Rezolucja Parlamentu Europejskiego z dnia 20 listopada 2008 r. w sprawie wniosku dotyczącego decyzji ramowej Rady w sprawie wykorzystywania danych dotyczących rezerwacji pasażera (danych PNR) w celu egzekwowania prawa
Parlament Europejski,
– uwzględniając oświadczenie Komisji podczas debaty z dnia 21 października 2008 r., w odpowiedzi na pytanie ustne (B6-0476/2008) w sprawie wniosku dotyczącego decyzji ramowej Rady w sprawie wykorzystywania danych dotyczących rezerwacji pasażera (danych PNR) w celu egzekwowania prawa (COM(2007)0654),
– uwzględniając toczące się w Radzie debaty na szczeblu ministerialnym i szczeblu grup roboczych dotyczące wyżej wspomnianego wniosku,
– uwzględniając opinie sporządzone przez Agencję Praw Podstawowych, Europejskiego Inspektora Ochrony Danych, grupę roboczą art. 29 oraz grupę roboczą ds. policji i wymiaru sprawiedliwości,
– uwzględniając swoje poprzednie rezolucje(1) dotyczące umowy PNR między UE a Stanami Zjednoczonymi(2), umowy PNR między UE a Kanadą(3) i umowy PNR między UE a Australią(4),
– uwzględniając art. 108 ust. 5 Regulaminu,
A. mając na uwadze, że zasady ochrony danych, których instytucje UE i państwa członkowskie są zobowiązane przestrzegać, podano w art. 8 europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności (EKPC), art. 7 i art. 52 Karty praw podstawowych Unii Europejskiej (Karta praw podstawowych), art. 286 Traktatu WE, art. 5 Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych (konwencja 108), a w prawie pochodnym w dyrektywie 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych(5) i projekcie decyzji ramowej Rady w sprawie ochrony danych osobowych przetwarzanych w ramach współpracy policyjnej i sądowej w sprawach karnych,
B. mając na uwadze, że całe nowe prawodawstwo UE powinno być zgodne z zasadami proporcjonalności i pomocniczości, określonymi w art. 5 Traktatu WE i w Protokole nr 30 do niego,
Aspekty proceduralne
1. uznaje potrzebę ściślejszej współpracy na szczeblu europejskim i międzynarodowym w walce z terroryzmem i poważnymi przestępstwami; przyznaje, że zbieranie i przetwarzanie danych może stanowić przydatne narzędzie do celów egzekwowania prawa;
2. uważa, że organy egzekwowania prawa powinny otrzymać wszelkie narzędzia konieczne dla odpowiedniego wykonywania swoich zadań, w tym dostęp do danych; podkreśla jednak, że ponieważ środki te mają znaczący wpływ na sferę życia osobistego obywateli Unii, ich zasadność jeżeli chodzi o konieczność, proporcjonalność i jednolitość z myślą o osiąganiu ustalonych celów musi zostać w przekonujący sposób umotywowana, oraz podkreśla, że należy zadbać o zagwarantowanie skutecznej ochrony prywatności i prawnej; wyraża przekonanie, że jest to warunek wstępny dla zapewnienia niezbędnej legitymacji prawnej środka, który obywatele mogą postrzegać jako niestosowną ingerencję w ich prywatność;
3. wyraża ubolewanie z powodu faktu, że treść i uzasadnienie wniosku Komisji pozostawiły tak wiele luk w kwestii pewności prawnej w odniesieniu do zgodności z EKPC i Kartą Praw Podstawowych, jak również z podstawą prawną, co podniosło kwestie odpowiedniej roli Parlamentu Europejskiego w procedurze legislacyjnej; zaznacza, że analogiczne obawy dotyczące braku pewności prawnej wniosku:
–
