ARTIKEL 29-Gruppen vedrørende Databeskyttelse 1112/05/DA WP 103 Udtalelse 1/2005 om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR- og API-oplysninger Vedtaget den 19. januar 2005 Denne gruppe blev nedsat ved artikel 29 i direktiv 95/46/EF. Den er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 14 i direktiv 97/66/EF. Sekretariatet varetages af Europa-Kommissionen, Generaldirektoratet for Det Indre Marked, Direktorat E (Tjenesteydelser, intellektuel og industriel ejendomsret og databeskyttelse), B-1049 Bruxelles, Belgien, bygning C100, kontor 6/136. Websted: www.europa.eu.int/comm/privacy
UDTALELSE 1/2005 FRA GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER som er nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR-oplysninger (Passenger Name Record) og API-oplysninger (Advanced Passenger Information) GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER HAR - under henvisning til Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger 1, særlig artikel 29 og artikel 30, stk. 1, litra b), og under henvisning til gruppens forretningsorden 2, særlig artikel 12 og 14 - VEDTAGET FØLGENDE UDTALELSE: 1. INDLEDNING Den 11. februar 2004 vedtog gruppen en udtalelse om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR-oplysninger (Passenger Name Record) og API-oplysninger (Advanced Passenger Information) 3. I denne udtalelse konkluderede gruppen, at luftfartsselskabernes opfyldelse af de daværende canadiske krav gav anledning til problemer i relation til direktiv 95/46/EF om databeskyttelse. Gruppen anmodede Kommissionen om at fortsætte forhandlingerne med Canada for at drøfte de af gruppen konstaterede problemer med henblik på at finde de bedst mulige løsninger. De efterfølgende forhandlinger mellem Europa-Kommissionen og Canada koncentreredes navnlig om et uploadsystem (push) for overførsel af data, formålsbegrænsning, PNR-dataelementer, opbevaringsperioder for data, videregivelse af data, registreredes rettigheder og den retligt bindende karakter af de forpligtelser, Canada Border Services Agency (i det følgende benævnt CBSA ) indvilliger i at overholde. Kommissionen har regelmæssigt orienteret gruppen om disse drøftelser, som Kommissionen har ført med henblik på at gøre det muligt for den i medfør af artikel 25, stk. 6, i direktiv 05/46/EF at vedtage en beslutning, hvori det fastslås, at Canada sikrer et tilstrækkeligt beskyttelsesniveau med hensyn til videregivelse af passagerdata. 1 2 3 EFT L 281 af 23.11.1995, s. 31, tilgængelig på: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm Vedtaget af gruppen på dens tredje møde den 11.9.1996. Udtalelse 3/2004. --2-
Gruppen har specielt fra Kommissionen modtaget et dokument af 18. januar 2005 om den forpligtelseserklæring, som CBSA afgiver vedrørende anvendelsen af sit PNRprogram (i det følgende benævnt forpligtelseserklæringen ). Gruppen forstår, at denne forpligtelseserklæring er resultatet af forhandlingerne mellem Europa-Kommissionen og Canada. 2. UDTALELSENS EMNE Nærværende udtalelse afgives på baggrund af forpligtelseserklæringen. Gruppen konstaterer, at forhandlingerne har ført til væsentlige indholdsmæssige ændringer i det canadiske PNR-program, som afspejles i forpligtelseserklæringen. Gruppen konstaterer også, at den relevante canadiske lov om overførsel af API- og PNR-data er forblevet uændret (se forpligtelseserklæringens punkt 1), og skal i den forbindelse henvise til sin analyse heraf i gruppens udtalelse 3/2004. Nærværende udtalelse vedrører det databeskyttelsesniveau, som Canada på grundlag af landets lovgivning og forpligtelseserklæringen kan sikre, når luftfartsselskaberne overfører API- og PNR-data vedrørende deres passagerer og besætningsmedlemmer til CBSA. Gruppen har ved sin vurdering af, om den canadiske lovgivning kan sikre et tilstrækkeligt databeskyttelsesniveau, taget udgangspunkt i de generelle kriterier, som er fastlagt i tidligere dokumenter 4, og i sin tidligere udtalelse vedrørende de API/PNRoplysninger, der kræves af USA 5. 