Retssikkerhed i terrorismens skær

USA kræver oplysninger om alle personer som vil rejse ind i landet. Det har EU været tvunget til at reagere på. Det har betydet øget mulighed for udveksling af oplysninger – også internt i EU – siger Charlotte Bagger Tranberg, der er adjunkt ved Aalborg Universitet med speciale i EU-ret og persondatabeskyttelse
Af Charlotte Bagger Tranberg
1. januar 2008

Terrorangrebene i USA den 11. september 2001 har sat sig mange spor i forhold til identifikation og overvågning af menneskers gøren og laden. USA har øget sikkerhedsniveauet og dermed også indsamlingen af oplysninger om de personer som vil rejse ind i landet. EU har været tvunget til at reagere i forhold til USA, og det har betydet en øget mulighed for udveksling af oplysninger, både i forhold til USA, men også internt i EU. En øget udveksling af personlige oplysninger om borgerne i fællesskabet vil alt andet lige kræve at fokus også rettes mod retssikkerhedsmæssige garantier, så borgerne informeres om de påtænkte handlinger, og at de i mindst muligt omfang føler sig overvåget.

Passageroplysninger

Det øgede krav om identifikation fra amerikansk side har fået betydning for statsborgerne i EU (unionsborgerne). USA stillede krav om at europæiske luftfarsselskaber skulle indsamle og videregive en lang række oplysninger om europæiske flypassagerer i forbindelse med flyrejser til USA.

Siden 1995 har EU haft fælles minimumsbestemmelser om beskyttelse af personlige oplysninger om unionsborgerne, så grundlæggende rettigheder og frihedsrettigheder blev overholdt. Reglerne indeholder også krav om at oplysninger om personer kun må videregives til lande uden for EU, hvis det pågældende land som minimum beskytter personlige oplysninger lige så godt som det gøres i EU.

USA beskytter ikke personoplysninger lige så godt som i EU, og derfor blev EU nødt til at indgå en aftale med USA omkring udveksling af passager-oplysninger. Aftalen fra 2004 var meget vidtgående i forhold til det enkelte menneskes integritet og indebar at amerikanske luftfartsmyndigheder skulle have mulighed for selv at indsamle en lang række oplysninger om europæiske flypassagerer via en adgang ind i de europæiske edb-systemer som indeholder oplysninger om flypassagerer (et såkaldt pull-system). Amerikanske luftfartsmyndigheder havde endvidere mulighed for at videregive indsamlede oplysninger til andre amerikanske myndigheder.

Fra 34 til 19 data-kategorier

Den første aftale om registrerede passageroplysninger (Passenger Name Record, heraf forkortelsen PNR-aftale) mellem USA og EU fik begrænset levetid, fordi den var vedtaget på et fejlagtigt retligt grundlag. USA og EU måtte derfor til forhandlingsbordet igen, og i 2007 trådte en ny aftale i kraft. I forhold til den tidligere aftale er der tale om en reduktion af antallet af oplysningskategorier fra 34 til 19, men nogle af felterne er stadig »åbne« kommentarfelter som principielt kan indeholde mange forskellige former for oplysninger. Oplysningerne lagres i søgbare systemer i syv år og flyttes efterfølgende over i ikke-søgbare systemer i otte år. Den europæiske tilsynsførende for databeskyttelse Peter Hustinx har påpeget at aftalen mangler robuste retlige mekanismer, så den registrerede får mulighed for at påtale behandling af ikke-korrekte personoplysninger.

Canada-aftale mere optimal

EU har også indgået en PNR-aftale med Canada. Set fra unionsborgernes synspunkt er denne aftale langt mere optimal. Overordnet set er der tale om et såkaldt push-system, hvor det er de relevante europæiske myndigheder som så at sige »skubber« de relevante oplysninger til de canadiske luftfartsmyndigheder som altså ikke kan »tage selv«. Antallet af oplysninger som der er mulighed for at udveksle, er også langt mindre.

EU's PNR-aftale med Canada viser at det sagtens kan lade sig gøre at forhandle sig frem til en aftale der i langt højere grad tilgodeser det enkelte individs integritetsbeskyttelse, men i forhold til EU's aftale med USA skal Canada vel også betragtes som en mere ligeværdig forhandlingspartner.

