ARTIKEL 29-Gruppen vedrørende Databeskyttelse



Relaterede dokumenter
Artikel 29-Gruppen vedrørende Databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse

Europaudvalget 2011 Rådsmøde RIA Bilag 3 Offentligt

Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne

Justitsministeriet. Lovafdelingen. Europaudvalget Miljø Bilag 5 Offentligt. Bidrag til samlenotat for rådsmødet (miljø) den 27. juni 2006.

De Europæiske Fællesskabers Tidende. (Retsakter hvis offentliggørelse ikke er obligatorisk) KOMMISSIONEN

Rådet for Den Europæiske Union Bruxelles, den 3. maj 2018 (OR. en)

KOMMISSIONENS DELEGEREDE FORORDNING (EU)

UDKAST TIL UDTALELSE

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

L 84/8 Den Europæiske Unions Tidende

KOMMISSIONENS DELEGEREDE FORORDNING (EU)

Retsudvalget L 23 endeligt svar på spørgsmål 24 Offentligt

KOMMISSIONENS DELEGEREDE FORORDNING (EU) Nr. /.. af

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

RESTREINT UE KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER HENSTILLING FRA KOMMISSIONEN TIL RÅDET

Resumé af udtalelse om forslaget til omarbejdning af direktivet om videreanvendelse af den offentlige sektors informationer (PSI)

Teksten til dokumentet er den samme som teksten til den foregående udgave.

ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse

(EØS-relevant tekst) (6) For at sikre en effektiv behandling bør de krævede oplysninger forelægges i elektronisk format.

TOLDKODEKSUDVALGET. Toldkodeksudvalgets forretningsorden, som vedtaget af. Gruppen for Almindelige Toldforskrifter. under Toldkodeksudvalget

AFGØRELSER. (EØS-relevant tekst)

ARTIKEL 29-Gruppen vedrørende Databeskyttelse

Forslag til RÅDETS AFGØRELSE

Artikel 29-Gruppen vedrørende Databeskyttelse

Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

5726/17 js/js/sl 1 DG D 1 A

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU)

PE-CONS 71/1/15 REV 1 DA

Opgørelse for I. Indledning

Anden udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse om forslaget til Rådets (2007/C 91/02)

Forslag til RÅDETS AFGØRELSE

Forslag til RÅDETS AFGØRELSE

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

(Ikke-lovgivningsmæssige retsakter) FORORDNINGER

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af

(6) Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra det udvalg, der er nedsat ved artikel 21 i direktiv 97/67/EF

(EØS-relevant tekst) Artikel 1. Bilaget til gennemførelsesforordning (EU) 2015/1998 ændres som angivet i bilaget til nærværende forordning.

DEN FÆLLES KONTROLINSTANS FOR EUROPOL. Udtalelse fra den fælles kontrolinstans om databeskyttelsesniveauet i Australien (Udtalelse 05/35)

RAPPORT FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

Bruxelles, den 23. april 2012 (OR. en) RÅDET FOR DEN EUROPÆISKE UNION 8916/12. Inte rinstitutionel sag: 2011/0023 (COD)

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

Udvalget om Borgernes Rettigheder og Retlige og Indre Anliggender ARBEJDSDOKUMENT

Europaudvalget 2007 KOM (2007) 0698 Offentligt

RETNIGSLINJER OM SIKRING AF REGISTREREDES RETTIGHEDER

Privatlivspolitik for frivillige

HENSTILLINGER. KOMMISSIONENS HENSTILLING af 18. juli 2011 om adgang til at oprette og anvende en basal betalingskonto. (EØS-relevant tekst)

KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af

Retsudvalget REU Alm.del Bilag 4 Offentligt

Europaudvalget 2015 KOM (2015) 0159 Offentligt

Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS FORORDNING. om ændring af Rådets forordning (EF) nr. 2100/94 om EF-sortsbeskyttelse

Europaudvalget 2012 KOM (2012) 0011 Bilag 18 Offentligt

KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) / af

H Ø R I N G O V E R U D K A S T T I L F O R S L A G T I L L O V O M

(EØS-relevant tekst) (2014/287/EU)

Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

Persondatapolitik. Dataansvarlig Paarup Hansen ApS Enghaven Roskilde Danmark CVR-nr.:

