Απόφαση της Επιτροπής

της 6ης Σεπτεμβρίου 2005

σχετικά με την επαρκή προστασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στο φάκελο PNR (Passenger Name Record) των επιβατών αεροπορικών μεταφορών ο οποίος διαβιβάζεται στο Γραφείο συνοριακών υπηρεσιών του Καναδά (Canada Border Services Agency)

[κοινοποιηθείσα υπό τον αριθμό Ε(2005) 3248]

(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

(2006/253/ΕΚ)

Η ΕΠΙΤΡΟΠΗ ΤΩΝ ΕΥΡΩΠΑΪΚΩΝ ΚΟΙΝΟΤΗΤΩΝ,

τη συνθήκη για την ίδρυση της Ευρωπαϊκής Κοινότητας,

την οδηγία 95/46/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 24ης Οκτωβρίου 1995 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών [1], και ιδίως το άρθρο 25 παράγραφος 6,

Εκτιμώντας τα ακόλουθα:

(1) Σύμφωνα με την οδηγία 95/46/ΕΚ, τα κράτη μέλη οφείλουν να προβλέπουν ότι η διαβίβαση δεδομένων προσωπικού χαρακτήρα προς τρίτη χώρα επιτρέπεται μόνο εφόσον η εν λόγω τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας και εφόσον τηρούνται, πριν από τη διαβίβαση, οι νόμοι που έχουν θεσπίσει τα κράτη μέλη για την εφαρμογή άλλων διατάξεων της οδηγίας.

(2) Η Επιτροπή μπορεί να αποφανθεί ότι μια τρίτη χώρα εξασφαλίζει επαρκές επίπεδο προστασίας. Στην περίπτωση αυτή, τα δεδομένα προσωπικού χαρακτήρα μπορούν να διαβιβάζονται από τα κράτη μέλη χωρίς να απαιτούνται πρόσθετες εγγυήσεις.

(3) Σύμφωνα με την οδηγία 95/46/ΕΚ, το επίπεδο προστασίας των δεδομένων πρέπει να αξιολογείται λαμβάνοντας υπόψη όλες τις συνθήκες υπό τις οποίες πραγματοποιείται η διαβίβαση ή σειρά διαβιβάσεων δεδομένων και εξετάζοντας ιδιαίτερα ορισμένα στοιχεία που είναι σημαντικά για τη διαβίβαση και τα οποία παρατίθενται στο άρθρο 25 παράγραφος 2 της εν λόγω οδηγίας.

(4) Στο πλαίσιο των αεροπορικών μεταφορών, ο φάκελος επιβατών [Passenger Name Record (PNR)] αποτελεί αρχείο των ταξιδιωτικών απαιτήσεων για κάθε επιβάτη, το οποίο περιλαμβάνει όλες τις αναγκαίες πληροφορίες για την επεξεργασία και τον έλεγχο των κρατήσεων από τις αρμόδιες και συμμετέχουσες αεροπορικές εταιρείες [2]. Για τους σκοπούς της παρούσας απόφασης, ο όρος "επιβάτης" και ο όρος "επιβάτες" περιλαμβάνουν τα μέλη του πληρώματος. Ως "αεροπορική εταιρεία της κράτησης" νοείται η αεροπορική εταιρεία στην οποία ο επιβάτης έκανε την αρχική του κράτηση ή περαιτέρω κρατήσεις μετά την έναρξη του ταξιδιού. Ως "συμμετέχουσα αεροπορική εταιρεία" νοείται η αεροπορική εταιρεία στην οποία η αεροπορική εταιρεία της κράτησης ζήτησε να κρατηθεί χώρος για επιβάτη σε μία ή περισσότερες πτήσεις της.

(5) Το Γραφείο συνοριακών υπηρεσιών του Καναδά [Canada Border Services Agency (CBSA)] απαιτεί από κάθε αερομεταφορέα που πραγματοποιεί επιβατικές πτήσεις προς Καναδά να του παρέχει ηλεκτρονική πρόσβαση στο φάκελο PNR, εφόσον αυτός καταρτίζεται και τηρείται στα αυτοματοποιημένα συστήματα κρατήσεων και ελέγχου των αναχωρήσεων του αερομεταφορέα.

(6) Οι απαιτήσεις δεδομένων προσωπικού χαρακτήρα τα οποία περιλαμβάνονται στο PNR των επιβατών αεροπορικών μεταφορών και πρόκειται να διαβιβαστούν στο CBSA βασίζονται στο σημείο 107.1 του νόμου περί τελωνείων (Customs Act) και στην παράγραφο 148(d) του νόμου για τη μετανάστευση και την προστασία των προσφύγων (Immigration and Refugee Protection Act), καθώς και σε κανονισμούς εφαρμογής που εγκρίθηκαν δυνάμει των εν λόγω διατάξεων [3].

(7) Η υπό εξέταση νομοθεσία του Καναδά αφορά την ενίσχυση της ασφάλειας και τους όρους με τους οποίους τα πρόσωπα μπορούν να εισέρχονται στη χώρα. Πρόκειται για ζητήματα επί των οποίων ο Καναδάς έχει την κυρίαρχη εξουσία να αποφασίζει στο πλαίσιο της δικαιοδοσίας του. Επιπλέον, οι οριζόμενες απαιτήσεις δεν αντιβαίνουν σε καμία διεθνή δέσμευση που έχει αναλάβει ο Καναδάς. Ο Καναδάς είναι δημοκρατική χώρα, που διέπεται από το κράτος δικαίου και η οποία έχει αξιόλογη παράδοση στον τομέα των ατομικών ελευθεριών. Η νομιμότητα της νομοθετικής διαδικασίας του, καθώς και η ισχύς και η ανεξαρτησία των δικαστικών αρχών του δεν αμφισβητούνται. Η ελευθερία του τύπου συνιστά ένα ακόμα ασφαλές εχέγγυο κατά της κατάχρησης των ατομικών ελευθεριών.

(8) Η Κοινότητα τάσσεται ανεπιφύλακτα υπέρ της υποστήριξης του Καναδά στον αγώνα για την καταπολέμηση της τρομοκρατίας στο πλαίσιο του κοινοτικού δικαίου. Το δίκαιο αυτό διασφαλίζει τη χρυσή τομή μεταξύ της ασφάλειας και της ιδιωτικής ζωής. Παραδείγματος χάριν, δυνάμει του άρθρου 13 της οδηγίας 95/46/ΕΚ, τα κράτη μέλη μπορούν να περιορίζουν με νομοθετικά μέτρα την εμβέλεια ορισμένων απαιτήσεων της οδηγίας, όπου κρίνεται απαραίτητο για λόγους εθνικής ασφάλειας, άμυνας, δημόσιας ασφάλειας και πρόληψης, διερεύνησης, διαπίστωσης και δίωξης αξιόποινων πράξεων.

(9) Οι υπό εξέταση διαβιβάσεις δεδομένων αφορούν συγκεκριμένους υπεύθυνους επεξεργασίας, δηλαδή αεροπορικές εταιρείες που πραγματοποιούν πτήσεις από την Κοινότητα προς τον Καναδά, και μόνο έναν αποδέκτη στον Καναδά, το CBSA.

(10) Τυχόν διακανονισμός με σκοπό τη θέσπιση νομικού πλαισίου για τις μεταβιβάσεις PNR προς τον Καναδά, ιδίως μέσω της παρούσας απόφασης, πρέπει να έχει χρονικό περιορισμό. Συμφωνήθηκε περίοδος [τριάμισι] ετών. Κατά τη διάρκεια της περιόδου αυτής το πλαίσιο μπορεί να μεταβληθεί σημαντικά και η Κοινότητα και ο Καναδάς συμφωνούν ότι θα είναι αναγκαία η επανεξέταση των διακανονισμών.

(11) Η επεξεργασία από το CBSA των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στο PNR των επιβατών αεροπορικών μεταφορών ο οποίος διαβιβάζεται σε αυτήν διέπεται από τους όρους που προβλέπονται στη συγγραφή υποχρεώσεων του CBSA σχετικά με την εφαρμογή του προγράμματός της για το PNR (στο εξής καλούμενη "συγγραφή υποχρεώσεων") και στην εθνική νομοθεσία του Καναδά, στο βαθμό που υποδεικνύεται στη συγγραφή υποχρεώσεων.

(12) Όσον αφορά την εθνική νομοθεσία του Καναδά, ο νόμος για την ιδιωτική ζωή (Privacy Act), ο νόμος για την πρόσβαση στις πληροφορίες (Access to Information Act) και το σημείο 107 του νόμου περί τελωνείων (Customs Act) είναι σημαντικοί στο παρόν πλαίσιο, εφόσον διέπουν τους όρους με τους οποίους το CBSA δύναται να αντιταχθεί σε αιτήματα δημοσιοποίησης και, ως εκ τούτου, να κρατήσει απόρρητο το PNR. Ο Privacy Act διέπει τη δημοσιοποίηση του PNR στον ενδιαφερόμενο, κάτι που συνδέεται άμεσα με το δικαίωμα πρόσβασης του προσώπου στο οποίο αναφέρονται τα δεδομένα. Ο Privacy Act εφαρμόζεται μόνο σε όσους βρίσκονται στον Καναδά. Ωστόσο, το CBSA χορηγεί επίσης πρόσβαση σε πληροφορίες PNR που τηρούνται για αλλοδαπό, εάν αυτός δεν βρίσκεται στον Καναδά.

