ARTIKEL 29 ARBETSGRUPPEN FÖR UPPGIFTSSKYDD

Transkript

1 ARTIKEL 29 ARBETSGRUPPEN FÖR UPPGIFTSSKYDD 11647/02/SV/Slutlig WP 66 Yttrande 6/2002 om överlämnande av information ur flygbolagens passagerarlistor och övriga upplysningar till USA Antaget den 24 oktober 2002 Denna arbetsgrupp är inrättad enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ för uppgiftsskydd och integritetsskydd. Arbetsuppgifterna finns beskrivna i artikel 30 i direktiv 95/46/EG och i artikel 14 i direktiv 97/66/EG. Sekretariatet tillhandahålls av direktorat A Inre marknadens funktion och genomslag, samt samordning och frågor som rör uppgiftsskydd vid Europeiska kommissionens generaldirektorat för inre marknaden, B-1049 Bryssel - Belgien - Kontor: C100-6/136. Telefon, direktanknytning (+32 2) , växel Fax Internetadress:

2 ARBETSGRUPPEN FÖR SKYDD AV ENSKILDA MED AVSEENDE PÅ BEHANDLINGEN AV PERSONUPPGIFTER inrättad genom Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995, 1 har antagit detta yttrande med beaktande av artikel 29, 30.1 a och 30.3 i det direktivet, och med beaktande av sin arbetsordning, särskilt artiklarna 12 och 14 i denna. 1 DEN AKTUELLA FRÅGAN 1.1 Bakgrund och syfte Efter händelserna den 11 september antog USA den 19 november 2001 bestämmelserna i Aviation and Transportation Security Act 3 som kräver att flygbolag som trafikerar amerikanskt territorium skall lämna ut uppgifter om passagerare och flygbesättning (passagerarlistor). 4 Överföringen skall ske elektroniskt och ha fullbordats innan planet lyfter, eller senast 15 minuter efter passagerarflygets avgång. Det är Commissioner of Customs som skall ta emot uppgifterna, men de skall delas med federala myndigheter. Syftet med att lämna ut uppgifter rör inte bara flygsäkerheten utan även den allmänna ordningen i USA. Den 14 maj 2002 antog USA en annan lag för att skärpa säkerheten vid gränserna. Enligt lagen skall flygbolag med ankomst och avgång i USA överföra uppgifter om passagerare och besättning till den amerikanska immigrations- och naturaliseringsmyndigheten (U.S. Immigration and Naturalization Service). 5 Kraven är desamma som tullens på uppgifterna om passagerare och besättning på flyg som ankommer till USA. Uppgifter om passagerare och besättning på flyg som avgår från USA skall överföras elektroniskt senast 15 minuter före start, men kan uppdateras eller korrigeras under 15 minuter efter start. Den amerikanska immigrations- och naturaliseringsmyndigheten förbehåller sig rätten att vid behov återkalla planet till en flygplats i USA inom en timme efter avgång EGT L 281, , s. 31, finns på Redan före den 11 september 2001 lämnade flygbolagen frivilligt ut vissa uppgifter till USA. Aviation and Transportation Security Act av den 19 november 2001 (107-71), interimsbestämmelser från Department of Treasury (tull) passagerarlistor och listor över besättning krävs för utländska passagerarflyg till USA (federalt register den 31 december 2001) och upplysningar om passagerarnas namn krävs för passagerare på utländska flyg till eller från USA (federalt register den 25 juni 2002). Samma krav har införts för sjötransporter. Enhanced Border Security and Visa Entry Reform Act från år 2002, se även Immigration and Nationality Act. 2

