Artikel 29-Gruppen vedrørende Databeskyttelse

Transkript

1 Artikel 29-Gruppen vedrørende Databeskyttelse 10031/03/DA WP 85 Udtalelse nr. 1/2004 om beskyttelsesniveauet i Australien i forbindelse med luftfartsselskabers overførsel af passageroplysninger (PNR) Vedtaget den 16. januar 2004 Gruppen, der er nedsat ved artikel 29 i direktiv 95/46/EF, er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred, hvis opgaver er fastsat i artikel 30 i direktiv 95/46/EF og artikel 14 i direktiv 97/66/EF. Gruppens sekretariat varetages af Europa-Kommissionen, GD for det Indre Marked, Direktorat E (Tjenesteydelser, Ophavsret, Industriel Ejendomsret og Databeskyttelse), B-1049 Bruxelles, Kontor C100-6/136. Websted:

2 UDTALELSE NR. 1/2004 FRA GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER, som er nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995, om beskyttelsesniveauet i Australien ved luftfartsselskabers overførsel af passageroplysninger (PNR) GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER HAR - under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 1, særlig artikel 29 og artikel 30, stk. 1, litra b), under henvisning til sin forretningsorden 2, særlig artikel 12 og 14, og ud fra følgende betragtninger: Australiens regering har anmodet 3 Kommissionen om i henhold til direktivets artikel 25 at konstatere, at Australien sikrer et tilstrækkeligt databeskyttelsesniveau i forbindelse med luftfartsselskabers overførsel af oplysninger, der er indeholdt i Passenger Name Record (herefter PNR ). Europa-Kommissionen har anmodet gruppen om at udtale sig i denne henseende - VEDTAGET FØLGENDE UDTALELSE: 1. INDLEDNING Australiens toldmyndigheder har i medfør af de australske retsforskrifter om grænsekontrol kompetence til at foretage risikovurdering af internationale luftfartsselskabers PNR-oplysninger forud for passagerernes ankomst til Australien. Retsforskrifternes formål er at fremme sikkerheden ved den australske grænse, og de tjener især til at gennemføre regeringens valgprogram for 2001 med hensyn til en øget national sikkerhed. Toldmyndighedernes adgang til, anvendelse af og videregivelse af PNR til tredjemand er reguleret i den australske lovgivning ved Customs Act 1901 (toldlov af 1901, herefter EFT L 281 af , s. 31, tilgængelig på: Vedtaget af gruppen på sit tredje møde den Anmodning fremsat på et møde mellem Australiens udenrigsminister Alexander Downer og EUkommissær Christopher Patten den Bekræftet på mødet mellem Australiens justitsminister Williams og EU-kommissær Frederik Bolkestein den og på mødet i ministertroikaen i Rom den

3 Customs Law), Customs Administration Act 1985 (toldadministrationslov af 1985, herefter Customs Administration Act), Privacy Act 1988 (lov af 1988 om beskyttelse af privatlivets fred, herefter Privacy Act) og toldmyndighedernes forpligtelseserklæring til (forbunds)parlamentet (Australian Customs Undertakings to the Australien (Federal) Parliament) med hensyn til ikke-forvaring af PNR-oplysninger. Luftfartsselskaber er forpligtede til at give toldmyndighederne adgang til visse af de PNR-oplysninger, som de er i besiddelse af. Luftfartselskabernes opfyldelse af de australske krav kan skabe problemer i forhold til direktiv 95/46/EF om databeskyttelse. Kommissionen har derfor indledt drøftelser med de australske myndigheder for at fastsætte de betingelser, på grundlag af hvilke Kommissionen i henhold til artikel 25, stk. 6, i direktiv 95/46/EF kan vedtage en beslutning, hvormed det konstateres, at Australien sikrer et tilstrækkeligt databeskyttelsesniveau. Kommissionen har holdt gruppen underrettet om disse forhandlinger. Kommissionen har bl.a. givet gruppen et dokument indeholdende de australske toldmyndigheders forpligtelseserklæring til Australiens (forbunds)parlament med hensyn til adgangen til luftfartsselskabers passageroplysninger og ikke-forvaring af sådanne oplysninger samt senatets konstateringer på dette område. 4 Gruppen bemærker, at luftfartsselskabers overførsel af PNR-oplysninger til myndigheder uden for EU giver anledning til bekymring i befolkningen og er en følsom problemstilling med vidtrækkende internationale, politiske og retlige konsekvenser. For at imødekomme disse bekymringer bør der til en eventuel beslutning fra Kommissionen vedlægges en fuldstændigt beskrivelse af de relevante australske retsforskrifter. Gruppen anbefaler ligeledes, at der i Kommissionens beslutning indsættes en bestemmelse om, at Kommissionen underrettes om enhver ændring i den relevante lovgivning. 2. AUSTRALIENS LOVGIVNING OM PNR-OPLYSNINGER Gruppen tager de australske myndigheders forklaringer på dette område til efterretning. I henhold til disse forklaringer dækker Australiens lovgivning om PNR-oplysninger følgende situationer: Customs Act 1901 som ændret Schedule 7 i Border Security Legislation Amendment (Terrorism) Act 2002 (lov af 2002 om ændring af loven om sikkerhed ved grænserne (terrorisme)), der ændrer Customs Act, blev gennemført den 2. august 2002 og giver toldmyndighederne tilladelse til at indhente flypassageroplysninger efter anmodning fra Chief Executive Officer of Customs (den øverste toldembedsmand, herefter "CEO"). I denne henseende er operatører, der foretager international passagerlufttransport, i henhold til Section 64AF i Customs Act forpligtede til at give toldmyndighederne adgang til PNR-oplysninger, hvis CEO anmoder om dette. Det fremgår af Section 64AF Clause (1) (a), at en anmodning fra CEO til et luftfartsselskab om adgang til passageroplysninger fremsættes på en bestemt måde og i en bestemt form (particular manner and form). Når først anmodningen er fremsat af CEO, er den at betragte som et formelt retligt dokument, som ved operatørens modtagelse heraf bliver et bindende krav om levering af passageroplysninger. 4 Svarskrivelse fra Australien fra november 2003 om en række aspekter, der blev fremhævet i forbindelse med en videokonference, der blev afholdt den 27. oktober 2003 mellem repræsentanter for Kommissionen og den australske regering. -3-

