lagen.
EU-domstolen

Förslag till avgörande av generaladvokat Philippe Léger föredraget den 22 november 2005

CELEX
62004CC0317
Typ
EU-domstolen

Källa

1 Originalspråk: franska.

2 Beslut 2004/496/EG (EUT L 183, s. 83), nedan kallat rådets beslut.

3 Beslut 2004/535/EG (EUT L 235, s. 11), nedan kallat beslutet om adekvat skydd.

4 Denna problematik rör även förhållandena mellan Europeiska gemenskapen och övriga tredjeländer. Jag skall sålunda framhålla att ett avtal av samma slag som det i fråga i mål C-317/04 mellan Europeiska gemenskapen och Kanada har undertecknats den 3 oktober 2005.

5 Se Aviation and Transportation Security Act (ATSA) av den 19 november 2001 (Public Law 107-71, 107th Congress, kapitel 49, section 44909(c)(3) i Förenta staternas lagsamling). Denna lag har följts av genomförandebestämmelser som utfärdats av United States Bureau of Customs and Border Protection (tull- och gränsskyddsmyndighet inom Förenta staternas Department of Homeland Security, nedan kallad CBP) såsom Passenger and Crew Manifests Required for Passengers Flights in Foreign Air Transportation to the United States, offentliggjord i Federal Register (amerikanska federala lagsamlingen) den 31 december 2001, och Passenger Name Record Information Required for Passengers on Flights in Foreign Air Transportation to or from the United States, offentliggjord i Federal Register den 25 juni 2002 (kapitel 19, section 122.49b i federala lagsamlingen).

6 Rådets förordning (EEG) nr 2299/89 av den 24 juli 1989 om en uppförandekod för datoriserade bokningssystem (EGT L 220, s. 1), i dess lydelse enligt rådets förordning (EG) nr 323/1999 av den 8 februari 1999 (EGT L 40, s. 1).

7 EGT L 281, s. 31, i dess lydelse enligt Europaparlamentets och rådets förordning (EG) nr 1882/2003 av den 29 september 2003 om anpassning till rådets beslut 1999/468/EG av de bestämmelser i rättsakter som omfattas av förfarandet i artikel 251 i EG-fördraget som avser de kommittéer som biträder kommissionen när den utövar sina genomförandebefogenheter (EUT L 284, s. 1).

8 Denna arbetsgrupp har upprättats med stöd av artikel 29 i direktiv 95/46. Den är ett rådgivande oberoende organ som är verksamt på området för skydd för personer avseende behandling av personuppgifter. Dess uppgifter anges i artikel 30 i direktivet och i artikel 15.3 i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation) (EGT L 201, s. 37).

9 Yttrande 4/2003 angående den skyddsnivå som garanteras i Förenta staterna vid överföring av passageraruppgifter. Se Internet, http://europa.eu.int/comm/justice_home/fsj/privacy/workinggroup/wpdocs/2003_fr.htm.

10 Yttrande 2/2004 om adekvat skydd för sådana personuppgif ter som ingår i flygpassagerares PNR och som skall överföras till Förenta staternas tull- och gränsskyddsmyndighet (United States Bureau of Customs and Border Protection, US CBP). Se Internet, http://europa.eu.int/comm/justice_home/fsj/pri-vacy/docs/wpdocs/2004/wp87_sv.pdf.

11 Beslut 1999/468/EG (EGT L 184, s. 23).

12 Se punkt 8 ovan.

13 Parlamentet har i sin ansökan motiverat detta avslag med att det alltjämt saknades vissa språkversioner av förslaget till rådets beslut.

14 Denna begäran om yttrande avskrevs från domstolens register genom beslut av domstolens ordförande den 16 december 2004.

15 Europeisk fördragssamling, nr 108 (nedan kallad konvention nr 108). Denna konvention trädde i kraft den 1 oktober 1985. Tillägg till konventionen har antagits av Europarådets ministerråd den 15 juni 1999, i syfte att möjliggöra Europeiska gemenskapernas anslutning (dessa tillägg har hittills inte godtagits av samtliga stater som är anslutna till konvention nr 108). Se även tilläggsprotokoll till konvention nr 108, angående kontrollmyndigheter och gränsöverskridande förflyttningar av personuppgifter, som öppnades för undertecknande den 8 november 2001 och trädde i kraft den 1 juli 2004 (Europeisk fördragssamling, nr 181).

16 EGT C 364, 2000, s. 1. Denna stadga, som har undertecknats och kungjorts av ordförandena för Europaparlamentet, rådet och kommissionen, liksom av Europeiska rådet i Nice den 7 december 2000, återfinns i del II i fördraget om upprättande av en konstitution för Europa, vilket ännu inte trätt i kraft (EUT C 310, 2004, s. 41). [Ä]ven om [stadgan om de grundläggande rättigheterna] saknar bindande rättskraft, visar [den] vilken vikt de rättigheter som anges i den tillmäts [i] gemenskapens rättsordning, såsom förstainstansrätten vid Europeiska gemenskapernas domstol har påpekat i beslut av den 15 januari 2003 i de förenade målen T-377/00, T-379/00, T-380/00, T-260/01 och T-272/01, Philip Morris International, m.fl. mot kommissionen (REG 2003, s. II-1), punkt 122.

17 Artikel 286.2 EG har följande lydelse:Före den tidpunkt som avses i punkt 1 skall rådet enligt förfarandet i artikel 251 inrätta ett oberoende övervakningsorgan som skall ansvara för att övervaka att dessa gemenskapsrättsakter tillämpas på gemenskapens institutioner och organ samt vid behov anta andra för ändamålet relevanta bestämmelser. På grundval av artikel 286 EG har Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 2001, s. 1) antagits.

