Artikel 29-Gruppen vedrørende Databeskyttelse 11733/04/DA WP 97 Udtalelse nr. 8/2004 om information til passagerer om overførsel af PNRoplysninger vedrørende flyvninger mellem EU og USA Vedtaget den 30. september 2004 Gruppen, der er nedsat ved artikel 29 i direktiv 95/46/EF, er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred, hvis opgaver er fastsat i artikel 30 i direktiv 95/46/EF og artikel 14 i direktiv 97/66/EF. Gruppens sekretariat varetages af Europa-Kommissionen, GD for det Indre Marked, Direktorat E (Tjenesteydelser, intellektuel og industriel ejendomsret, medier og databeskyttelse), B-1049 Bruxelles, Kontor C100-6/136. Websted: www.europa.eu.int/comm/privacy
GRUPPEN VEDRØRENDE BESKYTTELSE AF FYSISKE PERSONER I FORBINDELSE MED BEHANDLING AF PERSONOPLYSNINGER, som er nedsat ved Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 1, som henviser til direktivets artikel 29 og artikel 30, stk. 1, litra a), og artikel 30, stk. 3, som henviser til sin forretningsorden, særlig artikel 12 og 14, har vedtaget følgende udtalelse: Kommissionen konstaterede i sin beslutning af 14. maj 2004 2, at USA's told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection - CBP) sikrer et tilstrækkeligt beskyttelsesniveau for PNR-oplysninger, der overføres fra EU i forbindelse med flyvninger til eller fra USA. Denne beslutning vedrører tilstrækkeligheden af den beskyttelse, som CBP kan give med henblik på at opfylde kravene i artikel 25, stk. 1, i direktiv 95/46/EF. Den har ingen indvirkning på andre betingelser eller begrænsninger, der finder anvendelse ved gennemførelsen af andre bestemmelser i dette direktiv om behandling af personoplysninger i medlemsstaterne. Det gælder bl.a. de registeransvarliges forpligtelse til at informere de registrerede om databehandlingens væsentligste elementer. Registeransvarlige, der foretager behandling af PNR-oplysninger, der er omfattet af nationale bestemmelser, som medlemsstaterne har vedtaget i medfør af direktiv 95/46/EF, skal i overensstemmelse med disse nationale regler, der er vedtaget i medfør af direktivets artikel 10 og 11, give passagerer fyldestgørende og korrekt information om overførslen af PNR-oplysninger til CBP. Gruppen har vedtaget de informationstekster, der er vedlagt som bilag 1 og 2 til denne udtalelse, som vejledende tekster til den information, der bør gives passagerer på transatlantiske flyvninger. De bør anvendes i videst muligt omfang af luftfartsselskaber, rejsebureauer og i de edb-reservationssystemer, der indgår i reservationsproceduren. Udfærdiget i Bruxelles, den 30. september 2004. På gruppens vegne Peter Schaar Formand 1 2 EFT L 281 af 23.11.1995, s. 31, tilgængelig på: http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm Kommissionens beslutning af 14. maj 2004 om tilstrækkeligheden af beskyttelsesniveauet for personoplysninger, der er indeholdt i flypassagerers PNR, som overføres til USA's told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) (K(2004)1914), EFT L 235 af 6.7.2004, s. 11. -2-
BILAG 1 Kort informationstekst til passagerer på flyvninger mellem EU og USA U.S. Customs and Border Protection (CBP), der er USA's told- og grænsekontrolmyndighed, skal i henhold til amerikansk lovgivning forsynes med visse rejse- og reservationsoplysninger, kaldet PNR-oplysninger (Passenger Name Record), om passagerer om bord på flyvninger mellem EU og USA. CBP har forpligtet sig til at anvende disse PNR-oplysninger med det formål at forebygge og bekæmpe terrorisme og anden alvorlig grænseoverskridende kriminalitet. PNRoplysningerne kan omfatte oplysninger, som passagererne afgiver i forbindelse med reservationen, eller som luftfartsselskaber eller rejsebureauer er i besiddelse af. Oplysningerne opbevares i mindst tre år og seks måneder og udveksles eventuelt med andre myndigheder. De kan henvende Dem til Deres luftfartsselskab eller rejsebureau for yderligere information om disse bestemmelser, herunder foranstaltningerne til beskyttelse af Deres personoplysninger. [Luftfartsselskabet eller rejsebureauet kan herefter give den lange version af informationsteksten eller et link direkte til CBP's websted]. -3-
