Europeiska unionens råd Bryssel den 8 februari 2017 (OR. en) 6086/17 USA 8 RELEX 110 DATAPROTECT 11 DAPIX 41 JAI 100 FÖLJENOT från: Jordi AYET PUIGARNAU, direktör, för Europeiska kommissionens generalsekreterare inkom den: till: 20 januari 2017 Jeppe TRANHOLM-MIKKELSEN, generalsekreterare för Europeiska unionens råd Komm. dok. nr: COM(2017) 29 final Ärende: RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om den gemensamma översynen av genomförandet av avtalet mellan Europeiska unionen och Amerikas förenta stater om behandling och överföring av passageraruppgifter till Förenta staternas Department of Homeland Security För delegationerna bifogas dokument – COM(2017) 29 final. Bilaga: COM(2017) 29 final 6086/17 np DGD 1C SV EUROPEISKA KOMMISSIONEN Bryssel den 19.1.2017 COM(2017) 29 final RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om den gemensamma översynen av genomförandet av avtalet mellan Europeiska unionen och Amerikas förenta stater om behandling och överföring av passageraruppgifter till Förenta staternas Department of Homeland Security {SWD(2017) 14 final} {SWD(2017) 20 final} SV SV RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET om den gemensamma översynen av genomförandet av avtalet mellan Europeiska unionen och Amerikas förenta stater om behandling och överföring av passageraruppgifter till Förenta staternas Department of Homeland Security Inledning Det nu gällande avtalet mellan Amerikas förenta stater (USA) och Europeiska unionen (EU) om användning och överföring av passageraruppgifter till det amerikanska Department of Homeland Security (nedan kallat DHS) trädde i kraft den 1 juli 2012. I avtalet föreskrivs att en första gemensam översyn ska göras ett år efter avtalets ikraftträdande och därefter med jämna mellanrum så som avtalats. Denna gemensamma översyn genomfördes den 1 och 2 juli 2015 i Washington. Det förberedande arbetet inför översynen och den efterföljande rapporten beskrivs i slutet av denna rapport. Syftet med översynen var främst att följa upp de framsteg som gjorts efter rekommendationerna från 2013 i den föregående översynen 1; andra punkter var genomförandet av avtalet, med särskilt beaktande av metoden för överföring av passageraruppgifter samt vidareöverföringen av passageraruppgifter, i enlighet med de relevanta artiklarna i avtalet. Den gemensamma översynen bygger på det förfarande som EU:s och USA:s grupper utarbetade för den första gemensamma översynen av 2004 års avtal om passageraruppgifter, vilken ägde rum i september 2005, och för den gemensamma översynen 2013. Den första delen av förfarandet utgjordes av ett frågeformulär som kommissionen skickade till DHS före den gemensamma översynen. Arbetsdokumentet från kommissionens avdelningar åtföljer denna rapport och är indelat i fem kapitel. Kapitel 1 ger en bakgrund till översynen och presenterar syftet med och förfarandemässiga aspekter av arbetet. Kapitel 2 ger en uppdatering av hur rekommendationerna från översynen 2013 har genomförts. I kapitel 3 presenteras de viktigaste resultaten från den gemensamma översynen 2015 och de punkter som DHS bör åtgärda. I kapitel 4 presenteras en sammanfattning av rekommendationerna från 2015 års översyn. I kapitel 5 presenteras de allmänna slutsatserna av arbetet. Det finns även en bilaga till arbetsdokumentet som innehåller frågeformuläret och DHS svar. Genomförande av rekommendationerna från 2013 Alla rekommendationer från 2013 års översyn har antingen genomförts eller så har förbättringar gjorts och arbetet pågår. 1 Report from the Commission to the European Parliament and the Council and Commission Staff Working Paper on the joint review of the implementation of the Agreement between the European Union and the United States of America on the processing and transfer of Passenger Name Records (PNR) to the United States Department of Homeland Security, 8-9 July 2013. 2 Som en uppföljning av en allmän rekommendation från översynen 2013 gjorde DHS dataskyddskontor en intern granskning av efterlevnaden av dataskyddsbestämmelserna 2 i samband med DHS genomförande av avtalet före den gemensamma översynen 2015. DHS interna granskning gjordes för att fastställa om DHS följer alla normer och påpekanden i avtalet med EU och rapporten offentliggjordes den 26 juni 2015. Den sexmånadersperiod efter vilken passageraruppgifterna ska göras anonyma i enlighet med artikel 8.1 i avtalet inleds nu från och med den dag då passageraruppgifterna läggs in i USA:s system Automated Targeting System (ATS) (den så kallade ATS Load Date), dvs. den första dagen då uppgifterna börjar lagras i ATS, i stället för den praxis som tillämpats tidigare, som försenar tillämpningen av sexmånadersperioden (till den sista uppdateringen