18 För en detaljerad genomgång av det sammanhang i vilket detta direktiv och dess bestämmelser har upprättats, se Boulanger, M.-H., de Terwangne, C., Léonard, T., Louveaux, S., Moreau, D., och Poullet, Y.,La protection des données à caractère personnel en droit communautaire JTDE, 1999, nr 40, 41 och 42. Se även Simitis, S., Data Protection in the European Union — the Quest for Common Rules, Collected Courses of the Academy of European Law, Volume VIII, Book I, 2001, s. 95. Jag skall även framhålla att det finns ett särskilt direktiv, nämligen direktiv 2002/58, för reglering av sektorn för elektronisk kommunikation.

19 Skäl 7.

20 Skäl 8.

21 Skäl 9.

22 Det kan till exempel hänvisas till det flöde av uppgifter som hör samman med personers mobilitet, elektronisk handel och överföringar inom en företagsgrupp.

23 Skäl 57 i direktiv 95/46.

24 Konvention om tillämpning av Schengenavtalet av den 14 juni 1985 mellan regeringarna i Beneluxstaterna, Förbundsrepubliken Tyskland och Franska republiken om gradvis avskaffande av kontroller vid de gemensamma gränserna, undertecknad i Schengen den 19 juni 1990 (EGT L 239, 2000, s. 19).

25 Se artiklarna 102–118 i den konventionen. Vad gäller andra generationen av Schengens informationssystem (SIS II) har kommissionen lagt fram ett förslag till rådets beslut (KOM (2005) 230 slutlig) och två förordningar (KOM (2005) 236 slutlig) och (KOM (2005) 237 slutlig).

26 (EGT C 316, 1995, s. 2), nedan kallad Europolkonventionen.

27 2002/187/RIF: Rådets beslut av den 28 februari 2002 om inrättande av Eurojust för att stärka kampen mot grov brottslighet (EGT L 63, s. 1), nedan kallat Eurojust-beslutet. Se artikel 14 och följande artiklar i detta beslut.

28 EUT C 68, 2005, s. 1.

29 EGT C 316, 1995, s. 34. Se, i synnerhet, artiklarna 13, 14, 15, 17 och 18 i denna konvention.

30 Rådets akt av den 29 maj 2000 om att i enlighet med artikel 34 i Fördraget om Europeiska unionen upprätta denna konvention (EGT C 197, 2000, s. 1). Se, i synnerhet, artikel 23 i denna.

31 KOM (2005) 475 slutlig. Detta förslag till rambeslut grundas på artiklarna 30 EU, 31 EU och 34.2 b EU. Det utgör en av de åtgärder som föreskrivs i rådets och kommissionens handlingsplan för genomförande av Haagprogrammet för ett stärkt område med frihet, säkerhet och rättvisa i Europeiska unionen (EUT C 198, 2005, s. 1, punkt 3.1).

32 När det gäller verkställighetsåtgärder för direktiv 95/46 har beslutet om adekvat skydd fattats med tillämpning av det förfarande som anges i artikel 31.2 i direktivet, vilket medför krav på tillämpning av artiklarna 4, 7 och 8 i beslut 1999/468. När kommissionen antar sådana verkställighetsåtgärder för direktivet biträds den av en kommitté som består av representanter för medlemsstaterna och leds av en representant för kommissionen. Det rör sig i förevarande fall om den så kallade artikel 31-kommittén.

33 Se punkt 48 i åtagandeförklaringen.

34 Närmare bestämt följande kategorier: 1) PNR-postens lokaliseringskod 2) Bokningsdatum 3) Planerat/planerade resedatum 4) Namn 5) Andra namn i PNR-registret 6) Adres. 7) Alla former av betalningsinformation 8) Faktureringsadres. 9) Telefonnummer 10) Hela resrutten för aktuell PNR 11) Uppgifter om bonusprogram (endast antal miles och adresser) 12) Resebyrå 13) Resehandläggare 14) PNR-uppgifter om code share (gemensam linjebeteckning) 15) Passagerarens resestatus 16) Delade PNR-uppgifter 17) E-postadres. 18) Biljettuppgifter 19) Allmänna kommentarer 20) Biljettnummer 21) Stolsnummer 22) Datum då biljetten utfärdades 23) Passagerare som tidigare inte har checkat in (no show) 24) Bagagelappsnummer 25) Passagerare som tidigare har checkat in utan bokning (go show) 26) OSI-uppgifter [Other Service Information] 27) SSI/SSR-uppgifter [Special Service Request] 28) Upplysningar om källor 29) Alla tidigare ändringar av PNR 30) Antal resande i PNR 31) Information om det säte passageraren använt 32) Enkelbiljetter 33) Eventuella APIS-uppgifter [Advanced Passenger Information System] 34) ATFQ-fält [Automatic Ticket Fare Quote].

35 Nedan kallat avtalet.

36 Se Information om datum för ikraftträdande av avtalet mellan Europeiska gemenskapen och Amerikas förenta stater om lufttrafikföretags behandling och överföring av passageraruppgifter till Bureau of Customs and Border Protection inom Förenta staternas Department of Homeland Security (EUT C 158, 2004, s. 1).

37 Det skall i detta avseende framhållas att ingressen i avtalet innehåller en felaktig hänvisning till beslutet om adekvat skydd. Den skulle ha varit till beslut 2004/535/EG av den 14 maj 2004, delgivet med nummer C(2004) 1914, och inte beslut C(2004) 1799 av den 17 maj 2004. Detta misstag har rättats genom ett meddelande i Europeiska unionens officiella tidning [se protokollet avseende rättelsen av avtalet (EUT L 255, 2005, s. 168)].

38 Lufttrafikföretagens överföring av personuppgifter motsvarar vad som vanligtvis kallas systemet push medan CBP:s direkta tillgång till dessa uppgifter motsvarar systemet pull.

