IP/04/650 Brussel, 17 mei 2004 De Commissie krijgt garanties voor de bescherming van de persoonsgegevens van passagiers op Transatlantische vluchten De Europese Commissie heeft een formeel besluit goedgekeurd dat binnen afzienbare tijd zal leiden tot nieuwe verbintenissen van de regering van de Verenigde Staten om een bescherming van de persoonsgegevens van passagiers op Transatlantische vluchten in de VS te garanderen. Het besluit stelt vast dat de Commissie van oordeel is dat voor persoonsgegevens van passagiers die aan de Amerikaanse autoriteiten worden doorgegeven een “passende bescherming” wordt gewaarborgd als vereist overeenkomstig de gegevensbeschermingsrichtlijn van de EU voor gegevens die aan derde landen worden doorgegeven. De verbintenissen van de VS, waarover het afgelopen jaar tussen de Commissie en het Amerikaanse “Department of Homeland Security” is onderhandeld, impliceren dat minder persoonsgegevens uit de PNR (Passenger Name Records)-lijsten van luchtvaartmaatschappijen door de Amerikaanse autoriteiten worden verzameld, dat deze gegevens voor een veel kortere periode worden bijgehouden, en voor meer beperkte doeleinden worden gebruikt, met name voor het gezamenlijke doel van de strijd tegen het terrorisme. Het besluit wordt van kracht zodra de Verenigde Staten hun verbintenissen hebben ondertekend en de internationale overeenkomst ter aanvulling van het besluit van “gepastheid” door de Raad en de VS is ondertekend. De voor de interne markt bevoegde Commissaris Frits Bolkestein, die namens de Commissie de onderhandelingen leidde, verklaarde het volgende: “Een onderhandelde oplossing is nooit ideaal, vooral wanneer je moet optornen tegen een wet die door het Amerikaanse Congres is gestemd in de begrijpelijke overtuiging dat het vitaal is de VS tegen terrorisme te beschermen. Maar “Homeland Security Secretary” Tom Ridge was erg constructief en wij zijn tot een evenwichtige oplossing kunnen komen, waarmee ook de lidstaten het eens waren. Het Europees Parlement denkt er weliswaar anders over, maar de Commissie is van oordeel dat de nu onderhandelde oplossing een verbetering inhoudt van de situatie van de EU-burgers en de luchtvaartmaatschappijen door het aannemen van belangrijke garanties door de VS voor de bescherming van persoonsgegevens en een grotere rechtszekerheid. Wij zoeken geen confrontatie met het Parlement dat ons door de sterke politieke druk die het sinds maart 2003 heeft uitgeoefend immers geholpen heeft van de Verenigde Staten verbeteringen te bedingen. We geloven echter dat wat wij doen het meest kan bijdragen tot de verwezenlijking van de doelstellingen van het afgelopen jaar, nl. een betere gegevensbescherming en een grotere rechtszekerheid voor luchtvaartmaatschappijen, die door de wetgeving van de Verenigde Staten tot het ter beschikking stellen van deze gegevens worden verplicht, en het vermijden van onaanvaardbare vertragingen voor de passagiers. In het andere geval zouden geen verdere toegevingen van de Verenigde Staten kunnen worden verwacht, maar eerder rechtsonzekerheid en de mogelijke intrekking van de verbintenissen van de Verenigde Staten om de doorgegeven gegevens te beschermen - met andere woorden: chaos voor de EU-passagiers en luchtvaartmaatschappijen.” Na de gebeurtenissen van 11 september 2001 heeft het Amerikaanse Congres een wet gestemd die alle luchtvaartmaatschappijen die van, naar of door de Verenigde Staten vliegen ertoe verplicht elektronische toegang te verlenen tot hun PNR-lijsten. De Verenigde Staten stemden herhaaldelijk in met een uitstel van de toepassing van deze bepalingen voor luchtvaartmaatschappijen die in de Europese Unie zijn gevestigd, zulks in het licht van de