COM(2017) 29 final

Europeiska
unionens råd
Bryssel den 8 februari 2017
(OR. en)
6086/17
USA 8
RELEX 110
DATAPROTECT 11
DAPIX 41
JAI 100
FÖLJENOT
från:
Jordi AYET PUIGARNAU, direktör, för Europeiska kommissionens
generalsekreterare
inkom den:
till:
20 januari 2017
Jeppe TRANHOLM-MIKKELSEN, generalsekreterare för Europeiska
unionens råd
Komm. dok. nr:
COM(2017) 29 final
Ärende:
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH
RÅDET om den gemensamma översynen av genomförandet av avtalet
mellan Europeiska unionen och Amerikas förenta stater om behandling och
överföring av passageraruppgifter till Förenta staternas Department of
Homeland Security
För delegationerna bifogas dokument – COM(2017) 29 final.
Bilaga: COM(2017) 29 final
6086/17
np
DGD 1C
SV
EUROPEISKA
KOMMISSIONEN
Bryssel den 19.1.2017
COM(2017) 29 final
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET
om den gemensamma översynen av genomförandet av avtalet mellan Europeiska
unionen och Amerikas förenta stater om behandling och överföring av
passageraruppgifter till Förenta staternas Department of Homeland Security
{SWD(2017) 14 final}
{SWD(2017) 20 final}
SV
SV
RAPPORT FRÅN KOMMISSIONEN TILL EUROPAPARLAMENTET OCH RÅDET
om den gemensamma översynen av genomförandet av avtalet mellan Europeiska
unionen och Amerikas förenta stater om behandling och överföring av
passageraruppgifter till Förenta staternas Department of Homeland Security
Inledning
Det nu gällande avtalet mellan Amerikas förenta stater (USA) och Europeiska unionen (EU)
om användning och överföring av passageraruppgifter till det amerikanska Department of
Homeland Security (nedan kallat DHS) trädde i kraft den 1 juli 2012.
I avtalet föreskrivs att en första gemensam översyn ska göras ett år efter avtalets
ikraftträdande och därefter med jämna mellanrum så som avtalats. Denna gemensamma
översyn genomfördes den 1 och 2 juli 2015 i Washington. Det förberedande arbetet inför
översynen och den efterföljande rapporten beskrivs i slutet av denna rapport. Syftet med
översynen var främst att följa upp de framsteg som gjorts efter rekommendationerna från
2013 i den föregående översynen 1; andra punkter var genomförandet av avtalet, med särskilt
beaktande av metoden för överföring av passageraruppgifter samt vidareöverföringen av
passageraruppgifter, i enlighet med de relevanta artiklarna i avtalet.
Den gemensamma översynen bygger på det förfarande som EU:s och USA:s grupper
utarbetade för den första gemensamma översynen av 2004 års avtal om passageraruppgifter,
vilken ägde rum i september 2005, och för den gemensamma översynen 2013. Den första
delen av förfarandet utgjordes av ett frågeformulär som kommissionen skickade till DHS före
den gemensamma översynen.
Arbetsdokumentet från kommissionens avdelningar åtföljer denna rapport och är indelat i fem
kapitel. Kapitel 1 ger en bakgrund till översynen och presenterar syftet med och
förfarandemässiga aspekter av arbetet. Kapitel 2 ger en uppdatering av hur
rekommendationerna från översynen 2013 har genomförts. I kapitel 3 presenteras de
viktigaste resultaten från den gemensamma översynen 2015 och de punkter som DHS bör
åtgärda. I kapitel 4 presenteras en sammanfattning av rekommendationerna från 2015 års
översyn. I kapitel 5 presenteras de allmänna slutsatserna av arbetet. Det finns även en bilaga
till arbetsdokumentet som innehåller frågeformuläret och DHS svar.
Genomförande av rekommendationerna från 2013
Alla rekommendationer från 2013 års översyn har antingen genomförts eller så har
förbättringar gjorts och arbetet pågår.
1
Report from the Commission to the European Parliament and the Council and Commission Staff
Working Paper on the joint review of the implementation of the Agreement between the European
Union and the United States of America on the processing and transfer of Passenger Name Records
(PNR) to the United States Department of Homeland Security, 8-9 July 2013.
2
Som en uppföljning av en allmän rekommendation från översynen 2013 gjorde DHS
dataskyddskontor en intern granskning av efterlevnaden av dataskyddsbestämmelserna 2 i
samband med DHS genomförande av avtalet före den gemensamma översynen 2015. DHS
interna granskning gjordes för att fastställa om DHS följer alla normer och påpekanden i
avtalet med EU och rapporten offentliggjordes den 26 juni 2015.
Den sexmånadersperiod efter vilken passageraruppgifterna ska göras anonyma i enlighet med
artikel 8.1 i avtalet inleds nu från och med den dag då passageraruppgifterna läggs in i USA:s
system Automated Targeting System (ATS) (den så kallade ATS Load Date), dvs. den första
dagen då uppgifterna börjar lagras i ATS, i stället för den praxis som tillämpats tidigare, som
försenar tillämpningen av sexmånadersperioden (till den sista uppdateringen av
passageraruppgifterna i ATS).