(13) Όσον αφορά τη συγγραφή υποχρεώσεων και όπως ορίζεται στο σημείο 43 αυτής, οι διατάξεις της συγγραφής υποχρεώσεων έχουν ενσωματωθεί είτε στο ισχύον καναδικό δίκαιο είτε σε εσωτερικές διατάξεις που έχουν καταρτιστεί ειδικά για το σκοπό αυτό και, ως εκ τούτου, παράγουν νομικό αποτέλεσμα. Το πλήρες κείμενο της συγγραφής υποχρεώσεων θα δημοσιευθεί στην Canada Gazette (καναδική εφημερίδα της κυβερνήσεως). Η συγγραφή υποχρεώσεων αυτή καθαυτή συνιστά σοβαρή και απόλυτα σταθμισμένη δέσμευση εκ μέρους του CBSA και η τήρησή της θα ελέγχεται από κοινού από τον Καναδά και την Κοινότητα. Η μη τήρησή της μπορεί να προσβληθεί όπου κρίνεται σκόπιμο μέσω της νομικής, διοικητικής και πολιτικής οδού και, εάν εξακολουθεί, οδηγεί στην ανάκληση των αποτελεσμάτων της παρούσας απόφασης.

(14) Τα πρότυπα βάσει των οποίων το CBSA θα επεξεργάζεται τα δεδομένα PNR σύμφωνα με την καναδική νομοθεσία και τη συγγραφή υποχρεώσεων καλύπτουν τις βασικές αρχές που απαιτούνται για ένα επαρκές επίπεδο προστασίας των φυσικών προσώπων.

(15) Όσον αφορά την αρχή του περιορισμού του σκοπού, τα δεδομένα προσωπικού χαρακτήρα που περιλαμβάνονται στο PNR επιβατών αεροπορικών μεταφορών το οποίο διαβιβάζεται στο CBSA θα αποτελούν αντικείμενο επεξεργασίας για συγκεκριμένο σκοπό και, ακολούθως, θα χρησιμοποιούνται ή κοινοποιούνται περαιτέρω μόνο εφόσον τούτο δεν αντιβαίνει στο σκοπό της διαβίβασης. Ειδικότερα, τα δεδομένα PNR θα χρησιμοποιούνται αυστηρά με σκοπό την αποτροπή και την καταπολέμηση της τρομοκρατίας και συναφών εγκλημάτων, καθώς και άλλων σοβαρών εγκλημάτων, συμπεριλαμβανομένου του οργανωμένου εγκλήματος, τα οποία έχουν διεθνικό χαρακτήρα.

(16) Όσον αφορά την αρχή της ποιότητας και της αναλογικότητας των δεδομένων, που πρέπει να λαμβάνεται υπόψη σε συνάρτηση με τους σημαντικούς λόγους δημοσίου συμφέροντος για τους οποίους διαβιβάζονται τα δεδομένα PNR, τα δεδομένα PNR που παρέχονται στο CBSA δεν θα τροποποιούνται κατόπιν από αυτή. Θα διαβιβάζονται 25 κατηγορίες δεδομένων PNR κατ’ ανώτατο όριο και το CBSA θα συμβουλεύεται την Επιτροπή πριν από την προσθήκη οποιασδήποτε νέας απαίτησης. [Οι πρόσθετες πληροφορίες προσωπικού χαρακτήρα που αναζητούνται ως άμεσο αποτέλεσμα των δεδομένων PNR θα αποκτώνται από πηγές εκτός των κρατικών φορέων μόνο μέσω νομίμων οδών.] Κατά κανόνα, ο φάκελος PNR θα διαγράφεται μετά την πάροδο 3 ετών και 6 μηνών κατ’ ανώτατο όριο.

(17) Όσον αφορά την αρχή της διαφάνειας, το CBSA θα παρέχει πληροφορίες στους ταξιδιώτες όσον αφορά το σκοπό της διαβίβασης και της επεξεργασίας, την ταυτότητα του υπεύθυνου επεξεργασίας των δεδομένων, καθώς και άλλες πληροφορίες.

(18) Όσον αφορά την αρχή της ασφάλειας, το CBSA θα λαμβάνει τεχνικά και οργανωτικά μέτρα ασφαλείας τα οποία κρίνονται κατάλληλα για την αντιμετώπιση των κινδύνων που ενέχει η επεξεργασία.

(19) Τα δικαιώματα πρόσβασης, διόρθωσης και κοινοποίησης αναγνωρίζονται στο Privacy Act στους ιδιώτες που βρίσκονται στον Καναδά. Το CBSA θα διευρύνει τα δικαιώματα αυτά όσον αφορά τις πληροφορίες PNR που έχει στην κατοχή της και στους αλλοδαπούς που δεν βρίσκονται στον Καναδά. Οι προβλεπόμενες εξαιρέσεις είναι σε μεγάλο βαθμό συγκρίσιμες με τους περιορισμούς που μπορούν να επιβάλλουν τα κράτη μέλη δυνάμει του άρθρου 13 της οδηγίας 95/46/ΕΚ.

(20) Οι μεταγενέστερες διαβιβάσεις θα πραγματοποιούνται, κατά περίπτωση, προς άλλες δημόσιες αρχές, συμπεριλαμβανομένων των δημοσίων αρχών άλλων χωρών, για σκοπούς που αντιστοιχούν ή είναι συναφείς με αυτούς που ορίζονται στη διάταξη περί περιορισμού του σκοπού για ελάχιστο αριθμό δεδομένων. Η διαβίβαση δεδομένων μπορεί επίσης να πραγματοποιηθεί για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλων προσώπων, ιδίως όσον αφορά σοβαρούς κινδύνους υγείας ή σε οποιαδήποτε δικαστική διαδικασία ή όπως αλλιώς ορίζεται από το νόμο. Οι υπηρεσίες-αποδέκτες είναι υποχρεωμένες, δυνάμει των ρητών όρων περί δημοσιοποίησης, να χρησιμοποιούν τα δεδομένα μόνο για αυτούς τους σκοπούς και δεν δύνανται να διαβιβάζουν στη συνέχεια τα δεδομένα χωρίς τη σύμφωνη γνώμη του CBSA. Καμία άλλη αλλοδαπή, ομοσπονδιακή, επαρχιακή ή τοπική υπηρεσία δεν διαθέτει άμεση ηλεκτρονική πρόσβαση στους φακέλους PNR μέσω των βάσεων δεδομένων του CBSA. Το CBSA θα αρνείται τη δημοσιοποίηση PNR βάσει των εξαιρέσεων από τις οικείες διατάξεις του Access to Information Act και του Privacy Act.

(21) Το CBSA δεν λαμβάνει ευαίσθητα δεδομένα κατά την έννοια του άρθρου 8 της οδηγίας 95/46/ΕΚ.

(22) Όσον αφορά τους μηχανισμούς εφαρμογής που αποβλέπουν στη διασφάλιση της συμμόρφωσης του CBSA με τις αρχές αυτές, προβλέπεται η κατάρτιση και η ενημέρωση του προσωπικού του CBSA, καθώς και η επιβολή κυρώσεων σε μεμονωμένα μέλη του προσωπικού. Ο σεβασμός της ιδιωτικής ζωής εν γένει από το CBSA θα ελέγχεται από το ανεξάρτητο γραφείο του καναδού Privacy Commissioner (επιτρόπου για θέματα ιδιωτικής ζωής), με τους όρους που περιλαμβάνονται στον καναδικό χάρτη δικαιωμάτων και ελευθεριών (Charter of Rights and Freedoms) και στο Privacy Act. Ο Privacy Commissioner εξετάζει τις καταγγελίες που του διαβιβάζονται από τις αρχές προστασίας δεδομένων των κρατών μελών εξ ονόματος κατοίκων της Κοινότητας, εάν οι κάτοικοι αυτοί θεωρούν ότι η καταγγελία τους δεν εξετάστηκε ικανοποιητικά από το CBSA. Η τήρηση της συγγραφής υποχρεώσεων θα εξετάζεται σε ετήσια βάση από το CBSA και μια ομάδα που διευθύνεται από την Επιτροπή.

(23) Προς όφελος της διαφάνειας και για να διαφυλαχθεί η ικανότητα των αρμοδίων αρχών των κρατών μελών να εξασφαλίζουν την προστασία των προσώπων όσον αφορά την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα, είναι αναγκαίο να καθοριστούν οι εξαιρετικές περιστάσεις κατά τις οποίες μπορεί να δικαιολογείται η αναστολή συγκεκριμένων ροών δεδομένων, παρά τη διαπίστωση επαρκούς επιπέδου προστασίας.