39 Hänvisningen avser kommissionens beslut om adekvat skydd, men endast beslutet anges i avtalets ingress.

40 Samma anmärkning som i föregående fotnot.

41 Punkt 5 i avtalet.

42 Punkt 6 i avtalet.

43 Domstolens ordförandes beslut av den 18 januari 2005 respektive den 18 november 2004.

44 Domstolens beslut av den 17 mars 2005.

45 Domstolens ordförandes beslut av den 17 december 2004.

46 Domstolens beslut av den 17 mars 2005.

47 Dom av den 6 november 2003 i mål C–101/01, Lindqvist (REG 2003, s. I–12971, punkt 63).

48 Bland dessa faktorer återfinns i synnerhet arten av perso nuppgifter samt ändamålet med och varaktigheten av den avsedda behandlingen.

49 Domen i det ovannämnda målet Lindqvist, punkt 56. Domstolen fastslog där att utläggande av personuppgifter på Internet redan av den anledningen att detta gör uppgifterna åtkomliga för personer som befinner sig i tredje land inte utgör överföring till tredje land i den mening som avses i artikel 25 i direktiv 95/46. Domstolen beaktade därvid dels den arten av de ifrågavarande tekniska hjälpmedel som användes, dels syftet med och systematiken i kapitel IV i direktivet, där artikel 25 återfinns.

50 Detta gäller även fa om uppgifterna mottas av en specifik del av den interna administrativa strukturen i nämnda tredje land.

51 Det kan vara intressant att notera att begreppen behandling och överföring av personuppgifter överlappar varandra en aning. Ett meddelande genom överföring, spridning eller tillhandahållande av personuppgifter kan sålunda på en gång utgöra behandling och överföring av sådana uppgifter i den mening som avses i direktivet. I förevarande mål sammanfaller begreppen behandling och överföring, eftersom PNR-bestämmelserna i synnerhet syftar till att tillhandahålla passageraruppgifter till CBP. Detta konstaterande förklaras till stor del av den omfattande betydelse som begreppet behandling har fått, omfattande en rad åtgärder. Slutligen skall, i sådant fall, överföring av personuppgifter till tredje land anses utgöra en specifik form av behandling. För ett motsvarande synsätt, se kommissionens förslag till rambeslut, där dess artikel 15 avseende [ö]verföring till behöriga myndigheter i tredje land eller internationella organ ingår i kapitel III som har titeln Specifika former av behandling.

52 Jag anmärker att det i artikel 1 i kommissionens beslut 2000/519/EG av den 26 juli 2000 enligt direktiv 95/46 om adekvat skydd av personuppgifter i Ungern (EGT L 215, s. 4) föreskrivs att [f]ör det ändamål som avses i artikel 25.2 i direktiv 95/46/EG anses Ungern, för alla de verksamheter som omfattas av det direktivet, erbjuda en adekvat skyddsnivå för personuppgifter som överförs från gemenskapen (min kursivering).

53 Min kursivering. I domen i det ovannämnda målet Lindqvist, anförde domstolen att [d]en verksamhet som nämns såsom exempel i artikel 3.2 första strecksatsen i direktiv 95/46 … är i samtliga fall statens eller statliga myndigheters verksamhet och har ingenting att göra med enskildas verksamhetsområden (punkt 43).

54 Skäl 6.

55 Skäl 7.

56 Skäl 8.

57 Se, för ett motsvarande synsätt, en artikel av Poullet, Y., och Peres Asinan, M. V., Données des voyageurs aériens: le débat Europe — Etats-Unis, JTDE, 2004, nr 113, s. 274. Enligt dessa författare måste en lösning som legitimerar dessa gränsöverskridande flöden av ett väldigt speciellt slag säkerställa att överföringar av personuppgifter till utländska administrativa myndigheter sker för att bekämpa terrorism … vilket som alla vet går utöver tillämpningsområdet för ett direktiv i första pelaren. De anför vidare att [d]etta är, på den europeiska nivån, en tredjepelarfråga, vilket ifrågasätter kommissionens behörighet att agera i frågan …. Se även De Schutter, O., La Convention européenne des droits de l'homme à l'épreuve de la lutte contre le terrorisme, i Lutte contre le terrorisme et droits fondamentaux, Bribosia, E., och Weyembergh, A. (red.), Collection droit et justice, Bruylant, Bruxelles. 2002, s. 112, fotnot 43: efter att ha återgett artikel 3.2 första strecksatsen i direktiv 95/46 anmärker författaren att [d]enna begränsning av [direktivets tillämpningsområde förklaras av den begränsade behörighet som Europeiska gemenskapen har. Den har ingen allmän behörighet att lagstifta på området för mänskliga rättigheter, utan får endast agera på detta område när och i den mån, såsom är fallet med [direktivet], det är fråga om att underlätta upprättandet av den inre marknaden, innebärande i synnerhet att undanröja hinder mot den fria rörligheten för varor och tjänster.

58 Passageraruppgifter behandlas inom gemenskapen, genom att dessa ställs till CBP:s förfogande. De behandlas även sedan de överförts genom att CBP använder dem.

59 Detta innebär inte att ett beslut om adekvat skydd som antagits i ett liknande sammanhang som i förevarande mål, inom Europeiska unionens rättsordning, skall anses inte behöva respektera väsentliga garantier för skyddet av personuppgifter, såsom dessa anges i särskilt konvention nr 108. Jag anser i detta sammanhang endast att direktiv 95/46 inte utgör referensnormen eftersom, som ovan visats, syftet med beslutet om adekvat skydd går utöver tillämpningsområdet för direktivet, som är dess rättsliga grund. I avsaknad av en sekundärrättslig bestämmelse som är tillämplig vid överföringar av personuppgifter i bestraffningssyfte och i syfte att främja allmän säkerhet är det således inte möjligt att genomföra någon abstrakt domstolskontroll av dessa garantier. Det saknas emellertid inte rättsligt skydd i en sådan situation. Kontrollen av väsentliga garantier för skyddet av personuppgifter är nämligen, som vi skall se, nära förbunden med de villkor som anges i artikel 8.2 i EMRK.

60 Nedan kallade PNR-bestämmelserna.

61 Dom av den 31 mars 1971 i mål 22/70, kommissionen mot rådet, kallad AETR (REG 1971, s. 263, svensk specialutgåva, volym 1, s. 551).