4 Gruppen konstaterer, at kravet om at give adgang til oplysninger skal opfyldes, selv om de pågældende oplysninger er personoplysninger som defineret i Privacy Act. Section 273GAB i Customs Act tillader videregivelse af passageroplysninger til toldmyndighederne, selv om det drejer sig om personoplysninger som defineret i Privacy Act, og selv om en sådan videregivelse ellers er underlagt bestemmelserne i Privacy Act. Gruppen konstaterer, at Australiens regering ved at give mulighed for at pålægge sanktioner i tilfælde af manglende overholdelse af de gældende bestemmelser tydeligt har givet udtryk for sit ønske om, at CEO skal udøve sine beføjelser i henhold til Section 64AF. CEO har ingen skønsbeføjelser med hensyn til at fritage et luftfartsselskab fra anvendelsen af Section 64 AF. CEO har dog i henhold til denne bestemmelse skønsbeføjelse til at fastsætte tidsfristerne for anmodningen og, på hvilken måde og i hvilken form der gives adgang til operatørernes passageroplysninger. I henhold til de australske myndigheder er dokumentet, hvori det fastsættes, på hvilken måde og i hvilken form anmodningen skal fremsættes, et retligt bindende dokument med detaljerede bestemmelser om systemadgang og datalevering. Customs Administration Act 1985 Section 16 i Customs Administration Act regulerer registreringen og videregivelsen af beskyttede oplysninger. Alle PNR-oplysninger, der konsulteres af toldmyndighederne, er beskyttede oplysninger i den i Section 16 anvendte betydning, og enhver registrering og videregivelse af disse oplysninger skal foregå i overensstemmelse med denne bestemmelse. Beskyttede oplysninger er oplysninger, som en person direkte eller indirekte får kendskab til eller kommer i besiddelse af i forbindelse med udøvelsen af sit hverv (uanset om de pågældende oplysninger er relevante for udøvelsen af dette hverv eller ej). Customs Administration Act forbyder uautoriseret registrering og videregivelse af visse oplysninger, som toldmyndighederne er i besiddelse af, indeholder undtagelser fra forbudet og fastsætter særlige bestemmelser for autoriseret videregivelse af personoplysninger. 5 Customs Administration Act tager udgangspunkt i forbudet mod at registrere eller videregive beskyttede oplysninger, medmindre det er tilladt i henhold til Section 16, eller hvis det kræves eller tillades i medfør enhver anden lov eller inden for rammerne af en persons embede. 6 Customs Administration Act finder anvendelse på CEO og på en begrænset gruppe embedsmænd som fastsat i lovens subsection 1AA. Privacy Act 1988 Commonwealth-regeringen vedtog en lov om beskyttelse af privatlivets fred i 1988, nemlig Commonwealth Privacy Act Loven dækker hovedsagelig forbundsmyndighedernes aktiviteter og pålægger disse en række databeskyttelsesprincipper (Information Privacy Principles) (herefter "IPP") på grundlag af OECD's retningslinjer af 1980 om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger (1980 OECD Guidelines 5 6 Personoplysninger (Personal information) som defineret i Privacy Act 1988, hvortil subsection 1A i Customs Administration Act henviser. Section 16, subsection

