Сайтът е част от
Достъп до правото на Европейския съюз
Решение на Комисията от 6 септември 2005 година относно адекватната защита на личните данни, съдържащи се в досиетата на пътници на самолети и трансферирани на Агенцията на канадските гранични служби (нотифицирано под номер С(2005) 3248)Текст от значение за ЕИП.
OB L 91, 29.3.2006 г., стр. 49—60 (ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, SK, SL, FI, SV)
OB L 118M , 8.5.2007 г., стр. 515—526 (MT)
специално българско издание: глава 07 том 15 стр. 175 - 186
специално румънско издание: глава 07 том 15 стр. 175 - 186
CS DA DE EL EN ES ET FI FR HU IT LT LV NL PL PT SK SL SV
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | ||||
| tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff |
| показване на два езика: BG CS DA DE EL EN ES ET FI FR HU IT LT LV NL PL PT RO SK SL SV |
Решение на Комисията
от 6 септември 2005 година
относно адекватната защита на личните данни, съдържащи се в досиетата на пътници на самолети и трансферирани на Агенцията на канадските гранични служби
(нотифицирано под номер С(2005) 3248)
(текст от значение за ЕИП)
(2006/253/ЕО)
КОМИСИЯТА НА ЕВРОПЕЙСКИТЕ ОБЩНОСТИ,
като взе предвид Договора за създаване на Европейската общност,
като взе предвид Директива 95/46/ЕО на Европейския парламент и на Съвета от 24 октомври 1995 г. относно защитата на физическите лица при обработването на лични данни и за свободното движение на тези данни [1], и по-специално член 25, параграф 6 от него,
като има предвид, че:
(1) Съгласно Директива 96/46/ЕО от държавите-членки се изисква да осигурят трансферът на лични данни на трета страна да се извършва само ако въпросната трета страна обезпечи адекватно ниво на защита и ако законите на държавите, с които се транспонират останалите разпоредби на директивата, са спазени преди трансфера.
(2) Комисията може да установи, че третата страна осигурява адекватно ниво на защита. В такъв случай от държавите-членки могат да се трансферират лични данни, без да са необходими допълнителни гаранции.
(3) Съгласно Директива 96/46/ЕО нивото на защита на данните следва да се оцени в светлината на всички обстоятелства, свързани с операцията по трансфер на данни или с групата операции по трансфер на данни, като особено внимание се обърне на редица елементи, отнасящи се до трансфера, които са изброени в член 25, параграф 2 от него.
(4) В рамките на въздушния транспорт "досие на пътник" (PNR) e запис на изискванията във връзка с пътуването на всеки един пътник, който съдържа цялата необходима информация, позволяваща обработката и контрола на резервациите от резервиращата и участващите авиолинии [2]. За целите на настоящото решение термините "пътник" и "пътници" включват членовете на екипажа. "Резервираща авиолиния" означава авиолинията, при която пътникът е направил първоначалните си резервации или в която са направени допълнителни резервации след започването на пътуването. "Участващи авиолинии" са всички авиолинии, от които резервиращата авиолиния е поискала за даден пътник да бъде запазено място за един или повече от полетите ѝ.
(5) Агенцията на канадските гранични служби (CBSA) изисква всеки превозвач, който извършва пътнически полети до Канада, да ѝ предостави електронен достъп до PNR, доколкото PNR се събира и съдържа в автоматизираните резервационни системи на превозвача и в системите му за контрол на излитанията.
(6) Изискванията личните данни, които се съдържат в PNR на пътниците на самолети, да се трансферират до CBSA, се основават на раздел 107.1 от Закона за митниците и параграф 148, буква г) от Закона за имиграцията и защита на бежанците, както и на подзаконовите нормативни актове по тяхното прилагане [3].
(7) Въпросното канадско законодателство се отнася до повишаване на сигурността и условията, при които лицата могат да влизат в страната, въпроси, относно които Канада има суверенното право да решава в рамките на своята юрисдикция. Установените изисквания, освен това, не са несъответстващи на международните ангажименти, които Канада е поела. Канада е демократична държава с върховенство на закона и със силна традиция в гражданските свободи. Легитимността на законотворческия процес в нея, както и силата и независимостта на съдебната ѝ система са несъмнени. Свободата на пресата е още една силна гаранция срещу нарушаването на гражданските свободи.
(8) Общността се ангажира напълно да подкрепи Канада в борбата срещу тероризма в границите, наложени от правото на Общността. Правото на Общността предвижда поддържането на необходимия баланс между съображенията за сигурност и съображенията за защита на личните данни. Например член 13 от Директива 95/46/ЕО предвижда, че държавите членки могат да приемат закони, с които да ограничат обхвата на определени изисквания на посочената директива, когато това е необходимо да се извърши за целите на националната сигурност, отбраната, обществената сигурност и предотвратяването, разследването, разкриването и съдебното преследване на престъпления.
(9) Разглежданите трансфери на данни касаят конкретни контролиращи, а именно авиолиниите, които извършват полети от Общността до Канада и само един получател в Канада, по-специално CBSA.
(10) Всички договорености за предоставяне на законова рамка за трансфер на PNR за Канада, по-специално чрез настоящото решение, следва да бъдат времево ограничени. Беше договорен период от три години и половина. През този период контекстът може да се промени съществено и Общността и Канада са съгласни, че ще е необходимо преразглеждане на договореностите.