I översynen från 2013 rekommenderades också att man så snabbt som möjligt, och senast den
1 juli 2014, ska övergå till sändmetoden i enlighet med artikel 15.4 i avtalet. Vid översynen
2015 lämnade fyra lufttrafikföretag fortfarande inte passageraruppgifter via sändmetoden.
DHS hjälpte dem att utveckla sin kapacitet att använda sändmetoden.
Vid översynen 2013 rekommenderades att DHS i enlighet med artikel 18 skulle förbättra
förfarandet som syftar till att informera EU:s medlemsstater om ett utbyte av EU:s
passageraruppgifter sker mellan DHS och tredjeländer. Som svar på detta har USA:s tull- och
gränsskyddsmyndighet haft en sambandsman utstationerad hos Europol sedan juli 2014. När
sambandsmannen identifierar en utpekad passagerare med anknytning till en medlemsstat
meddelar han detta i en rapport till medlemsstaternas företrädare.
Förbättringar har också gjorts vad gäller genomförandet av artikel 13, som gäller
möjligheterna till rättslig prövning för enskilda. I översynen från 2013 rekommenderades
större insyn för passagerarna vad gäller möjligheterna till rättslig prövning enligt amerikansk
lagstiftning. Det är positivt att DHS Traveller Redress Inquiry Program (TRIP) är den enda
kontaktpunkten för allmänheten. USA bör dock fortsätta att undersöka alla nödvändiga
åtgärder för att se till att alla passagerare informeras om de möjligheter som står till buds för
en rättslig prövning.
Rekommendationer från 2015 års översyn
EU-gruppen konstaterar att DHS fortsatt har tillämpat avtalet i enlighet med avtalsvillkoren.
DHS fullgör sina skyldigheter när det gäller passagerarnas rätt att få åtkomst till uppgifterna
och man har en övervakningsmekanism som skyddar mot olaglig diskriminering.
Kommissionen välkomnar också det fortsatta arbetet för att säkerställa ömsesidighet och aktiv
delning av analytisk information som erhållits från passageraruppgifter med medlemsstaterna
och, i förekommande fall, med Europol och Eurojust. Reglerna för avidentifiering och
radering av känsliga uppgifter respekteras och DHS har förklarat att man aldrig har tagit fram
känsliga uppgifter för operativa ändamål.
DHS uppfyller också fortsatt sina åtaganden i fråga om passagerarnas rättigheter, särskilt när
det gäller att tillhandahålla lämplig information till passagerarna och att tillämpa rätten till
2
Översyn av efterlevnaden av dataskyddsbestämmelserna - Report on the use and transfer of passenger
name records between the
European Union and the United States, DHS dataskyddskontor, 26 juni 2015.
http://www.dhs.gov/sites/default/files/publications/privacy_pcr_pnr_review_06262015.pdf.
3
åtkomst till egna personuppgifter utan undantag, såsom föreskrivs i artiklarna 11, 12 och 13.
Antagandet av lagen om rättslig prövning (Judicial Redress Act) 2015 efter det att den
gemensamma översynen ägde rum är en välkommen utveckling.
DHS hanterar utbyte av uppgifter med andra interna organ i enlighet med avtalet. Utbyte sker
från fall till fall på grundval av skriftliga överenskommelser, och registreras. Utbyte av
uppgifter med tredjeländer tolkas strikt och sker också i enlighet med avtalet. USA tillämpar
samma krav på skydd av personuppgifter på alla passageraruppgifter som man samlar in och
behandlar, oavsett om uppgifterna har sitt ursprung inom eller utanför EU.
Vissa förändringar krävs emellertid fortfarande, trots det positiva genomförandet av avtalet. I
artikel 2 föreskrivs att avtalets tillämpningsområde omfattar flygningar med förbindelse till
USA. Användningen av en möjlighet till åsidosättande för att få åtkomst till
passageraruppgifter utan koppling till USA är föremål för en rad villkor och sker under
tillsyn. Antalet åsidosättanden har ökat sedan 2013 års översyn och för att bättre kunna förstå
varför de sker måste DHS ge en detaljerad redogörelse för skälen till att denna möjlighet har
utnyttjats.
När det gäller artikel 5 har antalet medarbetare med rätt till åtkomst till passageraruppgifter
ökat sedan den senaste översynen 2013. EU-gruppen är nöjd med de tillsynsmekanismer som
införts, men DHS uppmanas att fortsätta att övervaka antalet medarbetare med
åtkomsträttigheter till passageraruppgifter för att se till att bara personer med ett operativt
behov av att använda och se uppgifterna kan göra detta.
När det gäller artikel 6 har ingen åtkomst givits till känsliga uppgifter under den period som
omfattas av denna översyn. Enligt DHS regler ska DHS lämna information om all sådan
åtkomst till kommissionen inom 48 timmar, om DHS personal får åtkomst till känsliga
uppgifter. Det rekommenderas att DHS regelbundet bör se över förteckningen över koder för
känsliga uppgifter för att säkerställa att eventuella känsliga uppgifter automatiskt blockeras av
systemet. Eventuella ändringar bör meddelas kommissionen.
