In het eerste deel is het voorstel van de Europese Commissie besproken dat overheidsinstanties meer bevoegdheden geeft om bij techbedrijven in andere lidstaten aan te kloppen om bewijs te verzamelen in strafzaken. In deel twee gaan we in op de bevoegdheid van opsporingsinstanties om persoonsgegevens op te vragen in de verschillende transportsectoren.
In België is onlangs een wet goedgekeurd op grond waarvan luchtvaartmaatschappijen alle passagiersgegevens naar de overheid moeten doorsturen. Deze gegevens zullen als gevolg van een Europese richtlijn worden gedeeld met alle lidstaten. Doorgifte van de gegevens gebeurt ten behoeve van de strijd tegen terrorisme en zware criminaliteit. Het verzamelen en delen van deze data is echter een gevoelige kwestie omdat het de privacy raakt. Wat gebeurt er met deze data? En wat betekent dit voor de privacy van de burger?
Europees-Passenger Name Record
Op 24 mei 2016 is de Europese richtlijn betreffende het invoeren van een Europees-PNR in werking getreden. Op grond van deze richtlijn zullen passagiersdata binnen de EU op centraal niveau worden verzameld en geanalyseerd. Het gaat hier om zowel Advanced Passenger Information (‘API’: o.a. naam, nationaliteit, geboortedatum) als om Passenger Name Records (‘PNR-gegevens’).
PNR-gegevens zijn de reserveringsgegevens zoals reisgezelschap, betaalwijze, bagage informatie en speciale verzoeken van reizigers. Luchtvaartmaatschappijen moeten op grond van de richtlijn passagiersgegevens van vluchten die van of naar de EU gaan doorsturen naar een Passagierseenheid (‘PIA’) van de lidstaat waar de vlucht zal aankomen en/of vertrekken.
Daarnaast staat het lidstaten vrij om deze verplichting uit te breiden naar luchtvaartmaatschappijen die vluchten binnen de EU uitvoeren. De PIA analyseert de gegevens. Als daar relevante informatie uitkomt wordt het gedeeld met de PIA’s van alle lidstaten. Bevoegde opsporingsinstanties kunnen vervolgens deze informatie opvragen.
De passagiersgegevens kunnen voor drie doelstellingen worden verwerkt:
- om een bijdrage te leveren in het ontwikkelen van criteria voor risicobeoordelingen;
- voor het controleren van passagiers vóór aankomst op basis van vooraf bepaalde risicocriteria of om specifieke personen op te sporen;
- voor het faciliteren van een onderzoek, vervolging en het in kaart brengen van criminelen en hun netwerk nadat een misdaad heeft plaatsgevonden.
De overheid mag de gegevens maximaal vijf jaar bewaren. Na zes maanden worden je naam, adres en betaalinformatie echter al verwijderd om de data te anonimiseren. Lidstaten hebben tot 25 mei 2018 om de richtlijn om te zetten in nationale wetgeving.
Regels in de PNR-richtlijn voor bijzondere persoonsgegevens
In de Europese richtlijn is besloten dat bijzondere persoonsgegevens niet bewaard mogen worden. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Onder PNR-gegevens vallen ook algemene opmerkingen die de klant bij boeking heeft doorgegeven aan de vliegtuigmaatschappij. Hierdoor kan er informatie in voor komen zoals maaltijdvoorkeuren of extra hulp wegens een handicap. Dit kan iets zeggen over respectievelijk iemands godsdienst of gezondheid en vallen daarom onder de categorie bijzondere persoonsgegevens. Als een PIA zulke gegevens ontvangt, moeten deze gelijk worden gewist.
Belgische implementatie PNR-richtlijn
België heeft de richtlijn eind vorig jaar geïmplementeerd in een algemene wet. Deze wet voorziet in de verplichting voor vervoerders en reisoperatoren in internationale transportsectoren (luchtvaart-, trein- bus-, en scheepvaartverkeer) om passagiersgegevens door te sturen naar de overheid. Per sector moet een aparte regeling worden uitgewerkt, welke ter goedkeuring aan de Privacycommissie moet worden voorgelegd.
Onlangs heeft de Belgische overheid toestemming gekregen voor het voorstel voor de luchtvaartsector. Er zullen twee momenten komen waarop de passagiersgegevens door luchtvaartmaatschappijen naar de overheid worden doorgespeeld: 48 uur voor elke geplande vlucht en nogmaals op het moment dat iedereen al in het vliegtuig zit.
De Belgische algemene wet gaat verder dan de PNR-richtlijn
In de wet zijn de doeleinden voor verwerking niet beperkt tot terrorisme en zware vormen van criminaliteit, maar is het eveneens mogelijk ter verbetering van de grenscontroles en de strijd tegen illegale immigratie. Bovendien is het toepassingsgebied groter. De aan de vervoerders opgelegde verplichting geldt voor alle transportsectoren.
Opsporingsinstanties krijgen steeds meer bevoegdheden in de strijd tegen terrorisme en andere vormen van criminaliteit. Veel opsporingsdiensten gebruikten al passagiersgegevens voor bestrijding van grensoverschrijdende criminaliteit. Met de richtlijn komt er echter voor het eerst een centrale aanpak op Europees niveau voor de luchtvaartsector. Het is nog onduidelijk of dit ook van de grond gaat komen in de andere transportsectoren. De regeling raakt de privacy van de burger.
Opsporingsinstanties in alle lidstaten van de EU zullen toegang krijgen tot de passagiersgegevens. Na een halfjaar worden de gegevens echter wel gedepersonaliseerd waardoor ze niet meer te herleiden zijn tot een natuurlijk persoon.
ICTRecht Academy
