|
29.3.2006 |
SL |
Uradni list Evropske unije |
L 91/49 |
ODLOČBA KOMISIJE
z dne 6. septembra 2005
o ustreznem varstvu osebnih podatkov, vsebovanih v Evidenci imen letalskih potnikov, posredovani agenciji Canada Border Services Agency
(notificirano pod dokumentarno številko C(2005) 3248)
(Besedilo velja za EGP)
(2006/253/ES)
KOMISIJA EVROPSKIH SKUPNOSTI JE –
ob upoštevanju Pogodbe o ustanovitvi Evropske skupnosti,
ob upoštevanju Direktive 95/46/ES Evropskega parlamenta in Sveta z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov (1) in zlasti člena 25(6) Direktive,
ob upoštevanju naslednjega:
|
(1) |
V skladu z Direktivo 95/46/ES morajo države članice zagotoviti, da se posredovanje osebnih podatkov tretji državi lahko izvede le, če tretja država zagotovi ustrezno raven varstva in če se pred posredovanjem upoštevajo zakoni držav članic, ki uveljavljajo druge določbe Direktive. |
|
(2) |
Komisija lahko ugotovi, da tretja država zagotavlja ustrezno raven varstva. V tem primeru se lahko osebni podatki posredujejo iz držav članic, ne da bi bila potrebna dodatna jamstva. |
|
(3) |
V skladu z Direktivo 95/46/ES je treba raven varstva podatkov oceniti ob upoštevanju vseh okoliščin, povezanih s postopkom posredovanja ali z nizom postopkov posredovanja podatkov, ob tem pa posebej paziti na vrsto okoliščin, ki vplivajo na posredovanje in so naštete v členu 25(2) Direktive. |
|
(4) |
V letalskem prometu je „Evidenca imen letalskih potnikov“ (PNR) zbirka zahtevanih podatkov za potovanje posameznega potnika, ki vsebuje vse potrebne podatke, s katerimi lahko glavna letalska družba in udeležene letalske družbe obdelujejo in nadzorujejo rezervacije (2). Za namene te odločbe, izraza „potnik“ in „potniki“ vključujeta tudi člane posadke. „Glavna letalska družba“ je letalska družba, pri kateri je potnik prvotno rezerviral let ali pri kateri je rezerviral dodatne lete po začetku potovanja. „Udeležene letalske družbe“ so katere koli letalske družbe, pri katerih je glavna letalska družba na enem ali več letih zaprosila za mesto, ki naj se hrani za potnika. |
|
(5) |
Kanadska mejna agencija (Canada Border Services Agency) (CBSA) zahteva od vsakega prevoznika, ki opravlja potniške lete namenjene v Kanado, da ji omogoči elektronski dostop do evidence PNR, tako da se evidenca PNR zbere in shrani v avtomatski rezervacijski sistem letalskega prevoznika in sistem za nadzor odhodov pri letalskem prevozniku. |
|
(6) |
Zahteve, da se osebni podatki, vsebovani v evidenci imen letalskih potnikov PNR, posredujejo agenciji CBSA, temeljijo na oddelku 107.1 Carinskega zakona (Customs Act) in odstavku 148(d) Zakona o priseljevanju in zaščiti beguncev (Immigration and Refugee Protection Act) ter na izvedbenih uredbah v okviru teh zakonov (3). |
|
(7) |
Zadevna zakonodaja Kanade obravnava povečanje varnosti in pogoje, pod katerimi lahko posamezniki vstopijo v državo, torej zadeve, nad katerimi ima Kanada v okviru lastne jurisdikcije suvereno pristojnost odločanja. Poleg tega podane zahteve niso v neskladju z drugimi mednarodnimi obveznostmi, ki jih je prevzela Kanada. Kanada je demokratična in pravna država z močno tradicijo civilnih svoboščin. Nikakršen dvom ne obstaja glede legitimnosti njenega zakonodajnega postopka in moči ter neodvisnosti njenega sodstva. Svoboda tiska je še dodatno trdno jamstvo proti zlorabi državljanskih svoboščin. |
|
(8) |
Skupnost v celoti podpira Kanado v boju proti terorizmu v skladu z omejitvami, ki jih postavlja pravo Skupnosti. Pravo Skupnosti določa vzpostavitev potrebnega ravnotežja med pomisleki glede varnosti in skrbjo za varstvo zasebnosti. Na primer: člen 13 Direktive 95/46/ES določa, da lahko države članice sprejmejo predpise za omejitev obsega nekaterih zahtev te direktive, če je to potrebno zaradi državne varnosti, obrambe, javne varnosti ter preprečevanja, preiskovanja, odkrivanja in preganjanja kaznivih dejanj. |
|
(9) |
Zadevna posredovanja podatkov vključujejo točno določene upravljavce, in sicer letalske družbe, ki opravljajo lete iz Skupnosti v Kanado, in zgolj enega prejemnika v Kanadi, in sicer CBSA. |
|
(10) |
Katero koli ureditev glede vzpostavitve pravnega okvira za posredovanje PNR Kanadi, zlasti v okviru te odločbe, je treba časovno omejiti. Sprejet je bil dogovor za tri in pol letno obdobje. Tekom tega obdobja se lahko okoliščine znatno spremenijo; Skupnost in Kanada se strinjata, da bo potrebna revizija ureditve. |
|
(11) |
