Commissie voor de Bescherming van de Persoonlijke Levenssfeer: Advies van 18 December 2003 (België). RG 48/2003
Summary :
Samenvatting 1
Avis :
Add the document to a folder
()
to start annotating it.
De Commissie voor de bescherming van de persoonlijke levenssfeer,
Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, inzonderheid de artikelen 21 en 22 ,
Gelet op de klachten die de Commissie heeft ontvangen op 8 en 14 mei 2003,
Gelet op de briefwisseling tussen de partijen,
Gelet op het verslag van de Voorzitter,
Verklaart de klachten ontvankelijk,
Brengt op 18 december 2003 het volgend advies uit :
I. ONDERWERP VAN DE KLACHTEN
Op respectievelijk 8 en 14 mei 2003 ontving de Commissie een klacht van de heer ..X.. en de heer ..Y...
De klagers reisden van België naar de Verenigde Staten met 3 Amerikaanse luchtvaartmaatschappijen : United Airlines, Continental Airlines en Delta Airlines. Zij geven te kennen dat zij via de pers hebben vernomen dat de luchtvaartmaatschappijen informatie over hun passagiers verstrekken aan de Amerikaanse autoriteiten.
Zij bevestigen dat zij hierover niet voorafgaandelijk werden geïnformeerd door de betrokken luchtvaartmaatschappijen.
Er werd evenmin om hun toestemming verzocht. De klagers betwisten eveneens de rechtmatigheid van een systematische overdracht van passagiersgegevens aan de Amerikaanse autoriteiten en wijzen op het onverenigbaar karakter van dergelijke algemene overdracht, ten opzichte van de commerciële doeleinden, waarvoor de gegevens in principe door de luchtvaartmaatschappijen werden verwerkt.
De Commissie nam contact op met de luchtvaartmaatschappijen en zij maakten hun standpunt schriftelijk kenbaar op respectievelijk 23 juni, 24 juni en 27 juni 2003. Deze opmerkingen werden aan de klagers medegedeeld.
Op hun beurt kregen de klagers de mogelijkheid hun opmerkingen te formuleren uiterlijk tegen 27 november 2003. De klagers hebben echter geen gebruik gemaakt van deze mogelijkheid.
II. JURIDISCHE EN POLITIEKE CONTEXT
De verplichting om passagiersgegevens over te dragen werd kort na de gebeurtenissen van 11 september 2001, via meerdere Amerikaanse regels en wetten opgelegd aan de luchtvaartmaaschappijen, die vluchten naar de Verenigde Staten organiseren. Deze reglementen beogen de vervoersveiligheid en de strijd tegen de criminaliteit in het algemeen.
De gegevens zijn bij voorrang bestemd voor de bevoegde Amerikaanse autoriteiten inzake douane en veilig vervoer (" Transportation Security Agency ",een dienst van het Amerikaans departement voor binnenlandse veiligheid en voor het " Custom and Border Protection Bureau "). Maar er wordt eveneens overwogen om deze gegevens op een later tijdstip aan andere autoriteiten over te dragen.
Het gaat om de volgende gegevens :
Op het ogenblik dat de vlucht wordt geboekt : het PNR (Passenger name Record) : dit bestaat naast de naam van de passagier uit de volgende elementen :
&§61656; Informatie betreffende het reisagentschap dat de boeking verrichtte ;
&§61656; Het vliegtraject (eventuele stopplaatsen, verbindingen) ;
&§61656; Betreffende de vluchten (vluchtnummer, data, uren, klasse economische, business, etc) ;
&§61656; Groepen van personen die onder dezelfde boeking vallen ;
&§61656; Contactgegevens van de passagier (telefoonnummer(s) etc) ;
&§61656; Het verleende tarief, details betreffende de betaling (bankkaart) ;
&§61656; Hotel- of autoreservatie ;
&§61656; Gevraagde service aan boord (plaatsnummer, koosjere of vegetarische maaltijd, medische bijstand) ;
&§61656; " frequent flyer "statuut.
Op het ogenblik van de inscheping, de APIS-gegevens (Advanced passenger Information System) :
&§61656; volledige naam van de passagier ;
&§61656; geboortedatum ;
&§61656; geslacht ;
&§61656; nationaliteit ;
&§61656; land van uitgifte van het vervoersdocument en documentnummer ;
&§61656; land waar de betrokkene verblijft ;
&§61656; US visanummer, datum en plaats van uitgifte (indien nodig) ;
&§61656; Nummer van de registratie als vreemdeling (indien nodig) ;
&§61656; Het verblijfadres in de Verenigde Staten ;
&§61656; En ook elk ander gegeven dat nuttig wordt geacht om een vervoerde persoon te identificeren.
