ΟΜΑ Α ΕΡΓΑΣΙΑΣ ΤΟΥ ΑΡΘΡΟΥ 29 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ Ε ΟΜΕΝΩΝ

Transcript

1 ΟΜΑ Α ΕΡΓΑΣΙΑΣ ΤΟΥ ΑΡΘΡΟΥ 29 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ Ε ΟΜΕΝΩΝ 11647/02/EL/Τελικό WP 66 Γνωµοδότηση 6/2002 σχετικά µε τη διαβίβαση πληροφοριών για τον κατάλογο επιβατών και άλλων δεδοµένων από τις αεροπορικές εταιρείες προς τις Ηνωµένες Πολιτείες Εκδόθηκε στις 24 Οκτωβρίου 2002 Η οµάδα εργασίας συστάθηκε δυνάµει του άρθρου 29 της οδηγίας 95/46/ΕΚ και αποτελεί ανεξάρτητο συµβουλευτικό όργανο της ΕΕ για την προστασία των δεδοµένων και της ιδιωτικής ζωής. Τα καθήκοντα της οµάδας ορίζονται στο άρθρο 30 της οδηγίας 95/46/ΕΚ και στο άρθρο 14 της οδηγίας 97/66/EC. Χρέη γραµµατείας εκτελούνται από την: Ευρωπαϊκή Επιτροπή, Γ Εσωτερικής αγοράς "Λειτουργία και αντίκτυπος της εσωτερικής αγοράς - συντονισµός - προστασία των δεδοµένων". B-1049 Βρυξέλλες - Βέλγιο - Γραφείο: C100-6/136 Τηλ. απευθείας (+32 2) , κεντρικό Τηλεοµοιοτυπία: ιεύθυνση ιαδικτύου:

2 Η ΟΜΑ Α ΕΡΓΑΣΙΑΣ ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΦΥΣΙΚΩΝ ΠΡΟΣΩΠΩΝ ΕΝΑΝΤΙ ΤΗΣ ΕΠΕΞΕΡΓΑΣΙΑΣ Ε ΟΜΕΝΩΝ ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ που συστάθηκε µε την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συµβουλίου της 24ης Οκτωβρίου , Έχοντας υπόψη: τα άρθρα 29 και 30, παράγραφοι 1, στοιχείο α) και 3 της εν λόγω οδηγίας, τον εσωτερικό κανονισµό της και ιδίως τα άρθρα 12 και 14 του εν λόγω κανονισµού, εξέδωσε την παρούσα γνωµοδότηση: 1. ΥΠΟ ΣΥΖΗΤΗΣΗ ΘΕΜΑ 1.1 Ιστορικό και σκοπός Μετά τα γεγονότα της 11ης Σεπτεµβρίου , οι Ηνωµένες Πολιτείες εξέδωσαν στις 19 Νοεµβρίου 2001 το νόµο για την ασφάλεια στις αεροπορικές µεταφορές και, γενικότερα, στις µεταφορές (Aviation and Transportation Security Act) 3 που επιβάλλει στις αεροπορικές εταιρείες οι οποίες πραγµατοποιούν πτήση στο έδαφός τους να τους διαβιβάζουν δεδοµένα σχετικά µε τους επιβάτες και το πλήρωµα θαλάµου (Passenger Manifest Information) 4. Η διαβίβαση πρέπει να πραγµατοποιείται ηλεκτρονικά και να ολοκληρώνεται πριν από την απογείωση του αεροσκάφους, το αργότερο 15 λεπτά µετά την αναχώρηση των επιβατών. Μολονότι ο «Commissioner of Customs» είναι ο αποδέκτης των δεδοµένων που διαβιβάζονται στις Ηνωµένες Πολιτείες, τα δεδοµένα θα κοινοποιούνται στις αµερικανικές οµοσπονδιακές αρχές. Ο σκοπός της διαβίβασης των δεδοµένων δεν αφορά µόνο την ασφάλεια της αεροπορίας, αλλά αποτελεί επίσης ζήτηµα δηµόσιας τάξης στις Ηνωµένες Πολιτείες. Στις 14 Μαΐου 2002, οι Ηνωµένες Πολιτείες εξέδωσαν έναν άλλο νόµο για τη βελτίωση της ασφάλειας των συνόρων, ο οποίος επιβάλλει στις αεροπορικές εταιρείες που πραγµατοποιούν πτήση προς ή από τις Ηνωµένες Πολιτείες να διαβιβάζουν δεδοµένα σχετικά µε τους επιβάτες και το πλήρωµα στην Υπηρεσία µετανάστευσης και Επίσηµη Εφηµερίδα L 281 της , σ. 31, που διατίθεται στην εξής διεύθυνση: Πριν από τις 11 Σεπτεµβρίου 2001, οι αεροπορικές εταιρείες διαβίβαζαν ήδη ορισµένα δεδοµένα στις ΗΠΑ σε εθελοντική βάση. «Aviation and Transportation Security Act» της 19ης Νοεµβρίου 2001 (107-71), «Interim Rules of Dep. of The Treasury (Customs) Passenger and Crew Manifests Required for Passenger Flights in Foreign Air Transportation to the United States» (Federal Register, 31 εκεµβρίου 2001) και «Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States» (Federal Register, 25 Ιουνίου 2002). Οι ίδιες υποχρεώσεις θεσπίστηκαν για τις θαλάσσιες µεταφορές. 2