I november 2007 har EU-Kommissionen fremlagt et forslag til en rammeafgørelse som har til formål at registrere PNR-oplysninger på alle personer som rejser ind og ud af EU. Forslaget er alarmerende fordi det ikke tager udgangspunkt i det europæiske niveau for beskyttelse af personoplysninger, men i høj grad er bygget op over den ovenfor omtalte og stærkt kritiserede aftale med USA.

Samarbejdet på det politimæssige og strafferetlige område

For øjeblikket pågår de sidste forhandlinger om vedtagelse af en anden rammeafgørelse. Den handler om beskyttelse af personoplysninger i forbindelse med det politimæssige og strafferetlige samarbejde (Traktatens tredje søjle) mellem de relevante myndigheder i medlemsstaterne. Det er af vital betydning at der sikres et tilstrækkeligt beskyttelsesniveau for dette samarbejde, da dette er en forudsætning for at den frie udveksling af oplysninger kan lettes i tilstrækkelig grad.

Det oprindelige udkast til rammeafgørelse på området er fra 2005, men da det ikke lykkedes at nå til enighed om indholdet, udarbejdede det tyske formandskab et revideret forslag i april 2007.

Det reviderede udkast er fra flere sider blevet karakteriseret som langt mere overordnet og generelt end det oprindelige udkast. I en udtalelse har Den Europæiske Tilsynsførende for Databeskyttelse endog sået tvivl om hvorvidt udkastet er på niveau med den eksisterende persondataretlige lovgivning.

Det reviderede udkast regulerer udelukkende den grænseoverskridende udveksling af oplysninger på det politimæssige og strafferetlige område. Det står medlemsstaterne frit for om de i deres eget land vil yde sikkerhedsgarantier som er mere omfattende end dem der er fastsat i rammeafgørelsen.

I skyggen

Afsluttende kan man spørge, hvor godt det egentligt går med EU-borgernes retssikkerhed i terrorismens skær. Det er åbenbart at de terrorangreb som er sket i kølvandet på 11. september, i nogen grad har sat borgernes retssikkerhed i skyggen af terrorbekæmpelsen, men det betyder jo samtidig ikke at EU nødvendigvis skal lægge sig op ad USA når det gælder rent fællesskabsretlig lovgivning om registrering af passageroplysninger i luftfart.

Udviklingen af samarbejdet i EU er en anden tilgang til vurderingen af retssikkerheden. Denne udvikling er i og for sig naturlig, men på grund af den tætte sammenhæng mellem terrorhandlinger og politimæssigt og strafferetligt samarbejde foregår denne desværre også i terrorismens skær, og det er ikke gavnligt for retssikkerheden.

---

Det skal de vide

Her er listen over data som luftfartsmyndighederne i USA kan trække og videregive om alle EU-borgere som flyver til USA. EU-Kommissionen foreslår nu et tilsvarende registreringssystem for alle flyvninger ind og ud af EU.

 Registerets lokaliseringskode

 Dato for reserveringen og udstedelse af billet

 Dato for rejsen

 Navn(e)

 Frequent flyer-oplysninger om bonusordninger, rejste mil og adresser

 Antal rejsende og medrejsendes navne

 Adresser, telefonnumre, emailadresser

 Alle slags betalingsoplysninger, inkl. regningsadresse

 Alle øvrige rejseplaner for denne rejse

 Rejsebureau og rejseagent

 Delt kode oplysninger – hvis eksempelvis SAS flyver ruten sammen med et andet flyselskab

 Split/divided PNR information – hvis rejsefæller flyver hjem på forskellige tidspunkter eller deler sig undervejs

 Rejsestatus – tjek-in-status og bekræftelse

 Billetoplysninger – hvorvidt det f.eks. er papir eller elektronisk billet

 Alle bagageoplysninger

 Pladsoplysninger, herunder sædenummer

 Generelle bemærkninger og særlige ønsker, oplysninger om helbred og handicap, eller om mad skal være muslimsk, kosher, vegetar eller fisk

 Alle APIS oplysninger – pasoplysninger, hvis de indgår i bookingen

 Alle ændringer foretaget i ovenstående punkter.