62 Se, i synnerhet, dom av den 11 juni 1991 i mål C-300/89, kommissionen mot rådet, kallat Titandioxid (REG 1991, s. I-2867, svensk specialutgåva, volym 11, s. I-199) punkt 10, av den 12 november 1996 i mål C-84/94, Förenade kungariket mot rådet (REG 1996, s. I-5755), punkt 25, av den 25 februari 1999 i de förenade målen C-164/97 och C-165/97, parlamentet mot rådet (REG 1999, s. I-1139), punkt 12, av den 4 april 2000 i mål C-269/97, kommissionen mot rådet (REG 2000, s. I-2257), punkt 43, av den 19 september 2002 i mål C-336/00, Huber (REG 2002, s. I-7699), punkt 30, av den 29 april 2004 i mål C-338/01, kommissionen mot rådet (REG 2004, s. I-4829), punkt 54, och av den 13 september 2005 i mål C-176/03, kommissionen mot rådet (REG 2005, s. I-7879), punkt 45.

63 Dom av den 26 mars 1987 i mål 45/86, kommissionen mot rådet (REG 1987, s. 1493; svensk specialutgåva, volym 9, s. 55), punkt 11.

64 Yttrande av den 6 december 2001 i mål 2/00, lämnat med stöd av artikel 300.6 EG, Cartagenaprotokollet (REG 2001, s. I-9713), punkt 5.

65 Jag kommer nedan att använda benämningen bekämpande av terrorism och andra grova brott för detta syfte.

66 Terrorism är dessutom ett internationellt fenomen som inte känner några gränser.

67 Se punkt 10 i generaladvokaten Tesauros förslag till avgörande inför domen i det ovannämnda målet titandioxid.

68 Dom av den 5 oktober 2000 i mål C-376/98, Tyskland mot parlamentet och rådet (REG 2000, s. I-8419), punkterna 83, 84 och 95), och av den 10 december 2002 i mål C-491/01, British American Tobacco (Investments) och Imperial Tobacco (REG 2002, s. I-11453), punkt 60.

69 Se, för ett motsvarande synsätt, dom av den 13 juli 1995 i mål C-350/92, Spanien mot rådet (REG 1995, s. I-1985), punkt 35, domen i det ovannämnda målet Tyskland mot parlamentet och rådet, punkt 86, av den 9 oktober 2001 i mål C-377/98, Nederländerna mot parlamentet och rådet (REG 2001, s. I-7079), punkt 15, i det ovannämnda målet British American Tobacco (Investments) och Imperial Tobacco, punkt 61, och av den 14 december 2004 i mål C-434/02, Arnold André (REG 2004, s. I-11825), punkt 31.

70 Se, i synnerhet, dom av den 9 november 1995 i mål C-426/93, Tyskland mot rådet (REG 1995, s. I-3723), punkt 33.

71 Se, i synnerhet, dom av den 17 mars 1993 i mål C-155/91, kommissionen mot rådet (REG 1993, s. I-939; svensk specialutgåva, volym 14, s. 67), punkterna 19 och 21, av den 23 februari 1999 i mål C-42/97, parlamentet mot rådet (REG 1999, s. I-869), punkterna 39 och 40, av den 30 januari 2001 i mål C-36/98, Spanien mot rådet (REG 2001, s. I-779), punkt 59, och av den 12 december 2002 i mål C-281/01, kommissionen mot rådet (REG 2002, s. I-12049), punkt 34.

72 Se, i synnerhet, domarna i de ovannämnda målen av Titandioxid (punkterna 13 och 17), av den 23 februari 1999, parlamentet mot rådet (punkterna 38 och 43), Huber (punkt 31), och av den 12 december 2002, kommissionen mot rådet (punkt 35).

73 Dom av den 12 december 2002 i det ovannämnda målet kommissionen mot rådet, punkt 46.

74 Dom av den 20 maj 2003 i de förenade målen C-465/00, C-138/01 och C-139/01, Österreichischer Rundfunk m.fl. (REG 2003, s. I-4989), punkt 39. Med hänsyn till skillnaden i fråga om syfte och mål mellan avtalen och direktiv 95/46, anser jag att det är osannolikt att, såsom kommissionen gjort gällande, detta direktiv skulle ha påverkats i den mening som avses i målet AETR om medlemsstaterna träffat separata eller gemensamma överenskommelser av detta slag utanför gemenskapens ramar.

75 Jag konstaterar att tredjepelardimensionen av lufttrafikföretagens överföring av personuppgifter till Förenta staterna ibland åberopas. Sålunda har artikel 29-gruppen avseende skydd för personuppgifter antagit ett yttrande den 24 oktober 2002 (Yttrande 6/2002 om överlämnande av information ur flygbolagens passagerarlistor och övriga upplysningar till USA), i vilket den anfört att [ö]verföring av uppgifter till myndigheter i tredje land med hänvisning till allmän ordning i landet bör ske inom ramen för de samarbetssystem som inrättats enligt tredje pelaren (rättsligt och polisiärt samarbete)… Samarbetet enligt tredje pelaren bör inte få hindras av första pelaren. Se Internet, http://europa.eu.int/comm/justice_home/fsj/privacy/wor-kinggroup/docs/wpdocs/2002/wp66_sv.pdf

76 När det gäller direkt utbyte av information mellan offentliga myndigheter skall jag hänvisa till rådets beslut av den 27 mars 2000 om bemyndigande för Europols direktör att inleda förhandlingar om avtal med tredjeland och organ utan anknytning till EU (EGT C 106, s. 1). På grundval av detta beslut har ett avtal om utbyte av personuppgifter undertecknats mellan Europol och Amerikas förenta stater den 20 december 2002.