3 πολιτογράφησης των ΗΠΑ (Immigration and Naturalization Service) 5. Όσον αφορά τους επιβάτες και το πλήρωµα που φθάνουν στις Ηνωµένες Πολιτείες, η απαίτηση ως προς τα δεδοµένα και τη διαβίβαση είναι η ίδια µε εκείνη που επιβάλλει η Τελωνειακή υπηρεσία των ΗΠΑ. Όσον αφορά τους επιβάτες και το πλήρωµα που αναχωρούν από τις Ηνωµένες Πολιτείες, η διαβίβαση πρέπει να πραγµατοποιείται ηλεκτρονικά και να ολοκληρώνεται 15 λεπτά πριν από την απογείωση του αεροσκάφους, παρέχοντας χρονικό περιθώριο για την ενηµέρωση ή τη διόρθωση του καταλόγου, το αργότερο εντός 15 λεπτών µετά την απογείωση του αεροσκάφους. Η Υπηρεσία Μετανάστευσης και Πολιτογράφησης των ΗΠΑ επιφυλάσσεται του δικαιώµατος να απαιτήσει την επιστροφή του αεροσκάφους στον αµερικανικό αερολιµένα εντός µίας ώρας µετά την αναχώρηση εφόσον κριθεί απαραίτητο. Όλα τα δεδοµένα πρέπει να διαβιβάζονται σε µια κεντρική βάση δεδοµένων 6, την οποία διαχειρίζονται από κοινού η Τελωνειακή υπηρεσία και η Υπηρεσία µετανάστευσης και πολιτογράφησης των ΗΠΑ. Μετά τη διαβίβασή τους, τα δεδοµένα κοινοποιούνται σε άλλες οµοσπονδιακές υπηρεσίες και παύουν να απολαµβάνουν ειδικής προστασίας Κατηγορίες των διαβιβαζόµενων δεδοµένων Το προηγµένο σύστηµα πληροφοριών για τους επιβάτες (Advanced Passenger Information System - APIS) υπέστη ορισµένες σηµαντικές εξελίξεις, και ιδίως την επέκταση του καταλόγου των δεδοµένων που περιέχει. Στην αρχή, τα ζητούµενα δεδοµένα συνδέονταν άµεσα µε την πτήση, τη θεώρηση (βίζα) ή την άδεια διαµονής στις Ηνωµένες Πολιτείες, καθώς και µε πληροφορίες προσδιορισµού της ταυτότητας όπως εκείνες που περιέχονται στα διαβατήρια. Ειδικά, ο πρόσφατος αµερικανικός νόµος για την ασφάλεια των συνόρων επιβάλλει τη διαβίβαση των εξής δεδοµένων στην Υπηρεσία µετανάστευσης των ΗΠΑ όσον αφορά τις πτήσεις µε προορισµό και προέλευση τις Ηνωµένες Πολιτείες: ονοµατεπώνυµο, ηµεροµηνία γεννήσεως, ιθαγένεια, φύλο, αριθµός διαβατηρίου και τόπος έκδοσης, χώρα κατοικίας, αριθµός της αµερικανικής θεώρησης, ηµεροµηνία και τόπος έκδοσης (κατά περίπτωση), αριθµός καταχώρισης αλλοδαπού (κατά περίπτωση), διεύθυνση στις Ηνωµένες Πολιτείες κατά την παραµονή και οποιαδήποτε άλλα δεδοµένα τα οποία κρίνονται αναγκαία για τον προσδιορισµό της ταυτότητας των ταξιδιωτών, την εφαρµογή των κανονιστικών διατάξεων σε θέµατα µετανάστευσης ή την προστασία της εθνικής ασφάλειας 8. Επιπροσθέτως, απαιτείται σήµερα 9 η διαβίβαση, κατόπιν αιτήµατος, των δεδοµένων που υφίστανται επεξεργασία από συστήµατα κράτησης και ελέγχου της αναχώρησης (DCS), Νόµος «Enhanced Border Security and Visa Entry Reform Act» του 2002 βλέπε επίσης το νόµο «Immigration and Nationality Act». «Interagency Border Inspection System» (IBIS, ιϋπηρεσιακό σύστηµα επιτήρησης των συνόρων). Ορισµένα από τα δεδοµένα αυτά ενδέχεται, κατά περίπτωση, να δηµοσιοποιούνται σύµφωνα µε τη νοµοθεσία που διέπει την πρόσβαση στις πληροφορίες που κατέχει ο δηµόσιος τοµέας. Απόφαση του υπουργού ικαιοσύνης, σε συνεννόηση µε τον υπουργό Εξωτερικών και τον υπουργό Οικονοµικών. Προσωρινή ρύθµιση (Federal Register, 25 Ιουνίου 2002), «Passenger Name Record Information required for Passengers on Flights in Foreign Air Transportation to or from the United States». 3