BILAG 2 Hyppigt stillede spørgsmål om overførslen af PNR-oplysninger vedrørende flyvninger mellem EU og USA til USA's told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection) Luftfartsselskaber, der beflyver ruter til eller fra USA, skal i henhold til amerikansk lovgivning give USA's told- og grænsekontrolmyndighed (Bureau of Customs and Border Protection - CBP), der er en afdeling under ministeriet for national sikkerhed (Department of Homeland Security), visse passageroplysninger for at øge sikkerheden ved rejser til og fra USA og for at værne om USA's sikkerhed. Luftfartsselskabet XXX skal overholde disse bestemmelser. Europa-Kommissionen har konstateret, at CBP sikrer et tilstrækkeligt beskyttelsesniveau, og således tilladt overførslen af PNR-oplysninger til USA. For yderligere oplysninger henvises til følgende link: http://www.europa.eu.int/comm/internal_market/privacy/adequacy_en.htm. Hvis De ønsker en mere uddybende redegørelse om CBP's behandling af PNR-oplysninger, der indsamles vedrørende flyvninger mellem EU og USA, henvises De til forpligtelseserklæringen ("forpligtelseserklæring vedrørende PNR-oplysninger") fra USA's told- og grænsekontrolmyndighed under ministeriet for national sikkerhed (Undertakings of the Department of Homeland Security, Customs and Border Protection) på følgende link: http://www.dhs.gov/interweb/assetlibrary/cbp- DHS_PNRUndertakings5-25-04.pdf. 1. Hvorfor overføres mine PNR-oplysninger (Passenger Name Record) til USA's toldog grænsekontrolmyndighed forud for min rejse til, fra eller gennem USA? Det overordnede formål med at indsamle PNR-oplysninger forud for flyvningerne er at øge sikkerheden ved rejser mellem EU og USA og at værne om USA's sikkerhed. CBP anvender PNR-oplysninger vedrørende flyvninger mellem EU og USA for at forebygge og bekæmpe: a. terrorisme og terrorrelateret kriminalitet b. anden alvorlig kriminalitet, herunder organiseret kriminalitet, der efter sin karakter er tværnational og c. flugt fra en anholdelse eller varetægtsfængsling for ovenstående kriminalitet. CBP kan indhente de fleste PNR-oplysninger ved indrejsepunktet på grundlag af passagerernes flybillet og andre rejsedokumenter som led i den normale grænsekontrol. CBP's mulighed for at foretage en effektiv og rationel forudgående risikovurdering af passagerer forbedres dog betydeligt, når CBP modtager disse PNR-oplysninger elektronisk forud for passagerernes ankomst til eller afrejse fra USA. 2. På hvilket retsgrundlag overføres PNR-oplysningerne? Ethvert luftfartsselskab, der driver passagerfly i udenlandsk lufttransport til eller fra USA, skal i henhold til en række specifikke lovbestemmelser (title 49, United States Code, section 44909(c)(3)) og (overgangs)bestemmelserne til gennemførelse heraf (title 19, Code of Federal Regulations, section 122.49b), give CBP elektronisk adgang til -4-
PNR-oplysninger, som indsamles og opbevares i luftfartsselskabets elektroniske reservations- og/eller afgangskontrolsystemer. Europa-Kommissionen har konstateret, at CBP anses for at sikre et tilstrækkeligt beskyttelsesniveau for de oplysninger, der overføres. Disse overførsler er omfattet af en international aftale mellem EU og USA. Kommissionen har truffet sin beslutning på grundlag af CBP's forpligtelseserklæring og tilsagn i denne henseende. Enhver misligholdelse kan anfægtes som foreskrevet og kan, såfremt den pågældende misligholdelse er af vedvarende karakter, føre til, at denne beslutning træder ud af kraft. De kompetente myndigheder i medlemsstaterne kan gøre brug af deres beføjelser med henblik på at suspendere overførslen af oplysninger til CBP for at beskytte fysiske personer i forbindelse med behandlingen af deres personoplysninger, hvis CBP overtræder de gældende bestemmelser om databeskyttelse som fastsat i Kommissionens beslutning. 