Den Europæiske Unions Tidende L 277/23

Resultatet af afstemningen om ovennævnte lovgivningsmæssige retsakt er vedlagt denne note. Referencedokument:

EUROPA-PARLAMENTET ***II EUROPA-PARLAMENTETS HOLDNING. Konsolideret lovgivningsdokument EP-PE_TC2-COD(2002)0132

KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af

KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af

MEDDELELSE FRA KOMMISSIONEN TIL EUROPA-PARLAMENTET OG RÅDET

Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99

1. Oplysningspligt overfor den registrerede hvor oplysningerne indsamles hos den registrerede

Rådet for Den Europæiske Union Bruxelles, den 24. november 2016 (OR. en)

Retningslinjer for behandling af personoplysninger for kunder og leverandører i med Anker Hansen og Co. A/S ( AHC ) CVR-nr

Retningslinjer Samarbejde mellem myndigheder i henhold til artikel 17 og 23 i forordning (EU) nr. 909/2014

KOMMISSIONENS GENNEMFØRELSESAFGØRELSE (EU) / af

DATABEHANDLERAFTALE. er dags dato indgået databehandleraftale på følgende vilkår og betingelser:

Europaudvalget 2006 KOM (2006) 0004 Offentligt

14491/18 rhd/gng/ef 1 TREE.2.B LIMITE DA

Europaudvalget 2016 KOM (2016) 0201 Offentligt

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

Databehandleraftale. Mellem. Den dataansvarlige: Virksomhed: CVR: Adresse: Postnummer & By: Land: Databehandleren. Virksomhed: OnlineFox CVR:

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til RÅDETS FORORDNING

Direktivforslaget rejser spørgsmål i forhold til beskyttelsen af privatlivets fred, herunder persondatabeskyttelse.

Kontor R1- Registrering og gennemsigtighed, Generaldirektoratet for konkurrence,

Europaudvalget 2016 CNS (2016) 0823 Offentligt

EUROPA-PARLAMENTETS ÆNDRINGSFORSLAG * til Kommissionens forslag

Hvis vi har brug for yderligere oplysninger end angivet ovenfor, vil vi orientere dig herom ved indsamlingen heraf.

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

Rådet for Den Europæiske Union Bruxelles, den 21. maj 2019 (OR. en)

Aftale om fælles dataansvar for Dansk Boldspil-Union s fælles ITsystemer, der udbydes i Dansk Boldspil-Union s regi

KOMMISSIONENS DELEGEREDE FORORDNING (EU) / af

Rådet for Den Europæiske Union Bruxelles, den 22. juli 2016 (OR. en)

PERSONDATAPOLITIK FOR AXIS

(EØS-relevant tekst) Artikel 1. Kontaktpunkter

! Databehandleraftale

Rådet for Den Europæiske Union Bruxelles, den 18. juni 2015 (OR. en)

Forslag til RÅDETS AFGØRELSE

RÅDET FOR DEN EUROPÆISKE UNION. Bruxelles, den 31. juli 2013 (OR. en) 12878/13 ENER 381 ENV 760

DEN EUROPÆISKE TILSYNSFØRENDE FOR DATABESKYTTELSE

Statistikker over varehandelen mellem medlemsstaterne ***I

Transkript:

ARTIKEL 29-Gruppen vedrørende Databeskyttelse 1112/05/DA WP 103 Udtalelse 1/2005 om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR- og API-oplysninger Vedtaget den 19. januar 2005 Denne gruppe blev nedsat ved artikel 29 i direktiv 95/46/EF. Den er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 14 i direktiv 97/66/EF. Sekretariatet varetages af Europa-Kommissionen, Generaldirektoratet for Det Indre Marked, Direktorat E (Tjenesteydelser, intellektuel og industriel ejendomsret og databeskyttelse), B-1049 Bruxelles, Belgien, bygning C100, kontor 6/136. Websted: www.europa.eu.int/comm/privacy