CBSA obdela prejete osebne podatke, vsebovane v evidenci imen letalskih potnikov PNR, v skladu s pogoji, določenimi v Zavezah Kanadske mejne agencije v zvezi z uporabo njenega PNR programa (v nadaljevanju imenovane „Zaveze“) in v domači zakonodaji Kanade v obsegu, podanem v Zavezah. |
|
(12) |
Kar zadeva domačo zakonodajo v Kanadi, so Zakon o zasebnosti (Privacy Act), Zakon o dostopu do informacij (Access to Information Act) in oddelek 107 Carinskega zakona v tem kontekstu uporabni v toliko, da nadzirajo pogoje, pod katerimi lahko CBSA zavrne zahteve za razkritje podatkov, s čimer ostane PNR zaupen. Zakon o zasebnosti ureja razkritje PNR posamezniku, na katerega se evidenca nanaša, kar je tesno povezano s pravico dostopa do podatkov posameznika, na katerega se osebni podatki nanašajo. Zakon o zasebnosti velja izključno za osebe, ki se nahajajo v Kanadi. Poleg tega CBSA zagotavlja dostop do podatkov PNR, ki jih hrani o tujem državljanu, če se on ali ona ne nahaja v Kanadi. |
|
(13) |
Zaveze v skladu z oddelkom 43 Zavez, so bile izjave iz Zavez vključene v obstoječe kanadske zakone ali so vsebovane v domačih predpisih, ki so bili oblikovani specifično v ta namen in bodo s tem imele pravni učinek. Zaveze bodo v celoti objavljene v kanadskem uradnem listu (Canada Gazette). Kot take predstavljajo resno in dobro premišljeno zavezo s strani CBSA; Kanada in Skupnost pa bosta v skupnem pregledu preučili njihovo upoštevanje. Neupoštevanje bi bilo mogoče ustrezno izpodbijati po pravnih, upravnih in političnih poteh in če bi bila večkratna, bi lahko privedla do prekinitve učinkov te odločbe. |
|
(14) |
Standardi, po katerih bo CBSA obdelovala podatke o potnikih PNR na podlagi zakonodaje Kanade in v skladu z Zavezami, zajemajo osnovna načela, potrebna za primerno raven varstva fizičnih oseb. |
|
(15) |
Kar zadeva načelo o omejitvi namena, se bodo osebni podatki letalskih potnikov, vsebovani v zapisih PNR in posredovani na CBSA, obdelali v specifičen namen, nato pa se bodo uporabili ali nadalje posredovali samo v toliko, kolikor je to združljivo z namenom posredovanja. Zlasti se bodo podatki PNR uporabili izključno za namene preprečevanja in boja proti: terorizmu in z njim povezanimi kaznivimi dejanji; drugim hudim kaznivim dejanjem, vključno z organiziranim kriminalom, ki so po naravi transnacionalna. |
|
(16) |
Zaradi načela kakovosti in sorazmernosti podatkov, ki ga je treba upoštevati, v zvezi z pomembnimi razlogi javnega interesa, zaradi katerih se posredujejo podatki PNR, to načelo naknadno ne bo spreminjalo podatkov PNR, posredovanih agenciji CBSA. Posredovalo se bo največ 25 kategorij podatkov PNR in CBSA se bo posvetovala in dosegla soglasje z Evropsko komisijo v zvezi z pregledom zahtevanih 25 elementov podatkov PNR, določenih v Dodatku A, pred izvedbo kakršnega koli. Dodatne osebni podatki, iskani neposredno na podlagi podatkov PNR, bodo pridobljeni prek nedržavnih virov samo po zakonitih poteh. Kot splošno pravilo bo PNR izbrisan po največ treh letih in šestih mesecih. |
|
(17) |
Glede načela preglednosti, bo CBSA potnikom zagotovila informacije glede namena posredovanja in obdelave podatkov ter glede identitete upravljavca podatkov, kot tudi druge informacije. |
|
(18) |
Zaradi načela varnosti sprejme CBSA tehnične in organizacijske varnostne ukrepe, ustrezne tveganju, ki ga predstavlja obdelava podatkov. |
|
(19) |
Pravice do dostopa, popravkov in zapisa so priznane v Zakonu o zasebnosti posameznikom, ki se nahajajo v Kanadi. CBSA bo razširila zadevne pravice v zvezi s podatki PNR, s katerimi razpolaga, na tuje državljane, ki se ne nahajajo v Kanadi. Predvidene izjeme so v širšem smislu primerljive z omejitvami, ki jih lahko določijo države članice v skladu s členom 13 Direktive 95/46/ES. |
|
(20) |
Nadaljnja posredovanja se bodo izvršila drugim vladnim organom, vključno s tujimi vladnimi organi, in sicer odvisno od primera do primera, za namene, ki so istovetni ali skladni s tistimi, ki so določeni v izjavi o omejitvi namena v zvezi z najmanjšo količino podatkov. Posredovanja se lahko izvršijo tudi zaradi varovanja ključnega interesa posameznika, na katerega se nanašajo podatki, ali drugih oseb, zlasti glede pomembnih zdravstvenih tveganj, ali v okviru kakršnih koli sodnih postopkov, ali če to sicer zahteva zakon. Prejemne agencije morajo v skladu z jasno določenimi pogoji razkritja podatkov uporabiti podatke izključno v navedene namene in jih ne smejo posredovati dalje brez soglasja CBSA. Nobena druga tuja, zvezna, provincialna ali lokalna agencija nima neposrednega elektronskega dostopa do podatkov PNR preko zbirk podatkov CBSA. CBSA bo zanikala javno razkritje zapisov PNR na podlagi izjem od ustreznih določb Zakona o dostopu do informacij in Zakona o zasebnosti. |