av passageraruppgifterna i ATS). I översynen från 2013 rekommenderades också att man så snabbt som möjligt, och senast den 1 juli 2014, ska övergå till sändmetoden i enlighet med artikel 15.4 i avtalet. Vid översynen 2015 lämnade fyra lufttrafikföretag fortfarande inte passageraruppgifter via sändmetoden. DHS hjälpte dem att utveckla sin kapacitet att använda sändmetoden. Vid översynen 2013 rekommenderades att DHS i enlighet med artikel 18 skulle förbättra förfarandet som syftar till att informera EU:s medlemsstater om ett utbyte av EU:s passageraruppgifter sker mellan DHS och tredjeländer. Som svar på detta har USA:s tull- och gränsskyddsmyndighet haft en sambandsman utstationerad hos Europol sedan juli 2014. När sambandsmannen identifierar en utpekad passagerare med anknytning till en medlemsstat meddelar han detta i en rapport till medlemsstaternas företrädare. Förbättringar har också gjorts vad gäller genomförandet av artikel 13, som gäller möjligheterna till rättslig prövning för enskilda. I översynen från 2013 rekommenderades större insyn för passagerarna vad gäller möjligheterna till rättslig prövning enligt amerikansk lagstiftning. Det är positivt att DHS Traveller Redress Inquiry Program (TRIP) är den enda kontaktpunkten för allmänheten. USA bör dock fortsätta att undersöka alla nödvändiga åtgärder för att se till att alla passagerare informeras om de möjligheter som står till buds för en rättslig prövning. Rekommendationer från 2015 års översyn EU-gruppen konstaterar att DHS fortsatt har tillämpat avtalet i enlighet med avtalsvillkoren. DHS fullgör sina skyldigheter när det gäller passagerarnas rätt att få åtkomst till uppgifterna och man har en övervakningsmekanism som skyddar mot olaglig diskriminering. Kommissionen välkomnar också det fortsatta arbetet för att säkerställa ömsesidighet och aktiv delning av analytisk information som erhållits från passageraruppgifter med medlemsstaterna och, i förekommande fall, med Europol och Eurojust. Reglerna för avidentifiering och radering av känsliga uppgifter respekteras och DHS har förklarat att man aldrig har tagit fram känsliga uppgifter för operativa ändamål. DHS uppfyller också fortsatt sina åtaganden i fråga om passagerarnas rättigheter, särskilt när det gäller att tillhandahålla lämplig information till passagerarna och att tillämpa rätten till 2 Översyn av efterlevnaden av dataskyddsbestämmelserna - Report on the use and transfer of passenger name records between the European Union and the United States, DHS dataskyddskontor, 26 juni 2015. http://www.dhs.gov/sites/default/files/publications/privacy_pcr_pnr_review_06262015.pdf. 3 åtkomst till egna personuppgifter utan undantag, såsom föreskrivs i artiklarna 11, 12 och 13. Antagandet av lagen om rättslig prövning (Judicial Redress Act) 2015 efter det att den gemensamma översynen ägde rum är en välkommen utveckling. DHS hanterar utbyte av uppgifter med andra interna organ i enlighet med avtalet. Utbyte sker från fall till fall på grundval av skriftliga överenskommelser, och registreras. Utbyte av uppgifter med tredjeländer tolkas strikt och sker också i enlighet med avtalet. USA tillämpar samma krav på skydd av personuppgifter på alla passageraruppgifter som man samlar in och behandlar, oavsett om uppgifterna har sitt ursprung inom eller utanför EU. Vissa förändringar krävs emellertid fortfarande, trots det positiva genomförandet av avtalet. I artikel 2 föreskrivs att avtalets tillämpningsområde omfattar flygningar med förbindelse till USA. Användningen av en möjlighet till åsidosättande för att få åtkomst till passageraruppgifter utan koppling till USA är föremål för en rad villkor och sker under tillsyn. Antalet åsidosättanden har ökat sedan 2013 års översyn och för att bättre kunna förstå varför de sker måste DHS ge en detaljerad redogörelse för skälen till att denna möjlighet har utnyttjats. När det gäller artikel 5 har antalet medarbetare med rätt till åtkomst till passageraruppgifter ökat sedan den senaste översynen 2013. EU-gruppen är nöjd med de tillsynsmekanismer som införts, men DHS uppmanas att fortsätta att övervaka antalet medarbetare med åtkomsträttigheter till passageraruppgifter för att se till att bara personer med ett operativt behov av att använda och se uppgifterna kan göra detta. När det gäller artikel 6 har ingen åtkomst givits till känsliga uppgifter under den period som omfattas av denna översyn. Enligt DHS regler ska DHS lämna information om all sådan åtkomst till kommissionen inom 48 timmar, om DHS personal får åtkomst till känsliga uppgifter. Det rekommenderas att DHS regelbundet bör se över förteckningen över koder för känsliga uppgifter för att säkerställa att eventuella känsliga uppgifter automatiskt