Het Europees Parlement,

–   gezien de verklaring van de Commissie tijdens het debat van 21 oktober 2008 naar aanleiding van mondelinge vraag B6-0476/2008 over het voorstel voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden (COM(2007)0654),

–   gezien de debatten die momenteel op ministers- en werkgroepniveau in de Raad worden gevoerd over voornoemd voorstel,

–   gezien de adviezen van het Bureau voor de grondrechten, de Europese Toezichthouder voor gegevensbescherming, de Werkgroep gegevensbescherming artikel 29 en de Werkgroep voor politie en justitie,

–   onder verwijzing naar zijn voorgaande resoluties(1) over de PNR-Overeenkomst EU-VS(2), de PNR-Overeenkomst EU-Canada(3) en de PNR-Overeenkomst EU-Australië(4),

–   gelet op artikel 108, lid 5, van zijn Reglement,

A.   overwegende dat de beginselen inzake gegevensbescherming waaraan de instellingen van de EU en de lidstaten moeten voldoen worden uiteengezet in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens (EVRM), de artikelen 7 en 52 van het Handvest van de grondrechten van de Europese Unie (Handvest van de grondrechten), artikel 286 van het EG-Verdrag, artikel 5 van het Verdrag nr. 108 van de Raad van Europa tot bescherming van personen in verband met de geautomatiseerde verwerking van persoonsgegevens (Verdrag nr. 108), en op secundair niveau, in Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(5) en het ontwerpkaderbesluit van de Raad over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken,

B.   overwegende dat alle nieuwe EU-wetgeving moet voldoen aan de principes van evenredigheid en subsidiariteit zoals vastgelegd in artikel 5 van het EG-Verdrag en Protocol 30 daarvan,

Procedurele aspecten

1.   erkent de behoefte aan nauwere samenwerking op Europees en internationaal niveau wat de bestrijding van terrorisme en zware criminaliteit betreft; erkent dat de verzameling en verwerking van gegevens een waardevol instrument kan zijn voor rechtshandhaving;

2.   is van oordeel dat de rechtshandhavingsinstanties moeten kunnen beschikken over alle instrumenten die zij nodig hebben om hun taken uit te voeren, inclusief toegang tot gegevens; onderstreept evenwel dat aangezien dergelijke maatregelen aanzienlijke gevolgen hebben voor de persoonlijke levenssfeer van EU-burgers, hun rechtvaardiging in termen van noodzakelijkheid, proportionaliteit en nut met het oog op de verwezenlijking van de geformuleerde doelstellingen op overtuigende wijze dient te worden toegelicht, en beklemtoont dat moet worden voorzien in effectieve garanties voor de bescherming van de privacy en de rechtsbescherming; beschouwt dit als een voorafgaande voorwaarde om de noodzakelijke politieke legitimiteit te geven aan een maatregel die burgers kunnen zien als een ongepaste inbreuk op hun privacy;

3.   betreurt dat de formulering en rechtvaardiging van het voorstel van de Commissie ertoe leidt dat talrijke rechtsonzekerheden blijven bestaan inzake compatibiliteit met het EVRM en het Handvest van de grondrechten, maar ook de rechtsgrond ervan, wat vragen doet rijzen wat betreft de adequate rol van het Parlement in het wetgevingsproces; stelt vast dat dezelfde bezorgdheid over het gebrek aan rechtszekerheid in het voorstel:

4.   is van oordeel dat het Parlement in die omstandigheden zijn formeel advies volgens de formele raadplegingsprocedure pas kan uitbrengen wanneer een afdoend antwoord zal zijn gegeven op de in deze resolutie geformuleerde vragen en de noodzakelijke minimale hoeveelheid informatie zal zijn verschaft;

5.   herhaalt dat het een sterk voorbehoud maakt wat betreft de noodzakelijkheid en de toegevoegde waarde van het voorstel voor de instelling van een PNR-systeem in de EU en de daarbij verschafte garanties, ondanks de tot nu toe door de Commissie en de Raad verschafte mondelinge of schriftelijke verduidelijkingen; merkt tevens op dat vele van de door het Parlement, de Werkgroep gegevensbescherming artikel 29, de Werkgroep voor politie en justitie, de Europese Toezichthouder voor gegevensbescherming en het Bureau voor de grondrechten gestelde vragen niet op bevredigende wijze zijn beantwoord;

