Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne

Transkript

1 ARTIKEL 29-Databeskyttelsesgruppen 02318/09/DA WP167 Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne Vedtaget den 1. december 2009 Denne gruppe blev nedsat ved artikel 29 i direktiv 95/46/EF- Der er tale om et uafhængigt europæisk rådgivende organ vedrørende databeskyttelse og privatliv. Gruppens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatsopgaverne varetages af direktorat D (Grundlæggende rettigheder og EU-borgerskab) i Europa-Kommissionen, Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed, 1049 Bruxelles, Belgien, Kontor LX-46 01/190. Netsted:

2 Gruppen vedrørende beskyttelse af personer i forbindelse med behandling af personoplysninger som er nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995, som henviser til artikel 29 og artikel 30, stk. 1, litra a), og artikel 30, stk. 3, i nævnte direktiv og artikel 15, stk. 3, i Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002, som henviser til EF-traktatens artikel 255 og Europa-Parlamentets og Rådets forordning (EF) nr. 1049/2001 af 30. maj 2001 om aktindsigt i Europa-Parlamentets, Rådets og Kommissionens dokumenter, som henviser til gruppens forretningsorden, har vedtaget følgende udtalelse: Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne Indledning Ifølge fællesskabsretten kan indkøb, som passagerer foretager i afgiftsfrie butikker i lufthavne og havne, fritages for punktafgifter. Der gælder dog visse betingelser for sådanne indkøb. For at opfylde disse betingelser indsamler og behandler de fleste butikker i EUmedlemsstaterne oplysninger, herunder passageroplysninger, når der købes varer. Den praksis, der benyttes ved behandling og indsamling af sådanne passageroplysninger i hele Europa, er dog meget forskellig fra den ene afgiftsfrie butik til den anden. Der bliver ingen oplysninger givet overhovedet til passagererne om indsamlingen af oplysninger, heller ikke om deres personoplysninger, om formålet med indsamlingen, om passagerernes rettigheder, og om hvordan disse oplysninger kan bruges af offentlige myndigheder, hvis de overføres til dem. I overensstemmelse med artikel 30 i direktiv 95/46/EF har Europa-Kommissionen bedt Artikel 29-Gruppen om at se nærmere på herpå og undersøge, hvilken praksis der gælder i EU-medlemsstaterne for databeskyttelse, og om nødvendigt fremsætte henstillinger til en ensartet anvendelse af de almindelige principper for databeskyttelse, der skal overholdes i afgiftsfrie butikker i lufthavne og havne. I denne udtalelse gennemgås de lovmæssige og praktiske spørgsmål i forbindelse med indsamling og behandling af passageroplysninger i afgiftsfrie butikker. Udtalelsen er ment som en vejledning for butiksindehavere og de toldmyndigheder, der skal overvåge gennemførelsen af fællesskabsretten, således at der kan opnås en mere harmoniseret anvendelse af gældende bestemmelser. -2-

3 Den retlige ramme Fritagelsen for punktafgifter er baseret på følgende fællesskabslove, som er blevet gennemført og implementeret af alle medlemsstater. Rådets direktiv 92/12/EØF af 25. februar 1992, som erstattes af: Rådets direktiv 2008/118/EF af 16. december 2008 om den generelle ordning for punktafgifter og om ophævelse af direktiv 92/12/EØF. Det skal efterkommes fra den 1. april Direktiv 92/12/EØF indeholder intet om undtagelser, men direktiv 2008/118/EF giver et klart retsgrundlag for at kunne fritage varer for punktafgift i såkaldte afgiftsfrie eller toldfrie butikker i Den Europæiske Union. I artikel 14 i punktafgiftsdirektivet er det fastlagt, under hvilke betingelser rejsende kan blive fritaget for at betale punktafgift af punktafgiftspligtige varer. Denne regel gælder for varer, der leveres af afgiftsfrie butikker, og som medbringes af rejsende i deres personlige bagage, når de tager med fly eller skib til et tredjeland eller et tredjelandsområde. I artikel 14, stk. 5, litra b), i dette direktiv forstås ved "rejsende til et tredjelandsområde eller til et tredjeland": enhver passager i besiddelse af rejsehjemmel til en fly- eller sørejse, hvorpå en lufthavn eller en havn beliggende i et tredjelandsområde eller et tredjeland er angivet som det endelige bestemmelsessted. Som følge af disse bestemmelser er det en temmelig begrænset mængde varer, der kan fritages for punktafgifter, hvis den rejsende er i besiddelse af et rejsedokument som for eksempel et boardingpas eller en færgebillet, og desuden skal den rejsende forlade Den Europæiske Union og ankomme til en havn uden for Fællesskabet. Der stilles dog ikke krav om, at den rejsende skal være bosiddende uden for EU. For at undgå misbrug af fritagelser er det i direktivets artikel 14, stk. 3, fastsat, at medlemsstaterne skal træffe de nødvendige foranstaltninger for at sikre, at fritagelserne anvendes på en sådan måde, at det forhindrer enhver form for unddragelse, undgåelse og misbrug. Hverken direktiv 92/12/EØF eller direktiv 2008/118/EF nævner noget om databeskyttelse. Derfor er det de almindelige bestemmelser i direktiv 95/46/EF, der skal anvendes. Forskellig praksis i Europa Efter anmodning fra Europa-Kommissionen i sommeren 2009 iværksatte Artikel 29- Gruppen en undersøgelse af, hvordan passagerdata bliver indsamlet af afgiftsfrie butikker, og hvordan de bliver behandlet af butikkerne selv og af andre. Det viser sig, at der er stor forskel på den praksis, der anvendes i afgiftsfrie butikker rundt om i Europa. -3-

