De vice-voorzitter van de Europese Commissie heeft op 20 april 2011 gereageerd.

De Kamer brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.

BRIEF AAN DE VICE-PRESIDENT VAN DE EUROPESE COMMISSIE, DE HEER M. ŠEFČOVIČ

Den Haag, 2 november 2010

De Eerste Kamer der Staten-Generaal heeft met belangstelling kennis genomen van de Mededeling van de Europese Commissie over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record – PNR) aan derde landen2. Leden van de Eerste Kamer hebben opgemerkt dat deze mededeling bij diverse personen en organisaties vragen heeft opgeroepen. De Eerste Kamer noemt in dit verband de European Data Protection Supervisor (EDPS) en de Commissie Meijers, een permanente commissie van deskundigen in het internationaal vreemdelingen-, vluchtelingen- en strafrecht.

De EDPS heeft in zijn advies van 19 oktober 2010 kritische opmerkingen gemaakt over het proactieve gebruik van PNR-gegevens voor risicobeoordeling. De EDPS merkt onder meer op dat «neither the notion of risk indicators, nor the notion of «risk assessment» is sufficiently developed, and the latter could easily be confused with the notion of «profiling»» (overweging 19). De EDPS vervolgt met de opmerking dat «the use of such techniques on a wide scale involving the screening of all passengers therefore raises serious questions of compliance with fundamental privacy and data protection principles, including those laid down in Article 8 ECHR, Articles 7 and 8 of the Charter and Article 16 TFEU» (overweging 20). In zijn conclusies merkt de EDPS op dat hij bijzonder bezorgd is over het gebruik van PNR voor risicobeoordeling en profiling (overweging 35). De Eerste Kamer verzoekt u gemotiveerd op de bezwaren van de EDPS in te gaan.

Voorts is geconstateerd dat de leden van de Eerste Kamer de vragen delen die de Commissie Meijers heeft opgeworpen. Deze vragen komen op het volgende neer:

De Europese Commissie stelt dat de EU zal nagaan of het land waaraan PNR-gegevens worden doorgegeven de internationale normen, inzake onder andere de bescherming van persoonsgegevens, in acht neemt (pagina 9 van de Mededeling). Deze internationale normen kunnen lager liggen dan de bescherming die op basis van EU-normen wordt geboden. Waarom garandeert de Europese Commissie niet in alle gevallen van overdracht van PNR-gegevens de inachtneming van deze Europese normen inzake de verwerking van persoonsgegevens? Deze garantie kan worden opgenomen in in rechte afdwingbare verbintenissen in de internationale overeenkomst.

Gevoelige gegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt of die de gezondheid of het seksuele leven betreffen mogen onder uitzonderlijke omstandigheden toch worden gebruikt (pagina 9 onder «Bijzondere categorieën persoonsgegevens (gevoelige gegevens)»). Vindt de Europese Commissie niet dat het gebruik van dergelijke gevoelige gegevens slechts is toegestaan als dit gebruik tijdelijk is, dergelijke gegevens niet worden doorgegeven aan andere derde landen en de gegevens na gebruik worden vernietigd? De EDPS meent zelfs dat de verwerking van gevoelige gegevens uit principe verboden dient te zijn (overweging 26).

Op basis van deze algemene aanpak mogen besluiten die voor een persoon tot ongunstige maatregelen of effecten leiden niet uitsluitend gebaseerd zijn op de automatische verwerking van persoonsgegevens, maar moet sprake zijn van menselijke tussenkomst (pagina 10 onder «Geautomatiseerde individuele besluiten»). Van belang is hierbij hoe het besluit wordt gemotiveerd, want hieruit zal blijken of niet slechts sprake is van een geautomatiseerd besluit. Hoe denkt de Europese Commissie te garanderen dat ieder afzonderlijk besluit in voldoende mate wordt gemotiveerd?

De algemene aanpak voorziet in de mogelijkheid tot verdere doorgifte van PNR-gegevens aan andere derde landen (pagina 10 onder «Beperkingen op verdere doorgifte aan derde landen»). Deze doorgifte is met minimale waarborgen omgeven. Dit brengt het gevaar met zich mee dat de EU de controle verliest over de PNR-gegevens als deze aan andere derde landen worden doorgegeven. Zou om de controle op het gebruik van persoonsgegevens niet te verliezen de doorgifte aan derde landen niet gepaard moeten gaan met een kennisgeving aan een orgaan van de EU, bijvoorbeeld de Europese Commissie of de reeds genoemde EDPS? Daarnaast vraagt de Eerste Kamer zich af of de verdere doorgifte aan derde landen niet alleen toegestaan zou moeten zijn op basis van tijdelijkheid en indien sprake is van een bijzondere omstandigheid zoals een verhoogde terreurdreiging.

De Eerste Kamer wacht met belangstelling de antwoorden van de Europese Commissie af.

