IP/04/650
Brussel, 17 mei 2004
De Commissie krijgt garanties voor de bescherming van de
persoonsgegevens van passagiers op Transatlantische vluchten
De Europese Commissie heeft een formeel besluit goedgekeurd dat binnen
afzienbare tijd zal leiden tot nieuwe verbintenissen van de regering
van de Verenigde Staten om een bescherming van de persoonsgegevens van
passagiers op Transatlantische vluchten in de VS te garanderen. Het
besluit stelt vast dat de Commissie van oordeel is dat voor
persoonsgegevens van passagiers die aan de Amerikaanse autoriteiten
worden doorgegeven een "passende bescherming" wordt gewaarborgd als
vereist overeenkomstig de gegevensbeschermingsrichtlijn van de EU voor
gegevens die aan derde landen worden doorgegeven. De verbintenissen
van de VS, waarover het afgelopen jaar tussen de Commissie en het
Amerikaanse "Department of Homeland Security" is onderhandeld,
impliceren dat minder persoonsgegevens uit de PNR (Passenger Name
Records)-lijsten van luchtvaartmaatschappijen door de Amerikaanse
autoriteiten worden verzameld, dat deze gegevens voor een veel kortere
periode worden bijgehouden, en voor meer beperkte doeleinden worden
gebruikt, met name voor het gezamenlijke doel van de strijd tegen het
terrorisme. Het besluit wordt van kracht zodra de Verenigde Staten hun
verbintenissen hebben ondertekend en de internationale overeenkomst
ter aanvulling van het besluit van "gepastheid" door de Raad en de VS
is ondertekend.
De voor de interne markt bevoegde Commissaris Frits Bolkestein, die
namens de Commissie de onderhandelingen leidde, verklaarde het
volgende: "Een onderhandelde oplossing is nooit ideaal, vooral wanneer
je moet optornen tegen een wet die door het Amerikaanse Congres is
gestemd in de begrijpelijke overtuiging dat het vitaal is de VS tegen
terrorisme te beschermen. Maar "Homeland Security Secretary" Tom Ridge
was erg constructief en wij zijn tot een evenwichtige oplossing kunnen
komen, waarmee ook de lidstaten het eens waren. Het Europees Parlement
denkt er weliswaar anders over, maar de Commissie is van oordeel dat
de nu onderhandelde oplossing een verbetering inhoudt van de situatie
van de EU-burgers en de luchtvaartmaatschappijen door het aannemen van
belangrijke garanties door de VS voor de bescherming van
persoonsgegevens en een grotere rechtszekerheid. Wij zoeken geen
confrontatie met het Parlement dat ons door de sterke politieke druk
die het sinds maart 2003 heeft uitgeoefend immers geholpen heeft van
de Verenigde Staten verbeteringen te bedingen. We geloven echter dat
wat wij doen het meest kan bijdragen tot de verwezenlijking van de
doelstellingen van het afgelopen jaar, nl. een betere
gegevensbescherming en een grotere rechtszekerheid voor
luchtvaartmaatschappijen, die door de wetgeving van de Verenigde
Staten tot het ter beschikking stellen van deze gegevens worden
verplicht, en het vermijden van onaanvaardbare vertragingen voor de
passagiers.
In het andere geval zouden geen verdere toegevingen van de Verenigde
Staten kunnen worden verwacht, maar eerder rechtsonzekerheid en de
mogelijke intrekking van de verbintenissen van de Verenigde Staten om
de doorgegeven gegevens te beschermen - met andere woorden: chaos voor
de EU-passagiers en luchtvaartmaatschappijen."
