(2010/C 357/02)

(Dz.U.UE C z dnia 30 grudnia 2010 r.)

EUROPEJSKI INSPEKTOR OCHRONY DANYCH,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej, w szczególności jego art. 16,

uwzględniając Kartę praw podstawowych Unii Europejskiej, w szczególności jej art. 8,

uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych⁽¹⁾,

uwzględniając wniosek o opinię zgodnie z rozporządzeniem (WE) nr 45/2001 Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 r. o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje i organy wspólnotowe i o swobodnym przepływie takich danych, w szczególności jego art. 41⁽²⁾,

PRZYJMUJE NASTĘPUJĄCĄ OPINIĘ:

I. WPROWADZENIE

1. Konsultacja EIOD

1. W dniu 21 września 2010 r. Komisja przyjęła komunikat w sprawie globalnego podejścia do przekazywania danych dotyczących przelotu pasażera (PNR) państwom trzecim⁽³⁾. Tego samego dnia komunikat przesłano EIOD do konsultacji.

2. EIOD z zadowoleniem przyjął fakt, że Komisja się z nim skonsultowała. Jeszcze przed przyjęciem komunikatu EIOD miał możliwość przedstawienia nieoficjalnych uwag. Niektóre z tych uwag zostały uwzględnione w ostatecznej wersji dokumentu, podczas gdy inne kwestie nadal budzą obawy co do ochrony danych.

2. Wniosek w kontekście

3. Ogólne podejście do kwestii PNR przedstawione przez Komisję w komunikacie ma na celu zapewnienie spójnych ram przekazywania danych PNR państwom trzecim. Poza

potrzebą zagwarantowania pewności prawa, o której mowa w komunikacie, to ujednolicone podejście znalazło również silne poparcie Parlamentu Europejskiego, którego nowe ramy instytucjonalne uprawniają do ratyfikacji umów o PNR z państwami trzecimi⁽⁴⁾.

4. Komunikat uzupełniono o zalecenia dotyczące negocjacji umów o PNR z konkretnymi państwami trzecimi. Zalecenia te są ograniczone i nie są przedmiotem analizy w niniejszej opinii. Związek pomiędzy ogólnym komunikatem a zaleceniami zbadano jednak w rozdziale II.

5. Obok ogólnego podejścia do przekazywania danych PNR państwom trzecim Komisja przygotowuje również zrewidowane podejście do PNR dla UE. Wcześniej wniosek w sprawie takich ram UE był przedmiotem intensywnych dyskusji w Radzie, w ramach dawnego trzeciego filaru, przed wejściem w życie traktatu lizbońskiego⁽⁵⁾. Dyskusje te nie pozwoliły uzyskać porozumienia w zakresie wielu kluczowych elementów systemów PNR, takich jak na przykład wykorzystanie bazy danej utworzonej w ramach takiego systemu. Program sztokholmski zalecił wtedy Komisji, by przedstawiła nowy wniosek, ale nie zabrał głosu w sprawie kluczowych elementów takiego wniosku. Projektu dyrektywy sprawie systemu PNR UE można oczekiwać na początku 2011 r.

6. Niniejsza opinia koncentruje się na komunikacie Komisji. W pierwszej części przeanalizowano komunikat w kontekście ostatnich zmian w obszarze ochrony danych, druga część mierzy się z zasadnością systemu PNR, a trzecia koncentruje się na bardziej szczegółowych kwestiach ochrony danych w komunikacie.

II. ANALIZA WNIOSKU

1. Uwagi ogólne

7. EIOD z zadowoleniem przyjął podejście horyzontalne komunikatu, zgodne z ostatnimi wnioskami Parlamentu Europejskiego o dokładną analizę oraz spójne spojrzenie na istniejące i planowane systemy PNR. Wysoki i ujednolicony poziom ochrony stosowany do wszystkich tych systemów jest celem, który powinien znaleźć silne poparcie.

8. EIOD kwestionuje jednak ogólną kolejność poszczególnych inicjatyw bezpośrednio lub pośrednio związanych z przetwarzaniem danych PNR.