77 Denna problematik är central i den pågående interinstitutionella diskussionen avseende tjänsteoperatörers inom telefoni och elektroniska kommunikationer bevarande av personuppgifter. Motstående synpunkter har uttryckts under denna diskussion. Det finns de som anser att denna problematik skall beaktas inom ramen för första pelaren, och andra som anser att frågan hör hemma i tredje pelaren. Detta vittnar om att problematiken med användning av kommersiella uppgifter i repressivt syfte är både ny och komplex. Se, i denna fråga, förslag till rambeslut avseende bevarande av personuppgifter som behandlats och lagrats vid tillhandahållande till allmänheten av elektroniska kommunikationstjänster eller uppgifter som överförts via allmänna kommunikationsnät, i syfte att förhindra och utreda brott och straffbara handlingar, inklusive terrorism (förslag presenterat den 28 april 2004 på initiativ av Republiken Frankrike, Irland, Konungariket Sverige och Förenade konungariket), och det därmed konkurrerande förslaget från kommissionen till Europaparlamentets och rådets direktiv om bevarande av personuppgifter som behandlats inom ramen för tillhandahållande av elektroniska kommunikationstjänster för allmänheten, med ändring av direktiv 2002/58, presenterat den 21 september 2005 (KOM (2005) 438 slutlig).

78 Se, vad gäller om införande av ekonomiska sanktioner såsom frysning av tillgångar för enskilda och organ som misstänks bidra till finansieringen av terrorism, två domar från förstainstansrätten av den 21 september 2005 i mål T-306/01, Yusuf och Al Barakaat International Foundation mot rådet och kommissionen (REG 2005, s. II-3533), punkt 152, och i mål T-315/01, Kadi mot rådet och kommissionen (REG 2005, s. II-3044), punkt 116. Förstainstansrätten har emellertid i dessa mål tagit hänsyn till den länk som uttryckligen infördes vid revideringen i Maastricht mellan gemenskapens genomförande av ekonomiska sanktionsåtgärder med stöd av artiklarna 60 EG och 301 EG och EU-fördragets utrikespolitiska mål (punkt 159 i mål T-306/01, och punkt 123 i mål T-315/01). Mer allmänt framhöll förstainstansrätten att kampen mot den internationella terrorismen och finansieringen av denna obestridligen är att hänföra till unionens mål inom ramen för den gemensamma utrikes- och säkerhetspolitiken, såsom de anges i artikel 11 EU … (punkt 167 i mål T-306/01, och punkt 131 i mål T-315/01). I artikel 2 EU anges att Unionen skall ha som mål att … bevara och utveckla unionen som ett område med frihet, säkerhet och rättvisa, där den fria rörligheten för personer garanteras samtidigt som lämpliga åtgärder vidtas avseende kontroller vid yttre gränser, asyl, invandring och förebyggande och bekämpande av brottslighet (min kursivering). Enligt artikel 29 andra stycket EU skall Unionens mål att ge medborgarna en hög säkerhetsnivå inom ett område med frihet, säkerhet och rättvisa uppnås genomförebyggande och bekämpande av brottslighet, vare sig denna är organiserad eller ej, särskilt terrorism (min kursivering). Angående externa aspekter av europeisk straffrätt, se Kerchove, G., och Weyembergh, A., Sécurité etjustice: enjeu de la politique extérieure de l’Union européenne, éditions de l'Université de Bruxelles. 2003.

79 Domstolen har däremot uttalat sig angående ett annat fall där parlamentets samtycke krävs, nämligen angående avtal som har betydande budgetmässiga följder för gemenskapen, i dom av den 8 juli 1999 i mål C-189/97, parlamentet mot rådet (REG 1999, s. I-4741).

80 Se Schmitter, C., Artikel 228, i Constantinesco, V., Kovar, R., och Simon, D., Traité sur l'Union européenne, commentaire article par article, Économica, 1995, s. 725, särskilt punkt 43.

81 Se, för ett motsvarande synsätt, Schmitter, C., hänvisning ovan.

82 Angreppssättet i fördraget om upprättande av en konstitution för Europa är vidare och ger mer utrymme för godkännande av parlamentet. I dess artikel III-325 avseende förfarandet för slutande av internationella avtal föreskrivs nämligen, i punkt 6 a v, att rådet skall anta ett beslut om att ingå ett avtal efter parlamentets godkännande bland annat när det gäller [a]vtal som gäller områden som omfattas av det ordinarie lagstiftningsförfarandet eller det särskilda lagstiftningsförfarandet då Europaparlamentets godkännande krävs (min kursivering).

83 Min kursivering.

84 Punkt 107 ovan.

85 Se punkterna 109 och följande ovan.

86 Europaparlamentet har i detta avseende hänvisat till domen av den 20 maj 2003 i mål C-108/01, Consorzio del Prosciutto di Parma och Salumificio S. Rita (REG 2003, s. I-5121), punkt 89.

87 Europaparlamentet har i synnerhet hänvisat till Europolkonventionen, vilken i artikel 8.2 innehåller föreskrifter avseende behandling av fem kategorier av uppgifter, och till rådets direktiv 2004/82/EG av den 29 april 2004 om skyldighet för transportörer att lämna uppgifter om passagerare (EGT L 261, s. 24). I detta direktiv, som grundar sig på artiklarna 62.2 a EG och 63.3 b EG, föreskrivs i artikel 3 en skyldighet för lufttrafikföretagen att på begäran av de myndigheter som ansvarar för personkontrollen vid de yttre gränserna översända totalt nio kategorier av personuppgifter.

88 Det rör sig enligt datatillsynsmannen om kategori 11 Uppgifter om bonusprogram (endast antal miles och adresser), 19 Allmänna kommentarer, 26 OSI-uppgifter [Other Service Information], 27 SSI/SSR-uppgifter [Special Service Request], 30 Antal resande i PNR, och 33 Eventuella APIS-uppgifter [Advanced Passenger Information System].

