W sprawie wniosku dotyczącego decyzji Rady w sprawie zawarcia porozumienia pomiędzy Wspólnotą Europejską a Rządem Kanady w sprawie przetwarzania zaawansowanych informacji na temat pasażerów (API) oraz danych dotyczących nazwy rekordu pasażera (PNR) (COM(2005) 200 wersja ostateczna)(2005/C 218/06)
(Dz.U.UE C z dnia 6 września 2005 r.)
EUROPEJSKI INSPEKTOR OCHRONY DANYCH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską, w szczególności jego art. 286,
uwzględniając Kartę Praw Podstawowych Unii Europejskiej, w szczególności jej art. 8,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych,
uwzględniając rozporządzenie (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41,
uwzględniając wniosek w sprawie opinii zgodnie z art. 28 ust. 2 rozporządzenia (WE) nr 45/2001 otrzymany od Komisji w dniu 26 maja 2005 r.,
PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:
1. Wstęp
1. Europejski Inspektor Ochrony Danych (EIOD) przyjmuje z zadowoleniem prośbę o wydanie opinii na podstawie art. 28 ust. 2 rozporządzenia (WE) nr 45/2001. Potwierdza to pogląd EIOD wyrażony w przedstawionym przez niego dokumencie politycznym z dnia 18 marca 2005 r. ("EIOD doradza Instytucjom Wspólnoty w sprawie wniosków legislacyjnych i związanych z nimi dokumentów"), że jego zadanie jako doradcy obejmuje również zawieranie umów pomiędzy WE a państwami trzecimi lub organizacjami międzynarodowymi w zakresie przetwarzania danych osobowych.
2. Uwzględniając wiążący charakter art. 28 ust. 2 rozporządzenia (WE) nr 45/2001, niniejsza opinia powinna zostać wspomniana w preambule do decyzji Rady.
3. Zgodnie z jego motywami przedmiotowe porozumienie pomiędzy Wspólnotą Europejską a Kanadą uwzględnia decyzję Komisji, wydaną na mocy art. 25 ust. 6 dyrektywy 95/46/WE, zgodnie z którą przyjmuje się, że odpowiednie właściwe organy kanadyjskie zapewniają prawidłowy poziom ochrony danych API/PNR ("decyzja Komisji"). W opinii EIOD również decyzja Komisji, stanowiąca część wspólnego pakietu aktów prawnych, powinna była zostać z nim skonsultowana.
4. Omawiany wniosek jest drugim z kolei dokumentem, po umowie z dnia 17 maja 2004 r.(1) pomiędzy Wspólnotą Europejską a Stanami Zjednoczonymi Ameryki, którego legalność została zakwestionowana przez Parlament na mocy art. 230 Traktatu WE. W swoim wystąpieniu przed Trybunałem Sprawiedliwości EIOD poparł wnioski Parlamentu o anulowanie wspomnianej umowy.
2. Zasadnicza treść umowy
5. Niniejszy wniosek dotyczący porozumienia jest podobnego charakteru co umowa ze Stanami Zjednoczonymi Ameryki. Jest on powiązany z decyzją Komisji wydaną na mocy art. 25 ust. 6 dyrektywy 95/46/WE, a jego celem jest zwiększenie bezpieczeństwa publicznego, zaś przewoźnik lotniczy jest zobowiązany do przekazywania danych do państwa trzeciego.