(11) Обработването от CBSA на лични данни, съдържащи се в трансферираните им PNR на пътниците на самолети, се подчинява на условията, предвидени в Задълженията на Агенцията на канадските гранични служби по отношение на прилагането на тяхната PNR програма (наричани тук по-нататък "Задълженията") и в канадското право в степента, посочена в Задълженията.
(12) По отношение на правото на Канада в настоящия контекст са релевантни Законът за защита на личните данни, Законът за достъпа до информация и раздел 107 от Закона за митниците, доколкото те контролират условията, съгласно които CBSA могат да откажат искания за разкриване на информация и така да запазят PNR конфиденциални. Законът за защита на личните данни регулира разкриването на PNR на лицето, за което тя се отнася, тясно свързано с правото на достъп на субекта на данните. Законът за защита на личните данни е в сила само за лицата, които се намират в Канада. Все пак, в допълнение, CBSA предоставя достъп до PNR информация, която се подържа за чуждестранно лице, когато тя или той не се намира в Канада.
(13) По отношение на Задълженията и както е предвидено в раздел 43 от тях, формулировките в Задълженията или са инкорпорирани в съществуващото канадско законодателство, или са вкарани в националните наредби, формулирани конкретно за тази цел и така имат законно действие. Задълженията ще се публикуват в Канадския официален вестник. Като такива те представляват сериозен и добре обмислен ангажимент от страна на CBSA и тяхното спазване ще бъде предмет на съвместен преглед от Канада и Общността. Неспазването би могло да бъде оспорено като подходящо по законови, административни и политически канали и ако е повтарящо се, би предизвикало прекратяване на действието на настоящото решение.
(14) Стандартите, по които CBSA ще обработва PNR данните на пътниците въз основа на канадското законодателство и Задълженията, обхващат основните принципи, които са необходими за адекватно ниво на защита за физическите лица.
(15) По отношение на принципа на ограничаване на предназначението, личните данни на пътниците, съдържащи се в PNR, които се трансферират на CBSA, ще се обработват за конкретно предназначение и след това ще бъдат използвани или предавани по-нататък само доколкото това е съвместимо с предназначението на трансфера. По-специално, PNR данните ще се използват за превенция и борба с: тероризма и свързаните с него престъпления, с други сериозни престъпления, включително организираната престъпност, които са транснационални по своя характер.
(16) По отношение на принципа на качеството и на пропорционалността на данните, който е необходимо да се разглежда във връзка с основанията на важния обществен интерес, заради който се трансферират PNR данните, PNR данните, предоставени на CBSA, няма впоследствие да бъдат променени от нея. Ще се трансферират максимум 25 категории PNR данни и CBSA ще се консултира и ще се договори с Европейската комисия относно преразглеждането на 25-те изисквани елемента на PNR данните, определени в притурка А, преди да извърши такова преразглеждане. Допълнителната лична информация, която се търси като директен резултат от PNR данните ще се получава от извънправителствени източници само по законни канали. Като общо правило PNR данните ще бъдат изтривани след максимум три години и шест месеца.
(17) По отношение на принципа на прозрачността CBSA ще предоставят информация на пътниците относно целта на трансфера и обработката, както и относно самоличността на контролиращия данните, а също и друга информация.
(18) По отношение на принципа на сигурността CBSA вземат технически и организационни мерки, които са подходящи за риска, възникващ от обработването.
(19) Правата на достъп, коригиране и обозначаване със знаци са признати от Закона за защита на личните данни по отношение на физичческите лица, които присъстват в Канада. CBSA ще предостави тези права във връзка с PNR информацията, която тя притежава, също така и по отношение на чуждестранни граждани, които не присъстват в Канада. Предвидените изключения са най-общо сравними с ограничения, които могат да бъдат наложени от държавите-членки съгласно член 13 от Директива 95/64/ЕС.
(20) Ще бъдат извършвани последващи трансфери до други държавни власти, включително чуждестранни държавни власти на база всеки случай поотделно, за цели, които са идентични на или съвместими с тези, заложени в заявлението за ограничаване на целите по отношение на минимален размер на данните. Трансфери могат да бъдат извършвани също за защита на жизнено важните интереси на субекта на данните или на други лица, по-специално по отношение на значителни рискове за здравето или при всякакви съдебни производства, или при други случаи, когато това се изисква от закона. Получаващите агенции се задължават от изричните условия за разкриване на информацията да използват данните само за тези цели и не могат да трансферират данните по-нататък без съгласието на CBSA. Никои други чуждестранни, федерални, провинциални или местни власти нямат директен електронен достъп до PNR данни чрез базите данни на CBSA. CBSA ще отказва публичното разкриване на PNR на базата на изключенията от съответните разпоредби на Закона за достъпа до информация и на Закона за защита на личните данни.
(21) CBSA не получава секретна информация по смисъла на член 8 от Директива 95/46/ЕО.
(22) По отношение на механизмите за прилагане, за да се осигури спазването от страна на CBSA на тези принципи, е осигурено обучение и информиране на персонала на CBSA, както и санкции за отделните членове на персонала. Опазването от страна на CBSA на защита на личните данни като цяло ще се осъществява под внимателния надзор на независимата служба на Канадския комисар по защита на личните данни съгласно условията, определени в Канадската харта на правата и свободите и в Закона за защита на личните данни. Комисарят по защита на личните данни може да разглежда жалби, отнесени към него от органите за защита на данните в държавите членки от името на живеещите в Общността, ако живеещият в общността счита, че неговата жалба не е разгледана удовлетворително от CBSA. Спазването на Задълженията ще е предмет на ежегоден съвместен преглед, осъществяван от CBSA и екип, воден от Комисията.