|
(21) |
Agencija CBSA ne uporablja občutljivih podatkov v smislu člena 8 Direktive 95/46/ES. |
|
(22) |
Glede mehanizmov izvrševanja, za zagotavljanje spoštovanja teh načel s strani CBSA s temi načeli, je za usposabljanje, obveščanje osebja, kot tudi za sankcije za posamezne člane osebja CBSA poskrbljeno. Spoštovanje zasebnosti na splošno s strani CBSA bo nadzoroval neodvisni Urad kanadskega zveznega pooblaščenca za zasebnost (Office of the Canadian Privacy Commissioner), v skladu s pogoji določenimi v Kanadski listini o pravicah in svoboščinah (Canadian Charter of Rights and Freedoms) in Zakonom o zasebnosti. Pooblaščenka za zasebnost lahko obravnava pritožbe, ki ji jih predložijo organi za varstvo podatkov v državah članicah, v imenu oseb s prebivališčem v Skupnosti, če katera od teh oseb meni, da CBSA ni zadovoljivo preučila njene pritožbe. Letni skupni pregled, ki ga bosta izvedla CBSA in skupina pod vodstvom Komisije, bo preveril skladnost z Zavezami. |
|
(23) |
Zaradi transparentnosti in zato da se zaščiti sposobnost pristojnih organov držav članic, da zagotovijo varstvo posameznikov v zvezi z obdelavo njihovih osebnih podatkov, je treba določiti izjemne okoliščine, v katerih bi lahko upraviči prekinitev pridobivanja in posredovanja specifičnih podatkov, ne glede na ugotovljeno ustrezno varstvo. |
|
(24) |
Delovna skupina na področju varstva posameznikov v zvezi z obdelavo osebnih podatkov, ustanovljena v skladu s členom 29 Direktive 95/46/ES, je podala mnenja o stopnji varstva posameznikov, zagotovljeni za podatke potnikov s strani organov Kanade, ki je Komisiji služilo kot podlaga za njena pogajanja z CBSA. Komisija je ta mnenja upoštevala pri pripravljanju te odločbe (4). |
|
(25) |
Ukrepi, predvideni s to odločbo so v skladu z mnenjem odbora, ustanovljenega v skladu s členom 31(1) Direktive 95/46/ES – |
SPREJELA NASLEDNJO ODLOČBO
Člen 1
Za namene člena 25(2) Direktive 95/46/ES velja, da Kanadska mejna agencija (Canadian Customs Border Services Agency), (v nadaljem besedilu CBSA) zagotavlja primerno raven varstva podatkov PNR, posredovanih iz Skupnosti, v zvezi z leti, namenjenimi v Kanado, v skladu z Zavezami, določenimi v Prilogi.
Člen 2
Ta odločba zadeva ustreznost varstva, ki ga zagotavlja CBSA, z namenom spoštovati zahteve iz člena 25(1) Direktive 95/46/ES in ne vpliva na druge pogoje ali omejitve za izvajanje drugih določb navedene direktive, ki zadevajo obdelavo osebnih podatkov znotraj držav članic.
Člen 3
1. Brez poseganja v njihove pristojnosti za sprejem ukrepov za zagotavljanje skladnosti z nacionalnimi določbami, sprejetimi na podlagi drugih določb, razen člena 25 Direktive 95/46/ES, lahko pristojni organi v državah članicah uporabijo obstoječa pooblastila, da prekinejo pridobivanje in posredovanje podatkov CBSA da bi zavarovali posameznike v zvezi z obdelavo njihovih osebnih podatkov v naslednjih primerih:
|
(a) |
če je pristojni organ Kanade ugotovil, da CBSA krši veljavne standarde varstva; ali |
|
(b) |
če obstaja znatna možnost, da se kršijo standardi varstva, določeni v Prilogi, obstajajo upravičeni razlogi za sum, da CBSA ne sprejema ali ne bo sprejela ustreznih in pravočasnih ukrepov za rešitev zadevnega vprašanja, če bi nadaljnje posredovanje podatkov bi ustvarilo neposredno nevarnost za povzročitev hude škode posameznikom, na katere se osebni podatki nanašajo, in so se pristojni organi v državah članicah primerno trudili, da bi v danih okoliščinah obvestili CBSA in ji dali priložnost, da se odzove. |
2. Začasna prekinitev se konča takoj, ko so zagotovljeni standardi varstva in so pristojni organi države članice o tem obveščeni.
Člen 4
1. Po sprejetju ukrepov v skladu s členom 3, države članice nemudoma obvestijo Komisijo.
2. Države članice in Komisija se medsebojno obveščajo o vseh spremembah v standardih varstva in o primerih, v katerih ukrepi organov, odgovornih za zagotavljanje skladnosti s standardi varstva s strani CBSA, določenimi v Prilogi, ne uspejo zagotoviti take skladnosti.
3. Če podatki, ki so zbrani v skladu s členom 3 in z odstavkoma 1 in 2 tega člena, dokazujejo, da se osnovna načela, potrebna za primerno raven varstva za fizične osebe, ne spoštujejo več, ali da kateri koli organ, odgovoren za zagotavljanje skladnosti s standardi varstva s strani CBSA, kot so določeni v Prilogi, ne izpolnjuje učinkovito svoje vloge, se obvesti CBSA in po potrebi uporabi postopek iz člena 31(2) Direktive 95/46/ES z namenom razveljaviti ali prekiniti to odločbo.