5 governing the protection of privacy and transborder flows of personal data) under tilsyn af Federal Privacy Commissioner (Australiens federale databeskyttelsesansvarlige, herefter Privacy Commissioner). 7 Toldmyndighederne er som en forbundsmyndighed under Commonwealth-regeringen underlagt bestemmelserne om den offentlige sektor i Privacy Act (jf. bilag A, der indeholder et resume af denne lov). De fleste IPP finder anvendelse på registre, der indeholder personoplysninger, men ikke på selve oplysningerne. Gruppen har forstået det således, at det fremgår af definitionen af et register, at f.eks. databaser er omfattet af Privacy Act. Gruppen bemærker, at enhver PNR-oplysning, der forvares af toldmyndighederne, også betragtes som personoplysning i den betydning og til det formål, der er fastsat i Privacy Act. Toldmyndighederne er således forpligtede til at behandle oplysninger i overensstemmelse med denne lov, herunder med hensyn til indsamling, anvendelse, forvaring og videregivelse af sådanne oplysninger. Commonwealth-regeringens organer er i henhold til databeskyttelsesprincipperne forpligtede til at behandle personoplysninger på passende vis i nedenstående situationer: indsamling og anmodning om personoplysninger (IPP 1-3) lagring og sikkerhed (IPP 4) identifikation af opbevarede personoplysninger (IPP 5) fysiske personers adgang til egne personoplysninger (IPP 6) ret til berigtigelse (IPP 7) kravet om, at personoplysninger skal være korrekte, ajourførte og fuldstændige (IPP 8) kravet om, at personoplysninger kun må anvendes til et relevant formål (IPP 9) begrænset anvendelse af personoplysninger (IPP 10) begrænset videregivelse af personoplysninger (IPP 11). Privacy Commissioner skal ifølge til den australske regering foretage kontrol af Commonwealth-regeringens organer for at sikre, at de overholder databeskyttelsesprincipperne. Toldmyndighederne skal i henhold til samme regering indføre formelle procedurer for den kontrol af adgangen til passageroplysninger, der foretages af Privacy Commissioner og Customs Internal Audit (toldmyndighedernes interne revision). Australiens justitsminister vil modtage et forslag om ændring af Privacy Act for at give Privacy Commissioner kompetence til at foretage kontrol af toldmyndighederne med henblik på at sikre, at de ikke foretager forvaring af identificerbare PNR-oplysninger. 3. GENNEMFØRELSE OG SÆRLIGE ASPEKTER AF BESTEMMELSERNE OM TOLDMYNDIGHEDERNES ADGANG TIL PNR Gruppen tager de australske myndigheders forklaringer på dette område til efterretning. Ifølge disse gennemføres og kendetegnes toldmyndighedernes bestemmelser om adgang til PNR som beskrevet nedenfor. Behandling og forvaring af PNR-oplysninger Adgangen til PNR-oplysninger gennem SITA er beskrevet i et bilag, der er vedlagt og udgør en integrerende del af denne udtalelse. De PNR, der konsulteres, omfatter ikke historiske oplysninger, men kun PNR vedrørende aktuelle flyvninger. 7 Fastsat i lovens Section 14. Se ligeledes -5-

6 Det første trin i toldmyndighedernes behandling af PNR-oplysninger består af en automatisk risikoanalyse, der foretages ved hjælp af et særligt analyseprogram. Dette betyder, at visse oplysninger i luftfartsselskabernes PNR (oplysninger om reservation og check-in) behandles med et automatisk profilanalyseprogram. Dette program frasorterer i gennemsnit 95-97% af passagererne på en bestemt flyvning, hvis PNR ikke danner grundlag for nogen risikoprofil. Toldmyndighederne hverken ser eller importerer PNR om disse passagerer, og der foretages ikke noget videre med hensyn til at konsultere eller vurdere deres PNR. Den første menneskelige indgriben finder sted, når toldembedsmændene gennemgår PNR-oplysningerne vedrørende de resterende 3-5% af passagererne (i gennemsnit pr. flyvning), der udvælges af det automatiske profilanalyseprogram. Disse passagerers PNR undersøges manuelt af den toldembedsmand, der er tilknyttet Passenger Analysis Unit (passageranalyseenheden, herefter PAU) i Canberra, som foretager en risikoanalyse. Hvis der efter yderligere analyse fortsat er tilstrækkelig grund til at tro, at en bestemt passager udgør en risiko, kan der træffes foranstaltninger til at tilbageholde vedkommende ved ankomsten til den australske grænse. Denne gruppe passagerer repræsenterer i gennemsnit 0,05-0,1% af alle passagerer pr. flyvning. Toldmyndighederne ved grænsen (lufthavnen) træffer en yderligere og endelig beslutning om eventuelt at tilbageholde den pågældende passager. Toldmyndighederne er med hensyn til forvaring af PNR-oplysninger ikke retligt forpligtet hertil. Der er derimod heller intet retligt forbud mod, at toldmyndighederne lagrer disse oplysninger. PNR-oplysninger om passagerer, der ved hjælp af det automatiske profilanalyseprogram vurderes at udgøre en lav risiko (95-97% af alle passagerer), forvares ikke, og der foretages ingen registrering af disse PNR-oplysninger. Toldmyndighederne har således en generel politik om ikke at foretage forvaring af disse oplysninger. For de 0,05-0,1% af passagererne, der henvises til toldmyndighederne med henblik på yderligere vurdering, foretages der en midlertidig forvaring men ikke lagring af luftfartselskabernes PNR-oplysninger, indtil der er truffet en afgørelse ved grænsekontrollen. Når denne afgørelse er truffet, slettes PNR-oplysningerne fra computersystemet hos den pågældende PAU-toldembedsmand, og de registreres ikke i australske databaser. Toldmyndighederne vil kun forvare personoplysninger, der stammer fra PNR, hvis den pågældende passager har overtrådt en lov om grænsekontrol, der håndhæves af toldmyndighederne. Hvis der er mistanke om en lovovertrædelse, vil oplysningerne blive opbevaret midlertidigt under efterforskningen af den påståede overtrædelse. Hvis efterforskningen ikke giver anledning til retsforfølgning eller overtrædelsen ikke kan bevises, slettes de pågældende PNR-oplysninger. Politikken om ikke-forvaring af PNR-oplysninger som beskrevet ovenfor er fastlagt i en forpligtelseserklæring, som toldmyndighederne afgav til Australiens forbundsparlament i forbindelse med, at senatets Legal and Constitutional Legislation Committee (senatets udvalg for retlige og forfatningsmæssige anliggender) undersøgte gennemførelsen af Security legislation Amendment (Terrorism) Bill 2002 (No 2) (lov af 2002 om ændring af lov om national sikkerhed (terrorisme)) og dertil tilknyttede love. 8 For at opnå det 8 Svarskrivelse fra Australien fra november 2003, side