9. Komunikat mówi o międzynarodowych umowach w sprawie systemów PNR oraz inicjatywie dotyczącej PNR UE, zaproponowane w komunikacie standardy odnoszą się jednak wyłącznie do międzynarodowych umów. Ramy UE zostaną omówione i utworzone na późniejszym etapie.

10. Bardziej logiczny i odpowiedni plan obejmowałby, zdaniem EIOD, dogłębną analizę ewentualnego systemu UE, w tym zabezpieczeń w zakresie ochrony danych zgodnych z ramami prawnymi UE.

11. EIOD podkreśla również trwające prace nad ogólną umową UE-USA w sprawie wymiany danych w celu egzekwowania prawa⁽⁶⁾, której celem jest ustanowienie zbioru zasad gwarantujących wysoki poziom ochrony danych osobowych jako warunku wymiany takich danych ze Stanami Zjednoczonymi. Wynik negocjacji UE-USA powinien być punktem odniesienia dla dalszych dwustronnych umów zawieranych przez UE i przez jej państwa członkowskie, w tym dla umowy o PNR pomiędzy UE a USA.

12. Inną kwestią, którą należy uwzględnić w tym kontekście, jest obecna, ogólna refleksja Komisji nad ramami ochrony danych UE, w wyniku której ma powstać komunikat pod koniec 2010 r., a następnie wniosek dotyczący nowych ram prawnych w ciągu 2011 r.⁽⁷⁾. Ten proces przeglądu ma miejsce w tzw. ramach postlizbońskich, które mają bezpośredni wpływ na horyzontalne zastosowanie zasad ochrony danych do dawnych filarów UE, w tym współpracy policyjnej i wymiarów sprawiedliwości w sprawach karnych.

13. W celu zapewnienia spójności UE powinna ustalić wewnętrzne instrumenty i na podstawie tych wewnętrznych instrumentów powinna wynegocjować umowy z państwami trzecimi. Ogólny plan powinien więc koncentrować się w pierwszej kolejności na ogólnych ramach ochrony danych UE, następnie na ewentualnej potrzebie wprowadzenia systemu PNR UE, a w końcu na warunkach wymiany danych z państwami trzecimi, w oparciu o zaktualizowane ramy UE. Na tym etapie, przy ustanawianiu warunków przekazywania danych PNR państwom trzecim, powinno się również uwzględnić zabezpieczenia przewidziane w przyszłej umowie UE-USA.

14. EIOD jest świadomy, że w praktyce ten idealny porządek nie jest przestrzegany z różnych proceduralnych i politycznych względów. Uważa jednak, że logikę stojącą za tymi poszczególnymi etapami powinny zachować w pamięci poszczególne podmioty zaangażowane w Komisji, Radzie i Parlamencie. Ponieważ w szczególności prace nad ramami UE i negocjacje UE-USA postępują równolegle, z należytą uwagą należy podejść do tej potrzeby zapewnienia spójności i ujednoliconego spojrzenia na zabezpieczenia w zakresie ochrony danych w obrębie UE i w kontekście przekazywania danych. Konkretnie wiązałoby się to w szczególności z:

– uwzględnieniem wyników oceny wpływu na PNR UE przed zakończeniem negocjacji w sprawie PNR w państwami trzecimi,

– zapewnieniem wdrożenia doświadczeń i wniosków z przeglądu obecnych ustaleń w zakresie PNR,

– i jeśli chodzi o negocjacje ze Stanami Zjednoczonymi - powiązaniem negocjacji w sprawie PNR z negocjacjami dotyczącymi ogólnej umowy w sprawie wymiany danych w celu egzekwowania prawa. Jest to jedyny sposób, by zapewnić spójne zabezpieczenia w obu umowach.

15. W końcu EIOD podnosi kwestię związku pomiędzy komunikatem a wytycznymi sporządzonymi przez Komisję. Kwestia ta dotyczy zakresu, w jakim należy określić dokładne zabezpieczenia i warunki w standardach wprowadzonych w komunikacie lub wytycznych opracowanych dla konkretnego kraju: jeśli ogólnym celem jest ujednolicenie warunków przetwarzania i wymiany danych PNR, EIOD uważa, że należy możliwie mocno ograniczyć pole manewru przy każdej międzynarodowej umowie, a standardy powinny ustanawiać precyzyjne ramy. Standardy powinny mieć faktyczny wpływ na treść umów. Część poniższych uwag porusza potrzebę większej precyzji w tym względzie.