Člen 5
Izvajanje te odločbe se spremlja in vse uporabne ugotovitve se posredujejo odboru, ustanovljenemu v skladu s členom 31 Direktive 95/46/ES, vključno z vsemi dokazi, ki bi lahko vplivali na ugotovitev iz člena 1 te odločbe, da je varstvo osebnih podatkov iz evidence imen letalskih potnikov PNR, posredovanih agenciji CBSA, ustrezno smislu iz člena 25 Direktive 95/46/ES.
Člen 6
Države članice sprejmejo vse potrebne ukrepe za uskladitev z Odločbo v štirih mesecih od datuma uradnega obvestila o Odločbi.
Člen 7
Ta odločba preneha veljati tri leta in šest mesecev po datumu uradnega obvestila, razen če se v skladu s postopkom iz člena 31(2) Direktive 95/46/ES ne podaljša.
Člen 8
Ta odločba je naslovljena na države članice.
V Bruslju, 6. septembra 2005
Za Komisijo
Franco FRATTINI
Podpredsednik
(1) UL L 281, 23.11.1995, str. 31. Direktiva, kakor je bila spremenjena z Uredbo (ES) št. 1882/2003 (UL L 284, 31.10.2003, str. 1).
(2) V tej odločbi pojem „PNR“ vključuje predhodne podatke o potnikih (API), kot je določeno v oddelku 4 Zavez CBSA.
(3) Predpisi o podatkih potnika (carina) (Passenger Information (Customs) Regulations) in Uredbe 269 Uredb o priseljevanju in zaščiti beguncev (Immigration and Refugee Protection Regulations).
(4) Mnenje 3/2004 o ravni varstva, zagotovljeni v Kanadi za posredovanje evidence o potnikih in izpopolnjen potniški informacijski sistem z letalskih družb, sprejeto s strani delovne skupine 11. februar 2004, je na voljo na spletni strani: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp88_en.pdf
Mnenje 1/2005 o ravni varstva, zagotovljeni v Kanadi za posredovanje evidence o potnikih in izpopolnjen potniški informacijski sistem z letalskih družb, sprejeto s strani delovne skupine 19. januar 2005, je na voljo na spletni strani: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp103_en.pdf
PRILOGA
ZAVEZE KANADSKE MEJNE AGENCIJE V ZVEZI V ZVEZI Z UPORABO NJENEGA PROGRAMA PNR
Pravno pooblastilo za zbiranje podatkov API in PNR
|
1. |
Vsi letalski prevozniki morajo v skladu s kanadsko zakonodajo, zagotoviti Kanadski mejni agenciji (CBSA) predhodne podatke o potnikih (API) in podatke o evidenci imen letalskih potnikov (PNR) v zvezi z vsemi osebami na letih, namenjenih v Kanado. Pravno utemeljeno pooblastilo CBSA za pridobitev in zbiranje takih podatkov je v oddelku 107.1. Carinskega zakona in Predpisih o podatkih potnika (carina), ter odstavku 148(1)(d) Zakona o priseljevanju in zaščiti beguncev. |
Namen zbiranja podatkov API in PNR
|
2. |
CBSA bo zbirala podatke API in PNR samo v zvezi z leti v Kanado. CBSA bo uporabila podatke API in PNR, ki so jih zbrali evropski in drugi letalski prevozniki zgolj za identifikacijo oseb, pri katerih obstaja nevarnost, da bi uvozili blago povezano s terorizmom, s terorizmom povezanih kaznivih dejanj, ali drugimi težjimi kaznivimi dejanji, vključno z organiziranim kriminalom, ki so po naravi transnacionalna, ali oseb, ki zaradi možnih istih razlogov ne smejo vstopiti v Kanado. |
|
3. |
CBSA bo uporabljala podatke API in PNR za določanje oseb, ki bodo ob prihodu v Kanado natančneje zaslišane ali pregledane, ali za katere se zahteva nadaljnjo preiskavo zaradi enega od namenov, opisanih v oddelku 2. CBSA ali drugi uslužbenci kanadskih organov pregona ne bodo sprejeli nobenih izvršilnih ukrepov zgolj iz razloga avtomatiziranega obdelovanja podatkov API in PNR. |
Zbrani podatki API in PNR
|
4. |
Seznam elementov podatkov API, ki jih bo zbirala CBSA v namene, določene v oddelku 2, je določen v odstavkih 3(a) do (f) Uredb o podatkih potnika (carina) v skladu s Carinskim zakonom (1). Seznam elementov podatkov PNR, ki jih bo zbirala CBSA v namene, določene v oddelku 2, je določen v Dodatku A. „Občutljivi elementi podatkov“ v pomenu iz člena 8.1. Direktive 95/46/ES (v nadaljevanju „Direktiva“) in vsa polja „odprto besedilo“ ali „splošne opombe“ zaradi večje varnosti ne bodo vključena v zadevnih 25 elementov podatkov. |
|
5. |
CBSA ne bo zahtevala, da letalski prevoznik zbira podatke PNR, razen tistih, ki jih beleži za lastne namene ali dodatne podatke, s katerimi bi razpolagala CBSA. CBSA se zavezuje, da bo zbirala tiste elemente podatkov, ki so navedeni v Dodatku A samo v obsegu, v katerem jih je letalski prevoznik vnesel v svoj avtomatiziran rezervacijski sistem in sistem za nadzor odhodov pri letalskem prevozniku (DCS). |
|
6. |
CBSA se bo posvetovala in dosegla soglasje z Evropsko komisijo v zvezi z pregledom zahtevanih 25 elementov podatkov PNR, določenih v Dodatku A, pred izvedbo kakršnega koli pregleda:
|
Metoda dostopanja do podatkov API in PNR