4 και ιδίως των φακέλων των επιβατών (Passenger Name Records - PNR). Τα εν λόγω δεδοµένα δεν περιορίζονται στους επιβάτες των εγχώριων πτήσεων στις Ηνωµένες Πολιτείες και µπορεί να ποικίλλουν από τη µία αεροπορική εταιρεία στην άλλη. Μπορεί να καλύπτουν δεδοµένα ταυτότητας 10 (ονοµατεπώνυµο, ηµεροµηνία γεννήσεως, αριθµός τηλεφώνου), τον αριθµό PNR κράτησης θέσης, την ηµεροµηνία κράτησης, τον ταξιδιωτικό πράκτορα ενδεχοµένως, τις πληροφορίες που αναγράφονται στο εισιτήριο, οικονοµικά στοιχεία (αριθµός πιστωτικής κάρτας, ηµεροµηνία λήξης, διεύθυνση τιµολόγησης κ.λπ.), το δροµολόγιο, πληροφορίες από το µεταφορέα σχετικά µε την πτήση (αριθµός πτήσης κ.λπ), τον αριθµό θέσης και τον προηγούµενο φάκελο επιβάτη (PNR). Στον τελευταίο αυτό φάκελο µπορεί να περιλαµβάνονται όχι µόνο ταξίδια που πραγµατοποιήθηκαν στο παρελθόν, αλλά επίσης πληροφορίες θρησκευτικού ή φυλετικού χαρακτήρα (επιλογή γεύµατος κ.λπ.), η ιδιότητα µέλους οποιασδήποτε ιδιαίτερης οµάδας, δεδοµένα σχετικά µε τον τόπο κατοικίας ή τον τρόπο επικοινωνίας µε ένα πρόσωπο (διεύθυνση ηλεκτρονικού ταχυδροµείου, στοιχεία ενός φίλου, τόπος εργασίας κ.λπ.), ιατρικά δεδοµένα (τυχόν ανάγκη ιατρικής βοήθειας ή οξυγόνου, προβλήµατα όρασης, ακοής ή κινητικότητας ή οποιοδήποτε άλλα πρόβληµα το οποίο πρέπει να γνωστοποιηθεί για να εξασφαλιστεί µια ικανοποιητική πτήση) και άλλα δεδοµένα συνδεόµενα, για παράδειγµα, µε προγράµµατα τακτικών επιβατών (αριθµός τακτικού επιβάτη) 11. Επιπλέον, για τις χώρες που συµµετέχουν στο «Visa Waiver Program» (πρόγραµµα άρσης της θεώρησης εισόδου), η διαβίβαση βιοµετρικών δεδοµένων πρόκειται να καταστεί υποχρεωτική τον Οκτώβριο του Κυρώσεις Η µη διαβίβαση των ζητούµενων πληροφοριών ή η διαβίβαση ανακριβών ή ελλιπών πληροφοριών τιµωρείται µε αυστηρές κυρώσεις, όπως ιδίως η απώλεια των δικαιωµάτων προσγείωσης και η επιβολή υψηλών προστίµων 13. Από την άποψη αυτή, η οµάδα εργασίας διερωτάται κατά πόσο µέτρα τα οποία έχουν θεσπιστεί µονοµερώς µπορεί να συνάδουν µε τις διεθνείς συµφωνίες και συµβάσεις σχετικά µε την εναέρια κυκλοφορία και τις αεροµεταφορές καθώς και µε το εφαρµοστέο εθνικό δίκαιο όσον αφορά τις χώρες όπου οι αεροπορικές εταιρείες δραστηριοποιούνται σε µόνιµη βάση Αναφέρεται ρητά ότι ο κατάλογος «προορίζεται απλώς να είναι ενδεικτικός των στοιχείων δεδοµένων στα οποία η Τελωνειακή υπηρεσία µπορεί να ζητήσει πρόσβαση». Αυτά τα δεδοµένα, που περιέχονται στις προσωρινές ρυθµίσεις που δηµοσίευσε η Τελωνειακή υπηρεσία, δεν προβλέπονται ωστόσο από το νόµο Παράγραφος 203 του νόµου «Enhanced Border Security and Visa Entry Reform Act» του Περίπου $ 5000 ανά ανακρίβεια για την Τελωνειακή υπηρεσία των ΗΠΑ (π.χ. ονοµατεπώνυµο του επιβάτη ή άλλα κριτήρια κάτω από τον αποδεκτό εβδοµαδιαίο µέσο όρο) και $ 1000 ανά ανακριβές όνοµα για την Υπηρεσία µετανάστευσης και πολιτογράφησης. 4

5 1.4 Επέκταση σε άλλες χώρες Άλλες χώρες όπως ο Καναδάς, το Μεξικό 14, η Αυστραλία, η Νέα Ζηλανδία, η Νότιος Αφρική και το Ηνωµένο Βασίλειο έχουν ήδη θεσπίσει ή προτίθενται να θεσπίσουν παρόµοια συστήµατα για να καλύψουν τις δικές τους ανάγκες. 2. ΣΥΜΒΑΤΟΤΗΤΑ ΜΕ ΤΗΝ Ο ΗΓΙΑ 95/46/ΕΚ 2.1 Εφαρµογή της οδηγίας Τα δεδοµένα που διαβιβάζονται από τις αεροπορικές εταιρείες σχετίζονται µε φυσικά πρόσωπα των οποίων η ταυτότητα είναι γνωστή. Υφίστανται επεξεργασία από αεροπορικές εταιρείες στο εσωτερικό της ΕΕ (συλλογή, καταχώριση, τροποποίηση, αποθήκευση, εκ νέου τροποποίηση, ανάκτηση, χρήση, κοινοποίηση κ.λπ.). Ως εκ τούτου, προστατεύονται από τις διατάξεις της οδηγίας 95/46/ΕΚ. Επιπλέον, η εξέλιξη του συστήµατος APIS δηµιουργεί ιδιαίτερες ανησυχίες οι οποίες αναλύονται παρακάτω και οι περισσότερες των οποίων υπερβαίνουν την αρµοδιότητα των αεροπορικών εταιρειών. Οι αεροπορικές εταιρείες βρίσκονται σε δίληµµα στο µέτρο που, αφενός, υποχρεούνται να τηρούν τη νοµοθεσία µεταφοράς της οδηγίας 95/46/ΕΚ για την προστασία των δεδοµένων και, αφετέρου, η αµερικανική νοµοθεσία τις υποχρεώνει να διαβιβάζουν τα δεδοµένα και συνοδεύεται από αυστηρές κυρώσεις. 