6. Jednak w treści obu tekstów istnieją zasadnicze różnice, jak wskazano w dwu opiniach Grupy Roboczej Art. 29 ds. Ochrony Danych(2). EIOD podkreśla cztery podstawowe różnice, które odegrają największą rolę w całym tekście niniejszej opinii. Po pierwsze, wniosek przewiduje system pchający (ang. push system), a nie ssący (ang. pull system) przesyłania danych, co w konsekwencji umożliwia kontrolowanie przez linie lotnicze we Wspólnocie Europejskiej przesyłania danych władzom kanadyjskim. Po drugie, zobowiązania podjęte przez władze kanadyjskie mają charakter wiążący (art. 2 ust. 1 umowy), co przyczynia się do osiągnięcia większej równowagi wniosku w porównaniu z umową zawartą ze Stanami Zjednoczonymi Ameryki. Po trzecie, wykaz danych PNR, które mają zostać przesyłane, jest krótszy i nie zawiera "otwartych kategorii" danych dotyczących pasażerów, które mogłyby ujawnić informacje wrażliwe. Ponadto umowa opiera się na dużo lepiej rozwiniętym systemie prawnym ochrony danych, oferującym ochronę osobom, których dotyczą te dane, w tym nadzór prowadzony przez niezależnego Komisarza ds. Danych. Ustawodawstwo kanadyjskie nie zapewnia jednak pełnej ochrony obywatelom Unii Europejskiej. Władze kanadyjskie zobowiązały się do rozwiązania tego problemu.
3. Implikje dla dyrektywy 95/46/WE
7. W systemie, o którym mowa w dyrektywie 95/46/WE, przesyłanie danych do państwa trzeciego zawiera się w definicji przetwarzania danych osobowych (zgodnie z art. 2 lit. b) dyrektywy "oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych") i, w konsekwencji, rozdział II dyrektywy ("Ogólne zasady legalności przetwarzania danych osobowych") ma zastosowanie do przesyłania tych danych. W tym kontekście art. 25 dyrektywy zapewnia dodatkowe gwarancje w przypadku przesyłania danych do państwa trzeciego, jako że od momentu przesłania dane te nie podlegają jurysdykcji Państwa Członkowskiego.
8. Wniosek dotyczący zawarcia umowy z Kanadą, czytany w połączeniu z decyzją Komisji, zobowiązuje linie lotnicze do przesyłania danych do Kanady. Należy ustalić, czy zobowiązanie to uniemożliwia im wypełnianie zobowiązań nałożonych na nie w ramach ustawodawstwa krajowego wykonującego dyrektywę 95/46/WE, w szczególności jej rozdział II, i czy wpływa to na skuteczność stosowania tej dyrektywy.
9. Art. 5 wniosku zobowiązuje europejskich przewoźników lotniczych do przetwarzania danych API/PNR zawartych w automatycznych systemach rezerwacji i odprawy zgodnie z wymaganiami właściwych organów kanadyjskich na mocy prawa kanadyjskiego. Wniosek nie określa, że ma zastosowanie prawo wspólnotowe, a w szczególności zasady przetwarzania danych osobowych przewidziane w rozdziale II dyrektywy 95/46/WE. W przypadku braku takiego przepisu przewoźnicy lotniczy mogą być zobowiązani do przetwarzania danych, nawet jeżeli nie będzie ono w pełni zgodne z przepisami rozdziału II dyrektywy 95/46/WE. Obecnie przewoźnicy są zobowiązani wyłącznie do działania zgodnie z istotnymi przepisami prawa kanadyjskiego.
10. Chociaż, jak wspomniano powyżej i zostanie to szczegółowo opisane w dalszej części niniejszej opinii, w Kanadzie istnieje rozwinięty system prawny ochrony danych i nie ma jakiegokolwiek powodu, by utrzymywać, że kanadyjskie ustawodawstwo dotyczące ochrony danych poważnie narusza interesy osoby pochodzącej z Wspólnoty Europejskiej, której dotyczą te dane, nie ma również powodu, by przyjmować, że ustawodawstwo kanadyjskie jest w pełni zgodne ze wszystkimi przepisami rozdziału II dyrektywy 95/46/WE. Takiego założenia nie można wyprowadzić ani z umowy, ani z memorandum wyjaśniającego. Ponadto założenie takie jest bezpodstawne, gdyż władze kanadyjskie nie są związane żadną (przyszłą) wykładnią dyrektywy wydaną przez Trybunał Sprawiedliwości, ani nie można też zapewnić, że kolejne zmiany prawa kanadyjskiego (lub jego nowe wykładnie wydane przez kanadyjski wymiar sprawiedliwości) będą zgodne z prawem wspólnotowym.
