Terroristattackerna i USA 2001, Madrid 2004 och London 2005 har lett till nya initiativ för att förbättra säkerheten. Senare händelser som försöken till attentat på Times Square i New York 2010 och på ett flygplan juldagen 2009 visar att hotet från terrorismen inte har upphört. Dessutom har den internationella organiserade brottsligheten ökat, särskilt narkotika- och människohandeln. Därför har brottsbekämpande myndigheter i flera olika länder, inklusive Australien, Kanada och USA, börjat samla in och analysera flygpassageraruppgifter, s.k. PNR-uppgifter, för att kunna bekämpa terrorism och grov gränsöverskridande brottslighet.
Kommissionen presenterade i januari 2003 en övergripande EU-strategi för överföring av PNR-uppgifter. Mot den bakgrunden har EU slutit avtal om användningen av PNR-uppgifter med USA, Australien och Kanada. Avtalen tillämpas för närvarande provisoriskt och istället för att låta dem vara ikraft tillsvidare föreslås att EU förhandlar fram tre nya bättre avtal.
Kommissionens syfte med det nu aktuella meddelandet är att presentera en EU-strategi med allmänna principer som ska utgöra grunden för framtida förhandlingar med tredjeländer om överföring av PNR-uppgifter. Meddelandet innehåller skäl till varför brottsbekämpande myndigheter bör ha en reglerad tillgång till PNR-uppgifter och vilka kriterier som ska tillämpas för att skydda rätten till privatliv, skydda uppgifterna från otillbörlig användning och kriterier för översyn etc. Meddelandet anger inga exakta tider för lagring eller detaljerade översynsmekanismer. De angivna principerna, normerna och kriterierna ska återspeglas i de förhandlingsdirektiv som tas fram inför förhandlingarna och slutligen i avtalen.
Regeringen välkomnar kommissionens meddelande vilket sätter en bra ram och fastställer principer som utgör en god grund för EU:s arbete framöver.
Den 16 januari 2003 presenterade kommissionen sitt meddelande Överföring av flygpassagerares PNR-uppgifter: En övergripande EU-strategi, KOM (2003) 826. Därefter presenterade kommissionen även ett förslag till rambeslut om användning av flygpassageraruppgifter inom EU för brottsbekämpande ändamål. Det rambeslutet förhandlades i rådet fram till att Lissabonfördraget trädde ikraft i december 2009. Efter att Lissabonfördraget trädde ikraft drog kommissionen tillbaka förslaget till rambeslut för att kunna återkomma med ett nytt förslag som vilar på en annan rättslig grund enligt det nya fördraget. Kommissionen har ännu inte presenterat något nytt förslag avseende hanteringen av PNR-uppgifter inom EU.
I det 5-åriga Stockholmsprogrammet1 om rättsliga och inrikes frågor, som antogs i december 2009 under Sveriges EU-ordförandeskap, uppmanas kommissionen att presentera förslag som säkerställer EU:s höga krav på dataskydd vid brottsbekämpande myndigheters hantering av PNR-uppgifter för att hindra, upptäcka, utreda och lagföra grov brottslighet.
I syfte att skapa tillräckligt dataskydd och reglera översändandet av PNR-uppgifter har EU slutit avtal med Kanada i oktober 2005, med USA i juli 2007 och med Australien i juni 2008. De tre avtalen har olika lydelser. Mot denna bakgrund, för att skapa enhetlighet och stärka regleringen har kommissionen den 22 september 2010 beslutat om ett meddelande med en övergripande strategi när det gäller överföring av PNR-uppgifter till tredjeland.
Huvudsyftet med kommissionens meddelande är att presentera och fastställa ett antal principer som ska utgöra grunden för framtida förhandlingar om PNR-avtal med tredjeländer. Meddelandet kan delas in i fem delar; användningen av PNR-uppgifter, varför det är ett nödvändigt verktyg, motiven bakom strategin, de grundläggande principerna och slutligen en framåtblickande sammanfattning.
