5-1534/1 | 5-1534/1 |
14 MAART 2012
Na de aanslagen van 11 september 2001 verplichtten de Amerikaanse autoriteiten de luchtvaartmaatschappijen om persoonsgegevens van passagiers voor vluchten naar, vanuit of door de VS elektronisch aan het Amerikaanse ministerie van Binnenlandse Veiligheid te verstrekken.
Sinds 2004 wordt de uitwisseling van deze persoonsgegevens van passagiers geregeld door overeenkomsten tussen de Europese Unie en de Verenigde Staten (1) .
De persoonsgegevens die in het kader van deze PNR (Passenger name records) -overeenkomsten worden verwerkt, bevatten verschillende soorten inlichtingen : naast de passagierslijsten in strikte zin (namen, adressen, nationaliteit, geslacht, paspoortnummers, ...) bevatten ze de vluchtgegevens van de reiziger, maar ook informatie over de personen die de boekingen verrichten of de biljetten betalen. Men vindt tevens gegevens terug over de kredietkaarten, informatie over vrienden, collega's of familieleden die hetzelfde traject hebben geboekt, gegevens over reiswegen, verblijfsadressen, contactpersonen, voedingsgewoonten of de contactgegevens van de reisbureaus.
Op 26 juli 2007 werd er een overeenkomst gesloten tussen de Europese Unie en de Verenigde Staten om er met name op toe te zien dat de doorgifte van de PNR-gegevens zou plaatsvinden overeenkomstig de EU-normen inzake gegevensbescherming. De inwerkingtreding van het Verdrag van Lissabon op 1 december 2009 heeft de herziening van deze overeenkomst met zich mee gebracht krachtens het door het Verdrag aan het Europees Parlement toegekende recht om zijn goedkeuring al dan niet te verlenen aan de sluiting van internationale overeenkomsten.
Bijgevolg nam het Europees Parlement in mei 2010 een resolutie (2) aan waarin de Commissie wordt gevraagd om tot een coherente aanpak van het gebruik van PNR-gegevens te komen, op basis van één reeks beginselen.
Na nieuwe onderhandelingen heeft de Europese Commissie een nieuwe overeenkomst geparafeerd en heeft zij op 23 november 2011 een aanbeveling naar de Europese Raad gestuurd, met het oog op het ondertekenen en sluiten van die overeenkomst. De Raad heeft de tekst aangenomen op 13 december 2011 en naar het Europees Parlement gestuurd voor goedkeuring.
De voornaamste verschillen tussen het huidige akkoord en de versie van 26 juli 2007 zijn dat :
— krachtens artikel 6, de gevoelige informatie ten laatste dertig dagen na ontvangst wordt gewist, en niet langer onmiddellijk;
— krachtens artikel 8, de gegevens in een actieve database worden bewaard gedurende vijf jaar, en niet gedurende zeven jaar, en vervolgens in een « slapende » database gedurende ten hoogste tien jaar in plaats van acht jaar; dat na deze periode van vijftien jaar de gegevens niet worden gewist maar wel ontdaan van hun persoonlijke karakter;
— krachtens artikel 15, het Department of Homeland Security de eerste versie van de PNR-gegevens niet langer tweeënzeventig uur, maar wel zesennegentig uur voor het vertrek van de betrokken vlucht ontvangt;
— de overeenkomst krachtens artikel 23 gecontroleerd en geëvalueerd zal worden, respectievelijk één jaar en vier jaar na haar inwerkingtreding in plaats van « op regelmatige basis »; dat de Europese Commissie na deze controle bovendien verslag dient uit te brengen aan het Europees Parlement en aan de Raad;
— de opzeggingstermijn krachtens artikel 25 wordt verlengd van dertig tot honderdtwintig dagen.