11. Na podstawie powyższej analizy EIOD doszedł do wniosku, że umowa pociąga za sobą zmianę dyrektywy 95/46/WE. Z tego powodu i niezależnie od możliwych istotnych krzywd wyrządzanych osobom, których dotyczą dane, należy uzyskać zgodę Parlamentu Europejskiego zgodnie z art. 300 ust. 3 Traktatu WE.
12. W tym względzie EIOD uważa, że, ogólnie rzecz biorąc, kwestie instytucjonalne nie należą do zakresu jego obowiązków. Jednakże w tym przypadku EIOD wyraża swoją opinię w takiej kwestii, gdyż brak poszanowania prerogatyw Parlamentu prowadzi do zmiany dyrektywy i w ten sposób wpływa na poziom ochrony danych na terytorium Wspólnoty Europejskiej.
13. Alternatywnie możliwe byłoby wprowadzenie zmian do umowy zapewniających, że przetwarzanie danych API/PNR przez europejskie linie lotnicze będzie zgodne z przepisami dyrektywy 95/46/WE. Gdyby zostało dodane takie postanowienie, umowa przestałaby pociągać za sobą zmianę dyrektywy.
4. Uwagi dotyczące treści umowy z Kanadą
4.1 Akceptacja głównych elementów wniosku
14. Nie naruszając wymogów proceduralnych związanych z przyjęciem wniosku, EIOD zbadał, czy treść wnioskowanej umowy wystarczająco chroni osobę, której dotyczą dane, a w szczególności jej podstawowe prawa w rozumieniu art. 6 Traktatu UE.
15. EIOD zauważa istotne różnice pomiędzy omawianym wnioskiem a umową ze Stanami Zjednoczonymi Ameryki (zob. pkt 6 powyżej). W rezultacie mankamenty umowy ze St. Zj. odnoszące się do trzech zasadniczych kwestii nie dotyczą omawianego wniosku, a przynajmniej nie dotyczą go w takim stopniu, jak wspomnianej umowy.
16. Ponadto EIOD zwraca uwagę na fakt, że Grupa Robocza Art. 29 ds. Ochrony Danych w opinii z dnia 19 stycznia 2005 r. zaakceptowała główne elementy (proponowanej) decyzji Komisji w sprawie odpowiedniego poziomu ochrony zapewnianej przez Kanadyjską Agencję Służb Granicznych (Canadian Border Service Agency - CBSA). Zobowiązania podjęte przez CBSA (zob. załącznik do decyzji Komisji) odegrają istotną rolę w tej ocenie. EIOD zgadza się z ustaleniami Grupy Roboczej Art. 29 ds. Ochrony Danych, uwzględniając również fakt, że niezależny Kanadyjski Komisarz ds. Ochrony Prywatności jest zwolennikiem ograniczenia dostępu do danych API/ PNR do celów rządowych i egzekwowania prawa(3).
17. EIOD uważa za bardzo istotne, że system buforowania danych API/PNR umożliwia europejskim liniom lotniczym kontrolę przetwarzania i przesyłania tych danych. Działania te w ten sposób podlegają jurysdykcji Państw Członkowskich i ma do nich zastosowanie prawo wspólnotowe.
18. Równie istotny jest fakt, że art. 2 wniosku jasno określa, iż strony umowy zgodziły się na przetwarzanie danych API/PNR w sposób ustalony w zobowiązaniach. Zobowiązania te, w brzmieniu takim, jak w załączniku do decyzji Komisji, są więc wiążące.
19. Ponadto EIOD podkreśla istotność ustanowienia Wspólnego Komitetu, który, między innymi, będzie organizować wspólne przeglądy wykonania. Pozwoli to na monitorowanie wdrażania instrumentów prawnych. Jest to tym bardziej istotne ze względu na nowość tych instrumentów prawnych i brak doświadczenia we wdrażaniu instrumentów tego typu.