6.   deelt de mening van het Bureau voor de grondrechten dat de loutere beschikbaarheid van commerciële gegevensbanken niet automatisch het gebruik ervan voor wetshandhavingsdoeleinden rechtvaardigt; bovendien kunnen dezelfde of betere resultaten worden geboekt door de wederzijdse juridische bijstand tussen wetshandhavingsinstanties te verbeteren;

7.   verzoekt de Raad, indien deze voornemens is de tekst van de Commissie verder te behandelen, rekening te houden met de in deze resolutie geformuleerde aanbevelingen, en de dringende maatschappelijke behoeften die dit nieuwe EU-optreden "noodzakelijk" kunnen maken, terdege te rechtvaardigen, conform artikel 8 van het EVRM; beschouwt de naleving van deze voorwaarden als een minimumvereiste voor het ondersteunen van de invoering van een PNR-systeem in de EU; is bereid op alle niveaus bij te dragen en mee te werken aan de desbetreffende werkzaamheden;

8.   verzoekt andermaal om verduidelijking van het verband tussen gebruik van PNR en andere maatregelen zoals Richtlijn 2004/82/EG van de Raad van 29 april 2004 betreffende de verplichting voor vervoerders om passagiersgegevens door te geven(6), de voorgestelde regeling inzake toevoegingen/onttrekkingen, het elektronisch systeem voor reisvergunningen, biometrische gegevens in paspoorten en visa, SIS, VIS, Verordening (EG) nr. 2320/2002 van het Europees Parlement en de Raad van 16 december 2002 tot vaststelling van gemeenschappelijke regels op het gebied van de beveiliging van de burgerluchtvaart(7), en nationale grensbeschermingssystemen; betreurt dat de tenuitvoerlegging van sommige van deze maatregelen aanzienlijke vertraging heeft opgelopen en is van oordeel dat een volledige en systematische evaluatie van de bestaande mechanismen voor veiligheidssamenwerking van de EU en in het kader van Schengen en de instrumenten ter waarborging van de veiligheid van de luchtvaart, ter bescherming van de externe grenzen en ter bestrijding van terrorisme, een bijdrage kan leveren aan de beoordeling van de toegevoegde waarde van de voorgestelde PNR in de EU;

9.   wijst er opnieuw op dat het debat over de adequate rechtsgrond voor het voorstel nog steeds verder gaat, en herhaalt dat conform artikel 47 van het EU-Verdrag wetgevingsmaatregelen in het kader van de justitiële en politiële samenwerking gepaard moeten gaan met de noodzakelijke begeleidende communautaire maatregelen die dienen te worden aangenomen met toepassing van de medebeslissingsprocedure met het Parlement wat alle aspecten van de eerste pijler betreft, met name ten aanzien van de vaststelling van de reikwijdte van de verplichtingen van de marktdeelnemers(8);

10.   herinnert eraan dat het Hof van Justitie van de Europese Gemeenschappen de PNR-Overeenkomst EU-VS al heeft aangevochten omwille vanhet feit dat de rechtsgrondslag ervan fout is; verzoekt de Commissie dan ook grondig te onderzoeken wat de adequate rechtsgrondslag is;

11.   is van oordeel dat in verband met de indiening van nieuwe wetgeving de nationale parlementen ten volle dienen te worden betrokken bij het wetgevingsproces, gezien de gevolgen van het voorstel voor zowel de burgers als de nationale rechtsorden van de lidstaten;

12.   onderstreept dat de mogelijke toekomstige wetgeving tot invoering van een PNR-systeem in de EU als een nieuw kader voor politiële samenwerking in de EU voor een geregelde evaluatie ervan wat tenuitvoerlegging, toepassing, nut en niet-nakoming van de garanties betreft, dient te bevatten; is van oordeel dat de nationale parlementen, het EVRM, de Werkgroep gegevensbescherming artikel 29 en het Bureau voor de grondrechten moet worden gevraagd een rol te spelen bij zowel de herziening als de evaluatie; is derhalve van mening dat de nieuwe wetgeving een "sunset"-clausule dient te bevatten;

13.   onderstreept in die context dat elke lidstaat in eerste instantie verantwoordelijk is voor de verzameling van dergelijke PNR-gegevens en de bescherming ervan; onderstreept dat garanties verplicht zijn wanneer PNR-gegevens worden verzonden of overgedragen aan, of uitgewisseld tussen andere lidstaten; is dan ook van oordeel dat de toegang tot tussen lidstaten uitgewisselde PNR-gegevens strikt beperkt moet worden tot de instanties die zich bezighouden met de bestrijding van terrorisme en georganiseerde criminaliteit; is van mening dat andere wetshandhavingsdiensten er alleen toegang toe mogen krijgen met gerechtelijke goedkeuring;

