för industrin och skapa likvärdiga villkor inom sektorn.

Fastställande av allmänna villkor i syfte att skapa enhetlighet och vidare utveckla en internationell strategi. De PNR-avtal som EU har ingått med tredjeländer har visserligen samma syfte, men varierar när det gäller reglerna för överföring och det berörda tredjelandets åtaganden. Att åtagandena uppvisar vissa skillnader är godtagbart i den utsträckning som dessa förklaras av skillnader mellan ländernas nationella krav och rättsordningar, men alla länder bör ändå respektera vissa allmänna normer (se punkterna 3.2 och 3.3). För att behandlingen av passagerarna ska bli så enhetlig som möjligt och för att man ska kunna minska kostnaderna för branschen är det viktigt att innehållet och normerna i de framtida avtalen med tredjeländer är så likartade som möjligt. Efter detta första steg skulle man därefter kunna gå vidare mot en mer harmoniserad, multilateral strategi för utbyte av PNR-uppgifter.

Ökad bekvämlighet för passagerna. På grund av de säkerhetsrisker som finns i vårt samhälle utsätts passagerna för alltmer detaljerade och allt långvarigare kontroller vid gränserna. Detta har tillsammans med det ökade internationella resandet lett till allt längre väntetider vid gränserna. Förhandsöverföring av PNR-uppgifter på elektronisk väg innan resenärerna passerar gränsen gör det möjligt att kontrollera dem på förhand, vilket innebär att gränspassagen påskyndas och underlättas och att de rättsvårdande myndigheterna får möjlighet att inrikta sig enbart på de personer som identifierats såsom varande av intresse.

Allmänna överväganden

Syftet med den reviderade övergripande strategin för PNR-uppgifter är att förse EU med en referensram för hur den bäst ska hantera framtida önskemål från tredjeländer om överföring av PNR-uppgifter. Förutom de principer för utvecklingen av strategier som redan fastställts i översikten av informationshanteringen inom området med frihet, säkerhet och rättvisa ska även följande överväganden beaktas.

Gemensamma säkerhetsintressen. Både terrorism och allvarlig brottslighet har en internationell aspekt. Vissa länder i världen är mer utsatta än andra för den ökade risken för terrorism och allvarlig brottslighet. Unionen är helt inriktad på att samarbeta med dessa länder och att hjälpa dem i deras kamp mot dessa säkerhetshot.

Skydd av personuppgifter. Eftersom överföring, användande och behandling av PNR-uppgifter har inverkan på enskildas grundläggande rättighet till skydd av personuppgifter är det mycket viktigt att EU endast samarbetar med sådana tredjeländer som kan garantera en tillräcklig skyddsnivå för PNR-uppgifter från EU.

Yttre förbindelser. Dessutom bör de yttre förbindelserna mellan de berörda landet och EU i sin helhet beaktas. Polisens och rättsväsendets sätt att fungera och samarbetet med dessa samt rättsstatsprincipen och den allmänna respekten för de grundläggande rättigheterna är också viktiga faktorer att ta hänsyn till.

Normer, innehåll och kriterier

Den övergripande PNR-strategin bör ange vilka allmänna normer internationella avtal mellan EU och tredjeländer ska uppfylla för att man ska kunna åstadkomma så stor enhetlighet som möjligt när det gäller dessa länders uppgiftsskyddsgarantier och reglerna för lufttrafikföretagens överföring av uppgifter.

Det är även viktigt att EU förses både med de mekanismer som behövs för att övervaka att tillämpningen sker på ett korrekt sätt, t.ex. regelbunden översyn av tillämpningen av avtalen, och med effektiva mekanismer för tvistlösning.

Skydd av personuppgifter

Insamling och överföring av PNR-uppgifter till tredjeländer påverkar ett mycket stort antal människor och deras personuppgifter. Därför är det särskilt viktigt att det finns ett välfungerande skydd av dessa personuppgifter.

I Europa fastställs de grundläggande rättigheterna avseende skydd av privatlivet och skydd av personuppgifter i artikel 8 i den europeiska konventionen om de mänskliga rättigheterna samt i artiklarna 7 och 8 i Europeiska unionens stadga om de grundläggande rättigheterna[15]. Dessa grundläggande rättigheter gäller för alla människor, oavsett medborgarskap och bosättningsort. Ytterligare uppgiftsskyddsnormer fastställs i Europarådets konvention nr 108 från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter och tilläggsprotokoll nr 181 från 2001 till den konventionen.

Varje inskränkning i de rättigheter och friheter som tas upp i stadgan ska vara föreskriven i lag och förenlig med det väsentliga innehållet i dessa rättigheter och friheter. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot ett allmänt samhällsintresse som erkänns av unionen eller behovet av att skydda andra människors rättigheter och friheter.