7 australske parlaments godkendelse til ved lov at forpligte luftfartsselskaber til at videregive PNR-oplysninger, og for at tage behørigt hensyn til Privacy Commissioners forbehold vedrørende lagring af personoplysninger, afgav toldmyndighederne følgende forpligtelseserklæring til parlamentet, hvor de garanterede ikke at lagre PNRoplysninger: Toldmyndighederne hverken forvarer eller lagrer passageroplysninger, medmindre det er blevet påvist, at den pågældende passager udøver en ulovlig aktivitet eller de pågældende oplysninger er nødvendige i efterforskningen af en påstået overtrædelse 9. Senatudvalgets konstateringer og parlamentets krav til toldmyndighederne vedrørende adgang til PNR-oplysninger fremgår af afsnit 4.80 til 4.87 i udvalgets beretning fra maj I henhold til redegørelsen fra de australske myndigheder er denne forpligtelseserklæring bindende. Uanset om der sker en udskiftning af toldmyndighedernes CEO eller ministeren, vil en ændring af betingelserne være at betragte som en manglende overholdelse af forpligtelseserklæringen. CEO er således bundet af sin forpligtelse, da det vil blive betragtet som foragt for parlamentet, hvis Section 64 AF tilsidesættes. Toldmyndighederne har på grundlag af denne forpligtelseserklæring udviklet en række strenge operationelle procedurer for anvendelsen af PNR-oplysninger, der især skal forhindre forvaring af oplysninger. Det computersystem, der anvendes til PNR-analyse, er ligeledes udformet således, at det ikke er muligt at forvare oplysninger. Gruppen har forstået det således, at det australske system forhindrer en generaliseret og forlænget lagring og efterfølgende behandling af PNR-oplysninger, og den tager den australske regerings redegørelse og garantier til efterretning. Som tidligere nævnt foretages der kun forvaring af en passagers PNR, når det kan påvises, at vedkommende har overtrådt en lov om grænsekontrol, som toldmyndighederne håndhæver. Hvis der er mistanke om en lovovertrædelse, bliver oplysningerne opbevaret midlertidigt under efterforskningen af den påståede overtrædelse. Hvis efterforskningen ikke resulterer i nogen retsforfølgning eller overtrædelsen ikke kan bevises, slettes de pågældende PNR. I alle andre tilfælde foretages der ingen registrering af PNR-oplysninger. Desuden har toldmyndighederne ikke længere adgang til oplysninger om en bestemt flyvning, efter at de er blevet slettet fra luftfartselskabets system, dvs timer efter landing. Hvad angår databeskyttelse konstaterer gruppen, at dette system på betydelig og grundlæggende vis adskiller sig fra det amerikanske system, hvor PNR importeres fra luftfartselskabernes databaser og lagres i en separat database med henblik på efterfølgende behandling. Gruppen bemærker ligeledes, at det australske system omfatter systematisk videregivelse af PNR fra luftfartsselskaberne til de australske myndigheder. Samtidig vedrører hver videregivelse fra et luftfartsselskab kun en bestemt flyvning, og hver PNR, der oprettes i forbindelse med en sådan flyvning, er specifik for den pågældende flyvning. De PNR, der konsulteres, omfatter således ikke historiske oplysninger. Gruppen bygger derfor sin holdning om samspillet mellem den systematiske videregivelse af PNR, det forhold at sådanne oplysninger er specifikke for hver flyvning og de australske myndigheders generelle politik om ikke at foretage forvaring af PNR. Formålet med toldmyndighedernes adgang til PNR-oplysninger 9 Svarskrivelse fra Australien fra juni 2003, side Svarskrivelse fra Australien fra november 2003, side