3. Hvilken type personoplysninger modtager CBP gennem min PNR? CBP modtager visse PNR-oplysninger vedrørende passagerers flyvninger til, fra eller gennem USA. Luftfartsselskaber registrerer PNR-oplysninger i reservationssystemerne for hver rute, der planlægges for en passager. Sådanne PNR-oplysninger kan også være indeholdt i luftfartsselskabets afgangskontrolsystemer. PNR-oplysningerne omfatter diverse oplysninger, som afgives i forbindelse med reservationsproceduren eller som registreres af luftfartsselskaber eller rejsebureauer, herunder passagerens navn, kontaktoplysninger, detaljer om ruten (f.eks. rejsedato, afrejse- og bestemmelsespunkt, sædenummer og antal bagage) samt detaljer om reservationen (f.eks. rejsebureau og betalingsoplysninger) og andre oplysninger (f.eks. deltagelse i en bonusordning (frequent flier)). 4. Overføres der følsomme oplysninger sammen med PNR-oplysningerne? PNR-oplysningerne kan omfatte visse oplysninger, der betragtes som "følsomme", når de overføres fra reservationssystemer og/eller luftfartselskabers afgangssystemer i EU til CBP. Sådanne "følsomme" PNR-oplysninger kan omfatte visse oplysninger om den pågældende passagers racemæssige eller etniske oprindelse, politiske eller religiøse overbevisning, helbredsforhold eller seksuelle forhold. CBP har forpligtet sig til ikke at anvende "følsomme" PNR-oplysninger, som modtages fra luftfartsselskabers reservationssystemer eller afgangskontrolsystemer i EU. CBP har ligeledes forpligtet sig til at installere et automatisk filterprogram, der sletter "følsomme" PNR-oplysninger. 5. Får andre myndigheder adgang til mine PNR-oplysninger? PNR-oplysninger, der modtages i forbindelse med flyvninger mellem EU og USA, kan på sag-til-sag-basis og under forudsætning af, at der træffes specifikke databeskyttelsesforanstaltninger, udveksles med andre offentlige terrorbekæmpende eller retshåndhævende myndigheder i USA eller i udlandet med henblik på at forebygge og bekæmpe terrorisme og anden terrorrelateret kriminalitet, anden alvorlig kriminalitet, herunder organiseret kriminalitet, der efter sin karakter er tværnational, og flugt fra en anholdelse eller varetægtsfængsling for ovennævnte kriminalitet. PNR-oplysninger kan også videregives til andre relevante offentlige myndigheder, når det er nødvendigt for at beskytte den pågældende passagers eller andre personers vitale -5-
interesser, især med hensyn til betydelige sundhedsrisici, eller hvis det i øvrigt kræves i henhold til lovgivningen. 6. Hvor længe opbevarer CBP mine PNR-oplysninger? PNR-oplysninger vedrørende flyvninger mellem EU og USA opbevares af CBP i tre år og seks måneder, medmindre CBP gennemgår de pågældende PNR-oplysninger manuelt. I så fald opbevarer CBP PNR-oplysningerne i yderligere otte år. Oplysninger, der er knyttet til et bestemt register, som anvendes til retshåndhævelsesformål, opbevares desuden af CBP, indtil dette register arkiveres. 7. Hvordan beskyttes mine PNR-oplysninger? CBP opbevarer PNR-oplysninger vedrørende flyvninger mellem EU og USA sikkert og fortroligt. Det sikres ved hjælp af omhyggelige sikkerhedsforanstaltninger, herunder passende datasikkerhed og adgangskontrol, at PNR-oplysningerne ikke anvendes forkert, eller at der ikke gives adgang til disse på et forkert grundlag. 8. Hvem fører kontrol med, at forpligtelseserklæringen vedrørende PNR-oplysninger overholdes? Den ansvarlige for beskyttelse af privatlivets fred (Chief Privacy Officer) under USA's ministerium et for national sikkerhed (Department of Homeland Security) skal i henhold til loven sikre, at alle ansatte i ministeriet behandler personoplysninger i overensstemmelse med gældende lovgivning. De afgørelser, der træffes af denne embedsmand, som arbejder i fuld uafhængighed i forhold til ministeriet, har bindende virkning for ministeriet. Den ansvarlige for beskyttelse af privatlivets fred fører tilsyn med ordningen for at sikre, at CBP overholder sine forpligtelser, og at de passende sikkerhedsforanstaltninger er truffet. 