2.2 Πληροφορίες για τα υποκείµενα των δεδοµένων Τα υποκείµενα των δεδοµένων πρέπει να λαµβάνουν τις απαραίτητες πληροφορίες για να εξασφαλίζεται η θεµιτή επεξεργασία των δεδοµένων. Οι πληροφορίες αυτές πρέπει να περιλαµβάνουν τους συγκεκριµένους σκοπούς της επεξεργασίας στις Ηνωµένες Πολιτείες και τους αποδέκτες των δεδοµένων. εν δικαιολογείται η επίκληση του άρθρου 13 της οδηγίας 95/46/ΕΚ για τον περιορισµό της υποχρέωσης αυτής όταν η διαβίβαση είναι συστηµατική και όταν οι απαιτούµενες κατηγορίες πληροφοριών έχουν ήδη δηµοσιοποιηθεί εν µέρει στις Ηνωµένες Πολιτείες µέσω της δηµοσίευσης νοµοθεσίας. ηλαδή, οι εν λόγω πληροφορίες πρέπει να παρέχονται στο πρόσωπο τη στιγµή της συλλογής των δεδοµένων και να καλύπτουν, µεταξύ άλλων, τους συγκεκριµένους σκοπούς της επεξεργασίας στις Ηνωµένες Πολιτείες και τους αποδέκτες των δεδοµένων Μέτρα ασφάλειας Σύµφωνα µε την οδηγία 95/46/ΕΚ, οι αεροπορικές εταιρείες οφείλουν να θεσπίζουν κατάλληλα µέτρα ασφάλειας για την προστασία των δεδοµένων προσωπικού χαρακτήρα. εν προβλέπονται εξαιρέσεις από την υποχρέωση αυτή. Φαίνεται ότι οι τεχνικές απαιτήσεις που επιβάλλουν στις αεροπορικές εταιρείες οι Ηνωµένες Πολιτείες εκθέτουν τα δεδοµένα σε ανεξουσιοδότητη πρόσβαση από τρίτους Το Μεξικό θα κοινοποιεί επίσης όλα τα δεδοµένα που συγκεντρώνει στις πτήσεις από τις Ηνωµένες Πολιτείες προς το Μεξικό. Αυτό δεν ισχύει για ύποπτο πρόσωπο υπό ανάκριση. 5

6 2.4 Τήρηση της αρχής του σκοπού Με δεδοµένες τις εξελίξεις που επήλθαν στο σύστηµα, η διαβίβαση δεδοµένων προσωπικού χαρακτήρα όπως περιγράφεται στην παράγραφο 1, σηµείο 2 ανωτέρω, τα οποία υπερβαίνουν το περιορισµένο σύνολο των δεδοµένων που παρέχονται συνήθως από τους επιβάτες σε σχέση µε την οργάνωση του ταξιδιού, δεν µπορεί να θεωρηθεί συµβατή µε τον αρχικό σκοπό της συλλογής δεδοµένων προσωπικού χαρακτήρα από τις αεροπορικές εταιρείες ή τα ταξιδιωτικά πρακτορεία, και ιδίως µε την εκπλήρωση των συµβατικών υποχρεώσεών τους έναντι των επιβατών. Το άρθρο 6, παράγραφος 1, στοιχείο β) της οδηγίας 95/46/ΕΚ απαγορεύει τη µεταγενέστερη επεξεργασία των δεδοµένων που συλλέγονται για καθορισµένους, σαφείς και νόµιµους σκοπούς κατά τρόπο ασυµβίβαστο προς τους σκοπούς αυτούς. Λαµβανοµένης υπόψη της µεγάλης και πολυποίκιλης ποσότητας των υπόψη δεδοµένων, τα δεδοµένα δεν µπορούν να θεωρηθούν κατάλληλα, συναφή προς το θέµα και όχι υπερβολικά σε σχέση µε τους σκοπούς για τους οποίους συλλέγονται και/ή υφίστανται µεταγενέστερη επεξεργασία, όπως ορίζεται στο άρθρο 6, παράγραφος 1, στοιχείο γ) της οδηγίας 95/46/ΕΚ. Παραµένει εποµένως η δυνατότητα προσφυγής στο άρθρο 13 της οδηγίας 95/46/ΕΚ, το οποίο επιτρέπει στα κράτη µέλη να θεσπίζουν νοµοθετικά µέτρα που αποσκοπούν στον περιορισµό της εµβέλειας αυτών των δύο υποχρεώσεων, εφόσον ο περιορισµός αυτός απαιτείται για τη διαφύλαξη των συµφερόντων που απαριθµούνται στο πλαίσιο της διάταξης αυτής (πρόληψη και διερεύνηση παραβάσεων του ποινικού νόµου, δηµόσια ασφάλεια κ.λπ.). Θα ήταν ασφαλώς προτιµότερο τα κράτη µέλη να υιοθετήσουν µια κοινή προσέγγιση ως προς το θέµα αυτό. 2.5 ιασυνοριακές ροές δεδοµένων Η οδηγία 95/46/ΕΚ ορίζει ότι η διαβίβαση δεδοµένων προσωπικού χαρακτήρα προς τρίτη χώρα µπορεί να πραγµατοποιηθεί µόνον εάν η εν λόγω τρίτη χώρα εξασφαλίζει ικανοποιητικό επίπεδο προστασίας. Η ανάπτυξη του συστήµατος APIS προκαλεί ανησυχίες από την άποψη αυτή. Η επεξεργασία των δεδοµένων που διαβιβάζονται από τις αεροπορικές εταιρείες στις αµερικανικές οµοσπονδιακές αρχές δεν πληροί την προϋπόθεση αυτή 16. Η περιορισµένη εµβέλεια του «ασφαλούς λιµένα» σηµαίνει ότι δεν µπορεί να «µπει στο παιχνίδι» για την προστασία των διαβιβάσεων