Beschikking van de Commissie

van 6 september 2005

over de passende bescherming van persoonsgegevens in het "Passenger Name Record" (PNR) van vliegtuigpassagiers die aan de "Canada Border Services Agency" worden doorgegeven

(Kennsigeving geschied onder nummer C(2005) 3248)

(Voor de EER relevante tekst)

(2006/253/EG)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [1], en met name op artikel 25, lid 6,

Overwegende hetgeen volgt:

(1) Krachtens Richtlijn 95/46/EG moeten de lidstaten garanderen dat persoonsgegevens slechts naar een derde land worden doorgegeven indien dat land een passend beschermingsniveau waarborgt en de wetgeving van de betrokken lidstaat die is vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, al vóór de doorgifte wordt nageleefd.

(2) De Commissie kan vaststellen dat een derde land waarborgen voor een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens zonder aanvullende garanties door de lidstaten worden doorgegeven.

(3) Volgens Richtlijn 95/46/EG moet bij de beoordeling van het gegevensbeschermingsniveau rekening worden gehouden met alle omstandigheden waarin een gegevensdoorgifte of een categorie gegevensdoorgiften plaatsvindt en in het bijzonder met een aantal in artikel 25, lid 2, van de richtlijn opgenomen elementen die van belang zijn voor de doorgifte.

(4) In het kader van het luchtverkeer is het "Passenger Name Record" (PNR) een bestand met de reisgegevens van elke passagier, dat alle informatie bevat die de boekende en de deelnemende luchtvaartmaatschappijen nodig hebben om reserveringen te kunnen verwerken en controleren [2]. In deze beschikking omvatten de termen "passagier" en "passagiers" ook de bemanningsleden. Onder "boekende maatschappij" wordt de luchtvaartmaatschappij verstaan waarbij de passagier zijn oorspronkelijke boeking heeft gedaan of waarbij na het begin van de reis verdere boekingen zijn gedaan. Onder "deelnemende maatschappijen" wordt elke luchtvaartmaatschappij verstaan waarbij door de boekende maatschappij voor een passagier een plaats op een of meer vluchten is gereserveerd.

(5) De "Canada Border Services Agency" (CBSA) eist van elke luchtvaartmaatschappij die passagiersvluchten naar Canada verzorgt elektronische toegang tot PNR-gegevens, voorzover deze zijn verzameld en in de geautomatiseerde boekings- en vertrekcontrolesystemen van de betrokken luchtvaartmaatschappij zijn opgeslagen.

(6) De eis van de doorgifte van de passagiersgegevens uit het PNR aan de CBSA stoelt op artikel 107.1 van de "Customs Act" (douanewetgeving) en artikel 148(d) van de "Immigration and Refugee Protection Act" (wet op de immigratie en de bescherming van vluchtelingen) en op uitvoeringsbesluiten daarvan [3].

(7) Deze Canadese wetgeving betreft een verhoging van de veiligheid en de voorwaarden voor toegang tot het land, aangelegenheden waarvoor Canada soeverein besluiten kan treffen. Voorts zijn de vastgestelde voorschriften niet in strijd met enige internationale verplichting die door Canada is aangegaan. Canada is een democratisch land en een rechtsstaat met een lange traditie van burgerlijke vrijheden. De legitimiteit van de wetgevingsprocedures en de capaciteit en onafhankelijkheid van het rechtsstelsel in Canada staan niet ter discussie. Daarnaast is ook de persvrijheid een sterke garantie tegen elk misbruik van de burgerlijke vrijheden.

(8) Binnen de grenzen van de communautaire wetgeving steunt de Gemeenschap Canada ten volle in de strijd tegen het terrorisme. De communautaire wetgeving streeft naar een evenwicht tussen veiligheidseisen en het respect voor het privé-leven. Volgens artikel 13 van Richtlijn 95/46/EG kunnen de lidstaten bijvoorbeeld wettelijke maatregelen nemen om de reikwijdte van bepaalde voorschriften van de richtlijn te beperken, waar dit nodig is om redenen van nationale veiligheid, defensie, openbare veiligheid en met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten.

(9) De bedoelde doorgifte van gegevens betreft specifieke controle-instanties, zoals luchtvaartmaatschappijen die tussen de Gemeenschap en Canada vliegen, en slechts één ontvanger in Canada, de CBSA.

(10) Elke regeling die een wettelijk kader creëert voor de doorgifte van PNR-gegevens naar Canada, met name via deze beschikking, moet een beperkte looptijd hebben. Er is een periode van drie en een half jaar overeengekomen. Tijdens deze periode kan de situatie ingrijpend veranderen en de Gemeenschap en Canada zijn het erover eens dat de regeling zal moeten worden herzien.

(11) Voor de verwerking door de CBSA van de doorgegeven passagiersgegevens uit het PNR gelden de voorwaarden die zijn neergelegd in de Verbintenissen van de CBSA in verband met de toepassing van het PNR-programma (hierna de "verbintenissen" genoemd) en in de nationale wetgeving van Canada waarnaar in deze verbintenissen wordt verwezen.

(12) Wat de nationale wetgeving van Canada betreft, zijn de "Privacy Act", de "Access to Information Act" en afdeling 107 van de "Customs Act" in deze context in zoverre van belang dat daarin de voorwaarden zijn vastgesteld waaronder de CBSA verzoeken om openbaarmaking kan weigeren en zo het vertrouwelijke karakter van het PNR kan garanderen. De "Privacy Act" regelt de openbaarmaking van de PNR-gegevens aan de betrokkene, tegelijk met het recht van toegang van de betrokkene. De "Privacy Act" is alleen van toepassing voor personen die in Canada aanwezig zijn. Daarnaast garandeert de CBSA aan onderdanen van een ander land echter de toegang tot hun PNR-gegevens ook als zij niet in Canada aanwezig zijn.