|
7. |
Potniški informacijski sistem (v nadaljnjem besedilu „PAXIS“) agencije CBSA je bil oblikovan, da za sprejem podatkov API in PNR, ki jih posreduje letalski prevoznik. |
Obdržanje in dostop do podatkov API in PNR
|
8. |
Kadar se podatki API in PNR nanašajo na osebo, za katero ni uvedena preiskava v Kanadi zaradi namena, opisanega v oddelku 2, bodo obdržani v sistemu PAXIS največ 3 leta in pol. V tem obdobju bodo podatki obdržani v vedno bolj anonimni obliki:
|
|
9. |
Kadar se podatki API in PNR nanašajo na osebo, za katero je v Kanadi uvedena preiskava zaradi namena, opisanega v oddelku 2, bodo dani v zbirko podatkov CBSA, ki je namenjena preiskavi. Zadevne zbirke podatkov vsebujejo zgolj podatke v zvezi z osebami, ki so bile v preiskavi ali so bili proti njim izvajani ustrezni ukrepi v skladu s predpisi CBSA. Dostop do zadevnih zbirk podatkov je pod strogim nadzorom in je na voljo samo tistim uslužbencem CBSA, ki zaradi svojih nalog ta dostop potrebujejo. Podatki API in PNR, posredovani v tako zbirko podatkov, ki je namenjena preiskavi, bodo v sistemu obdržani samo toliko časa, kolikor je to potrebno, in v vsakem primeru ne dlje kot šest let in bodo po navedenem obdobju uničeni, razen če ne bodo obdržani za dodatno obdobje na podlagi Zakona o zasebnosti ali Zakona o dostopu do informacij, kakor je opisano v odstavku 10 b. |
|
10. |
Če CBSA uporablja osebne podatke v namene, da bi sprejela odločitev, ki vpliva na interese posameznika, na katerega se osebni podatki nanašajo, jih mora CBSA obdržati za obdobje dveh let od take uporabe, da lahko posameznik, na katerega se osebni podatki nanašajo, dostopi do podatkov, na podlagi katerih je bila odločitev sprejeta, razen v primeru, če posameznik privoli v njihovo zgodnejše uničenje, ali če je bila prejeta zahteva za dostop do podatkov do roka, do katerega je imel posameznik možnost uveljaviti svoje pravice v skladu z Zakonom o zasebnosti ali Zakona o dostopu do informacij:
|
|
11. |
Podatki API in PNR bodo po koncu obdobij obdržanja, opisanih v oddelkih od 8 do 10, uničeni v skladu z določili Zakona o državnem arhivu (National Archives Act) (2). |
Razkritja podatkov API in PNR drugim kanadskim vladnim službam in agencijam
|
12. |
Vsa razkritja podatkov API in PNR, ki jih izvede CBSA, ureja Zakon o zasebnosti, Zakon o dostopu do informacij in predpisi CBSA. Čeprav Zakon o zasebnosti in Zakon o dostopu do informacij dovoljujeta dostop do evidenc, razen v primeru izjem ali izvzetij, zakona ne zahtevata nobenega obveznega razkritja podatkov API in PNR. Izvod upravne politike CBSA, ki ureja razkritje, dostop in uporabo podatkov API in PNR, Memorandum D-1-16-3 z naslovom Začasne upravne smernice za razkritje, dostop in uporabo podatkov o evidenci imen letalskih potnikov (PNR) (Interim Administrative Guidelines for the Disclosure, Access to and Use of Passenger Name Record (PNR) Data) (v nadaljnjem besedilu „politika razkritja PNR agencije CBSA“), bo objavljena in javno dostopna na spletnih straneh CBSA. Ta politika, nadalje opisana v oddelku 37 teh zavez, nalaga, da se podatki API in PNR lahko izmenjajo z ostalimi kanadskimi vladnimi službami samo v namene, določene v oddelku 2, razen, če se razkritje izvede zaradi sodnega poziva pričam ali izdanim sodnim nalogom, ali nalogom, ki ga je izdalo sodišče, oseba ali organ z pristojnostjo v Kanadi za reproduciranje podatkov ali v namene katerih koli sodnih postopkov. |
|
13. |
Podatki API in PNR ne bodo razkriti v celoti. CBSA bo objavila samo izbrane podatke API in PNR od primera do primera in samo po ocenitvi ustreznosti specifičnih podatkov PNR, določenih za razkritje. Zagotovljeni bodo samo posebni zadevni elementi API in PNR, ki so jasno izkazani kot zahtevani v posebnih okoliščinah. V vseh primerih bo na razpolago najmanjša možna količina podatkov. |
|
14. |
CBSA bo razkrila podatke API in PNR samo, če predlagani prejemniki zagotavljajo enako varstvo podatkov kot CBSA. Tudi kanadski vladni prejemniki podatkov PNR so zavezani z Zakonom o zasebnosti, če so navedeni v prilogi tega zakona. Zakon o zasebnosti velja za osebne podatke, ki so podatki o določljivi osebi, zbrani v kateri koli obliki in pod nadzorom kanadske zvezne vladne službe ali agencije v skladu z zakonom. Taka služba ali agencija ne sme zbirati nobenih osebnih podatkov, razen če „se nanaša neposredno na izvajanje programa ali dejavnosti institucije“. |
|
15. |
Praksa agencije CBSA je, da kot pogoj za razkritje od kanadskih zveznih ali provincialnih organov pregona zahteva, da pred tem pridobijo dovoljenje Agencije, razen če to zahteva zakon. |