De luchtvaartmaatschappijen die voor deze Amerikaanse regelgeving niet willen zwichten, stellen zich bloot aan sancties vanwege de Verenigde Staten ; deze kunnen gaan van het weigeren van landings- en opstijgingsrechten van op Amerikaanse bodem tot bijzonder zware geldboetes.
Krachtens de territoriale bepalingen in de Europese richtlijn 95/46, is het Belgisch recht van toepassing op de luchtvaartmaatschappijen die een vestiging hebben in België en hun klantengegevens doorspelen aan de Amerikaanse overheid.
De botsing tussen de in Europa toepasselijke bepalingen betreffende de gegevensbescherming en de verplichtingen opgelegd door de Amerikaanse autoriteiten, gaven aanleiding tot onderhandelingen op internationaal niveau tussen de Europese en Amerikaanse overheid. Het is de bedoeling om tot een juridisch akkoord te komen dat voor beide partijen aanvaardbaar is.
Er worden op dit ogenblik nog steeds gegevens overgedragen aan de Verenigde Staten, niettegenstaande de problematiek van gegevensbescherming nog steeds aan de orde is en de onderhandelingen weldra resultaat zullen boeken en niettegenstaande de Europese Commissie overweegt om een besluit goed te keuren houdende vaststelling van een passend beschermingsniveau gewaarborgd door de Verenigde Staten .
De volgende discussiepunten werden door de Europese groep van Commissarissen voor gegevensbescherming naar voor geschoven :
&§61656; De rechtstreekse toegang voor de Amerikaanse overheid tot de gegevensbanken van de luchtvaartmaatschappijen gevestigd op Europees grondgebied (" pull ") ; Europa pleit voor een actieve doorgifte van geselecteerde informatie door de luchtvaartmaatschappijen (" push ") ;
&§61656; De talrijke ontvangers van de gegevens in de Verenigde Staten en het feit dat niet iedereen duidelijk geïdentificeerd is (latere doorgiften) ;
&§61656; De noodzaak om het doeleinde te beperken tot de strijd tegen terroristische acties ; wat momenteel niet het geval is (ook de strijd tegen de criminaliteit in het algemeen is erin opgenomen) ;
&§61656; De omvang van de overgedragen gegevens en het systematisch karakter van de overdracht (strijdig met het proportionaliteitsbeginsel) ;
&§61656; De bewaartijd van de gegevens (momenteel 7 of 8 jaar, zou teruggebracht worden tot 3,5 jaar), wordt als overmatig beschouwd ;
&§61656; Het recht op toegang van de betrokken personen tot de hen betreffende informatie en hun mogelijkheden op verzet.
Krachtens het bepaalde in de wet blijft de Commissie op nationaal vlak uiteraard bevoegd voor het ontvangen en behandelen van elke klacht met betrekking tot een luchtvaartmaatschappij die handelt als verantwoordelijke van een verwerking. Het is in deze context dat de Commissie de klachten onderzoekt van de heer ..X.. en de heer ..Y.. betreffende de mededeling van hun persoonsgegevens aan de Amerikaanse overheid.
Deze klachten werden onderzocht op de feitelijke elementen en de garanties die de luchtvaartmaatschappijen boden op het ogenblik dat zij de gegevens van de klagers inzamelden en doorgaven. De evolutie in zowel de politieke situatie als in de dialoog tussen de Amerikaanse en Europese overheden, is vanzelfsprekend van doorslaggevend belang voor wat betreft de bescherming van passagiersgegevens in het algemeen, maar wordt in dit advies buiten beschouwing gelaten omdat de klachten slaan op vroegere feiten.
III. TOEPASSING VAN DE WET TOT BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER
a. aanknopingspunten
De Belgische wet tot bescherming van de persoonlijke levenssfeer is van toepassing op de verwerking van de persoonsgegevens "die wordt verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied (...)".
In onderhavig geval worden de passagiersgegevens in België verwerkt door de vaste vestigingen van de luchtvaartmaatschappijen United Airlines, Continental Airlines en Delta Airlines, vooraleer ze worden doorgegeven aan de Verenigde Staten volgens variabele modaliteiten en doeleinden.
De Belgische wet is dus van toepassing op de verwerking van deze gegevens tot en met het ogenblik dat ze worden doorgegeven.
b. toepasbare beginselen
- naleven van het finaliteitsbeginsel
Artikel 4 van de wet stipuleert dat "persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden dienen te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen onverenigbaar is met die doeleinden ; (...)".
De luchtvaartmaatschappijen verzamelen dié passagiersgegevens die noodzakelijk zijn voor de verwezenlijking van het luchttransport.
De systematische mededeling van deze gegevens aan derden (de Amerikaanse overheden) om redenen die fundamenteel verschillen van het vervoerscontract dat werd afgesloten met de betrokken persoon (strijd tegen het terrorisme en meer in het algemeen tegen de criminaliteit) stelt de eerbiediging van het finaliteitsbeginsel, zoals voorzien in artikel 4, in vraag.