3 Alla uppgifter skall överföras till en central databas 6 som drivs gemensamt av den amerikanska tullen och den amerikanska immigrations- och naturaliseringsmyndigheten. När uppgifterna överförts kommer de att delas med andra federala organ och inte längre åtnjuta något särskilt skydd Vilka uppgifter överförs? Advanced Passenger Information System (APIS) har utvecklats på flera viktiga punkter, bland annat har uppgiftsförteckningen utvidgats. De uppgifter som krävdes var från början intimt förknippade med flygningen, amerikansk visering eller uppehållstillstånd och identifikationsuppgifter av den typ som finns i pass. Enligt den senaste amerikanska lagstiftningen om gränssäkerhet kräver flyg till och från USA att immigrationsmyndigheten får följande uppgifter: namn, födelsedatum, nationalitet, kön, passnummer och ort där passet utfärdats, bosättningsland, den amerikanska viseringens nummer, i förekommande fall datum och ort där viseringen utfärdats, registreringsnummer i utlandet i förekommande fall, adress i USA under vistelsen och alla övriga uppgifter som anses nödvändiga för att identifiera den resande, tillämpa immigrationsbestämmelserna eller skydda den nationella säkerheten. 8 Dessutom skall uppgifter på begäran överföras ur system för hantering av bokningar och avgångar (reservation and departure control systems), i synnerhet uppgifter ur kundregistret (passenger name record). 9 Dessa uppgifter avser inte bara passagerare med destination i USA och kan variera mellan flygbolagen. Det kan vara identifikationer 10 (föroch efternamn, födelsedatum, telefonnummer), bokningsnummer, bokningsdag, om lämpligt uppgifter om resebyrån, informationen på biljetten, ekonomiska upplysningar (kreditkortsnummer, sista giltighetsdag, faktureringsadress o.dyl.), resväg, information från flygbolaget (t.ex. flightnummer), stolnummer och uppgifter från tidigare bokningar. De sistnämnda kan omfatta inte bara tidigare resor utan även upplysningar som röjer religion eller etnisk tillhörighet (t.ex. val av måltid), annan grupptillhörighet, enskildas adresser eller kontaktvägar (e-postadress, uppgifter om bekanta, arbetsplats m.m.), medicinska upplysningar (eventuella behov av medicinsk assistans, syre, problem med synen, hörseln, rörelsehinder eller andra problem som flygbolaget bör känna till för att genomföra en tillfredsställande flygning) och övriga uppgifter, till exempel om bonusprogram (medlemsnummer) Interagency Border Inspection System (IBIS). Vissa uppgifter kan komma att offentliggöras enligt lagarna om tillgång till offentlig handling. Beslut tas av Attorney General, i samråd med statssekreteraren och Secretary of Treasury. Interimsbestämmelse (federalt register den 25 juni 2002) om att uppgifter ur kundregistret krävs för passagerare på utländska flyg till eller från USA. Det sägs uttryckligen om förteckningen att den är intended merely to be illustrative of those data elements to which Customs may request access. De uppgifter som avses i de interimsbestämelser som offentliggjorts av tullmyndigheterna nämns dock inte uttryckligen i lag

4 Länder vars medborgare inte behöver visering måste dessutom från och med oktober 2004 överföra biometriska uppgifter Påföljder Om de uppgifter som krävs inte lämnas ut, är felaktiga eller ofullständiga kan det få kännbara konsekvenser, främst i form av indragna landningstillstånd och höga böter. 13 Arbetsgruppen ifrågasätter om sådana här ensidigt vidtagna åtgärder är förenliga med de internationella avtalen och konventionerna om flygtrafik och transport och tillämplig nationell lag i de länder där flygbolagen är verksamma. 1.4 Andra länder Andra länder som Kanada, Mexiko 14, Australien, Nya Zeeland, Sydafrika och Förenade kungariket har redan infört eller planerar att införa liknande system för sina egna behov. 2 FÖRENLIGHET MED DIREKTIV 95/46/EG 2.1 Direktivets tillämpningsområde Flygbolagens uppgifter avser identifierade fysiska personer. Uppgifterna behandlas (samlas in, arkiveras, ändras, lagras, ändras igen, letas upp, används, överlämnas osv.) av flygbolag inom EU. Därmed skyddas de av bestämmelserna i direktiv 95/46/EG. APIS-systemet väcker särskilda frågor som behandlas nedan. De flesta går utöver flygbolagens behörighet. Flygbolagen befinner sig i en svår situation eftersom de dels måste följa genomförandebestämmelserna om uppgiftsskydd till direktiv 95/46/EG, dels enligt amerikansk lag måste lämna ut uppgifter, eftersom konsekvenserna annars kan bli kännbara. 2.2 Information till de registrerade De registrerade bör få sådan information som krävs för att uppgifterna skall behandlas korrekt, bland annat om det särskilda syftet med behandlingen i USA och till vem uppgifterna lämnas ut. Artikel 13 i direktiv 95/46/EG kan inte användas för att begränsa skyldigheten eftersom överföringen skall ske systematiskt och det när delar av lagstiftningen offentliggjordes i USA blev känt vilken typ av upplysningar som krävs. När uppgifterna samlas in bör de enskilda därför informeras, bland annat om det särskilda syftet med behandlingen i USA och vilka som skall motta uppgifterna Section 203 i Enhanced Border Security and Visa Entry Reform Act från år Cirka USD per misstag för den amerikanska tullen (till exempel avseende passagerarens namn eller andra uppgifter som ligger över den felkvot som accepteras per vecka) och USD för den amerikanska immigrations- och naturaliseringsmyndigheten per felaktigt namn. Mexiko kommer även att lämna ut alla uppgifter om flyg till Mexiko från USA. Detta gäller inte om de berörda är misstänkta för brott och förundersökning pågår. 4