Na de gebeurtenissen van 11 september 2001 heeft het Amerikaanse
Congres een wet gestemd die alle luchtvaartmaatschappijen die van,
naar of door de Verenigde Staten vliegen ertoe verplicht elektronische
toegang te verlenen tot hun PNR-lijsten. De Verenigde Staten stemden
herhaaldelijk in met een uitstel van de toepassing van deze bepalingen
voor luchtvaartmaatschappijen die in de Europese Unie zijn gevestigd,
zulks in het licht van de door deze luchtvaartmaatschappijen met
instemming van de Europese Commissie geuite bezorgdheid als zouden
deze bepalingen in strijd zijn met de EU-wetgeving inzake
gegevensbescherming. De douanediensten van de Verenigde Staten hebben
echter laten verstaan dat met ingang van 5 maart 2003
luchtvaartmaatschappijen die geen PNR-gegevens doorgeven een sanctie
zouden krijgen. Daarop is de Commissie intensieve onderhandelingen
aangegaan met het Amerikaanse "Department of Homeland Security (DHS)"
om te garanderen dat de PNR-gegevens die aan de VS zouden worden
doorgegeven een passende bescherming zouden krijgen, zoals vereist bij
de gegevensbeschermingsrichtlijn van de EU. Ondertussen zijn de meeste
EU-luchtvaartmaatschappijen ermee begonnen de VS zoals gevraagd van
PNR-gegevens te voorzien.
De Commissie kondigde in december 2003 aan dat zij in haar
onderhandelingen met de VS tot een bevredigende oplossing was gekomen
en dat zij bereid was de formele procedure te starten voor de
goedkeuring van een besluit van de Commissie waarin wordt bepaald dat
het Amerikaanse "Bureau of Customs and Border Protection (CBP)"
passende bescherming waarborgt (zie SPEECH/03/613). Vergeleken met de
situatie die tot dusver bestond, impliceren de verbintenissen van het
CBP een aanzienlijke verbetering van de gegevensbescherming. Meer
bepaald:
Er zullen door de VS-autoriteiten minder gegevens worden verzameld en
bijgehouden. Er is een lijst van 34 categorieën overeengekomen
(sommige PNR-lijsten van luchtvaartmaatschappijen hebben meer dan
60 velden) en in de meeste individuele fiches zullen slechts een
beperkt aantal van deze velden worden ingevuld.
Gevoelige gegevens, zoals dieetwensen of speciale
passagiersvereisten, die informatie over ras, godsdienst of de
persoonlijke gezondheid kunnen openbaren, worden ofwel niet
doorgegeven, of indien dit toch gebeurt, worden de gegevens
gefilterd en door het CBP vernietigd.
PNR-gegevens worden alleen gebruikt voor de strijd tegen en het
voorkomen van terrorisme, met terrorisme verband houdende misdaden
en ernstige misdrijven, m.i.v. de georganiseerde misdaad, of
misdaad van grensoverschrijdende aard, in plaats van het veel
bredere spectrum van rechtshandhavingsmaatregelen dat door de VS
werd nagestreefd.
Er zal geen sprake zijn van een globale terbeschikkingstelling van
de PNR-gegevens. Hierbij wordt tegemoetgekomen aan de bezorgdheid
dat de PNR-gegevens zouden worden gebruikt in veralgemeende
bewakingssystemen waarvan vermoed wordt dat ze in de VS worden
voorbereid. De CBP zal de verzamelde PNR-gegevens alleen in zeer
specifieke gevallen en uitsluitend geval per geval en enkel voor
de overeengekomen doelstellingen ter beschikking stellen; indien
gegevens die uit de EU afkomstig zijn onder deze strenge
voorwaarden worden doorgegeven aan autoriteiten voor
rechtshandhaving in derde landen, wordt een aan te wijzen
autoriteit in de EU hiervan systematisch in kennis gesteld.
De meeste PNR-gegevens zullen na drie en een half jaar worden
vernietigd (vergeleken met de vijftig jaar als initieel
voorgesteld door de Verenigde Staten). Geconsulteerde gegevens
worden dan met het oog op controle voor nog eens acht jaar bewaard
in een bestand met gewiste gegevens (vergeleken met voor
onbepaalde tijd zoals initieel voorgesteld).
De EU-autoriteiten voor gegevensbescherming zullen in de
gelegenheid worden gesteld om door het DHS niet voldoende
behandelde klachten van passagiers, bv. over mogelijk misbruik van
hun gegevens of de weigering om onjuistheden te verbeteren, aan te
kaarten bij de "Chief Privacy Officer" van het DHS.