(13) Zoals bepaald in punt 43 van de verbintenissen, zijn de bepalingen ervan opgenomen in hetzij de bestaande Canadese wetgeving, hetzij speciaal daartoe opgestelde interne regelingen. Bijgevolg hebben zij kracht van wet. De verbintenissen worden in extenso gepubliceerd in de "Canada Gazette". Zij getuigen van een ernstig en goed doordacht politiek engagement van de CBSA en de naleving ervan zal door de Gemeenschap en Canada gezamenlijk worden geëvalueerd. Tegen niet-naleving kan eventueel worden opgetreden met wettelijke, administratieve en politieke middelen; bij voortdurende niet-naleving kunnen de effecten van deze beschikking worden opgeschort.

(14) De normen die de CBSA bij het verwerken van PNR-gegevens op basis van de Canadese wetgeving en de verbintenissen zal hanteren, voldoen aan de basiseisen voor een passend beschermingsniveau voor natuurlijke personen.

(15) Wat het beginsel van de gebruiksbeperking betreft, zullen de passagiersgegevens uit het PNR die aan de CBSA worden doorgegeven, voor een specifiek doel worden gebruikt en daarna alleen nog worden aangewend of medegedeeld voorzover dit niet onverenigbaar is met het doel van de doorgifte. Meer bepaald zullen PNR-gegevens uitsluitend worden gebruikt ter preventie en bestrijding van terrorisme en verwante misdrijven en andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn.

(16) Wat de gegevenskwaliteit en het evenredigheidsbeginsel betreft, die moeten worden gezien in het licht van de belangrijke redenen van openbaar belang waarom PNR-gegevens worden doorgegeven, zij opgemerkt dat deze gegevens na doorgifte aan de CBSA door deze dienst achteraf niet zullen worden gewijzigd. Maximaal 25 PNR-gegevenscategorieën zullen aan de CBSA worden doorgegeven. De CBSA zal met de Europese Commissie afspraken maken over een herziening van de 25 verplichte PNR-gegevens in aanhangsel A, alvorens deze herziening door te voeren. Aanvullende persoonsgegevens die in direct verband met PNR-gegevens nodig worden geacht, worden alleen via legale weg uit andere dan overheidsbronnen verkregen. In de regel worden de PNR-gegevens na maximaal drie jaar en zes maanden vernietigd.

(17) Wat het transparantiebeginsel betreft, zal de CBSA de reizigers van het doel van de doorgifte en verwerking van de gegevens en van de identiteit van de voor de verwerking verantwoordelijke op de hoogte stellen en hun ook andere informatie verstrekken.

(18) Wat het beveiligingsprincipe betreft, neemt de CBSA technische en organisatorische beveiligingsmaatregelen die in verhouding staan tot de aan de verwerking van de gegevens inherente risico's.

(19) Het recht van toegang, rectificatie en aantekening wordt in de "Privacy Act" gegarandeerd voor personen die in Canada aanwezig zijn. De CBSA zal deze rechten voor PNR-gegevens die zij in haar bezit heeft, uitbreiden tot buitenlanders die niet in Canada aanwezig zijn. De uitzonderingen waarin is voorzien, zijn grotendeels vergelijkbaar met de beperkingen die door de lidstaten overeenkomstig artikel 13 van Richtlijn 95/46/EG kunnen worden opgelegd.

(20) Verdere doorgifte naar andere overheidsinstanties, inclusief die in het buitenland, geschiedt van geval tot geval, voor doeleinden die identiek zijn met of aansluiten bij hetgeen in de verklaring over de gebruiksbeperking is aangegeven, en voor een minimumaantal gegevens. Doorgifte is ook mogelijk ter bescherming van de vitale belangen van de betrokkene of van andere personen, meer bepaald wanneer het gaat om belangrijke gezondheidsrisico's, gerechtelijke procedures, of andere bij wet vastgestelde gevallen. De ontvangende instanties zijn expliciet gebonden door de voorwaarden voor vrijgave; zij mogen de gegevens alleen voor het beoogde doel gebruiken en de gegevens niet verder doorgeven zonder toestemming van de CBSA. Andere buitenlandse, federale, provinciale of lokale instanties dan de CBSA hebben geen rechtstreekse elektronische toegang tot de PNR-gegevens via de CBSA-gegevensbanken. Openbare bekendmaking van PNR-gegevens zal door de CBSA worden geweigerd op grond van ontheffingen van de relevante bepalingen van de "Access to Information Act" en de "Privacy Act".

(21) De CBSA ontvangt geen gevoelige gegevens in de zin van artikel 8 van Richtlijn 95/46/EG.

(22) Wat de handhavingsmechanismen ter waarborging van de naleving van deze beginselen door de CBSA betreft, is voorzien in opleiding en voorlichting voor het personeel van deze dienst, alsook in sancties voor individuele personeelsleden. Op het respect van het CBSA voor het privé-leven in het algemeen wordt toegezien door het onafhankelijke "Office of the Canadian Privacy Commissioner" volgens de in het Canadese handvest van rechten en vrijheden ("Canadian Charter of Rights and Freedoms") en de "Privacy Act" vastgestelde voorwaarden. De "Privacy Commissioner" kan klachten behandelen die door de gegevensbeschermingsautoriteiten van de lidstaten namens een burger van de Gemeenschap bij hem worden ingediend, indien de burger van oordeel is dat zijn klacht door de CBSA niet correct is behandeld. De naleving van de verbintenissen zal elk jaar door de CBSA en een team onder leiding van de Commissie gemeenschappelijk worden geëvalueerd.

(23) In het belang van de transparantie en om de bevoegde autoriteiten in de lidstaten in staat te stellen de bescherming van personen in verband met de verwerking van hun persoonsgegevens te waarborgen, is het noodzakelijk de uitzonderlijke omstandigheden te specificeren die tot een opschorting van de doorgifte van gegevens kunnen leiden, ook al is er een passend beschermingsniveau vastgesteld.

(24) De Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van Richtlijn 95/46/EG is opgericht, heeft adviezen gegeven over het door de Canadese autoriteiten voor passagiersgegevens geboden beschermingsniveau, waarop de Commissie zich tijdens de onderhandelingen met de CBSA heeft gebaseerd. De Commissie heeft bij de voorbereiding van deze beschikking met deze adviezen rekening gehouden [4].

