Regeringskansliet

Faktapromemoria 2010/11:FPM77

Direktiv om användning av flygpassageraruppgifter för brottsbekämpande ändamål

Justitiedepartementet

2011-03-02

Dokumentbeteckning

KOM(2011) 32 slutlig

Kommissionens förslag till Europaparlamentets och rådets direktiv om användning av flygpassageraruppgifter för att hindra, upptäcka, utreda och lagföra terroristbrott och allvarliga brott

Sammanfattning

På grund av hotet från gränsöverskridande brottslighet, inklusive terroristbrott, har brottsbekämpande myndigheter i flera länder börjat samla in och analysera flygpassageraruppgifter, s.k. PNR-uppgifter (Passenger Name Records). Syftet är att förhindra, upptäcka, utreda och lagföra allvarliga brott, inklusive terroristbrott. PNR-uppgifter består av den information som passagerare själva lämnar till flygtrafikföretagen vid bokning och genomförande av en flygresa, såsom namn, betalningssätt, mängden bagage, destination, etc. Brottsbekämpande myndigheter kan begära in uppgifterna från de flygtrafikföretag som trafikerar landets flygplatser. Ett antal länder utanför EU har särskilda system för inhämtande och analys av PNR-uppgifter, t.ex. Australien, Kanada och USA. Brottsbekämpande myndigheter i flera länder i EU har möjligheter att få tillgång till PNR-uppgifter, bland andra Storbritannien, Frankrike, Nederländerna, Danmark och Sverige.

Den 2 februari 2011 presenterade kommissionen ett förslag till direktiv om användningen av PNR-uppgifter för brottsbekämpande ändamål inom EU. Direktivet syftar till att enhetligt reglera insamling, sparande och behandling av flygpassageraruppgifter. I huvudsak finns två skäl till förslaget. För det första att bidra till rättsväsendets möjligheter att bekämpa och skydda medborgarna från allvarliga brott, inklusive terroristbrott. För det andra att undvika utvecklandet av olika PNR-system inom EU som kan leda till rättsosäkerhet, ökade kostnader och risk för bristande skydd för den personliga integriteten.

I korthet innebär förslaget insamling och 5 års sparande av samt viss reglerad tillgång till PNR-uppgifter för att bekämpa vissa definierade allvarliga brott samt bestämmelser för att garantera den grundläggande rätten till privatliv och skydd av personuppgifter. Varje medlemsstat ska inrätta en särskild enhet ansvarig för insamling, sparande och analys av PNR-uppgifter samt för vidarebefordran av PNR-uppgifter och analysresultat till behöriga brottsbekämpande myndigheter. Uppgiftsutbytet ska loggas och följas upp av en dataskyddsmyndighet.

Förslaget omfattar för närvarande endast den flygtrafik som anländer från eller avgår till ett land utanför EU, inklusive mellanlandningar och transit.

Regeringen välkomnar att kommissionen lagt sitt förslag. Förslaget utgör en grund inför de kommande förhandlingarna. Förslaget väcker viktiga frågeställningar om integritet och verksamhetsnytta. I samband med de kommande förhandlingarna om utvecklingen av ett system för hantering av PNR-uppgifter inom EU måste därför särskild uppmärksamhet ägnas åt att nå rätt balans mellan behovet av att bekämpa brott å ena sidan och den grundläggande rätten till privatliv och dataskydd å den andra.