δεδοµένων προς τις κυβερνητικές αρχές. Οι παρεκκλίσεις που προβλέπονται στο άρθρο 26 της οδηγίας 95/46/ΕΚ φαίνεται επίσης να µην έχουν εφαρµογή. Προς το παρόν, η απαίτηση της ρητής συγκατάθεσης δεν προσφέρει κατάλληλη λύση, δεδοµένου ότι εξακολουθούν να υπάρχουν πολλές ανησυχίες από διάφορες απόψεις. Εν πάση περιπτώσει δεν φαίνεται να ζητείται η συγκατάθεση των επιβατών, όπως απαιτείται από την ισχύουσα νοµοθεσία. Η οδηγία 95/46/ΕΚ ορίζει τη συγκατάθεση ως κάθε δήλωση βουλήσεως, ελευθέρας, ρητής και εν πλήρει επιγνώσει, µε την οποία το πρόσωπο στο οποίο αναφέρονται τα δεδοµένα δέχεται να αποτελέσουν αντικείµενο επεξεργασίας τα δεδοµένα προσωπικού χαρακτήρα που το αφορούν. Η λήψη της 16 Ο νόµος περί ιδιωτικής ζωής που εφαρµόζουν οι αµερικανικές οµοσπονδιακές αρχές προστατεύει µόνο τα δεδοµένα τα σχετικά µε πολίτες των ΗΠΑ. 6

7 συγκατάθεσης µπορεί να είναι πολύπλοκη εξαιτίας, µεταξύ άλλων, των πρακτικών προβληµάτων για την παροχή όλων των απαραίτητων πληροφοριών στους επιβάτες όταν αγοράζουν ένα αεροπορικό εισιτήριο µέσω παγκόσµιων συστηµάτων κράτησης, τα οποία παρέχουν τη δυνατότητα κράτησης θέσης σε πτήση από την Ευρωπαϊκή Ένωση προς τις Ηνωµένες Πολιτείες από σχεδόν κάθε χώρα του κόσµου µέσω πολύ διαφορετικών διαύλων (διαφορετικές αεροπορικές εταιρείες, ταξιδιωτικά πρακτορεία κ.λπ.). Οι πληροφορίες που παρέχονται στο υποκείµενο των δεδοµένων πρέπει να περιέχουν τα στοιχεία που προβλέπονται στα άρθρα 10 και 11 της οδηγίας συµπεριλαµβανοµένης, κατά περίπτωση, της ανεπαρκούς προστασίας σε τρίτες χώρες. Είναι δύσκολο να γίνει επίκληση της αναγκαιότητας της διαβίβασης για την εκτέλεση σύµβασης µεταξύ του υποκειµένου των δεδοµένων και του υπεύθυνου επεξεργασίας των δεδοµένων, λόγω της εµβέλειας των διαβιβαζόµενων δεδοµένων. Πράγµατι, η διαβίβαση µεγάλης ποσότητας δεδοµένων δεν µπορεί να θεωρηθεί «αναγκαία» για την εκτέλεση σύµβασης. Η υλική αδυναµία των αεροπορικών εταιρειών να εκπληρώσουν τις συµβατικές τους υποχρεώσεις, λόγω της απώλειας δικαιωµάτων, δεν αποτελεί επαρκή λόγο στην προκειµένη περίπτωση. Επιπλέον, δεν είναι δυνατόν να εφαρµοστεί η εξαίρεση αυτή για να καλυφθεί η διαβίβαση δεδοµένων που αφορούν πρόσωπα τα οποία δεν ταξιδεύουν προς τις Ηνωµένες Πολιτείες. Με τον ίδιο τρόπο, φαίνεται επίσης αδύνατη η θεµελίωση στη δυνατότητα διαβίβασης των δεδοµένων µε το επιχείρηµα ότι η διαβίβαση είναι αναγκαία για τη διαφύλαξη σηµαντικών δηµόσιων συµφερόντων. Πρώτον, η αναγκαιότητα της διαβίβασης δεν αποδεικνύεται και δεύτερον δεν φαίνεται αποδεκτό µονοµερής απόφαση η οποία λαµβάνεται από τρίτη χώρα για λόγους δικού της δηµόσιου συµφέροντος να έχει ως συνέπεια τη συνήθη και γενική διαβίβαση δεδοµένων που προστατεύονται από την οδηγία. Τέλος, φαίνεται δύσκολο να θεωρηθεί η διαβίβαση αναγκαία για την προστασία των ζωτικών συµφερόντων του υποκειµένου των δεδοµένων. Η οδηγία 95/46/ΕΚ επιτρέπει, ωστόσο, τη διαβίβαση δεδοµένων προσωπικού χαρακτήρα κατά παρέκκλιση από την προϋπόθεση του ικανοποιητικού επιπέδου προστασίας που προσφέρει η τρίτη χώρα όπου ο υπεύθυνος επεξεργασίας (αποδέκτης) παρέχει επαρκείς εγγυήσεις όσον αφορά την προστασία των δεδοµένων. Θα µπορούσε εποµένως να αρχίσει ένα χρήσιµος διάλογος µεταξύ των ευρωπαϊκών κρατών µελών και των αρχών των ΗΠΑ για την εξεύρεση λύσης που να διασφαλίζει την κατάλληλη προστασία των διαβιβαζόµενων δεδοµένων. Θα ήταν προτιµότερο να υιοθετηθεί κοινή προσέγγιση σε επίπεδο ΕΕ. 2.6 Ειδικά θέµατα σχετικά µε την επικοινωνία και µε την πρόσβαση στα δεδοµένα PNR που υφίστανται επεξεργασία σε αυτοµατοποιηµένα συστήµατα κράτησης ή συστήµατα ελέγχου της αναχώρησης Οι παρατηρήσεις που παρατίθενται στη συνέχεια συµπληρώνουν τις προηγούµενες παρατηρήσεις. 7