(23) В интерес на прозрачността, а и за да се защити възможността на компетентните власти в държавите членки да осигурят защита на гражданите по отношение на обработката на техните лични данни, е необходимо да се укажат извънредните обстоятелства, при които прекратяването на конкретни потоци данни може да бъде оправдано въпреки констатирането на адекватна защита.
(24) Работната група по защита на гражданите по отношение на обработката на личните данни, създадена съгласно член 29 от Директива 95/46/ЕО предостави становища относно нивото на защита, предоставено от канадските власти за данните на пътниците [4], които направляваха Комисията през цялото време на преговорите ѝ с CBSA. Комисията е взела предвид тези становища при изготвянето на настоящото Решение.
(25) Мерките, предвидени в настоящото решение, са в съответствие със становището на Комитета, създаден съгласно член 31, параграф 1 от Директива 95/46/ЕО,
ПРИЕ НАСТОЯЩОТО РЕШЕНИЕ:
Член 1
За целите на член 25, параграф 2 от Директива 95/46/ЕО се счита, че Агенцията на канадските гранични служби (наричана по-надолу CBSA) осигурява адекватно ниво на защита за PNR данните, трансферирани от Общността относно полетите до Канада в съответствие със Задълженията, установени в приложението.
Член 2
Настоящото решение се отнася до адекватността на защитата, осигурявана от CBSA с оглед удовлетворяване изискванията на член 25, параграф 1 от Директива 95/46/ЕО и то не влияе на другите условия или ограничения, транспониращи други разпоредби на тази Директива, които се отнасят до обработването на лични данни вътре в държавите членки.
Член 3
1. Без да се засягат правомощията им да предприемат действия, за да осигуряват спазването на националните разпоредби, приети в съответствие с разпоредби, различни от член 25 от Директива 95/46/ЕО, компетентните органи в държавите членки могат да упражняват настоящите си правомощия да прекратяват потоците от данни към CBSA, за да защитат гражданите по отношение обработването на техните лични данни в следните случаи:
а) когато компетентен канадски орган е определил, че CBSA е нарушила действащите стандарти за защита; или
б) има значителна вероятност предвидените в приложението стандарти за защита да са нарушени, съществуват достатъчно основания да се счита, че CBSA не предприема или няма да предприеме адекватни и своевременни стъпки за да разреши въпросния случай, непрекъснатия трансфер би създал застрашаващ риск от фатално увреждане на субектите на данните и компетентните органи в държавите членки са направили значителни усилия при съществуващите обстоятелства, за да предоставят на CBSA уведомление и възможност да реагира.
2. Прекратяването спира веднага след като бъдат обезпечени стандартите за защита и компетентните органи на съответните държави-членки бъдат уведомени за това.
Член 4
1. Държавите членки информират Комисията незабавно, когато се приемат мерки в съответствие с член 3.
2. Държавите членки и Комисията се информират един друг за всякакви промени в стандартите за защита и за случаи, когато действията на органите, които отговарят за осигуряване на спазването от CBSA на предвидените в приложението стандарти за защита, не успеят да осигурят такова спазване.
3. Ако информацията, събрана съгласно член 3 и съгласно параграфи 1 и 2 от настоящия член, предоставя доказателства, че основните принципи, които са необходими за адекватното ниво на защита, вече не се спазват, или че орган, който отговаря за спазването от CBSA на предвидените в приложението стандарти за защита, не изпълнява ефективно своята роля, CBSA се информира и, ако е необходимо, се прилага процедурата, упомената в член 31, параграф 2 от Директива 95/46/ЕО с оглед отмяната или спирането на настоящото решение.
Член 5
Функционирането на настоящото решение се наблюдава и всички отнасящи се до него констатации се докладват на Комитета, създаден съгласно член 31 от Директива 95/46/ЕО, включително всякакви доказателства, които биха повлияли на констатацията в член 1 от настоящото решение, че защитата на личните данни, съдържащи се в PNR на пътници в самолети, които се трансферират до CBSA, е адекватна по смисъла на член 25 от Директива 95/46/ЕО.
Член 6
Държавите-членки предприемат всички необходими мерки, за да се съобразят с решението в срок от шест месеца, считано от датата на нотификацията му.
Член 7
Настоящото решение спира да действа три години и шест месеца след датата на нотифицирането му, освен ако действието му не бъде удължено в съответствие с процедурата, определена в член 31, параграф 2 от Директива 95/46/ЕО.
Член 8
Адресати на настоящото решение са държавите членки.
Съставено в Брюксел на 6 септември 2005 година.
За Комисията
Franco Frattini
Заместник-председател
[1] ОВ L 281, 23.11.1995 г., стр. 31. Директива, изменена с Регламент (ЕО) № 1882/2003 (ОВ L 284, 31.10.2003 г., стр. 1).
[2] За целите на настоящото решение терминът PNR включва данни за предватрителна информация за пътниците (API), както се предвижда в раздел 4 от Задълженията на CBSA.