(25) De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31, lid 1, van Richtlijn 95/46/EG ingestelde comité,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

Artikel 1

In de zin van artikel 25, lid 2, van Richtlijn 95/46/EG wordt ervan uitgegaan dat de Canadese "Customs Border Services Agency" (hierna CBSA) een passend beschermingsniveau overeenkomstig de verbintenissen in de bijlage biedt voor PNR-gegevens die vanuit de Gemeenschap met betrekking tot vluchten van en naar Canada worden doorgegeven.

Artikel 2

Deze beschikking heeft betrekking op het passende karakter van de bescherming die door de CBSA wordt geboden om aan de vereisten van artikel 25, lid 1, van Richtlijn 95/46/EG te voldoen en laat andere voorwaarden of beperkingen tot uitvoering van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben, onverlet.

Artikel 3

1. Zonder afbreuk te doen aan hun bevoegdheden om maatregelen te nemen ter uitvoering van nationale bepalingen die zijn goedgekeurd ingevolge andere bepalingen dan artikel 25 van Richtlijn 95/46/EG, kunnen de bevoegde autoriteiten in de lidstaten gebruik maken van hun bestaande bevoegdheden om gegevensstromen naar de CBSA te onderbreken, teneinde personen ten aanzien van de verwerking van hun persoonsgegevens te beschermen in de gevallen waarin:

a) een bevoegde Canadese autoriteit tot de conclusie is gekomen dat de CBSA in strijd met de toepasselijke normen voor gegevensbescherming handelt; of

b) het zeer waarschijnlijk is dat niet aan de in de bijlage vastgestelde normen voor gegevensbescherming wordt voldaan, er goede redenen zijn om aan te nemen dat de CBSA niet tijdig passende maatregelen neemt of zal nemen om het desbetreffende probleem op te lossen, de voortzetting van de doorgifte een imminent gevaar voor ernstige schade aan de betrokkene inhoudt en de bevoegde autoriteiten in de lidstaat redelijke inspanningen in deze situatie hebben geleverd om de CBSA in kennis te stellen en de gelegenheid te geven te reageren.

2. De opschortende maatregel blijft van kracht totdat vaststaat dat de beschermingsnormen worden nageleefd en de bevoegde autoriteiten van de betrokken lidstaten hiervan in kennis zijn gesteld.

Artikel 4

1. De lidstaten stellen de Commissie onverwijld in kennis wanneer op grond van artikel 3 maatregelen worden genomen.

2. De lidstaten en de Commissie brengen elkaar op de hoogte van iedere verandering in de normen voor gegevensbescherming en van de gevallen waarin de instanties die verantwoordelijk zijn voor de naleving door de CBSA van de in de bijlage vastgestelde beschermingsnormen, niet in staat zijn deze naleving te garanderen.

3. Wanneer uit de overeenkomstig artikel 3 en de leden 1 en 2 van dit artikel verzamelde informatie blijkt dat de grondbeginselen voor een passend beschermingsniveau voor natuurlijke personen niet langer vervuld zijn, of dat een instantie die verantwoordelijk is voor de naleving door de CBSA van de in de bijlage vastgestelde beschermingsnormen, haar taak niet naar behoren vervult, wordt de CBSA hiervan in kennis gesteld en indien nodig wordt de in artikel 31, lid 2, van Richtlijn 95/46/EG vastgestelde procedure van kracht om deze beschikking in te trekken of op te schorten.

Artikel 5

De werking van deze beschikking wordt geëvalueerd en alle relevante vaststellingen worden medegedeeld aan het bij artikel 31 van Richtlijn 95/46/EG ingestelde comité; dit geldt ook voor alle gegevens die van invloed kunnen zijn op de bevinding in artikel 1 van deze beschikking, dat de bescherming van in het PNR van passagiers opgenomen persoonsgegevens die aan de CBSA worden doorgegeven passend is in de zin van artikel 25 van Richtlijn 95/46/EG.

Artikel 6

De lidstaten nemen alle noodzakelijke maatregelen om aan de vereisten van deze beschikking te voldoen binnen een termijn van vier maanden na de kennisgeving ervan.

Artikel 7

Deze beschikking loopt 3 jaar en 6 maanden na haar kennisgeving af, tenzij zij overeenkomstig de procedure van artikel 31, lid 2, van Richtlijn 95/46/EG wordt verlengd.

Artikel 8

Deze beschikking is gericht tot de lidstaten.

Gedaan te Brussel, 6 september 2005.

Voor de Commissie

Franco Frattini

Vicevoorzitter

[1] PB L 281 van 23.11.1995, blz. 31. Richtlijn als gewijzigd bij Verordening (EG) nr. 1882/2003 (PB L 284 van 31.10.2003, blz. 1).

[2] In deze beschikking omvat de term "PNR" ook de op voorhand verstrekte passagiersgegevens ("Advance Passenger Information" API) van punt 4 van de verbintenissen van de CBSA.

[3] "Passenger Information (Customs) Regulations" en "Regulation 269" van de "Immigration and Refugee Protection Regulations".

[4] Advies 3/2004 over het in Canada voor de doorgifte door luchtvaartmaatschappijen van passagiersgegevens (PNR/API) gewaarborgde beschermingsniveau, goedgekeurd door de Groep op 11 februari 2004, beschikbaar op het volgende adres: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp88_en.pdf.Advies 1/2005 over het in Canada voor de doorgifte door luchtvaartmaatschappijen van passagiersgegevens (PNR/API) gewaarborgde beschermingsniveau, goedgekeurd door de Groep op 19 januari 2005, beschikbaar op het volgende adres: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp103_en.pdf.

