Μια σημαντική απόφαση σχετικά με την προστασία των προσωπικών δεδομένων πρόκειται να εκδοθεί από το Δικαστήριο των Ευρωπαϊκών Κοινοτήτων (ΔΕΚ) στο Λουξεμβούργο την ερχόμενη Τρίτη 30 Μαΐου. Η απόφαση αφορά δύο προσφυγές που κατέθεσε το 2005 το Ευρωπαϊκό Κοινοβούλιο κατά του Συμβουλίου και της Επιτροπής μετά την περιβόητη συμφωνία (2004) μεταξύ Ευρωπαϊκής Κοινότητας και ΗΠΑ για την επεξεργασία και διαβίβαση προσωπικών δεδομένων επιβατών από τους αερομεταφορείς προς το Γραφείο Προστασίας Τελωνείων και Συνόρων του υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ (CBP). Η συμφωνία τέθηκε σε ισχύ με την υπογραφή της. Η υπόθεση -όπως και άλλες που απασχολούν τον τελευταίο καιρό το ΔΕΚ- έρχεται να δώσει μια σημαντική απάντηση στη σύγκρουση μεταξύ δικαιώματος στην προστασία των προσωπικών δεδομένων και δικαιώματος στην «ασφάλεια». Μια σύγκρουση που απειλεί τον πυρήνα των ατομικών δικαιωμάτων και αγγίζει την καθημερινή ζωή καθενός. Στη συγκεκριμένη περίπτωση, όλοι είμαστε δυνητικοί επιβάτες ενός αεροπλάνου.
Στο στόχαστρο του Κοινοβουλίου βρίσκονται συγκεκριμένα η απόφαση 2004/496/ΕΚ του Συμβουλίου για τη σύναψη συμφωνίας μεταξύ E.E. και ΗΠΑ για την επεξεργασία και διαβίβαση των καταστάσεων με τα ονόματα και προσωπικά δεδομένα επιβατών και η απόφαση 2004/535/ΕΚ της Επιτροπής που κρίνει ικανοποιητική την προστασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στους φακέλους των επιβατών, στους οποίους αποκτά πρόσβαση το CBP. Το Κοινοβούλιο προβάλλει έξι λόγους ακυρώσεως της απόφασης του Συμβουλίου. Μεταξύ αυτών, το ότι η απόφαση στηρίχθηκε σε εσφαλμένη νομική βάση (στο άρθρο 95 της Συνθήκης των Ευρωπαϊκών Κοινοτήτων) και ότι παραβιάζει το θεμελιώδες δικαίωμα στην ιδιωτική ζωή. Κατά της απόφασης της Επιτροπής επικαλείται τέσσερις λόγους ακυρώσεως, μεταξύ των οποίων η υπέρβαση εξουσίας και η παραβίαση θεμελιωδών δικαιωμάτων.
Η απόφαση της Επιτροπής βασίσθηκε στην οδηγία 95/46/ΕΚ για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών. Ομως, η οδηγία δεν εφαρμόζεται στην περίπτωση επεξεργασίας δεδομένων για δημόσια ασφάλεια, εθνική άμυνα ή ασφάλεια του κράτους. Ο Γάλλος γενικός εισαγγελέας Λεζέρ αποφαίνεται, λοιπόν, ότι κακώς βασίσθηκε η Επιτροπή στην οδηγία 95/46/ΕΚ, αφού ο σκοπός της επεξεργασίας των δεδομένων από πλευράς των ΗΠΑ είναι η διασφάλιση της δημόσιας ασφάλειας.
Οσον αφορά την απόφαση του Συμβουλίου, ο εισαγγελέας κρίνει ότι κινείται εκτός του πεδίου εφαρμογής του άρθρου 95 της Συνθήκης ΕΚ, στο οποίο στηρίχθηκε. Οπως τονίζει, το άρθρο 95 χρησιμεύει ως βάση για την έκδοση πράξεων που αποσκοπούν κατά κύριο λόγο στην ολοκλήρωση της εσωτερικής αγοράς και όχι στην καταπολέμηση της τρομοκρατίας ή την προστασία των προσωπικών δεδομένων.