8 2.6.1 Άµεσες ηλεκτρονικές συνδέσεις µεταξύ της Τελωνειακής υπηρεσίας των ΗΠΑ και των συστηµάτων κράτησης και ελέγχου της αναχώρησης Σε περιπτώσεις όπου εξετάζεται το ενδεχόµενο η Τελωνειακή υπηρεσία των ΗΠΑ να έχει τη δυνατότητα άµεσης πρόσβασης σε συστήµατα πληροφοριών στο ευρωπαϊκό έδαφος και να συµβουλεύεται ή να συλλέγει δεδοµένα, αντί να είναι αποδέκτης της συµβατικής διασυνοριακής ροής δεδοµένων, µπορεί να θεωρηθεί ότι ολόκληρη η οδηγία θα εφαρµόζεται άµεσα και πλήρως. Το άρθρο 4, παράγραφος 1, στοιχείο γ) ορίζει την εφαρµογή της οδηγίας όταν ο υπεύθυνος της επεξεργασίας δεν είναι εγκατεστηµένος στο έδαφος της Κοινότητας και, για τους σκοπούς της επεξεργασίας δεδοµένων προσωπικού χαρακτήρα, προσφεύγει σε µέσα, αυτοµατοποιηµένα ή όχι, ευρισκόµενα στο έδαφος ενός κράτους µέλους 17. Ωστόσο, η εφαρµογή της οδηγίας στο σύνολό της θέτει πολυάριθµα ερωτήµατα εδοµένα σχετικά µε πρόσωπα τα οποία δεν ταξιδεύουν προς τις Ηνωµένες Πολιτείες Τα δεδοµένα που αφορούν επιβάτες οι οποίοι δεν ταξιδεύουν προς τις Ηνωµένες Πολιτείες δεν παρουσιάζουν συνάφεια προς το θέµα και εποµένως δεν µπορούν να διαβιβαστούν, µε εξαίρεση περιπτώσεις στο πλαίσιο συγκεκριµένων συµφωνιών σε θέµατα δικαιοσύνης και εσωτερικών υποθέσεων (αµοιβαία βοήθεια) Ευαίσθητα δεδοµένα Ο φάκελος του επιβάτη (PNR) µπορεί να περιέχει δεδοµένα τα οποία παρέχουν πληροφορίες για τη φυλετική ή εθνική καταγωγή, τις θρησκευτικές πεποιθήσεις, ή άλλα ευαίσθητα δεδοµένα κατά την έννοια του άρθρου 8 της οδηγίας 95/46/ΕΚ. Η οδηγία 95/46/ΕΚ απαγορεύει κατ αρχήν οποιαδήποτε επεξεργασία ευαίσθητων δεδοµένων, εκτός εάν υπάρχει ειδική έγκριση (ρητή συγκατάθεση για την επεξεργασία µε συγκεκριµένο σκοπό, δεδοµένα προδήλως δηµόσιας φύσης κ.λπ.). Η προσφυγή στη συγκατάθεση προκαλεί πολλά προβλήµατα όπως περιγράφεται παραπάνω, τα οποία πρέπει να εξεταστούν µε µεγαλύτερη ακόµη προσοχή δεδοµένου του εξαιρετικά ευαίσθητου χαρακτήρα αυτών των δεδοµένων Σύµφωνα µε την 20ή αιτιολογική σκέψη της οδηγίας 95/46/ΕΚ το γεγονός ότι η επεξεργασία δεδοµένων διενεργείται από πρόσωπο το οποίο είναι εγκατεστηµένο σε τρίτη χώρα δεν πρέπει να αποτελεί εµπόδιο στην προστασία των προσώπων που προβλέπεται από την οδηγία και, στην περίπτωση αυτή, ενδείκνυται οι εκτελούµενες επεξεργασίες να υπάγονται στη νοµοθεσία του κράτους µέλους στο οποίο βρίσκονται τα µέσα που χρησιµοποιούνται για την επεξεργασία και να παρέχονται εγγυήσεις ώστε τα δικαιώµατα και οι υποχρεώσεις που προβλέπονται από την οδηγία να γίνονται πράγµατι σεβαστά. Σε µια γνωµοδότηση την οποία εξέδωσε πρόσφατα, µε επίκεντρο την ερµηνεία της εµβέλειας του άρθρου 4, παράγραφος 1, στοιχείο γ) της οδηγίας (Έγγραφο εργασίας σχετικά µε τη διεθνή εφαρµογή του δικαίου της ΕΕ για την προστασία των δεδοµένων στην επεξεργασία δεδοµένων προσωπικού χαρακτήρα στο ιαδίκτυο από ιστοχώρους µε έδρα εκτός της ΕΕ - 30 Μαΐου 2002), η οµάδα εργασίας του άρθρου 29 επεσήµανε ότι δεν είναι αναγκαίο ο υπεύθυνος επεξεργασίας να ασκεί πλήρη έλεγχο στα µέσα, αλλά πρέπει να καθορίζει ποια δεδοµένα συλλέγονται, αποθηκεύονται, διαβιβάζονται, τροποποιούνται κτλ. και για ποιο σκοπό. 18 Σύµφωνα µε το άρθρο 8, παράγραφος 2, στοιχείο α) της οδηγίας, η νοµοθεσία του κράτους µέλους µπορεί να προβλέπει ότι η απαγόρευση της επεξεργασίας των δεδοµένων που αναφέρεται στο άρθρο 8, παράγραφος 1 της οδηγίας δεν αίρεται από το γεγονός ότι το υποκείµενο των δεδοµένων έχει δώσει τη συγκατάθεσή του. 8