89 Nämligen kategorierna 19, 26 och 27 (se föregående fotnot).

90 Punkt 5 i åtagandeförklaringen har följande innehåll:När det gäller rubrikerna OSI och SSI/SSR (allmänt kallade allmänna kommentarer och öppna fält) kommer CBP:s elektroniska system att söka i dessa fält efter någon av de andra uppgifterna som förtecknas i [fälten över begärda PNR-uppgifter]. CBP:s personal är inte behörig att manuellt gå igenom alla OSI- och SSI/SSR-fälten, såvida inte CBP klassat den person som PNR-uppgifterna gäller som en högriskperson när det gäller någon av de aktiviteter som anges i punkt 3.

91 Punkt 9 i åtagandeförklaringen har följande innehåll:CBP kommer inte att använda känsliga uppgifter (dvs. personuppgifter som avslöjar ras eller etnisk tillhörighet, politisk, religiös eller filosofisk övertygelse, fackföreningstillhörighet eller uppgifter om den registrerades hälsa eller sexliv) från PNR-fältet som beskrivs nedan. Punkt 10 i förklaringen har följande innehåll:CBP kommer snarast möjligt att införa ett elektroniskt system som filtrerar och tar bort vissa känsliga PNR-koder och upplysningar som CBP har fastställt i samråd med kommissionen. Punkt 11 i åtagandeförklaringen har följande lydelse:I väntan på att sådana elektroniska filter skall införas försäkrar CBP att man inte använder och inte kommer att använda känsliga PNR-uppgifter och att man kommer att ta bort sådana uppgifter varje gång uppgifter lämnas ut skönsmässigt i enlighet med punkterna 28-34. Dessa punkter avser överföring av passageraruppgifter till andra offentliga myndigheter.

92 Se, i synnerhet, dom av den 12 november 1969 i mål 29/69, Stauder (REG 1969, s. 419; svensk specialutgåva, volym 1, s. 421), punkt 7, av den 17 december 1970 i mål 11/70, Internationale Handelsgesellschaft (REG 1970, s. 1125, svensk specialutgåva, volym 1, s. 503), punkt 4, och av den 14 maj 1974 i mål 4/73, Nold mot kommissionen (REG 1974, s. 491, svensk specialutgåva, volym 2, s. 291), punkt 13.

93 Se, i synnerhet, dom av den 18 juni 1991 i mål C-260/89, ERT (REG 1991, s. I-2925, svensk specialutgåva, volym 11, s. I-209), punkt 41, av den 29 maj 1997 i mål C-299/95, Kremzow (REG 1997, s. I-2629), punkt 14, och av den 6 mars 2001 i mål C-274/99 P, Connolly mot kommissionen (REG 2001, s. I-1611), punkt 37.

94 Dom av den 13 juli 1989 i mål 5/88, Wachauf (REG 1989, s. 2609), punkt 19.

95 Dom av den 26 juni 1980 i mål 136/79, National Panasonic mot kommissionen (REG 1980, s. 2033, svensk specialutgåva, volym 5, s. 253), punkterna 18 och 19. Denna rättighet omfattar bland annat rätten till skydd för medicinsk sekretess (se dom av den 8 april 1992 i mål C-62/90, kommissionen mot Tyskland, REG 1992, s. I-2575, svensk specialutgåva, volym 12, s. I-29, och av den 5 oktober 1994 i mål C-404/92 P, X mot kommissionen, REG 1994, s. I-4737). När det gäller skyddet för personuppgifter hänvisar jag på nytt till domarna i de ovannämnda målen Österreichischer Rundfunk m.fl. och Lindqvist.

96 Europadomstolens dom av den 24 april 1990, Kruslin mot France (Serie A nr 176, § 27).

97 Europadomstolens dom av den 24 mars 1988, Olsson mot Sverige (Serie A nr 130, § § 61 och 62). Restriktionerna skall vara föreskrivna i bindande bestämmelser som är tillräckligt klart formulerade för att enskilda skall kunna anpassa sitt beteende med stöd av klargörande råd (Europadomstolens dom av den 26 april 1979, Sunday Times mot Förenade kungariket (Serie A nr 30, § 49)).

98 Se skäl 6 i beslutet om adekvat skydd, och fotnoterna 2 och 3 i detta.

99 Se punkterna 36–42 i åtagandeförklaringen.

100 Se protokollet avseende rättelse av avtalet, vilken som ovan nämnts offentliggjordes i EUT L 255 den 30 september 2005.

101 I ingressen i avtalet hänvisas till förebyggande och bekämpande av terrorism och därmed närstående brottslighet och annan allvarlig brottslighet av överstatlig karaktär. Vidare föreskrivs i punkt 3 i åtagandeförklaringen att CBP använder endast PNR-uppgifterna för att förebygga och bekämpa 1) terrorism och terrorrelaterad kriminalitet, 2) andra allvarliga brott, inklusive organiserad gränsöverskridande brottslighet och 3) flykt från ett anhållnings- eller häktningsbeslut för ett av ovanstående brott. Se även skäl 15 i beslutet om adekvat skydd.

102 Se, i synnerhet, Europadomstolens dom av den 24 november 1986, Gillow mot Förenade kungariket (Serie A nr 109, § 55).

103 Europadomstolens dom av den 26 mars 1987, Leander mot Sverige (Serie A nr 116, § 59).

104 Se, till exempel, Europadomstolens dom av den 6 september 1978, Klass (serie A nr 28, § 59), avseende medborgarnas skydd för post- och telehemligheter vid bekämpande av terrorism. I den domen fastslog Europadomstolen att en viss grad av förenlighet mellan försvaret av det demokratiska samhället och skyddet för individuella rättigheter är en inneboende del i det system som upprättats genom konventionen.

105 Sudre, F., Droit européen och international des droits de l'homme, 7:e upplagan, PUF, 2005, s. 219). Författaren har även konstaterat att [a] llt eftersom den mer eller mindre strikt har betonat villkoret om proportionalitet - strikt, korrekt, rimlig proportionalitet - har Europadomstolen anpassat intensiteten i sin kontroll, och följaktligen har utrymmet för statens handlingsfrihet varierat ….