UDTALELSE 1/2005 FRA GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER som er nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR-oplysninger (Passenger Name Record) og API-oplysninger (Advanced Passenger Information) GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER HAR - under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 1, særlig artikel 29 og artikel 30, stk. 1, litra b), og under henvisning til gruppens forretningsorden 2, særlig artikel 12 og 14 - VEDTAGET FØLGENDE UDTALELSE: 1. INDLEDNING Den 11. februar 2004 vedtog gruppen en udtalelse om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR-oplysninger (Passenger Name Record) og API-oplysninger (Advanced Passenger Information) 3. I denne udtalelse konkluderede gruppen, at luftfartsselskabernes opfyldelse af de daværende canadiske krav gav anledning til problemer i relation til direktiv 95/46/EF om databeskyttelse. Gruppen anmodede Kommissionen om at fortsætte forhandlingerne med Canada for at drøfte de af gruppen konstaterede problemer med henblik på at finde de bedst mulige løsninger. De efterfølgende forhandlinger mellem Europa-Kommissionen og Canada koncentreredes navnlig om et uploadsystem (push) for overførsel af data, formålsbegrænsning, PNR-dataelementer, opbevaringsperioder for data, videregivelse af data, registreredes rettigheder og den retligt bindende karakter af de forpligtelser, Canada Border Services Agency (i det følgende benævnt CBSA ) indvilliger i at overholde. Kommissionen har regelmæssigt orienteret gruppen om disse drøftelser, som Kommissionen har ført med henblik på at gøre det muligt for den i medfør af artikel 25, stk. 6, i direktiv 05/46/EF at vedtage en beslutning, hvori det fastslås, at Canada sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til videregivelse af passagerdata. 1 2 3 EFT L 281 af 23.11.1995, s. 31, tilgængelig på: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm Vedtaget af gruppen på dens tredje møde den 11.9.1996. Udtalelse 3/2004. --2-

Gruppen har specielt fra Kommissionen modtaget et dokument af 18. januar 2005 om den forpligtelseserklæring, som CBSA afgiver vedrørende anvendelsen af sit PNRprogram (i det følgende benævnt forpligtelseserklæringen ). Gruppen forstår, at denne forpligtelseserklæring er resultatet af forhandlingerne mellem Europa-Kommissionen og Canada. 2. UDTALELSENS EMNE Nærværende udtalelse afgives på baggrund af forpligtelseserklæringen. Gruppen konstaterer, at forhandlingerne har ført til væsentlige indholdsmæssige ændringer i det canadiske PNR-program, som afspejles i forpligtelseserklæringen. Gruppen konstaterer også, at den relevante canadiske lov om overførsel af API- og PNR-data er forblevet uændret (se forpligtelseserklæringens punkt 1), og skal i den forbindelse henvise til sin analyse heraf i gruppens udtalelse 3/2004. Nærværende udtalelse vedrører det databeskyttelsesniveau, som Canada på grundlag af landets lovgivning og forpligtelseserklæringen kan sikre, når luftfartsselskaberne overfører API- og PNR-data vedrørende deres passagerer og besætningsmedlemmer til CBSA. Gruppen har ved sin vurdering af, om den canadiske lovgivning kan sikre et tilstrækkeligt databeskyttelsesniveau, taget udgangspunkt i de generelle kriterier, som er fastlagt i tidligere dokumenter 4, og i sin tidligere udtalelse vedrørende de API/PNRoplysninger, der kræves af USA 5. 3. GENNEMFØRELSEN AF OG SÆRLIGE TRÆK VED DEN CANADISKE ORDNING FOR ADGANG TIL API/PNR-OPLYSNINGER, SOM DENNE FREMGÅR AF FORPLIGTELSESERKLÆRINGEN Behandling af API/PNR-data Gruppen anmodede om indførelse af et system for afsendelse (upload/push) af API- og PNR-data til den relevante canadiske myndighed, da indhentning af data (download/pull) fra luftfartsselskaberne rejser problemer i relation til direktivet, som beskrevet i udtalelse 4/2003 6. I punkt 7 i forpligtelseserklæringen er det klart anført, at det canadiske passagerinformationssystem PAXIS er konfigureret til at modtage API- og PNR-data, der afsendes fra et luftfartsselskab. Forpligtelseserklæringen omhandler ingen anden metode for overførsel af data som f.eks. et download-system (pull). Gruppen er meget tilfreds med dette resultat. Formålet med behandlingen af API/PNR-oplysninger Gruppen anmodede navnlig om, at der af de canadiske myndigheder opstilles en klar og udtømmende liste over alvorlige lovovertrædelser, der har direkte forbindelse med 4 5 6 Arbejdsdokument om videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv, gruppens dokument WP 12 af 24. juli 1998. Gruppen henviser ligeledes til sin udtalelse 2/2001 om beskyttelsesniveauet i den canadiske lov om personoplysninger og elektroniske dokumenter. Gruppens udtalelse 6/2002 om videregivelse af passagerlisteoplysninger og andre oplysninger fra luftfartsselskaber til USA, gruppens dokument WP 66 af 24. oktober 2002. Udtalelse 4/2003 om databeskyttelsesniveauet i USA i forbindelse med overførsel af passageroplysninger, vedtaget den 13. juni 2003. Afsnit 5, side 7. --3-