2. Zasadność systemu

16. EIOD oraz grupa robocza art. 29 podkreślały już w wielu opiniach⁽⁸⁾ konieczność jasnego uzasadnienia dla tworzenia systemów PNR, czy to w obrębie UE, czy w celu wymiany danych z państwami trzecimi. Konieczność środków należy wykazać i poprzeć konkretnymi dowodami, a następnie powinno się ją ocenić i zrównoważyć ze stopniem naruszenia życia prywatnego osób fizycznych w celu zapewnienia proporcjonalnego i najmniej z możliwych inwazyjnego wyniku. Fakt, że niedawno osiągnięte postępy technologiczne umożliwiają obecnie szeroki dostęp i analizę, jako stwierdzono na końcu pkt 2.2 komunikatu, nie jest sam w sobie uzasadnieniem dla tworzenia systemu, które celem będzie kontrola bezpieczeństwa wszystkich podróżujących. Innymi słowy dostępność środków nie powinna uzasadniać celu.

17. Jak stwierdzono poniżej, EIOD uważa, że masowe przekazywanie danych o niewinnych ludziach do celów oceny ryzyka, budzi poważne wątpliwości co do proporcjonalności takiego środka. EIOD kwestionuje w szczególności aktywne wykorzystanie danych PNR. Podczas gdy "wsteczne" wykorzystanie danych nie budzi większych zastrzeżeń, o ile jest częścią dochodzenia w sprawie już popełnionego przestępstwa, aktywne wykorzystanie danych w czasie rzeczywistym spotyka się z bardziej krytyczną oceną.

18. Zgodnie ze sformułowaniem komunikatu, nawet w czasie rzeczywistym dane PNR będą "wykorzystywane w celu zapobiegania przestępstwom, kontroli lub zatrzymywania osób przed popełnieniem przestępstwa", w oparciu o "wcześniej ustalone, oparte na informacjach faktycznych wskaźniki ryzyka"⁽⁹⁾. Główna koncepcja podejmowania środków w odniesieniu do osób przed popełnieniem przestępstwa w oparciu o wskaźniki ryzyka jest, zdaniem EIOD, aktywnym środkiem, którego zastosowanie w kontekście egzekwowania prawa jest tradycyjnie ściśle określone i ograniczone.

19. Ponadto nie zdefiniowano odpowiednio pojęcia wskaźników ryzyka ani "oceny ryzyka", a to ostatnie można by łatwo pomylić z pojęciem "profilowania". Podobieństwo to wzmacnia jeszcze rzekomy cel, którym jest ustalenie "opartych na informacjach faktycznych modeli podróży i zachowania". EIOD kwestionuje związek pomiędzy oryginalnymi informacjami faktycznymi a modelami wydedukowanymi z tych informacji. Proces ma na celu ustanowienie oceny ryzyka danej osoby fizycznej - i ewentualnie środków naprawczych - w oparciu informacje faktyczne, które nie są związane z tą osobą. Jak już stwierdził w swojej poprzedniej opinii w sprawie wniosku dotyczącego UE-PNR, główne obawy EIOD wiążą się z faktem, że "decyzje dotyczące konkretnych osób będą podejmowane na podstawie wzorców zachowań i kryteriów określonych z wykorzystaniem danych pasażerów w ogóle. W ten sposób decyzje dotyczące jednej osoby mogą zostać podjęte z wykorzystaniem (przynajmniej częściowo) jako punktów odniesienia wzorców opracowanych na podstawie danych innych osób. Decyzje będą więc podejmowane w związku z abstrakcyjnym kontekstem, co może mieć znaczące skutki dla osób, których dotyczą dane. Bronienie się osób przed takimi decyzjami jest szczególnie trudne"⁽¹⁰⁾.

20. Wykorzystanie takich technik na szeroką skalę, wiążące się z kontrolą bezpieczeństwa wszystkich pasażerów, budzi tym samym poważne wątpliwości co do zgodności z podstawowymi zasadami ochrony prywatności i danych, w tym zasadami określonymi w art. 8 EKPC, art. 7 i 8 Karty i art. 16 TFUE.