Eftersom de uppgiftsskyddsordningar som tillämpas i olika tredjeländer kan skilja sig från skyddet i EU är det viktigt att det för alla överföringar av PNR-uppgifter från EU:s medlemsstater till tredjeländer kan garanteras att de berörda tredjeländerna kommer att tillämpa ett tillräckligt uppgiftsskydd som grundar sig på en sund rättslig grund. En sådan tillräcklig skyddsnivå för personuppgifter kan antingen vara föreskriven i tredjeländernas nationella lagstiftning eller garanteras genom rättsligt bindande åtaganden i det internationella avtal som styr behandlingen av personuppgifter.

Huruvida den skyddsnivå som tillämpas av ett tredjeland kan anses vara tillräcklig ska bedömas mot bakgrund av omständigheterna kring överföringen. I detta sammanhang kommer EU även att ta hänsyn till hur väl det berörda tredjelandet uppfyller internationella normer och i vilken utsträckning det har ratificerat internationella instrument om skydd av personuppgifter och om grundläggande rättigheter i allmänhet. Europeiska kommissionens tidigare beslut på detta område ska vara vägledande när det gäller att fastställa vad som kan anses utgöra ett tillräckligt skydd.

Det tredjeland som begär en överföring ska respektera följande grundläggande principer när det gäller uppgiftsskydd:

- Begränsningar när det gäller ändamålet – användande av uppgifter. Hur ett tredjeland får använda de överförda uppgifterna ska anges klart och tydligt i avtalet och användningsområdet får inte vara mer omfattande än vad som är nödvändigt för att uppnå avsett ändamål. Det framgår i samband med redan befintliga PNR-avtal att PNR-uppgifter endast bör användas i brottsbekämpnings- och säkerhetssyfte för att bekämpa terrorism och allvarlig gränsöverskridande brottslighet. När det gäller definitionerna av viktiga begrepp som terrorism och allvarlig gränsöverskridande brottslighet ska samma metod användas som i relevanta EU-instrument.

- Begränsningar när det gäller ändamålet – uppgifternas omfattning. Utbytet av personuppgifter ska begränsas till ett minimum och vara proportionerligt. Alla avtal ska innehålla en uttömmande förteckning över de kategorier av PNR-uppgifter som får överföras.

- Särskilda kategorier av personuppgifter (känsliga uppgifter). PNR-uppgifter som avser ras, etniskt ursprung, politisk eller filosofisk övertygelse, fackföreningsmedlemskap, hälsa eller sexualliv får inte användas, utom i undantagsfall då det föreligger omedelbar livsfara, dock under förutsättning att det berörda tredjelandet vidtagit lämpliga skyddsåtgärder, t.ex. garantier om att uppgifterna endast får användas från fall till fall efter tillstånd från högre tjänsteman och då endast för det ändamål de ursprungligen överförts för.

- Datasäkerhet. PNR-uppgifter måste skyddas mot missbruk och olaglig åtkomst med hjälp av alla härför lämpliga tekniska metoder, säkerhetsförfaranden och åtgärder, för att garantera uppgifternas säkerhet, konfidentialitet och integritet.

- Tillsyn och ansvarighet. Det ska införas ett tillsynssystem med en oberoende myndighet som ska ansvara för uppgiftsskyddet och ha ingripande- och genomförandebefogenheter. Denna myndighet ska utöva tillsyn över de myndigheter som använder PNR-uppgifter. Den ska ansvara för att de etablerade reglerna för skydd av personuppgifter efterlevs och ska ha befogenhet att pröva klagomål från enskilda rörande behandling av PNR-uppgifter.

- Öppenhet och information. Varje enskild person ska underrättas åtminstone om i vilket syfte behandlingen av personuppgifter sker, av vem uppgifterna kommer att behandlas, i enlighet med vilka regler och lagar behandlingen kommer att ske, till vem uppgifterna kommer att lämnas ut och vilka möjligheter som finns till prövning.

- Tillgång, rättelse och borttagning. Varje enskild person ska ha rätt att tillgå sina egna PNR-uppgifter och att, när så är lämpligt, begära att dessa uppgifter rättas eller tas bort.

- Prövning Varje enskild person ska ha rätt att söka effektiv administrativ eller rättslig prövning om hans eller hennes privatliv kränkts eller om bestämmelserna om uppgiftsskydd överträds, på en icke-diskriminerande basis utan hänsyn till medborgarskap eller bosättningsort. Det ska finnas lämpliga och effektiva påföljder och rättsmedel för alla kränkningar och överträdelser av detta slag.

- Beslut om enskilda som grundar sig på automatisk behandling. Ett beslut som har negativa verkningar för en enskild individ får aldrig grunda sig enbart på en automatisk databehandling av PNR-uppgifter utan måste kontrolleras av en människa.