Razkritje podatkov API in PNR drugim državam
|
16. |
CBSA lahko izmenja podatke API in PNR z vlado tuje države v skladu z dogovorom ali sporazumom iz pododdelka 8(2) Zakona o zasebnosti in pododdelka 107(8) Carinskega zakona. |
|
17. |
Ti dogovori ali sporazumi lahko vključujejo memorandum o soglasju, izdelanim posebej v namene programa PNR CBSA, ali pogodbo v skladu s katero morajo organi agencije CBSA zagotoviti podatke in pomoč. V obeh primerih bodo podatki izmenjani samo v namene, ki so v skladu s tistimi, določenimi v oddelku 2, in samo če se država prejemnica zaveže, da bo zagotovila varstvo podatkov v skladu s temi zavezami. V vseh primerih bo drugi državi na razpolago najmanjša možna količina podatkov. |
|
18. |
Podatki API in PNR, obdržani v sistemu PAXIS, bodo izmenjani samo z državo, ki je prejela ugotovitve o ustreznosti v skladu z Direktivo, ali ki jo Direktiva zajema. |
|
19. |
Podatki API in PNR, obdržani v zbirki podatkov, ki je namenjena preiskavi, opisani v oddelku 9, se lahko izmenjajo v skladu z obveznostmi iz pogodbe v skladu s Sporazumom o medsebojni carinski pomoči (Customs Mutual Assistance Agreement) ali Sporazumom o medsebojni pravni pomoči (Mutual Legal Assistance Agreement). V tem primeru se bodo elementi API in PNR izmenjali samo od primera do primera in pod pogojem, da CBSA poseduje dokaze, ki zahtevo neposredno povezujejo s preiskavo ali preprečevanjem kaznivih dejanj iz oddelka 2, in da so posredovani elementi nujno potrebni za izvedbo določene preiskave. |
Razkritje API in PNR podatkov, ki so v ključnem interesu posameznika, na katerega se osebni podatki nanašajo
|
20. |
Ne glede določbe teh zaveze, ki temu nasprotujejo, lahko CBSA razkrije API in PNR podatke ustreznim kanadskim ali drugim vladnim službam in agencijam, kadar je to razkritje nujno za zaščito ključnih interesov posameznika, na katerega se osebni podatki nanašajo, ali drugih oseb, zlasti če gre za precejšnjo nevarnost za zdravje. |
Uradno obvestilo posamezniku, na katerega se nanašajo osebni podatki
|
21. |
CBSA bo potnike obvestila v zvezi z zahtevami glede zapisov API in PNR ter v zvezi z vprašanji, povezanimi z njihovo uporabo, vključno s splošnimi informacijami glede pristojnosti za zbiranje podatkov, namena zbiranja, zagotavljanja varstva podatkov, načina in obsega izmenjave podatkov, identitete odgovornih uradnikov CBSA, možnih odškodninskih postopkov in kontaktnih informacij za osebe z nadaljnjimi vprašanji. |
Mehanizmi pravnega pregleda programa PNR agencije CBSA
|
22. |
Kanadska pooblaščenka za zasebnost (Privacy Commissioner of Canada) in Urad glavnega revizorja Kanade (Office of the Auditor General of Canada) lahko s pregledi o skladnosti in preiskavami preučita program PNR. |
|
23. |
Kanadski neodvisni organ za varstvo zasebnosti, Kanadski pooblaščenec za zasebnost, lahko preuči ali je ravnanje vladnih služb in agencij v skladu z Zakonom o zasebnosti, in spremlja ali je ravnanje CBSA v skladu z Zavezami. Oddelek za izvajanje varstva zasebnosti in pregleda (Privacy Practices and Review Branch) Urada pooblaščenca za zasebnost lahko v skladu s sprejetimi standardnimi cilji in merili izvede preglede o izpolnjevanju zavez in preiskave. Kanadska pooblaščenka za zasebnost lahko razkrije podatke, ki so po njenem mnenju, nujni za izvedbo preiskave v skladu z Zakonom, ali vzpostavi pogoje za ugotovitve in priporočila, vsebovana v vsakem poročilu, ki je v skladu z Zakonom. |
|
24. |
Urad glavnega revizorja Kanade izvaja samostojne revizije delovanja kanadske zvezne vlade. Zadevne revizije zagotavljajo članom kanadskega parlamenta in javnosti objektivne podatke, ki jim pomagajo preverjati dejavnosti in odgovornost vlade. |
|
25. |
Končni izvodi poročil Kanadske pooblaščenke za zasebnost in Urada glavnega revizorja Kanade so dostopni javnosti v letnih poročilih parlamenta in, po presoji obeh organov, takoj dostopni na internetu. CBSA bo Komisiji zagotovila dostop do vseh izvodov poročil, ki so kakorkoli povezani s PNR programom. |
Skupni pregled programa PNR agencije CBSA
|
26. |
Poleg zgoraj navedenih postopkov pregleda, predvidenih s kanadsko zakonodajo, bo CBSA letno ali po potrebi in kot je bilo dogovorjeno s Komisijo, sodelovala pri skupnem pregledu programa PNR v zvezi s posredovanjem podatkov API in PNR na agenciji CBSA. |
Odškodnina
Pravni okvir
|
27. |