terrorisme, uden at dette dog skulle udelukke muligheden for at foretage yderligere specifikke og individuelle dataudvekslinger i konkrete sager inden for rammerne af det retlige og politimæssige samarbejde. Gruppen konstaterer, at det formål, der er anført i forpligtelseserklæringens punkt 2, er defineret meget snævrere og tillige er tydeligt knyttet til bekæmpelsen af terrorhandlinger. Gruppen er meget tilfreds med den mere afbalancerede holdning i så henseende. Personoplysninger, der kan overføres I sin tidligere udtalelse om det canadiske PNR-system fandt gruppen, at de 38 dataelementer, der skulle overføres til de canadiske myndigheder, gik ud over, hvad der måtte anses for at være relevant og tilstrækkeligt til at opfylde formålet, jf. direktivets artikel 6, stk. 1, litra c). Gruppen udtrykker sin tilfredshed med de canadiske myndigheders store bestræbelser på at nedbringe antallet af dataelementer. Selv om ikke alle dataelementer svarer til dem, gruppen betegnede som legitime og ikke overdrevne i sin udtalelse 4/2003, konstaterer gruppen, at de 25 dataelementer ikke omfatter følsomme oplysninger som omhandlet i direktivets artikel 8, stk. 1, eller felter med almindelig tekst eller generelle bemærkninger. Gruppen er derfor af den opfattelse, at forpligtelseserklæringen er udtryk for en velafbalanceret løsning af dette problem. Et bilag til forpligtelseserklæringen vil indeholde en liste over de 25 krævede dataelementer. Opbevaringsperioder for data I sin udtalelse 3/2004 fremsatte gruppen en række bemærkninger vedrørende dataopbevaringsperioden på 6 år og anonymiseringen af de pågældende data. Forpligtelseserklæringens punkt 8 og 9 omhandler to dataopbevaringsperioder, som hver især har en klar forbindelse med formålet med de pågældende data. I de fleste tilfælde gælder den i punkt 8 omhandlede dataopbevaringsperiode på 3,5 år, nemlig for data vedrørende personer, der ikke er genstand for en undersøgelse i Canada. I løbet af perioden på 3,5 år vil dataene blive opbevaret i en stadig mere anonymiseret form som nærmere beskrevet i punkt 8. Gruppen konstaterer navnlig, at der i den tredje opbevaringsperiode (fra 2 år til 3,5 år) kræves godkendelse fra CBSA's formand for at få adgang til dataelementer, der identificerer den person, dataene vedrører. Gruppen anser denne sikkerhedsforanstaltning for at være en væsentlig forbedring, selv om der ikke foretages en fuldstændig anonymisering af dataene, da det stadig vil være muligt at identificere den pågældende passager. Gruppen er også meget tilfreds med afkortningen af dataopbevaringsperioden fra 6 år til 3,5 år. Videregivelse / videre overførsel af oplysninger For så vidt angår videregivelse af oplysninger til tredjemand, gav gruppen udtryk for ret alvorlige betænkeligheder med hensyn til det oprindelige canadiske forslag. Gruppen konstaterede navnlig, at det ikke var klart, i hvilke konkrete tilfælde, under hvilke omstændigheder og under hvilke sikkerhedsforanstaltninger der kunne videregives oplysninger til andre myndigheder. Gruppen konstaterer, at de pågældende punkter i forpligtelseserklæringen (punkt 2-15 om videregivelse til andre canadiske myndigheder og punkt 16-19 om videregivelse til andre lande) er blevet helt omskrevet. Specielt er det ifølge forpligtelseserklæringen kun --4-