(24) Η ομάδα προστασίας των προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα, που θεσπίστηκε δυνάμει του άρθρου 29 της οδηγίας 95/46/ΕΚ, υπέβαλε γνωμοδοτήσεις σχετικά με το επίπεδο προστασίας που παρέχεται από τις καναδικές αρχές όσον αφορά τα δεδομένα επιβατών, οι οποίες καθοδήγησαν την Επιτροπή καθ’ όλη τη διάρκεια των διαπραγματεύσεών της με το CBSA. Η Επιτροπή έλαβε υπόψη τις γνωμοδοτήσεις αυτές κατά την εκπόνηση της παρούσας απόφασης [4].

(25) Τα μέτρα που προβλέπονται στην παρούσα απόφαση συνάδουν με τη γνώμη της επιτροπής που συστάθηκε δυνάμει του άρθρου 31 παράγραφος 1 της οδηγίας 95/46/ΕΚ,

ΕΞΕΔΩΣΕ ΤΗΝ ΠΑΡΟΥΣΑ ΑΠΟΦΑΣΗ:

Άρθρο 1

Για τους σκοπούς του άρθρου 25 παράγραφος 2 της οδηγίας 95/46/ΕΚ, το Γραφείο συνοριακών υπηρεσιών του Καναδά [Canadian Customs Border Services Agency (στο εξής καλούμενο "CBSA")] θεωρείται ότι παρέχει επαρκές επίπεδο προστασίας όσον αφορά τα δεδομένα PNR που διαβιβάζονται από την Κοινότητα σχετικά με πτήσεις προς τον Καναδά, σύμφωνα με τη συγγραφή υποχρεώσεων που παρατίθεται στο παράρτημα.

Άρθρο 2

Η παρούσα απόφαση αφορά την επάρκεια της προστασίας που παρέχει το CBSA με σκοπό την ικανοποίηση των απαιτήσεων του άρθρου 25 παράγραφος 1 της οδηγίας 95/46/ΕΚ και δεν θίγει άλλους όρους ή περιορισμούς για την εφαρμογή άλλων διατάξεων της εν λόγω οδηγίας που αφορούν την επεξεργασία δεδομένων προσωπικού χαρακτήρα εντός των κρατών μελών.

Άρθρο 3

1. Με την επιφύλαξη της αρμοδιότητάς τους να λαμβάνουν μέτρα για να διασφαλίζουν τη συμμόρφωση με τις εθνικές διατάξεις που εγκρίθηκαν σύμφωνα με διατάξεις άλλες από εκείνες του άρθρου 25 της οδηγίας 95/46/ΕΚ, οι αρμόδιες αρχές των κρατών μελών δύνανται να ασκούν τις εξουσίες που έχουν ήδη για να αναστέλλουν ροές δεδομένων προς το CBSA, προκειμένου να προστατεύουν τα πρόσωπα από την επεξεργασία των δεδομένων τους προσωπικού χαρακτήρα στις ακόλουθες περιπτώσεις:

α) εφόσον η αρμόδια καναδική αρχή έχει διαπιστώσει ότι το CBSA παραβίασε τα ισχύοντα πρότυπα προστασίας· ή

β) εφόσον υπάρχει σημαντική πιθανότητα παραβίασης των προτύπων προστασίας που ορίζονται στο παράρτημα, υπάρχουν βάσιμοι λόγοι ώστε να θεωρηθεί ότι το CBSA δεν λαμβάνει ή δεν θα λάβει επαρκή μέτρα εγκαίρως για να διευθετήσει το υπό εξέταση ζήτημα, η συνεχιζόμενη διαβίβαση θα προκαλούσε άμεσο κίνδυνο σοβαρής ζημίας στα πρόσωπα στα οποία αναφέρονται τα δεδομένα και οι αρμόδιες αρχές του κράτους μέλους έχουν καταβάλει επαρκείς –δεδομένων των περιστάσεων– προσπάθειες για να προειδοποιήσουν το CBSA και να του δώσουν τη δυνατότητα να αντιδράσει.

2. Η αναστολή παύει να ισχύει από τη στιγμή που εξασφαλίζονται τα πρότυπα προστασίας και ενημερώνονται σχετικά οι αρμόδιες αρχές των οικείων κρατών μελών.

Άρθρο 4

1. Τα κράτη μέλη ενημερώνουν την Επιτροπή αμελλητί στις περιπτώσεις όπου λαμβάνονται μέτρα σύμφωνα με το άρθρο 3.

2. Τα κράτη μέλη και η Επιτροπή αλληλοενημερώνονται σχετικά με οποιαδήποτε μεταβολή των προτύπων προστασίας και για τις περιπτώσεις που η δράση των φορέων που είναι αρμόδιοι για τη διασφάλιση της συμμόρφωσης του CBSA με τα πρότυπα προστασίας όπως ορίζονται στο παράρτημα αδυνατεί να εξασφαλίσει την εν λόγω συμμόρφωση.

3. Εάν οι πληροφορίες που συλλέγονται δυνάμει του άρθρου 3 και των παραγράφων 1 και 2 του παρόντος άρθρου αποδεικνύουν ότι δεν τηρούνται πλέον οι βασικές αρχές που απαιτούνται για ένα επαρκές επίπεδο προστασίας των φυσικών προσώπων ή ότι οποιοσδήποτε φορέας που είναι αρμόδιος για τη διασφάλιση της συμμόρφωσης του CBSA με τα πρότυπα προστασίας, όπως ορίζονται στο παράρτημα, δεν επιτελεί αποτελεσματικά το έργο του, το CBSA ενημερώνεται και, εάν κρίνεται αναγκαίο, εφαρμόζεται η διαδικασία που αναφέρεται στο άρθρο 31 παράγραφος 2 της οδηγίας 95/46/ΕΚ, με σκοπό την κατάργηση ή την αναστολή της παρούσας απόφασης.

Άρθρο 5

Η εφαρμογή της παρούσας απόφασης παρακολουθείται και κάθε σχετική διαπίστωση αναφέρεται στην επιτροπή που συστάθηκε δυνάμει του άρθρου 31 της οδηγίας 95/46/ΕΚ, συμπεριλαμβανομένων οποιωνδήποτε αποδεικτικών στοιχείων τα οποία θα ήταν δυνατόν να επηρεάσουν τη διαπίστωση του άρθρου 1 της παρούσας απόφασης ότι η προστασία των δεδομένων προσωπικού χαρακτήρα που περιλαμβάνονται στο φάκελο PNR των επιβατών αεροπορικών μεταφορών ο οποίος διαβιβάζεται στο CBSA είναι επαρκής κατά την έννοια του άρθρου 25 της οδηγίας 95/46/ΕΚ.

Άρθρο 6

Τα κράτη μέλη λαμβάνουν όλα τα αναγκαία μέτρα για να συμμορφωθούν με την παρούσα απόφαση εντός προθεσμίας τεσσάρων μηνών από την ημερομηνία της κοινοποίησής της.

Άρθρο 7

Η παρούσα απόφαση παύει να ισχύει μετά την πάροδο 3 ετών και 6 μηνών από την ημερομηνία της κοινοποίησής της, εκτός εάν παραταθεί σύμφωνα με τη διαδικασία του άρθρου 31 παράγραφος 2 της οδηγίας 95/46/ΕΚ.

Άρθρο 8

Η παρούσα απόφαση απευθύνεται στα κράτη μέλη.

Βρυξέλλες, 6 Σεπτεμβρίου 2005.

Για την Επιτροπή

Franco Frattini

Αντιπρόεδρος

[1] ΕΕ L 281 της 23.11.1995, σ. 31· oδηγία όπως τροποποιήθηκε από τον κανονισμό (ΕΚ) αριθ. 1882/2003 (ΕΕ L 284 της 31.10.2003, σ. 1).

[2] Για τους σκοπούς της παρούσας απόφασης, ο όρος "PNR" περιλαμβάνει τις εκ των προτέρων διαβιβαζόμενες πληροφορίες [Advance Passenger Information (API)], όπως ορίζονται στο σημείο 4 της συγγραφής υποχρεώσεων του CBSA.

[3] Passenger Information (Customs) Regulations [κανονισμοί για πληροφορίες σχετικά με τους επιβάτες (τελωνεία)] και κανονισμός 269 από τη δέσμη κανονισμών που αφορούν τη μετανάστευση και την προστασία των προσφύγων.