3. GENNEMFØRELSEN AF OG SÆRLIGE TRÆK VED DEN CANADISKE ORDNING FOR ADGANG TIL API/PNR-OPLYSNINGER, SOM DENNE FREMGÅR AF FORPLIGTELSESERKLÆRINGEN Behandling af API/PNR-data Gruppen anmodede om indførelse af et system for afsendelse (upload/push) af API- og PNR-data til den relevante canadiske myndighed, da indhentning af data (download/pull) fra luftfartsselskaberne rejser problemer i relation til direktivet, som beskrevet i udtalelse 4/2003 6. I punkt 7 i forpligtelseserklæringen er det klart anført, at det canadiske passagerinformationssystem PAXIS er konfigureret til at modtage API- og PNR-data, der afsendes fra et luftfartsselskab. Forpligtelseserklæringen omhandler ingen anden metode for overførsel af data som f.eks. et download-system (pull). Gruppen er meget tilfreds med dette resultat. Formålet med behandlingen af API/PNR-oplysninger Gruppen anmodede navnlig om, at der af de canadiske myndigheder opstilles en klar og udtømmende liste over alvorlige lovovertrædelser, der har direkte forbindelse med 4 5 6 Arbejdsdokument om videregivelse af personoplysninger til tredjelande: anvendelse af artikel 25 og 26 i EU's databeskyttelsesdirektiv, gruppens dokument WP 12 af 24. juli 1998. Gruppen henviser ligeledes til sin udtalelse 2/2001 om beskyttelsesniveauet i den canadiske lov om personoplysninger og elektroniske dokumenter. Gruppens udtalelse 6/2002 om videregivelse af passagerlisteoplysninger og andre oplysninger fra luftfartsselskaber til USA, gruppens dokument WP 66 af 24. oktober 2002. Udtalelse 4/2003 om databeskyttelsesniveauet i USA i forbindelse med overførsel af passageroplysninger, vedtaget den 13. juni 2003. Afsnit 5, side 7. --3-
terrorisme, uden at dette dog skulle udelukke muligheden for at foretage yderligere specifikke og individuelle dataudvekslinger i konkrete sager inden for rammerne af det retlige og politimæssige samarbejde. Gruppen konstaterer, at det formål, der er anført i forpligtelseserklæringens punkt 2, er defineret meget snævrere og tillige er tydeligt knyttet til bekæmpelsen af terrorhandlinger. Gruppen er meget tilfreds med den mere afbalancerede holdning i så henseende. Personoplysninger, der kan overføres I sin tidligere udtalelse om det canadiske PNR-system fandt gruppen, at de 38 dataelementer, der skulle overføres til de canadiske myndigheder, gik ud over, hvad der måtte anses for at være relevant og tilstrækkeligt til at opfylde formålet, jf. direktivets artikel 6, stk. 1, litra c). Gruppen udtrykker sin tilfredshed med de canadiske myndigheders store bestræbelser på at nedbringe antallet af dataelementer. Selv om ikke alle dataelementer svarer til dem, gruppen betegnede som legitime og ikke overdrevne i sin udtalelse 4/2003, konstaterer gruppen, at de 25 dataelementer ikke omfatter følsomme oplysninger som omhandlet i direktivets artikel 8, stk. 1, eller felter med almindelig tekst eller generelle bemærkninger. Gruppen er derfor af den opfattelse, at forpligtelseserklæringen er udtryk for en velafbalanceret løsning af dette problem. Et bilag til forpligtelseserklæringen vil indeholde en liste over de 25 krævede dataelementer. Opbevaringsperioder for data I sin udtalelse 3/2004 fremsatte gruppen en række bemærkninger vedrørende dataopbevaringsperioden på 6 år og anonymiseringen af de pågældende data. Forpligtelseserklæringens punkt 8 og 9 omhandler to dataopbevaringsperioder, som hver især har en klar forbindelse med formålet med de pågældende data. I de fleste tilfælde gælder den i punkt 8 omhandlede dataopbevaringsperiode på 3,5 år, nemlig for data vedrørende personer, der ikke er genstand for en undersøgelse i Canada. I løbet af perioden på 3,5 år vil dataene blive opbevaret i en stadig mere anonymiseret form som nærmere beskrevet i punkt 8. Gruppen konstaterer navnlig, at der i den tredje opbevaringsperiode (fra 2 år til 3,5 år) kræves godkendelse fra CBSA's formand for at få adgang til dataelementer, der identificerer den person, dataene vedrører. Gruppen anser denne sikkerhedsforanstaltning for at være en væsentlig forbedring, selv om der ikke foretages en fuldstændig anonymisering af dataene, da det stadig vil være muligt at identificere den pågældende passager. Gruppen er også meget tilfreds med afkortningen af dataopbevaringsperioden fra 6 år til 3,5 år. Videregivelse / videre overførsel af oplysninger For så vidt angår videregivelse af oplysninger til tredjemand, gav gruppen udtryk for ret alvorlige betænkeligheder med hensyn til det oprindelige canadiske forslag. Gruppen konstaterede navnlig, at det ikke var klart, i hvilke konkrete tilfælde, under hvilke omstændigheder og under hvilke sikkerhedsforanstaltninger der kunne videregives oplysninger til andre myndigheder. Gruppen konstaterer, at de pågældende punkter i forpligtelseserklæringen (punkt 2-15 om videregivelse til andre canadiske myndigheder og punkt 16-19 om videregivelse til andre lande) er blevet helt omskrevet. Specielt er det ifølge forpligtelseserklæringen kun --4-