[3] (Митнически) правилници за информацията за пътниците и разпоредба 269 от Правилниците за имиграцията и защитата на бежанците.
[4] Становище 3/2004 относно нивото на защита, осигурено в Канада за предаването на PNR и API от авиолинии, прието от Работната група на 11 февруари 2004 г., намиращо се на http://europa.eu.int/comm/intrnal_market/privacy/docs/wpdocs/2004/wp88_en.pdf Становище 1/2005 относно нивото на защита, осигурено в Канада за предаването на PNR и API от авиолинии, прието от Работната група на 19 януари 2005 г., намиращо се на http://europa.eu.int/comm/intrnal_market/privacy/docs/wpdocs/2004/wp88_en.pdf
--------------------------------------------------
ПРИЛОЖЕНИЕ
ЗАДЪЛЖЕНИЯ НА АГЕНЦИЯТА НА КАНАДСКИТЕ ГРАНИЧНИ СЛУЖБИ ВЪВ ВРЪЗКА С ПРИЛАГАНЕТО НА НЕЙНАТА PNR ПРОГРАМА
Юридическо основание за събиране на API и PNR информация
1. Всички превозвачи се задължават съгласно канадското законодателство да предоставят на Агенцията на канадските гранични служби (CBSA) предварителна информация за пътниците (API) и информация за досиетата на пътниците (PNR), отнасяща се до всички лица на борда на полети към Канада. Юридическото основание на CBSA да придобива и събира такава информация се намира в раздел 107.1 от Закона за митниците, (Митнически) правилници за информацията за пътниците, в параграф 148, алинея 1, буква г) от Закона за имиграцията и защитата на бежанците и разпоредба 269 от Правилниците за имиграцията и защитата на бежанците.
Цел, с която се събира API и PNR информация
2. API и PNR информация ще се събира само по отношение на полети, които пристигат в Канада. CBSA ще използва API и PNR информация, събрана от европейски и други превозвачи само за да идентифицират лица, за които съществува риск да внасят стоки, свързани с, или лица, които не могат да бъдат допуснати в Канада поради потенциалната им връзка с тероризъм или свързани с тероризма престъпления, или други сериозни престъпления, включително организирана престъпност, които са транснационални по своята същност.
3. API и PNR информацията ще се използва от CBSA само за определените лица, които ще бъдат подлагани на по-подробни разпити или анкетирания при пристигането им в Канада или за които ще е необходимо допълнително проучване за една от целите, описани в раздел 2. Няма да бъдат предприемани принудителни действия от CBSA или от други канадски служители от изпълнителната власт само по причина на автоматизираната обработка на API и PNR данни.
Събраната API и PNR информация
4. Списъкът с елементите на API информацията, която ще се събира от API за целите, предвидени в раздел 2, се определя в параграф 3 букви а)—е) от (Митнически) правилници за информацията за пътниците, издадени съгласно Закона за митниците [1]. Списъкът на елементите на PNR информацията, която ще се събира от CBSA за целите, предвидени в раздел 2, се определя в притурка А. За по-голяма сигурност в тези 25 елемента на данните няма да бъдат включени полето "елементи на секретни данни" по смисъла на член 8.1 от Директива 95/46/ЕО (нарична тук по-нататък "Директивата") и всички полета "открит текст" или "общи забележки".
5. CBSA няма да изисква от превозвача да събира PNR данни, които превозвачът не записва за свои собствени цели и няма да изисква от превозвача да събира каквато и да било допълнителна информация с цел да я предсотавя на CBSA. Поради това CBSA приема, че ще събират елементите на данните, изброени в притурка А, само дотолкова, доколкото превозвачът е избрал да ги постави в своите автоматизирани резервационни системи и системи за контрол при излитане (СКИ).
6. CBSA ще се консултира и ще се договори с Европейската комисия относно преразглеждането на 25-те изискуеми елемента на PNR информация, предвидени в притурка А, преди да извърши такова преразглеждане,
а) ако CBSA констатира, че допълнителен елемент на PNR данни може да е на разположение и е на мнение, че елементът е необходим за предвидените в раздел 2 цели; или
б) ако CBSA в който и да било момент констатира, че даден елемент на PNR данни вече не е необходим за предвидените в раздел 2 цели.
Метод за оценяване на API и PNR информация
7. Информационната система за пътниците на CBSA (наричана тук по-нататък "PAXIS") е конфигурирана да получава API и PNR информация, въвеждана от превозвача.
Съхраняване и достъп до API и PNR информация
8. Когато API и PNR информацията се отнася до лице, което не е предмет на разследване в Канада за една от целите, описани в раздел 2, тя ще се съхранява в системата PAXIS за максимум 3,5 години. През този период информацията ще се съхранява по един нарастващо деперсонализиран начин, както следва:
а) От първоначалното ѝ получаване до 72 часа цялата налична API и PNR информация ще бъде достъпна само за ограничен брой контрольори и служители по информацията на CBSA, които ще използват информацията, за да идентифицират тези, за които е необходимо по-подробен разпит или анкетиране при пристигането им в Канада, за една от предвидените в раздел 2 цели.