21. Ostateczna decyzja w zakresie zasadności systemów PNR powinna uwzględniać te elementy, które powinno się przeanalizować i rozwinąć w ocenie wpływu przeprowadzonej w ramach projektu EU PNR. Powinien powstać plan w celu umożliwienia starannego uwzględnienia wyników tej oceny wpływu przy sporządzaniu globalnych wymogów wobec systemów PNR.

3. Treść zaproponowanych standardów

22. Bez uszczerbku dla powyższych podstawowych uwag dotyczących zasadności systemów PNR, EIOD z zadowoleniem przyjmuje obszerną listę standardów, wyraźnie zainspirowanych zasadami ochrony danych UE, które w niektórych aspektach powinny wzmocnić ochronę przewidzianą w poszczególnych umowach. Zidentyfikowana wartość dodana i niedociągnięcia w tych standardach zostały omówione poniżej.

Adekwatność ochrony i wiążący charakter umowy

23. Ze sformułowania komunikatu EIOD wnioskuje, że ocena adekwatności ochrony może być oparta na ogólnych ramach ochrony danych kraju przyjmującego albo mieć kontekstowy charakter, w zależności od prawnie wiążących zobowiązań w międzynarodowej umowie regulującej przetwarzanie danych osobowych. Uznając decydującą rolę międzynarodowych umów w odniesieniu do ocen adekwatności ochrony, EIOD podkreśla konieczność wyraźnego ustanowienia wiążącego charakteru umów dla wszystkich odnośnych stron i uważa, że należy je uzupełnić wyraźnym wskazaniem, że umowa zapewnia bezpośrednio wykonalne prawa osobom, których dane dotyczą. EIOD uważa, że elementy te stanowią zasadniczy aspekt oceny adekwatności ochrony.

Zakres i cel

24. Dwa pierwsze punkty na liście zasad dotyczą zasady celowości. Pod podtytułem "wykorzystanie danych" pierwszy

punkt mówi o celach związanych z egzekwowaniem prawa i zapewnianiem bezpieczeństwa, a następnie odnosi się do terroryzmu i innej poważnej przestępczości międzynarodowej, w oparciu o "podejście" przyjęte przy konstruowaniu definicji zawartych w instrumentach UE. EIOD kwestionuje to sformułowanie, z którego można by wywnioskować, że przyszłe umowy nie będą oparte dokładnie na tych definicjach, a będą się tylko nimi inspirować. Z uwagi na pewność prawa zasadnicze znaczenie ma dokładne zdefiniowanie terroryzmu i poważnej przestępczości międzynarodowej oraz określenie instrumentów UE, o których mowa w komunikacie. Ponadto EIOD przypomina, że przed włączeniem różnego rodzaju przestępczości do systemu PNR, musi on jako warunek konieczny przejść test niezbędności i proporcjonalności.

25. Drugi punkt zdaje się odnosić bardziej do zakresu (charakter gromadzonych danych) niż do zasady celowości. EIOD zauważa, że komunikat nie zawiera listy danych, które mogą być przedmiotem przekazywania, ustanowienie kategorii danych do wymiany pozostawia każdej konkretnej umowie. Aby uniknąć rozbieżności i włączenia nieproporcjonalnych kategorii danych do niektórych umów z państwami trzecimi, EIOD uznaje, że wspólna i wyczerpująca lista kategorii danych powinna zostać włączona do standardów, zgodnie z celem wymiany danych. Odnosi się w tym względzie do opinii grupy roboczej art. 209, wskazującej kategorie danych, które byłyby dopuszczalne i kategorie uznane za zbyteczne w stosunku do praw podstawowych osób, których dane dotyczą⁽¹¹⁾. Kategorie danych, które należy wykluczyć, to w szczególności te, które można postrzegać jako dane szczególnie chronione - i które są chronione art. 8 dyrektywy 95/46/WE, dane SSR/SSI (prośby o usługi specjalne/ informacje o usługach specjalnych), OSI (inne informacje związane z usługami), otwarte pola lub wolny tekst (takie jak uwagi ogólne, gdzie dane o szczególnie chronionym charakterze mogą się pojawić) oraz informacje dotyczące częstych pasażerów samolotów i dane dotyczące zachowania.