Subsidiariteit

14.   stelt met verontrusting vast dat de noodzaak van communautair optreden nog niet voldoende is aangetoond; betwijfelt in die context de juistheid van de bewering van de Commissie dat het voorstel de harmonisatie van nationale programma's tot doel heeft, omdat slechts een gering aantal lidstaten beschikken over een systeem voor het gebruik van PNR-gegevens voor wetshandhaving en andere doelen, of de invoering van een dergelijk systeem overwegen; is dan ook van oordeel dat via het Commissievoorstel nationale programma's (die immers niet bestaan) niet worden geharmoniseerd, maar alle lidstaten er alleen maar toe worden verplicht een systeem op te zetten;

15.   stelt vast dat de Commissie een "gedecentraliseerd" programma voorstelt waardoor de Europese toegevoegde waarde nog onduidelijker wordt;

Evenredigheid

16.   wijst er opnieuw op dat op grond van artikel 8 van het EVRM en artikel 52 van het Handvest van de grondrechten een dergelijke massale ingreep in het recht op bescherming van persoonsgegevens legitiem moet zijn en moet gerechtvaardigd worden vanuit een dringende maatschappelijke behoefte, wettelijk moet worden geregeld en in verhouding moet staan tot het beoogde doel, dat noodzakelijk moet zijn wettig in een democratische samenleving; betreurt in die context dat de doelstelling van de beoogde maatregel voor politiële samenwerking zich niet beperkt tot terreinen zoals de bestrijding van terrorisme en georganiseerde criminaliteit;

17.   vreest dat wetshandhavingsinstanties door het voorstel in wezen zonder bevelschrift toegang krijgen tot alle gegevens; merkt op dat de Commissie niet aantoont dat er nieuwe wetshandhavingsbevoegdheden nodig zijn, en evenmin dat dit doel niet kan worden bereikt door middel van minder ingrijpende maatregelen; laakt het feit dat er geen informatie bestaat over de redenen waarom de huidige wetshandhavingsbevoegdheden niet voldoen aan de eisen, en waar en wanneer het de instanties aantoonbaar ontbrak aan de bevoegdheden waaraan zij voor het vastgestelde doel behoefte hadden; verzoekt om herziening van de hieronder opgesomde bestaande maatregelen alvorens het PNR-systeem van de EU verder wordt ontwikkeld;

18.   neemt er kennis van dat de Commissie stelt dat "de EU de waarde van PNR-gegevens [heeft] kunnen vaststellen en zich bewust [is] geworden van het potentieel hiervan voor wetshandhavingsdoeleinden", maar wijst erop dat er geen bewijs is dat deze bewering staaft, aangezien;

Afbakening van het doel

19.   wijst erop dat het beginsel van doelafbakening een van de fundamentele beginselen van gegevensbescherming is; in Conventie nr. 108 staat met name dat persoonsgegevens "dienen te worden opgeslagen voor bepaalde en legitieme doeleinden en niet te worden gebruikt op een wijze die onverenigbaar is met die doeleinden" (artikel 5, letter b)); merkt op dat afwijkingen van dit beginsel slechts toegestaan zijn indien de wet zulks mogelijk maakt en zij in een democratische samenleving een noodzakelijke maatregel vormen, o.m. in het belang van de "bestrijding van strafbare feiten" (artikel 9); wijst erop dat in de jurisprudentie van het Europees Hof voor de rechten van de mens duidelijk blijkt dat deze afwijkingen evenredig, nauwkeurig en voorspelbaar moeten zijn, overeenkomstig artikel 8, lid 2 van het EVRM;

20.   betreurt het ontbreken van een nauwkeurig doelafbakening, die bij het opleggen van beperkende maatregelen een wezenlijke waarborg vormt, en is van oordeel dat deze bescherming, ten gevolge van het grotere gevaar van willekeur in dergelijke omstandigheden, nog belangrijker is met betrekking tot geheime toezichtsmaatregelen; is van mening dat, aangezien de geformuleerde doelstellingen en definities onduidelijk en open zijn, zij strikt dienen te worden gespecificeerd, teneinde te voorkomen dat het PNR-systeem van de EU juridisch wordt aangevochten;