б) След 72 часа до края на 72 часа от получаването PNR досието на лицето ще се съхранява в системата PAXIS, но ще бъде достъпно само за служителите по информацията на CBSA, разположени в международно летище в Канада или в националния щаб на CBSA в Отава. Името на лицето, за което се отнася информацията, няма да бъде на разположение, за да го видят тези служители, освен ако то е необходимо, за да се извърши разследване в Канада за една от целите, описани в раздел 2. PNR досието ще бъде реперсонализирано само когато служителят основателно счита, че името на лицето е необходимо, за да се осъществи разследването. През този период деперсонализираната информация ще се ползува от информационните аналитици на CBSA за анализ на развитието и разработването на индикаторите за бъдещия риск, свързани с предвидените в раздел 2 цели.
в) Две години след получаването му PNR досието се съхранява в системата PAXIS за още един период от максимум 1,5 години, но всички елементи на данните, които могат да послужат за идентифицирането на лицето, за което се отнася информацията, ще бъдат на разположение да се виждат само от председателя на CBSA за описаните в раздел 2 цели. През този период деперсонализираната информация ще се ползува от информационните аналитици на CBSA за тренд анализ и разработването на индикаторите за бъдещия риск, свързани с предвидените в раздел 2 цели.
г) API информацията ще се съхранява отделно от PNR информацията в системата PAXIS. Тя ще се запази в системата PAXIS за максимум 3 години и половина, но през този период API информацията, отнасяща се за едно лице, няма да се използва за получаването на достъп до PNR информация за същото лице, освен ако PNR досието не е реперсонализирано при обстоятелствата, описани в буква б).
9. Когато API и PNR информацията се отнася за лице, което е предмет на разследване в Канада за цел, описана в раздел 2, тя се поставя в база данни на CBSA за принудително изпълнение. Тези бази данни съдържат информация само по отношение на лица, които са били разследвани или са били подложени на действие по принудително изпълнение съгласно нормативната уредба на CBSA. Достъп до тези бази данни се предоставя само на онези служители на CBSA, чиито задължения изискват такъв достъп и той се наблюдава внимателно. API и PNR информацията, която се трансферира в такава база данни по принудителното изпълнение, ще се запази в системата за не по-дълго от необходимото и във всеки случай за период, непревишаващ шест години, след което време тя ще бъде унищожена, освен ако не е необходимо да бъде съхранена за допълнителен период по силата на Закона за защита на личните данни или на Закона за достъп до информацията, както е обяснено в точка 10, буква б).
10. Когато CBSA ползват лична информация за целите на вземането на решение, засягащо интересите на субекта на данните, за когото те се отнасят, тя трябва да се съхранява от CBSA за период от две години от датата на такова използване, за да може субектът на данните да придобие достъп до информацията, въз основа на която е взето такова решение, освен ако лицето не се съгласи за по-ранното ѝ премахване или, когато е получено искане за достъп до информацията, дотогава, когато лицето е имало възможността да упражни всички свои права съгласно Закона за защита на личните данни или Закона за достъп до информацията.
а) В случая на информация, която се запазва в базата данни PAXIS, това изискване за две години ще бъде включено в максималния период от 3 години и половина, през който информацията ще се запази в тази база данни.
б) В случая на информация, запазена в база данни за принудително изпълнение, API и PNR информацията може да бъде запазена, когато е необходимо, за период от не повече от от шест години за използване от CBSA за целите на разследването, описани в точка 9 и след това за един максимален период от допълнителни две години, през което време тя ще е на разположение за достъп от страна на субекта на данните в съответствие със Закона за защита на личните данни или Закона за достъп до информацията, но няма да е на разположение за административно ползване от CBSA.
11. При изтичането на периодите на запазване, описани в точки 8—10, API и PNR информацията ще бъде унищожена в съответствие с разпоредбите на Закона за националните архиви [2].
Разкриване на API и PNR информация на други канадски управления и агенции.
12. Всяко разкриване на API и PNR информация от CBSA се подчинява на Закона за защита на личните данни, Закона за достъп до информация и собствената нормативна уредба на CBSA. Въпреки че Законът за защита на личните данни и Законът за достъп до информация предоставят правото за достъп до архиви, освен ако е в сила освобождаване от действието или изключение, тези закони не изискват иначе каквото и да било задължително разкриване на API и PNR информация. На уеб сайта на CBSA ще бъде публикуван екземпляр от административната политика на CBSA, уреждаща разкриването, достъпа и използването на API и PNR информация, Меморандум D-1-16-3 озаглавен "Временни административни указания за разкриването, достъпа и използването на резервационни поименни данни (PNR)" (наричан тук по-нататък "политика на CBSA за разкриване на PNR"). Тази политика, описана по-нататък в точка 37 на настоящите задължения, указва, че API и PNR информация може да бъде предоставяна на други канадски държавни управления само за определените в раздел 2 цели, освен ако разкриването на данни не се извършва, за да се спази издадена съдебна призовка или разрешение, или заповед, изготвена от съд, лице или орган с юрисдикция в Канада, която налага предоставянето на информацията, или за целите на всякакви съдебни процедури.
13. API и PNR информация няма да се разкрива на едро. CBSA ще предоставя само PNR информация, която е подбрана за всеки отделен случай и само след преценка на релевантността на конкретната PNR информация, която ще се разкрива. Ще бъдат предоставяни само онези конкретни API и PNR елементи, които ясно се посочват като необходими при конкретните обстоятелства. Във всички случаи ще бъде предоставян възможно най-малък обем информация.