Het feit dat de doorgifte door een Amerikaanse wet wordt voorzien, komt niet tegemoet aan het bepaalde in artikel 4 : enkel wanneer in een juridische tekst die toepasbaar is in België wordt voorzien in een verplichting, zou een dergelijke verandering van doeleinde kunnen gerechtvaardigd worden.
- voorafgaande informatie
Aan de personen wiens gegevens worden verzameld, dient uiterlijk op het ogenblik dat deze gegevens worden verkregen de volgende informatie te worden verstrekt (artikel 9) :
&§61656; naam en adres van de verantwoordelijke van de verwerking (...);
&§61656; de doeleinden van de verwerking;
&§61656; de ontvangers of de categorieën ontvangers van de gegevens;
&§61656; het al dan niet verplichtend karakter van het antwoord en de eventuele gevolgen van niet-beantwoording;
&§61656; het bestaan van een recht op toegang en verbetering van de persoonsgegevens die op hen betrekking hebben (...).
Wat nu de klacht betreft van de heer ..Y.., geeft de luchtvaartmaatschappij Delta Airlines te kennen dat zij de wettelijke vereiste informatie niet aan de klager heeft verstrekt. De maatschappij roept hiervoor procedurele moeilijkheden in en de nood aan voldoende tijd om een toereikend informatiebeleid te realiseren.
Sindsdien stelt de maatschappij op haar website een beknopte informatie ter beschikking aan de betrokken personen.
Voor wat de klacht van de heer ..X.. betreft, heeft United Airlines net zoals Delta Airlines de klager niet geïnformeerd over de mededeling van zijn gegevens aan de Amerikaanse overheden. Deze luchtvaartmaatschappij verdedigt zich op identieke wijze als Delta Airlines. Ook de wijze waarop nu informatie wordt verstrekt, is identiek.
De tweede maatschappij, Continental Airlines, betrokken bij de reis van de heer ..X.., geeft echter aan dat er informatie werd verstrekt in de vervoersvoorwaarden . Sindsdien wordt deze informatie nog aangevuld met een mondelinge informatieverstrekking aan de passagier (gelijkaardige informatie als de twee vorige luchtvaartmaatschappijen) op het ogenblik van het eerste contact met de maatschappij.
De Commissie stelt vast dat de luchtvaartmaatschappijen op het ogenblik van de klachten, geen adequate informatie verstrekten. De bijkomende informatie die sindsdien op het internet wordt aangeboden, kan bovendien niet als toereikend beschouwd worden omdat deze onvoldoende uitdrukkelijk wordt geformuleerd en de betrokken personen zelf stappen moeten ondernemen om deze informatie te kunnen consulteren.
De informatie die door Continental Airlines wordt verstrekt, dient te worden beschouwd als minimaal omdat noch de identiteit van de ontvangers, noch de beoogde doeleinden uitvoerig worden beschreven. De wijze waarop de informatie wordt medegedeeld aan de klant is daarenboven onvoldoende uitdrukkelijk, gezien deze informatie verwerkt zit in de tekst betreffende de algemene vervoersvoorwaarden en medegedeeld wordt op aanvraag of via het Internet.
- Doorgifte naar een land dat geen passend niveau van gegevensbescherming kan garanderen
De doorgifte van persoonsgegevens naar landen die geen lid zijn van de Europese Unie wordt geregeld door de artikelen 21 en 22 van de wet van 8 december 1992. Een doorgifte naar een derde land kan in principe enkel indien het land van bestemming een adequaat beschermingsniveau kan aanbieden, of, krachtens één van de opgesomde uitzonderingen in artikel 22 van de wet.
Op dit ogenblik bestaat er geen beschikking van de Europese Commissie waarin wordt vastgesteld dat de Verenigde Staten algemeen gezien een passend beschermingsniveau aanbieden op het gebied van bescherming van persoonsgegevens (behalve dan voor de ondernemingen die de "veiligehavenbeginselen" onderschrijven, de zgn. "safe harbour principles" .
In de specifieke context, nl. de doorgifte van gegevens door luchtvaartmaatschappijen, worden de garanties die de Verenigde staten op het ogenblik van de klachten aanboden niet beschouwd als een gepast beschermingsniveau.
Derhalve zou de doorgifte van de gegevens van de klagers door de luchtvaartmaatschappijen enkel te rechtvaardigen zijn op basis van één van de uitzonderingen van artikel 22 van de wet.
De Commissie stelt vast dat er zowel een doorgifte is gebeurd van de PNR-gegevens als van de APIS-gegevens.
De PNR-gegevens worden in een eerste fase geregistreerd in een geïnformatiseerd boekingssysteem dat zich in de Verenigde Staten bevindt en de Amerikaanse overheden heeft via dit systeem rechtstreeks toegang tot de gegevens. De APIS-gegevens daarentegen worden door de luchtvaartmaatschappijen rechtstreeks doorgegeven aan de Amerikaanse autoriteiten.
