A-G: PNR-verdrag EU-Canada strookt niet met EU-grondrechten

Het betreft de conclusie van advocaat-generaal  Mengozzi in adviesprocedure 1/15 (verzoek van het Europees Parlement op grond van artikel 218, lid 11 EU-Werkingsverdrag).

De Europese Unie en Canada zijn in 2010 onderhandelingen gestart over een overeenkomst over de doorgifte en de verwerking van persoonsgegevens van passagiers (PNR-overeenkomst). De voorgenomen overeenkomst moet het mogelijk maken dat PNR-gegevens aan de Canadese autoriteiten worden doorgegeven met het oog op het gebruik, de bewaring en in voorkomend geval de latere doorgifte van gegevens, teneinde terrorisme en andere grensoverschrijdende criminaliteit te bestrijden. De ontwerpovereenkomst bevat ook bepalingen betreffende de beveiliging en de integriteit van PNR-gegevens, onmiddellijke afscherming van gevoelige informatie, de rechten van toegang tot de gegevens, de rectificatie en het wissen, de mogelijkheid van administratief beroep of beroep in rechte en een maximumbewaartermijn van vijf jaar.

De overeenkomst is ondertekend in 2014, waarna de Raad van de Europese Unie de goedkeuring heeft gevraagd van het Europees Parlement. Dit heeft toen besloten om zich tot het Hof te wenden met de vraag of de voorgenomen overeenkomst verenigbaar is met het recht van de Unie, dat de eerbiediging van het privé- en gezinsleven en de bescherming van persoonsgegevens waarborgt. Het Parlement vraagt zich onder meer af of, ondanks de in de overeenkomst neergelegde waarborgen, de inmenging in het grondrecht op gegevensbescherming gerechtvaardigd is.

Het Parlement vraagt het EU-Hof ook of de voorgenomen overeenkomst artikel 82 en artikel 87 EU-Werkingsverdrag (VWEU), betreffende de justitiële samenwerking in strafzaken en politiële samenwerking, dan wel artikel 16 VWEU betreffende de bescherming van persoonsgegevens als rechtsgrondslag moet hebben. Op dit punt antwoordt de advocaat-generaal dat de overeenkomst op basis van zowel artikel 16 VWEU als artikel 87 VWEU moet worden gesloten. Met de voorgenomen overeenkomst worden immers twee onderling onlosmakelijk verbonden, even belangrijke doelstellingen nagestreefd (aan de ene kant de strijd tegen terrorisme en ernstige grensoverschrijdende criminaliteit – artikel 87 VWEU – en aan de andere kant de bescherming van persoonsgegevens – artikel 16 VWEU).

In zijn conclusie komt advocaat-generaal Paolo Mengozzi allereerst tot het oordeel dat de voorgenomen overeenkomst verenigbaar is met het Handvest van de grondrechten van de EU (onder meer met het recht op eerbiediging van het privé- en gezinsleven en het recht op bescherming van persoonsgegevens) mits:

• de categorieën PNR-gegevens van luchtvaartpassagiers duidelijk en nauwkeurig zijn geformuleerd en gevoelige gegevens van de werkingssfeer van de overeenkomst zijn uitgesloten;
• strafbare feiten die vallen onder de definitie van zware grensoverschrijdende criminaliteit in de overeenkomst uitputtend worden opgesomd;