Οι λόγοι ακύρωσης
Και οι δύο λόγοι για τους οποίους ζητεί ακύρωση της συμφωνίας ο εισαγγελέας (λανθασμένη νομική βάση) είναι τυπικοί. Προχωρώντας στις ουσιαστικές αιτιάσεις του Κοινοβουλίου για παραβίαση του δικαιώματος στην ιδιωτική ζωή, ο γενικός εισαγγελέας θεωρεί ότι τα 34 πεδία προσωπικών δεδομένων που παραδίδονται στις ΗΠΑ δεν πρέπει να θεωρούνται υπερβολικά σε σχέση με τον επιδιωκώμενο σκοπό που είναι η καταπολέμηση της τρομοκρατίας και άλλων σοβαρών εγκλημάτων. Ούτε το γεγονός ότι τρία από αυτά τα πεδία ζητούν καταχώριση ευαίσθητων δεδομένων αναιρεί το προηγούμενο συμπέρασμα, κατά τον εισαγγελέα. Επιπλέον, ο χρόνος διατήρησης των δεδομένων (3,5 χρόνια) δεν θεωρείται υπερβολικός, με το επιχείρημα ότι οι έρευνες τέτοιου είδους διαρκούν μεγάλα χρονικά διαστήματα. Τέλος, στα θετικά του συστήματος διαβίβασης και επεξεργασίας δεδομένων συγκαταλέγεται από τον εισαγγελέα η δυνατότητα των προσώπων να αμφισβητήσουν τη νομιμότητα της καταχώρισης.
Είναι προφανές ότι ενδεχόμενη ακύρωση της απόφασης του Συμβουλίου θα οδηγήσει σε αδυναμία εφαρμογής της συμφωνίας από πλευράς Ευρωπαϊκής Ενωσης και συνακόλουθα σε μη διαβίβαση των επίμαχων δεδομένων προς τις αρχές των ΗΠΑ. Ομως, καθώς δεν θα έχουν γίνει αποδεκτές οι αιτιάσεις για παραβίαση της ιδιωτικής ζωής, δεν αποκλείεται μελλοντική έκδοση αποφάσεων σε ορθές νομικές βάσεις που θα επιτρέψουν τελικά την ισχύ της εν λόγω συμφωνίας.
«Εάν η συμφωνία κριθεί άκυρη με βάση το σκεπτικό του γενικού εισαγγελέα, τότε το Συμβούλιο μπορεί να επικαλεσθεί το άρθρο 24 της συνθήκης, να μετατρέψει τη συμφωνία σε θέμα τρίτου πυλώνα (σ.σ. ασφαλείας) και να υποσκελίσει το Ευρωπαϊκό Κοινοβούλιο» δηλώνει στην «Κ» ο αντιπρόεδρος της Επιτροπής Πολιτικών Ελευθεριών του Ευρωκοινοβουλίου κ. Σταύρος Λαμπρινίδης. «Στη συνέχεια, αγνοώντας τον ρόλο της Επιτροπής μπορεί να πάει στη Europol, να της ζητήσει να αποφανθεί ως προς τον ικανοποιητικό βαθμό των αμερικανικών συστημάτων ασφαλείας των δεδομένων και να υπογράψει εκ νέου την ίδια συμφωνία».
Το πιθανότερο, κατά τον κ. Λαμπρινίδη, είναι ότι το δικαστήριο θα ακολουθήσει μεν την πρόταση του εισαγγελέα για ακύρωση, αλλά με διαφορετικό σκεπτικό. «Ο εισαγγελέας λέει ότι η καταπολέμηση της τρομοκρατίας δικαιολογεί σχεδόν όλα τα μέσα. Υπάρχουν, όμως μια σειρά σοβαρά διαδικαστικά προβλήματα στη συμφωνία. Κατά πρώτον, δεν πρόκειται για μια πραγματικά διεθνή συμφωνία. Στην ουσία πρόκειται για μια καθυστερημένη και καταναγκαστική επικύρωση εκ μέρους της Ε.Ε. διοικητικών αποφάσεων της υπηρεσίας τελωνείων των ΗΠΑ» (σ.σ.: σύμφωνα με την Aviation & Transportation Act του 2001 -Νόμος περί Ασφάλειας Αεροπλοϊας και Μεταφορών, που θεσπίσθηκε μετά την 11η Σεπτεμβρίου- το Γραφείο Προστασίας Τελωνείων και Συνόρων του υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ απαιτεί από τις αεροπορικές εταιρείες που δρομολογούν πτήσεις από και προς τις ΗΠΑ ή διέρχονται από αυτές να τους χορηγούν Μανιφέστα Επιβατών (Passenger Manifests) πριν από την άφιξη κάθε πτήσης στις ΗΠΑ. Διαφορετικά η εταιρεία δεν πραγματοποιεί πτήσεις στις ΗΠΑ…)
«Κατά δεύτερον, πρόκειται για μια νεφελώδη συμφωνία όσον αφορά τις υποχρεώσεις των ΗΠΑ και τη δυνατότητα που έχει η Ευρώπη να την καταγγείλει. Δεν μπορεί να διαπιστωθεί παραβίαση της προστασίας των δεδομένων, διότι οι αμερικανικές αρχές δεν επιτρέπουν στην Ευρώπη να ελέγχει πώς κρατούν τα στοιχεία. Θεωρώ ότι τέτοια σοβαρά θέματα δεν εξετάζονται στο σκεπτικό του γενικού εισαγγελέα και ελπίζω από αυτά να κριθεί η συμφωνία άκυρη από το δικαστήριο».