5 2.3 Skyddsåtgärder Enligt direktiv 95/46/EG skall flygbolagen vidta lämpliga åtgärder för att skydda personuppgifter. Detta krav är undantagslöst. De tekniska krav som USA ställer på flygbolagen tycks lämna uppgifterna exponerade och tillgängliga för obehöriga utomstående. 2.4 Syftesprincipen Med tanke på hur systemet utvecklats kan den i punkt 1.2 beskrivna överföringen av personuppgifter, som går utöver de begränsade uppgifter som passagerare brukar tillhandahålla när resor bokas, inte anses förenlig med det ursprungliga syftet med att flygbolag och resebyråer samlar in personuppgifter, i synnerhet deras avtalsenliga skyldigheter gentemot passagerarna. Enligt artikel 6.1 b i direktiv 95/46/EG får uppgifter som samlas in för särskilda, uttryckligt angivna och berättigade ändamål inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Med tanke på deras breda och mångskiftande karaktär kan det inte anses att uppgifterna är adekvata och relevanta och inte omfattar mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de har samlats in och för vilka de senare behandlas, vilket krävs enligt artikel 6.1 c i direktiv 95/46/EG. Därför är det möjligt att hänvisa till artikel 13 i direktiv 95/46/EG, enligt vilken medlemsstaterna genom lagstiftning får begränsa skyldigheter, då en sådan begränsning är nödvändig med hänsyn till de intressen som anges i artikeln (att förebygga och utreda brott, allmän säkerhet o.dyl.). Det bästa vore naturligtvis om medlemsstaterna intog en gemensam hållning i frågan. 2.5 Uppgiftsflöde över gränserna Enligt direktiv 95/46/EG får personuppgifter överföras till tredje land bara om en adekvat skyddsnivå kan säkerställas. Utvecklingen av APIS är bekymmersam ur denna aspekt. De amerikanska federala myndigheternas behandling av flygbolagens uppgifter uppfyller inte kravet. 16 Eftersom programmet Safe Harbor har så begränsad räckvidd kan det inte tillämpas för att skydda uppgifter som överförs till statliga myndigheter. Inte heller tycks undantagen enligt artikel 26 i direktiv 95/46/EG vara tillämpliga. För närvarande erbjuder kravet på ett otvetydigt samtycke ingen lämplig lösning, eftersom flera problem återstår. Det verkar ändå inte som om passagerarens samtycke kommer att begäras enligt gällande bestämmelser. I direktiv 95/46/EG definieras samtycke som varje slag av frivillig, särskild och informerad viljeyttring genom vilken den registrerade godtar behandling av personuppgifter som rör honom. Samtycket kan vara svårt att erhålla, inte minst av praktiska problem med att klart och tydligt förmedla all nödvändig information till passagerare som köper flygbiljetter eftersom de globala bokningssystemen gör att plan från EU till USA kan bokas från nästan vilket land som helst i världen via många kanaler (flygbolag, resebyråer eller på något annat sätt). 16 Lagen om integritetsskydd vid amerikanska federala myndigheter tillämpas bara på uppgifter om amerikanska medborgare. 5