• de overeenkomst voldoende duidelijk en nauwkeurig de met de verwerking van de PNR-gegevens belaste autoriteit aanwijst om de bescherming en de beveiliging van die gegevens te waarborgen;
• het aantal personen waarop het “vizier” is gericht in ruime mate op niet-discriminerende wijze kan worden afgebakend, zodat daardoor alleen personen worden geraakt op wie een redelijke verdenking van deelneming aan terrorisme of zware grensoverschrijdende criminaliteit rust;
• de overeenkomst bepaalt dat alleen functionarissen van de bevoegde Canadese autoriteit toegang mogen hebben tot PNR-gegevens en zij voorziet in objectieve criteria aan de hand waarvan het aantal van die functionarissen kan worden bepaald;
• de overeenkomst de objectieve redenen vermeldt die rechtvaardigen dat alle PNR-gegevens voor een maximumperiode van vijf jaar moeten worden bewaard, met dien verstande dat ingeval PNR-gegevens gedurende vijf jaar moeten worden bewaard, gegevens aan de hand waarvan een luchtvaartpassagier rechtstreeks kan worden geïdentificeerd door afscherming moeten worden gedepersonaliseerd;
• een onafhankelijke autoriteit of een gerechtelijke instantie van Canada gemachtigd is, vooraf te controleren of de bevoegde Canadese autoriteit per geval PNR-gegevens aan een andere Canadese overheidsinstantie of aan een overheidsinstantie van een derde land mag vrijgeven (ingeval de gegevens betrekking hebben op een burger van de Unie, moet dat ook eerst aan de bevoegde autoriteiten van de betrokken lidstaat en/of aan de Commissie worden meegedeeld);
• de overeenkomst stelselmatig, door een duidelijke en nauwkeurige regel, waarborgt dat een onafhankelijke autoriteit erop zal kunnen toezien dat het privéleven en de persoonsgegevens van passagiers van wie PNR-gegevens worden verwerkt, worden beschermd;
• de overeenkomst duidelijk bepaalt dat verzoeken om toegang, rectificatie en annotatie die afkomstig zijn van passagiers die niet op Canadees grondgebied aanwezig zijn, tot een onafhankelijke openbare instantie kunnen worden gericht.

Daarentegen zijn volgens advocaat-generaal Mengozzi sommige bepalingen van de voorgenomen overeenkomst in hun huidige versie in strijd met het Handvest van de grondrechten van de EU. Meer in het bijzonder betreft het hier de volgende bepalingen:

• de bepalingen op grond waarvan, in ruimere mate dan strikt noodzakelijk is, de mogelijkheden van verwerking van PNR-gegevens kunnen worden uitgebreid, onafhankelijk van de door de voorgenomen overeenkomst nagestreefde doelstelling van openbare veiligheid, te weten het voorkomen en opsporen van terrorisme en zware grensoverschrijdende criminaliteit;
• de bepalingen op grond waarvan Canada PNR-gegevens die gevoelige informatie bevatten kan verwerken, gebruiken en bewaren;
• de bepalingen op grond waarvan Canada in ruimere mate dan strikt noodzakelijk is informatie mag vrijgeven zonder dat enig verband met de door de overeenkomst nagestreefde doelstelling van openbare veiligheid hoeft te bestaan;
• de bepalingen op grond waarvan Canada PNR-gegevens voor een maximumperiode van vijf jaar mag bewaren voor onder meer een specifieke handeling, toetsing, onderzoek of gerechtelijke procedure, zonder dat enig verband hoeft te bestaan met de door de overeenkomst nagestreefde doelstelling van openbare veiligheid;
• de bepalingen op grond waarvan PNR-gegevens aan een openbare instantie van een derde land kunnen worden doorgegeven zonder dat de bevoegde Canadese autoriteit, onder toezicht van een onafhankelijke instantie, eerst heeft geverifieerd dat de openbare instantie van het betrokken derde land die gegevens nadien niet zelf kan meedelen aan een andere instantie van een derde land.

De advocaat-generaal komt tot bovenstaande conclusie op basis van de uitspraken van het EU-Hof in de zaken Digital Rights Ireland en Schrems. Hij is van oordeel dat de met die arresten ingeslagen weg moet worden gevolgd en dat de voorgenomen overeenkomst strikt moet worden getoetst aan het recht op eerbiediging van het privé- en gezinsleven en aan het recht op bescherming van persoonsgegevens. Op het moment waarop overheidsinstanties dankzij de moderne technologieën in de naam van de strijd tegen terrorisme en zware grensoverschrijdende criminaliteit uiterst geavanceerde methodes kunnen ontwikkelen om het privéleven van personen te volgen en hun persoonsgegevens te analyseren, moet het EU-Hof immers erop toezien dat de voorgenomen maatregelen – ook indien in de vorm van voorgenomen internationale overeenkomsten – berusten op een juiste afweging tussen het legitieme streven om de openbare veiligheid te beschermen en het – niet minder fundamentele – doel, te waarborgen dat iedere persoon een hoog niveau van bescherming van zijn privéleven en van zijn persoonsgegevens kan genieten.

Meer info:

• EP wil advies EU-Hof over verdrag met Canada inzake passagiersgegevens (ECER 26 november 2014)
• Opslag gegevens EU-onderdanen op VS-servers schendt privacy (ECER 8 oktober 2015)
• Dataretentierichtlijn ongeldig (ECER 8 april 214)