wyrażono w opiniach sporządzonych przez Agencję Praw Podstawowych, Europejskiego Inspektora Ochrony Danych, grupę roboczą art. 29 i grupę roboczą ds. policji i wymiaru sprawiedliwości;
–
wymagają od Rady dokonania solidnego przeglądu ewentualnego zakresu i wpływu przyszłej inicjatywy UE w tej dziedzinie i uwzględnienia znaczącej ilości dodatkowych informacji, w tym wyżej wspomnianych opinii;
4. uważa, że z uwagi na te okoliczności Parlament musi poczekać z formalną opinią na mocy oficjalnej procedury konsultacji do czasu odpowiedniego zajęcia się obawami wyrażonymi w niniejszej rezolucji i dostarczenia minimalnych koniecznych informacji;
5. utrzymuje poważne zastrzeżenia, co do konieczności i wartości dodanej wniosku w sprawie ustanowienia unijnego systemu PNR oraz zawartych w nim gwarancji, pomimo dotychczasowych ustnych lub pisemnych wyjaśnień i uściśleń ze strony Rady i Komisji; zauważa ponadto, że wiele z kwestii poruszonych przez Parlament Europejski, grupę roboczą art. 29 i grupę roboczą ds. policji i wymiaru sprawiedliwości, Europejskiego Inspektora Ochrony Danych oraz Agencję Praw Podstawowych nie uzyskało zadowalającej odpowiedzi;
6. podziela opinię Agencji Praw Podstawowych, że sama dostępność baz danych handlowych nie uzasadnia automatycznie ich wykorzystywania w celu egzekwowania prawa; poza tym takie same lub nawet lepsze rezultaty można by uzyskać, usprawniając wzajemną pomoc prawną pomiędzy organami ścigania;
7. zachęca Radę, by – jeżeli zamierza dalej analizować tekst Komisji – uwzględniła zalecenia zawarte w niniejszej rezolucji i należycie uzasadniła warunki istnienia nadrzędnej potrzeby społecznej, która uzasadniałaby "konieczność" tej nowej interwencji UE, czego wymaga art. 8 EKPC; uważa, że są to minimalne warunki wprowadzenia unijnego systemu PNR; jest gotów przyczynić się do tych prac i uczestniczyć w nich na wszystkich szczeblach;
8. ponownie wzywa do wyjaśnienia związku pomiędzy wykorzystywaniem danych PNR a innymi środkami takimi jak dyrektywa Rady 2004/82/WE z dnia 23 kwietnia 2008 r. w sprawie zobowiązania przewoźników do przekazywania danych pasażerów(6), proponowany system wjazd/wyjazd, elektroniczny system zezwoleń na podróż, dane biometryczne w paszportach i wizach, SIS, VIS, rozporządzenie (WE) nr 2320/2002 Parlamentu Europejskiego i rady z dnia 16 grudnia 2002 r. ustanawiające wspólne zasady w dziedzinie bezpieczeństwa lotnictwa cywilnego i krajowe systemy ochrony granic(7); z ubolewaniem zauważa, że wdrażanie niektórych z tych środków jest znacznie opóźnione i uważa, że pełna i systematyczna ocena obowiązujących mechanizmów i narzędzi współpracy w zakresie bezpieczeństwa w ramach UE i Schengen mających na celu zapewnienie bezpieczeństwa lotniczego, ochronę granic zewnętrznych i walkę z terroryzmem mogłoby pomóc ocenić wartość dodaną proponowanego systemu PNR dla UE;
9. przypomina, że debata na temat odpowiedniej podstawy prawnej wniosku jest nadal otwarta i ponownie zaznacza, że zgodnie z art. 47 traktatu UE środki legislacyjne w ramach współpracy sądowej i policyjnej powinny iść w parze z koniecznymi wspólnotowymi środkami towarzyszącymi, które powinny zostać przyjęte w ramach procedury współdecyzji z Parlamentem Europejskim jeżeli chodzi o wszystkie aspekty związane z pierwszym filarem, w szczególności te określające zakres obowiązków spoczywających na podmiotach gospodarczych(8);