Om na te gaan of de verbintenissen ook worden nageleefd, zal minstens
eenmaal per jaar een gezamenlijke controle door het DHS en een team
plaatsvinden dat door de Commissie wordt geleid en vertegenwoordigers
heeft van de autoriteiten voor gegevensbescherming en rechtshandhaving
uit de lidstaten.
De gezamenlijk overeengekomen maatregelen impliceren ook
reciprociteit, mochten de EU of haar lidstaten PNR-gegevens opvragen
voor vluchten uit de Verenigde Staten. De VS verbinden zich er ook toe
geen onrechtmatige discriminatie in te stellen jegens niet-VS-burgers
of mensen die buiten de VS gedomicilieerd zijn. De maatregelen hebben
een looptijd van drie en een half jaar en vervallen dan tenzij beide
partijen het over een verlenging eens worden. Het gaat hier dus om een
nieuwe tijdelijke overeenkomst die hopelijk binnen afzienbare tijd kan
worden vervangen door internationale normen die binnen de
"International Civil Aviation Organisation (ICAO)" worden
overeengekomen. De Europese Unie heeft onlangs het gebruik van
PNR-gegevens voor doeleinden van grens- en luchtvaartcontrole binnen
de ICAO aan de orde gebracht.
Om de verbeterde gegevensbescherming en de andere voordelen
operationeel te maken, zullen twee rechtsinstrumenten worden
ingesteld: ten eerste het goedgekeurde besluit van de Commissie onder
gebruikmaking van de bij artikel 25, lid 6, van de
gegevensbeschermingsrichtlijn verleende bevoegdheid om vast te stellen
dat het CBP, ontvanger en eigenaar van de gegevens in de Verenigde
Staten, op basis van de aangegane verbintenissen, "passende
bescherming" biedt. Ten tweede een bilaterale internationale
overeenkomst tussen de EU en de VS ter aanvulling van het besluit van
"gepastheid" en die kwesties bestrijkt als niet-discriminatie,
reciprociteit en de rechtstreekse toegang voor het CBP tot de
gegevensbanken van de luchtvaartmaatschappijen zolang er in de EU geen
systeem bestaat voor doorgifte van deze gegevens, alsook de overname
van de VS-eis tot terbeschikkingstelling van de PNR-gegevens door de
luchtvaartmaatschappijen als een eis van de communautaire wetgeving.
De sluiting van deze internationale overeenkomst valt onder de
bevoegdheid van de Raad van ministers van de EU, overeenkomstig
artikel 300, lid 3, van het EG-Verdrag. De VS-verbintenissen en de
daarmee samenhangende verbeteringen zullen in werking treden zodra het
besluit van "gepastheid" en de internationale overeenkomst van kracht
zijn.
Een grote meerderheid van de lidstaten is het eens met de aanpak van
de Commissie. Het Europees Parlement van zijn kant hechtte op 31 maart
2004 zijn goedkeuring aan een resolutie waarin wordt gesteld dat de
verbintenissen van de Verenigde Staten niet voldoende gepaste
bescherming waarborgen en waarin er bij de Commissie op aangedrongen
wordt om het besluit in te trekken en met de Verenigde Staten opnieuw
te gaan onderhandelen over een betere overeenkomst. Het Parlement
behield zich het recht voor om de zaak aanhangig te maken bij het
Europees Hof mocht de Commissie bij haar voornemen blijven.
Op 21 april nam het Parlement bovendien het besluit het Hof om advies
te vragen over de vraag of de internationale overeenkomst niet ter
goedkeuring aan het Parlement had moeten worden voorgelegd, aangezien
zij de gegevensbeschermingsrichtlijn wijzigt.
Volgens de jurisprudentie van het Hof vervalt de vraag van het
Europees Parlement om advies zodra de overeenkomst door de Raad wordt
goedgekeurd. In dat geval kan het Parlement echter van zijn recht
gebruik maken overeenkomstig artikel 230 van het EG-Verdrag en
verzoeken om de intrekking van de internationale overeenkomst of van
het besluit van gepastheid of van beide.
Meer details over het besluit staan te lezen op de Europa-website:
http://europa.eu.int/comm/internal_market/privacy/adequacy_en.htm#coun
tries
European Commission