&§61656; Voor wat de PNR-gegevens betreft :
De doorgifte via registratie van gegevens in een geïnformatiseerd boekingssysteem dat zich bevindt op Amerikaans grondgebied is in principe noodzakelijk om het contract te kunnen uitvoeren dat werd afgesloten tussen de betrokken persoon en de luchtvaartmaatschappij. Indien de doorgifte uitsluitend voor dit doeleinde geschiedt, dan is deze doorgifte wettig ten opzichte van artikel 22, 2° van de wet.
Indien daarentegen de eisen van de Amerikaanse overheden ertoe leiden dat de luchtvaartmaatschappijen bij de passagiers op systematische wijze gegevens verzamelen die niet per se noodzakelijk zijn voor de uitvoering van het vervoerscontract (zoals het adres, het telefoonnummer, kredietkaartnummer), dan kan de registratie van PNR-gegevens in een geïnformatiseerd boekingssysteem dat zich in de Verenigde Staten bevindt, niet langer beschouwd worden als een wettige doorgifte op basis van artikel 22, 2°.
In beide hypotheses stelt de Commissie zich vragen over de verantwoordelijkheid van de luchtvaartmaatschappijen.
Zij hadden vooraleer de doorgifte plaatsvond, kennis van het feit dat de gegevens niet enkel zouden dienen voor de uitvoering van het vervoerscontract maar dat zij eveneens zouden worden medegedeeld aan derden, voor een doeleinde dat onverenigbaar is met het eerste doeleinde waarvoor de gegevens oorspronkelijk werden verzameld.
Naast de niet-naleving van het finaliteitsbeginsel, voorzien in het Belgisch recht, stelt zich nog het probleem van een eventuele schending van de Europese Verordening met betrekking tot de geïnformatiseerde boekingssystemen . Het toepassingsgebied van deze Verordening is bijzonder breed en viseert elk boekingssysteem, ongeacht de inplanting van de centrale eenheid, dat op het grondgebied van de Europese gemeenschap wordt aangeboden of gebruikt.
De Verordening is erg strikt aangaande de voorwaarden waaraan derden moeten voldoen vooraleer zij toegang krijgen tot de gegevens die door het systeem worden beheerd. Indien het boekingssysteem niet functioneert conform de Europese regelgeving, dan zouden de luchtvaartmaatschappijen die de gegevens met kennis van zaken in dit systeem registreren van op Belgisch grondgebied, eveneens aansprakelijk kunnen gesteld worden op basis van het onwettig karakter van de verwerking die op het niveau van boekingssysteem op deze wijze geschiedde.
&§61656; Voor wat de doorgifte betreft van de APIS-gegevens :
Dit kan door geen enkele van de uitzonderingen in artikel 22 worden gerechtvaardigd.
In het bijzonder :
- Er is geen vrije toestemming vanwege de passagier voor de doorgifte van de gegevens. De vermelding van een impliciete toestemming in het vervoerscontract van de luchtvaartmaatschappij kan in dit opzicht niet beschouwd worden als een geldige toestemming : indien hij het vliegtuig wil nemen, heeft de passagier geen andere keuze dan de doorgifte van zijn gegevens te aanvaarden. Deze toestemming kan dus niet als "vrij" beschouwd worden.
- De doorgifte van de gegevens is niet noodzakelijk voor het uitvoeren van het vervoerscontract,
- De doorgifte is eveneens niet noodzakelijk of wettelijk verplicht vanwege een zwaarwegend algemeen belang, voor zover deze beschikking een zwaarwegend algemeen belang zou betreffen, die niet enkel unilateraal door de Verenigde staten maar eveneens door België als zodanig zou erkend worden.
OM DEZE REDENEN,
de Commissie,
stelt vast :
- het niet naleven van het finaliteitsbeginsel voorzien in artikel 4 van de wet, door de luchtvaartmaatschappijen United Airlines, Continental Airlines en Delta Airlines, op het ogenblik van de feiten;
- het niet naleven van de informatieplicht, opgenomen in artikel 9 van de wet;
- het niet naleven door de luchtvaartmaatschappijen United Airlines, Continental Airlines en Delta Airlines, op het ogenblik van de feiten, van de bepalingen van artikel 21 van de wet aangaande de doorgifte van persoonsgegevens naar landen buiten de Europese Unie;
beslist dat het huidig advies zal worden medegedeeld :
- aan de klagers, voor zover nuttig in rechte;
- aan de luchtvaartmaatschappijen United Airlines, Continental Airlines en Delta Airlines;
- aan de Minister van Justitie, overeenkomstig artikel 31, ,§5 van de wet van 8 december 1992 (anonieme versie t.a.v. de klagers).