Deze nieuwe overeenkomst met de Verenigde Staten wijkt af van de coherente aanpak en het geheel van principes dat in 2010 door het Europees Parlement, de Commissie en de Raad was overeengekomen. Vergeleken met de eerste PNR-overeenkomst tussen de Europese Unie en de Verenigde Staten houdt de overeenkomst van 2011 zelfs een achteruitgang in op een hele reeks punten.
| Claudia NIESSEN. | |
| Freya PIRYNS. |
De Senaat,
A. overwegend dat Duitsland en Oostenrijk zich hebben onthouden toen het akkoord door de Europese Raad werd goedgekeurd;
B. aangezien verschillende Europese instellingen, zoals het European Scrutiny Committee van het Britse House of Commons, de Franse Senaat, de werkgroep « artikel 29 » en de Belgische Commissie voor de bescherming van de persoonlijke levenssfeer (3) , kritiek hebben en zich vragen stellen bij meerdere punten van de overeenkomst van 13 december 2011;
C. aangezien Sophia in't Veld, rapporteur van de commissie voor de Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken, het Europees Parlement aanraadt om de overeenkomst tussen de Verenigde Staten en de Europese Unie inzake het gebruik van de persoonsgegevens van passagiers (PNR-gegevens) en hun doorgifte aan het Amerikaans ministerie van Binnenlandse Veiligheid niet goed te keuren;
D. overwegende dat Peter Hustinx, Europees Toezichthouder voor gegevensbescherming (« EDPS ») in zijn advies van 9 december 2011 vaststelt dat de overeenkomst van 13 december 2011 nog veel bezorgdheid oproept, in het bijzonder wat de coherentie betreft van de algemene aanpak van de kwestie van de PNR-gegevens, de doelafbakening, het vastleggen van de categorieën van gegevens die doorgegeven worden, de behandeling van de gevoelige gegevens, de bewaartermijnen, de uitzonderingen op de « push (4) »-methode, de rechten van de betrokken personen en de verdere doorgifte van de gegevens;
E. overwegende dat de Europese Commissie de noodzakelijkheid en evenredigheid van de massale verzameling en opslag van gegevens slechts gedeeltelijk en niet afdoende heeft aangetoond, en dat er een uitvoerige motivering ontbreekt voor elk van de in de overeenkomst van 13 december 2011 genoemde doelstellingen (terrorismebestrijding en de bestrijding van zware grensoverschrijdende criminaliteit) en voor elk van de verwerkingsmethodes (reactief, in real time en proactief);
F. overwegende dat de overeenkomst in eerste instantie niet gebaseerd is op artikel 16 van het VWEU inzake gegevensbescherming, maar op artikel 82, lid 1, onder d), en artikel 87, lid 2, onder a), en dus niet garandeert dat de overdracht van gegevens in overeenstemming is met de EU-normen op het gebied van gegevensbescherming, en dat de rechtsgrondslag duidelijk niet de juiste is;
G. overwegende dat de overeenkomst automatisch zou moeten aflopen na een periode van enkele jaren of dient te worden herzien, hetgeen niet expliciet is gepland;
H. gelet op het feit dat de lijst van de over te dragen PNR-gegevens te exhaustief is, meer bepaald omdat ze gegevens in verband met geloof of gezondheid kan prijsgeven en dat de negentien gegevenssoorten van deze lijst reeds in 2007 door de Europese toezichthouder voor gegevensbescherming en de Groep gegevensbescherming « artikel 29 » als onevenredig wer-den beschouwd;
I. gelet op het feit dat de evenredigheid van de PNR-systemen en van de massale doorgifte van PNR-gegevens aan derde landen tot op heden niet is aangetoond, terwijl de beginselen van noodzakelijkheid en evenredigheid essentieel zijn om terrorisme doeltreffend te bestrijden;
J. gelet op het feit dat de afbakening van het gebruik van PNR-gegevens niet beperkt is tot preventie, opsporing, onderzoek en strafrechtelijke vervolging van terrorisme en ernstige grensoverschrijdende criminaliteit (artikel 4), en dat het tweede, derde en vierde lid van dit artikel geïnterpreteerd moeten worden als een verdere uitbreiding van de doeleinden waarvoor PNR-gegevens gebruikt kunnen worden;