14. CBSA ще разкрива API и PNR информация само когато предвидените реципиенти се задължават да осигурят за нея същата защита, каквато се осигурява за информацията от CBSA. Получателите на PNR информация от канадското правителство са задължени също да изпълняват изискванията на Закона за защита на личните данни, доколкото те са изброени в Списъка към този закон. Законът за защита на личните данни действа по отношение на лична информация, която е информация за идентифиренцируем субект, записана по какъвто и да е начин и която се намира под контрола на управление или агенция на канадското федерално правителство в съответствие със закона. Таково управление или агенция не може да събира лична информация, освен ако тя не е "свързана директно с оперативна програма или дейност на институцията".
15. CBSA изискват, като своя практика и като условие, предшестващо разкриването, канадските федерални или провинциални изпълнителни власти да се ангажират, че няма да разкриват по-нататък получената информация без разрешение на CBSA, освен ако това не се изисква от закона.
Разкриване на API и PNR информация на други страни
16. CBSA могат да споделят API и PNR информация с правителството на чужда държава в съответствие с договореност или споразумение съгласно подраздел 8, точка 2 от Закона за защита на личните данни и подраздел 107, точка 8 на Закона за митниците.
17. Такива договорености или споразумения биха могли да съдържат меморандум за взаимно разбирателство, разработен конкретно за целите на PNR програмата на CBSA, или договор, в съответствие с който властите на CBSA се задължават да предоставят съдействие и информация. Във всеки един от тези случаи информацията ще се педоставя само за цели, които са съвместими с определените в точка 2 и само ако получаващата страна се ангажира да осигури на информацията защита, съответстваща на настоящите задължения. Във всички случаи на другата страна ще бъде предоставян възможно най-малък обем информация.
18. API и PNR информация, която се съхранява в PAXIS, ще се споделя само със страна, която е получила заключение за адекватност съгласно Директивата или е обхваната от нея.
19. API и PNR информация, която се съхранява в база данни по принудителното изпълнение, описана в точка 9, може да се споделя в съответствие с договорни задължения съгласно Митническо споразумение за взимна помощ или Споразумение за взимна правна помощ. В такъв случай API и PNR елементи се споделят само на база случай за случай и при условие че CBSA притежава доказателства, които директно свързват искането със разследване или предотвратяване на престъпления, посочени в точка 2 и само дотолкова, доколкото предоставените елементи данни са строго необходими за провеждането на конкретното разследване, за което става въпрос.
Разкриване на API и PNR информация в полза на жизнения интерес на субекта на данните
20. Независимо от каквото и да било в обратен смисъл в настоящите задължения, CBSA може да разкрие API и PNR информация на съответни канадски власти или други държавни управления или агенции, когато това разкриване е необходимо за защитаването на жизнените интереси на субекта на данните или на други лица, по-специално по отношение на важни рискове за здравето.
Нотифициране на субекта на данните
21. CBSA ще осигури информация на пътуващите относно API и PNR изискванията и въпросите свързани с използването ѝ, включително обща информация относно правомощието, въз основа на което ще се събират данните, причината за събирането им, защитата, която ще бъде осигурена за данните, начинът и степента, до която тези данни ще бъдат споделяни, личните данни на отговорните служители на CBSA, съществуващи процедури за обезщетяване, както и информация за контакт за лица, които имат въпроси или съображения.
Правни механизми за преглед на PNR програмите на CBSA
22. PNR програмата може да бъде подложена на прегледи за спазване на правилата, както и на разследвания от Комисаря на Канада по защита на личните данни и от Кабинета на Главния одитор на Канада.
23. Независимият орган на Канада за защита на данни — Комисарят на Канада по защита на личните данни, може да разследва спазаването от държавните управления и агенции на Закона за защита на личните данни, както и да наблюдава доколко CBSA спазва Задълженията. Следвайки приети стандартни цели и критерии, Отделът по практики за защита на личните данни и прегледи на Кабинета на Комисаря по защита на личните данни може да провежда прегледи за спазване на правилата и може да провежда също и разследвания Комисарят по защита на личните данни на Канада може да разкрие такава информация, която по негово мнение е необходима за да се проведе разследване съгласно закона или да определи основанията за констатациите и препоръките, съдържащи се във всеки доклад, който е изготвен съгласно закона.
24. Кабинетът на Главния одитор на Канада провежда независим одит на операциите на канадското федерално правителство. Тези одитни проверки осигуряват на членовете на канадския парламент и на обществеността обективна информация, която да им помогне да оценят действията на правителството и да му търсят отговорност.
25. Окончателните екземпляри на докладите на Кабинета на Комисаря на Канада по защита на личните данни и на Кабинета на Главния одитор на Канада се правят публично достояние чрез годишни доклади до парламента и, по тяхна преценка, са на разположение в Интернет. CBSA ще осигури на Комисията достъп до екземпляри от всички такива доклади, които са свързани по какъвто и да било начин с PNR програмата.
Съвместен преглед на PNR програмата на CBSA
26. В допълнение на горните процеси на преглед, които се уреждат съгласно канадското законодателство, CBSA ще участва ежегодно или, както е подходящо и договорено с Комисията, в съвместен преглед на PNR програмата във връзка с трансферите на API и PNR данни на CBSA.