--------------------------------------------------

BIJLAGE

VERBINTENISSEN VAN DE "CUSTOMS BORDER SERVICE AGENCY" IN VERBAND MET DE TOEPASSING VAN HET PNR-PROGRAMMA

Wettelijke bevoegdheid om API- en PNR-gegevens te verzamelen

1. De Canadese wetgeving verplicht alle luchtvaartmaatschappijen de Customs Border Service Agency (CBSA) "Advance Passenger Information" (API-) en "Passenger Name Record" (PNR-) gegevens te verstrekken over alle passagiers op vluchten naar Canada. De rechtsgronden voor het inzamelen van deze gegevens door de CBSA zijn in artikel 107.1 van de "Customs Act" en, in het kader daarvan, de "Passenger Information (Customs) Regulations", en in artikel 148(1)(d) van de "Immigration and Refugee Protection Act" en, in het kader daarvan, "Regulation 269" van de "Immigration and Refugee Protection Regulations" neergelegd.

Doel waarvoor API- en PNR-gegevens worden verzameld

2. API- en PNR-gegevens worden door de CBSA alleen verzameld voor vluchten die in Canada aankomen. De CBSA zal de API- en PNR-gegevens van Europese en andere luchtvaartmaatschappijen alleen gebruiken voor het identificeren van personen bij wie het gevaar bestaat dat zij goederen invoeren die verband houden met terrorisme of verwante misdrijven of met andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn, of van personen die om reden van een mogelijke betrokkenheid bij terrorisme of bij genoemde misdrijven geen toegang kunnen krijgen tot Canada.

3. De API- en PNR-gegevens worden door de CBSA gebruikt om gericht te zoeken naar personen die bij aankomst in Canada nader ondervraagd of onderzocht zullen worden, of voor wie voor een van de in punt 2 beschreven doelstellingen nader onderzoek vereist is. Er zullen door de CBSA of andere Canadese politieambtenaren geen rechtshandhavingsmiddelen worden gebruikt alleen op grond van de automatische verwerking van API- en PNR-gegevens.

Verzamelde API- en PNR-gegevens

4. De lijst van API-gegevenselementen die door de CBSA voor de in punt 2 genoemde doelstellingen worden verzameld, staat vermeld in de artikelen 3(a) tot (f) van de "Passenger Information (Customs) Regulations" in het kader van de "Customs Act" [1]. De lijst van PNR-gegevens die door de CBSA voor de in punt 2 genoemde doelstellingen worden verzameld, staat vermeld in aanhangsel A. Om de zekerheid te vergroten, worden "gevoelige gegevens" in de zin van artikel 8, lid 1, van Richtlijn 95/46/EG (hierna "de richtlijn" genoemd) en alle "open" of "vrije-tekst"-velden niet opgenomen in deze reeks van 25 gegevens.

5. De CBSA zal van een luchtvaartmaatschappij niet verlangen dat zij PNR-gegevens verzamelt die zij niet al voor eigen doeleinden verzamelt, noch dat zij ten behoeve van de CBSA aanvullende gegevens verzamelt. De CBSA zal de gegevens in aanhangsel A derhalve alleen verzamelen voorzover de luchtvaartmaatschappij besloten heeft deze in haar geautomatiseerde boekings- en vertrekcontrolesystemen op te slaan.

6. De CBSA zal met de Europese Commissie afspraken maken over een herziening van de 25 verplichte PNR-gegevens in aanhangsel A, alvorens deze herziening door te voeren,

(a) indien de CBSA kennis krijgt van een extra PNR-gegeven dat beschikbaar kan zijn en zij van oordeel is dat dit gegeven voor de in punt 2 uiteengezette doelstellingen noodzakelijk is; of

(b) indien de CBSA op enig ogenblik tot de bevinding komt dat een bepaald PNR-gegeven niet langer noodzakelijk is voor de in punt 2 uiteengezette doelstellingen.

Methode voor toegang tot de API- en PNR-gegevens

7. Het "Passenger Information System" van de CBSA (hierna "PAXIS" genoemd) is ontworpen om API- en PNR-gegevens van de luchtvaartmaatschappijen te ontvangen, die deze via de "push transfer"-methode verstrekken.

Bewaren van en toegang tot API- en PNR-gegevens

8. Indien de API- en PNR-gegevens betrekking hebben op een persoon tegen wie in Canada een onderzoek loopt in verband met een in punt 2 genoemd doel, worden zij in het PAXIS-systeem maximaal drie en een half jaar bewaard. Tijdens deze periode zullen de gegevens op een toenemend anonieme manier worden opgeslagen, als volgt:

(a) Vanaf de ontvangst tot 72 uur daarna is alle beschikbare API- en PNR-informatie alleen toegankelijk voor een beperkt aantal CBSA-opsporings- en -veiligheidsambtenaren, met het oog op de selectie van personen die bij aankomst in Canada nader ondervraagd of onderzocht moeten worden in verband met een in punt 2 beschreven doel.

(b) Na afloop van de 72 uur en tot twee jaar na ontvangst worden de PNR-gegevens van een passagier in het PAXIS-systeem opgeslagen en zijn zij alleen toegankelijk voor CBSA-veiligheidsambtenaren die werkzaam zijn op een internationale luchthaven in Canada of op het nationale CBSA-hoofdkwartier in Ottawa. De naam van de persoon waarop de gegevens betrekking hebben blijft onzichtbaar voor deze ambtenaren, tenzij het noodzakelijk wordt voor een van de in punt 2 beschreven doelen een onderzoek in Canada te starten. De PNR-gegevens worden slechts dan weer gepersonaliseerd als de veiligheidsambtenaar redelijkerwijs van oordeel is dat de naam van de persoon noodzakelijk is om met het onderzoek verder te gaan. Tijdens deze periode wordt de anoniem gemaakte informatie door de informatieanalytici van de CBSA gebruikt voor het uitvoeren van trendanalysen en de ontwikkeling van toekomstige risico-indicatoren met betrekking tot de in punt 2 beschreven doelen.

(c) Na twee jaar na ontvangst worden de PNR-gegevens voor een extra periode van maximaal anderhalf jaar in het PAXIS-systeem opgeslagen, maar alle elementen die tot identificatie van de betrokkene zouden kunnen leiden, worden alleen na toestemming van de voorzitter van de CBSA zichtbaar voor een van de in punt 2 beschreven doelen. Tijdens deze periode wordt de anoniem gemaakte informatie door de informatieanalytici van de CBSA gebruikt voor het uitvoeren van trendanalysen en de ontwikkeling van toekomstige risico-indicatoren met betrekking tot de in punt 2 beschreven doelen.