K. gelet op het feit dat in artikel 4 (lid 1, onder a), lid 1), onder b) en lid 2) van de overeenkomst vage termen en uitzonderingen de doelafbakening teniet zouden kunnen doen en de rechtszekerheid zouden kunnen ondermijnen;
L. gelet op het feit dat PNR-gegevens op grond van artikel 4, lid 2, voor alle strafbare feiten, ongeacht de ernst ervan, per geval gebruikt kunnen worden, en zelfs voor andere handelingen die op geen enkele wijze verband houden met strafbare feiten, wanneer een rechterlijke instantie het gebruik van deze gegevens beveelt, en dat dit geen zinvolle doelafbakening kan vormen;
M. gelet op het feit dat PNR-gegevens geenszins mogen worden gebruikt om profielen van passagiers te creëren, waaronder « risicoprofielen », maar dat krachtens lid 3 van artikel 4 PNR-gegevens evenwel gebruikt kunnen worden om in het kader van de grenscontrole profielen op te stellen;
N. gelet op het feit dat een maximale bewaringstermijn van vijftien jaar (artikel 8) duidelijk buitensporig is, ongeacht de vraag of de gegevens in een « actieve » of een « slapende » database worden bewaard, met name omdat deze termijn drie keer zo lang is dan de vijf jaar in de overeenkomsten met betrekking tot PNR-gegevens uit en binnen Europa en dat er net over een termijn van 5,5 jaar is onderhandeld in het kader van een vergelijkbare overeenkomst met Australië;
O. gelet op het feit dat de termijnen voor het bewaren van PNR-gegevens (artikel 8) werden verlengd bij elke overeenkomst sinds die van 2004, en dat een archivering van dergelijke omvang als onevenredig wordt beschouwd door de werkgroep « artikel 29 », en dat de reden waarom de gegevens beschikbaar moeten blijven niet wordt toegelicht;
P. gelet op het feit dat artikel 6 aan de Amerikaanse staten een volledige en onbeperkte toegang verleent tot gevoelige gegevens van Europese passagiers en dat dit artikel de Amerikaanse minister voor Binnenlandse Veiligheid toestaat om gevoelige gegevens te filteren, te verbergen en te behandelen of later te gebruiken, terwijl alle Europese teksten ter zake de behandeling van sommige bijzondere gegevenscategorieën verbiedt (behalve in geval van absolute noodzaak en wanneer het nationaal recht in gepaste bewaringsmaatregelen voorziet);
Q. gelet op het feit dat ingevolge de resolutie van het Europees Parlement van 5 mei 2010, PNR-gegevens alleen door middel van de « push »-methode mogen worden doorgegeven, maar dat de overeenkomst van 13 december 2011 niet uitdrukkelijk uitsluit dat de Amerikaanse overheid rechtstreeks toegang kan verkrijgen tot deze gegevens via een « pull »-methode,
Beveelt de regering aan :
om aan de Europese Commissie te vragen dat zij de huidige versie van de overeenkomst tussen de Verenigde Staten en de Europese Unie inzake het gebruik en de doorgifte van persoonsgegevens van passagiers (PNR-gegevens) aan het Amerikaanse ministerie van Binnenlandse Veiligheid, opnieuw onderhandelt, in functie van de zwakheden en gebrekkigheden inzake de bescherming van de persoonsgegevens die in deze resolutie worden opgesomd.
8 maart 2012.
| Claudia NIESSEN. | |
| Freya PIRYNS. |
(1) Een eerste PNR-overeenkomst liep van 28 mei 2004 tot oktober 2006. Na het PNR-arrest van het Hof van Justitie van 30 mei 2006 werd een tweede (interim-)overeenkomst van 19 oktober 2006 goedgekeurd, die verviel op 31 juli 2007.
(2) Resoluties van 5 mei 2010 over de opening van onderhandelingen over overeenkomsten inzake persoonsgegevens van passagiers (PNR-gegevens) met de Verenigde Staten, Australië en Canada, en van 11 november 2010 over de algemene aanpak van doorgifte van PNR-gegevens aan derde landen.
(3) De CBPL heeft zich ambtshalve over de PNR-overeenkomst van 2007 uitgesproken in haar advies nr. 01/2010 van 13 januari 2010.
(4) Bij de « push »-methode worden de gegevens ter beschikking gesteld van de luchtvaartmaatschappij, terwijl het « pull » -systeem inhoudt dat de overheid de gegevens ophaalt bij de luchtvaartmaatschappij.