Компенсация
Правна рамка
27. Канадската Харта на правата и свободите, която е част от канадската конституция, е валидна спрямо всички действия на държавата, включително законодателството. Раздел 8 от Хартата предвижда правото на сигурност срещу неоснователно претърсване и конфискация и защитава едно приемливо очакване за защита на личните данни. Раздел 24 от Хартата позволява на лице, чиито права са били нарушени, да предяви иск пред съд с компетентна юрисдикция за такова обезщетение, каквото съдът прецени за подходящо и справедливо при съответните обстоятелства.
28. По силата на Заповед номер 1 за разширяване на действието на Закона за достъпа до информация (ATIA) правото на чуждестранните граждани на достъп до архиви, които са под контрола на управление на канадското федерално правителство, се предоставя на всеки, който присъства в Канада. По силата на някои освобождавания от задължения в закона, чуждестранният гражданин, който присъства, или алтернативно лице, което присъства в Канада, със съгласието на чуждестранния гражданин, който не присъства в Канада, би могъл да направи искане по ATIA за архиви, отнасящи се до чуждестранния гражданин, и да му бъде даден достъп до такива архиви, под условие за конкретни и ограничени освобождавания и изключения в закона.
29. Съгласно Закона за защита на личните данни правото на достъп до лична информация и на искане на корекции и обозначаване със знаци се разширява, по силата на Заповед номер 2 за разширяване на действието, за всеки, който присъства в Канада. Поради това, под условие за изключения от закона, чуждестранен гражданин може да упражнява тези права, ако той присъства в Канада.
Административна рамка
30. В допълнение, все пак, държавното управление, което притежава лична информация за едно лице, може административно да обезпечи права на достъп, коригиране и обозначаване със знаци за чуждестранни граждани, които не са в Канада. CBSA ще предостави тези права по отношение на API и PNR информация, с която тя разполага, на граждани на ЕС или други лица, които не присъстват в Канада, при условие че разкриването ѝ е иначе разрешено от закон.
31. Комисарят по защита на личните данни може да инициира жалба, ако "Комисарят е убеден, че съществуват съществени основания да се разследва случай съгласно Закона (за защита на личните данни) и има широки правомощия да извършва разследвания по отношение на всякакви жалби. В допълнение Комисарят по защита на личните данни може да се занимае с жалби, отнесени към него от Властите по защита на данни (ВЗД) на която и да е държава-членка на Европейския съюз (ЕС) от името на гражданин на ЕС, доколкото този гражданин е упълномощил ВЗД да действат от негово или нейно име и счита, че неговата или нейната жалба във връзка със защитата на данни относно API и PNR информация не е била разгледана задоволително от CBSA, както е предвидено в точка 30 по-горе. Комисарят по защита на личните данни ще докладва заключенията си и ще уведоми съответната/ите ВЗД относно предприетите действия, ако има такива."
32. Комисарят по защита на личните данни има също така специални правомощия да разследва степента, до която управленията и агенциите на канадското правителство спазват Закона за защита на личните данни по отношение на събирането, съхраняването, използването, разкриването и унищожаването на лична информация.
Сигурност на информацията
33. Достъп до системата PAXIS ще бъде предоставен само на ограничен брой контрольори и служители по информацията, разположени в единици за контрол на пътници в канадските регионални офиси и в главната квартира на CBSA в Отава, Канада. Тези служители ще влизат в системата PAXIS в обезопасени работни места, които са недостъпни за широката общественост.
34. За да получават достъп до системата PAXIS служителите ще трябва да използват два отделни входа в системата, използвайки име на потребител и парола, генерирани от системата. Първият вход ще осигурява достъп до локалната мрежа на CBSA, докато вторият ще осигурява достъп до платформата на Интегрираната система на митниците, която на свой ред осигурява достъп до PAXIS приложението. Достъпът до мрежата на CBSA и до всички данни, съдържащи се в мрежата PAXIS, ще бъде стриктно контролиран и ограничен до избраната група потребители, като всяко запитване и разглеждане на пътнически данни в системата ще се одитира. Генерираният одитен доклад ще съдържа името на потребителя, работното място на потребителя, датата и времето на достъп и номера на PNR файл локатора за информацията, до която е ползван достъп. CBSA също ще ограничи достъпа до определени елементи на API и PNR данни в системата на база на принципа "необходимост да знае" (тип потребител/профил). Този контрол на достъпа ще осигури достъп до API и PNR информация да се осигурява само на лицата, описани в точка 33 за определените в точка 2 цели.
35. Достъпът, използването и разкриването на API и PNR информация се подчинява на Закона за достъп до информация, както и на раздел 107 от Закона за митниците и на административната политика, описана в точка 17 ота настоящите задължения, която отразява защитите и предпазните мерки, описани в настоящия документ. Раздел 160 от Закона за митниците и вътрешните правила за поведение предвиждат наказателни и други санкции, в случай че тази политика не се съблюдава и, както бе посочено по-горе, Комисарят по защита на личните данни е оправомощен съгласно Закона за защита на личните данни да осъществява разследване по отношение на разкриването на лична информация.
36. Политиката на CBSA във връзка с разкриването на PNR определя процедурите, които трябва да се спазват от всички служители на CBSA, които имат достъп до API и PNR информация. Политиката на CBSA е да защитава конфиденциалността на информацията и да я управлява в съответствие с правомощията в канадското законодателство, както и с политиките на CBSA и канадското правителство, които са свързани с управлението и сигурността на информацията, както е описано в точка 38.