(d) De API-gegevens worden in het PAXIS-systeem gescheiden van de PNR-gegevens opgeslagen. Zij worden in het PAXIS-systeem bewaard gedurende maximaal drie en een half jaar; tijdens deze periode worden de API-persoonsgegevens niet gebruikt om toegang te krijgen tot de PNR-gegevens over dezelfde persoon, tenzij het PNR-dossier opnieuw wordt gepersonaliseerd in de omstandigheden als beschreven in punt b.

9. Indien de API- en PNR-gegevens betrekking hebben op een persoon tegen wie in Canada een onderzoek loopt in verband met een van de in punt 2 genoemde doelen, worden zij in een CBSA-gegevensbank voor rechtshandhaving opgenomen. Deze gegevensbanken bevatten alleen informatie met betrekking tot personen tegen wie uit hoofde van de CBSA-wetgeving een onderzoek gaande is of rechtshandhavingsmiddelen zijn gebruikt. Tot deze gegevensbanken hebben alleen die CBSA-ambtenaren toegang wier opdracht dit noodzakelijk maakt; hierop wordt nauwgezet toegezien. De API- en PNR-gegevens die naar een dergelijke gegevensbank voor rechtshandhaving worden doorgegeven, blijven daarin niet langer dan nodig opgeslagen, in elk geval niet langer dan zes jaar; daarna worden zij vernietigd tenzij hun bewaring voor een extra periode vereist wordt door de "Privacy Act" of de "Access to Information Act", zoals uitgelegd in punt 10b.

10. Indien de CBSA gebruik maakt van persoonsgegevens om een besluit te treffen dat voor de belangen van de betrokkene gevolgen heeft, dan moeten deze gegevens door de CBSA voor een periode van 2 jaar te rekenen vanaf het gebruik worden opgeslagen om de betrokkene de kans te geven toegang te krijgen tot de gegevens op basis waarvan het besluit is getroffen. Deze termijn geldt niet wanneer de betrokkene toestemming geeft de gegevens eerder te verwijderen of wanneer een verzoek om inzage is ontvangen, totdat de betrokkene de kans heeft gehad al zijn rechten overeenkomstig de "Privacy Act" of de "Access to information Act" waar te nemen.

(a) Indien gegevens in de PAXIS-gegevensbank zijn opgeslagen, wordt de periode van twee jaar opgenomen in de maximale periode van drie en een halfjaar gedurende welke de gegevens in die gegevensbank worden bewaard.

(b) Indien gegevens in een gegevensbank voor rechtshandhaving worden bewaard, kunnen API- en PNR-gegevens indien noodzakelijk voor een periode van niet meer dan zes jaar worden bewaard voor gebruik door de CBSA als beschreven in punt 9, en vervolgens voor een aanvullende periode van maximaal twee jaar, waarin de betrokkene inzage in deze gegevens krijgt overeenkomstig de "Privacy Act" of de "Access to Information Act", maar zij voor administratief gebruik door de CBSA niet beschikbaar zijn.

11. Na het verstrijken van de bewaarperioden als beschreven in de punten 8 tot 10 worden de API- en PNR-gegevens vernietigd, overeenkomstig de bepalingen van de "National Archives Act" [2].

Vrijgave van API- en PNR-gegevens aan andere Canadese ministeries en organen

12. Elke vrijgave van API- en PNR-gegevens door de CBSA is geregeld in de "Privacy Act", de "Access to Information Act" en de eigen wetgeving van de CBSA. Hoewel de "Privacy Act" en de "Access to Information Act" het recht op toegang tot de gegevens verlenen, behoudens uitzonderingen en uitsluitingen, voorziet deze wetgeving niet in de verplichte vrijgave van API- en PNR-gegevens. Een toelichting van de administratieve praktijk van de CBSA inzake vrijgave van, toegang toe en gebruik van API- en PNR-gegevens, nl. Memorandum D-1-16-3, getiteld "Interim Administrative Guidelines for the Disclosure, Access to and Use of Passenger Name Record (PNR) Data", zal worden gepubliceerd en voor het publiek beschikbaar zijn op de website van de CBSA. Dit beleid, dat in punt 37 van deze verbintenissen verder wordt beschreven, voorziet in de mogelijkheid API- en PNR-gegevens mede te delen aan andere ministeries in Canada, uitsluitend voor de in punt 2 genoemde doelen, tenzij de vrijgave geschiedt om te voldoen aan een dagvaarding, aanhoudingsbevel of beschikking van een rechtbank, een andere persoon of een instantie in Canada die de bevoegdheid heeft om de vrijgave van deze gegevens te eisen, of met het oog op rechtsvervolging.

13. De API- en PNR-gegevens worden niet globaal vrijgegeven. De CBSA zal alleen van geval tot geval geselecteerde API- en PNR-gegevens vrijgeven, en alleen nadat zij de relevantie van de vrij te geven gegevens is nagegaan. Alleen die API/PNR-elementen waarvan duidelijk is aangetoond dat ze in de gegeven omstandigheden noodzakelijk zijn, zullen worden verstrekt. In alle gevallen zal zo min mogelijk informatie worden vrijgegeven.

14. De CBSA zal alleen dan API- en PNR-gegevens vrijgeven, indien de ontvangers zich ertoe verbinden de gegevens even goed te beschermen als de CBSA. Ontvangers van PNR-gegevens bij de Canadese overheid zijn ook gebonden door de voorschriften van de "Privacy Act", voorzover zij in de bijlage bij deze wet zijn opgenomen. De "Privacy Act" heeft betrekking op persoonsgegevens die een identificeerbare persoon betreffen, op enigerlei wijze zijn opgeslagen en onder de controle staan van een Canadees ministerie of orgaan dat aan de "Privacy Act" is onderworpen. Deze ministeries of organen mogen geen persoonsgegevens verzamelen tenzij dit rechtstreeks samenhangt met hun arbeidsprogramma of activiteiten.