[4] Γνωμοδότηση 3/2004 σχετικά με το επίπεδο προστασίας που εξασφαλίζεται στον Καναδά για τη διαβίβαση δεδομένων που περιέχονται στους φακέλους των επιβατών (PNR) και στο προηγμένο σύστημα πληροφοριών για τους επιβάτες από τις αεροπορικές εταιρείες, η οποία εγκρίθηκε από την ομάδα εργασίας στις 11 Φεβρουαρίου 2004 και διατίθεται στην ακόλουθη διεύθυνση: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp88_en.pdfΓνωμοδότηση 1/2005 σχετικά με το επίπεδο προστασίας που εξασφαλίζεται στον Καναδά για τη διαβίβαση δεδομένων που περιέχονται στους φακέλους των επιβατών (PNR) και στο προηγμένο σύστημα πληροφοριών για τους επιβάτες από τις αεροπορικές εταιρείες, η οποία εγκρίθηκε από την ομάδα εργασίας στις 19 Ιανουαρίου 2005 και διατίθεται στην ακόλουθη διεύθυνση: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp103_en.pdf

--------------------------------------------------

ΠΑΡΑΡΤΗΜΑ

ΣΥΓΓΡΑΦΗ ΥΠΟΧΡΕΩΣΕΩΝ ΤΟΥ ΓΡΑΦΕΙΟΥ ΣΥΝΟΡΙΑΚΩΝ ΥΠΗΡΕΣΙΩΝ ΤΟΥ ΚΑΝΑΔΑ ΟΣΟΝ ΑΦΟΡΑ ΤΗΝ ΕΦΑΡΜΟΓΗ ΤΟΥ ΠΡΟΓΡΑΜΜΑΤΟΣ ΤΟΥ ΓΙΑ ΤΟ PNR

Εκ του νόμου αρμόδια αρχή για τη συλλογή πληροφοριών API και PNR

1. Δυνάμει της καναδικής νομοθεσίας, κάθε αερομεταφορέας διαβιβάζει στο καναδικό Γραφείο συνοριακών υπηρεσιών [Canada Border Services Agency (CBSA)] εκ των προτέρων πληροφορίες για τους επιβάτες [Advance Passenger Information (API)] καθώς και πληροφορίες για το φάκελο των επιβατών [Passenger Name Record (PNR)] σχετικά με κάθε πρόσωπο που επιβαίνει σε πτήσεις προς Καναδά. Η εκ του νόμου παρεχόμενη εξουσία του CBSA να αποκτά και να συλλέγει αυτές τις πληροφορίες βασίζεται στο σημείο 107.1 του νόμου περί τελωνείων (Customs Act) και στους κανονισμούς για τις πληροφορίες σχετικά με τους επιβάτες (τελωνεία) [Passenger Information (Customs) Regulations] που θεσπίστηκαν δυνάμει αυτού, οι οποίοι αναφέρονται στο προσάρτημα A, και στην παράγραφο 148(1)(d) του νόμου για τη μετανάστευση και την προστασία των προσφύγων (Immigration and Refugee Protection Act) καθώς και στον κανονισμό 269 των κανονισμών για τη μετανάστευση και την προστασία των προσφύγων που θεσπίστηκαν δυνάμει αυτού, οι οποίοι αναφέρονται στο προσάρτημα B.

Σκοπός της συλλογής των πληροφοριών API και PNR

2. Οι πληροφορίες API και PNR συλλέγονται από το CBSA μόνο όσον αφορά τις πτήσεις με προορισμό τον Καναδά. Το CBSA χρησιμοποιεί τις πληροφορίες API και PNR που συλλέγονται από ευρωπαϊκούς και άλλους αερομεταφορείς μόνο για την ταυτοποίηση προσώπων που υπάρχει κίνδυνος να εισαγάγουν εμπορεύματα σχετικά με την τρομοκρατία ή συναφή με αυτή εγκλήματα ή άλλα σοβαρά εγκλήματα, όπως το οργανωμένο έγκλημα, τα οποία έχουν διεθνικό χαρακτήρα, ή την ταυτοποίηση προσώπων που δεν γίνονται δεκτά στον Καναδά λόγω της δυνητικής σχέσης τους με τα ανωτέρω εγκλήματα.

3. Οι πληροφορίες API και PNR χρησιμοποιούνται από το CBSA για τον εντοπισμό των ατόμων που θα υποβληθούν σε αυστηρότερες ανακρίσεις ή εξετάσεις κατά την άφιξή τους στον Καναδά ή των ατόμων που χρήζουν περαιτέρω έρευνας για έναν από τους λόγους που περιγράφονται στο σημείο 2. Δεν λαμβάνονται αναγκαστικά μέτρα από το CBSA ή άλλους καναδικούς φορείς επιβολής του νόμου μόνο λόγω της αυτοματοποιημένης επεξεργασίας των δεδομένων API και PNR.

Συλλογή πληροφοριών API και PNR

4. Ο κατάλογος με τα στοιχεία των δεδομένων API που συλλέγονται από το CBSA για τους σκοπούς που ορίζονται στο σημείο 2 παρατίθεται στις παραγράφους 3(a) έως (f) των Passenger Information (Customs) Regulations που θεσπίστηκαν δυνάμει του Customs Act [1]. Ο κατάλογος με τα στοιχεία των δεδομένων PNR που συλλέγονται από το CBSA για τους σκοπούς που ορίζονται στο σημείο 2 παρατίθεται στο προσάρτημα Γ. Για μεγαλύτερη βεβαιότητα, τα "ευαίσθητα στοιχεία δεδομένων" κατά την έννοια του άρθρου 8 παράγραφος 1 της οδηγίας 95/46/ΕΚ (στο εξής καλούμενης "η οδηγία") και όλα τα πεδία "ελεύθερο κείμενο" ή "γενικές παρατηρήσεις" δεν θα περιλαμβάνονται σε αυτές τις 25 κατηγορίες δεδομένων.

5. Το CBSA δεν απαιτεί από τους αερομεταφορείς να συλλέγουν πληροφορίες PNR που οι ίδιοι δεν τηρούν για δικούς τους σκοπούς ούτε απαιτεί από αυτούς να συλλέγουν επιπλέον πληροφορίες για να τις παράσχουν στο CBSA. Ως εκ τούτου, το CBSA αναγνωρίζει ότι συλλέγει τα στοιχεία δεδομένων που περιλαμβάνονται στο προσάρτημα Γ μόνο εφόσον ο αερομεταφορέας επέλεξε να τα καταχωρίσει στα δικά του αυτοματοποιημένα συστήματα κρατήσεων και ελέγχου των αναχωρήσεων (Departure Control Systems — DCS).

6. Το CBSA διαβουλεύεται και αποφασίζει από κοινού με την Ευρωπαϊκή Επιτροπή την αναθεώρηση των 25 απαιτούμενων στοιχείων δεδομένων PNR που παρατίθενται στο προσάρτημα Γ, πριν από τη διεξαγωγή οποιασδήποτε τέτοιας αναθεώρησης,

α) εάν το CBSA πληροφορηθεί την ύπαρξη επιπλέον στοιχείων δεδομένων PNR που μπορεί να καταστούν διαθέσιμα και πιστεύει ότι είναι απαραίτητα για τους σκοπούς του σημείου 2· ή

β) εάν το CBSA πληροφορηθεί ανά πάσα στιγμή ότι κάποιο συγκεκριμένο στοιχείο δεδομένων PNR δεν απαιτείται πλέον για τους σκοπούς του σημείου 2.

Μέθοδος πρόσβασης στις πληροφορίες API και PNR

7. Το σύστημα πληροφοριών του CBSA για τους επιβάτες (στο εξής καλούμενο "PAXIS") έχει σχεδιαστεί έτσι ώστε να λαμβάνει πληροφορίες API και PNR που διαβιβάζονται από τους αερομεταφορείς.

Τήρηση των πληροφοριών API και PNR και πρόσβαση σε αυτές

8. Οι πληροφορίες API και PNR, σε περίπτωση που αφορούν πρόσωπο το οποίο δεν αποτελεί αντικείμενο έρευνας στον Καναδά για σκοπούς του σημείου 2, τηρούνται στο σύστημα PAXIS για 3,5 έτη κατ’ ανώτατο όριο. Κατά το διάστημα αυτό, οι πληροφορίες τηρούνται με διαρκώς πιο αποπροσωποποιημένο τρόπο, ως εξής:

α) κατά τις πρώτες 72 ώρες, όλες οι διαθέσιμες πληροφορίες API και PNR είναι προσβάσιμες μόνο από περιορισμένο αριθμό "στοχοθετών" (ειδικευμένων στον εντοπισμό υπόπτων) και υπαλλήλων των υπηρεσιών πληροφοριών του CBSA, οι οποίοι χρησιμοποιούν τις πληροφορίες για να εντοπίσουν εκείνους που χρήζουν αυστηρότερων ανακρίσεων ή εξετάσεων κατά την άφιξή τους στον Καναδά, για έναν από τους λόγους του σημείου 2·

β) μετά από 72 ώρες και αφού παρέλθουν δύο έτη από την παραλαβή, ο φάκελος PNR τηρείται στο σύστημα PAXIS αλλά είναι προσβάσιμος μόνο από υπαλλήλους των υπηρεσιών πληροφοριών του CBSA που βρίσκονται σε ένα διεθνές αεροδρόμιο του Καναδά ή στα κεντρικά γραφεία του CBSA στην Οτάβα. Το όνομα του προσώπου στο οποίο αναφέρονται οι πληροφορίες δεν είναι διαθέσιμο στους εν λόγω υπαλλήλους, εκτός εάν αυτό απαιτείται για τη διεξαγωγή έρευνας στον Καναδά για έναν από τους λόγους του σημείου 2. Το αρχείο PNR αποκτά και πάλι προσωπικό χαρακτήρα μόνο εάν ο υπάλληλος έχει βάσιμους λόγους να πιστεύει ότι το όνομα του προσώπου απαιτείται για τη διεξαγωγή της έρευνας. Κατά το διάστημα αυτό, οι αποπροσωποποιημένες πληροφορίες χρησιμοποιούνται από τους αναλυτές των υπηρεσιών πληροφοριών του CBSA για την ανάλυση τάσεων και την κατάρτιση μελλοντικών δεικτών κινδύνου που σχετίζονται με τους στόχους του σημείου 2·