6 Informationen till de registrerade måste avse uppgifterna i artiklarna 10 och 11 i direktivet samt vid behov en upplysning om bristande skydd i tredje land. Med tanke på uppgifternas bredd är det svårt att hävda att överföringen är nödvändig för att fullgöra ett avtal mellan den registrerade och den registeransvarige. Att överföra en stor mängd uppgifter kan ju inte anses nödvändigt för att fullgöra ett avtal. Det är inte en tillräcklig grund i detta fall om flygbolagen rent fysiskt inte kan fullgöra sina avtalsskyldigheter därför att de förlorat rätten att göra det. Undantaget kan inte heller tillämpas på överföring av uppgifter om personer med annan destination än USA. Av allt att döma tycks överföringen inte heller kunna anses nödvändig av skäl som rör viktiga allmänna intressen. För det första har det inte visats att överföringen är nödvändig och för det andra framstår det inte som godtagbart att ett ensidigt beslut i ett land utanför unionen av skäl som rör det egna allmänintresset skall leda till att uppgifter som skyddas i direktivet överförs urskillningslöst och rutinmässigt. Det är slutligen svårt att betrakta överföringen som nödvändig för att skydda intressen som är av avgörande betydelse för den registrerade. Enligt direktiv 95/46/EG får personuppgifter dock överföras även om kravet på adekvat skyddsnivå i tredje land inte är uppfyllt, om den registeransvarige (mottagaren) ställer tillräckliga garantier för skyddet av uppgifterna. Därför vore det konstruktivt om EU:s medlemsstater inledde en dialog med de amerikanska myndigheterna för att finna en lösning som ger uppgifterna adekvat skydd. En gemensam hållning på EU-nivå vore lämplig. 2.6 Särskilda aspekter på överföring av och tillgång till uppgifter ur kundregister som behandlats i datasystem för bokningar och avgångar Kommentarerna till denna punkt kompletterar ovanstående kommentarer Direkt elektronisk uppkoppling för det amerikanska tullverket till boknings- och avgångssystem Om den amerikanska tullen får direkt tillgång till informationssystem på EU:s territorium för att söka fram eller samla in uppgifter i stället för att på sedvanligt sätt ta emot uppgifter som överförs över gränserna kan hela direktivet bli tillämpligt. Artikel 4.1 c definierar direktivets tillämpningsområde på registeransvariga som inte är etablerade på gemenskapens territorium och som för behandling av personuppgifter använder databehandlad eller icke databehandlad utrustning som befinner sig på en medlemsstats territorium. 17 Tillämpningen av hela direktivet väcker dock flera frågor. 17 I skäl 20 i direktiv 95/46/EG sägs att skyddet av enskilda personer enligt direktivet inte får hindras av att den registeransvarige är etablerad i tredje land. I sådana fall omfattas behandlingen av uppgifterna av lagstiftningen i den medlemsstat där de hjälpmedel som används finns. Det bör ställas garantier för att de rättigheter som följer av detta direktiv respekteras i praktiken. Arbetsgruppen för uppgiftsskydd lämnade nyligen ett yttrande som främst avsåg tolkningen av räckvidden av artikel 4.1 c i direktivet (Arbetsdokument om den internationella tillämpningen av EU:s dataskyddslagstiftning när webbplatser utanför EU behandlar personuppgifter på Internet - 30 maj 2002). I yttrandet påpekade arbetsgruppen att den registeransvarige inte måste ha full kontroll över utrustningen, men skall avgöra 6

7 2.6.2 Uppgifter om personer med annan destination än USA Uppgifter om passagerare med annan destination än USA är irrelevanta och får därför inte överföras annat än enligt särskilda avtal om ömsesidigt bistånd i rättsliga och inrikes frågor Känslig information Kundregistret kan innehålla uppgifter om ras eller etniskt ursprung, religiös tillhörighet eller andra känsliga uppgifter som avses i artikel 8 i direktiv 95/46/EG. Direktiv 95/46/EG förbjuder i princip behandling av sådana känsliga uppgifter utan särskilt tillstånd (uttryckligt samtycke till behandling för ett särskilt ändamål, uppgifter av uppenbart offentlig karaktär etc.). Samtycket ger flera problem som beskrivits ovan, och bör ägnas än större uppmärksamhet om uppgifterna är mycket känsliga. 18 Enligt artikel 8.4 i direktivet får medlemsstaterna eller tillsynsmyndigheter besluta om andra undantag, av hänsyn till ett viktigt allmänt intresse och under förutsättning av lämpliga skyddsåtgärder. Om dessa villkor är uppfyllda kan medlemsstaterna därför tillåta överföring av känsliga uppgifter ur kundregistret Behandling av uppgifter ur boknings- och avgångssystem Får amerikanska myndigheter på begäran tillgång till kundregister uppkommer genast frågan om rätten att behandla uppgifter i boknings- och avgångssystem. 20 Framför allt får uppgifterna bara behandlas om de är adekvata och relevanta och inte omfattar mer än vad som är nödvändigt med hänsyn till de ändamål för vilka de behandlas. Personuppgifter bör inte längre behandlas i bokningssystem, eftersom de inte längre behövs för de resor för vilka de samlats in. 2.7 Överföring av biometriska uppgifter Överföring av biometriska uppgifter regleras av direktiv 95/46/EG. Enligt direktivet skall medlemsstaterna precisera på vilka villkor behandling av personuppgifter är tillåten. Biometrisk identifiering gör det möjligt att identifiera individer och omfattas av denna bestämmelse. 21 vilka uppgifter som skall samlas in, lagras, överföras, förändras osv., på vilket sätt och för vilket ändamål Enligt artikel 8.2a i direktivet får medlemsstaten i lag förbjuda behandling av uppgifter som nämns i artikel 8.1 i direktivet, även om den registrerade har lämnat uttryckligt samtycke. Artikel 13 i direktivet är fortfarande tillämpligt. Se rekommendation 1/98 om datoriserade bokningssystem för lufttrafikföretag, som även nämner att uppgifter får arkiveras en viss tid eftersom de kan komma att behövas för att lösa en eventuell tvist och att uppgifter kan behandlas om passagerare som reser ofta givit sitt samtycke. Arbetsgruppen för uppgiftsskydd anser i princip att uppgifter skall få lagras on-line i högst 72 timmar och utplånas efter högst tre år (med begränsad tillgång för begäran om utredningar) eller längre tid (om det krävs i lag). Arbetsgruppen diskuterar för närvarande frågan om biometriska uppgifter. 7