1Förslaget

1.1Ärendets bakgrund

EU har under de senaste åren lagt ökad kraft på arbetet för att förbättra möjligheterna för EU:s medlemsstater att bekämpa allvarliga brott, inklusive terroristbrott. Detta arbete framgår bl.a. av den övergripande EU-strategi mot terrorism som Europeiska rådet antog i december 2005. Strategin, som tar utgångspunkt i tidigare handlingsplan och deklarationer, förklarar EU:s policy och vad som prioriteras för framtiden. Detta inkluderar utveckling av system för att kunna använda PNR-uppgifter i syfte att förebygga och bekämpa terroristbrott och andra allvarliga brott. I det 5-åriga Stockholmsprogrammet1 om rättsliga och inrikes frågor, som antogs i december 2009 under Sveriges EU-ordförandeskap, uppmanas kommissionen att presentera ett nytt förslag om hanteringen av PNR-uppgifter inom EU för att bekämpa allvarliga brott, inklusive terroristbrott, och som säkerställer EU:s höga krav på dataskydd vid brottsbekämpande myndigheters hantering av PNR-uppgifter. Till bakgrunden hör även att EU har slutit avtal om hanteringen av PNR-uppgifter med Australien, Kanada och USA. De tre avtalen har olika lydelser. För att skapa enhetlighet och stärka regleringen kring dataskyddet har förhandlingar inletts om nya avtal i enlighet med kommissionens övergripande strategi på området och av rådet antagna förhandlingsmandat.

I november 2007 föreslog kommissionen inrättandet av ett system för hantering av PNR-uppgifter inom EU. Förslaget föranledde en faktapromemoria (FPM 2007/08:63). Förslaget till rambeslut förhandlades under ca 2 år men när det s.k. Lissabonfördraget trädde ikraft föll dess rättsliga grund. Därför behövdes ett nytt förslag i enlighet med gällande EU-rätt.

Kommissionen presenterade sitt förslag till direktiv den 2 februari 2011 och lade samtidigt fram en konsekvensanalys av förslaget.

1.2Förslagets innehåll

Syfte och tillämpningsområde

Direktivet syftar till att enhetligt reglera insamling, sparande och behandling av flygpassageraruppgifter i brottsbekämpande verksamhet. I huvudsak finns två skäl till förslaget. För det första att bidra till rättsväsendets möjligheter att bekämpa och skydda medborgarna från allvarliga brott, inklusive terroristbrott. För det andra att undvika utvecklandet av olika PNR-system inom EU som kan leda till rättsosäkerhet, ökade kostnader och risk för bristande skydd för den personliga integriteten.

I korthet innebär förslaget insamling och fem års sparande av samt reglerad tillgång till vissa PNR-uppgifter för att bekämpa allvarliga brott, inklusive terroristbrott. Med allvarliga brott menas sådana brott som i enlighet med nationell rätt upptas i artikel 2.2 i rambeslutet om den europeiska arresteringsordern2 och som kan medföra straff om tre års fängelse eller längre. Terroristbrott definieras i enlighet med artiklarna 14 i rambeslut 2002/475/RIF om bekämpande av terrorism3. Medlemsstater har även möjlighet att exkludera brott som visserligen faller inom tillämpningsområdet men som ändå inte kan anses vara så pass allvarliga att de ska omfattas av direktivet.

Direktivet omfattar för närvarande endast PNR-uppgifter som lämnas från flygtrafik som anländer från eller avgår till ett land utanför EU, inklusive mellanlandningar. EU-intern flygtrafik omfattas alltså inte. I direktivet föreslås att frågan om inkluderande av EU-intern flygtrafik ska utredas inom 2 år.

Förutom begränsningen i omfattningen av förslaget finns en rad olika bestämmelser för att garantera den grundläggande rätten till privatliv och skydd av personuppgifter.

Brottsbekämpningen - tre användningsområden

I förslaget framhålls tre användningsområden för PNR-uppgifter i den brottsbekämpande verksamheten.

1. Ta fram de riskkriterier (såsom mönster i bokningar och resrutter) som utgör tecken på vilka passagerare som bör granskas närmare för att utreda misstanke om allvarligt brott.

2. Tillämpa ovan nämnda riskkriterier i realtid för att därigenom kunna identifiera passagerare för närmare kontroll och möjliggöra ingripande på bar gärning eller innan brottsplanen fullbordas. Syftet och ambitionen är att nå hög träffsäkerhet, minska risken för att felaktigt identifiera någon som misstänkt och utesluta misstankar enbart utifrån stereotyper som hudfärg eller medborgarskap.