8 Gruppen konstaterer, at formålet med toldmyndighedernes anvendelse af PNRoplysninger ifølge de australske myndigheder er, at gennemføre den australske regerings beslutning om, at alle PNR-oplysninger om passagerer på flyvninger til eller fra Australien skal analyseres for at skærpe grænsekontrollen ved at identificere de passagerer, der kan udgøre en risiko med hensyn til terrorisme eller hermed tilknyttet kriminel aktivitet 10 Adgangen er begrænset til de flyvninger, der defineres som internationale australske flyvninger (Australian International Flights) i Section 64 AF Clause (6) i Customs Act, dvs. de flyvninger, der omfatter transport til, gennem eller fra Australien. 11 PNR-dataelementer, der konsulteres De PNR-oplysninger, der indsamles med henblik på toldmyndighedernes behandling, består af oplysninger, der er indeholdt i luftfartsselskabets PNR, som ligger i forskellige reservations- og check-in-felter i computerreservationssystemet (herefter CRS) for en fysisk person på en flyvning til eller fra Australien. 12 Ifølge de australske myndigheder vedrører den initiale edb-baserede scanning af passagerer kun en begrænset gruppe PNR-dataelementer, nemlig 18 PNR-dataelementer. Af disse dataelementer er der ingen, der omfatter følsomme oplysninger, som toldmyndighederne er enige i kan filtreres fra, eller oplysninger som frequent flyeroplysninger. Gruppen har foretaget en vurdering af de 18 PNR-dataelementer, som anvendes af toldmyndighedernes automatiske profilanalyseprogram, i forhold til de PNRdataelementer, der er anført i gruppens udtalelse nr. 4/2003 af 13. juni Gruppen konstaterer, at 7 14 ud af de 18 PNR-dataelementer ikke er blandt de dataelementer, som i udtalelse nr. 4/2003 ikke anses for at være overdrevne i forhold til formålet. Gruppen har desuden ikke tidligere taget stilling til 4 af PNR-dataelementerne 15. Hvis en passager på grundlag af den automatiske profilanalyse vurderes at udgøre en potentiel risiko, kan yderligere PNR-dataelementer blive undersøgt af en godkendt toldembedsmand. 5 af disse elementer 16 er ikke blandt de dataelementer, der i ovennævnte udtalelse anses for ikke at være overdrevne i forhold til formålet, og 2 af disse dataelementer 17 blev ikke vurderet af gruppen i sin udtalelse nr. 4/2003. Gruppen bemærker, at toldmyndighederne kan konsultere den fulde PNR inklusive følsomme oplysninger, hvis der er mistanke om, at den pågældende person udgør en høj Svarskrivelse fra Australien fra november 2003, side 1. Svarskrivelse fra Australien fra maj 2003, udgave 3, side 3 og 4. Bilag D til svarskrivelsen fra Australien fra november Side 8 i denne udtalelse. Alle former for betalingsoplysninger (uden detaljer herom), rejsebureau, rejseagent, dataelementer om kodedeling, delte PNR-dataelementer, OSI-oplysninger og SSR-oplysninger. De PNR-dataelementer, der ikke anses for at være overdrevne i forhold til formålet, er reservationsdato, planlagte rejsedatoer, hele rejseruten for den pågældende PNR, oplysninger om passagerer, der tidligere ikke har tjekket ind (no show), antal bagage, bagageseddelnumre og oplysninger om passager, der tidligere har tjekket sig ind i sidste minut uden reservation (go show). Billetudstedelsesby, statsborgerskab, fødselsår og billetudstedelsesdato. Antal rejsende i den pågældende PNR, sædeoplysninger, kontakttelefonnummer, rejsestatus, generelle bemærkninger og indsamlede apis/api-oplysninger. Fødselsdato og de rejsendes fulde navn. -8-

9 risiko. Dette sker for 0,05-0,1% af alle passagerer (i gennemsnit pr. flyvning), som det automatiske profilanalyseprogram vurderer udgør en potentiel risiko. Måde og form for adgang til PNR-oplysninger Toldmyndighederne kan anvende det automatiske risikovurderingsprogram på ovennævnte PNR-dataelementer, såfremt det foregår på en bestemt måde og i en bestemt form som defineret i Section 64AF clause (1) (a) i Customs Act og beskrevet i et særligt dokument om måde og form. Ifølge de australske myndigheder er enhver anden form for adgang ulovlig i henhold til australsk lov. Ud over dokumentet om måde og form beskriver dokumentet System Access Arrangement (dokument om systemadgang, herefter System Access Arrangement) de procedurer, der giver mulighed for at administrere toldmyndighedernes adgang til luftfartsselskabernes passageroplysninger i henhold til Customs Act, Customs Administration Act og Privacy Act. Med hensyn til måden, beskrives adgangen som en kontinuerlig og elektronisk onlineadgang i realtid til CRS-komponenter i luftfartsselskabernes computersystemer eller andre systemer, der anvendes til lagring af passageroplysninger. Det drejer sig om en read-only -adgang (også specificeret i Clause 2.3 under punkt c i System Access Arrangement om toldmyndighedernes adgang til luftfartsselskabers passageroplysninger), der kun er tilgængelig for et begrænset antal toldembedsmænd, som er blevet godkendt af CEO. Adgangsrettighederne gives af luftfartsselskabet. Med hensyn til formen, foregår adgangen via et computerprogram, der er særligt udviklet af toldmyndighederne. Programmet ligger i toldmyndighedernes computersystem, der er tilsluttet luftfartsselskabets system via et netværk med betegnelsen SITA. Den tekniske procedure for at konsultere PNR-oplysninger gennem SITA beskrives i et teknisk bilag til denne udtalelse. Initiale modtagere af PNR-oplysninger Gruppen konstaterer, at toldmyndighederne er den eneste myndighed, der konsulterer PNR-oplysningerne, som videregives af luftfartsselskaberne. Adgangen hos toldmyndighederne er begrænset til en lille gruppe embedsmænd, der er tilknyttet PAU i toldmyndighedernes hovedkvarter i Canberra. Hver embedsmand skal, inden der gives mulighed for at konsultere passageroplysningerne, godkendes i et særligt dokument af toldmyndighedernes CEO i henhold til subsection 64AF(1) i Customs Act. Det er fastsat i denne subsection, at en operatør af internationale passagerlufttransporttjenester modtager en anmodning fra CEO om at give de godkendte embedsmænd løbende adgang til operatørens passageroplysninger. Det er fastsat i dokumentet om måde og form for adgang til luftfartsselskabernes passageroplysninger, at toldmyndighedernes CEO giver en række embedsmænd i visse stillinger tilladelse til at konsultere Deres system. De vil modtage nærmere detaljer om embedsmændene i disse stillinger i den registrerings- /ansøgningsblanket til opnåelse af brugernavn og adgangskode, som De har leveret. Der henvises ligeledes til godkendte embedsmænd ( authorised officers ) i System Access Arrangement, der indeholder specifikationer om aftalerne vedrørende adgang til computersystemet mellem toldmyndighederne og luftfartsselskaberne. Det fremgår heraf, at kun godkendte embedsmænd fra toldmyndighederne kan konsultere luftfartsselskabernes system (clause 2.2), idet det samtidig anføres, at toldmyndighederne -9-