10. przypomina, że Trybunał Sprawiedliwości Wspólnot Europejskich już zakwestionował porozumienie w sprawie PNR między UE a USA z powodu złej podstawy prawnej; wzywa zatem Komisję do uważnego sprawdzenia, która podstawa prawna jest odpowiednia;
11. uważa, że z uwagi na skutki wynikające z wniosku dla obywateli i dla porządku prawnego państw członkowskich, przy proponowaniu nowych przepisów należy w pełni uwzględnić parlamenty krajowe w procesie legislacyjnym;
12. podkreśla, że ewentualne przyszłe przepisy ustanawiające unijny system PNR jako nowe ramy dla współpracy policyjnej UE powinny zawierać postanowienia dotyczące okresowej oceny wdrażania, stosowania, użyteczności i naruszeń gwarancji; uważa, że parlamenty krajowe, Europejski Inspektor Ochrony Danych, grupa robocza art. 29 i Agencja Praw Podstawowych powinny zostać zaproszone do udziału zarówno w przeglądzie, jak i w ocenie; jest w związku z tym zdania, że nowe prawodawstwo powinno zawierać klauzulę wygaśnięcia;
13. podkreśla w tym kontekście, że każde państwo członkowskie ponosi początkową odpowiedzialność za gromadzenie danych PNR i ich ochronę; podkreśla, że gwarancje są obowiązkowe przy przekazywaniu, przesyłaniu danych PNR do innych państw członkowskich lub wymianie z nimi tych danych; jest zatem zdania, że dostęp do wymienianych między państwami członkowskimi danych PNR powinien być ściśle ograniczony do tych organów, które mają do czynienia z walką z terroryzmem i przestępczością zorganizowaną; uważa, że inne agencje egzekwujące prawo mogą uzyskać dostęp pod warunkiem otrzymania zgody sądowej;
Pomocniczość
14. z zaniepokojeniem zauważa, że dotychczas nie dowiedziono w sposób wystarczający potrzeby działania wspólnotowego; w tym kontekście kwestionuje stwierdzenie Komisji, że określonym celem wniosku jest harmonizacja systemów krajowych, w sytuacji gdy tylko kilka państw członkowskich dysponuje systemem wykorzystywania danych PNR w celu egzekwowania prawa lub do innych celów lub planuje stworzenie takiego systemu; uważa zatem, że wniosek Komisji nie harmonizuje systemów krajowych (ponieważ takowe nie istnieją), a jedynie nakłada na wszystkie państwa członkowskie wymóg ustanowienia takiego systemu;
15. zaznacza, że Komisja proponuje system "zdecentralizowany", przez co europejska wartość dodana jest jeszcze mniej widoczna;
Proporcjonalność
16. przypomina, że zgodnie z art. 8 EKPC i art. 52 Karty Praw Podstawowych tego rodzaju poważna ingerencja w prawo do ochrony danych osobowych musi być zgodna z prawem i uzasadniona nadrzędną potrzebą społeczną, przewidziana prawem i proporcjonalna do celu, który ma być osiągnięty, co w społeczeństwie demokratycznym jest konieczne i naturalne; w tym kontekście wyraża ubolewanie, że cel tego przewidzianego środka na rzecz współpracy policyjnej nie ogranicza się do kwestii takich jak walka z terroryzmem i przestępczością zorganizowaną;
17. wyraża zaniepokojenie w związku z faktem, że wniosek zasadniczo daje organom ścigania dostęp do wszystkich danych bez konieczności uzyskania nakazu; zauważa, że Komisja nie dowodzi potrzeby nadania organom ścigania nowych uprawnień ani tego, że celu tego nie można osiągnąć przy zastosowaniu mniej dalekosiężnych środków; wyraża krytykę w związku z brakiem informacji na temat tego, w jakim zakresie obecne uprawnienia organów ścigania są niewystarczające oraz kiedy i gdzie organom w sposób oczywisty zabrakło uprawnień wymaganych do danego celu; zwraca się o przeprowadzenie przeglądu poniższych istniejących środków przed dalszymi pracami nad systemem UE PNR;
