KOMMUNIKATIONSUTSKOTTETS UTLÅTANDE 21/2003 rd

KoUU 21/2003 rd - E 58/2003 rd

Granskad version 2.0

Statsrådets utredning med anledning av förhandlingar mellan Europeiska unionen och Förenta staterna om Förenta staternas krav på överlämnande av uppgifter om flygpassagerare från EU till USA

Till stora utskottet

INLEDNING

Remiss

Stora utskottet sände den 5 november 2003 statsrådets utredning med anledning av förhandlingar mellan Europeiska unionen och Förenta staterna om Förenta staternas krav på överlämnande av uppgifter om flygpassagerare från EU till USA (E 58/2003 rd) till kommunikationsutskottet för eventuella åtgärder.

Sakkunniga

Utskottet har hört

överinspektör Leena Rantalankila, justitieministeriet

äldre regeringssekreterare Rita Linna, kommunikationsministeriet

dataombudsman Reijo Aarnio, Dataombudsmannens byrå, JM

planeraren Nina Kamsani, Finnair Abp

STATSRÅDETS UTREDNING

Förslaget

Förenta staternas lagstiftning har sedan 2001 föreskrivit att uppgifter om passagerare ska lämnas ut till de amerikanska myndigheterna. Kraven gäller upplysningar om passagerarnas namn, PNR-uppgifter (Passenger name record) och APIS-(eller API-)uppgifter (Advanced passenger information system).

APIS-uppgifter.

APIS-uppgifter samlas in av flygbolag vid incheckningen. Uppgifterna gäller flyg och flygdatum, flygets avgångs- och destinationsort och passinformation. APIS-uppgifter lämnas ut först när planet har lyft eller 15 minuter efter passagerarflygets avgång.

Sedan april 2002 föreskriver amerikansk lag att det är obligatoriskt att lämna ut APIS-uppgifter om passagerare och besättning. Dessutom kräver USA att uppgifter som för närvarande samlas in genom inresekort som fylls i ombord på flyget (t.ex. upplysning om adress under USA-vistelse) ska lämnas ut. Om fullständiga APIS-uppgifter inte lämnas ut kan följden bli höga böter för flygbolagen.

I november införs veterligen en s.k. slutlig bestämmelse om vilka APIS-uppgifter USA kommer att kräva i fortsättningen. Därefter har flygbolagen 6 månader på sig att genomföra uppgiftsutlämningen.

PNR-uppgifter.

Med hänvisning till kampen mot terrorism har de amerikanska myndigheterna börjat kräva flygbolagen också på PNR-uppgifter, dvs. uppgifter ur resebyråers och flygbolags system för hantering av bokningar och avgångar. PNR-uppgifterna är utförligare och mera omfattande än APIS-uppgifterna och gäller personer som redan bokat en resa (alltså inte nödvändigtvis med destination i USA). Alla flygbolag samlar inte in samma PNR-uppgifter, en del samlar in mer, andra mindre. Finnair håller sig med följande kundregisteruppgifter: passagerarens efternamn, förnamn, kön, resväg, adress- eller kontaktuppgifter, betalningssätt, flygbiljettnummer, bokningsdatum, Frequent Flyer-nummer och eventuella extra tjänster som passageraren begärt (t.ex. specialkost och placeringsönskemål).

Överföring av personuppgifter.

Enligt huvudregeln i EG:s personuppgiftsdirektiv (95/46/EG) får personuppgifter överföras till tredje land bara om en adekvat skyddsnivå kan säkerställas. Uppgifter kan överföras också om den registrerade gett sitt otvetydiga samtycke till överföringen.

Personuppgiftsdirektivet har satts i kraft nationellt genom personuppgiftslagen (523/1999). Bestämmelserna om överföring av personuppgifter har kompletterats 2000 (986/2000).