10 underretter det berørte luftfartsselskab om, hvem disse godkendte embedsmænd er, og fastslår, at kun disse godkendte embedsmænd har adgang til luftfartsselskabets computersystem (eller angivelse af nominelle computeradresser, der anvendes til automatisk systemadgang og PNR-analyse) (clause 2.3). Videre overførsel PNR-oplysninger, der konsulteres af toldmyndighederne, kan udelukkende videregives til tredjemand i følgende situationer: a) Når toldmyndighederne ved en retsafgørelse er forpligtede til at videregive oplysninger til en domstol. b) Videregivelse til det australske forbundspoliti (Australien Federal Police) (herefter "AFP") med henblik på videre efterforskning og retsforfølgning af en lovovertrædelse i henhold til australsk lov, når toldmyndighederne har mistanke om, at en person, der ankommer til den australske grænse, har begået en lovovertrædelse. Toldmyndighederne videregiver ikke hele PNR til AFP, men kan i visse tilfælde videregive bestemte oplysninger, der førte til anholdelsen af den pågældende passager. Der kan kun gives adgang til kreditkort- og telefonoplysninger på grundlag af en dommerkendelse ( search warrant ). I henhold til en række ministerielle aftaler mellem toldmyndighederne og AFP overdrager toldmyndighederne alle grove lovovertrædelser (f.eks. terrorisme og narkotikasmugling, som toldmyndighederne opdager ved grænsen) til AFP med henblik på efterforskning og retsforfølgning. AFP er som et organ under Commonwealth-regeringen underlagt Privacy Act. Det er fastsat i denne lovs IPP 11, at et organ, der modtager oplysninger fra toldmyndighederne, hverken må anvende eller videregive disse oplysninger til et andet formål end det, hvortil de initialt blev videregivet til organet. Hertil kommer, at samtlige ansatte i AFP i henhold til Section 60A i Australian Federal Police Act 1979 (lov af 1979 om det australske forbundspoliti) har tavshedspligt. I henhold til denne bestemmelse må hverken de nuværende eller tidligere ansatte i AFP direkte eller indirekte registrere eller videregive oplysninger, som de i forbindelse med deres arbejde er kommet i besiddelse af, medmindre det er tilladt i henhold til denne samme bestemmelse, i henhold til en anden lov eller i forbindelse med udøvelsen af deres hverv som ansat i AFP. En overtrædelse af Section 60 straffes med fængsel i op til 2 år. Toldmyndighederne er med hensyn til videre overførsel af PNR-oplysninger underlagt IPP 11 som fastsat i Section 14 i Privacy Act. Der er i denne IPP fastsat specifikke begrænsninger for videregivelsen af personoplysninger. Registeransvarlige (med samme betydning som i direktivet) videregiver med visse specifikke undtagelser ikke personoplysninger til sekundære formål. Disse undtagelser er, når den berørte fysiske person har givet sit samtykke, når videregivelsen kræves eller tillades i henhold til loven og til et formål, der med rimelighed må anses for at være nødvendigt med henblik på håndhævelse af straffeloven, en lov, der pålægger en økonomisk sanktion eller beskyttelsen af de offentlige indtægter. -10-

11 Hertil kommer, at toldmyndighedernes embedsmænd, der er godkendte til at konsultere passageroplysninger, er underlagt kravene i Section 16 i Customs Administration Act, der indeholder regler om registrering og videregivelse af beskyttede oplysninger som PNR. Der findes ifølge de australske myndigheder ingen andre bestemmelser om videregivelse af personoplysninger til tredjemand 18. Sikkerhed Ifølge de australske myndigheder er der med hensyn til adgangen til PNR oprettet et system med sikkerhed i flere lag. Sikkerhedsforanstaltningerne omfatter en begrænsning af adgangen til en lille gruppe godkendte toldembedsmænd. Der er desuden iværksat en række omfattende fysiske og elektroniske sikkerhedsforanstaltninger for at isolere passageroplysninger fra toldmyndighedernes øvrige aktiviteter. I denne henseende er de vigtigste foranstaltninger følgende: Luftfartsselskabernes oplysninger konsulteres via en dedikeret LAN, der er både fysisk og elektronisk isoleret fra alle toldmyndighedernes andre systemer. Arbejdspladserne i toldmyndighedernes PAU befinder sig et beskyttet computerområde med begrænset adgang. Der kræves tre lag af brugernavn/kodeord for at få adgang til luftfartsselskabernes oplysninger, nemlig adgang til LAN, adgang til PNRanalyseprogram og adgang til luftfartsselskabets system (f.eks. luftfartsselskabets akustiske brugernavn/kodeord). Det australske system er ifølge repræsentanter for netudbyderen SITA ikke knyttet til den overførsel af oplysninger, der finder sted i forbindelse med visakontrollen, der foretages af toldembedsmændene uden for PAU, og de to datastrømme er adskilt fra hinanden. De australske myndigheder har bekræftet, at APIS-oplysninger i forbindelse med visakontrol holdes fuldstændig adskilt fra strømmen af PNR-oplysninger. Følsomme oplysninger Ifølge den australske regering behandler toldmyndighederne alle personoplysninger efter et ensartet sikkerhedsniveau, således at der ikke tages særligt hensyn til følsomme oplysninger (dvs. personoplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning og oplysninger om helbredsforhold) 19. Information For at give passagerer en passende information understreger gruppen, at de skal informeres klart og præcist om deres rettigheder, særlig om deres ret til indsigt og til berigtigelse samt om de eksisterende klagemuligheder. Passagererne skal så vidt muligt modtage denne information, når de køber deres billet. Retten til indsigt og berigtigelse Da toldmyndighederne er underlagt Privacy Act, skal de behandle PNR-oplysninger i overensstemmelse med IPP 6 og 7, der omhandler retten til indsigt, berigtigelse og indsigelse Svarskrivelse fra Australien fra maj 2003, udgave 1, side 2. Ibidem, udgave 10, side