Användningen av PNR-uppgifter
Kommissionen framhåller att PNR-uppgifter har använts i ca 60 år för att bekämpa grov brottslighet. För det första kan uppgifterna användas för brottsutredningar, lagföring och upplösning av kriminella nätverk. Därför behöver uppgifterna lagras en viss tid så att de brottsbekämpande myndigheterna kan gå tillbaka till tiden för brottet och dessförinnan. För det andra används uppgifterna för att hindra brott innan de begås eller under tiden de begås genom att avläsa riskindikatorer eller t.ex. jämföra med uppgifter om efterlysta personer. För det tredje kan uppgifterna användas för att fastställa sådana rese- och beteendemönster som senare kan användas för analys i realtid. Även av den anledningen behöver uppgifterna sparas under viss tid.
Ett nödvändigt verktyg
Internationell brottslighet inklusive terrorism utgör ett allvarligt hot mot samhället. Kommissionen framhåller att det hotet måste bemötas med olika åtgärder, t.ex. anges att tillgång till och analys av PNR-uppgifter är nödvändigt ur brottsbekämpningsperspektiv. Ny teknik utnyttjas för att planera, förbereda och utföra brott. Den tekniska utvecklingen har samtidigt möjliggjort analys och tillgång till PNR-uppgifter på ett helt annat sätt än tidigare. De brottbekämpande myndigheterna behöver kunna hantera den snabba ökningen av internationellt resande för att underlätta och påskynda gräns- och säkerhetskontrollerna. Dessutom bör de brottsbekämpande myndigheterna fokusera på de passagerare som utgör en säkerhetsrisk utifrån vad som kan bedömas av ett faktaunderlag, istället för att utgå från bedömningar som grundar sig på instinkt och förutfattade stereotyper eller otillbörliga profiler.
Motiven bakom strategin
EU har en skyldighet både mot sig självt och mot tredjeländer att samarbeta för att bekämpa hotet från terrorismen och annan grov gränsöverskridande brottslighet. Detta framgår även av Stockholmsprogrammet och EU:s övergripande strategi mot terrorism från 20052. EU har också föresatt sig att säkerställa en hög och välfungerande skyddsnivå för personuppgifter, inklusive de som överförs till tredjeland. Enligt EU:s dataskyddslagstiftning är det inte tillåtet för flygtrafikbolagen att överföra PNR-uppgifter till länder som inte kan garantera en tillräcklig skyddsnivå. Syftet med de tidigare avtalen har därför varit att garantera en tillräcklig skyddsnivå samtidigt som det innebar ett erkännande av att PNR-uppgifter är ett nödvändigt och viktigt redskap i kampen mot terrorism och annan grov brottslighet. Vidare är det viktigt att det skapas rättslig förutsebarhet och enhetlig tillämpning, inte minst för flygtrafikbolagen. Den enhetliga tillämpningen kan sedan leda till en mer harmoniserad multilateral strategi. Slutligen ges bättre möjlighet för de rättsvårdande myndigheterna att inrikta sig på de som identifierats vara av intresse och samtidigt underlätta det internationella resandet.
Principerna om skydd för privatlivet och dataskydd
Insamling och överföring av PNR-uppgifter påverkar ett stort antal människor. Kommissionen understryker därför att det är särskilt viktigt att det finns ett välfungerande skydd av dessa personuppgifter. De grundläggande rättigheterna fastställs i den europeiska konventionen om de mänskliga rättigheterna och i EU:s stadga om de grundläggande rättigheterna. Dessa gäller alla människor oavsett bosättningsort och medborgarskap. Ytterligare normer för skydd av uppgifter finns i Europarådets konvention nr 108 från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter och dess tillägg från 2001. Varje inskränkning i dessa rättigheter och friheter ska vara föreskriven i lag och förenlig med det väsentliga innehållet i rättigheterna och friheterna. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot ett allmänintresse som tillerkänns av EU eller behovet av att skydda andra människors rättigheter och friheter. En tillräcklig skyddsnivå för personuppgifter kan antingen redan finnas i tredjelands nationella lagstiftning eller så krävs bindande åtaganden i ett internationellt avtal.
Det tredjeland som begär överföring av PNR-uppgifter ska respektera följande grundläggande principer:
- Ändamålen för användningen ska vara klart och uttryckligen begränsade och inte vara mer omfattande än nödvändigt för att uppnå de i förväg bestämda ändamålen; att bekämpa terrorism och annan grov brottslighet.