9 Το άρθρο 8, παράγραφος 4 της οδηγίας επιτρέπει στα κράτη µέλη ή στις αρχές ελέγχου να θεσπίζουν και άλλες παρεκκλίσεις, για λόγους σοβαρού δηµόσιου συµφέροντος και εφόσον παρέχονται οι δέουσες εγγυήσεις. Με προϋπόθεση την τήρηση των όρων αυτών, τα κράτη µέλη θα µπορούσαν συνεπώς να επιτρέψουν τη διαβίβαση ευαίσθητων δεδοµένων που περιέχονται στους φακέλους επιβατών (PNR) Επεξεργασία δεδοµένων σε συστήµατα κράτησης και ελέγχου της αναχώρησης (DCS) Επιπροσθέτως, το ζήτηµα της πρόσβασης στους φακέλους επιβατών (PNR) κατόπιν αιτήµατος των αρχών της ΗΠΑ θέτει, ευθύς εξαρχής, το ζήτηµα της νοµιµότητας της επεξεργασίας δεδοµένων που διενεργείται σε συστήµατα κράτησης και ελέγχου της αναχώρησης 20. Ιδιαίτερα, τα δεδοµένα µπορούν να υποστούν επεξεργασία µόνον εάν είναι κατάλληλα, συναφή προς το θέµα και όχι υπερβολικά σε σχέση µε τους σκοπούς για τους οποίους υφίστανται επεξεργασία. Η επεξεργασία των δεδοµένων προσωπικού χαρακτήρα σε συστήµατα κράτησης πρέπει να παύει εφόσον δεν χρησιµοποιούνται πλέον για το ταξίδι για το οποίο είχαν καταχωρισθεί. 2.7 ιαβίβαση βιοµετρικών δεδοµένων Η διαβίβαση βιοµετρικών δεδοµένων υπόκειται στις διατάξεις της οδηγίας 95/46/ΕΚ. Σηµειωτέον ότι σύµφωνα µε την οδηγία αυτή, τα κράτη µέλη οφείλουν να καθορίζουν τις προϋποθέσεις υπό τις οποίες οποιοδήποτε αναγνωριστικό στοιχείο γενικής εφαρµογής µπορεί να υποστεί επεξεργασία. Τα βιοµετρικά αναγνωριστικά στοιχεία επιτρέπουν τον προσδιορισµό της ταυτότητας προσώπων µόνο και ενδέχεται να εµπίπτουν στο πεδίο της διάταξης αυτής 21. Συµπεράσµατα 1. Η οµάδα εργασίας γνωρίζει ότι τα κυρίαρχα κράτη έχουν τη διακριτική ευχέρεια να ορίζουν τις πληροφορίες τις οποίες µπορούν να απαιτήσουν από τα πρόσωπα που επιθυµούν να εισέλθουν στο έδαφός τους. Εντούτοις, οι τρέχουσες προτάσεις για το σύστηµα APIS, µολονότι καταρτίστηκαν στο πλαίσιο τροµοκρατικών φρικαλεοτήτων, θα είχαν ως συνέπεια τη δυσανάλογη και συνήθη κοινολόγηση πληροφοριών από αεροπορικές εταιρείες που υπόκεινται στις απαιτήσεις της οδηγίας 95/46/ΕΚ. Οι πληροφορίες αυτές ενδέχεται να χρησιµοποιηθούν για συνήθεις εργασίες σε θέµατα µετανάστευσης ή τελωνείων καθώς και γενικότερα για την εθνική ασφάλεια των ΗΠΑ, και να κοινοποιηθούν τουλάχιστον σε όλες τις αµερικανικές οµοσπονδιακές υπηρεσίες Το άρθρο 13 της οδηγίας εξακολουθεί να ισχύει. Βλέπε σύσταση 1/98 για τα ηλεκτρονικά συστήµατα κράτησης θέσεων των αεροπορικών εταιρειών (CRS), η οποία αναφέρεται επίσης στην αποθήκευση δεδοµένων για ορισµένο χρονικό διάστηµα για την επίλυση διαφορών και την επεξεργασία δεδοµένων σχετικών µε τακτικούς επιβάτες µε βάση τη συγκατάθεση των υποκειµένων των δεδοµένων. Η οµάδα εργασίας του άρθρου 29 συνιστά κατ αρχήν την αποθήκευση των δεδοµένων σε απευθείας σύνδεση (on-line) για 72 ώρες µόνο και την καταστροφή τους εντός τριών ετών το πολύ (µε περιορισµένη πρόσβαση στις αιτήσεις διεξαγωγής έρευνας), ή για µεγαλύτερο χρονικό διάστηµα (µόνο για λόγους συµµόρφωσης µε νοµική υποχρέωση). Το θέµα των βιοµετρικών δεδοµένων βρίσκεται υπό συζήτηση από την οµάδα εργασίας. 9

10 2. Λαµβανοµένης υπόψη της πρόσφατης εξέλιξης του συστήµατος APIS, η οµάδα εργασίας είναι της γνώµης ότι η συµµόρφωση προς τις απαιτήσεις των ΗΠΑ δηµιουργεί προβλήµατα σε σχέση µε την οδηγία 95/46/ΕΚ. Τα περισσότερα κρίσιµα ζητήµατα υπερβαίνουν την αρµοδιότητα των αεροπορικών εταιρειών και πρέπει να αντιµετωπιστούν από τα κράτη µέλη και εν ανάγκη από την Επιτροπή. 3. Στην ουσία, η οµάδα εργασίας πιστεύει ότι δεν πρέπει να επιτραπεί η διαβίβαση δεδοµένων που αφορούν πρόσωπα τα οποία δεν ταξιδεύουν προς τις Ηνωµένες Πολιτείες, εκτός όταν διενεργείται στο πλαίσιο ειδικών συµφωνιών συνεργασίας σε θέµατα δικαιοσύνης και εσωτερικών υποθέσεων. 