12 Det er fastsat i IPP 6, at fysiske personer har ret til indsigt i deres personoplysninger, medmindre en registeransvarlig har beføjelse til eller i henhold til en lov, der også giver adgang til dokumenter, skal nægte adgang til oplysningerne. Disse love er Freedom of Information Act 1982 (lov af 1982 om informationsfrihed, herefter FIO) og Archives Act 1983 (lov af 1983 om de offentlige arkiver, herefter Archives Act). Offentlige myndigheder skal i henhold til FIO videregive dokumenter (uanset om de indeholder personoplysninger eller ej) til fysiske personer, der anmoder derom, medmindre de pågældende dokumenter er omfattet af visse kategorier af undtagelser. I henhold til Archives Act er registre, der er mere end 30 år gamle, og som opbevares af National Archives of Australia, offentligt tilgængelige. Hvis en registeransvarlig afviser at berigtige en registrering, giver IPP 7 fysiske personer mulighed for at kræve, at den pågældende registeransvarlige træffer passende foranstaltninger for at vedlægge en erklæring i denne henseende til registreringen. Gruppen konstaterer, at PNR kun lagres i de tilfælde, hvor der er begået en overtrædelse af de grænsebeskyttelseslove, som toldmyndighederne håndhæver, eller under efterforskningen af en formodet overtrædelse af disse love. Ud over ovennævnte lovregulerede rettigheder kan en person, der er tiltalt for et strafbart forhold, i løbet af retssagen og til brug for sit forsvar søge om adgang til oplysninger om sig selv. Håndhævelsesmekanismer Der er i henhold til Privacy Act nedsat et uafhængigt Office of the Federal Privacy Commissioner (federalt databeskyttelseskontor). Privacy Commissioner 20, der har status som embedsmand (statutory officer) 21, er i henhold til loven forpligtet til at behandle klager fra fysiske person vedrørende beskyttelsen af privatlivets fred i henhold til Privacy Act og enhver anden tilknyttet lovgivning. Privacy Commissioner udnævnes for en fast periode. For at sikre embedets uafhængighed kan Privacy Commissioner kun afskediges på grund af alvorlig misligholdelse, f.eks. upassende adfærd eller uduelighed. Gruppen konstaterer, at Privacy Commissioner i henhold til Section 52 i Privacy Act kan træffe afgørelse om, at en bestemt praksis krænker privatlivets fred og bør ophøre, at den indklagede skal give passende genoprejsning for ethvert tab eller enhver skade, som klageren har lidt, og at sidstnævnte har ret til et bestemt beløb i erstatning. De offentlige myndigheder skal i henhold til section 58 til 60 i Privacy Act overholde en section 52- afgørelse. Hvis en offentlig myndighed ikke retter sig efter en sådan afgørelse, kan klageren eller Privacy Commissioner anlægge håndhævelsessag ved en forbundsdomstol. I øjeblikket begrænser subsection 41(4) i Privacy Act Privacy Commissioners kompetence til at behandle klager vedrørende IPP 7 (berigtigelse) fra personer, der ikke har australsk statsborgerskab eller bopæl i Australien. Der ses i øjeblikket nærmere på dette forhold med henblik på at fjerne denne begrænsning. Gruppen konstaterer, at der ikke er nogen begrænsning med hensyn til Privacy Commissioners kompetence til at behandle klager vedrørende andre IPP fra personer, der er ikke har australsk statsborgerskab eller bopæl i Australien Part V. Part IV Division