Τι διαβιβάζουν οι αεροπορικές εταιρείες
Μέσα στον φάκελο του επιβάτη (Passenger Name Record ή PNR) περιέχονται 34 «πεδία» δεδομένων.
1. Κωδικός ανεύρεσης φακέλου.
2. Ημερομηνία κράτησης θέσης.
3.Προβλεπόμενες ημερομηνίες αναχώρησης και επιστροφής. Ετσι, διαβιβάζονται και τα προσωπικά δεδομένα ατόμων που ακύρωσαν ή άλλαξαν πτήση.
4. Ονοματεπώνυμο.
5. Αλλα ονόματα που εμφανίζονται στον φάκελο του επιβάτη. Π.χ. του ατόμου που έκανε την κράτηση ή πλήρωσε το εισιτήριο.
6. Διεύθυνση.
7. Τρόποι πληρωμής.
8. Διεύθυνση κράτησης λογαριασμού. Στοιχεία της τράπεζας όπου διατηρεί λογαριασμό ο επιβάτης.
9. Αριθμοί τηλεφώνων.
10. Πλήρες δρομολόγιο για το συγκεκριμένο PNR. Πληροφορίες για μη αεροπορικά τμήματα του ταξιδιού, όπως κρατήσεις ξενοδοχείων, ενοικιάσεις αυτοκινήτων, κρατήσεις σε ειδικά τουρ ή κρουαζιέρες κ.λπ.
11. Πληροφορίες για συχνούς ταξιδιώτες. Ο αριθμός των μιλίων που έχουν διανύσει, οι διευθύνσεις όπου έχουν διαμείνει.
12. Ταξιδιωτικό πρακτορείο.
13. Ταξιδιωτικός πράκτορας. Προσωπικά δεδομένα του προσωπικού του ταξιδιωτικού γραφείου.
14. Πληροφορίες PNR σχετικά με την κατανομή κωδικών. Ταξινόμηση των πάσης φύσεως κωδικών του επιβάτη.
15. «Κατάσταση» του ταξιδιώτη. Αν ήταν σε λίστα αναμονής, αν ταξιδεύει πρώτη θέση κ.ά.
16. Κατανεμημένα δεδομένα PNR. Πληροφορίες του φακέλου σε κατηγορίες.
17. Ηλεκτρονική διεύθυνση.
18. Πληροφορίες σχετικά με την έκδοση των εισιτηρίων.
19. Γενικές παρατηρήσεις. Προσωπικά ή ευαίσθητα δεδομένα αλλά και ηλεκτρονικά «κρυφές» σελίδες με σχολιασμούς.
20. Αριθμός εισιτηρίου.
21. Αριθμός καθίσματος. Καθορίζεται από την κάρτα επιβίβασης. Πράγμα που δείχνει ότι τα πραγματικά στοιχεία του επιβάτη είναι διαθέσιμα όχι νωρίτερα από την αναχώρηση.
22. Ημερομηνία έκδοσης εισιτηρίου.
23. Ιστορικό επιβάτη που δεν εμφανίζεται στις πτήσεις. Πληροφορίες γύρω από τη ζωή του επιβάτη.
24. Αριθμοί επισήμανσης αποσκευών.