15. De CBSA verlangt in de praktijk en voorafgaand aan vrijgave dat de Canadese federale of provinciale politiediensten zich ertoe verbinden zonder toestemming van de CBSA de ontvangen gegevens niet verder te geven, tenzij dit door de wet wordt voorgeschreven.

Vrijgave van API- en PNR-gegevens aan andere landen

16. De CBSA kan API- en PNR-gegevens doorgeven aan een buitenlandse regering, overeenkomstig een regeling of overeenkomst volgens onderafdeling 8(2) van de "Privacy Act" en onderafdeling 107(8) van de "Customs Act".

17. Dergelijke regelingen of overeenkomsten kunnen een memorandum van overeenstemming omvatten dat specifiek is ontworpen voor de doelstellingen van het PNR-programma van de CBSA, of een verdrag dat de CBSA-autoriteiten ertoe verplicht bijstand en informatie te verstrekken. In beide gevallen zal de informatie slechts worden doorgegeven voor een doel in overeenstemming met punt 2, en alleen indien het ontvangende land zich ertoe verbindt de informatie te beschermen overeenkomstig deze verbintenissen. In alle gevallen zal zo min mogelijk informatie aan het andere land worden verstrekt.

18. De in PAXIS opgeslagen API- en PNR-gegevens worden alleen doorgegeven aan een land waarvoor overeenkomstig de richtlijn een passend beschermingsniveau is vastgesteld of waarop de richtlijn van toepassing is.

19. API- en PNR-gegevens die in een gegevensbank voor rechtshandhaving als beschreven in punt 9 zijn opgenomen, kunnen worden doorgegeven in overeenstemming met verdragsverplichtingen in het kader van een douaneregeling voor wederzijdse bijstand ("Customs Mutual Assistance Agreement") of een regeling voor wederzijdse rechtsbijstand ("Mutual Legal Assistance Agreement"). In dit geval worden de API- en PNR-gegevens alleen van geval tot geval vrijgegeven en alleen indien de CBSA over bewijsmateriaal beschikt dat de aanvraag rechtstreeks in verband brengt met een onderzoek of de voorkoming van misdrijven als bedoeld in punt 2, en uitsluitend in die mate dat de verstrekte gegevens strikt noodzakelijk zijn voor het specifieke onderzoek in kwestie.

Vrijgave van API- en PNR-gegevens vanwege de bescherming van de vitale belangen van de betrokkene

20. Mits deze verbintenissen het toestaan, kan de CBSA API- en PNR-gegevens vrijgeven aan de desbetreffende Canadese en andere overheidsministeries en -organen indien deze vrijgave noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene of van andere personen, meer bepaald wanneer het gaat om belangrijke gezondheidsrisico’s.

Kennisgeving aan de betrokkene

21. De CBSA zal aan de passagiers informatie verstrekken over de API- en PNR-vereisten en over kwesties in verband met het gebruik van deze gegevens, m.i.v. algemene informatie over de bevoegdheid om deze gegevens te verzamelen, het doel van de verzameling, de bescherming van de gegevens, de manier waarop en de mate waarin de gegevens zullen worden doorgegeven, de identiteit van de verantwoordelijke CBSA-ambtenaren, mogelijke verhaalprocedures en contactadressen voor mensen die vragen hebben of problemen.

Wettelijke herzieningsmechanismen voor het PNR-programma van de CBSA

22. Het PNR-programma kan door de "Privacy Commissioner of Canada" en het "Office of the Auditor General of Canada" worden onderworpen aan nalevingscontroles en onderzoeken.

23. De onafhankelijke gegevensbeschermingsautoriteit in Canada, de "Privacy Commissioner of Canada", kan de naleving van de "Privacy Act" door de ministeries en overheidsorganen onderzoeken, en nagaan in hoeverre de CBSA deze verbintenissen nakomt. Volgens algemeen aanvaarde standaarddoelstellingen en -criteria kan de "Privacy Practices and Review Branch" van het "Office of the Privacy Commissioner" nalevingscontroles en onderzoeken verrichten. De "Privacy Commissioner of Canada" mag informatie vrijgeven die zijns inziens noodzakelijk is om in het kader van de "Privacy Act" een onderzoek te verrichten of om de gronden vast te stellen voor bevindingen en aanbevelingen die in een verslag op grond van de "Privacy Act" worden gedaan.

24. Het "Office of the Auditor General of Canada" verricht onafhankelijke audits van de werkzaamheden van de Canadese federale regering. Deze audits bieden de Canadese parlementsleden en het publiek objectieve informatie om de werkzaamheden van de regering te toetsen en deze ter verantwoording te roepen.

25. De definitieve verslagen van het "Office of the Privacy Commissioner" en het "Office of the Auditor General" worden door middel van jaarverslagen aan het parlement bekendgemaakt aan het publiek en eventueel op Internet beschikbaar gesteld. De CBSA zal de Commissie een kopie ter beschikking stellen van alle verslagen die op een of andere manier verband houden met het PNR-programma.

Gezamenlijke herziening van het PNR-programma van de CBSA

26. Naast de bovengenoemde herzieningsprocedures waarin in Canada bij wet is voorzien, zal de CBSA in overleg met de Commissie jaarlijks of zo vaak als nodig deelnemen aan een gezamenlijke herziening van het PNR-programma met betrekking tot de doorgifte van API- en PNR-gegevens aan de CBSA.

Verhaalmogelijkheden

Wettelijk kader

27. Het Canadese handvest van rechten en vrijheden ("Charter of Rights and Freedoms"), dat een onderdeel is van de Canadese grondwet, is van toepassing op alle werkzaamheden van de regering, inclusief de wetgeving. Afdeling 8 van het handvest voorziet in het recht beschermd te worden tegen onredelijke controle en inbeslagneming en garandeert een redelijke verwachting van privacy. Afdeling 24 van het handvest biedt een persoon wiens rechten zijn geschonden de mogelijkheid in beroep te gaan bij een bevoegde rechtbank met het oog op een schikking zoals de rechtbank die in de omstandigheden als passend en terecht beschouwt.

