Etter terrorangrepene mot USA i 2001 har USAs myndigheter krevd en rekke opplysninger om flypassasjerer som kommer inn i amerikansk luftrom. Kravet om personopplysninger omfatter blant annet passasjerenes navn, kontaktopplysninger, reiserute, reisefølge og eventuell diett. Nå er en ny avtale om overføring av passasjerdata undertegnet av EU og USA.
Beskyttelsen er betydelig svekket med den nye avtalen, mener artikkel 29-gruppen.
Avtalen legger opp til at en enda større mengde opplysninger skal kunne overføres. Formål, beskyttelse og personverngarantier i avtalen er ikke presist formulert, og åpner for mange unntak. Lagringstiden er økt til minst 15 år.
Det er blant annet ikke lenger noe krav at overføring fra Department of Home Security (DHS) til andre kontorer innen USA eller i utlandet krever samme beskyttelsesnivå.
Overgangen fra en tilstand der USA forsyner seg selv i reiseselskapenes registre, til en tilstand der reiseselskapene sender opplysningene på forespørsel, er uavklart på flere punkter, påpeker artikkel 29-gruppen videre. Blant annet er det ikke åpenbart hvordan DHS, som i unntakstilfeller skal få anledning til å hente ut andre opplysningene av registeret enn de som er ramset opp i avtalen, skal kunne få tak i disse opplysningene når de ikke lenger får forsyne seg selv hos reiseselskapene.
Hvem skal kontrollere?
Artikkel 29-gruppen reagerer også på at ingen uavhengige tilsynsmyndigheter er tiltenkt rollen som kontrollør.
- Man har gått glipp av muligheten til å lage et system ut fra faktiske behov, mener gruppen. - Den nye avtalen balanserer ikke hensynet til den enkeltes fundamentale personvernrettigheter godt nok. Uttalelsen viser også til at at gruppen burde vært spurt til råds under avtaleprosessen, i kraft av å være Kommisjonens offisielle rådgivende organ for personvern.
Ønsker klargjøring
Artikkel 29-gruppen vil nå be Kommisjonen klargjøre flere punkter, blant annet:
- Hvilke flyselskap er omfattet av avtalen
- Når dataene kan bli brukt til andre formål enn avtalens hovedregler tilsier
- Hvordan opplysninger skal kunne hentes ut etter unntaksregelen, uten at man igjen skal legge opp til selvforsyning i flyselskapenes databaser
- Forsikringer om at tidsfristen for opphør av at ”selvforsyning”, 1. januar 2008, ikke blir skjøvet på flere ganger.
- Hvilke 13 flyselskaper som overfører data i dag, og hvilke krav de må oppfylle
- Når tilsyn vil finne sted.
Les Artikkel 29-gruppens uttalelse (pdf, nytt vindu)
Avtaleteksten finner man her (EurLex, nytt vindu)
Norge er ikke omfattet
Norge er ikke omfattet av den nye avtalen. For at et flyselskap lovlig skal kunne utlevere passasjerinformasjonen fra Norge, må det enten ha samtykke fra passasjeren eller hjemmel. Det foreligger ingen slik hjemmel ennå. Derfor må passasjerene få informasjon før billettkjøpet, slik at han eller hun vet hvilke forutsetninger som ligger til grunn for reisen.
Les mer om saken i disse artiklene:
Informasjon ved overføring av passasjeropplysninger til USA
Ulovlig utlevering av passasjeropplysninger til USA (omhandler den tidligere avtalen)