door deze luchtvaartmaatschappijen met instemming van de Europese Commissie geuite bezorgdheid als zouden deze bepalingen in strijd zijn met de EU-wetgeving inzake gegevensbescherming. De douanediensten van de Verenigde Staten hebben echter laten verstaan dat met ingang van 5 maart 2003 luchtvaartmaatschappijen die geen PNR-gegevens doorgeven een sanctie zouden krijgen. Daarop is de Commissie intensieve onderhandelingen aangegaan met het Amerikaanse “Department of Homeland Security (DHS)” om te garanderen dat de PNR-gegevens die aan de VS zouden worden doorgegeven een passende bescherming zouden krijgen, zoals vereist bij de gegevensbeschermingsrichtlijn van de EU. Ondertussen zijn de meeste EUluchtvaartmaatschappijen ermee begonnen de VS zoals gevraagd van PNRgegevens te voorzien. De Commissie kondigde in december 2003 aan dat zij in haar onderhandelingen met de VS tot een bevredigende oplossing was gekomen en dat zij bereid was de formele procedure te starten voor de goedkeuring van een besluit van de Commissie waarin wordt bepaald dat het Amerikaanse “Bureau of Customs and Border Protection (CBP)” passende bescherming waarborgt (zie SPEECH/03/613). Vergeleken met de situatie die tot dusver bestond, impliceren de verbintenissen van het CBP een aanzienlijke verbetering van de gegevensbescherming. Meer bepaald: Er zullen door de VS-autoriteiten minder gegevens worden verzameld en bijgehouden. Er is een lijst van 34 categorieën overeengekomen (sommige PNR-lijsten van luchtvaartmaatschappijen hebben meer dan 60 velden) en in de meeste individuele fiches zullen slechts een beperkt aantal van deze velden worden ingevuld. Gevoelige gegevens, zoals dieetwensen of speciale passagiersvereisten, die informatie over ras, godsdienst of de persoonlijke gezondheid kunnen openbaren, worden ofwel niet doorgegeven, of indien dit toch gebeurt, worden de gegevens gefilterd en door het CBP vernietigd. PNR-gegevens worden alleen gebruikt voor de strijd tegen en het voorkomen van terrorisme, met terrorisme verband houdende misdaden en ernstige misdrijven, m.i.v. de georganiseerde misdaad, of misdaad van grensoverschrijdende aard, in plaats van het veel bredere spectrum van rechtshandhavingsmaatregelen dat door de VS werd nagestreefd. Er zal geen sprake zijn van een globale terbeschikkingstelling van de PNRgegevens. Hierbij wordt tegemoetgekomen aan de bezorgdheid dat de PNRgegevens zouden worden gebruikt in veralgemeende bewakingssystemen waarvan vermoed wordt dat ze in de VS worden voorbereid. De CBP zal de verzamelde PNR-gegevens alleen in zeer specifieke gevallen en uitsluitend geval per geval en enkel voor de overeengekomen doelstellingen ter beschikking stellen; indien gegevens die uit de EU afkomstig zijn onder deze strenge voorwaarden worden doorgegeven aan autoriteiten voor rechtshandhaving in derde landen, wordt een aan te wijzen autoriteit in de EU hiervan systematisch in kennis gesteld. 2 De meeste PNR-gegevens zullen na drie en een half jaar worden vernietigd (vergeleken met de vijftig jaar als initieel voorgesteld door de Verenigde Staten). Geconsulteerde gegevens worden dan met het oog op controle voor nog eens acht jaar bewaard in een bestand met gewiste gegevens (vergeleken met voor onbepaalde tijd zoals initieel voorgesteld). De EU-autoriteiten voor gegevensbescherming zullen in de gelegenheid worden gesteld om door het DHS niet voldoende behandelde klachten van passagiers, bv. over mogelijk misbruik van hun gegevens of de weigering om onjuistheden te verbeteren, aan te kaarten bij de “Chief Privacy Officer” van het DHS. Om na te gaan of de verbintenissen ook worden nageleefd, zal minstens eenmaal per jaar een gezamenlijke controle