3. Utreda redan begångna eller pågående allvarliga brott, exempelvis mord, våldtäkt, terroristbrott, narkotikasmuggling och väpnat rån eller identifiering av medgärningsmän i en organisation för människohandel etc.

Integritets- och dataskyddsbestämmelser

Integritets- och dataskyddsbestämmelserna finns på olika platser i förslaget varav de huvudsakliga listas nedan.

- Begränsning av tillämpningsområdet till endast vissa väl definierade allvarliga brott.

- Uppgifterna sparas i totalt fem år varefter de raderas. Efter 30 dagar från inhämtning ska samtliga uppgifter anonymiseras, dvs. uppgifter som avslöjar identitet döljs. Om så behövs i en specifik utredning ska det vara möjligt att tillgå de aktuella personuppgifterna.

- Känsliga personuppgifter (t.ex. sexuell läggning, religiös åskådning, politisk åsikt och sjukdom) ska enligt förslaget omedelbart raderas om det upptäcks att sådana uppgifter finns med vid överföringen från flygtrafikföretaget.

- Automatisk behandling av uppgifterna, såsom sökning mot riskkriterierna, får inte enbart ligga till grund för ett ingripande eller annan åtgärd med negativa följder för den enskilde. För sådant ingripande krävs även manuell kontroll av behörig myndighetspersonal.

- En myndighet/enhet som är ensamt behörig och ansvarig för insamling, analys och hantering av PNR-uppgifter ska inrättas i varje medlemsstat (Passenger Information Unit, PIU).

- PNR-uppgifterna måste sändas över av flygtrafikföretagen till PIU:n (den s.k. push-metoden) för att undvika att myndigheterna har direktåtkomst till flygtrafikföretagens databaser (den s.k. pull-metoden).

- Passagerarna ska erhålla information om att PNR-uppgifter samlas in, för vilka ändamål och vilka möjligheter som finns för rättelse av de egna uppgifterna och skadestånd etc.

- Vidarebefordran av PNR-uppgifter till tredjeland får endast ske i enskilda fall och under vissa begränsande förutsättningar.

- All bearbetning av PNR-uppgifter måste loggas och dokumenteras av PIU:n för att möjliggöra uppföljning.

- Översyn av PIU:ns verksamhet ska genomföras av en behörig dataskyddsmyndighet.

Skillnader från det tidigare rambeslutet

Förslaget till direktiv överensstämmer i stora delar med det tidigare förslaget till rambeslut såsom det såg ut i slutet av förhandlingarna men det finns bl.a. två skillnader som kan noteras särskilt. Spartiden i det tidigare förslaget var 3 år med förlängning i ytterligare 3 till 7 år, dvs. totalt 610 år (nu föreslås 5 år). Den andra skillnaden är att enligt det nya förslaget ska känsliga personuppgifter inte vara tillgängliga under några omständigheter utan raderas omedelbart om de förekommer.

1.3Gällande svenska regler och förslagets effekt på dessa

De brottsbekämpande myndigheterna hanterar redan idag information från flygtrafikföretag för brottsbekämpande ändamål. Tullverket har sedan 1996 rätt att få tillgång till vissa passageraruppgifter från transportföretag om uppgifterna kan antas ha betydelse för Tullverkets brottsbekämpande verksamhet, vilken rätt regleras i tullagen (2000:1281) och i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen. Polisen har sedan 1998 samma rätt att få tillgång till dessa uppgifter från transportföretag, vilken regleras i polislagen (1984:387). Genom lagen (2006:444) om passagerarregister infördes även en möjlighet att med hjälp av automatiserad behandling föra ett passagerarregister i syfte att förbättra gränskontrollerna och bekämpa olaglig invandring samt terrorism. Den lagen tar sikte på uppgift om ankommande passagerare från stat utanför EU och Schengensamarbetet som lämnas vid incheckningen (uppgift om resehandling, medborgarskap, gränsövergångsställe för inresa m.m.).

Insamling, sparande och utbyte av PNR-uppgifter på sätt som nu föreslås, med en särskild ansvarig enhet och beträffande bl.a. omfattning och ändamål, förekommer inte i Sverige idag. Av den ovannämnda lagstiftningen bedöms därför tullagen, polislagen och lagen om passagerarregister påverkas. Vad gäller lagen om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europeiska unionen kan den komma att påverkas men det är i nuläget något oklart.

1.4Budgetära konsekvenser / Konsekvensanalys

Förslaget förutsätter dels utveckling av IT-stöd för informationshantering, dels inrättande av en s.k. PIU, vilka båda innebär kostnader. De slutliga budgetära konsekvenserna av förslaget kan dock inte bedömas med någon säkerhet i detta skede men utgångspunkten är att eventuella ekonomiska konsekvenser ska finansieras inom befintliga ramar.

2Ståndpunkter

2.1Preliminär svensk ståndpunkt

Regeringen välkomnar att kommissionen lagt sitt förslag. Förslaget utgör en grund inför de kommande förhandlingarna.

Sedan ca 15 år har Polisen och Tullverket i Sverige rätt att kräva in uppgifter från transportföretag, inklusive flygtrafikföretag, i sin brottsbekämpande verksamhet. Det har visat sig vara ett viktigt verktyg för att t.ex. kunna upptäcka narkotikasmuggling och utreda andra allvarliga brott. En utgångspunkt är därför att Polisen och Tullverkets förutsättningar för att bekämpa brott inte ska försämras. Samtidigt måste vi kunna garantera den grundläggande rätten till privatliv och uppnå rätt balans i integritetshänseende.

Förslaget till direktiv innebär en annan reglering av tillgången till PNR-uppgifter än vad som nu är fallet i Sverige genom att uppgifterna föreslås sparas hos en särskild enhet och att uppgifterna ska kunna behandlas på ett mer systematiskt sätt. Förslaget bedöms medföra att fler allvarliga brott kan upptäckas och utredas samtidigt som det skulle innebära ökade integritetsintrång.

Det fleråriga Stockholmsprogrammet som anger riktlinjerna för det rättsliga och inrikes samarbetet inom EU anger också att ett förslag om användning av PNR-uppgifter ska presenteras. Avtal föreligger dessutom mellan EU och Australien, Kanada och USA om PNR-uppgifter. Flera länder inom EU har möjligheter att tillgå och behandla PNR-uppgifter för brottsbekämpningsändamål. Det finns många exempel på värdet av tillgången till PNR-uppgifter för att upptäcka och utreda allvarliga brott. Användning av PNR-uppgifter på ett mer systematiskt sätt för att förhindra, upptäcka, utreda och lagföra allvarliga brott inklusive terroristbrott får därför anses etablerat som en effektiv brottsbekämpningsmetod.

Samtidigt ställer förslaget att spara uppgifter hos en särskild enhet, om det skulle genomföras, krav på ett gott integritetsskydd för dessa uppgifter, vilket bl.a. åstadkoms genom ett flertal bestämmelser om åtkomstrestriktioner och kontrollfunktioner.

Rätten till privatliv är inte en absolut rättighet. Intrång i privatlivet får göras men det får endast ske om åtgärden har stöd i lag och är nödvändig i ett demokratiskt samhälle för att uppfylla vissa legitima mål, såsom att bekämpa brott. Åtgärden måste även stå i rimlig proportion till det mål som eftersträvas. Det krävs dessutom att lagen är tillräckligt tydlig för att dess adressater skall kunna rätta sig efter den och att den är förutsägbar. I detta sammanhang står det klart att kommissionens förslag kommer att behöva diskuteras ingående.

Av dessa anledningar och mot denna bakgrund måste särskild uppmärksamhet ägnas åt att nå rätt balans mellan behovet av att bekämpa brott å ena sidan och den grundläggande rätten till privatliv och dataskydd å den andra.