γ) μετά την πάροδο δύο ετών από την παραλαβή, το αρχείο PNR τηρείται στο σύστημα PAXIS για περαιτέρω περίοδο 1,5 έτους κατ’ ανώτατο όριο, αλλά όλα τα στοιχεία δεδομένων που θα μπορούσαν να συμβάλουν στην ταυτοποίηση του προσώπου στο οποίο αναφέρονται οι πληροφορίες διατίθενται μόνο κατόπιν έγκρισης του προέδρου του CBSA για σκοπό του σημείου 2. Κατά το διάστημα αυτό, οι αποπροσωποποιημένες πληροφορίες χρησιμοποιούνται από τους αναλυτές των υπηρεσιών πληροφοριών του CBSA για την ανάλυση τάσεων και την κατάρτιση μελλοντικών δεικτών κινδύνου που σχετίζονται με τους στόχους του σημείου 2·

δ) οι πληροφορίες API αποθηκεύονται ξεχωριστά από τις πληροφορίες PNR στο σύστημα PAXIS, όπου τηρούνται για 3,5 έτη κατ’ ανώτατο όριο αλλά, κατά την εν λόγω περίοδο, οι πληροφορίες API που αφορούν ένα πρόσωπο δεν χρησιμοποιούνται για την απόκτηση πρόσβασης σε πληροφορίες PNR για το ίδιο πρόσωπο, εκτός εάν το αρχείο PNR επαναπροσωποποιηθεί με τους όρους της παραγράφου β).

9. Οι πληροφορίες API και PNR, σε περίπτωση που αφορούν πρόσωπο που αποτελεί αντικείμενο έρευνας στον Καναδά για σκοπούς του σημείου 2, εισάγονται σε μία από τις βάσεις δεδομένων επιβολής του νόμου του CBSA. Αυτές οι βάσεις δεδομένων περιέχουν πληροφορίες μόνο για άτομα που υπήρξαν αντικείμενο έρευνας ή μέτρων εφαρμογής του νόμου δυνάμει της νομοθεσίας που διέπει το CBSA. Η πρόσβαση σε αυτές τις βάσεις δεδομένων επιτρέπεται μόνο στους υπαλλήλους του CBSA που την χρειάζονται για την εκτέλεση των καθηκόντων τους και παρακολουθείται στενά. Οι πληροφορίες API και PNR που καταχωρίζονται σε βάση δεδομένων επιβολής του νόμου τηρούνται στο σύστημα αυτό για το απολύτως απαραίτητο χρονικό διάστημα και, σε κάθε περίπτωση, όχι περισσότερο από 6 έτη, περίοδος κατά το πέρας της οποίας καταστρέφονται, εκτός εάν πρέπει να τηρηθούν για επιπλέον διάστημα δυνάμει του Privacy Act ή του Access to Information Act, όπως αναφέρεται στο σημείο 10 β).

10. Οι πληροφορίες προσωπικού χαρακτήρα που χρησιμοποιούνται από το CBSA με σκοπό τη λήψη απόφασης που αφορά το πρόσωπο στο οποίο αναφέρονται τα δεδομένα και θίγει τα συμφέροντά του πρέπει να τηρούνται από το CBSA για περίοδο 2 ετών από την ημερομηνία τέτοιας χρήσης, ώστε το πρόσωπο στο οποίο αναφέρονται τα δεδομένα να μπορεί να έχει πρόσβαση στις πληροφορίες βάσει των οποίων ελήφθη η απόφαση, εκτός εάν αυτό δώσει τη συγκατάθεσή του για προηγούμενη διαγραφή ή εφόσον ληφθεί αίτημα για πρόσβαση σε αυτές τις πληροφορίες, έως ότου το πρόσωπο είχε τη δυνατότητα να ασκήσει όλα τα δικαιώματά του που απολαύει δυνάμει του Privacy Act ή του Access to Information Act.

α) Σε περίπτωση που οι πληροφορίες τηρούνται στη βάση δεδομένων PAXIS, η απαίτηση της διετίας συνυπολογίζεται στο ανώτατο όριο των 3,5 ετών κατά το οποίο οι πληροφορίες τηρούνται στην εν λόγω βάση δεδομένων.

β) Σε περίπτωση που οι πληροφορίες τηρούνται σε βάση επιβολής του νόμου, οι πληροφορίες API και PNR μπορούν να τηρούνται, όπου κρίνεται σκόπιμο, για μέγιστη περίοδο 6 ετών προς χρήση από το CBSA για τους σκοπούς έρευνας που αναφέρονται στο σημείο 9 και κατόπιν για περαιτέρω μέγιστη περίοδο 2 επιπλέον ετών, κατά την οποία είναι προσβάσιμα από το πρόσωπο στο οποίο αναφέρονται τα δεδομένα σύμφωνα με τον Privacy Act ή τον Access to Information Act, αλλά δεν είναι διαθέσιμα για διοικητική χρήση από το CBSA.

11. Κατά τη λήξη των περιόδων που αναφέρονται στα σημεία 8 ως 10, οι πληροφορίες API και PNR καταστρέφονται σύμφωνα με τις διατάξεις του νόμου περί εθνικών αρχείων (National Archives Act) [2].

Δημοσιοποίηση πληροφοριών API και PNR σε άλλες υπηρεσίες και γραφεία του Καναδά

12. Κάθε δημοσιοποίηση πληροφοριών API και PNR από το CBSA διέπεται από τον Privacy Act, τον Access to Information Actκαι τις εσωτερικές διατάξεις του CBSA. Αν και ο Privacy Act και ο Access to Information Act παρέχουν το δικαίωμα πρόσβασης στα αρχεία, με την επιφύλαξη απαλλαγής ή εξαίρεσης, οι νόμοι αυτοί δεν προβλέπουν καμία άλλη υποχρεωτική δημοσιοποίηση πληροφοριών API και PNR. Αντίγραφο της διοικητικής πολιτικής που ακολουθεί το CBSA όσον αφορά τη δημοσιοποίηση, την προσπέλαση και τη χρήση πληροφοριών API και PNR, δηλαδή του υπομνήματος D-1-16-3 με τίτλο Interim Administrative Guidelines for the Disclosure, Access to and Use of Passenger Name Record (PNR) Data (στο εξής καλούμενο "Πολιτική του CBSA για τη δημοσιοποίηση του PNR"), θα δημοσιευθεί και θα διατεθεί στο κοινό μέσω του ιστοτόπου του CBSA. Αυτή η πολιτική, που περιγράφεται αναλυτικότερα στο σημείο 37 της παρούσας συγγραφής υποχρεώσεων, ορίζει ότι οι πληροφορίες API και PNR θα μπορούσαν να γνωστοποιηθούν σε άλλες κρατικές υπηρεσίες του Καναδά μόνο για τους σκοπούς του τμήματος 2, εκτός εάν η δημοσιοποίηση πραγματοποιείται κατόπιν κλήσης ή εντάλματος ή εντολής δικαστηρίου, προσώπου ή φορέα που έχει δικαιοδοσία στον Καναδά να επιβάλει την αποκάλυψη των πληροφοριών ή για τους σκοπούς τυχόν δικαστικών διαδικασιών.

13. Οι πληροφορίες API και PNR δεν δημοσιοποιούνται μαζικά. Το CBSA δημοσιοποιεί μόνο επιλεγμένες πληροφορίες API και PNR κατά περίπτωση και μόνο αφού αξιολογήσει τη σημασία της σχετικής πληροφορίας PNR που πρόκειται να δημοσιοποιηθεί. Παρέχονται μόνο τα ιδιαίτερα στοιχεία API και PNR που αποδεικνύεται σαφώς ότι απαιτούνται στις συγκεκριμένες συνθήκες. Εν πάση περιπτώσει, παρέχονται οι ελάχιστες απαραίτητες πληροφορίες.

14. Το CBSA δημοσιοποιεί πληροφορίες API και PNR μόνο εφόσον οι προτεινόμενοι αποδέκτες αναλαμβάνουν να παράσχουν την ίδια προστασία που παρέχει το CBSA. Οι καναδικοί κρατικοί αποδέκτες των πληροφοριών PNR δεσμεύονται επίσης από τις διατάξεις του Privacy Act, στο βαθμό που παρατίθενται στο Schedule (παράρτημα) του εν λόγω νόμου. Ο Privacy Act εφαρμόζεται στις πληροφορίες προσωπικού χαρακτήρα, δηλαδή στις πληροφορίες που αφορούν πρόσωπο του οποίου μπορεί να εξακριβωθεί η ταυτότητα, που έχουν καταχωριστεί με οποιονδήποτε τρόπο και υπόκεινται στον έλεγχο ομοσπονδιακής κρατικής υπηρεσίας ή γραφείου του Καναδά που διέπεται από τον εν λόγω νόμο. Η εν λόγω υπηρεσία ή γραφείο δεν επιτρέπεται να συλλέγει καμία πληροφορία προσωπικού χαρακτήρα, εκτός εάν αφορά άμεσα λειτουργικό πρόγραμμα ή δραστηριότητα του φορέα.