37. Политиката на CBSA по отношение разкриването на PNR предвижда:
а) че служителят може да разкрие, да позволи достъп до или да използва API и PNR информация само когато законът му позовлява да извърши това и в съответствие с политиката;
б) че служителите ще предприемат необходимите мерки, за да осигурят на трети лица да се разкрива само съществена информация;
в) че информация ще се разкрива само за конкретна разрешена цел и ще се ограничава до минималното количество информация, което се изисква за тази цел;
г) че информацията ще се предоставя само на или ще бъде достъпна за лица с оперативно изискване да я видят; и
д) че, ако не е уговорено друго в Закона за защита на личните данни, Закона за достъп до информация и Закона за националните архиви, всяка разкрита информация ще бъде унищожена или върната, след като е използвана, в съответствие с политиката за управление на информацията на CBSA и на Финансовия съвет на Канада.
38. Политиката на CBSA за разкриване на PNR попада под чадъра на няколко политики, отнасящи се за целите на CBSA за защитата и управлението на информация, събрана съгласно различните правилници, администрирани от CBSA. В допълнение всички служители на CBSA се подчиняват на политиката за сигурност на правителството на Канада по отношение на защитата на електронните системи и защитата на данни [3].
39. Всички служители на CBSA са запознати с тази политика, както и с последствията от неспазването ѝ, и следването ѝ е условие за наемането им на работа.
Реципрочност
40. Законът за гражданското въздухоплаване позволява на канадските превозвачи, извършващи полети от която и да е дестинация, или на всички превозвачи, които извършват полети, излитащи от Канада, да осигуряват на чужди държави информация относно лицата на борда на такива полети и които са насочени за тази държава, когато законите на държавата изискват информацията да бъде предоставена.
41. В случай че Европейската общност, Европейският съюз или някоя от неговите държави-членки реши да приеме система за идентификация на пътниците на авиокомпаниите и приеме законодателство, което би изисквало всички авиопревозвачи да предоставят на европейските власти достъп до API и PNR данни за лице, чийто пътнически маршрут включва полет до Европейския съюз, раздел 4.83 от Закона за въздухоплаване ще позволи на авиопревозвачите да спазват това изискване.
Преразглеждане и прекратяване на задълженията
42. Настоящите задължения са в сила за период от три години и шест месеца (3,5 години), считано от датата, на която влезе в сила споразумение между Канада и Европейската общност, което да разрешава обработването на API и PNR данни от превозвачи с цел трансферирането на такива данни на CBSA в съответствие с Директивата. След като Задълженията са в сила две години и шест месеца (2,5 години), CBSA ще инициират дискусии с Комисията с цел продължаване срока на Задълженията и всички поддържащи договорености при взаимно приемливи условия. Ако не могат да бъдат постигнати взаимно приемливи договорености преди датата на изтичане на валидността на настоящите задължения, Задълженията няма да се прилагат повече за всички данни, събрани от този момент нататък. Данните, събрани докато настоящите задължения са били в сила, остават защитени съгласно условията на настоящите договорености докато всички такива данни не бъдат изтрити.
43. CBSA изпълнява задълженията си чрез прилагането на съществуващото канадско законодателство или, когато те не са обхванати все още от канадското законодателство, чрез правилници, създадени специално за тази цел, или чрез административни процеси.
[1] Параграф 3 букви а)—е) съдържат следните PNR данни: a) фамилия, име и презиме на лицето, б) дата на раждане, в) пол, г) гражданство или националност, д) вид на пътническия документ, който идентифицира лицето, наименование на страната, издала пътническия документ и номер на пътническия документ, е) номер на резервацията, ако има такава, и, в случай на лице, което отговаря за търговския превоз, или друг член на екипажа без номер на резервация, уведомление за статута му като член на екипажа.
[2] Този закон определя формалностите, които трябва да бъдат спазвани преди да бъдат унищожавани държавни архиви.
[3] Цитираните политики включват Правителствена политиката за сигурност, публикувана от Финансовия съвет на Секретарията на Канада на 1 февруари 2002 г. и Оперативен стандарт за сигурност: Управление на сигурността на информационните технологии (УСИТ), публикуван от Финансовия съвет на Секретарията на Канада на 31 май 2004 г.
--------------------------------------------------
ПРИТУРКА "А"
ЕЛЕМЕНТИ НА PNR ДАННИ, КОИТО CBSA ИЗИСКВА ОТ ВЪЗДУШНИТЕ ПРЕВОЗВАЧИ
1. Име
2. API данни
3. Код на локатора на PNR досието.
4. Дата на възнамерявано пътуване
5. Дата на резервацията
6. Дата на издаване на билета
7. Пътнически агенции
8. Пътнически агент
9. Информация за телефон за контакт
10. Адрес за фактуриране
11. Информация за всички форми на плащане
12. Информация за често пътуващо лице
13. Информация за поле на билета
14. Номер на билета
15. Разделени PNR
16. Go show информация
17. No show история
18. Информация за маршрута на цялото пътуване
19. Резервна информация
20. Други имена в PNR
21. Ред на чекиране
22. Номера на етикети на багажа
23. Информация за място
24. Номер на място
25. Еднопосочни билети
--------------------------------------------------
| Нагоре |