28. Het recht van een buitenlander om toegang te krijgen tot gegevens waarover een Canadees ministerie beschikt, wordt krachtens "Extension Order Number 1" van de "Access to Information Act" (ATIA) toegekend aan een ieder die in Canada aanwezig is. Behoudens uitzonderingen waarin deze wet voorziet, kan een buitenlander die in Canada aanwezig is, of een in Canada aanwezige persoon namens een niet in Canada aanwezige buitenlander, een ATIA-verzoek indienen voor gegevens die de buitenlander betreffen en toegang tot deze gegevens krijgen, behalve wanneer enkele specifieke en beperkte uitzonderingen en uitsluitingen in de betrokken wet van toepassing zijn.

29. Krachtens de "Privacy Act" wordt het recht van toegang tot persoonsgegevens en het recht van rectificatie en aantekening bij "Extension Order Number 2" uitgebreid tot een ieder die in Canada aanwezig is. Dit betekent dat, behoudens wettelijke uitzonderingen, een buitenlander deze rechten kan waarnemen alsof hij in Canada aanwezig was.

Administratief kader

30. Daarnaast kan echter het ministerie dat persoonsgegevens van iemand bewaart langs administratieve weg het recht op toegang, rectificatie en aantekening verlenen aan buitenlanders die niet in Canada aanwezig zijn. De CBSA zal deze rechten voor API- en PNR-gegevens in haar bezit uitbreiden tot EU-burgers of andere personen die niet in Canada aanwezig zijn, op voorwaarde dat andere wettelijke bepalingen hieraan niet in de weg staan.

31. De "Privacy Commissioner" kan een klacht indienen als blijkt dat er redelijke gronden zijn om een aangelegenheid krachtens de "Privacy Act" te onderzoeken en beschikt in dit verband over ruime onderzoeksbevoegdheden. Daarnaast kan de "Privacy Commissioner" klachten behandelen die naar hem worden doorverwezen door de gegevensbeschermingsautoriteiten van een der lidstaten van de Europese Unie namens een EU-burger, voorzover deze de gegevensbeschermingsautoriteiten heeft gemachtigd namens hem op te treden en van oordeel is dat zijn klacht inzake de bescherming van API- en PNR-gegevens door de CBSA niet op een bevredigende manier is behandeld als beschreven in punt 30. De "Privacy Commissioner" zal verslag uitbrengen van zijn conclusies en de gegevensbeschermingsautoriteit(en) in kennis stellen van de eventueel te nemen maatregelen.

32. De "Privacy Commissioner" heeft ook speciale onderzoeksbevoegdheden om na te gaan in hoeverre de Canadese ministeries en overheidsorganen met betrekking tot het verzamelen, bewaren, gebruiken, vrijgeven en terbeschikkingstellen van persoonsgegevens de "Privacy Act" nakomen.

Veiligheid van de informatie

33. Toegang tot het PAXIS-systeem zal slechts worden verleend aan een beperkt aantal CBSA-opsporings- en -veiligheidsambtenaren in de "Passenger Targeting Units" in de Canadese regionale bureau’s en op het nationale CBSA-hoofdkwartier in Ottawa. Zij krijgen toegang tot het PAXIS-systeem in een beveiligde werkomgeving die voor het publiek niet toegankelijk is.

34. Om toegang te krijgen tot het PAXIS-systeem moeten de ambtenaren gebruik maken van twee afzonderlijke logins, onder gebruikmaking van een gebruikers-ID en wachtwoord die door het systeem worden gegenereerd. De eerste login geeft toegang tot het lokale netwerk van de CBSA en de tweede tot het "Integrated Customs System platform" dat op zijn beurt toegang geeft tot het PAXIS-systeem. De toegang tot het CBSA-netwerk en de gegevens van het PAXIS-systeem wordt strikt gecontroleerd en beperkt tot de selecte gebruikersgroep; op elke opvraging en herziening van passagiersgegevens in het systeem zal toezicht worden uitgeoefend. Het toezichtsdocument bevat de gebruikersnaam, de werkplek van de gebruiker, datum en uur van de toegang en het PNR-locatienummer voor de geconsulteerde gegevens. De CBSA zal voor bijzondere API- en PNR-gegevenselementen de toegang binnen het systeem ook beperken op basis van het gebruikerstype/-profiel dat de betrokken ambtenaar moet kennen ("need to know"). Door deze controles op de toegang wordt gegarandeerd dat alleen de in punt 33 bedoelde personen toegang krijgen tot API- en PNR-gegevens voor de in punt 2 opgesomde doelen.

35. De toegang tot en het gebruik en de vrijgave van API- en PNR-gegevens worden geregeld door de "Privacy Act", de "Access to Information Act", afdeling 107 van de "Customs Act" en de administratieve praktijk als beschreven in punt 37 van deze verbintenissen, die een uitdrukking zijn van de beschermingsmaatregelen en garanties die in dit document worden beschreven. Afdeling 160 van de "Customs Act" en de interne gedragscodes voorzien bij niet-naleving in strafrechtelijke en andere sancties, en, zoals boven aangegeven, heeft de "Privacy Commissioner" krachtens de "Privacy Act" de bevoegdheid een onderzoek te starten met betrekking tot de vrijgave van persoonsgegevens.

36. Het vrijgavebeleid van de CBSA inzake PNR-gegevens omvat de procedures die moeten worden gevolgd door alle CBSA-ambtenaren die toegang hebben tot API- en PNR-gegevens. Het beleid van de CBSA is erop gericht de vertrouwelijkheid van de gegevens te bewaren en de gegevens te beheren overeenkomstig de in de Canadese wetgeving vastgestelde bevoegdheden, alsook de beleidslijnen van de CBSA en de Canadese regering inzake het beheer en de veiligheid van de informatie, zoals beschreven in punt 38.