Kanadska listina o pravicah in svoboščinah, ki je del kanadske ustave, velja za vse dejavnosti vlade, vključno z zakonodajo. Oddelek 8 Listine zagotavlja pravico pred neutemeljenim preiskovanjem in zasegom ter ščiti primerno raven zasebnosti. Oddelek 24 Listine dovoljuje osebi, kateri so bile kršene pravice, da se obrne na pristojno sodišče po tako pravno sredstvo, za katero sodišče meni, da je glede na okoliščine ustrezno in pravično. |
|
28. |
Vsi tuji državljani, ki se nahajajo v Kanadi, imajo pravico dostopa do evidenc pod nadzorom kanadske zvezne vladne službe, na podlagi Odloka o dopolnitvi (Extension Order) številka 1 Zakona o dostopu do informacij (ATIA). Ob upoštevanju izjem določenih v Zakonu, bi lahko tuj državljan, ki se nahaja v Kanadi, ali oseba, ki se v Kanadi nahaja s privolitvijo tujega državljana, ki se ne nahaja v Kanadi, na podlagi ATIA zahteval evidence v zvezi s tujim državljanom in dobil dostop do takih evidenc, ob upoštevanju specifičnih in omejenih izjem in izvzetij določenih v Zakonu. |
|
29. |
V skladu z Zakonom o zasebnosti je pravica dostopa do osebnih podatkov in zahteva za popravke ali zapis, na podlagi Odloka o dopolnitvi številka 2, razširjena na vse, ki se nahajajo v Kanadi. Zato bi lahko tuj državljan, če bi se nahajal v Kanadi, uveljavljal zadevne pravice ob upoštevanju izjem, določenih v Zakonu. |
Upravni okvir
|
30. |
Poleg tega lahko vladne službe, ki imajo osebne podatke, upravno zagotovijo pravice do dostopa, popravka ali zapisa, tujim državljanom, ki se ne nahajajo v Kanadi. CBSA bo razširila zadevne pravice v zvezi s podatki API in PNR, s katerimi razpolaga, na državljane EU ali druge osebe, ki se ne nahajajo v Kanadi, pod pogojem, da je razkritje dovoljeno z zakonom. |
|
31. |
Pooblaščenka za zasebnost ima veliko pooblastil za preiskavo v zvezi s katero koli pritožbo in lahko sproži pritožbo, če „obstaja znatna možnost za preiskavo zadeve v skladu z Zakonom [o zasebnosti]“. Poleg tega lahko Pooblaščenka za zasebnost obravnava pritožbe, ki jih bodo nanjo naslovili organi za varstvo podatkov (DPA) v kateri koli državi članici Evropske unije (EU) v imenu prebivalca EU, v tolikšnem obsegu, kot je prebivalec EU pooblastil DPA za delovanje v njegovem ali njenem imenu, in če meni, da CBSA, kot je določeno v zgornjem odstavku 30, ni zadovoljivo obravnavala njegove ali njene pritožbe glede varstva podatkov v zvezi z API in PNR podatki. Pooblaščenka za zasebnost bo DPA obvestila o svojih sklepih in zadevnemu uradu za varstvo podatkov svetovala glede morebitnih ukrepov. |
|
32. |
Pooblaščenka za zasebnost ima tudi posebna pooblastila za preiskavo v kakšnem obsegu kanadske vladne službe in agencije upoštevajo Zakon o zasebnosti v zvezi z zbiranjem, uporabo, shranjevanjem, razkrivanjem in uničevanjem osebnih podatkov. |
Varnost podatkov
|
33. |
Samo omejeno število preiskovalcev za ciljni izbor agencije CBSA in obveščevalcev, ki so nameščeni v enotah za ciljni izbor potnikov v kanadskih pokrajinskih službah in na državnem sedežu CBSA v Ottawi, Kanada, bo imelo zagotovljen dostop do sistema PAXIS. Zadevni uradniki bodo imeli dostop do sistema PAXIS v zavarovanih delovnih prostorih, nedostopnih za javnost. |
|
34. |
Uradniki bodo za dostop do sistema PAXIS morali uporabiti dve različni prijavi, z uporabo sistemsko generiranega uporabniškega imena in gesla. Prva prijava jim bo zagotovila dostop do lokalnega omrežja CBSA, druga pa do integriranega sistema carinskega računalniškega okolja (Integrated Customs System platform), ki zagotavlja dostop do aplikacije PAXIS. Dostop do omrežja CBSA in vseh podatkov v sistemu PAXIS bo strogo nadzorovan in omejen na izbrano skupino uporabnikov in vsako povpraševanje in pregled podatkov o potnikih v sistemu bo pregledano. Generirani pregledani zapis bo vseboval uporabniško ime, delovni prostor uporabnika, datum in čas dostopa ter številko lokatorja datoteke podatkov PNR, do katerih se je dostopalo. CBSA bo omejila dostop zlasti do elementov podatkov API in PNR v sistemu na omejen obseg („need to know“) (tip uporabnika/profil uporabnika). Zadevni nadzor dostopa bo zagotovil, da imajo dostop do podatkov API in PNR samo osebe, opisane v oddelku 33, v namene, določene v oddelku 2. |
|
35. |
Dostop, uporabo in razkritje podatkov API in PNR urejajo Zakon o zasebnosti in Zakon o prostem dostopu do informacij in oddelek 107 Carinskega zakona ter upravna politika, opisana v oddelku 37 zadevnih zavez, ki odraža varstvo in zaščitne ukrepe, navedene v tem dokumentu. Oddelek 160 Carinskega zakona in notranji kodeks ravnanja predvidevajo kazenske in druge sankcije v primeru nespoštovanja zadevnih politik in, kot je navedeno zgoraj, je Pooblaščenka za zasebnost v skladu z Zakonom o zasebnosti pooblaščena za uvedbo preiskave v zvezi z razkritjem osebnih podatkov. |