9. Kan jeg anmode om en kopi af mine PNR-oplysninger, der indsamles af CBP? Enhver passager kan anmode om yderligere information om den type PNR-oplysninger, der udveksles med CBP, samt anmode om en kopi af sine PNR-oplysninger, der findes i CBP's databaser. CBP vil i henhold til loven om informationsfrihed (Freedom of Information Act) og andre amerikanske love, administrative forskrifter og politikker behandle enhver anmodning om dokumenter, herunder PNR-dokumenter, som det har i sin besiddelse, fra en passager, uanset dennes nationalitet eller bopælsland. CBP kan under visse særlige omstændigheder nægte eller udsætte videregivelsen af alle eller en del af PNRoplysningerne (f.eks. hvis videregivelsen med rimelighed kan antages at hindre retshåndhævende foranstaltninger, der er indledt, eller vil afsløre teknikker og procedurer, der anvendes i forbindelse med efterforskning med henblik på retshåndhævelse). Når CBP nægter adgang til PNR-oplysninger i henhold til en undtagelsesbestemmelse i Freedom of Information Act, kan en sådan afgørelse påklages administrativt til den ansvarlige for beskyttelse af privatlivets fred (Chief Privacy Officer) under ministeriet for national sikkerhed (Department of Homeland Security), der er ansvarlig både for beskyttelse af privatlivets fred og aktindsigt. En endelig afgørelse fra en myndighed kan i henhold til amerikansk lov indbringes for domstolene. 10. Kan jeg anmode om at få ændret mine PNR-oplysninger? -6-
Ja. Passagerer kan anmode om, at der foretages berigtigelse af deres PNR-oplysninger, der lagres i CBP's databaser, ved at kontakte de kontorer, der er oplyst under spørgsmål 12. CBP vil tage berigtigelser, der begrundes og dokumenteres på behørig vis, til efterretning. 11. Hvem kan jeg kontakte i USA vedrørende denne ordning? Spørgsmål om PNR-oplysninger generelt eller om egne PNR-oplysninger Hvis De har spørgsmål vedrørende de PNR-oplysninger, der udveksles med CBP, eller søger adgang til de PNR-oplysninger, som CBP er i besiddelse af om Dem, kan De skrive til: Freedom of Information Act (FOIA) Request, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229. For yderligere oplysninger vedrørende den procedure, der skal følges for indgivelse sådanne henvendelser, henvises til section 19 i Code of Federal Regulations, section 103.5 (www.dhs.gov/foia). Forespørgsler, klager og anmodninger om berigtigelse Hvis De ønsker at rette en forespørgsel, indgive en klage eller anmode om berigtelse vedrørende PNR-oplysninger, kan De skrive til: Assistant Commissioner, CBP Office of Field Operations, U.S. Customs and Border Protection, 1300 Pennsylvania Avenue, N.W., Washington, D.C. 20229. CBP's afgørelser kan i givet fald tages op til fornyet behandling af den ansvarlige for beskyttelse af privatlivets fred: Chief Privacy Officer, Department of Homeland Security, Washington, DC 20528. En passager kan ligeledes indbringe en forespørgsel, en klage eller en anmodning om berigtigelse af PNR-oplysninger for databeskyttelsesmyndigheden (DPA) i sin egen EU-medlemsstat med henblik på yderligere behandling. 12. Hvem kan jeg kontakte, hvis der ikke findes en løsning i min klagesag? Hvis CBP ikke finder en løsning i Deres klagesag, kan klagen indgives skriftligt til den ansvarlige for beskyttelse af privatlivets fred: Chief Privacy Officer, Department of Homeland Security, Washington, DC 20528. Denne embedsmand gennemgår sagens akter og bestræber sig på at finde en løsning. Den ansvarlige for beskyttelse af privatlivets fred har desuden forpligtet sig til at hastebehandle klager, som databeskyttelsesmyndighederne i EU-medlemsstaterne indgiver på vegne af en EU-borger, som har givet databeskyttelsesmyndigheden beføjelse til at handle på sine vegne. 13. Hvor kan jeg få yderligere information? De kan få yderligere information om overførslen af PNR-oplysninger til USA ved at kontakte Deres nationale databeskyttelsesmyndighed. I Danmark kan der rettes henvendelse til: [Kontaktdetajler for databeskyttelsesmyndigheden i hver EU-medlemsstat] -7-