4. Το ενδεχόµενο άλλων διαβιβάσεων δεδοµένων µέσω συστηµάτων κράτησης και ελέγχου της αναχώρησης σχετικά µε τους επιβάτες και το πλήρωµα θαλάµου θα µπορούσε να εξεταστεί µόνο σε συµφωνία µε τη νοµοθεσία των κρατών µελών. Η νοµοθεσία αυτή πρέπει να προβλέπει ότι κάθε αναγκαίος περιορισµός των δικαιωµάτων και των υποχρεώσεων της οδηγίας 95/46/ΕΚ συνάδει µε το άρθρο 13 της οδηγίας και ότι παρέχονται εγγυήσεις στα πρόσωπα. Πρέπει να αναζητηθεί µια κοινή προσέγγιση σε επίπεδο ΕΕ. 5. Η εξέταση της διαβίβασης δεδοµένων τα οποία µπορούν να θεωρηθούν ευαίσθητα απαιτεί περισσότερη προσοχή. Η διαβίβαση των εν λόγω δεδοµένων προϋποθέτει επίσης ότι µπορεί να αποδειχθεί ότι, πρώτον, υπάρχουν λόγοι ουσιώδους δηµόσιου συµφέροντος για τα κράτη µέλη, δεύτερον, παρέχονται κατάλληλες εγγυήσεις και, τέλος, απαιτείται εθνική νοµοθεσία ή απόφαση της αρχής ελέγχου. 6. Όταν επιπλέον εξετάζεται το ενδεχόµενο της άµεσης πρόσβασης της Τελωνειακής υπηρεσίας και της Υπηρεσίας Μετανάστευσης και Πολιτογράφησης των ΗΠΑ στα δεδοµένα των συστηµάτων κράτησης και ελέγχου της αναχώρησης, οι εν λόγω αρχές αναλαµβάνουν τη δέσµευση να διασφαλίσουν την τήρηση της οδηγίας στο σύνολό της. 7. Το σύστηµα πρέπει να αποτελέσει αντικείµενο διαπραγµατεύσεων µε τις αµερικανικές αρχές. Οι συζητήσεις θα πρέπει κυρίως να επικεντρωθούν στην αποσαφήνιση και τον ορισµό των στόχων, των επιδιώξεων και των αποδεκτών των δεδοµένων, στις κατηγορίες δεδοµένων που µπορούν να διαβιβαστούν λαµβανοµένων υπόψη των εξηγήσεων αυτών και στους όρους και τις εγγυήσεις για την επεξεργασία των δεδοµένων προσωπικού χαρακτήρα, ιδίως, όσον αφορά την κοινολόγησή τους στις αµερικανικές οµοσπονδιακές αρχές (και στην περίπτωση αυτή, στον περιορισµό της κοινολόγησης στις αρχές επιβολής του νόµου). 8. Πρέπει να υιοθετηθεί µια περιεκτική προσέγγιση για να αντιµετωπιστεί το ζήτηµα της διαβίβασης των δεδοµένων προσωπικού χαρακτήρα από τις αεροπορικές εταιρείες προς τις Ηνωµένες Πολιτείες. Πρέπει πρώτα να ληφθούν υπόψη οι άλλες υφιστάµενες ή σχεδιαζόµενες διαβιβάσεις προς τις Ηνωµένες Πολιτείες. Είναι ιδιαίτερα αναγκαίο να ενσωµατωθεί η έννοια του τρίτου πυλώνα. Στην ουσία, η διαβίβαση δεδοµένων προς τις δηµόσιες αρχές τρίτων χωρών για λόγους δηµόσιας τάξης της εν λόγω χώρας πρέπει να νοείται στο πλαίσιο των µηχανισµών συνεργασίας που δηµιουργήθηκαν υπό τον τρίτο πυλώνα (δικαστική και 10

11 αστυνοµική συνεργασία). Επιπλέον, οι µηχανισµοί αυτοί πρέπει να συνοδεύονται από εγγυήσεις για την προστασία των διαβιβαζόµενων δεδοµένων 22. Είναι σηµαντικό για την οµαλή λειτουργία των µηχανισµών συνεργασίας που βασίζονται στον τρίτο πυλώνα να µην παρακάµπτονται µέσω του πρώτου πυλώνα. Τέλος, η επιλεγείσα λύση για τη διαβίβαση δεδοµένων προς τις Ηνωµένες Πολιτείες θα µπορούσε ίσως να χρησιµεύσει ως µοντέλο για τη διαβίβαση δεδοµένων προς άλλες τρίτες χώρες µέσω του συστήµατος APIS. Βρυξέλλες, 24 Οκτωβρίου 2002 Για την οµάδα εργασίας Ο πρόεδρος Stefano RODOTA 22 Τα δεδοµένα προσωπικού χαρακτήρα εξάγονται από τα κράτη µέλη για λόγους δικαστικής και αστυνοµικής συνεργασίας. Η Europol διαβιβάζει δεδοµένα για την εξέταση των γεγονότων της 11ης Σεπτεµβρίου 2001 στο πλαίσιο έκτακτης διαδικασίας και διεξάγονται συζητήσεις για την καθιέρωση συνεργασίας σε σταθερή βάση σύµφωνα µε τις προϋποθέσεις της Σύµβασης Europol (άρθρο 18). Βλέπε επίσης την απόφαση Eurojust (άρθρο 27) και, τέλος, τις διαπραγµατεύσεις που διεξάγονται σήµερα σχετικά µε το άρθρο 38 της συνθήκης. 11