106 Europadomstolens dom av den 25 februari 1997, Z. mot Finland (Domsamling 1997-I).

107 För ett motsvarande synsätt, se Sudre, F., hänvisning ovan, s. 219. Se även Wachsmann, P., Le droit au secret de la vie privée, i Le droit au respect de la vie privée au sens de la Convention européenne des droits de l'homme, Sudre, S. (red.), Bruylant, 2005, s. 141. När det gäller domen i det ovannämnda målet Z. mot Finland, har författaren anmärkt att kontrollen avseende intrångets nödvändighet [i förevarande fall har] genomförts strängt, vilket förklaras av hur känsligt ett avslöjande av att någon är HIV-positiv till utomstående är.

108 Domen i det ovannämnda målet Leander mot Sverige. Leander var föreståndare för ett svenskt sjöfartsmuseum och hade förlorat sitt arbete efter en personalkontroll som byggde på för honom hemliga uppgifter. Kontrollen ledde fram till slutsatsen att han inte kunde arbeta på museet, som hade flera upplag på militärt skyddat område. Europadomstolen för mänskliga rättigheter fastslog klart principen om att lagring och överföring av personuppgifter tillsammans med den omständigheten att dessa inte får motbevisas utgör ett intrång i skyddet för privatlivet. Vid prövningen av huruvida ett sådant intrång skall anses vara berättigat anförde Europadomstolen följande: [d]et kan inte förnekas att de fördragsslutande staterna, för att bevara allmän säkerhet, har ett behov av lagar som gör det möjligt för behöriga nationella myndigheter att samla in och lagra upplysningar om människor i hemliga akter, och att använda dessa vid prövningen av sökande till viktiga tjänster i säkerhetshänseende (§ 59). Med avseende på de garantier som omgav det svenska systemet för personalkontroll och staternas omfattande handlingsutrymme anförde Europadomstolen att den svarande regeringen hade rätt att anse att nationella säkerhetsintressen gick före sökandens individuella intressen. Det intrång som Leander vidkänts var således inte oproportionerligt i förhållande till det eftersträvade legitima intresset. (§ 67).

109 Europadomstolens dom D. H. Murray mot Förenade kungariket av den 28 oktober 1994 (Serie A, nr 300, § § 47 och 90). I det målet ansågs syftet att bekämpa terrorism motivera militärens förvaring av personuppgifter vad gällde den första sökanden. Europadomstolen anförde bland annat att det inte ankom på denna att sätta sin egen bedömning i de nationella myndigheters, vilka är bättre politiskt lämpade inom området för utredning av terroristattentat, ställe (§ 90). Se även domen i det ovannämnda målet Klass, § 49.

110 Enligt D. Ritleng föreligger det, såsom vid bedömningen av det synonyma begreppet uppenbart felaktig, en uppenbar felbedömning vid ett åsidosättande av bestämmelser i lag som är så allvarligt att åsidosättandet är självklart. Även om den är helt skönsmässig kan bedömningen av omständigheterna inte leda till att gemenskapsinstitutionerna kan besluta på vilket sätt som helst. Vid prövningen av huruvida det skett en uppenbar felbedömning anses det inte tillåtet att använda bedömningsfriheten på ett uppenbart felaktigt sätt. Se Le contrôle de la légalité des actes communautaires par la Cour de justice och le Tribunal de première instance des Communautés européennes, avhandling försvarad den 24 januari 1998 vid Université Robert Schuman de Strasbourg, s. 538, punkt 628.

111 Se, avseende gemenskapens jordbrukspolitik, domstolens dom av den 13 november 1990 i mål C-331/88, Fedesa m.fl. (REG 1990, s. I-4023), punkt 14. Se även, avseende antidumpning, förstainstansrättens dom av den 5 juni 1996 i mål T-162/94, NMB mot kommissionen (REG 1996, s. II-427), punkt 70.

112 Se, avseende den gemensamma jordbrukspolitiken, domstolens dom av den 5 oktober 1994 i mål C-280/93, Tyskland mot rådet (REG 1994, s. I-4973, svensk specialutgåva, volym 16, s. I-171), punkt 91). Denna rättspraxis gäller även på andra områden, till exempel inom socialpolitiken, där domstolen tillerkänt rådet ett omfattande utrymme för skönsmässig bedömning mot bakgrund av att det rör sig om ett område där … lagstiftaren har att fatta socialpolitiska beslut och göra komplexa bedömningar. (domen i det ovannämnda målet Förenade kungariket mot rådet, punkt 58). Jag skall vidare framhålla att när det gäller allmänhetens tillgång till gemenskapsinstitutionernas handlingar och omfattningen av en domstolsprövning av ett avslagsbesluts laglighet har förstainstansrätten tillerkänt rådet en omfattande handlingsfrihet när ett avslagsbeslut grundas på allmänintresset i internationella relationer eller skyddet för allmänintresset inom ramen för allmän säkerhet Se i synnerhet, avseende terroristbekämpning, förstainstansrättens dom av den 26 april 2005 i de förenade målen T-110/03, T-150/03 och T-405/03, Sison mot rådet (REG 2005, s. II-1429) punkterna 46 och 71-82).

113 Det finns, förutom domen i det ovannämnda målet Förenade kungariket mot rådet, en rad exempel på att gemenskapsdomstolarna har hänvisat till den komplicerade arten av bedömningar som gemenskapsinstitutionerna har att göra. Se, i synnerhet, rörande etableringsfrihet, dom av den 13 maj 1997 i mål C-233/94, Tyskland mot parlamentet och rådet (REG 1997, s. I-2405), punkt 55. Ett exempel på förstainstansrättens hänvisning till komplicerade ekonomiska och sociala bedömningar återfinns i dess dom av den 13 september 1995 i de förenade målen T-244/93 och T-486/93, TWD mot kommissionen (REG 1995, s. II-2268), punkt 82.