Dane szczególnie chronione

26. Komunikat wskazuje, że dane szczególnie chronione mogą być wykorzystywane wyłącznie w nadzwyczajnych okolicznościach. EIOD ubolewa nad tym wyjątkiem. Uważa, że warunki wyjątku są zbyt szerokie i nie niosą ze sobą żadnych gwarancji: wykorzystanie danych na zasadzie oceny każdego indywidualnego przypadku przedstawiono tylko jako przykład; ponadto zasada celowości powinna być ogólną zasadą mającą zastosowanie do przetwarzania danych PNR, nie tylko gwarancją stosowaną do danych szczególnie chronionych. EIOD uważa, że zezwolenie na przetwarzanie danych szczególnie chronionych, nawet w ograniczonych przypadkach, stawiałoby poziom ochrony wszystkich systemów PNR na poziomie systemu najmniej zgodnego z ochroną danych, a nie na poziomie programu najbardziej z nią zgodnych. Wnosi więc o całkowite wykluczenie przetwarzania danych szczególnie chronionych, w formie zasady.

Bezpieczeństwo danych

27. Ogólny wymóg w zakresie bezpieczeństwa określony w komunikacie uznaje się za zadowalający. EIOD uważa jednak, że można by go uzupełnić wymogiem wzajemnego informowania w razie naruszenia bezpieczeństwa: odbiorcy byliby odpowiedzialni za powiadomienie odpowiednich osób w przypadku, gdyby otrzymane przez nich dane były przedmiotem bezprawnego ujawnienia. Przyczyniłoby się to większej odpowiedzialności w kierunku bezpiecznego przetwarzania danych.

Egzekwowanie prawa

28. EIOD popiera system nadzoru przewidziany w komunikacie, w tym środki nadzoru i odpowiedzialności. Popiera również silnie prawo każdej osoby fizycznej do środków ochrony prawnej o charakterze administracyjnym i sądowym. Jeśli chodzi o prawa dostępu, rozumie, że nie można przewidzieć żadnych ograniczeń, co przyjmuje z zadowoleniem. Gdyby w wyjątkowych przypadkach ograniczenie dostępu było konieczne, jego precyzyjny zakres i niezbędne zabezpieczenia, obejmujące w szczególności pośrednie prawo dostępu, powinny zostać wyraźnie ujęte w standardach.

Dalsze przekazywanie

29. EIOD jest zadowolony z ograniczenia w zakresie dalszego przekazywania danych na zasadzie oceny każdego indywidualnego przypadku, czy to innym organom rządowym, czy państwom trzecim. Uważa, że obok tej zasady zasada celowości mająca zastosowanie do przekazywania danych państwom trzecim, powinna również znaleźć zastosowanie do przekazywania danych innym organom rządowym w obrębie państw trzecich. To powinno zapobiec dalszemu wykorzystaniu lub wzajemnemu dopasowywaniu danych PNR i informacji przetwarzanych dla różnych celów. EIOD jest w szczególności zaniepokojony ryzykiem wzajemnego dopasowywania informacji pochodzących z innych baz danych, takich jak ESTA, w odniesieniu do Stanów Zjednoczonych. Zauważa, że ostatnia decyzja USA wymaga opłaty za wyniki ESTA w zakresie gromadzenia informacji z kart kredytowych podróżników. EIOD wniosku o wyraźne ograniczenie w celu zapobiegnięcia nieodpowiedniemu kojarzeniu informacji, wykraczającemu poza zakres umowy o PNR.

Zatrzymywanie danych

30. Okres zatrzymywania danych nie podlega faktycznemu ujednoliceniu. EIOD uważa, że co do zasady dane PNR powinny być usuwane, jeśli kontrole przeprowadzone przy okazji przekazywania danych nie doprowadziły do żadnych działań w zakresie egzekwowania prawa. Gdyby krajowy kontekst uzasadniał konieczność ograniczonego okresu zatrzymywania danych, EIOD uważa, że maksymalny okres zatrzymywania danych powinien zostać określony w standardach. Ponadto zasada ograniczania praw dostępu urzędników na czas powinna zostać wzmocniona, a stopniowa anonimizacja danych powinna zostać uznana za wymóg, a nie za przykład.