18. odnotowuje stwierdzenie Komisji, że "Unia mogła ocenić wartość danych PNR i docenić ich potencjał do celów egzekwowania prawa", ale podkreśla, że jak dotąd nie ma dowodów na poparcie tego stwierdzenia, jako że:
–
wszelkie informacje przedstawione jak dotąd przez Stany Zjednoczone są niepotwierdzone, a Stany Zjednoczone nigdy nie dowiodły niezbicie, że systematyczne wykorzystywanie danych PNR na wielką skalę jest konieczne do walki z terroryzmem i poważną przestępczością,
–
miał miejsce tylko jeden wspólny przegląd umowy PNR między UE a Stanami Zjednoczonymi, w ramach którego oceniono jedynie wdrożenie, a nie rezultaty,
–
wstępne wnioski dotyczące brytyjskiego systemu wykorzystywania danych PNR odnoszą się do celów egzekwowania prawa w przypadkach innych niż walka z terroryzmem, które wychodzą poza zakres wniosku Komisji oraz do wykorzystywania danych PNR w indywidualnych przypadkach w kontekście prowadzonych dochodzeń, w oparciu o nakaz i w uzasadnionych sytuacjach; jak dotąd nie dostarczyły one dowodów na użyteczność gromadzenia i wykorzystywania na wielką skalę danych PNR do celów walki z terroryzmem;
Ograniczenie celów
19. podkreśla, że zasada ograniczenia celów stanowi jedną z podstawowych zasad ochrony danych; zauważa, że w szczególności konwencja 108 stanowi, że dane osobowe są "gromadzone dla określonych i usprawiedliwionych celów i nie mogą być wykorzystywane w sposób niezgodny z tymi celami" (art. 5 lit. b)). jest również zdania, że odstępstwa od tej zasady są dopuszczalne, tylko jeżeli przewiduje je prawo jako środek konieczny w społeczeństwie demokratycznym m.in. w celu "zwalczania przestępczości" (art. 9). zwraca uwagę, że w swym orzecznictwie Europejski Trybunał Praw Człowieka jasno stwierdził, że odstępstwa te muszą być proporcjonalne, precyzyjne i przewidywalne, zgodnie z art. 8 ust. 2 europejskiej konwencji praw człowieka;
20. wyraża ubolewanie w związku z brakiem precyzyjnego ograniczenia celów, które stanowi konieczną gwarancję w odniesieniu do nakładania środków restrykcyjnych, przy czym uważa, że ochrona taka jest nawet ważniejsza w przypadku środków tajnego nadzoru z uwagi na zwiększone ryzyko dowolności w takich okolicznościach; uważa, że jako że określone cele i definicje są niedokładne i otwarte, należy je precyzyjnie określić, aby uniknąć wnoszenia sprzeciwów wobec UE PNR;
21. przypomina, że dane PNR mogą być bardzo użyteczne jako wspomagające, dodatkowe dowody w konkretnym dochodzeniu, w którym znani są podejrzani i wspólnicy działań terrorystycznych; zwraca uwagę jednak, że nie istnieją dowody, że dane PNR są użyteczne dla zautomatyzowanego przeszukiwania na wielką skalę i analiz w oparciu o kryteria ryzyka lub wzorce zachowania (tzn. profilowanie lub eksploracja danych) mających na celu wyszukiwanie potencjalnych terrorystów(9);