4 Det kan skyldes, at fællesskabsretten eller national lovgivning fortolkes forskelligt, eller at punktafgiftsdirektivet først skal efterkommes fra den 1. april På grundlag af undersøgelsen kom Artikel 29-Gruppen frem til, at der var fire forhold, som kunne være forskellige i nogle af medlemsstaterne. 1 Der kan ikke indkøbes afgiftsfrie varer, hvis der ikke angives et flynummer. For at kontrollere, at en passager har ret til fritagelse for punktafgifter, og for at undgå misforståelser eller diskussioner med passagerer skal alle rejsende vise kassereren deres boardingpas, som bliver scannet elektronisk for at fastslå flyets bestemmelsessted. Der bliver ikke indsamlet og lagret andre oplysninger som navn eller pasnummer. Hvis flyet har et bestemmelsessted uden for EU, viser kasseapparatet den reducerede pris, som kunden skal betale. Oplysningerne om flyet og de indkøbte varer, der bliver taget med ombord bliver lagret i en periode på ti år, således at toldmyndigheder på et senere tidspunkt vil kunne foretage en kontrol af den afgiftsfrie butik. 2 I en anden medlemsstat indsamler de afgiftsfrie butikker i lufthavnene en mængde oplysninger om passagererne. For indkøb af varer, der er fritaget for punktafgifter, skal alle sælgere ifølge landets toldlovgivning skrive en deltaljeret kvittering, hvorpå der blandt andet er angivet de første fem bogstaver i køberens navn, de første fem bogstaver eller tegn for flynummeret, bestemmelsessted og datoen for transaktionen. Lufthavnsbutikkerne indsamler disse oplysninger enten ved at scanne boardingpasset ved optisk læsning eller ved at indføre oplysningerne manuelt. De indsamler også andre oplysninger, blandt andet om art, antal og værdi af de indkøbte varer, købernes navn med 15 bogstaver, og de opbevarer alle disse oplysninger elektronisk i en central database for en periode på tre år. Der bliver dog ikke indsamlet følsomme oplysninger. På den måde er det let at identificere bestemte passagerer og at opbygge databaser over, hvilke afgiftsfrie varer den enkelte rejsende har købt over en vis tid. 3 I andre medlemsstater indsamler de afgiftsfrie butikker kun oplysninger om flyets bestemmelsessted (flynummer) for at kontrollere, om det er et fly med et bestemmelsessted inden for eller uden for EU, men de registrerer ikke flynummeret. Der bliver ikke indsamlet eller lagret andre oplysninger. I alle disse tilfælde konstaterede Artikel 29-Gruppen, at ingen af de afgiftsfrie butikker gav nogen som helst oplysninger til passagererne, og der var ingen forklaring på, hvorfor flynumrene bliver indsamlet, eller hvordan oplysningerne bliver lagret. 4 I en af medlemsstaterne indsamler de afgiftsfrie butikker overhovedet ingen oplysninger fra passagererne, uanset om de køber varer, der bliver fritaget for afgift, eller om flyet har bestemmelsessted inden for eller uden for EU. Eksemplerne viser klart, at den nuværende praksis i Europa ikke er ensartet, og til trods for de entydige bestemmelser i punktafgiftsdirektivet er det forskelligt, hvordan medlemsstaterne behandler afgiftsfrie indkøb. I nogle tilfælde bliver der som nævnt ovenfor ingen oplysninger indsamlet overhovedet. I andre medlemsstater skal de rejsende -4-