- Definition av terroristbrott och annan grov brottslighet ska ske på grundval av relevanta EU-regelverk.
- Uppgiftskategorierna ska begränsas till ett minimum och anges i en uttömmande förteckning.
- Särskilt känsliga uppgifter får inte användas, utom i undantagsfall då det föreligger omedelbar livsfara.
- Uppgifterna måste skyddas från missbruk och olovlig åtkomst.
- Det ska finnas ett system för oberoende tillsyn och möjligheter till ingripande vid felaktig hantering eller klagomål.
- Det ska finnas möjlighet för enskild att få tillgång till samt rättelse och borttagning av sina egna uppgifter.
- Enskilda ska ha möjlighet till effektiv administrativ och rättslig prövning om privatlivet kränkts eller bestämmelser överträtts.
- Ett negativt beslut för en enskild får inte grunda sig enbart på en automatisk databehandling av PNR-uppgifter.
- Lagringstiden för PNR-uppgifterna får inte vara längre än vad som är nödvändigt. Tillgången till uppgifterna kan begränsas gradvis över tid t.ex. genom avidentifiering.
- Vidareöverföring av uppgifterna får endast ske för de i förväg bestämda ändamålen om brottsbekämpning och endast till de behöriga myndigheter som kan erbjuda samma skyddsnivå som mottagande myndighet enligt avtalet. Uppgifterna får endast lämnas från fall till fall. Det ska inte kunna gå att kringgå avtalets skyddsbestämmelser när uppgifter sänds vidare till ett annat land.
- För att flygtrafikföretagen ska kunna skydda sina uppgifter ska uppgifterna tillhandahållas genom ett system som innebär att de sänds till behöriga myndigheter (ett s.k. push-system).
- Ett tredjeland ska endast kunna begära ett rimligt antal överföringar från flygtrafikföretag.
- Det ska inte finnas skyldighet för flygtrafikföretagen att samla in ytterligare uppgifter än vad de gör inom ramen för sin affärsverksamhet.
- Villkoren för samarbetet mellan EU och tredjeland ska kunna ses över när så anses lämpligt.
- EU måste ha mekanismer för att övervaka att avtalet genomförs på ett korrekt sätt, bl.a. genom regelbundna översyner. Resultatet av varje översyn bör läggas fram för rådet och Europaparlamentet.
- Det ska införas effektiva mekanismer för att lösa tvister om tolkningen av avtalen.
- Ömsesidighet i informationsutbytet måste säkerställas.
Framåtblickande sammanfattning
Enligt kommissionen bör EU överväga att inleda diskussioner med ytterligare länder som antingen redan använder eller planerar att använda PNR-uppgifter, i syfte att undersöka om det finns grund för att hantera frågan om överföring av PNR-uppgifter på multilateral nivå.
Dessa principer kommer enligt kommissionen att leda till bättre samstämmighet mellan PNR-avtalen och samtidigt säkerställa respekten för de grundläggande rättigheterna om skydd för privatliv och personuppgifter.
Genom lagen (2006:444) om passagerarregister infördes en möjlighet att med hjälp av automatiserad behandling föra ett passagerarregister i syfte att förbättra gränskontrollerna och bekämpa den olagliga invandringen samt terrorismen. De brottsbekämpande myndigheterna hanterar redan idag information från flygtrafikföretag också för andra brottsbekämpande ändamål än terroristbrott och olaglig invandring. Polisen samarbetar med flygbolagen i brottsutredningar. Tullverket har sedan 1996 rätt att få tillgång till uppgifter från transportföretag, vilken regleras i tullagen (2000:1281) och i lagen (1996:701) om Tullverkets befogenheter vid Sveriges gräns mot ett annat land inom Europiska Unionen.
Meddelandet är en övergripande strategi och innebär inte i sig någon effekt på gällande svenska regler. Preliminärt bedöms att eventuella avtal i enlighet med strategin inte kommer att innebära effekter på gällande svenska regler. Det är dock svårt att idag i närmare detalj avgöra vilka effekter framtida avtal kan medföra.
Meddelandet i sig innebär inte några budgetära konsekvenser. De slutliga budgetära konsekvenserna av förslag som ges i anledning av meddelandet kan inte avgöras med någon säkerhet i detta skede, men bedöms kunna finansieras inom befintliga ramar.