13 Gruppen konstaterer desuden, at alle passagerer i henhold til Ombudsman Act 1976 har ret til at klage til Commonwealth-ombudsmanden vedrørende toldmyndighedernes behandling ved grænsen. 4. UDTALELSENS ANVENDELSESOMRÅDE OG FORMÅL Denne udtalelse vedrører beskyttelsen af grundlæggende rettigheder og frihedsrettigheder ved behandlingen af personoplysninger i PNR, som luftfartsselskaberne overfører til de australske myndigheder i forbindelse med flyvninger, der er defineret som australske internationale flyvninger (Australian International Flights) i Section 64 AF Clause (6) i Customs Act, dvs. flyvninger til, gennem eller fra Australien. Gruppen har afgivet denne udtalelse, efter at have vurderet tilstrækkeligheden af den beskyttelse, som Australien giver luftfartsselskabernes PNR-oplysninger. Denne beskyttelse opnås i kraft af Australian Customs Act 1901, Customs Administration Act 1985, Privacy Act 1988 og toldmyndighedernes forpligtelseserklæring til parlamentet (Customs Undertaking to Parliament) som beskrevet ovenfor. Denne udtalelse tager således udgangspunkt i det databeskyttelsesniveau, som Australien på grundlag af ovennævnte love og toldmyndighedernes forpligtelseserklæring til parlamentet kan sikre, når luftfartsselskaberne på anmodning herom overfører personoplysninger vedrørende deres passagerer og besætningsmedlemmer. Gruppen har især taget højde for de australske myndigheders forklaringer og forsikringer med hensyn til, hvorledes bestemmelserne i disse love og toldmyndighedernes forpligtelseserklæring til parlamentet skal fortolkes, og til, hvilke situationer der er omfattet af disse love og forpligelseserklæringen. Gruppen konstaterer ligeledes, at den australske systemadgang via SITA bedst kan beskrives som et import-system (pull). Denne udtalelse tager derfor udgangspunkt i den almindelige opfattelse af, hvorledes systemadgangen via SITA som beskrevet i bilaget til denne udtalelse - fungerer. Udtalelsen afgives ligeledes på den betingelse, at den begrænsning, der er fastsat i subsection 41(4) i Privacy Act med hensyn til Privacy Commissioners kompetence til at behandle klager vedrørende IPP 7 (berigtigelse) fra personer, der ikke har australsk statsborgerskab eller bopæl i Australien, ophæves. Gruppen forbeholder sig ligeledes retten til at supplere denne udtalelse med en yderligere udtalelse, hvis der ikke tages behørigt hensyn til denne udtalelse, eller hvis der foretages betydelige ændringer i lovgivningen i løbet af kommende forhandlinger. Det vil ligeledes være nødvendigt at foretage en ny vurdering af situationen, hvis de garantier, som de australske myndigheder har givet, ikke håndhæves på passende vis. Det er derfor vigtigt, at Kommissionen regelmæssigt aflægger rapport om anvendelsen af oplysninger og gennemførelsen af bestemmelserne om databeskyttelse i Australien. Dette skal give mulighed for at kontrollere, hvorledes databehandlingen foregår i Australien, og at sikre, at de forudsætninger, der ligger til grund for Kommissionens beslutning, holder stik. -13-

14 5. MIDLERTIDIG KARAKTER AF KONSTATERINGEN AF, AT DET PÅGÆLDENDE DATABESKYTTELSESNIVEAU ER TILSTRÆKKELIGT Formålet med at overføre oplysninger tager udgangspunkt i de seneste alvorlige internationale begivenheder. Gruppen anbefaler, at situationen med regelmæssige mellemrum vurderes for at tage stilling til, om det fortsat er nødvendigt at foretage disse overførsler. Det vil således være nødvendigt at vurdere situationen, hvis der sker en ændring af forholdene på internationalt plan. Gruppen anbefaler Kommissionen at indsætte ophørsklausuler i sin beslutning og under alle omstændigheder at foretage en vurdering af situationen efter 3 år. 6. RESULTAT AF VURDERINGEN Gruppen understreger, at den australske regering med henblik på at gennemføre denne vurdering af den australske lov om PNR-oplysninger har givet oplysninger om, hvorledes de relevante bestemmelser i Customs Act 1901, Customs Administration Act 1985, Privacy Act 1988 og toldmyndighedernes forpligtelseserklæring til parlamentet (Customs Undertaking to Parliament) skal fortolkes, og at de har forsikret, at de australske regler om PNR-oplysninger gennemføres i overensstemmelse med denne fortolkning. Gruppen har derfor lagt disse oplysninger og forsikringer fra den australske regering til grund for sin analyse, og gruppen udtaler sig derfor med det forbehold, at disse oplysninger og forsikringer fra den australske regering bekræftes af den faktiske gennemførelse af databeskyttelsesbestemmelserne om PNR i Australien. Gruppen har især med hensyn til anvendelsesområdet for den australske lov om PNR-oplysninger taget højde for den australske regerings forklaringer og forsikringer om, hvorledes de relevante bestemmelser i Customs Act 1901, Customs Administration Act 1985 og toldmyndighedernes forpligtelseserklæring til parlamentet skal fortolkes, og hvilke situationer der er omfattet af Privacy Act Gruppen har desuden taget udgangspunkt i samspillet mellem de PNR-dataelementer, der konsulteres af de australske toldmyndigheder, formålet med at konsultere disse oplysninger og den generelle politik om ikke at foretage forvaring af oplysningerne. Dette samspil har i henhold til gruppen ført til, at de australske myndigheder har en generelt afbalanceret tilgang på området. Udtalelsen afgives ligeledes på den betingelse, at de australske myndigheder reviderer subsection 41(4) i Privacy Act, der begrænser Privacy Commissioners kompetence til at behandle klager vedrørende berigtigelse fra personer, der ikke har australsk statsborgerskab eller bopæl i Australien, og at denne revision medfører, at begrænsningen ophæves. Denne udtalelse afgives på grundlag af disse forudsætninger, forklaringer og betingelser. -14-

15 Som konklusion på grundlag af ovennævnte konstateringer og med forbehold af, at der tages behørigt højde for punkt 3, 4 og 5, er gruppen af den opfattelse, at Australien sikrer et tilstrækkeligt databeskyttelsesniveau som omhandlet i artikel 25, stk. 6, i Europa- Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger med hensyn til behandlingen af PNR-oplysninger, som luftfartsselskaberne videregiver til de australske myndigheder i forbindelse med flyvninger, der defineres som australske internationale flyvninger (Australian International Flights) i Section 64 AF Clause (6) i Customs Act, dvs. flyvninger til, gennem eller fra Australien. Udfærdiget i Bruxelles, den 16. januar 2004 På gruppens vegne Stefano RODOTA Formand -15-