blockeras av systemet. Eventuella ändringar bör meddelas kommissionen. DHS använder automatiserade processer för att maskera alla uppgifter som kan användas för att identifiera den passagerare som passageraruppgifterna avser efter de första sex månaderna. Detta är i överensstämmelse med artikel 8 i avtalet. Översynen visade dock att antalet passageraruppgifter med koppling till brottsbekämpning, och som därför inte omfattas av maskering, är högt. DHS rekommenderas att närmare undersöka varför siffran är så hög och att även se till att passageraruppgifter som inte längre behövs maskeras, anonymiseras eller raderas så snart som möjligt. Det är positivt att DHS har följt rekommendationen från 2013 års översyn och säkerställer att DHS-användaren nu måste motivera varför passageraruppgifter inte är maskerade. DHS följer artikel 11 i avtalet genom att inte neka passagerare tillgång till deras uppgifter. Svarstiderna har ökat sedan den senaste översynen 2013 och DHS bör undersöka om dessa svarstider kan reduceras. Enligt artikel 15 fortsätter DHS att stödja och uppmuntra alla lufttrafikföretag som ännu inte gjort detta att utveckla sin kapacitet att använda sändmetoden. Även om det ligger utanför tidsramen för översynen är det positivt att DHS nu har utökat användningen av sändmetoden till alla flygbolag som omfattades av avtalets tillämpningsområde vid tidpunkten för den gemensamma översynen. 4 När det gäller artiklarna 16 och 18 bör DHS lämna ytterligare upplysningar om exakt vilka uppgifter som samlas in enligt dessa bestämmelser och vara i stånd att lämna ytterligare upplysningar om uppgifter som har delats med andra amerikanska myndigheter och polismyndigheter, brottsbekämpande myndigheter och rättsliga organ inom EU. För framtida översyner och utvärdering bör DHS se till att alla fakta och siffror samlas in på ett konsekvent sätt så att direkta jämförelser blir möjliga. När EU-gruppen tog fram den här rapporten använde man information från DHS svar på EU:s frågeformulär, information från diskussioner med DGS personal, information från ovannämnda rapport från DHS dataskyddskontor samt information från andra allmänt tillgängliga dokument från DHS. Förberedande arbete inför den gemensamma översynen och efterföljande rapport • • • • • • • • • Den 8 maj 2015 skickade kommissionen ett frågeformulär till DHS, inför den gemensamma översynen. Frågeformuläret innehöll frågor om DHS genomförande av avtalet. Den 12 juni 2015 lämnade DHS sina skriftliga svar på frågeformuläret. Kommissionen kontaktade också alla medlemsstater för att få veta om de hade några kontakter med USA beträffande passageraruppgifter. Den 1–2 juli 2015 genomförde EU-gruppen besöket för den gemensamma översynen och fick tillgång till DHS lokaler. Man besökte DHS National Targeting Center (NTC) och hade möjlighet att se centrumet i drift. DHS dataskyddskontor offentliggjorde sin rapport om användning och överföring av passageraruppgifter mellan EU och USA den 26 juni 2015. EU-gruppen fick därmed tyvärr inte tillräckligt med tid på sig för att kunna analysera rapporten i sin helhet före besöket. EU-gruppen analyserade sedan dataskyddskontorets rapport i efterhand och ställde följdfrågor för att kunna färdigställa rapporten om den gemensamma översynen. Efter besöket lämnade DHS skriftligen ytterligare upplysningar som EU-gruppen bett om under besöket. Dessa upplysningar användes sedan som ytterligare underlag när rapporten utarbetades. Den 25 september 2015 bekräftade DHS att alla lufttrafikföretag som tillhandahåller passageraruppgifter enligt avtalet hade börjat använda sändmetoden för överföring av passageraruppgifter till USA. Den 21 januari 2016 lade kommissionen fram ett utkast till rapport för övriga medlemmar i EU-gruppen. Efter det att kommentarerna från övriga medlemmar i EU-gruppen förts in i utkastet till rapport lade kommissionen fram utkastet till rapport för USA under ett möte mellan högre tjänstemän i Washington D.C. den 17 mars 2016. På så sätt fick DHS möjlighet att identifiera och kommentera eventuella felaktiga uppgifter eller uppgifter som inte kan lämnas ut till allmänheten. DHS lämnade därefter in en uppdaterad version av frågeformuläret och informella synpunkter på utkastet till rapport, som EU-gruppen träffades för att diskutera den 9 juni 2016. 5 • Utkastet till rapport diskuterades vidare av kommissionen och DHS, bl.a. vid ett möte mellan högre tjänstemän i Washington D.C. den 14 juli 2016. I augusti 2016 underrättade kommissionen DHS om att DHS, om de fortfarande hade någon avvikande mening eller ville lägga till någonting i rapporten, kunde lämna skriftliga synpunkter som i så fall skulle bifogas rapporten enligt artikel 23.3 i avtalet. 6
© Copyright 2024