25. Επιβάτης τελευταίας στιγμής χωρίς κράτηση.
26. Δεδομένα OSI. (OSI=Other Service Ιnformation=άλλες πληροφορίες σχετικά με τις υπηρεσίες). Πληροφορίες που δεν λαμβάνονται από την εταιρεία αερομεταφοράς.
27. Δεδομένα SSI/SSR. (SSR=Special Service Request=αιτήσεις ειδικών υπηρεσιών). Πληροφορίες σχετικά με τις ειδικές υπηρεσίες. Από το ειδικό μενού που σερβίρεται ο επιβάτης μέχρι την αίτηση για αναπηρικό αμαξίδιο. Ακόμη, πληροφορίες για πιστωτικές κάρτες, συνδετικές πτήσεις, στοιχεία διαβατηρίου που δεν ζητούνται από τους ταξιδιωτικούς πράκτορες.
28. Πληροφορίες σχετικά με την πηγή. Το άτομο που έκανε την κράτηση (συνεργάτης, βοηθός, φίλος, μέλος της οικογένειας κ.λπ.). Δηλαδή άτομα που δεν ταξιδεύουν και τα δικαιώματα των οποίων δεν προστατεύονται.
29. Ιστορικό των αλλαγών που επήλθαν στο PNR. Κάθε μεταβολή ή απάλειψη που έχει γίνει στο PNR. Πρόσβαση στο ιστορικό σημαίνει πρόσβαση σε όλα τα ευαίσθητα δεδομένα.
30. Αριθμός ταξιδιωτών στο PNR. Πληροφορίες για τα άτομα που συνοδεύουν τον επιβάτη.
31. Πληροφορίες σχετικά με το κάθισμα του επιβάτη. Αν είναι κανονικό, αναπηρικό, κ.λπ.
32. Εισιτήρια μονής κατεύθυνσης.
33. Πληροφορίες APIS που έχουν ενδεχομένως συλλεγεί. (Advanced Passenger Information System= Εξελιγμένο Σύστημα Πληροφοριών Επιβατών). Πληροφορίες που έχουν επιλεγεί από τον φάκελο.
34. ATFQ. (Automatic Ticket Fare Quote). Η τιμή του εισιτηρίου· εμπορικά ευαίσθητο στοιχείο.
Οι θέσεις του επόπτη
Σε ό,τι αφορά τα ευαίσθητου χαρακτήρα προσωπικά δεδομένα που κατά την οδηγία 95/46 είναι όσα παρέχουν πληροφορίες για τη φυλετική ή εθνική καταγωγή, τα πολιτικά φρονήματα, τις θρησκευτικές ή φιλοσοφικές πεποιθήσεις, τη συμμετοχή σε συνδικαλιστικές οργανώσεις, την υγεία και τη σεξουαλική ζωή, το Ευρωκοινοβούλιο προέβαλε κατά την ακροαματική διαδικασία του περασμένου Οκτωβρίου στο ΔΕΚ, υποστηριζόμενο από τον Ευρωπαίο Επόπτη Προστασίας των Δεδομένων, ότι συγκεκριμένα πεδία μπορούν από μόνα τους ή συνδυαζόμενα να συμπεριλαμβάνουν τέτοια δεδομένα. Πρόκειται για τα πεδία 11, 19, 26, 27 και 33.
Οπως, επίσης, σημείωσε ο εκπρόσωπος του Ευρωπαίου Επόπτη Προστασίας Δεδομένων, οδηγούμαστε στο εξής παράδοξο: οι αεροπορικές εταιρείες στην Ευρώπη δεσμεύονται από την κοινοτική προστασία προσωπικών δεδομένων, αλλά με αυτήν τη Συμφωνία υποχρεούνται να παραβιάσουν την κοινοτική νομοθεσία, επιτρέποντας πρόσβαση στις ΗΠΑ. Επιπλέον, πρόσβαση στα αμερικανικά αρχεία δεδομένων μπορεί να έχουν και τρίτοι, όπως το FBI, το οποίο βέβαια δεν δεσμεύεται από καμία διάταξη κοινοτικού δικαίου και μπορεί με τη σειρά του να κάνει ό,τι θέλει με τα προσωπικά δεδομένα, στέλνοντάς τα οπουδήποτε για οποιουσδήποτε σκοπούς.