De secretaris, De voorzitter,
(get.) J. BARET, (get.) P. THOMAS.
Gelet op de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, inzonderheid de artikelen 21 en 22 ,
Gelet op de klachten die de Commissie heeft ontvangen op 8 en 14 mei 2003,
Gelet op de briefwisseling tussen de partijen,
Gelet op het verslag van de Voorzitter,
Verklaart de klachten ontvankelijk,
Brengt op 18 december 2003 het volgend advies uit :
I. ONDERWERP VAN DE KLACHTEN
Op respectievelijk 8 en 14 mei 2003 ontving de Commissie een klacht van de heer ..X.. en de heer ..Y...
De klagers reisden van België naar de Verenigde Staten met 3 Amerikaanse luchtvaartmaatschappijen : United Airlines, Continental Airlines en Delta Airlines. Zij geven te kennen dat zij via de pers hebben vernomen dat de luchtvaartmaatschappijen informatie over hun passagiers verstrekken aan de Amerikaanse autoriteiten.
Zij bevestigen dat zij hierover niet voorafgaandelijk werden geïnformeerd door de betrokken luchtvaartmaatschappijen.
Er werd evenmin om hun toestemming verzocht. De klagers betwisten eveneens de rechtmatigheid van een systematische overdracht van passagiersgegevens aan de Amerikaanse autoriteiten en wijzen op het onverenigbaar karakter van dergelijke algemene overdracht, ten opzichte van de commerciële doeleinden, waarvoor de gegevens in principe door de luchtvaartmaatschappijen werden verwerkt.
De Commissie nam contact op met de luchtvaartmaatschappijen en zij maakten hun standpunt schriftelijk kenbaar op respectievelijk 23 juni, 24 juni en 27 juni 2003. Deze opmerkingen werden aan de klagers medegedeeld.
Op hun beurt kregen de klagers de mogelijkheid hun opmerkingen te formuleren uiterlijk tegen 27 november 2003. De klagers hebben echter geen gebruik gemaakt van deze mogelijkheid.
II. JURIDISCHE EN POLITIEKE CONTEXT
De verplichting om passagiersgegevens over te dragen werd kort na de gebeurtenissen van 11 september 2001, via meerdere Amerikaanse regels en wetten opgelegd aan de luchtvaartmaaschappijen, die vluchten naar de Verenigde Staten organiseren. Deze reglementen beogen de vervoersveiligheid en de strijd tegen de criminaliteit in het algemeen.
De gegevens zijn bij voorrang bestemd voor de bevoegde Amerikaanse autoriteiten inzake douane en veilig vervoer (" Transportation Security Agency ",een dienst van het Amerikaans departement voor binnenlandse veiligheid en voor het " Custom and Border Protection Bureau "). Maar er wordt eveneens overwogen om deze gegevens op een later tijdstip aan andere autoriteiten over te dragen.
Het gaat om de volgende gegevens :
Op het ogenblik dat de vlucht wordt geboekt : het PNR (Passenger name Record) : dit bestaat naast de naam van de passagier uit de volgende elementen :
&§61656; Informatie betreffende het reisagentschap dat de boeking verrichtte ;
&§61656; Het vliegtraject (eventuele stopplaatsen, verbindingen) ;
&§61656; Betreffende de vluchten (vluchtnummer, data, uren, klasse economische, business, etc) ;
&§61656; Groepen van personen die onder dezelfde boeking vallen ;
&§61656; Contactgegevens van de passagier (telefoonnummer(s) etc) ;
&§61656; Het verleende tarief, details betreffende de betaling (bankkaart) ;
&§61656; Hotel- of autoreservatie ;
&§61656; Gevraagde service aan boord (plaatsnummer, koosjere of vegetarische maaltijd, medische bijstand) ;
&§61656; " frequent flyer "statuut.
Op het ogenblik van de inscheping, de APIS-gegevens (Advanced passenger Information System) :
&§61656; volledige naam van de passagier ;
&§61656; geboortedatum ;
&§61656; geslacht ;
&§61656; nationaliteit ;
&§61656; land van uitgifte van het vervoersdocument en documentnummer ;
&§61656; land waar de betrokkene verblijft ;
&§61656; US visanummer, datum en plaats van uitgifte (indien nodig) ;
&§61656; Nummer van de registratie als vreemdeling (indien nodig) ;
&§61656; Het verblijfadres in de Verenigde Staten ;
&§61656; En ook elk ander gegeven dat nuttig wordt geacht om een vervoerde persoon te identificeren.
De luchtvaartmaatschappijen die voor deze Amerikaanse regelgeving niet willen zwichten, stellen zich bloot aan sancties vanwege de Verenigde Staten ; deze kunnen gaan van het weigeren van landings- en opstijgingsrechten van op Amerikaanse bodem tot bijzonder zware geldboetes.