15. Για λόγους πρακτικής και ως προϋπόθεση δημοσιοποίησης, το CBSA απαιτεί από τις καναδικές ομοσπονδιακές ή επαρχιακές αρχές επιβολής του νόμου να δεσμεύονται ότι δεν θα αποκαλύπτουν περαιτέρω τις πληροφορίες που λαμβάνουν, χωρίς την άδεια του CBSA, εκτός αν αυτό απαιτείται από το νόμο.

Δημοσιοποίηση πληροφοριών API και PNR σε άλλες χώρες

16. Το CBSA μπορεί να δημοσιοποιεί πληροφορίες API και PNR σε κυβέρνηση άλλης χώρας, σύμφωνα με ρύθμιση ή συμφωνία δυνάμει του σημείου 8 2) του Privacy Act και του σημείου 107 8) του Customs Act.

17. Οι εν λόγω ρυθμίσεις ή συμφωνίες μπορεί να περιλαμβάνουν μνημόνιο συμφωνίας το οποίο καταρτίζεται ειδικά για τους σκοπούς του προγράμματος του CBSA για το PNR ή συνθήκη δυνάμει της οποίας οι αρχές του CBSA υποχρεούνται να παρέχουν βοήθεια και πληροφορίες. Και στις δύο περιπτώσεις οι πληροφορίες διαβιβάζονται σε κάποιο φορέα μόνο για σκοπό συναφή με εκείνους που ορίζονται στο σημείο 2 και μόνο εάν η χώρα-αποδέκτης αναλαμβάνει την υποχρέωση να προστατεύσει τις πληροφορίες σύμφωνα με την παρούσα συγγραφή υποχρεώσεων. Σε κάθε περίπτωση, στην άλλη χώρα παρέχονται οι ελάχιστες δυνατές πληροφορίες.

18. Οι πληροφορίες API και PNR που τηρούνται στο PAXIS διαβιβάζονται μόνο σε χώρα που έχει λάβει διαπίστωση ότι παρέχει ικανοποιητικό επίπεδο προστασίας δυνάμει της οδηγίας ή ότι καλύπτεται από αυτήν.

19. Οι πληροφορίες API και PNR που τηρούνται σε βάση δεδομένων για την επιβολή του νόμου η οποία περιγράφεται στο σημείο 9 μπορούν να διαβιβάζονται σύμφωνα με τις συμβατικές υποχρεώσεις που απορρέουν από συμφωνία αμοιβαίας συνδρομής μεταξύ των τελωνείων ή από συμφωνία αμοιβαίας νομικής συνδρομής. Εν προκειμένω, τα στοιχεία API και PNR διαβιβάζονται μόνο κατά περίπτωση και εφόσον το CBSA έχει στην κατοχή της αποδεικτικά στοιχεία που συνδέουν άμεσα το αίτημα με τη διερεύνηση ή την πρόληψη εγκλημάτων που αναφέρονται στο σημείο 2 και μόνο στο βαθμό που τα παρεχόμενα στοιχεία των δεδομένων είναι απολύτως απαραίτητα για τη διεξαγωγή της συγκεκριμένης έρευνας.

Δημοσιοποίηση πληροφοριών API και PNR προς το ζωτικό συμφέρον του προσώπου στο οποίο αναφέρονται τα δεδομένα

20. Με την επιφύλαξη αντίθετων διατάξεων της παρούσας συγγραφής υποχρεώσεων, το CBSA δύναται να δημοσιοποιεί πληροφορίες API και PNR σε σχετικές καναδικές ή άλλες κρατικές υπηρεσίες και γραφεία, εφόσον η δημοσιοποίηση αυτή απαιτείται για την προστασία των ζωτικών συμφερόντων του προσώπου στο οποίο αναφέρονται τα δεδομένα ή άλλων προσώπων, ιδίως όσον αφορά σημαντικούς κινδύνους για την υγεία.

Κοινοποίηση στο πρόσωπο στο οποίο αναφέρονται τα δεδομένα

21. Το CBSA παρέχει στο επιβατικό κοινό των αεροπορικών εταιρειών πληροφορίες σχετικά με τις απαιτήσεις API και PNR και τα συναφή με τη χρήση τους ζητήματα, καθώς και γενικές πληροφορίες σχετικά με την αρμόδια για τη συλλογή των δεδομένων αρχή, τους σκοπούς της συλλογής, την προστασία των πληροφοριών, τον τρόπο και το βαθμό διαβίβασης των δεδομένων, την ταυτότητα του αρμόδιου υπαλλήλου του CBSA, τις διαδικασίες προσφυγής και τα στοιχεία επαφής των προσώπων στα οποία μπορούν να υποβάλλονται ερωτήσεις ή ενδεχόμενα προβλήματα.

Μηχανισμοί νομικής αναθεώρησης του προγράμματος του CBSA για το PNR

22. Το πρόγραμμα για το PNR δύναται να αναθεωρείται και να εξετάζεται για λόγους συμμόρφωσης από τον Privacy Commissioner of Canada και το Γραφείο του γενικού ελεγκτή του Καναδά (Office of the Auditor General of Canada).

23. Η ανεξάρτητη αρχή προστασίας των δεδομένων του Καναδά, ο Privacy Commissioner of Canada, μπορεί να διερευνά τη συμμόρφωση των κρατικών υπηρεσιών και γραφείων με τον Privacy Act και μπορεί να ελέγχει το βαθμό στον οποίο το CBSA συμμορφώνεται με την παρούσα συγγραφή υποχρεώσεων. Βάσει αποδεκτών τυποποιημένων στόχων και κριτηρίων, οι Privacy Practices (πρακτικές για την ιδιωτική ζωή) και το Review Branch (τμήμα αναθεώρησης) του Office of the Privacy Commissioner μπορούν να διεξάγουν ελέγχους συμμόρφωσης καθώς και έρευνες. Ο Privacy Commissioner of Canada έχει το δικαίωμα να αποκαλύπτει πληροφορίες που, κατά τη γνώμη του, απαιτούνται για τη διεξαγωγή έρευνας δυνάμει του συγκεκριμένου νόμου ή για την αιτιολόγηση των διαπιστώσεων και των συστάσεων οποιασδήποτε έκθεσης συντάσσεται δυνάμει του εν λόγω νόμου.

24. To Office of the Auditor General of Canada διενεργεί ανεξάρτητους λογιστικούς ελέγχους σε συναλλαγές της καναδικής ομοσπονδιακής κυβέρνησης. Αυτοί οι έλεγχοι παρέχουν στα μέλη του καναδικού κοινοβουλίου και στο κοινό αντικειμενικές πληροφορίες που διευκολύνουν την εξέταση των κυβερνητικών δραστηριοτήτων και τη λογοδοσία της κυβέρνησης.

25. Τα τελικά αντίγραφα των εκθέσεων του Office of the Privacy Commissioner και του Office of the Auditor General of Canada διατίθενται στο κοινό μέσω ετήσιων εκθέσεων προς το Κοινοβούλιο και, ενδεχομένως, δημοσιεύονται στο Διαδίκτυο. Το CBSA παρέχει στην Επιτροπή πρόσβαση στα αντίγραφα οποιασδήποτε τέτοιας έκθεσης που αφορά με οποιονδήποτε τρόπο το πρόγραμμα για το PNR.

Κοινή αναθεώρηση του προγράμματος του CBSA για το PNR

26. Πέρα από τις παραπάνω διαδικασίες αναθεώρησης που προβλέπονται στο καναδικό δίκαιο, το CBSA συμμετέχει ετησίως ή όποτε κρίνεται σκόπιμο, και όπως συμφωνείται με την Επιτροπή, σε κοινή αναθεώρηση του προγράμματος για το PNR όσον αφορά διαβιβάσεις δεδομένων API και PNR στο CBSA.

Προσφυγή

Νομικό πλαίσιο

27. Ο καναδικός χάρτης δικαιωμάτων και ελευθεριών (Charter of Rights and Freedoms), που αποτελεί τμήμα του καναδικού Συντάγματος, εφαρμόζεται σε όλες τις κυβερνητικές ενέργειες, συμπεριλαμβανομένης της νομοθεσίας. Το σημείο 8 του Χάρτη παρέχει το δικαίωμα προστασίας έναντι μη αιτιολογημένης έρευνας και κατάσχεσης και διαφυλάσσει την εύλογη προσδοκία για ιδιωτική ζωή. Το σημείο 24 του Χάρτη επιτρέπει σε πρόσωπο του οποίου τα δικαιώματα παραβιάστηκαν να προσφύγει σε αρμόδιο δικαστήριο ζητώντας τη θεραπεία που το δικαστήριο θα κρίνει σκόπιμη και δίκαιη για τις περιστάσεις.