21.   herhaalt dat PNR-gegevens zeer nuttig kunnen zijn als aanvullend ondersteunend bewijsmateriaal in een specifiek onderzoek naar bekende verdachten van terrorisme en hun handlangers; is evenwel van oordeel dat niet is aangetoond dat PNR-gegevens bruikbaar zijn voor grootschalig geautomatiseerd onderzoek en analyse op basis van gevarennormen of -patronen (d.w.z. profilering of gegevensverzameling (data mining)) op zoek naar potentiële terroristen(9);

22.   onderstreept voorts dat de EU-voorschriften inzake gegevensbescherming beperkingen opleggen aan het gebruik van profilering op basis van persoonlijke gegevens (artikel 8 van het Handvest van de grondrechten en het EVRM); onderschrijft dan ook het standpunt van het Bureau voor de grondrechten dat profilering op basis van PRN-gegevens alleen inlichtingengestuurd mag zijn, en gebaseerd op individuele gevallen en factuele parameters;

23.   uit opnieuw zijn bezorgdheid over de maatregelen die voorzien in een ongenuanceerd gebruik van PNR-gegevens voor profilering en het bepalen van parameters voor risicobeoordeling; wijst er opnieuw op dat elke soort van profilering op grond van etnische afkomst, nationaliteit, godsdienst, seksuele geaardheid, geslacht, leeftijd of medische conditie expliciet moet worden uitgesloten als zijnde in strijd met het verbod op discriminatie, zoals vastgelegd in de EU-Verdragen en het Handvest van de grondrechten;

24.   herinnert eraan dat de Commissie en de Raad, indien zij voornemens zijn het toepassingsgebied van het voorstel uit te breiden, voor ieder gesteld doel duidelijk moeten maken waartoe PNR-gegevens zullen worden gebruikt en waarom bestaande wetshandhavingsbevoegdheden niet toereikend zijn; is van oordeel dat voor ieder gesteld doel de juiste rechtsgrondslag moet worden bepaald;

Bescherming van persoonsgegevens

25.   wijst erop dat goedkeuring van een adequaat gegevensbeschermingskader onder de derde pijler een absolute voorafgaande voorwaarde is voor een PNR-systeem in de EU, evenals specifieke voorschriften inzake overdracht en gebruik van PNR-gegevens buiten het gegevensbeschermingskader van de EU voor de eerste en de derde pijler; beklemtoont dat dient te worden verduidelijkt welke gegevensbeschermingsvoorschriften van toepassing zijn op Passagiersinformatie-eenheden (PIU's) en dat de traceerbaarheid van elke toegang of overdracht en van elk gebruik van PN-gegevens dient te worden gegarandeerd;

26.   onderstreept dat gevoelige gegevens slechts mogen worden gebruikt in specifieke gevallen, in de context van een regulier onderzoek of een reguliere rechtsvervolging, en indien zij zijn verkregen met een bevelschrift; neemt er kennis van dat luchtvaartmaatschappijen hun bezorgdheid hebben geuit over het feit dat gevoelige gegevens niet kunnen worden geselecteerd uit algemene opmerkingen; vraagt dan ook dat strikte voorwaarden worden vastgesteld voor de verwerking van deze gegevens door PIU's, zoals gedefinieerd in het advies van het Bureau voor de grondrechten;

Bijzonderheden van de tenuitvoerlegging

27.   onderstreept dat de Commissie de voorgestelde perioden voor het bewaren van gegevens niet rechtvaardigt; is evenwel van oordeel dat voor het ontwikkelen van risico-indicatoren en het vaststellen van reis- en gedragspatronen anoniem gemaakte gegevens moeten volstaan; is tevens van oordeel dat indien de reikwijdte van het PNR-systeem wordt uitgebreid, bewaarperioden voor elk afzonderlijk doel met redenen moeten worden omkleed;

28.   herhaalt dat gegevens uitsluitend via de PUSH-methode moeten worden doorgezonden, en dat derde landen geen rechtstreekse toegang mogen hebben tot PNR-gegevens in EU-boekingssystemen;

29.   juicht het toe dat wat betreft toegang tot PNR-gegevens in het voorstel wordt gesteld dat alle instanties die toegang hebben tot PNR-gegevens dienen te worden benoemd in een exhaustieve lijst;

30.   onderstreept, wat overdrachten naar derde landen betreft, dat gegevens niet mogen worden doorgezonden naar derde landen, tenzij de derde landen in kwestie een adequaat beschermingsniveau (zoals bepaald in Richtlijn 95/46/EG en de juridische instrumenten tot oprichting van Europol en Eurojust) of adequate beveiligingen waarborgen (overeenkomstig Verdrag nr. 108), en dat gegevens uitsluitend op incidentele basis mogen worden doorgegeven;