Krachtens de territoriale bepalingen in de Europese richtlijn 95/46, is het Belgisch recht van toepassing op de luchtvaartmaatschappijen die een vestiging hebben in België en hun klantengegevens doorspelen aan de Amerikaanse overheid.
De botsing tussen de in Europa toepasselijke bepalingen betreffende de gegevensbescherming en de verplichtingen opgelegd door de Amerikaanse autoriteiten, gaven aanleiding tot onderhandelingen op internationaal niveau tussen de Europese en Amerikaanse overheid. Het is de bedoeling om tot een juridisch akkoord te komen dat voor beide partijen aanvaardbaar is.
Er worden op dit ogenblik nog steeds gegevens overgedragen aan de Verenigde Staten, niettegenstaande de problematiek van gegevensbescherming nog steeds aan de orde is en de onderhandelingen weldra resultaat zullen boeken en niettegenstaande de Europese Commissie overweegt om een besluit goed te keuren houdende vaststelling van een passend beschermingsniveau gewaarborgd door de Verenigde Staten .
De volgende discussiepunten werden door de Europese groep van Commissarissen voor gegevensbescherming naar voor geschoven :
&§61656; De rechtstreekse toegang voor de Amerikaanse overheid tot de gegevensbanken van de luchtvaartmaatschappijen gevestigd op Europees grondgebied (" pull ") ; Europa pleit voor een actieve doorgifte van geselecteerde informatie door de luchtvaartmaatschappijen (" push ") ;
&§61656; De talrijke ontvangers van de gegevens in de Verenigde Staten en het feit dat niet iedereen duidelijk geïdentificeerd is (latere doorgiften) ;
&§61656; De noodzaak om het doeleinde te beperken tot de strijd tegen terroristische acties ; wat momenteel niet het geval is (ook de strijd tegen de criminaliteit in het algemeen is erin opgenomen) ;
&§61656; De omvang van de overgedragen gegevens en het systematisch karakter van de overdracht (strijdig met het proportionaliteitsbeginsel) ;
&§61656; De bewaartijd van de gegevens (momenteel 7 of 8 jaar, zou teruggebracht worden tot 3,5 jaar), wordt als overmatig beschouwd ;
&§61656; Het recht op toegang van de betrokken personen tot de hen betreffende informatie en hun mogelijkheden op verzet.
Krachtens het bepaalde in de wet blijft de Commissie op nationaal vlak uiteraard bevoegd voor het ontvangen en behandelen van elke klacht met betrekking tot een luchtvaartmaatschappij die handelt als verantwoordelijke van een verwerking. Het is in deze context dat de Commissie de klachten onderzoekt van de heer ..X.. en de heer ..Y.. betreffende de mededeling van hun persoonsgegevens aan de Amerikaanse overheid.
Deze klachten werden onderzocht op de feitelijke elementen en de garanties die de luchtvaartmaatschappijen boden op het ogenblik dat zij de gegevens van de klagers inzamelden en doorgaven. De evolutie in zowel de politieke situatie als in de dialoog tussen de Amerikaanse en Europese overheden, is vanzelfsprekend van doorslaggevend belang voor wat betreft de bescherming van passagiersgegevens in het algemeen, maar wordt in dit advies buiten beschouwing gelaten omdat de klachten slaan op vroegere feiten.
III. TOEPASSING VAN DE WET TOT BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER
a. aanknopingspunten
De Belgische wet tot bescherming van de persoonlijke levenssfeer is van toepassing op de verwerking van de persoonsgegevens "die wordt verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied (...)".
In onderhavig geval worden de passagiersgegevens in België verwerkt door de vaste vestigingen van de luchtvaartmaatschappijen United Airlines, Continental Airlines en Delta Airlines, vooraleer ze worden doorgegeven aan de Verenigde Staten volgens variabele modaliteiten en doeleinden.
De Belgische wet is dus van toepassing op de verwerking van deze gegevens tot en met het ogenblik dat ze worden doorgegeven.
b. toepasbare beginselen
- naleven van het finaliteitsbeginsel
Artikel 4 van de wet stipuleert dat "persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden dienen te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen onverenigbaar is met die doeleinden ; (...)".
De luchtvaartmaatschappijen verzamelen dié passagiersgegevens die noodzakelijk zijn voor de verwezenlijking van het luchttransport.
De systematische mededeling van deze gegevens aan derden (de Amerikaanse overheden) om redenen die fundamenteel verschillen van het vervoerscontract dat werd afgesloten met de betrokken persoon (strijd tegen het terrorisme en meer in het algemeen tegen de criminaliteit) stelt de eerbiediging van het finaliteitsbeginsel, zoals voorzien in artikel 4, in vraag.