28. Το δικαίωμα πρόσβασης αλλοδαπού στα αρχεία που ελέγχονται από οργανισμό της καναδικής ομοσπονδιακής κυβέρνησης, δυνάμει της απόφασης επέκτασης αριθ. 1 (Extension Order Number 1) του Access to Information Act (ATIA), παρέχεται σε οποιονδήποτε βρίσκεται στον Καναδά. Με την επιφύλαξη των εξαιρέσεων που αναγνωρίζει αυτός ο νόμος, ο αλλοδαπός που βρίσκεται στον Καναδά ή, εναλλακτικά, ένα πρόσωπο που βρίσκεται στον Καναδά με τη σύμφωνη γνώμη του αλλοδαπού που δεν βρίσκεται στον Καναδά μπορεί να υποβάλει αίτημα ATIA για αρχεία που αφορούν τον αλλοδαπό και να λάβει πρόσβαση σε αυτά τα αρχεία, με την επιφύλαξη ειδικών και περιορισμένων απαλλαγών και εξαιρέσεων του νόμου.

29. Δυνάμει του Privacy Act, το δικαίωμα πρόσβασης σε πληροφορίες προσωπικού χαρακτήρα και υποβολής αίτησης για διορθώσεις ή κοινοποιήσεις επεκτείνεται βάσει της απόφασης επέκτασης αριθ. 2 σε οποιονδήποτε βρίσκεται στον Καναδά. Ως εκ τούτου, με την επιφύλαξη των εξαιρέσεων που προβλέπονται στον εν λόγω νόμο, ο αλλοδαπός μπορεί να ασκεί αυτά τα δικαιώματα εάν βρίσκεται στον Καναδά.

Διοικητικό πλαίσιο

30. Ωστόσο, η κρατική υπηρεσία που τηρεί πληροφορίες προσωπικού χαρακτήρα για κάποιον μπορεί να παρέχει, σε διοικητικό επίπεδο, δικαίωμα πρόσβασης, διόρθωσης και κοινοποίησης και σε αλλοδαπούς που δεν βρίσκονται στον Καναδά. Το CBSA θα επεκτείνει αυτά τα δικαιώματα όσον αφορά τις πληροφορίες API και PNR που βρίσκονται στην κατοχή της σε πολίτες της ΕΕ ή σε άλλα πρόσωπα που δεν βρίσκονται στον Καναδά, με τον όρο ότι η δημοσιοποίηση επιτρέπεται, κατά τα λοιπά, βάσει του νόμου.

31. Ο Privacy Commissioner μπορεί να υποβάλει καταγγελία εάν είναι πεπεισμένος ότι συντρέχουν βάσιμοι λόγοι διερεύνησης του ζητήματος δυνάμει του Privacy Act και έχει ευρείες εξουσίες διερεύνησης οποιασδήποτε καταγγελίας. Επιπλέον, ο Privacy Commissioner μπορεί να εξετάζει καταγγελίες που υποβάλλονται από τις αρχές προστασίας δεδομένων (ΑΠΔ) οποιουδήποτε κράτους μέλους της Ευρωπαϊκής Ένωσης (ΕΕ) εξ ονόματος ευρωπαίου πολίτη, στο βαθμό που αυτός ο πολίτης έχει εξουσιοδοτήσει την ΑΠΔ να ενεργεί εξ ονόματός του και πιστεύει ότι η καταγγελία του για την προστασία δεδομένων όσον αφορά πληροφορίες API και PNR δεν εξετάστηκε ικανοποιητικά από το CBSA, όπως ορίζεται στο ανωτέρω σημείο 30. Ο Privacy Commissioner κοινοποιεί τα συμπεράσματά του και συμβουλεύει την/τις οικεία(-ες) ΑΠΔ για τα τυχόν μέτρα που θα λάβουν.

32. Ο Privacy Commissioner έχει επίσης ειδικές εξουσίες να διερευνά το βαθμό στον οποίο οι υπηρεσίες και τα γραφεία της καναδικής κυβέρνησης συμμορφώνονται με τον Privacy Act όσον αφορά τη συλλογή, την τήρηση, τη χρήση, τη δημοσιοποίηση και τη διαβίβαση πληροφοριών προσωπικού χαρακτήρα.

Ασφάλεια των πληροφοριών

33. Πρόσβαση στο σύστημα PAXIS παρέχεται μόνο σε περιορισμένο αριθμό "στοχοθετών" ή υπαλλήλων των υπηρεσιών πληροφοριών του CBSA που βρίσκονται σε μονάδες "στοχοθέτησης" επιβατών στα καναδικά περιφερειακά γραφεία και στα κεντρικά γραφεία του CBSA στην Οτάβα, στον Καναδά. Οι υπάλληλοι αυτοί συνδέονται στο σύστημα PAXIS σε ασφαλείς χώρους εργασίας στους οποίους δεν έχει πρόσβαση το κοινό.

34. Οι υπάλληλοι, για να συνδεθούν στο σύστημα PAXIS, πρέπει να χρησιμοποιήσουν δύο διαφορετικούς κωδικούς σύνδεσης, οι οποίοι να περιέχουν αναγνωριστικό χρήστη και κωδικό πρόσβασης που παρέχονται από το σύστημα. Ο πρώτος κωδικός σύνδεσης παρέχει πρόσβαση στο τοπικό δίκτυο [Local Area Network (LAN)] του CBSA, ενώ ο δεύτερος κωδικός παρέχει πρόσβαση στην πλατφόρμα Integrated Customs System (ολοκληρωμένο τελωνειακό σύστημα), η οποία με τη σειρά της παρέχει πρόσβαση στην εφαρμογή PAXIS. Η πρόσβαση στο δίκτυο του CBSA και σε κάθε δεδομένο που περιέχεται στο σύστημα PAXIS υπόκειται σε αυστηρό έλεγχο και χορηγείται μόνο σε επιλεγμένη ομάδα χρηστών· κάθε αναζήτηση και αναθεώρηση των δεδομένων επιβατών του συστήματος ελέγχεται. Το αρχείο ελέγχου που δημιουργείται περιλαμβάνει το όνομα του χρήστη, τον τόπο εργασίας του χρήστη, την ημερομηνία και την ώρα της πρόσβασης, καθώς και τον αριθμό του φακέλου PNR για τις πληροφορίες που αναζητήθηκαν. Το CBSA περιορίζει επίσης την πρόσβαση σε συγκεκριμένα στοιχεία δεδομένων API και PNR στο πλαίσιο του συστήματος βάσει του "απαραίτητου" χαρακτήρα τους (είδος/προφίλ χρήστη). Αυτές οι μορφές ελέγχου της πρόσβασης διασφαλίζουν ότι η πρόσβαση στις πληροφορίες API και PNR παρέχεται μόνο στα πρόσωπα που αναφέρονται στο σημείο 33, για τους σκοπούς του σημείου 2.

35. Η προσπέλαση, η χρήση και η δημοσιοποίηση πληροφοριών API και PNR διέπονται από τον Privacy Act, τον Access to Information Act καθώς και το σημείο 107 του Customs Act και τη διοικητική πολιτική που περιγράφεται στο σημείο 37 της παρούσας συγγραφής υποχρεώσεων, όπου αντανακλώνται η προστασία και τα εχέγγυα που αναφέρονται στο παρόν έγγραφο. Το σημείο 160 του Customs Act και οι εσωτερικοί κώδικες δεοντολογίας προβλέπουν ποινικές και άλλες κυρώσεις σε περίπτωση που οι εν λόγω πολιτικές δεν τηρούνται και, όπως προαναφέρεται, ο Privacy Commissioner έχει την εξουσία δυνάμει του Privacy Act να ξεκινήσει έρευνα όσον αφορά τη δημοσιοποίηση πληροφοριών προσωπικού χαρακτήρα.

36. Η πολιτική του CBSA για τη δημοσιοποίηση του PNR ορίζει τις διαδικασίες που πρέπει να ακολουθούνται από όλους τους υπαλλήλους της που έχουν πρόσβαση στις πληροφορίες API και PNR. Η πολιτική του CBSA αποβλέπει στην προστασία της εμπιστευτικότητας των πληροφοριών και στην επίτευξη αυτής της προστασίας σύμφωνα με τις αρμόδιες αρχές που προβλέπει η καναδική νομοθεσία, καθώς και με τις πολιτικές του CBSA και της καναδικής κυβέρνησης οι οποίες αφορούν τη διαχείριση και την ασφάλεια των πληροφοριών, όπως αναφέρεται στο σημείο 38.