114 Sålunda skall enligt min mening kommissionen anses ha haft en omfattande handlingsfrihet inom ramen för överföringar av passageraruppgifter vid prövningen av huruvida Förenta staterna kunde säkerställa ett adekvat skydd för dessa personuppgifter.

115 Enligt kommissionen är PNR-bestämmelserna … en specifik lösning på ett specifikt problem …. Gemenskapen och Förenta staterna har nämligen utformat ett slutet system för skydd av CBP:s egna uppgifter, åtskilt från det amerikanska systemet, och omgärdat av ytterligare administrativa garantier i form av amerikansk administrativ kontroll och europeisk rättslig och administrativ kontroll” (punkt 13 i kommissionens yttrande över EGDP:s interventionsinlaga i mål C-318/04).

116 Jag påminner om att detta avser fälten 19 Allmänna kommentarer, 26 OSI-uppgifter (Other Service Information) och 27 SSI/SSR-uppgifter (Special Service Request).

117 Se punkterna 20 och 21 i kommissionens yttrande över EGDP:s interventionsinlaga i mål C-318/04.

118 Det har även angivits i anmärkning 7 i åtagandeförklaringen att när PNR-uppgifterna överförs till filen med borttagna uppgifter lagras de som rådata, det vill säga i en form som inte gör det möjligt att söka direkt och därför kan de inte användas vid ”traditionella” brottsutredningar.

119 Se punkterna 8 d och 10 i konvention nr 108, och artikel 22 i direktiv 95/46.

120 Se punkt 36 i åtagandeförklaringen, där följande anges:CBP kommer att upplysa resenärerna om PNR-kravet och de olika aspekterna av dess tillämpning (på CBP:s webbplats och i resebroschyrer kan man få allmän information om den myndighet som ansvarar för insamlingen av uppgifterna, syftet med insamlingen, dataskydd, uppgiftsutväxling, den ansvarige tjänstemannen, möjligheterna att överklaga samt kontaktuppgifter som kan användas om man har frågor eller särskilda problem osv.).

121 Freedom of Information Act (nedan kallad FOIA) (kapitel 5, section 552, i Förenta staternas lagsamling). När det gäller de handlingar som CBP bevarar skall bestämmelserna i FOIA läsas tillsammans med kapitel 19, section 103.0 och följande i federala författningssamlingen.

122 Enligt FOIA presumeras varje handling hos den federala regeringen vara tillgänglig för var och en. Det berörda regeringsorganet kan emellertid motverka denna presumtion genom att visa att de efterfrågade uppgifterna tillhör en kategori av uppgifter som undantagits från denna skyldighet I detta avseende anges i punkt 37 i åtagandeförklaringen, att [v]id en första parts-ansökan kommer CBP inte att tillämpa FOIA-principen om att PNR-uppgifter skall betraktas som den registrerades konfidentiella personuppgifter eller som flygbolagens konfidentiella kommersiella uppgifter, för att undanhålla PNR-uppgifter från den registrerade.

123 Min kursivering. I punkt 38 i åtagandeförklaringen hänvisas i detta avseende till kapitel 5, section 552(a)(4)(B) i Förenta staternas lagsamling, och till kapitel 19, section 103.7-103.9 i federala författningssamlingen. Av dessa framgår att domstolsprövning (judicial review) av ett avslagsbeslut från CBP angående en begäran om utlämnande skall föregås av en administrativ prövning hos FOIA Appeals Officer (kapitel 19, section 103.7 i federala författningssamlingen). När avslagsbeslutet kvarstår efter den administrativa prövningen får sökanden väcka talan vid federal District Court, vilken är behörig att föreskriva utlämnande av alla uppgifter som felaktigt innehållits av ett regeringsorgan.

124 Adressen till Assistant Commissioner anges i samma punkt.

125 Adressen återfinns i punkt 41 i åtagandeförklaringen.

126 Se, för ett motsvarande synsätt, punkt 5 i section 222 i den amerikanska lagen år 2002 om inre säkerhet (Homeland Security Act — Public Law, 107-296, av den 25 november 2002), i vilken det föreskrivs att Chief Privacy Officer varje år skall lämna en rapport till kongressen angående verksamheten vid ministeriet för inre säkerhet som påverkar skyddet för privatlivet, och redovisa eventuella klagomål avseende intrång i privatlivet.

127 Se fotnot 11 i åtagandeförklaringen, i vilken det anges att Chief Privacy Officer är oberoende av alla andra direktorat inom Departementet för hemlandets säkerhet Hon är enligt lag skyldig att garantera att personuppgifter används på sätt som överensstämmer med relevanta lagar … [Chief Privacy Officers] slutsatser är bindande för departementet och invändningar får inte göras mot dessa av politiska orsaker. Jag skall vidare framhålla att kravet på att det skall vara möjligt att anföra klagomål hos ett oberoende organ med beslutsrätt följer bland annat av Europadomstolens för mänskliga rättigheter dom av den 7 juli 1989, Gaskin mot Förenade kungariket (serie A, nr 160, § 49). Vidare anges i artikel 8.3 i Europeiska unionens stadga om grundläggande rättigheter att [e]n oberoende myndighet skall kontrollera att dessa regler efterlevs.

128 Se, till exempel, dom av den 29 februari 1996 i mål C-56/93, Belgien mot kommissionen (REG 1996, s. I-723), punkt 86.

129 Dom av den 27 september 1988 i mål 204/86, Grekland mot rådet (REG 1988, s. 5323), punkt 16, och av den 30 mars 1995 i mål C-65/93, parlamentet mot rådet (REG 1995, s. I-643), punkt 23.

130 Yttrande av den 13 december 1995 (REG 1995, s. I-4577), angående en begäran från Förbundsrepubliken Tyskland om huruvida ramavtalet om bananer mellan Europeiska gemenskapen och Columbia, Costa Rica, Nicaragua och Venezuela är förenligt med fördraget.

131 Punkt 21 i yttrandet (min kursivering).

132 Punkt 22 i yttrandet.