door het DHS en een team plaatsvinden dat door de Commissie wordt geleid en vertegenwoordigers heeft van de autoriteiten voor gegevensbescherming en rechtshandhaving uit de lidstaten. De gezamenlijk overeengekomen maatregelen impliceren ook reciprociteit, mochten de EU of haar lidstaten PNR-gegevens opvragen voor vluchten uit de Verenigde Staten. De VS verbinden zich er ook toe geen onrechtmatige discriminatie in te stellen jegens niet-VS-burgers of mensen die buiten de VS gedomicilieerd zijn. De maatregelen hebben een looptijd van drie en een half jaar en vervallen dan tenzij beide partijen het over een verlenging eens worden. Het gaat hier dus om een nieuwe tijdelijke overeenkomst die hopelijk binnen afzienbare tijd kan worden vervangen door internationale normen die binnen de “International Civil Aviation Organisation (ICAO)” worden overeengekomen. De Europese Unie heeft onlangs het gebruik van PNR-gegevens voor doeleinden van grens- en luchtvaartcontrole binnen de ICAO aan de orde gebracht. Om de verbeterde gegevensbescherming en de andere voordelen operationeel te maken, zullen twee rechtsinstrumenten worden ingesteld: ten eerste het goedgekeurde besluit van de Commissie onder gebruikmaking van de bij artikel 25, lid 6, van de gegevensbeschermingsrichtlijn verleende bevoegdheid om vast te stellen dat het CBP, ontvanger en eigenaar van de gegevens in de Verenigde Staten, op basis van de aangegane verbintenissen, “passende bescherming” biedt. Ten tweede een bilaterale internationale overeenkomst tussen de EU en de VS ter aanvulling van het besluit van “gepastheid” en die kwesties bestrijkt als nietdiscriminatie, reciprociteit en de rechtstreekse toegang voor het CBP tot de gegevensbanken van de luchtvaartmaatschappijen zolang er in de EU geen systeem bestaat voor doorgifte van deze gegevens, alsook de overname van de VS-eis tot terbeschikkingstelling van de PNR-gegevens door de luchtvaartmaatschappijen als een eis van de communautaire wetgeving. De sluiting van deze internationale overeenkomst valt onder de bevoegdheid van de Raad van ministers van de EU, overeenkomstig artikel 300, lid 3, van het EG-Verdrag. De VS-verbintenissen en de daarmee samenhangende verbeteringen zullen in werking treden zodra het besluit van “gepastheid” en de internationale overeenkomst van kracht zijn. Een grote meerderheid van de lidstaten is het eens met de aanpak van de Commissie. Het Europees Parlement van zijn kant hechtte op 31 maart 2004 zijn goedkeuring aan een resolutie waarin wordt gesteld dat de verbintenissen van de Verenigde Staten niet voldoende gepaste bescherming waarborgen en waarin er bij de Commissie op aangedrongen wordt om het besluit in te trekken en met de Verenigde Staten opnieuw te gaan onderhandelen over een betere overeenkomst. Het Parlement behield zich het recht voor om de zaak aanhangig te maken bij het Europees Hof mocht de Commissie bij haar voornemen blijven. 3 Op 21 april nam het Parlement bovendien het besluit het Hof om advies te vragen over de vraag of de internationale overeenkomst niet ter goedkeuring aan het Parlement had moeten worden voorgelegd, aangezien zij de gegevensbeschermingsrichtlijn wijzigt. Volgens de jurisprudentie van het Hof vervalt de vraag van het Europees Parlement om advies zodra de overeenkomst door de Raad wordt goedgekeurd. In dat geval kan het Parlement echter van zijn recht gebruik maken overeenkomstig artikel 230 van het EG-Verdrag en verzoeken om de intrekking van de internationale overeenkomst of van het besluit van gepastheid of van beide. Meer details over het besluit staan te lezen op de Europa-website: http://europa.eu.int/comm/internal_market/privacy/adequacy_en.htm#countries 4