BRIEF VAN DE VICE-PRESIDENT VAN DE EUROPESE COMMISSIE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 20 april 2011

De Commissie dankt de Eerste Kamer der Staten-Generaal voor haar advies over de mededeling van de Europese Commissie over de algemene aanpak van de doorgifte van passagiersgegevens (Passenger Name Record – PNR) aan derde landen {COM(2010)492 definitief}, waarin zij tevens verwijst naar het advies van de Europese Toezichthouder inzake gegevensbescherming (EDPS) en de bezorgdheid waaraan de Commissie Meijers uiting heeft gegeven. De Commissie waardeert dat de aandacht wordt gevestigd op elementen zoals profiling en risicobeoordeling, de normen van gepastheid inzake gegevensbescherming, het gebruik van gevoelige gegevens, de automatische verwerking van persoonsgegevens en de kwestie van de verdere doorgifte van persoonsgegevens aan derde landen.

De Commissie wijst erop dat met de uitwisseling van PNR-gegevens met derde landen de voorkoming en bestrijding van terrorisme en ernstige internationale criminaliteit wordt beoogd en dat toekomstige PNR-overeenkomsten bijgevolg ten doel hebben dergelijke misdrijven te voorkomen en te bestrijden en de internationale veiligheid te bevorderen, zonder afbreuk te doen aan de bescherming van de persoonsgegevens van individuele burgers. De hierboven genoemde vraagstukken die door de Eerste Kamer aan de orde zijn gesteld, moeten tegen die achtergrond worden begrepen en beoordeeld.

De mededeling beoogt algemene beginselen neer te leggen en waarborgen vast te stellen met betrekking tot de doorgifte van PNR-gegevens aan derde landen, uitgaande van de diverse wijzen waarop rechtshandhavingsautoriteiten overal ter wereld, ook in een aantal EUlidstaten, thans PNR-gegevens gebruiken. De mededeling heeft niet de intentie in detail in te gaan op begrippen zoals risico-indicatoren of risicobeoordeling, die in verband met het gebruik van PNR-gegevens van belang zijn. De Commissie heeft goed nota genomen van de opmerkingen van de EDPS ter zake en is hierop in haar antwoord aan de EDPS nader ingegaan.

De verwerking van gevoelige gegevens is in de Europese Unie onder bepaalde voorwaarden geoorloofd. Op het gebied van rechtshandhaving staat het EU-Kaderbesluit over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken de verwerking van dergelijke gegevens toe wanneer dit strikt noodzakelijk is en in de nationale wetgeving adequate garanties worden geboden4. Daarom verwijst de mededeling naar het gebruik van gevoelige persoonsgegevens onder uitzonderlijke omstandigheden, wanneer er «een onmiddellijk gevaar is voor het verlies van mensenlevens en mits het derde land passende waarborgen biedt. De Commissie staat op het standpunt dat het gebruik van gevoelige gegevens onder de genoemde beperkte omstandigheden noodzakelijk, en derhalve ook gerechtvaardigd kan zijn.

Over de kwestie van de automatische verwerking van persoonsgegevens, zonder menselijke tussenkomst, huldigt de mededeling het beginsel dat dat soort verwerking niet is toegestaan. PNR-gegevens zijn een besluitvormingsondersteunend instrument en kunnen geenszins door mensen genomen beslissingen vervangen. Het besluit om een passagier na een analyse van de in zijn of haar PNR-gegevens vervatte informatie aan een nader onderzoek te onderwerpen, wordt genomen door een rechtshandhavingsbeambte. Dit is reeds de gangbare handelwijze in de landen die PNR-gegevens van de EU ontvangen. Die besluiten worden geregistreerd en kunnen worden gecontroleerd. Zo kan de bevoegde autoriteit haar diensten controleren en deze informatie ter beschikking stellen voor externe controle, bijvoorbeeld door een onafhankelijke overheidsinstantie die bevoegd is voor gegevensbescherming. Daarenboven kan deze informatie ter beschikking worden gesteld van de Europese Commissie in het kader van de zogeheten gezamenlijke evaluaties ten behoeve van het toezicht op de toepassing van de PNR-overeenkomsten.

Wat ten slotte de verdere doorgifte van persoonsgegevens aan derde landen betreft, moge worden opgemerkt dat dergelijke doorgiften geoorloofd zijn mits bepaalde belangrijke waarborgen in acht worden genomen5. Het delen van PNR-gegevens door middel van verdere doorgifte kan worden toegestaan indien dit plaatsvindt op basis van een afweging per geval en indien het ontvangende land de in de PNR-overeenkomst neergelegde waarborgen in acht neemt. Aldus wordt gegarandeerd dat de gegevens op dezelfde wijze worden behandeld, zelfs als het betrokken land geen partij is bij die overeenkomst, en wordt voorkomen dat de in de betrokken PNR-overeenkomst opgelegde voorwaarden kunnen worden omzeild.

Wij hopen dat wij hiermee afdoende hebben geantwoord op de vragen die u in uw advies opwerpt.