20. W tym kontekście i w świetle analizy przewidzianej w akapicie 4.2 dokumentu politycznego, o którym mowa w pkt 1, EIOD akceptuje główne elementy omawianego wniosku i ogranicza swoje uwagi do kilku szczegółowych zagadnień, w szczególności:
– liczby i charakteru danych API/PNR, jakie mają być przesyłane;
– celu przetwarzania, który nie jest ograniczony do walki z terroryzmem, ale także jest związany z jakąkolwiek inną poważną przestępczością o charakterze ponadnarodowym;
– art. 3 umowy o dostępie, korekcie i zapisie.
4.2 Liczba i charakter danych API/PNR
21. Załącznik II do wniosku nie zawiera informacji wrażliwych w rozumieniu art. 8 dyrektywy 95/46/WE ani też "otwartych kategorii" danych dotyczących pasażerów, które mogłyby, w zależności od sposobu ujęcia tych kategorii w formularzu, ujawnić takie wrażliwe informacje (takie jak dane dotyczące diety, przekonań religijnych czy problemów zdrowotnych).
22. Jednakże wykaz elementów danych PNR, które należy zebrać (załącznik II do wniosku) zawiera dane, które mogą być istotne dla ochrony podstawowych praw pasażerów, w szczególności prawa do prywatności. EIOD wspomina kategorię 10 (informacje o programie dla często podróżujących pasażerów), która może ujawniać informacje o zachowaniu pasażera (chociaż nie została włączona pełna informacja o często podróżujących pasażerach) oraz kategorię 23 (wszystkie zebrane informacje APIS), która zawiera nie tylko nazwisko, ale także dane dotyczące paszportu pasażera.
23. EIOD nie jest przekonany, czy wprowadzenie tych kategorii jest konieczne i proporcjonalne, i sugeruje ponowne rozważenie potrzeby wprowadzenia tych kategorii do załącznika do wniosku. Jednakże sam fakt, że te kategorie zostały umieszczone w wykazie danych, nie jest na tyle istotny, by wymagał renegocjacji umowy i, zdaniem EIOD, nie powinien prowadzić do jej anulowania.
4.3 Cel przetwarzania danych
24. Jak pokazano wcześniej w instrumentach prawnych, które wymagają przetwarzania danych osobowych w kontekście walki z terroryzmem, prawodawca nie ograniczył celu przetwarzania do walki z terroryzmem jako takim, lecz rozszerzył ten cel tak, że umożliwia on przetwarzanie danych w odniesieniu do innych poważnych przestępstw lub, w niektórych przypadkach, nawet do egzekwowania prawa w ogóle.
25. Omawiany wniosek wspomina zwalczanie poważnych przestępstw o charakterze ponadnarodowym, w tym przestępczości zorganizowanej. Zgodnie ze zobowiązaniami CBSA (sekcja 12) informacje mogą być udostępniane innym organom rządowym Kanady wyłącznie w tych samych celach. Informacje będą udostępniane wyłącznie władzom państw trzecich dla realizacji tych celów i w zakresie, w jakim stosuje się określanie zgodności na mocy art. 25 dyrektywy 95/46/WE w zainteresowanym państwie trzecim. To ograniczenie celu samo w sobie nie stanowi naruszenia przepisów dyrektywy ani zasad, na jakich jest oparta.
4.4 Ochrona osoby, której dotyczą dane
26. Umowa zawiera jasne przepisy mające na celu ochronę interesów osoby, której dotyczą dane. EIOD podkreśla tu przede wszystkim wagę art. 3 umowy o dostępie, korekcie i zapisie. Zgodnie z tym przepisem osoba, której dotyczą dane, przebywająca na terytorium Unii Europejskiej, może korzystać z prawa do dostępu, korekty i zapisu danych pod tymi samymi warunkami co osoby przebywające w Kanadzie.