Regeringen välkomnar att kommissionen tar ett helhetsgrepp om frågan och presenterar en övergripande strategi för flygtrafikföretags översändande av PNR-uppgifter till länder utanför EU.
Användningen av PNR-uppgifter har visat sig vara ett mycket effektivt hjälpmedel för att hindra, upptäcka och utreda grov gränsöverskridande brottslighet.
Samtidigt innebär översändande, lagring och tillgång till PNR-uppgifter intrång i den personliga integriteten. Kommissionens strategi ger en bra ram för hur arbetet bör bedrivas framöver och principerna däri utgör en god grund för hur EU ska kunna garantera ett fullgott integritetsskydd.
Det är nödvändigt att rådet noggrant överväger de fördelar och nackdelar som finns avseende behandling av PNR-uppgifter i brottsbekämpande syfte innan det fattar några beslut om avtal på området.
I de kommande förhandlingarna verkar regeringen för en väl avvägd balans mellan behovet av tillgång till PNR-uppgifter för att kunna bekämpa grova brott, inklusive terrorism, och respekten för de grundläggande rättigheterna, särskilt den personliga integriteten. Regeringen kommer därför fortsatt bevaka frågan för att uppnå både bibehållen respekt för privatlivet och den brottsbekämpning som kan krävas för att skydda andra människors rättigheter och friheter.
Kommissionen ansvarar för innehållet i meddelandet och det är inte föremål för förhandling. Medlemsstaterna är positiva till att PNR-uppgifter används för att bekämpa terrorism och annan grov brottslighet. De är även i huvudsak positiva till de principer som kommissionen satt upp. Överlag kan finnas något olika inställning hos medlemsstaterna avseende detaljerna i regler för användningsbegränsning, dataskydd och översynsmekanismer etc.
Europaparlamentet har i sin resolution av den 5 maj 2010 efterfrågat denna form av övergripande strategi för användning av PNR-uppgifter i brottsbekämpande syfte och principer som ska ligga till grund för framtida avtal med tredjeland. De krav Europaparlamentet framfört får anses i huvudsak ha tagits omhand i kommissionens meddelande och strategi.
Kommissionens meddelande har inte remitterats.
Kommissionens avsikt är att eventuella avtal i enlighet med strategin ska grunda sig på artiklarna 82, 87 och 218 i Fördraget om den Europeiska unionens funktionssätt, dvs. det ordinarie lagstiftningsförfarandet för att åstadkomma straffrättsligt- och polissamarbete.
Kommissionens meddelande utgör den övergripande strategi med grundläggande principer som ska återspeglas i framtida avtal mellan EU och tredjeland. Avtalen syftar till att få till stånd en enhetlig och rättssäker reglering mellan EU och tredjeland av hanteringen av information som kan röra EU-medborgare. Syftet med avtalen kan endast uppnås på unionsnivå. Kommissionens strategi är således förenlig med subsidiaritetsprincipen.
Kommissionen ska presentera förslag till förhandlingsdirektiv för att kunna inleda förhandlingar med Australien, USA och Kanada. Rådet ska därefter förhandla och besluta om dessa direktiv. Efter att kommissionen av rådet erhållit mandat att inleda förhandlingar och direktiv för dess genomförande påbörjas förhandlingarna mellan EU och dessa tre länder. När kommissionen avlutat förhandlingarna ska avtalen godkännas av rådet och av Europaparlamentet innan de kan antas slutligt. I framtiden kan det enligt kommissionen komma att bli aktuellt med förhandlingar om PNR-avtal med ytterligare länder utanför EU.
PNR står för Passenger Name Records och är obestyrkta uppgifter som lämnas av flygpassagerare och samlas in av flygtrafikföretag för att kunna göra bokningar och incheckningar. Informationen i bokningssystemen kan innehålla uppgift om t.ex. resedatum, resrutt, namn, telefonnummer, resebyrå, betalningsinformation, platsnummer och bagageinformation.
[1] | EUT C 115, 4.5.2010 s.1. |
[2] | Rådets dokumentnummer 14469/4/05 av den 30 november 2005. |