8 Slutsatser 1. Arbetsgruppen är medveten om att självständiga stater själva avgör vilken information de kräver av personer som önskar resa in på deras territorium. De aktuella förslagen om APIS-systemet har visserligen utarbetats mot bakgrund av terrordåd, men skulle leda till en oproportionerlig och rutinmässig överföring av uppgifter från de flygbolag som omfattas av bestämmelserna i direktiv 95/46/EG. Uppgifterna skulle rutinmässigt användas i immigrations- och tullärenden men även i ett bredare perspektiv för USA:s nationella säkerhet och skulle vara tillgängliga åtminstone för alla amerikanska federala instanser. 2. Mot bakgrund av hur APIS-systemet utvecklats på senare tid anser arbetsgruppen att USA:s krav leder till problem med direktiv 95/46/EG. De flesta frågorna går utöver flygbolagens behörighet och bör skötas av medlemsstaterna, vid behov av kommissionen. 3. Sammanfattningsvis anser arbetsgruppen att uppgifter om passagerare med annan destination än USA inte får överföras, utom i vissa fall som regleras i särskilda samarbetsavtal om rättsliga och inrikes frågor. 4. Annan överföring av uppgifter om passagerare och besättning ur boknings- och avgångssystem bör bara ske enligt medlemsstaternas lagstiftning. Den lagstiftningen bör innehålla bestämmelser om att nödvändiga begränsningar av de rättigheter och skyldigheter som följer av direktiv 95/46/EG skall göras enligt artikel 13 i direktivet, och om att enskilda skall skyddas. En gemensam hållning bör utarbetas på EU-nivå. 5. Överföring av uppgifter som kan vara känsliga bör behandlas försiktigare. Sådan överföring förutsätter för det första att det föreligger skäl av väsentligt allmänt intresse för medlemsstaterna, för det andra att lämpliga garantier ställts och kräver för det tredje nationell lagstiftning eller beslut av tillsynsmyndighet. 6. Om den amerikanska tullen eller immigrations - och naturaliseringsmyndigheten får direkt tillgång till uppgifter ur boknings- och avgångssystem måste dessa myndigheter se till att direktivet i sin helhet följs. 7. Systemet bör förhandlas fram med de amerikanska myndigheterna. Diskussionerna bör särskilt inriktas på att förtydliga och definiera syftet och avsikten med överföringen, och vem som skall motta uppgifterna och vilka typer av uppgifter som kan komma att överföras enligt ovan och enligt de villkor och garantier som krävs för behandling av personuppgifter, i synnerhet om uppgifterna lämnas till federala instanser (i så fall bör utlämnandet av uppgifter begränsas till rättsutövande myndigheter). 8. Det behövs en övergripande hållning till flygbolagens överföring av personuppgifter till USA. Hänsyn måste tas till andra befintliga eller planerade överföringar till USA. I synnerhet bör begrepp ur tredje pelaren inarbetas. Överföring av uppgifter till myndigheter i tredje land med hänvisning till allmän ordning i landet bör ske inom ramen för de samarbetssystem som inrättats enligt tredje pelaren (rättsligt och 8

9 polisiärt samarbete). De bör även förenas med garantier för att uppgifterna skyddas. 22 Samarbetet enligt tredje pelaren bör inte få hindras av första pelaren. Lösningen för att överföra uppgifter till USA kan även bilda utgångspunkt för överföringar till andra länder utanför unionen via APIS. Utfärdat i Bryssel den 24 oktober 2002 På arbetsgruppens vägnar Ordförande Stefano Rodota 22 Medlemsstaterna lämnar ut personuppgifter till andra länder vid rättsligt och polisiärt samarbete. Europol håller på att överföra uppgifter för att utreda händelserna den 11 september 2001 som ett led i ett undantagsförfarande och diskussioner förs om att inrätta ett permanent samarbete enligt bestämmelserna i Europolkonventionen (artikel 18). Se även beslutet om Eurojust (artikel 27). Förhandlingar förs även om artikel 38 i fördraget. 9