- Lagring av uppgifter. Lagringsperioden för PNR-uppgifter får inte vara längre än vad som är nödvändigt för genomförandet av de åtgärder som ska vidtas. Lagringsperioden ska fastställas med hänsyn till PNR-uppgifternas användning (se avsnitt 2.1) och möjligheterna av att begränsa tillgången till uppgifterna under lagringstiden, t.ex. genom gradvis avidentifiering av uppgifterna.

- Begränsningar när det gäller vidareöverföring till andra myndigheter. PNR-uppgifter ska endast lämnas ut till andra myndigheter som är behöriga att bekämpa terrorism och allvarlig gränsöverskridande brottslighet och som erbjuder samma skyddsnivå som den myndighet som är mottagande myndighet enligt avtalet, genom ett åtagande mot den myndigheten. PNR-uppgifter ska aldrig lämnas ut gruppvis utan endast från fall till fall.

- Begränsningar när det gäller vidareöverföring till tredjeländer. Det rör sig främst om begränsningar av användande och vidarespridning, eftersom man vill undvika kringgående av avtalet i de fall PNR-uppgifter lämnas ut till ett annat tredjeland. Det måste finans lämpliga skyddsåtgärder vid denna typ av vidareöverföring. Framför allt gäller att ett mottagande tredjeland får överföra uppgifter till de behöriga myndigheterna i ett annat tredjeland endast under förutsättning att dessa myndigheter åtar sig att hålla samma skyddsnivå som i avtalet och om överföringen sker för samma ändamål som den ursprungliga överföringen. PNR-uppgifter ska aldrig lämnas ut gruppvis utan endast från fall till fall.

Överföringsregler

I syfte att skapa rättslig förutsebarhet och minimera den ekonomiska bördan för lufttrafikföretagen är det viktigt att det införs enhetliga bestämmelser för lufttrafikföretagens överföring av uppgifter till tredjeländer. Enhetliga skyldigheter skulle minska kostnaderna betydligt för lufttrafikföretagen, eftersom det inte längre skulle behövas lika stora investeringar för att uppfylla skyldigheterna. Av denna anledning vore det önskvärt med en standardisering av åtminstone följande:

- Överföringsmetod. För att det ska vara möjligt för lufttrafikföretagen att skydda de uppgifter de har i sina databaser och bibehålla kontrollen över dessa bör endast sändsystem (push system) användas för överföringar av PNR-uppgifter.

- Överföringsfrekvens. Ett tredjeland ska endast kunna begära ett rimligt antal överföringar, eftersom det måste finnas en balans mellan det värde som tillförs ur säkerhetssynpunkt och kostnaden för lufttrafikföretagen.

- Ingen skyldighet för lufttrafikföretagen att samla in ytterligare uppgifter. Lufttrafikföretagen ska inte vara skyldiga att samla in fler uppgifter än de redan gör eller att samla in vissa typer av uppgifter och de ska endast behöva överföra sådana uppgifter som de är tvungna att samla in inom ramen för sin affärsverksamhet.

Allmänna begrepp

- Tidsram och översyn. Villkoren för samarbetet med tredjeländer ska gälla för en viss fastställd tid och båda parter ska ha möjlighet att säga upp avtalet. Villkoren för samarbetet ska kunna ses över när så anses lämpligt.

- Övervakning. Det är viktigt att EU har mekanismer för att övervaka att avtalet genomförs på ett korrekt sätt, t.ex. regelbundna gemensamma översyner av genomförandet av avtalets alla aspekter, bland annat begränsningar av ändamålet, passagernas rättigheter och vidareöverföring av PNR-uppgifter. Mekanismerna bör även omfatta en bedömning av om de lagrade uppgifterna står i proportion till det ändamål de överförts för. Resultatet av varje gemensam översyn bör framläggas för rådet och Europaparlamentet.

- Tvistlösning. Det ska införas effektiva mekanismer för att lösa tvister om tolkningen, tillämpningen och genomförandet av avtalen.

- Ömsesidighet. Ömsesidighet måste gälla och säkerställs framför allt genom överföring av analytisk information som härrör från PNR-uppgifter från behöriga myndigheter i det mottagande tredjelandet till polismyndigheter och rättsliga myndigheter i de berörda medlemsstaterna samt till Europol och Eurojust.

PÅ LÄNGRE SIKT

I takt med att allt fler länder i världen använder sig av PNR-uppgifter skapas också nya situationer som påverkar världssamfundet. Den bilaterala strategi som EU valt verkar visserligen vara den mest lämpade både i dagsläget och under den närmaste framtiden, vilket dock kan komma att ändras om allt fler länder börjar använda sig av PNR-uppgifter. EU bör därför överväga att införa normer för överföring och användande av PNR-uppgifter internationellt. De riktlinjer för PNR-uppgifter som utarbetades av ICAO 2004 utgör en god grund för harmoniseringen av reglerna för överföring av PNR-uppgifter. Dessa riktlinjer är emellertid inte bindande och de löser inte i tillräcklig utsträckning frågan om uppgiftsskydd. De räcker inte i sig utan ska snarare ses som en vägledning, särskilt när det gäller frågor som rör lufttrafikföretag.