5 give en masse oplysninger, som så bliver lagret. Der er også stor forskel på, hvor længe oplysningerne bliver opbevaret. Ud over problemet med databeskyttelse rejser denne forskelligartede praksis spørgsmål om, hvorvidt den er i overensstemmelse med bestemmelserne i punktafgiftsdirektivet, som helt klart pålægger medlemsstaterne at træffe alle nødvendige foranstaltninger for at undgå misbrug og afgiftsunddragelse. Principperne for databeskyttelse Som tidligere nævnt indeholder disse direktiver ingen bestemmelser om databeskyttelse, og derfor er det de almindelige principper i direktiv 95/46/EF, der skal anvendes, da det kan ske, at afgiftsfrie butikker og toldmyndigheder behandler personoplysninger, hvilket er en aktivitet, som falder ind under den første søjle. De generelle principper omfatter blandt andet: Lovlighed Formålsbegrænsning Oplysningerne skal være relevante, tilstrækkelige og korrekte Der må ikke senere foretages behandling, som er uforenelig med formålene En rimelig opbevaringsperiode Tilstrækkelige oplysninger til dem, der registreres. Desuden kan der i visse medlemsstater være krav om en forudgående anmeldelsesprocedure. Den registreredes rettigheder De rettigheder som den registrerede har, fremgår af artikel 10, 11, 13 og 14 i direktivet, og de skal også anvendes, når passagerer køber varer i afgiftsfrie butikker og deres personoplysninger bliver indsamlet og behandlet. Når der indsamles følsomme oplysninger, finder direktivets artikel 8 anvendelse. Anvendelse af databeskyttelsesprincipper Den i punkt 3 nævnte praksis, hvor der indsamles nogle få oplysninger om flyenes bestemmelsessteder, og den i punkt 4 nævnte praksis, hvor de afgiftsfrie butikker i en af medlemsstaterne overhovedet ikke indsamler personoplysninger, er helt klart ud fra et databeskyttelsessynspunkt den praksis, der tilgodeser privatlivet bedst, og det er den, der bør udbredes, forudsat at punktafgiftsdirektivet bliver anvendt, som det skal. Direktivet pålægger nemlig medlemsstaterne at træffe de nødvendige foranstaltninger til at forebygge og bekæmpe misbrug og afgiftsunddragelse. Der kan være tale om foranstaltninger, hvor indsamling af visse oplysninger er en hensigtsmæssig og nødvendig måde at opfylde disse opgaver på. I det i punkt 2 nævnte tilfælde, hvor en medlemsstat indsamler en masse personoplysninger, spørger Artikel 29-Gruppen, hvordan denne praksis kan være kompatibel med principperne om dataminimering og proportionalitet. Det ser ud til, at der indsamles alt for mange oplysninger, som slet ikke er nødvendige for at kunne fastslå, om en passager har ret til at blive fritaget for betaling af punktafgifter. -5-

6 I de tilfælde, hvor der ikke indsamles direkte personoplysninger (som i eksempel 1 og 3), kan passagererne kun identificeres på en indirekte måde. Denne praksis er i overensstemmelse med de godkendte databeskyttelsesprincipper, da der kun bliver indsamlet meget begrænsede data, dvs. flynummer/bestemmelsessted, og da denne oplysning hvis den bliver opbevaret kun lagres i en begrænset tid, så myndighederne kan foretage kontrol for at undgå misbrug. Hvad angår opbevaring af oplysninger, er der ligeledes stor forskel, som det fremgår af de nævnte eksempler. I de i punkt 3 og 4 nævnte tilfælde bliver der ikke lagret data overhovedet, men i de i punkt 1 og 2 nævnte tilfælde bliver dataene opbevaret i henholdsvis tre år og ti år. Ifølge artikel 6, litra e), i direktiv 95/46/EF må oplysninger ikke opbevares i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil de indsamles. Eftersom medlemsstaterne skal træffe de foranstaltninger, der er nødvendige for at undgå misbrug og afgiftsunddragelse, kan det være påkrævet at lagre visse data, så der kan foretages kontrol og analyse af den måde, som afgiftsfrie butikker driver deres forretning på. For nogle myndigheder er det tilstrækkeligt at kunne opbevare data i tre år, og det er da også problematisk, at andre myndigheder har brug for opbevaring i ti år. Der bør lægges vægt på at få afkortet den periode, og den bør under ingen omstændigheder være længere end andre opbevaringsperioder under lignende omstændigheder, for eksempel opbevaring af fakturaer i skatteøjemed. Det er også tilrådeligt at få harmoniseret opbevaringsperioderne i hele Europa, da det påvirker alle rejsende, som er omfattet af det samme direktiv 2008/118/EF. Den videre behandling af personoplysninger, som er blevet indsamlet af toldmyndigheder i forbindelse med deres kontrol, er i overensstemmelse med såvel direktiv 2008/118/EF som databeskyttelsesprincipperne. Al anden behandling af personoplysninger, der bliver indsamlet i forbindelse med indkøb af afgiftsfrie varer, bør begrænses til det mest nødvendige i overensstemmelse med principperne i direktiv 95/46/EF. Konklusioner og anbefalinger Afgiftsfrie butikker i lufthavne og havne indsamler og behandler data, herunder personoplysninger, for at kontrollere, om deres kunder kan blive fritaget for betaling af punktafgifter. I de fleste tilfælde opbevarer de dataene for at bevise over for toldmyndighederne, at de har gjort det rigtige. Toldmyndighederne kan også behandle og opbevare data til eget brug, herunder statistiske data. Ovennævnte direktiver giver et klart retsgrundlag for indsamling, behandling og lagring af visse oplysninger fra passagerers transportdokumenter. De indeholder ikke specifikke bestemmelser om databeskyttelse, så her skal direktiv 95/46/EF anvendes. Butikker og toldmyndigheder bør dog være opmærksomme på, at dataindsamlingen bør begrænses til det mest nødvendige, og at de anvender princippet om dataminimering. I eksemplet i punkt 2 bliver principperne om nødvendighed og proportionalitet ikke overholdt. I de fleste tilfælde vil det kun være nødvendigt for butikkerne at bede om -6-