Tryby przekazywania

31. EIOD popiera wyłączne wykorzystanie systemu aktywnego przekazywania danych do przekazywania danych PNR. Wnioskuje o konkretne gwarancje zapewniające, że system aktywnego przekazywania danych będzie faktycznie jedynym system stosowanym w praktyce. Doświadczenie i kontrole przeprowadzone przez organy ochrony danych pokazały bowiem, że mimo obowiązujących już wymogów umów, w szczególności w odniesieniu do "PNR USA", pozostały system pasywnego przekazywania danych nadal funkcjonuje i że równolegle do systemu aktywnego przekazywania organy USA mają szerszy dostęp do danych PNR poprzez komputerowe systemy rezerwacji. Należy podjąć środki prawne i techniczne w celu zapobieganiu omijania systemu aktywnego przekazywania danych.

32. Należy określić częstotliwość przekazywania danych przez linie lotnicze ("racjonalna") i ustalić maksymalną liczbę przypadków przekazania danych. Istniejące systemy zapewniające najbardziej zgodne z zasadami prywatności przepisy powinny być odniesieniem przy tych ustaleniach.

Nadrzędne koncepcje

33. EIOD wnioskuje również o większą precyzję w stosunku do zasadniczych elementów wdrażania umów o PNR. Okres umów ("określony", "zgodny z potrzebą") i jego przegląd ("okresowy") należy bardziej szczegółowo zdefiniować w perspektywie horyzontalnej. W szczególności można by określić okresowość wspólnych przeglądów oraz obowiązek dokonania pierwszego przeglądu w określonym terminie po wejściu w życie umów: można by wprowadzić maksymalny okres trzech lat.

III. WNIOSKI

34. EIOD z zadowoleniem przyjął podejście horyzontalne przedstawione przez Komisję w jej komunikacie. Jest to zasadniczy krok w kierunku całościowych ram wymiany danych PNR. Pewne poważne zastrzeżenia nieco pogorszyły jednak ten ogólny odbiór.

35. Systemy PNR przedstawione w komunikacie nie przechodzą jako takie testów niezbędności i proporcjonalności opisanych w niniejszej opinii i w poprzednich opiniach EIOD i grupy roboczej art. 29. Warunki gromadzenia i przetwarzania danych osobowych, aby były dopuszczalne, powinny zostać znacznie ograniczone. EIOD jest w szczególności zaniepokojony wykorzystaniem systemów PNR do oceny ryzyka czy profilowania.

36. Przy tworzeniu standardów PNR powinno się również uwzględnić ogólne ramy ochrony danych i powiązane zmiany w przepisach w obrębie UE oraz negocjacje umów w sprawie wymiany danych na bardziej ogólnym poziomie, w szczególności ze Stanami Zjednoczonymi. Należy dopilnować, by przyszła umowa o PNR ze Stanami Zjednoczonymi była zgodna z ogólną umową o ochronie danych z USA. Umowy o PNR z innymi państwami trzecimi powinny być również spójne z tym podejściem.

37. Bardzo ważne, by umowy z państwami trzecimi uwzględniały nowe wymogi w zakresie ochrony danych, ponieważ są one sporządzone w postlizbońskich ramach instytucjonalnych.

38. EIOD wnioskuje również o większą precyzję w ogólnym podejściu do minimalnych zabezpieczeń mających zastosowanie do wszystkich umów: ściślejsze warunki powinni mieć w szczególności zastosowanie do przetwarzania danych szczególnie chronionych, zasady celowości, warunków dalszego przekazywania i zatrzymywania danych.

39. EIOD podkreśla w końcu, że umowy powinny zapewniać bezpośrednio wykonalne prawa osobom, których dane dotyczą. Skuteczność procedur egzekwowania prawa, przez osoby, których dane dotyczą, oraz przez organy nadzorujące, jest zasadniczym warunkiem oceny adekwatności ochrony każdej umowy.