37. Η πολιτική του CBSA για τη δημοσιοποίηση του PNR προβλέπει τα εξής:

α) ένας υπάλληλος δύναται να δημοσιοποιεί, να επιτρέπει την πρόσβαση ή να χρησιμοποιεί πληροφορίες API και PNR μόνο όταν έχει σχετική άδεια από το νόμο και στο πλαίσιο της πολιτικής·

β) οι υπάλληλοι λαμβάνουν όλα τα απαραίτητα μέτρα ώστε να διασφαλίζεται ότι δημοσιοποιούνται σε τρίτους μόνο ουσιώδεις πληροφορίες·

γ) οι πληροφορίες δημοσιοποιούνται μόνο για συγκεκριμένο επιτρεπόμενο σκοπό και περιορίζονται στις απολύτως απαραίτητες για το σκοπό αυτό πληροφορίες·

δ) επιτρέπεται η παροχή ή η πρόσβαση των πληροφοριών μόνο σε πρόσωπα που πρέπει να λάβουν γνώση τους για επιχειρησιακούς λόγους· και

ε) με την επιφύλαξη του Privacy Act, του Access to Information Act και του National Archives Act, οποιαδήποτε δημοσιοποιούμενη πληροφορία καταστρέφεται ή επιστρέφεται μετά τη χρήση της, σύμφωνα με τις πολιτικές διαχείρισης των πληροφοριών που ακολουθεί το CBSA και το Treasury Board of Canada (καναδικό Δημόσιο Ταμείο).

38. Η πολιτική του CBSA για τη δημοσιοποίηση του PNR εντάσσεται σε αρκετές πολιτικές του CBSA σχετικά με την προστασία και τη διαχείριση των πληροφοριών που συλλέγονται στο πλαίσιο των διαφόρων καθεστώτων που διαχειρίζεται το CBSA. Επιπροσθέτως, όλοι οι υπάλληλοι του CBSA δεσμεύονται από τις πολιτικές της κυβέρνησης του Καναδά για την ασφάλεια όσον αφορά την προστασία των ηλεκτρονικών συστημάτων και την προστασία των δεδομένων [3].

39. Όλοι οι υπάλληλοι του CBSA γνωρίζουν τις πολιτικές αυτές και τις συνέπειες της μη συμμόρφωσης. Η τήρηση των εν λόγω πολιτικών αποτελεί προϋπόθεση για την ανάληψη της θέσης εργασίας τους.

Αμοιβαιότητα

40. Ο νόμος για τον τομέα της αεροναυτιλίας (Aeronautics Act) επιτρέπει στους καναδικούς αερομεταφορείς που πραγματοποιούν πτήσεις από οποιονδήποτε προορισμό ή σε οποιουσδήποτε αερομεταφορείς που πραγματοποιούν πτήσεις από τον Καναδά να παρέχουν σε άλλο κράτος πληροφορίες σχετικά με πρόσωπα που επιβαίνουν στις υπό εξέταση πτήσεις με κατεύθυνση το κράτος αυτό, εφόσον η νομοθεσία του εν λόγω κράτους απαιτεί την παροχή αυτών των πληροφοριών.

41. Σε περίπτωση που η Ευρωπαϊκή Κοινότητα, η Ευρωπαϊκή Ένωση ή οποιοδήποτε κράτος μέλος της αποφασίσει να εγκρίνει σύστημα ταυτοποίησης επιβατών αεροπορικών μεταφορών και θεσπίσει νομοθεσία που να απαιτεί από όλους τους αερομεταφορείς να παρέχουν στις ευρωπαϊκές αρχές πρόσβαση σε δεδομένα API και PNR για πρόσωπα των οποίων το δρομολόγιο του ταξιδιού τους περιλαμβάνει πτήση προς την Ευρωπαϊκή Ένωση, το σημείο 4.83 του Aeronautics Act επιτρέπει στους αερομεταφορείς να ικανοποιούν αυτή την απαίτηση.

Αναθεώρηση και λήξη ισχύος της συγγραφής υποχρεώσεων

42. Η παρούσα συγγραφή υποχρεώσεων εφαρμόζεται για περίοδο τριών ετών και έξι μηνών (3,5 ετών), ξεκινώντας από την ημερομηνία κατά την οποία αρχίζει να ισχύει μια συμφωνία μεταξύ του Καναδά και της Ευρωπαϊκής Κοινότητας, η οποία επιτρέπει την επεξεργασία δεδομένων API και PNR από αερομεταφορείς με σκοπό τη διαβίβαση αυτών των δεδομένων στο CBSA, σύμφωνα με την οδηγία. Μετά την πάροδο δύο ετών και έξι μηνών (2,5 ετών) εφαρμογής της παρούσας συγγραφής υποχρεώσεων, το CBSA προβαίνει σε συνομιλίες με την Επιτροπή με σκοπό την παράταση της ισχύος της συγγραφής υποχρεώσεων και κάθε ενδεχόμενης συναφούς διάταξης, με όρους αποδεκτούς και για τα δύο μέρη. Εάν καμία αποδεκτή και από τα δύο μέρη συμφωνία δεν επιτευχθεί πριν από την ημερομηνία λήξης της ισχύος της παρούσας συγγραφής υποχρεώσεων, αυτή παύει να ισχύει για οποιοδήποτε δεδομένο συλλεχθεί από τη στιγμή εκείνη και μετά. Τα δεδομένα που συλλέγονται κατά τη διάρκεια ισχύος της συγγραφής υποχρεώσεων εξακολουθούν να προστατεύονται από τις παρούσες διατάξεις έως ότου κάθε τέτοιο δεδομένο διαγραφεί.

43. Το CBSA ανταποκρίνεται στην παρούσα συγγραφή υποχρεώσεων με την εφαρμογή του ισχύοντος καναδικού δικαίου ή, στις περιπτώσεις που δεν καλύπτονται ήδη από την καναδική νομοθεσία, με κανονισμούς που καταρτίζονται ειδικά για το σκοπό αυτό.

[1] Οι παράγραφοι 3 (a) έως (f) περιλαμβάνουν τα ακόλουθα στοιχεία API: (a) το επώνυμο, το όνομα και τυχόν άλλα ονόματα του προσώπου· (b) την ημερομηνία γέννησης· (c) το φύλο· (d) την ιθαγένεια ή την υπηκοότητα· (e) το είδος του ταξιδιωτικού εγγράφου που ταυτοποιεί το πρόσωπο, το όνομα της χώρας στην οποία εκδόθηκε το ταξιδιωτικό έγγραφο και τον αριθμό του ταξιδιωτικού εγγράφου· (f) τον τυχόν αριθμό του φακέλου κράτησης και, σε περίπτωση ατόμου που επιβαίνει σε εμπορικό μεταφορικό μέσο ή σε περίπτωση οποιουδήποτε άλλου μέλους του πληρώματος χωρίς αριθμό φακέλου κράτησης, κοινοποίηση του καθεστώτος τους ως μελών του πληρώματος.

[2] Αυτός ο νόμος ορίζει τις διατυπώσεις που πρέπει να τηρούνται πριν από την καταστροφή κρατικών αρχείων.

[3] Στις πολιτικές αυτές περιλαμβάνονται η Government Security Policy, που δημοσιεύθηκε από τη Γραμματεία του Treasury Board of Canada την 1η Φεβρουαρίου 2002, και η Operational Security Standard: Management of Information Technology Security (MITS), που δημοσιεύθηκε από τη Γραμματεία του Treasury Board of Canada στις 31 Μαΐου 2004.

--------------------------------------------------

ΣΥΝΗΜΜΕΝΟ "Α"

ΣΤΟΙΧΕΙΑ ΔΕΔΟΜΕΝΩΝ PNR ΠΟΥ ΖΗΤΑ ΤΟ CBSA ΑΠΟ ΤΙΣ ΑΕΡΟΠΟΡΙΚΕΣ ΕΤΑΙΡΕΙΕΣ

1. Ονοματεπώνυμο

2. Δεδομένα API

3. Αριθμός φακέλου PNR

4. Προβλεπόμενη ημερομηνία ταξιδιού

5. Ημερομηνία κράτησης της θέσης

6. Ημερομηνία έκδοσης του εισιτηρίου

7. Ταξιδιωτικό πρακτορείο

8. Ταξιδιωτικός πράκτορας

9. Στοιχεία τηλεφωνικής επικοινωνίας

10. Διεύθυνση χρέωσης

11. Πληροφορίες για όλους τους τρόπους πληρωμής

12. Πληροφορίες για συχνούς ταξιδιώτες

13. Πληροφορίες σχετικά με την έκδοση των εισιτηρίων

14. Αριθμός εισιτηρίου

15. Διαχωρισμένα/κατανεμημένα δεδομένα PNR

16. Επιβάτης τελευταίας στιγμής χωρίς κράτηση

17. Περιπτώσεις μη εμφάνισης του επιβάτη

18. Πληροφορίες για το πλήρες δρομολόγιο του ταξιδιού

19. Πληροφορίες για πρόσωπα που έχουν κάνει κράτηση της τελευταίας στιγμής

20. Άλλα ονόματα στο PNR

21. Σειρά κατά των έλεγχο εισιτηρίων

22. Αριθμοί επισήμανσης των αποσκευών

23. Πληροφορίες σχετικά με τη θέση

24. Αριθμός θέσης

25. Εισιτήρια μονής κατεύθυνσης

--------------------------------------------------