Het feit dat de doorgifte door een Amerikaanse wet wordt voorzien, komt niet tegemoet aan het bepaalde in artikel 4 : enkel wanneer in een juridische tekst die toepasbaar is in België wordt voorzien in een verplichting, zou een dergelijke verandering van doeleinde kunnen gerechtvaardigd worden.
- voorafgaande informatie
Aan de personen wiens gegevens worden verzameld, dient uiterlijk op het ogenblik dat deze gegevens worden verkregen de volgende informatie te worden verstrekt (artikel 9) :
&§61656; naam en adres van de verantwoordelijke van de verwerking (...);
&§61656; de doeleinden van de verwerking;
&§61656; de ontvangers of de categorieën ontvangers van de gegevens;
&§61656; het al dan niet verplichtend karakter van het antwoord en de eventuele gevolgen van niet-beantwoording;
&§61656; het bestaan van een recht op toegang en verbetering van de persoonsgegevens die op hen betrekking hebben (...).
Wat nu de klacht betreft van de heer ..Y.., geeft de luchtvaartmaatschappij Delta Airlines te kennen dat zij de wettelijke vereiste informatie niet aan de klager heeft verstrekt. De maatschappij roept hiervoor procedurele moeilijkheden in en de nood aan voldoende tijd om een toereikend informatiebeleid te realiseren.
Sindsdien stelt de maatschappij op haar website een beknopte informatie ter beschikking aan de betrokken personen.
Voor wat de klacht van de heer ..X.. betreft, heeft United Airlines net zoals Delta Airlines de klager niet geïnformeerd over de mededeling van zijn gegevens aan de Amerikaanse overheden. Deze luchtvaartmaatschappij verdedigt zich op identieke wijze als Delta Airlines. Ook de wijze waarop nu informatie wordt verstrekt, is identiek.
De tweede maatschappij, Continental Airlines, betrokken bij de reis van de heer ..X.., geeft echter aan dat er informatie werd verstrekt in de vervoersvoorwaarden . Sindsdien wordt deze informatie nog aangevuld met een mondelinge informatieverstrekking aan de passagier (gelijkaardige informatie als de twee vorige luchtvaartmaatschappijen) op het ogenblik van het eerste contact met de maatschappij.
De Commissie stelt vast dat de luchtvaartmaatschappijen op het ogenblik van de klachten, geen adequate informatie verstrekten. De bijkomende informatie die sindsdien op het internet wordt aangeboden, kan bovendien niet als toereikend beschouwd worden omdat deze onvoldoende uitdrukkelijk wordt geformuleerd en de betrokken personen zelf stappen moeten ondernemen om deze informatie te kunnen consulteren.
De informatie die door Continental Airlines wordt verstrekt, dient te worden beschouwd als minimaal omdat noch de identiteit van de ontvangers, noch de beoogde doeleinden uitvoerig worden beschreven. De wijze waarop de informatie wordt medegedeeld aan de klant is daarenboven onvoldoende uitdrukkelijk, gezien deze informatie verwerkt zit in de tekst betreffende de algemene vervoersvoorwaarden en medegedeeld wordt op aanvraag of via het Internet.
- Doorgifte naar een land dat geen passend niveau van gegevensbescherming kan garanderen
De doorgifte van persoonsgegevens naar landen die geen lid zijn van de Europese Unie wordt geregeld door de artikelen 21 en 22 van de wet van 8 december 1992. Een doorgifte naar een derde land kan in principe enkel indien het land van bestemming een adequaat beschermingsniveau kan aanbieden, of, krachtens één van de opgesomde uitzonderingen in artikel 22 van de wet.
Op dit ogenblik bestaat er geen beschikking van de Europese Commissie waarin wordt vastgesteld dat de Verenigde Staten algemeen gezien een passend beschermingsniveau aanbieden op het gebied van bescherming van persoonsgegevens (behalve dan voor de ondernemingen die de "veiligehavenbeginselen" onderschrijven, de zgn. "safe harbour principles" .
In de specifieke context, nl. de doorgifte van gegevens door luchtvaartmaatschappijen, worden de garanties die de Verenigde staten op het ogenblik van de klachten aanboden niet beschouwd als een gepast beschermingsniveau.
Derhalve zou de doorgifte van de gegevens van de klagers door de luchtvaartmaatschappijen enkel te rechtvaardigen zijn op basis van één van de uitzonderingen van artikel 22 van de wet.
De Commissie stelt vast dat er zowel een doorgifte is gebeurd van de PNR-gegevens als van de APIS-gegevens.
De PNR-gegevens worden in een eerste fase geregistreerd in een geïnformatiseerd boekingssysteem dat zich in de Verenigde Staten bevindt en de Amerikaanse overheden heeft via dit systeem rechtstreeks toegang tot de gegevens. De APIS-gegevens daarentegen worden door de luchtvaartmaatschappijen rechtstreeks doorgegeven aan de Amerikaanse autoriteiten.