27. Zapewnienie takiego prawa samo w sobie nie zapewnia wystarczającej ochrony osoby, której dotyczą dane. Należy upewnić się, że prawa te mogą rzeczywiście być egzekwowane.
28. Zakres i treść tych praw jest określana przez prawo kanadyjskie. W celu zapewnienia wystarczającej ochrony osobom, których dotyczą dane, przebywającym w Europie, osoby te powinny mieć dostęp do odpowiedniego prawodawstwa, a jego konsekwencje powinny być dla nich możliwe do przewidzenia. W celu wypełnienia tego zobowiązania Grupa Robocza Art. 29 ds. Ochrony Danych zasugerowała włączenie odpowiednich kanadyjskich ram prawnych jako załącznika do decyzji Komisji.
29. Sugestia ta nie została zrealizowana, ale decyzja Komisji i zobowiązania CBSA zawierają wyjaśnienie odpowiednich ram prawnych. Odpowiednie sekcje zobowiązań umożliwiają pasażerom linii lotniczych zdobycie wiedzy o ich prawach.
30. EIOD zauważa, że istotne jest nie tylko umożliwienie pasażerom przebywającym we Wspólnocie Europejskiej dostępu do tekstów instrumentów prawnych, lecz także skuteczne umożliwienie im dostępu do środków odwoławczych.
31. W tym względzie EIOD popera procedurę, o której mowa w sekcji 31 zobowiązań. Zgodnie z tą procedurą Kanadyjski Komisarz ds. Ochrony Prywatności może składać skargi przekazywane mu przez organy ds. ochrony danych w Państwach Członkowskich w imieniu osób przebywających na terytorium Unii Europejskiej. Według EIOD taka procedura w praktyce mogłaby być nawet bardziej skuteczna niż formalne prawo występowania z roszczeniami międzynarodowymi osób przebywających na terytorium Unii Europejskiej przed sądami kanadyjskimi.
5. Wnioski
32. EIOD doszedł do następujących wniosków:
– niniejsza opinia powinna zostać ujęta w preambule do decyzji Rady,
– decyzja Komisji, wydana zgodnie z art. 25 ust. 6 dyrektywy 95/46/WE, na mocy której uznaje się, że Kanadyjska Agencja Służb Granicznych zapewnia prawidłowy poziom ochrony danych API/PNR, powinna była zostać skonsultowana z EIOD,
– zgodnie z art. 300 ust. 3 Traktatu WE należy osiągnąć zgodę Parlamentu Europejskiego,
– alternatywnie możliwe byłoby wprowadzenie zmian do umowy zapewniających, że przetwarzanie danych API/PNR przez europejskie linie lotnicze będzie zgodne z przepisami dyrektywy 95/46/WE,
– EIOD akceptuje główne elementy omawianego wniosku.
Sporządzono w Brukseli dnia 15 czerwca 2005 r.
|
Peter HUSTINX |
|
Europejski Inspektor Ochrony Danych |
______
(1) Sprawa C-317/04 rozpatrywana przez Trybunał.
(2) Jest to niezależny zespół doradczy, składający się z przedstawicieli organów Państw Członkowskich zajmujących się ochroną danych, EIOD i Komisji, ustanowiony na mocy przepisów dyrektywy 95/46/WE. EIOD odnosi się do opinii 3/2004 w sprawie poziomu ochrony zapewnianej w Kanadzie przesyłaniu zaawansowanych informacji na temat pasażera (dane PNR) i danych dotyczących nazwy rekordu pasażera (API) przez linie lotnicze (11 lutego 2004 r.) oraz do opinii 1/2005 w sprawie poziomu ochrony zapewnianej w Kanadzie przesyłowi przesyłaniu zaawansowanych informacji na temat pasażera (dane PNR) i danych dotyczących nazwy rekordu pasażera (API) przez linie lotnicze (19 stycznia 2005 r.).
(3) Zob. oświadczenie komisarza z dnia 9 kwietnia 2003 r. (http://www.privcom.gc.ca/keyIssues/ki-qc/mc-ki-api_e.asp).