|
36. |
Politika razkritja PNR agencije CBSA določa postopke, ki jih morajo upoštevati vsi uslužbenci CBSA, ki imajo dostop do podatkov API in PNR. Politika CBSA je zaščititi zaupnost podatkov in jih upravljati v skladu s pooblastili v kanadski legislativi, kot tudi politiko CBSA in kanadsko vlado v zvezi z upravljanjem in varovanjem podatkov, kot je opisano v oddelku 38. |
|
37. |
Politika razkritja PNR agencije CBSA zagotavlja:
|
|
38. |
Politika razkritja PNR agencije CBSA spada v več širših politik CBSA o varovanju in upravljanju s podatki, zbranimi v skladu z različnimi zakoni, ki jih ureja CBSA. Poleg tega so vsi uslužbenci CBSA zavezani varnostni politiki vlade Kanade v zvezi z varovanjem elektronskih sistemov in varovanjem podatkov (3). |
|
39. |
Vsi uslužbenci CBSA so seznanjeni z zadevnimi politikami in posledicami neupoštevanja ter ravnanje v skladu z njimi je pogoj njihove zaposlitve. |
Vzajemnost
|
40. |
Zakon o letalstvu (Aeronautics Act) omogoča kanadskim letalskim prevoznikom, ki opravljajo lete iz vseh namembnih krajev, vsem prevoznikom, ki opravljajo lete iz Kanade, da zagotovijo tuji državi podatke v zvezi z osebami na takih letih, namenjenih v državo, katere zakonodaja te podatke zahteva. |
|
41. |
V primeru, da se Evropska skupnost, Evropska unija ali katera koli od držav članic odloči sprejeti sistem za identifikacijo letalskih potnikov in sprejme zakonodajo, ki bi zahtevala, da vsi letalski prevozniki zagotovijo evropskim organom dostop do podatkov API in PNR za osebe, katerih tekoči načrt potovanja vključuje let v Evropsko unijo, bi oddelek 4.83 Zakona o letalstvu omogočil letalskim prevoznikom, da ravnajo skladno s to zahtevo. |
Pregled in prenehanje Zavez
|
42. |
Zadevne Zaveze se uporabljajo za obdobje treh let in šest mesecev (3,5 let), od začetka veljavnosti sporazuma med Kanado in Evropsko skupnostjo, ki dovoljuje obdelovanje podatkov API in PNR, posredovanih s strani letalskih prevoznikov, za namene posredovanja teh podatkov na agencijo CBSA, v skladu z Direktivo. Ko bodo te zaveze veljale dve leti in šest mesecev (2,5 leti), bo CBSA začela dogovarjanja s Komisijo z namenom, da se Zaveze in vsi spremljajoči dogovori podaljšajo v skladu z medsebojno sprejemljivimi pogoji. Če pred datumom prenehanja teh zavez ne bo mogoče skleniti medsebojno sprejemljivega dogovora, Zaveze ne bodo veljale za podatke zbrane, od tega trenutka naprej. Podatki, zbrani v času veljavnosti zadevnih zavez, bodo do datuma njihovega uničenja zavarovani v skladu z Zavezami. |
|
43. |
CBSA izpolnjuje svoje zaveze z uporabo obstoječe kanadske zakonodaje ali, če še niso zajete v kanadski zakonodaji, v predpisih, oblikovanih specifično v ta namen. |
(1) Odstavki 3(a) do (f) vsebujejo naslednje podatke API : (a) priimek osebe, ime in vsa druga imena; (b) datum rojstva; (c) spol; (d) državljanstvo ali narodnost; (e) vrsta potovalnega dokumenta, ki identificira osebo, ime države, ki je izdala potovalni dokument, in številko potovalnega dokumenta; (f) evidenčna številka rezervacije, če obstaja, in v primeru osebe, zadolžene za komercialen prevoz ali katerega koli drugega člana posadke brez evidenčne številke rezervacije, obvestilo o statusu člana posadke.
(2) Zakon določa uradne postopke za uničenje vladnih evidenc.
(3) Politike na katere se sklicuje vsebujejo: Varnostno politiko vlade in Operativni standard za varno delovanje: upravljanje varnosti informacijske tehnologije, ki ju je ločeno izdal Sekretariat vladne komisije Kanade (Treasury Board of Canada Secretariat) 1. februarja 2002 in 31. maja 2004.
PRILOGA „A“
ELEMENTI PODATKOV PNR, KI JIH CBSA ZAHTEVA OD LETALSKIH PREVOZNIKOV
|
1. |
Ime |
|
2. |
Podatki API |
|
3. |
Koda lokatorja zapisa PNR |
|
4. |
Predvideni datum potovanja |
|
5. |
Datum rezervacije |
|
6. |
Datum izdaje vozovnice |
|
7. |
Turistične agencije |
|
8. |
Potovalni agent |
|
9. |
Kontaktni telefonski podatki |
|
10. |
Naslov uporabnika računa |
|
11. |
Vsi podatki o načinu plačila |
|
12. |
Podatki „pogost potnik“ |
|
13. |
Podatki na vozovnici |
|
14. |
Številka vozovnice |
|
15. |
Razdeljeni/ločeni podatki PNR |
|
16. |
Potniki z vozovnico, vendar brez rezervacije |
|
17. |
Zgodovina neizkoriščenih in neodpovedanih rezervacij |
|
18. |
Podatki o celotnem načrtu potovanja |
|
19. |
Stalno pripravljeni podatki (Standby Information) |
|
20. |
Druga imena v zapisu PNR |
|
21. |
Vrstni red prijav |
|
22. |
Številke posameznih kosov prtljage |
|
23. |
Podatki o sedežih |
|
24. |
Številka sedeža |
|
25. |
Enosmerne vozovnice |