2.2Medlemsstaternas ståndpunkter

De medlemsstater som idag har eller arbetar på att få tillstånd en reglerad tillgång till PNR-uppgifter kan förväntas vara positivt inställda till det huvudsakliga syftet med förslaget. Många medlemsstater får anses ha haft en i grunden positiv inställning till det tidigare förslaget till rambeslut om användning av PNR-uppgifter under reglerade former för att bekämpa allvarliga brott. Flera medlemsstater ser fördelar med att direktivet från början också omfattar och reglerar flygningar inom EU. I Stockholmsprogrammet, som antogs av rådet, uppmanas kommissionen att komma med den typ av förslag om PNR-uppgifter som nu presenterats, vilket är ytterligare en indikation på medlemsstaternas grundläggande inställning.

2.3Institutionernas ståndpunkter

Någon inställning till förslaget från Europaparlamentet, ekonomiska och sociala kommittén eller regionkommittén finns ännu inte. Europaparlamentet har i en resolution fört fram synpunkter på det tidigare förslaget till rambeslut. De synpunkterna gick i huvudsak ut på dels att förslaget på ett tillfredsställande sätt måste beskriva varför sparande och tillgång till uppgifterna är nödvändigt, dels att det måste finnas ett antal uppräknade bestämmelser som ger tillräckligt skydd för den personliga integriteten.

2.4Remissinstansernas ståndpunkter

Förslaget har inte remitterats.

3Förslagets förutsättningar

3.1Rättslig grund och beslutsförfarande

Fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 82.1 d och 87.2 a. De artiklarna anger bl.a. möjlighet att beslut om åtgärder för att underlätta straffrättsligt samarbete mellan rättsliga myndigheter samt föreskriva åtgärder om insamling, sparande, behandling, analys och utbyte av relevant information för att utveckla de brottsbekämpande myndigheternas samarbete inom EU.

Det ordinarie lagstiftningsförfarandet är tillämpligt, vilket innebär att rådet fattar beslut med kvalificerad majoritet och att direktivet antas gemensamt med Europaparlamentet, dvs. Europaparlamentets samtycke krävs.

3.2Subsidiaritets- och proportionalitetsprincipen

Kommissionens förslag till direktiv utgör en övergripande reglering av insamling, sparande, analys och utbyte av PNR-uppgifter inom EU avseende flygtrafik från tredjeland. Direktivet syftar till att få till stånd en enhetlig och rättssäker reglering inom EU av hanteringen av viss information som kan röra EU-medborgare, för att genom ett utvecklat samarbete förbättra möjligheterna att förhindra, upptäcka, utreda och lagföra allvarliga brott. Syftet med direktivet kan endast uppnås på unionsnivå. Enligt regeringens bedömning är därför kommissionens förslag till direktiv förenligt med subsidiaritetsprincipen.

4Övrigt

4.1Fortsatt behandling av ärendet

Medlemsländerna ska förhandla kommissionens förslag till direktiv i rådet. Förhandlingar i rådsarbetsgrupp förväntas påbörjas under mars månad 2011. Efter överenskommelse i rådet måste direktivet även antas av Europaparlamentet.

4.2Fackuttryck/termer

PNR står för Passenger Name Records och är obestyrkta uppgifter som lämnas av flygpassagerare och samlas in av flygtrafikföretag för att kunna göra bokningar och incheckningar. Informationen i bokningssystemen kan innehålla uppgift om t.ex. resedatum, resrutt, namn, telefonnummer, resebyrå, betalningsinformation, platsnummer och bagageinformation.


[1]

EUT C 115, 4.5.2010 s.1.

[2]

EUT L 190, 18.7.2002, s. 1.

[3]

EUT L 164, 22.6.2002 s. 3, med de ändringar som framgår av rambeslut 2008/919/RIF av den 28 november 2008 (EUT L 330, 9.12.2008, s. 21).