37. Het vrijgavebeleid van de CBSA voor PNR-gegevens voorziet erin dat:

(a) een ambtenaar API- en PNR-gegevens alleen dan mag vrijgeven, er toegang toe mag verlenen of mag gebruiken indien dit wettelijk is toegestaan en in overeenstemming is met het beleid;

(b) de ambtenaren alle noodzakelijke voorzorgen moeten nemen om te garanderen dat alleen essentiële informatie aan derden wordt vrijgegeven;

(c) informatie alleen voor een specifiek geautoriseerd doel wordt vrijgegeven en beperkt blijft tot de minimale hoeveelheid voor dat doel benodigde informatie;

(d) informatie alleen wordt verstrekt aan of opengesteld voor personen die beroepshalve deze informatie moeten zien; en

(e) overeenkomstig de "Privacy Act", de "Access to Information Act" en de "National Archives Act" elke vrijgegeven informatie na gebruik wordt vernietigd of teruggegeven, zoals voorgeschreven door de beleidslijnen voor informatiebeheer van de CBSA en de "Treasury Board of Canada".

38. Het vrijgavebeleid van de CBSA voor PNR-gegevens valt onder een hele reeks overkoepelende CBSA-beleidslijnen voor de bescherming en het beheer van informatie die wordt verzameld overeenkomstig de verschillende CBSA-verordeningen. Daarnaast zijn alle CBSA-ambtenaren gebonden door het veiligheidsbeleid van de Canadese regering met betrekking tot de bescherming van elektronische systemen en de gegevensbescherming [3].

39. Alle CBSA-ambtenaren kennen deze bepalingen en de gevolgen van niet-naleving; acceptatie ervan is een voorwaarde voor aanstelling.

Wederkerigheid

40. De "Aeronautics Act" staat Canadese luchtvaartmaatschappijen, ongeacht van welke bestemming zij vertrekken, of luchtvaartmaatschappijen die vluchten vanuit Canada verzorgen, toe een vreemde mogendheid informatie te verstrekken over personen aan boord van deze vluchten die dat land als bestemming hebben, indien de wetten van het betrokken land dit vereisen.

41. Indien de Europese Gemeenschap, de Europese Unie of een van haar lidstaten besluiten een identificatiesysteem voor passagiers in te stellen en in hun wetgeving alle luchtvaartmaatschappijen ertoe verplichten om de Europese autoriteiten toegang te verlenen tot de API- en PNR-gegevens van alle passagiers die de Europese Unie tot bestemming hebben, staat artikel 4.83 van de "Aeronautics Act" de luchtvaartmaatschappijen toe aan deze eis te voldoen.

Herziening en beëindiging van de verbintenissen

42. Deze verbintenissen gelden voor een periode van drie jaar en zes maanden (3,5 jaar), gerekend vanaf de datum waarop tussen Canada en de Europese Gemeenschap een overeenkomst in werking treedt waarbij de verwerking van API- en PNR-gegevens door luchtvaartmaatschappijen met het oog op de doorgifte ervan naar de CBSA overeenkomstig de desbetreffende richtlijn wordt toegestaan. Nadat deze verbintenissen twee jaar en zes maanden (2,5 jaar) zijn toegepast, zal de CBSA besprekingen gaan voeren met de Commissie om de verbintenissen en alle ondersteunende maatregelen onder wederzijds aanvaardbare voorwaarden uit te breiden. Indien geen wederzijds aanvaardbare regeling kan worden getroffen vóór de datum waarop deze verbintenissen verlopen, zullen de verbintenissen vervallen voor alle gegevens die daarna zijn verzameld. Gegevens die tijdens de geldigheidsperiode van deze verbintenissen zijn verzameld, blijven op grond van deze verbintenissen beschermd tot de gegevens worden vernietigd.

43. De CBSA komt de verbintenissen na door de toepassing van de bestaande Canadese wetgeving, of, voor gebieden waar de wetgeving niet volstaat, door speciaal opgestelde regelingen of langs administratieve weg.

[1] De punten 3(a) tot (f) omvatten de volgende API-gegevens: (a) naam en voornaam of voornamen van de passagier; (b) geboortedatum; (c) geslacht; (d) staatsburgerschap of nationaliteit; (e) het soort reisdocument waarmee de persoon zich identificeert, de naam van het land waar het reisdocument is afgegeven en het nummer van het reisdocument; (f) het boekingsbestandslocatienummer, indien beschikbaar, en, voor een persoon belast met het commerciële vervoer of elk ander bemanningslid zonder boekingsbestandslocatienummer, het bewijs van zijn of haar status als bemanningslid.

[2] Deze wet stelt de formaliteiten vast die in acht genomen moeten worden voor de vernietiging van overheidsstukken.

[3] De beleidslijnen waarnaar wordt verwezen zijn onder meer: "Government Security Policy", gepubliceerd door het secretariaat van de "Treasury Board of Canada" op 1 februari 2002, en "Operational Security Standard: Management of Information Technology Security (MITS)", gepubliceerd door het secretariaat van de "Treasury Board of Canada" op 31 mei 2004.

--------------------------------------------------

AANHANGSEL "A"

PNR-GEGEVENSELEMENTEN DIE DE CBSA VAN LUCHTVAARTMAATSCHAPPIJEN VERLANGT

1. Naam

2. API-gegevens

3. PNR-bestandslocatiecode

4. Geplande reisdatum

5. Boekingsdatum

6. Uitgiftedatum reisbiljet

7. Reisbureau

8. Reisagent

9. Contacttelefoon

10. Factuuradres

11. Alle informatie over de betalingswijze

12. "Frequent Flyer"-gegevens

13. Informatie uit het reisbiljetveld ("ticketing field"-informatie)

14. Ticketnummer

15. Opgesplitste/opgedeelde PNR-informatie ("split/divided PNR")

16. "Go-show"-informatie

17. "No-show"-historiek

18. Informatie over volledige reisroute

19. "Standby"-informatie

20. Andere namen in het PNR

21. Volgorde check-in

22. Bagagebiljetnummers

23. Informatie over de zitplaats

24. Zitplaatsnummer

25. Enkele-reisbiljetten

--------------------------------------------------