22. ponadto podkreśla, że przepisy UE dotyczące ochrony danych osobowych ograniczają stosowanie profilowania w oparciu o dane osobowe (art. 8 Karty Praw Podstawowych i EKPC); zgadza się z opinią Agencji Praw Podstawowych, że profilowanie oparte na danych PNR powinien prowadzić jedynie wywiad w oparciu o poszczególne przypadki i faktyczne parametry;
23. ponownie wyraża zaniepokojenie środkami określającymi niedyskryminujące wykorzystywanie danych PNR do profilowania oraz do definiowania parametrów oceny zagrożeń; przypomina, że należy wyraźnie zakazać wszelkiego profilowania opartego na pochodzeniu, narodowości, wyznaniu, orientacji seksualnej, płci, wieku lub stanie zdrowia jako niezgodne z zakazem jakiejkolwiek dyskryminacji określonej w Traktatach oraz w Karcie praw podstawowych;
24. przypomina, że w przypadku rozszerzenia zakresu wniosku Komisja i Rada powinny szczegółowo wyjaśnić w odniesieniu do każdego określonego celu, w jaki sposób będą wykorzystywane dane PNR i dlaczego istniejące uprawnienia organów ścigania są niewystarczające; dla każdego konkretnego celu należy ustanowić odpowiednią podstawę prawną;
Ochrona danych osobowych
25. podkreśla, że przyjęcie odpowiednich ram ochrony danych w obrębie trzeciego filara stanowi warunek sine qua non jakiegokolwiek systemu UE PNR; konieczne są także szczegółowe przepisy dotyczące przekazywania i wykorzystywania danych PNR nieobjętych ramami ochrony danych UE w zakresie pierwszego i trzeciego filara; podkreśla potrzebę sprecyzowania, które przepisy dotyczące ochrony danych mają zastosowanie do Biura Danych Pasażerów (PIU), oraz zagwarantowania możliwości monitorowania wszystkich przypadków dostępu do danych PNR, ich przekazywania i wykorzystywania;
26. podkreśla, że dane wrażliwe mogą być wykorzystywane jedynie w indywidualnych przypadkach w kontekście regularnego dochodzenia lub ścigania i uzyskane, jeżeli istnieje nakaz; odnotowuje obawy linii lotniczych, że danych wrażliwych nie da się wyodrębnić z uwag ogólnych; wzywa zatem do określenia rygorystycznych warunków dotyczących przetwarzania tych danych przez PIU, tak jak to określiła w swojej opinii Agencja Praw Podstawowych;
Szczegóły dotyczące wdrożenia
27. podkreśla, że w odniesieniu do okresów przechowywania danych Komisja nie uzasadnia proponowanego okresu; jednak dla celów opracowania wskaźników zagrożeń oraz ustalenia wzorców podróżowania i zachowania powinny wystarczyć anonimowe dane; uważa, że jeżeli zakres systemu PNR zostanie rozszerzony, należy uzasadnić okresy przechowywania danych w odniesieniu do każdego celu;
28. ponownie zaznacza, że do przekazywania danych należy wykorzystywać tylko metodę "dostarczania", kraje trzecie nie powinny mieć bezpośredniego dostępu do danych PNR w systemach rezerwacji UE;
29. z zadowoleniem odnotowuje, że w odniesieniu do dostępu do danych PNR wniosek stanowi, że wszystkie podmioty mające dostęp do danych PNR powinny zostać umieszczone na wyczerpującej liście;
30. w odniesieniu do dalszego przekazywania danych PNR krajom trzecim podkreśla, że dane nie mogą być przekazywane krajom trzecim, chyba że zainteresowane kraje trzecie zagwarantują odpowiedni poziom ochrony (określony w dyrektywie 95/46/WE (22) i instrumentach prawnych ustanawiających Europol i Eurojust) lub odpowiednie zabezpieczenia (zgodnie z konwencją 108) oraz że przekazywanie danych powinno mieć miejsce tylko w indywidualnych przypadkach;