31.   herhaalt dat passagiers volledig en op toegankelijke wijze op de hoogte moeten worden gesteld van bijzonderheden van het systeem en van hun rechten, en dat de autoriteiten van de lidstaten verantwoordelijk zijn voor het verschaffen van deze informatie; stelt voor dat de informatie over "instapweigering" in luchthavens als voorbeeld wordt gebruikt; acht het van essentieel belang dat de rechten van toegang, rechtzetting en beroep voor passagiers worden gedefinieerd;

32.   dringt aan op gedetailleerde en geharmoniseerde regels inzake veiligheid van PNR-gegevens, wat betreft zowel IT-oplossingen als voorschiften inzake machtiging en toegang;

Gevolgen voor luchtvaartmaatschappijen

33.   wijst erop dat luchtvaartmaatschappijen PNR-gegevens verzamelen voor commerciële doeleinden en dat de gegevens niet systematisch worden verzameld om alle PNR-velden in te vullen; onderstreept dat van luchtvaartmaatschappijen niet mag worden geëist dat zij aanvullende gegevens verzamelen naast de gegevens die zij voor hun commerciële doeleinden verzamelen; is van oordeel dat luchtvaartmaatschappijen er niet mee mogen worden belast te controleren of de verzamelde gegevens volledig en juist zijn, en dat geen sancties mogen worden opgelegd in geval van onvolledige of onjuiste gegevens; wenst dat een duidelijke evaluatie wordt gemaakt van de kosten van een PNR-systeem in de EU; is van oordeel dat alle extra kosten dienen te worden gedragen door de vragende partijen;

Tussenpersonen/Passagiersinformatie-eenheden (PIU)

34.   wenst dat de rol en de bevoegdheden van de PIU's duidelijk worden omschreven, met name in termen van doorzichtigheid en democratische verantwoordingsplicht, en teneinde adequate gegevensbeschermingsregels vast te stellen; wenst dat de rol van de PIU's wordt beperkt tot de overdracht van gegevens aan de bevoegde autoriteiten, teneinde te garanderen dat risicobeoordelingen alleen mogen worden uitgevoerd door bevoegde autoriteiten en in de context van een onderzoek; verzoekt om opheldering over de wet die zal gelden voor door de PIU uitgevoerde risicobeoordelingen, en de verantwoordelijkheid van gegevensbeschermingsautoriteiten ingeval lidstaten samenwerken bij het opzetten van een gemeenschappelijke PIU;

o
o   o

35.   verzoekt zijn Voorzitter deze resolutie te doen toekomen aan de Raad, de Commissie, de regeringen en parlementen van de lidstaten, de Europese Toezichthouder voor gegevensbescherming, het Europees Bureau voor de grondrechten, de Werkgroep gegevensbescherming artikel 29 en de Werkgroep voor politie en justitie.

(1) PB C 61 E van 10.3.2004, blz. 381; PB C 81 E van 31.3.2004, blz. 105; PB C 103 E van 29.4.2004, blz. 665; PB C 157 E van 6.7.2006, blz. 464; PB C 305 E van 14.12.2006, blz. 250; PB C 287 E van 29.11.2007, blz. 349; PB C 175 E van 10.7.2008, blz. 564; Aangenomen teksten van 22.10.2008, P6_TA(2008)0512. (2) PB L 204 van 4.8.2007, blz. 18. (3) PB L 82 van 21.3.2006, blz. 15. (4) PB L 213 van 8.8.2008, blz. 49. (5) PB L 281 van 23.11.1995, blz. 31. (6) PB L 261 van 6.8.2004, blz. 24. (7) PB L 355 van 30.12.2002, blz. 1. (8) Zie met name het advies van de Juridische Dienst van de Raad ter zake en de conclusie die de advocaat-generaal op 14 oktober 2008 heeft uitgebracht in zaak C-301/06 Ierland tegen Europees Parlement en Raad van de Europese Unie inzake Richtlijn 2006/24/EG. (9) CRS report for the American Congress 'Data Mining and Homeland Security: An Overview' by Jeffrey Seifert; 'Effective counter-terrorism and the limited role of predicative data mining' by CATO Institute; 'Protecting individual privacy in the struggle against terrorists: a framework for program assessment'; 'No dream ticket to security' by Frank Kuipers, Clingendael Institute, August 2008.