muligt at overføre et minimum af data i specifikke sager, som har direkte tilknytning til terrorisme eller dermed forbundne forbrydelser. Desuden konstaterer gruppen, at et af de kriterier, der tages hensyn til ved overførsel til andre lande, er det pågældende modtagerlands databeskyttelsesniveau. I denne sammenhæng er gruppen navnlig tilfreds med, at det ud over EUmedlemsstaterne kun er lande, for hvilke det ifølge direktivet er fastslået, at de sikrer et tilstrækkeligt beskyttelsesniveau, der kan modtage API- og PNR-data fra PAXIS-basen (data om passagerer, der ikke er genstand for nogen undersøgelse i Canada). De registreredes rettigheder og håndhævelse af disse 1. Passagerernes ret til information I forpligtelseserklæringens punkt 21 er det anført, at CBSA vil informere de rejsende og bl.a. give oplysninger om den myndighed, der indsamler data, de data, der indsamles, formålet med indsamlingen, proceduren for indhentning af nærmere oplysninger og information om klagemuligheder. Gruppen konstaterer, at forpligtelseserklæringen er i overensstemmelse med gruppens anmodning om, at der gives mere detaljeret information til passagererne. 2. Passagerernes ret til indsigt, berigtigelse og påtegning om indsigelser Ifølge den canadiske Privacy Act har fysiske personer under en uafhængig canadisk tilsynsmyndigheds kontrol ret til indsigt, berigtigelse og påtegning om indsigelser med hensyn til alle deres personoplysninger. De pågældende fysiske personer skal dog i øjeblikket i henhold til Privacy Act befinde sig i Canada for at kunne påberåbe sig disse rettigheder. Gruppen er meget tilfreds med, at CBSA har forpligtet sig til administrativt at udstrække disse rettigheder til også at omfatte borgere, der ikke befinder sig i Canada, som anført i forpligtelseserklæringens punkt 30. Gruppen er ligeledes tilfreds med, at de canadiske myndigheder vil undersøge, hvordan denne forpligtelse retligt kan anerkendes i Privacy Act, så borgerne også officielt opnår tredjemandsrettigheder som anført i forpligtelseserklæringens punkt 29 (det punkt, der er anført i parentes). Gruppen understreger, at det er vigtigt, at EU-borgerne ikke forskelsbehandles i så henseende, og anmoder om, at der hurtigst muligt foretages en sådan ændring af Privacy Act. For så vidt angår håndhævelsen af disse rettigheder konstaterer gruppen, at forpligtelseserklæringens punkt 31 fastlægger flere mekanismer, der skal sikre, at borgernes ret til indsigt, berigtigelse og påtegning om indsigelser bevares, selv om en datakontrollør måtte nægte at samarbejde. Fælles evaluering I forpligtelseserklæringens punkt 26 er det fastsat, at der vil blive foretaget en fælles evaluering af gennemførelsen, og dette vil også fremgå af den internationale aftale mellem Fællesskabet og Canada, som skal indgå i PNR-pakken. Gruppen er af den opfattelse, at en fælles evaluering er et meget vigtigt instrument, som giver mulighed for at evaluere PNR-pakkens virkninger med hensyn til databeskyttelse. Gruppen vil derfor være interesseret i at bistå Kommissionen i så henseende. --5-
4. KONKLUSION På grundlag af ovennævnte konstateringer er gruppen af den opfattelse, at Canada sikrer et tilstrækkeligt beskyttelsesniveau som omhandlet i artikel 25, stk. 6, i Europa- Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 med hensyn til beskyttelse af fysiske personer i forbindelse med behandling af API- og PNR-data, som luftfartsselskaber meddeler CBSA i forbindelse med de flyvninger, der er defineret i section 107.1 i Customs Act, dvs. vedrørende alle personer der befinder sig i et fly ved dettes ankomst til Canada. Udfærdiget i Bruxelles, den 19. januar 2005 På gruppens vegne Formand Peter SCHAAR --6-