Resolutie van het Europees Parlement over de overdracht van persoonsgegevens door luchtvaartmaatschappijen bij transatlantische vluchten
Het Europees Parlement,
– gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1) en Verordening (EEG) nr. 2299/89 van de Raad van 24 juli 1989 betreffende gedragsregels voor geautomatiseerde boekingssystemen(2),
A. overwegende dat de Verenigde Staten na 11 september 2001 ingrijpende wetgevingswijzigingen hebben doorgevoerd om de binnenlandse veiligheid te waarborgen, met inbegrip van de wetgeving op het gebied van vervoer, en dat zij op 19 november 2001 de "Aviation and Transportation Security Act (ATSA)"(3) hebben vastgesteld en op 5 mei 2002 de "Enhanced Border Security and Visa Entry Reform Act of 2002" hebben goedgekeurd (EBSV)(4) en voorts andere begeleidende maatregelen hebben vastgesteld die alleen al voor transatlantische vluchten gevolgen hebben voor zo'n tien tot elf miljoen passagiers per jaar,
B. overwegende dat de regering van de Verenigde Staten zich in eerste instantie hebben beperkt tot verzoeken aan luchtvaartmaatschappijen om toezending van de gegevens over passagiers en bemanningsleden (Passenger Manifest Information) (eindnoot (5)) via het Advance Passenger Information System (APIS); overwegende dat zij vervolgens echter de interimovereenkomst zo heeft geïnterpreteerd dat, op straffe van zware sancies, rechtstreekse toegang werd geëist tot de geautomatiseerde boekingssystemen en, met name, het "Passenger Name Record" (PNR) waarin naast identiteitsgegevens ook allerlei andere soorten gegevens(6) kunnen worden opgenomen, met inbegrip van gevoelige informatie in de zin van artikel 8 van richtlijn 95/46/EG,
C. evenals de nationale autoriteiten(7) vervuld van twijfels en zorgen over de legitimiteit van een dergelijk verzoek, met inbegrip van de legitimiteit op grond van de Amerikaanse wetgeving, en in het bijzonder betwijfelend of een en ander in overeenstemming is met de EU-wetgeving inzake gegevensbescherming, gezien het risico dat databanken van boekingssytemen zo de facto een bron van gegevensinwinning worden voor VS-autoriteiten,
D. vervuld van twijfels over de vraag of deze gegevens (eindnoot (8)) op "adequate wijze" worden beschermd als zij eenmaal zijn ingevoerd in Amerikaanse gegevensbestanden, en met spijt vaststellend dat de Commissie niet tijdig de evaluatieprocedure(9) op gang heeft gebracht om de verenigbaarheid van de Amerikaanse wetgeving met het communautaire recht na te gaan;
E. overwegende dat nieuwe wetgeving, zoals voorgesteld door de immigratiediensten van de Verenigde Staten(10) het mogelijk zal maken de beperkingen van het huidige gegevensoverdrachtsysteem "US EDIFACT" te overwinnen door middel van een uitgebreider model "UN EDIFACT" (waarbij dit laatste voorziet in opneming van het adres in de Verenigde Staten, het nummer, de datum en de plaats van afgifte van het visum, zoals vereist door sectie 402 van de EBSV), en dat ook de effectieve reikwijdte van het PNR hiermee beter zal worden afgebakend door dit te bepreken tot vooraf bepaalde informatie,
1. uit zijn teleurstelling over de vertraging waarmee de Commissie het Parlement en de Raad een probleem heeft voorgelegd dat reeds vijftien maanden speelt, betrekking heeft op gegevensbescherming en van enorme invloed is op andere beleidsvormen van de Gemeenschap (vervoer, immigratie) en van de Unie (politiële en justitiële samenwerking, terrorismebestrijding en bestrijding van georganiseerde misdaad);
2. uit zijn teleurstelling over het feit dat de Commissie, in haar hoedanigheid van hoedster van de Verdragen en het Gemeenschapsrecht, tekort is geschoten in de uitvoering van haar taken:
-
door niet te onderzoeken of de toegang tot gegevens van geautomatiseerde boekingssystemen een werkelijke rechtsgrondslag heeft in de Verenigde Staten of slechts berust op een buitensporig ruime interpretatie van de Amerikaanse regering(11) nodigt overigens de Commissie uit van de lopende debatten in de Verenigde Staten over de nieuwe wetgeving inzake APIS en PNR te profiteren door van de Amerikaanse autoriteiten te bewerkstelligen dat in deze nieuwe wetgeving rekening wordt gehouden met de eisen van gegevensbescherming zoals die voortvloeien uit de communautaire wetgeving;
-
door uitstel van de controle op de Amerikaanse wetgeving, zoals voorzien in artikel 25 van Richtlijn 95/46/EG. Vertraging hierbij leidt uiteraard tot problemen voor luchtvaartmaatschappijen, die knel komen te zitten tussen de "hamer" van VS-sancties (als zij het Gemeenschapsrecht eerbiedigen) en het "aambeeld" van de autoriteiten bevoegd voor gegevensbescherming (indien zij toegeven aan de eisen van de Amerikaanse autoriteiten), en levert ook problemen op voor de nationale autoriteiten voor gegevensbescherming, aangezien deze moeten toezien op naleving van de communautaire bepalingen;
-
door de burgers niet op de hoogte te stellen, terwijl dezen toch de eersten zouden moeten zijn om te weten hoe er wordt omgesprongen met met hun persoonsgegevens;
3. betreurt de gezamenlijke verklaring van EU-ambtenaren en VS-ambtenaren van 19 februari 2003, die iedere rechtsgrondslag mist en zou kunnen worden geïnterpreteerd als een indirecte uitnodiging aan nationale autoriteiten om het Gemeenschapsrecht niet in acht te nemen; gelast zijn Voorzitter de procedure in artikel 91 van zijn Reglement in werking te stellen om de mogelijkheid te onderzoeken of bij het Hof van Justitie een beroep kan worden ingesteld;
4. is van oordeel dat uiteraard onderhandelingen moeten worden geopend, doch dat deze onderhandelingen moeten worden gevoerd op basis van de communautaire bevoegdheden inzake luchtvervoer, met alleen in het transatlantisch verkeer al tien tot elf miljoen passagiers per jaar, en waarvoor de Commissie een "open skies"-overeenkomst wil afsluiten, alsmede op basis van de bevoegdheden inzake migratiebeleid. Uit overigens zijn verwondering over het feit dat deze kwesties niet aan de orde zijn gekomen in de akkoorden inzake justitiële en politiële samenwerking, die reeds in een zeer vergevorderd stadium verkeert;
5. dringt er bij de Commissie op aan opschorting te bewerkstelligen van de gevolgen van de door de Amerikaanse autoriteiten genomen maatregelen, totdat het besluit over de verenigbaarheid van deze maatregelen met het communautaire recht is goedgekeurd;
6. verzoekt de Commissie de in deze resolutie aan de orde gestelde problemen te onderzoeken en behoudt zich het recht voor om zich vóór de volgende top EU/VS uit te spreken over het gevolg dat aan deze resolutie is gegeven;
7. verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Commissie, de Raad, de regeringen en parlementen van de lidstaten, de permanente vertegenwoordiging van de Verenigde Staten bij de Europese Unie en het Congres van de Verenigde Staten.
Aviation and Transportation Security Act (veiligheidswet voor luchtvaart en vervoer) van 19 november 2001 (107-71), voorlopige bepalingen van het douanedepartement (Customs) - Passagiers- en bemanningsdocumenten die vereist zijn voor passagiersvluchten via buitenlandse luchtvaartmaatschappijen naar de Verenigde Staten (federaal register van 31 december 2001) en passagiers-persoonsgegevens die vereist zijn voor passagiers op vluchten van buitenlandse luchtvaartmaatschappijen van of naar de Verenigde Staten (federaal register, 25 juni 2002).
1 Eindnoot1 - Sectie 44909 wordt gewijzigd door aan het einde het volgende toe te voegen: (c) VLUCHTEN VAN BUITENLANDSE LUCHTVAARTMAATSCHAPPIJN NAAR DE VERENIGDE STATEN (1) ALGEMEEN. Uiterlijk 60 dagen na de datum van bekrachtiging van de "Aviation en Transportation Security Act", stelt elke luchtvaartmaatschappij en buitenlandse luchtvaartmaatschappij die passagiersvluchten verzorgd vanuit het buitenland naar de Verenigde Staten, de douanecommissaris langs elektronische weg een passagiers- en bemanningslijst ter beschikking waarin de informatie is opgenomen die wordt gespecificeerd in paragraaf (2). Luchtvaartmaatschappijen mogen gebruik maken van het Advanced Passenger Information System (APIS), ingesteld krachtens sectie 431 van de Tariff Act van 1930 (19 U.S.C. 1431) en einde de bovenbedoelde informatie te verstrekken. (2) INFORMATIE. Een passagiers- en bemanningslijst van een vlucht als bedoeld onder (1) dient de volgende informatie te bevatten: (A) de volledige naam van elke passagier en elk bemanningslid. (B) De geboortedatum en nationaliteit van elke passagier en elk bemanningslid. (C) Het geslacht van elke passagier en elk bemanningslid. (D) Het paspoortnummer en het land van afgifte van elke passagier en elk bemanningslid indien een paspoort voor de reis noodzakelijk is. (E) Het VS-visumnummer of nummer van de verblijfsvergunning voor buitenlanders van elke passagier en elk bemanningslid, indien van toepassing. (F) Elke andere informatie die door de staatssecretaris in overleg met de douanecommissaris noodzakelijk wordt geacht met het oog op waarborging van de luchtvaartveiligheid. (3) NAAMSGEGEVENS PASSAGIERS - De luchtvaartmaatschappijen stellen op verzoek de naamsgegevens van de passagiers beschikbaar aan de douanedienst. (4) OVERDRACHT VAN DOCUMENTEN - Met inachtneming van paragraaf (5) dient een passagiers- en bemanningslijst die wordt vereist voor een vlucht als bedoeld in paragraaf 1 te worden overgedragen aan de douanediensten voordat het toestel landt in de Verenigde Staten, en wel op de door de douanedienst vastgestelde wijze en binnen de door de douanedienst gestelde termijn. (5) OVERDRACHT VAN DOCUMENTEN AAN ANDERE FEDERALE INSTANTIES - Op verzoek kan de informatie die uit hoofde van deze subsectie is overgedragen aan de staatssecretaris of de douanedienst, worden gedeeld met andere federale bureaus met het oog op de bescherming van de nationale veiligheid.
PNR nr., reserveringsdatum, reisbureau, op de ticket vermelde gegevens, financiële gegevens (nr. credit card, geldigheidsduur, factureringsadres, enz.), route, historische gegevens van het PNR. In dit laatste kunnen reizen worden vermeld die in het verleden zijn gemaakt maar kunnen ook religieuze of etnische gegevens zijn opgenomen (maaltijdkeuze...), lidmaatschap van groepen of verenigingen, gegevens betreffende woonplaats en mogelijkheden om contact met een individu op te nemen (e-mailadres, gegevens van vrienden of bekenden, werk ...), medische gegevens (noodzakelijke medische bijstand, zuurstof, slechtziendheid, slechthorendheid, mobiliteitsproblemen of andere problemen die bekend moeten zijn voor een goed verloop van de vlucht) alsmede andere gegevens in verband met, bijvoorbeeld, klantenbindingsprogramma's.
Zie initiatiefverslag nr.6/2002 van de groep die is ingesteld ingevolge artikel 29 van richtlijn 95/46/EG, op: http://www.europa.eu.int/comm/internam_market/fr/dataprot/wpdocs/wpdocs-2002.htm
2 Eindnoot2 (EBSV blz. 6) over het "Chimera"-systeem: "... In het programma van deze subsectie worden de voorwaarden vastgelegd voor het gebruik van de informatie als omschreven in subsectie (b) die is ontvangen door het Ministerie van Buitenlandse Zaken en de immigratie- en naturalisatiedienst (A) ten einde verdere verspreiding van deze informatie te beperken; (B) te waarborgen dat deze informatie uitsluitend wordt gebruikt om vast te stellen of een visum kan worden verstrekt aan een buitenlander of om vast te stellen of een buitenlander in de Verenigde Staten kan worden toegelaten of moet worden uitgezet, behoudens andersluidende bepalingen van federaal recht; (C) ter waarborging van de juistheid, de veiligheid en de vertrouwelijkheid van deze informatie; (D) ter bescherming van de persoonlijke levenssfeer van de individuen waarop dergelijke informatie betrekking heeft; (E) ter waarborging van de volledigheid van de gegevens door tijdige verwijdering en vernietiging van verouderde of foutieve namen en informatie; en (F) op een wijze die de bronnen beschermt alsmede de methoden die worden gebruikt voor het verwerven van inlichtingen als vereist door sectie 1038c)(6) van de Nationale Security Act van 1947 (50U.S.C. 403-3(c)(6).