31. ponownie stwierdza, że pasażerowie muszą być informowani w sposób pełny i przystępny o szczegółach dotyczących systemu i o swoich prawach, a za udzielanie tych informacji odpowiedzialne są władze państw członkowskich; proponuje, aby wykorzystywać przykład informacji o "odmowie wpuszczenia na pokład" na lotniskach; za istotne uważa prawo pasażerów do dostępu do danych, ich sprostowania oraz prawo do odwołania;
32. zwraca się o określenie szczegółowych i zharmonizowanych zasad dotyczących bezpieczeństwa danych PNR, zarówno w odniesieniu do rozwiązań informatycznych, jak i zasad dotyczących uprawnień i dostępu;
Konsekwencje dla przewoźników
33. 33 zaznacza, że przewoźnicy lotniczy gromadzą dane PNR do celów komercyjnych i że dane nie są systematycznie gromadzone w celu uzupełnienia wszystkich obszarów danych PNR; nalega, aby od linii lotniczych nie wymagano gromadzenia dodatkowych danych poza tymi, które gromadzą one dla celów komercyjnych; uważa, że przewoźnicy lotniczy nie powinni być odpowiedzialni za sprawdzanie, czy dane są pełne i dokładne, nie należy również nakładać żadnych sankcji za niepełne i niepoprawne dane; żąda jasnej oceny kosztów związanych z systemem UE PNR; uważa, że strony występujące z wnioskiem o uzyskanie danych powinny ponosić wszelkie dodatkowe koszty;
Pośrednicy/biura danych pasażerów (PIU)
34. zwraca się o jednoznaczne zdefiniowanie roli i uprawnień PIU, w szczególności w odniesieniu do przejrzystości i odpowiedzialności demokratycznej oraz w celu ustanowienia odpowiednich przepisów dotyczących ochrony danych; domaga się ograniczenia roli PIU do przekazywania danych kompetentnym organom w celu zagwarantowania, że jedynie kompetentne organy mogą przeprowadzać oceny zagrożeń w odpowiedzi na zapytanie; zwraca się o wyjaśnienie prawa właściwego w odniesieniu do oceny zagrożeń prowadzonej przez PIU i odpowiedzialności organów ochrony danych, w przypadkach gdy państwa członkowskie nawiązują współpracę w celu ustanowienia wspólnego PIU.
o o o
35. zobowiązuje swojego Przewodniczącego do przekazania niniejszej rezolucji Radzie, Komisji oraz rządom i parlamentom państw członkowskich, a także Europejskiemu Inspektorowi Ochrony Danych, Agencji Praw Podstawowych oraz grupie roboczej art. 29 i grupie roboczej ds. policji i wymiaru sprawiedliwości.
Dz.U. C 61 E z 10.3.2004, s. 381; Dz.U. C 81 E z 31.3.2004, s. 105; Dz.U. C 103 E z 29.4.2004, s. 665; Dz.U. C 157 E z 6.7.2006, s. 464; Dz.U. C 305 E z 14.12.2006, s. 250; Dz.U. C 287 E z 29.11.2007, s. 349; Dz.U. C 175 E z 10.7.2008, s. 564; teksty przyjęte 22.10.2008, P6_TA(2008)0512.
Zob. zwłaszcza opinię Służby Prawnej Komisji na ten temat i niedawną opinię rzecznika generalnego wydaną w dniu 14 października 2008 r. w sprawie C-301/06 Irlandia przeciwko Parlamentowi Europejskiemu, Radzie Unii Europejskiej, w sprawie dyrektywy 2006/24/WE dotyczącej zatrzymywania danych.
Sprawozdanie CRS dla Kongresu Stanów Zjednoczonych "Data Mining and Homeland Security: An Overview by Jeffrey Seifert"; "Effective Counter-terrorism and the Limited Role of Predicative Data Mining", CATO Institute; "Protecting Individual Privacy in the Struggle Against Terrorists: A Framework for Program Assessment"; "No dream ticket to security", Frank Kuipers, Clingendael Institute, sierpień 2008 r.