muligt at overføre et minimum af data i specifikke sager, som har direkte tilknytning til terrorisme eller dermed forbundne forbrydelser. Desuden konstaterer gruppen, at et af de kriterier, der tages hensyn til ved overførsel til andre lande, er det pågældende modtagerlands databeskyttelsesniveau. I denne sammenhæng er gruppen navnlig tilfreds med, at det ud over EUmedlemsstaterne kun er lande, for hvilke det ifølge direktivet er fastslået, at de sikrer et tilstrækkeligt beskyttelsesniveau, der kan modtage API- og PNR-data fra PAXIS-basen (data om passagerer, der ikke er genstand for nogen undersøgelse i Canada). De registreredes rettigheder og håndhævelse af disse 1. Passagerernes ret til information I forpligtelseserklæringens punkt 21 er det anført, at CBSA vil informere de rejsende og bl.a. give oplysninger om den myndighed, der indsamler data, de data, der indsamles, formålet med indsamlingen, proceduren for indhentning af nærmere oplysninger og information om klagemuligheder. Gruppen konstaterer, at forpligtelseserklæringen er i overensstemmelse med gruppens anmodning om, at der gives mere detaljeret information til passagererne. 2. Passagerernes ret til indsigt, berigtigelse og påtegning om indsigelser Ifølge den canadiske Privacy Act har fysiske personer under en uafhængig canadisk tilsynsmyndigheds kontrol ret til indsigt, berigtigelse og påtegning om indsigelser med hensyn til alle deres personoplysninger. De pågældende fysiske personer skal dog i øjeblikket i henhold til Privacy Act befinde sig i Canada for at kunne påberåbe sig disse rettigheder. Gruppen er meget tilfreds med, at CBSA har forpligtet sig til administrativt at udstrække disse rettigheder til også at omfatte borgere, der ikke befinder sig i Canada, som anført i forpligtelseserklæringens punkt 30. Gruppen er ligeledes tilfreds med, at de canadiske myndigheder vil undersøge, hvordan denne forpligtelse retligt kan anerkendes i Privacy Act, så borgerne også officielt opnår tredjemandsrettigheder som anført i forpligtelseserklæringens punkt 29 (det punkt, der er anført i parentes). Gruppen understreger, at det er vigtigt, at EU-borgerne ikke forskelsbehandles i så henseende, og anmoder om, at der hurtigst muligt foretages en sådan ændring af Privacy Act. For så vidt angår håndhævelsen af disse rettigheder konstaterer gruppen, at forpligtelseserklæringens punkt 31 fastlægger flere mekanismer, der skal sikre, at borgernes ret til indsigt, berigtigelse og påtegning om indsigelser bevares, selv om en datakontrollør måtte nægte at samarbejde. Fælles evaluering I forpligtelseserklæringens punkt 26 er det fastsat, at der vil blive foretaget en fælles evaluering af gennemførelsen, og dette vil også fremgå af den internationale aftale mellem Fællesskabet og Canada, som skal indgå i PNR-pakken. Gruppen er af den opfattelse, at en fælles evaluering er et meget vigtigt instrument, som giver mulighed for at evaluere PNR-pakkens virkninger med hensyn til databeskyttelse. Gruppen vil derfor være interesseret i at bistå Kommissionen i så henseende. --5-

4. KONKLUSION På grundlag af ovennævnte konstateringer er gruppen af den opfattelse, at Canada sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i Europa- Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 med hensyn til beskyttelse af fysiske personer i forbindelse med behandling af API- og PNR-data, som luftfartsselskaber meddeler CBSA i forbindelse med de flyvninger, der er defineret i section 107.1 i Customs Act, dvs. vedrørende alle personer der befinder sig i et fly ved dettes ankomst til Canada. Udfærdiget i Bruxelles, den 19. januar 2005 På gruppens vegne Formand Peter SCHAAR --6-

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback