Sedan terroristattacken den 11 september 2001 har brottsbekämpande myndigheter i flera olika länder, inte minst USA, börjat samla in och analysera flygpassageraruppgifter, s.k. PNR-uppgifter, för att kunna bekämpa terrorism och organiserad brottslighet. Mot bakgrund av EU:s avtal om PNR-uppgifter med USA från våren 2007 föreslår kommissionen ett inrättande av ett EU-system med i princip samma innehåll. Syftet med förslaget är att göra PNR-uppgifter tillgängligt för medlemsstaternas myndigheter som ansvarar för att förebygga och bekämpa terrorism och organiserad brottslighet. Behandling av PNR-uppgifter får endast ske för förebyggande, upptäckt, utredning och lagföring av sådana brott.
Förslaget omfattar endast flygtrafik och insamling av uppgifter sker endast för flygrutter som inleds eller avslutas i ett tredje land. Insamling och lagring av PNR-uppgifter föreslås göras av en nationellt inrättad enhet, en s.k. Passenger Information Unit (PIU). Överföring till behöriga myndigheter föreslås endast få ske för ett antal uppställda syften, t.ex. för att identifiera personer som är eller kan tänkas vara inblandade i terroristbrott eller organiserad brottslighet och för att förse myndigheterna med underrättelseinformation om resemönster. Uppgifterna ska sparas i fem år och får behandlas för de beskrivna syftena under den tiden. Därefter ska PNR-uppgifter fortsätta att lagras i ytterligare åtta år men då får uppgifterna endast användas i situationer där det föreligger ett konkret hot om terroristattentat.
EU:s rambeslut om skydd för behandling av personuppgifter för brottsbekämpande ändamål föreslås tillämpas på databehandling enligt det föreslagna rambeslutet om PNR-uppgifter.
Förslaget till ändring av rambeslutet om användning av flygpassageraruppgifter (PNR-uppgifter) för brottsbekämpande ändamål innehåller fem kapitel och sammanlagt nitton artiklar.
Kapitel 1, Allmänna bestämmelser
I artikel 1 anges syftet med förslaget, nämligen att göra PNR-uppgifter tillgängliga för myndigheter i medlemsstaterna med ansvar för att förebygga och bekämpa terrorism och organiserad brottslighet.
I artikel 2 definieras bl.a. vad som avses med en internationell flygning, med PNR-uppgifter, terrorism och organiserad brottslighet samt olika metoder för tillgång till PNR-uppgifter, nämligen push (flygbolagen överför data) och pull (myndigheterna ges tillträde till flygbolagens datasystem).
Kapitel II, Medlemsstaternas ansvar
Av artikel 3 föreslås varje medlemsstat inrätta en Passenger Information Unit (PIU), en nationell enhet med ansvar för att samla in och spara PNR-uppgifter. PIU föreslås överföra PNR-uppgifter till behöriga myndigheter endast för följande syften:
- för att identifiera personer som är eller kan tänkas vara inblandade i terrorismbrott eller organiserad brottslighet,
- för att skapa och uppdatera riskindikatorer för dessa personer,
- för att förse myndigheterna med underrättelseinformation om resemönster och trender rörande terrorism och organiserad brottslighet,
- för att användas i brottsutredningar och lagföring vid dessa brott.
I artikel 4 föreslås att medlemsstaterna ska förse kommissionen och rådets generalsekretariat med en lista över vilka behöriga myndigheter som ska ha rätt att behandla PNR-uppgifter.
Artikel 5 behandlar transportörernas åligganden gentemot PIU. Genom en lista i bilaga 1 till rambeslutet anges vilka typer av PNR-uppgifter transportörerna ska överlämna till PIU. Uppgifterna föreslås överlämnas senast 24 timmar innan avgång samt omedelbart efter det att utgången stängts. Transportörerna föreslås vidare tillse att PNR-uppgifter överlämnas till PIU genom push-metoden om detta är tekniskt möjligt. I annat fall ska pull-metoden användas. Flygbolagen föreslås också åläggas att informera passagerare om att PNR-uppgifter överlämnas till myndigheterna.
I artikel 6 föreslås att flygbolagen ska ha möjlighet att utse en mellanhand till vilken de kan lämna PNR-uppgifter istället för direkt till PIU. PIU ska i sådana fall genast underrättas om arrangemanget. Mellanhanden ska ansvara för att samla in, lagra och distribuera PNR-uppgifter. Om insamlade PNR-uppgifter innehåller uppgifter om ras, religion, övertygelse, sexualliv, hälsa eller liknande ska data omedelbart raderas. Överföring till PIU ska ske genom push-metoden.
I artikel 7 föreslås att myndigheterna i en medlemsstat ska ha rätt att begära uppgifter från en annan medlemsstats PIU. Uppgifterna ska i så fall överlämnas så snart det är möjligt. I exceptionella fall ska den begärande myndigheten kunna få ta del av uppgifterna också i den sovande databasen. Vidarebefordran av PNR-uppgifter till tredje land enligt artikel 8 får endast ske för samma syfte som det ursprungliga. Det mottagande tredje landet får inte vidarebefordra uppgifterna utan föregående medgivande av den sändande staten.
I artikel 9 föreslås att PNR-uppgifter ska sparas i en aktiv databas hos PIU i fem år under vilken tid de får behandlas enligt ovan. Därefter ska PNR-uppgifter fortsätta att lagras i ytterligare åtta år i en sovande databas. Under denna åttaårsperiod får uppgifterna endast användas i situationer där det föreligger ett konkret hot om terroristattentat.
Efter trettonårsperioden föreslås medlemsstaterna tillse att PNR-data raderas. Undantagsvis kan data sparas under längre perioder om det behövs i en pågående brottsutredning. När en sådan utredning har avslutats ska dock uppgifterna raderas.
I artikel 10 fastställs att medlemsstaterna ska införa proportionerliga och verksamma sanktioner mot transportörer som bryter mot uppställda föreskrifter.
Kapitel III, Skydd av personuppgifter
I artikel 11 föreslås att EU:s rambeslut om skydd för behandling av personuppgifter för brottsbekämpande ändamål ska vara tillämpligt på databehandling enligt detta rambeslut. Behandling av PNR-uppgifter får endast ske för förebyggande, upptäckt, utredning och lagföring av terroristbrott och organiserad brottslighet.
I artikel 12 regleras vilka konkreta krav som uppställs på PIU och mellanhanden när dessa behandlar PNR-uppgifter.
Kapitel IV, Kommittologi
Artikel 13 behandlas gemensamma protokoll och kryptostandarder för överföring av PNR-uppgifter mellan behöriga myndigheter i medlemsstaterna.
I artikel 14 föreslås att en kommitté, en s.k. kommittologikommitté, ska inrättas för att behandla frågor om gemensamma protokoll och kryptostandarder samt generella kriterier, metoder och rutiner för den riskbedömning som anges i förslagets artikel 3.
Artikel 15 anger den föreslagna kommitténs procedurregler. Av dessa framgår att det är fråga om en s.k. föreskrivande kommitté vilken leds av kommissionen och där medlemsstaterna med kvalificerad majoritet kan tvinga fram en behandling i rådet i en fråga där oenighet mellan kommissionen och medlemsstaterna föreligger.
Kapitel V, Slutbestämmelser
I artikel 16 föreslås att rambeslutet ska vara genomfört i medlemsstaterna senast den 31 december 2010.
I artikel 17 föreslås att en uppföljning av rambeslutet ske inom tre år efter ikraftträdandet varvid särskild uppmärksamhet ska ägnas genomförandet av push-metoden, skyddet för behandling av personuppgifter, lagringstiderna och kvaliteten i de riskbedömningar som framgår av förslagets artikel 3.
I artikel 18 föreslås att medlemsstaterna ska säkerställa att statistiska uppgifter finns tillgängliga.
I artikel 19 behandlas frågan om förhållandet mellan detta rambeslut och andra instrument. Det föreslås bl.a. vara möjligt att fortsätta tillämpa bilaterala avtal så länge sådan är förenliga med rambeslutet.
I artikel 20 föreslås rambeslutet träda i kraft dagen efter publikation i Europeiska Unionens Tidning.
Genom lagen (2006:444) om passagerarregister infördes en möjlighet att med hjälp av automatiserad behandling föra ett passagerarregister i syfte att förbättra gränskontrollerna och bekämpa den olagliga invandringen samt terrorismen. Lagen genomför rådets direktiv 2004/82/EG av den 29 april om skyldighet för transportörer att lämna uppgifter om passagerare. I samband med lagen infördes också nya bestämmelser i utlänningslagen, sekretesslagen och polisdatalagen. De brottsbekämpande myndigheterna hanterar redan idag också information från flygtrafikföretag redan idag för andra brottsbekämpande ändamål. Polisen samarbetar med flygbolagen i brottsutredningar och Tullverket har sedan 1999 rätt att få tillgång till uppgifter från transportföretag enligt bestämmelser i Tullagen (2000:1281) och i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot etta annat land inom Europiska Unionen.
Insamling, lagring och utbyte av PNR-uppgifter på så sätt nu föreslås beträffande bl.a. omfattning och ändamål förekommer dock inte idag i Sverige och den nämnda lagstiftningen kommer därför att påverkas.
1.3Budgetära konsekvenser
Förslaget förutsätter dels utveckling av IT-stöd för informationshantering, dels inrättande av en PIU, vilka båda innebär kostnader. De slutliga budgetära konsekvenserna av förslaget kan dock inte bedömas med någon säkerhet i detta skede, men bedöms kunna finansieras inom befintliga ramar.
EU har under de senaste åren lagt ökad kraft på arbetet mot terrorism. Grunden för detta arbete finns i den handlingsplan mot terrorism som Europeiska rådet antog omgående efter terroristattackerna i USA i september 2001, i den europeiska säkerhetsstrategin från 2003 samt i deklarationen och den nya handlingsplanen för att bekämpa terrorism som antogs av Europeiska rådet efter bombdåden i Madrid i mars 2004. Europeiska rådet antog även i december 2005 en övergripande EU-strategi mot terrorism som, med utgångspunkt i tidigare handlingsplan och deklarationer, tydligt förklarar EU:s policy och vad som prioriteras för framtiden. Detta inkluderar utvecklingen av att använda PNR-uppgifter för att förebygga och bekämpa terrorism och organiserad brottslighet. Det fleråriga Haagprogrammet som anger riktlinjerna för det rättsliga och inrikes samarbetet inom EU anger också att ett förslag om användning av PNR-uppgifter ska presenteras. Avtal föreligger dessutom med USA och Kanada samt inom kort också med Australien. Användning av PNR-uppgifter för att förhindra terrorism och grov brottslighet är alltså etablerat som en metod att förebygga och bekämpa terrorism och grov brottslighet.
I samband med de kommande förhandlingarna om utvecklingen av ett systen för hantering av PNR-uppgifter inom EU måste särskild uppmärksamhet ägnas åt balansen mellan säkerhetsaspekter å ena sidan och integritetsskydd och respekt för mänskliga rättigheter å den andra. En annan viktig frågeställning som måste tas om hand av såväl politiska som sakliga skäl i de kommande förhandlingarna om ett PNR-system handlar om verksamhetsnytta. Det föreligger kritik som går ut på att det handlar om att hantera en mycket stor mängd information av vilken en endast liten mängd kan förväntas vara relevant för det ändamål den samlats in. Är därför användning av PNR-uppgifter på så sätt föreslås ett effektivt sätt att bekämpa terrorism och grov, gränsöverskridande brottslighet? Och motsvarar kostnaden för ett PNR-system nyttan? Detta är frågor som måste besvaras tillfredsställande.
Rätten till privatliv är inte en absolut rättighet. Intrång i privatlivet får göras, men det får endast ske om åtgärden har stöd i lag och är nödvändig i ett demokratiskt samhälle för att uppfylla vissa legitima mål. Åtgärden måste även stå i rimlig proportion till det mål som efter-strävas. Det krävs dessutom att lagen är tillräckligt tydlig för att dess adressater skall kunna rätta sig efter den och att den är förutsägbar. I detta sammanhang står det klart att inte minst de föreslagna lagringstiderna, men även avgränsningen av ändamålen och informationstyperna, kommer att behöva diskuteras ingående.
Det står klart redan genom Europeiska rådets slutsatser, Haagprogrammet och den första presentationen av förslaget att en majoritet av medlemsstaterna är positiva till förslaget. Det tycks dock föreligga olika uppfattningar i viktiga frågor som t.ex. tillämpningsområdet och lagringstiderna. Detta avspeglas i det arbete som pågår på nationell nivå i en del medlemsstater. Några MS menar att PNR-systemet bör tillämpas också på flygningar inom EU.
2.3 Institutionernas ståndpunkter
Någon inställning från rådet eller Europaparlamentet finns ännu inte. Europaparlamentet skall yttra sig över förslaget.
Förslaget har inte remitterats.
Förslaget kommer att behandlas i den Sektorsövergripande arbetsgruppen mot organiserad brottslighet med planerad början i februari 2008.
Artiklarna 29, 30.1.b och 34.2. b i Fördraget om Europeiska unionen. Rådet fattar beslut med enhällighet efter att ha hört Europaparlamentet.