7 flynummer/bestemmelsessted, som er nævnt på boardingpasset, til at kunne fastslå, om der skal betales punktafgifter eller ikke, som det fremgår af eksempel 3 i denne udtalelse. Det vil være proportionalt og relevant. Hvis der indsamles flere oplysninger, bør der være et klart behov for sådanne oplysninger i specifikke tilfælde. Oplysningerne bør ikke anvendes til retshåndhævelsesformål, medmindre de er nødvendige som bevis for misbrug i specifikke tilfælde (ingen masseoverførsel til politiet). Oplysninger bør ikke anvendes til andre formål, som er uforenelige med det oprindelige formål (videregivelse af oplysninger til tredjeparter uden at informere eller opnå samtykke, for eksempel til transportører), medmindre de skal anvendes til statistiske formål. Der bør ikke foretages en systematisk opsamling af kundernes indkøb med henblik på at analysere deres adfærd og indkøbsvaner. Opbevaringsperioden bør begrænses til det mest nødvendige og bør harmoniseres i hele Europa. Et af de vigtigste resultater af Artikel 29-Gruppens undersøgelser er, at passagererne ikke bliver tilstrækkeligt informeret. Selv om dataene kun bliver indsamlet, men ikke lagret af afgiftsfrie butikker, bør kunden gøres opmærksom herpå. Hvis dataene bliver lagret, er det endnu mere nødvendigt, at der informeres om, hvilke data der bliver lagret til hvilket formål, for hvor længe og hvordan der kan indhentes yderligere oplysninger. Her kan der gøres mere af parterne. Der kan for eksempel sættes skilte op i de afgiftsfrie butikker, eller der kan uddeles brochurer. Hvordan disse oplysninger kan gives til passagererne fremgår af dokument WP 100 og tilhørende bilag, som blev vedtaget af Artikel 29- Gruppen i november Med den nuværende forskelligartede praksis, der er beskrevet i denne udtalelse, er det problematisk, at hverken bestemmelserne i punktafgiftsdirektivet eller bestemmelserne om databeskyttelse bliver ensartet anvendt og overholdt i de afgiftsfrie butikker rundt omkring i Europa. Det ser ud til, at der er behov for yderligere at harmonisere den nuværende praksis og at informere de rejsende bedre om eventuel indsamling og behandling af oplysninger, når de indkøber afgiftsfrie varer. Databeskyttelsesmyndighederne i EU-medlemsstaterne opfordres til sammen med butiksindehavere og lufthavnsmyndigheder at sørge for at løse problemerne og bringe nuværende praksis i overensstemmelse med gældende lov og bestemmelser om databeskyttelse. Passagererne kan og bør informeres bedre om afgiftsfrie indkøb. Butikker, lufthavne, havne, forbrugerorganisationer og andre interessenter bør bestræbe sig på at give de rejsende relevante oplysninger, således at de kan udnytte de rettigheder, de har, når de køber afgiftsfrie varer. Udfærdiget i Bruxelles, den 1. december 2009 På gruppens vegne Alex TÜRK Formand