Mot denna bakgrund bör EU således överväga att inleda diskussioner med internationella partner som antingen redan använder PNR-uppgifter eller som planerar att börja använda sådana uppgifter, i syfte att undersöka om det finns tillräcklig grund för att hantera frågan om överföring av PNR-uppgifter på multilateral nivå. Skulle dessa diskussioner ge ett positivt resultat bör EU inleda formella förhandlingar med berörda internationella parter i syfte att hitta en multilateral lösning.

SLUTSATSER

I detta meddelande ges en översikt över den aktuella utvecklingen när det gäller användande av PNR-uppgifter i EU och i världen i övrigt. Denna utveckling och de hot som finns både på EU-nivå och globalt gör att kommissionen anser att EU måste se över sin övergripande strategi när det gäller PNR-uppgifter. Kommissionen har i detta sammanhang tagit hänsyn till de synpunkter om allmänna PNR-frågor som framförts av de viktigaste intressenterna och till de principer för utveckling av strategier som fastställs i översikten av informationshanteringen inom området med frihet, säkerhet och rättvisa.

Genom detta meddelande fastställs för första gången en rad allmänna överväganden som bör vara vägledande för EU i dess förhandlingar om PNR-avtal med tredjeländer. Tack vare dessa principer kommer samstämmigheten mellan PNR-avtalen att öka, samtidigt som de grundläggande rättigheterna skydd av privatlivet och skydd av personuppgifter iakttas. Meddelandet medger dock tillräcklig flexibilitet för att det ska vara möjligt att anpassa avtalen till varje enskilt lands särskilda säkerhetsproblem och nationella rättsordning.

När det slutligen kommer till frågan om hur PNR-politiken bör utvecklas i världen i det längre tidsperspektivet dras i meddelandet den slutsatsen att EU bör undersöka möjligheten att på medellång sikt ersätta de bilaterala avtalen med multilaterala avtal mellan alla länder som använder sig av PNR-uppgifter.

[1] Eurostat 36/2009.

[2] KOM(2010) 385.

[3] KOM(2003) 826.

[4] Sändsystemet innebär att lufttrafikföretaget överför uppgifter till berörda tredjeländer i stället för att ge dessa länder tillstånd att själva direkt tillgå företagets databaser.

[5] EUT L 204, 4.8.2007, s. 16.

[6] KOM(2007) 654.

[7] EUT L 91, 29.3.2006 s. 53 (EUT L 91, 29.3.2006 s. 49) och EUT L 82, 21.3.2006 s. 15.

[8] EUT L 213, 8.8.2008 s. 49.

[9] KOM(2010) 385.

[10] Rådets direktiv 2004/82/EG av den 29 augusti 2004 om skyldighet för transportörer att lämna uppgifter om passagerare.

[11] PNR-avtalet mellan EG och Förenta staterna från 2004 (EUT L 183, 20.5.2004, s. 84) och kommissionens beslut av den 14 maj 2004 (EUT 235, 6.7.2004, s. 11); PNR-avtalet mellan EU och Förenta staterna från 2006 (EUT L 298, 27.10.2006, s. 29) och åtföljande skrivelser (EUT C 259, 27.10.2006, s. 1); PNR-avtalet mellan EU och Förenta staterna från 2007 (EUT L 204, 4.8.2007, s. 18); avtalet mellan EU och Kanada (EUT L 82, 21.3.2006, s. 15 och EUT L 91, 29.3.2006, s. 49); avtalet mellan EU och Australien (EUT L 213, 8.8.2008, s. 47).

[12] KOM(2005) 491.

[13] Rådets dokument 14469/4/05 av den 30 november 2005.

[14] Rådets dokument 17024/09 av den 2 december 2009.

[15] Det bör påpekas att liknande principer om uppgiftsskydd även fastställs i internationella instrument för skydd av privatlivet och skydd av personuppgifter, t.ex. artikel 17 i den internationella konventionen om medborgerliga och politiska rättigheter av den 16 december 1966, FN:s riktlinjer för reglering av behandlingen av elektroniska dokument som innehåller personuppgifter (FN:s generalförsamlings resolution 45/95 av den 14 december 1990), rekommendationen från OECD-rådet (Organisationen för ekonomiskt samarbete och utveckling) rörande riktlinjer för skydd av privatlivet och för gränsöverskridande utbyte av personuppgifter samt Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (konvention nr 108) och tilläggsprotokollet till den konventionen (konvention nr 108) som även icke-europeiska stater kan ansluta sig till.