I Finland begär Finnair om passagerarnas samtycke till att föra över deras uppgifter till USA. Det kan ifrågasättas om samtycket alltid kan anses otvetydigt och frivilligt på det sätt som avses i personuppgiftslagen t.ex. för att en passagerare som inte samtycker till att uppgifter lämnas ut inte får köpa biljett. Enligt Finnair kan en biljett inte säljas eftersom det inte är möjligt att hindra genomgång av en enskild passagerares uppgifter när en dataförbindelse har öppnats med USA. Alla passagerares bokningsuppgifter registreras automatiskt i bokningssystemet. Om en passagerare inte samtycker till att uppgifter lämnas ut kan ingen bokning göras ens av tekniska skäl. Ett frivilligt och otvetydigt samtycke kan ifrågasättas t.ex. också när en person förordnas av sin arbetsgivare att resa till USA.

Dataskyddet i USA och förhandlingarna.

Kommissionen och medlemsstaternas dataskyddsexperter delar uppfattningen att USA inte förmår garantera ett adekvat dataskydd. Därför har kommissionen sedan hösten 2002 fört förhandlingar på hög nivå med de amerikanska myndigheterna om dataskyddsprinciperna vid utlämnande av uppgifter med målet att få ett beslut om en adekvat nivå på dataskyddet vid överföringen.

Förhandlingarna resulterade i att kommissionen och det amerikanska tullverket (US Customs) den 17 och 18 februari 2003 antog en gemensam förklaring (Joint Statement) om överföring av uppgifter. Utifrån förklaringen öppnade Air France, British Airways, Iberia och Lufthansa en teknisk anslutning för CBP till sina respektive kundregister den 5 mars 2003. Vidare har förhandlingarna resulterat i åtaganden (Undertakings) från CBP och TSA och en bilaga med 39 obligatoriska PNR-uppgifter.

Men resultaten av förhandlingarna har än så länge inte varit tillfredsställande med tanke på dataskyddet och kommissionens officiella ståndpunkt är att utlämnandet av uppgifter om flygpassagerare vilar på en bräcklig juridisk grund (legally fragile). De fyra största problemen är uppgifternas diffusa ändamål (alltså utöver bekämpning av terrorism också bekämpning av annan allvarlig brottslighet), uppgifternas volym och art, uppgifternas långa förvaringstid och avsaknaden av en oberoende besvärsmekanism.

Kommissionen har anmodat de nationella dataskyddsmyndigheterna att inte befatta sig med utlämnandet av uppgifter under pågående förhandlingar. Den anser t.ex. i nämnda gemensamma förklaring att EU:s dataskyddsmyndigheter med hänsyn till förhandlingsprocessen kanske inte ser det som nödvändigt att vidta verkställighetsåtgärder mot de flygbolag som hörsammar USA:s krav.

Transport-, handels- och konkurrenspolitiska aspekter.

Utom dataskyddsaspekter finns det också transport-, handels- och konkurrenspolitiska aspekter på frågan. Det ligger i allas intresse att flygtrafiken löper friktionsfritt och därför bör det förhindras att något bolag går miste om sin koncession och att trafiken därför upphör. Överföringen av uppgifter bör inte bli en oskälig belastning för flygbolagen, som under den senaste tiden har haft det exceptionellt besvärligt bl.a. på grund av det som inträffade den 11 september 2001 och konsekvenserna av SARS-epidemin. Det viktigaste är att alla flygbolag behandlas lika. För att förhindra att konkurrensen snedvrids måste reglerna om överföring av uppgifter nödvändigt vara lika för alla flygbolag. Det är också viktigt att se till att uppgifterna missbrukas i kommersiellt syfte (fullständiga uppgifter om ruttkapacitet till konkurrenter osv.).

Regeringens ståndpunkt

Utrikesministeriet arrangerade ett samordningsmöte kring frågan den 2 oktober 2003. I mötet deltog utrikesministeriet, justitieministeriet, kommunikationsministeriet, Finnair, Luftfartsverket, Gränsbevakningsväsendet, Tullstyrelsen och dataombudsmannen och där formulerades Finlands preliminära ståndpunkt till utlämnande av uppgifter:

  • Finland anser att det behövs ett internationellt avtal mellan EU och Förenta staterna för att det ska kunna upprättas en juridisk ram för förfarandet och för att Förenta staternas åtaganden ska vara förpliktande. Bestämmelserna i personuppgiftsdirektivet bör så långt som möjligt vägas in i avtalet.
  • Det är ett viktigt villkor för Finland att ändamålet för de uppgifter som lämnas ut är exakt angivet och klart avgränsat (t.ex. bekämpning av terrorism).
  • Uppgifternas omfattning och förvaringstid ska avvägas enligt ändamålet.
  • Ett annat villkor är att det ska finnas en oberoende besvärsmekanism och en förpliktelse om klar och tydlig information om mekanismen.
  • Finland tillstyrker den österrikiska dataombudsmannens förslag om att inrätta en central myndighetsdatabas i EU som ska utgöra ett led i övergången från pull-förfarandet till push-förfarandet i överföringen av uppgifter.
  • Mötet konstaterade att internationella civila luftfartsorganisationen ICAO är det rättta forumet för att behandla frågan multilateralt.
  • Det måste ses till att flygtrafiken fungerar smidigt och störningsfritt och att flygbolagen i gemenskapen kan fungera på lika villkor.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Utskottet påpekar att det grundläggande problemet med att föra över uppgifter om flygpassagerare från EU till USA är att de europeiska flygbolagen saknar rättslig grund för att lämna ut passageraruppgifter till USA. Om bolagen inte lämnar ut uppgifter drabbas de å andra sidan av kännbara finansiella sanktioner, dröjsmål med inreseprocedurerna och i sista hand flygförbud till USA. Därför har det ansetts viktigt att garantera att flygtrafiken löper på lika villkor för alla flygbolag och att en oskälig belastning för bolagen helst bör undvikas.

Utskottet noterar att överföring av personuppgifter till tredje land enligt EG:s personuppgiftsdirektiv och vår nationella personuppgiftslag är tillåten bara om en adekvat skyddsnivå för uppgifterna kan säkerställas av mottagaren. Uppgifter får överföras också om den behöriga personen gett sitt otvetydiga samtycke till det. Kommissionen kan konstatera att en adekvat skyddsnivå är säkerställd i vissa tredje länder eller vid vissa överlåtelser till tredje länder och att besluten i så fall är bindande för medlemsstaterna.

Men USA har inte en adekvat dataskyddsnivå. Kommissionen har därför sedan hösten 2002 fört högnivåförhandlingar med USA om dataskyddsprinciperna vid utlämning av uppgifter med målet att kunna fatta beslut om vilken dataskyddsnivå som är adekvat. De fyra största problemen vid förhandlingarna är uppgifternas diffusa ändamål, uppgifternas omfattning och art, uppgifternas långa förvaringstider och avsaknaden av en oberoende besvärsmekanism.

Utskottet lyfter fram Österrikes förslag om att flygbolagen i EU överlämnar passagerarnas namnuppgifter, PNR-uppgifter, till ett centralt PNR-lager och att EU-myndigheterna bestämmer till vem uppgifterna kan lämnas ut. EU föreslås stå för kostnaderna för att upprätthålla databanken och flygbolagen för transaktionskostnaderna för att överlämna uppgifter till lagret. Beslut om att lämna ut uppgifter fattas av myndigheterna och behövliga bi- och multilaterala överenskommelser ingås på det politiska planet. Utskottet anser att förslaget i princip kan tillstyrkas, men understryker att det inte bör ingås internationella bilaterala avtal utan multilaterala avtal, helst inom ramen för internationella luftfartsorganet ICAO. Detta kommer visserligen att ta år. Före detta bör åtminstone ett temporärt avtal ingås mellan USA och EU som ger adekvata garantier för dataskyddet.

Utlåtande

Kommunikationsutskottet meddelar

att utskottet omfattar regeringens ståndpunkt i saken.

Helsingfors den 28 november 2003

I den avgörande behandlingen deltog

  • ordf. Markku Laukkanen /cent
  • vordf. Matti Kangas /vänst
  • medl. Leena Harkimo /saml
  • Saara Karhu /sd
  • Marjukka Karttunen /saml
  • Inkeri Kerola /cent
  • Erkki Pulliainen /gröna
  • Pertti Salovaara /cent
  • Arto Seppälä /sd
  • Timo Seppälä /saml
  • Harry Wallin /sd
  • Lasse Virén /saml
  • Raimo Vistbacka /saf
  • ers. Reijo Paajanen /saml

Sekreterare var

utskottsråd Mika Boedeker