&§61656; Voor wat de PNR-gegevens betreft :
De doorgifte via registratie van gegevens in een geïnformatiseerd boekingssysteem dat zich bevindt op Amerikaans grondgebied is in principe noodzakelijk om het contract te kunnen uitvoeren dat werd afgesloten tussen de betrokken persoon en de luchtvaartmaatschappij. Indien de doorgifte uitsluitend voor dit doeleinde geschiedt, dan is deze doorgifte wettig ten opzichte van artikel 22, 2° van de wet.
Indien daarentegen de eisen van de Amerikaanse overheden ertoe leiden dat de luchtvaartmaatschappijen bij de passagiers op systematische wijze gegevens verzamelen die niet per se noodzakelijk zijn voor de uitvoering van het vervoerscontract (zoals het adres, het telefoonnummer, kredietkaartnummer), dan kan de registratie van PNR-gegevens in een geïnformatiseerd boekingssysteem dat zich in de Verenigde Staten bevindt, niet langer beschouwd worden als een wettige doorgifte op basis van artikel 22, 2°.
In beide hypotheses stelt de Commissie zich vragen over de verantwoordelijkheid van de luchtvaartmaatschappijen.
Zij hadden vooraleer de doorgifte plaatsvond, kennis van het feit dat de gegevens niet enkel zouden dienen voor de uitvoering van het vervoerscontract maar dat zij eveneens zouden worden medegedeeld aan derden, voor een doeleinde dat onverenigbaar is met het eerste doeleinde waarvoor de gegevens oorspronkelijk werden verzameld.
Naast de niet-naleving van het finaliteitsbeginsel, voorzien in het Belgisch recht, stelt zich nog het probleem van een eventuele schending van de Europese Verordening met betrekking tot de geïnformatiseerde boekingssystemen . Het toepassingsgebied van deze Verordening is bijzonder breed en viseert elk boekingssysteem, ongeacht de inplanting van de centrale eenheid, dat op het grondgebied van de Europese gemeenschap wordt aangeboden of gebruikt.
De Verordening is erg strikt aangaande de voorwaarden waaraan derden moeten voldoen vooraleer zij toegang krijgen tot de gegevens die door het systeem worden beheerd. Indien het boekingssysteem niet functioneert conform de Europese regelgeving, dan zouden de luchtvaartmaatschappijen die de gegevens met kennis van zaken in dit systeem registreren van op Belgisch grondgebied, eveneens aansprakelijk kunnen gesteld worden op basis van het onwettig karakter van de verwerking die op het niveau van boekingssysteem op deze wijze geschiedde.
&§61656; Voor wat de doorgifte betreft van de APIS-gegevens :
Dit kan door geen enkele van de uitzonderingen in artikel 22 worden gerechtvaardigd.
In het bijzonder :
- Er is geen vrije toestemming vanwege de passagier voor de doorgifte van de gegevens. De vermelding van een impliciete toestemming in het vervoerscontract van de luchtvaartmaatschappij kan in dit opzicht niet beschouwd worden als een geldige toestemming : indien hij het vliegtuig wil nemen, heeft de passagier geen andere keuze dan de doorgifte van zijn gegevens te aanvaarden. Deze toestemming kan dus niet als "vrij" beschouwd worden.
- De doorgifte van de gegevens is niet noodzakelijk voor het uitvoeren van het vervoerscontract,
- De doorgifte is eveneens niet noodzakelijk of wettelijk verplicht vanwege een zwaarwegend algemeen belang, voor zover deze beschikking een zwaarwegend algemeen belang zou betreffen, die niet enkel unilateraal door de Verenigde staten maar eveneens door België als zodanig zou erkend worden.
OM DEZE REDENEN,
de Commissie,
stelt vast :
- het niet naleven van het finaliteitsbeginsel voorzien in artikel 4 van de wet, door de luchtvaartmaatschappijen United Airlines, Continental Airlines en Delta Airlines, op het ogenblik van de feiten;
- het niet naleven van de informatieplicht, opgenomen in artikel 9 van de wet;
- het niet naleven door de luchtvaartmaatschappijen United Airlines, Continental Airlines en Delta Airlines, op het ogenblik van de feiten, van de bepalingen van artikel 21 van de wet aangaande de doorgifte van persoonsgegevens naar landen buiten de Europese Unie;
beslist dat het huidig advies zal worden medegedeeld :
- aan de klagers, voor zover nuttig in rechte;
- aan de luchtvaartmaatschappijen United Airlines, Continental Airlines en Delta Airlines;
- aan de Minister van Justitie, overeenkomstig artikel 31, ,§5 van de wet van 8 december 1992 (anonieme versie t.a.v. de klagers).
De secretaris, De voorzitter,
(get.) J. BARET, (get.) P. THOMAS.