DHS använder automatiserade processer för att maskera alla uppgifter som kan användas för
att identifiera den passagerare som passageraruppgifterna avser efter de första sex månaderna.
Detta är i överensstämmelse med artikel 8 i avtalet. Översynen visade dock att antalet
passageraruppgifter med koppling till brottsbekämpning, och som därför inte omfattas av
maskering, är högt. DHS rekommenderas att närmare undersöka varför siffran är så hög och
att även se till att passageraruppgifter som inte längre behövs maskeras, anonymiseras eller
raderas så snart som möjligt. Det är positivt att DHS har följt rekommendationen från 2013
års översyn och säkerställer att DHS-användaren nu måste motivera varför
passageraruppgifter inte är maskerade.
DHS följer artikel 11 i avtalet genom att inte neka passagerare tillgång till deras uppgifter.
Svarstiderna har ökat sedan den senaste översynen 2013 och DHS bör undersöka om dessa
svarstider kan reduceras.
Enligt artikel 15 fortsätter DHS att stödja och uppmuntra alla lufttrafikföretag som ännu inte
gjort detta att utveckla sin kapacitet att använda sändmetoden. Även om det ligger utanför
tidsramen för översynen är det positivt att DHS nu har utökat användningen av sändmetoden
till alla flygbolag som omfattades av avtalets tillämpningsområde vid tidpunkten för den
gemensamma översynen.
4
När det gäller artiklarna 16 och 18 bör DHS lämna ytterligare upplysningar om exakt vilka
uppgifter som samlas in enligt dessa bestämmelser och vara i stånd att lämna ytterligare
upplysningar om uppgifter som har delats med andra amerikanska myndigheter och
polismyndigheter, brottsbekämpande myndigheter och rättsliga organ inom EU.
För framtida översyner och utvärdering bör DHS se till att alla fakta och siffror samlas in på
ett konsekvent sätt så att direkta jämförelser blir möjliga.
När EU-gruppen tog fram den här rapporten använde man information från DHS svar på EU:s
frågeformulär, information från diskussioner med DGS personal, information från
ovannämnda rapport från DHS dataskyddskontor samt information från andra allmänt
tillgängliga dokument från DHS.
Förberedande arbete inför den gemensamma översynen och efterföljande rapport
•
•
•
•
•
•
•
•
•
Den 8 maj 2015 skickade kommissionen ett frågeformulär till DHS, inför den
gemensamma översynen. Frågeformuläret innehöll frågor om DHS genomförande av
avtalet. Den 12 juni 2015 lämnade DHS sina skriftliga svar på frågeformuläret.
Kommissionen kontaktade också alla medlemsstater för att få veta om de hade några
kontakter med USA beträffande passageraruppgifter.
Den 1–2 juli 2015 genomförde EU-gruppen besöket för den gemensamma översynen
och fick tillgång till DHS lokaler. Man besökte DHS National Targeting Center
(NTC) och hade möjlighet att se centrumet i drift.
DHS dataskyddskontor offentliggjorde sin rapport om användning och överföring av
passageraruppgifter mellan EU och USA den 26 juni 2015. EU-gruppen fick därmed
tyvärr inte tillräckligt med tid på sig för att kunna analysera rapporten i sin helhet före
besöket. EU-gruppen analyserade sedan dataskyddskontorets rapport i efterhand och
ställde följdfrågor för att kunna färdigställa rapporten om den gemensamma
översynen.
Efter besöket lämnade DHS skriftligen ytterligare upplysningar som EU-gruppen bett
om under besöket. Dessa upplysningar användes sedan som ytterligare underlag när
rapporten utarbetades.
Den 25 september 2015 bekräftade DHS att alla lufttrafikföretag som tillhandahåller
passageraruppgifter enligt avtalet hade börjat använda sändmetoden för överföring av
passageraruppgifter till USA.
Den 21 januari 2016 lade kommissionen fram ett utkast till rapport för övriga
medlemmar i EU-gruppen.
Efter det att kommentarerna från övriga medlemmar i EU-gruppen förts in i utkastet
till rapport lade kommissionen fram utkastet till rapport för USA under ett möte
mellan högre tjänstemän i Washington D.C. den 17 mars 2016. På så sätt fick DHS
möjlighet att identifiera och kommentera eventuella felaktiga uppgifter eller uppgifter
som inte kan lämnas ut till allmänheten.
DHS lämnade därefter in en uppdaterad version av frågeformuläret och informella
synpunkter på utkastet till rapport, som EU-gruppen träffades för att diskutera den 9
juni 2016.
5
•
Utkastet till rapport diskuterades vidare av kommissionen och DHS, bl.a. vid ett möte
mellan högre tjänstemän i Washington D.C. den 14 juli 2016. I augusti 2016
underrättade kommissionen DHS om att DHS, om de fortfarande hade någon
avvikande mening eller ville lägga till någonting i rapporten, kunde lämna skriftliga
synpunkter som i så fall skulle bifogas rapporten enligt artikel 23.3 i avtalet.
6