Sporządzono w Brukseli dnia 19 października 2010 r.

______

⁽¹⁾ Dz.U. L 281 z 23.11.1995, s. 31.

⁽²⁾ Dz.U. L 8 z 12.1.2001, s. 1.

⁽³⁾ COM(2010) 492 wersja ostateczna.

⁽⁴⁾ Umowy podpisano:

- ze Stanami Zjednoczonymi: Umowa między Unią Europejską a Stanami Zjednoczonymi Ameryki o przetwarzaniu i przekazywaniu przez przewoźników lotniczych danych dotyczących przelotu pasażera (PNR) do Departamentu Bezpieczeństwa Wewnętrznego Stanów Zjednoczonych (DHS) (Umowa PNR z 2007 r.) (Dz.U L 204 z 4.8.2007, s. 18),

- z Kanadą: Umowa między Wspólnotą Europejską a Rządem Kanady o przetwarzaniu zaawansowanych informacji o pasażerach oraz zapisu danych dotyczących nazwiska pasażera (Dz.U. L 82 z 21.3.2006, s. 15),

- z Australią: Umowa między Unią Europejską a Australią o przetwarzaniu i przekazywaniu przez przewoźników lotniczych australijskiej służbie celnej danych dotyczących przelotu pasażera (danych PNR) pochodzących z Unii Europejskiej (Dz.U L 213 z 8.8.2008, s. 49-57).

⁽⁵⁾ W dniu 6 listopada 2007 r. Komisja przyjęła wniosek dotyczący decyzji ramowej Rady w sprawie wykorzystywania danych dotyczących rezerwacji pasażera (danych PNR) w celu egzekwowania prawa (COM(2007) 654 wersja ostateczna). EIOD przedstawił opinię w sprawie tego wniosku w dniu 20 grudnia 2007 r. (Dz.U. C 110 z 1.5.2008, s. 1).

⁽⁶⁾ Zob. w szczególności konsultacja zorganizowana przez komisję w styczniu 2010 r. w sprawie przyszłej międzynarodowej umowy pomiędzy Unią Europejską (UE) a Stanami Zjednoczonymi Ameryki o ochronie danych osobowych i wymianie informacji w celu egzekwowania prawa oraz odpowiedzi grupy roboczej art. 20 i EIOD, które można znaleźć na stronie

http://ec.europa.eu/justice/news/consulting_public/news_consulting_0005_en.htm

⁽⁷⁾ Komisja rozpoczęła proces przeglądu obecnych ram prawnych, który otworzyła konferencja na wysokim szczeblu w maju 2009 r. Po niej miała miejsce konsultacja społeczna do końca 2009 r. i kilka spotkań konsultacyjnych stron zainteresowanych w lipcu 2010 r. Odpowiedź grupy roboczej art. 29, w której miał swój aktywny udział EIOD, jest dostępna pod następującym linkiem:

http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#general_issues

⁽⁸⁾ Opinia Europejskiego Inspektora Ochrony Danych z dnia 20 grudnia 2007 r. w sprawie projektu wniosku dotyczącego decyzji ramowej Rady w sprawie wykorzystywania danych dotyczących rezerwacji pasażera (danych PNR) w celu egzekwowania prawa, Dz.U. C 110 z 1.5.2008, s. 1. Opinie grupy roboczej art. 29 są dostępne pod następującym linkiem:

http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers

⁽⁹⁾ Strona 4 komunikatu, rozdział 2.1.

⁽¹⁰⁾ Opinia z dnia 20 grudnia 2007 r. w sprawie projektu wniosku dotyczącego decyzji ramowej Rady w sprawie wykorzystywania danych dotyczących rezerwacji pasażera (danych PNR) w celu egzekwowania prawa, Dz.U. C 110 z 1.5.2008, s. 4.

⁽¹¹⁾ Opinia z dnia 23 czerwca 2003 r. w sprawie poziomu ochrony zapewnianej w Stanach Zjednoczonych przy przekazywaniu danych pasażerów, WP78. Ta opinia grupy roboczej i kolejne dotyczące tej kwestii są dostępne pod adresem: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/index_en.htm#data_transfers