Acest site face parte din
Accesul la dreptul Uniunii Europene
Decizia Comisiei din 6 septembrie 2005 privind protecția adecvată a datelor cu caracter personal conținute în dosarele pasagerilor aerieni transferate Agenției de Servicii Frontaliere a Canadei [notificată cu numărul C(2005) 3248]Text cu relevanță pentru SEE.
JO L 91, 29.3.2006, p. 49-60 (ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, SK, SL, FI, SV)
JO L 118M , 8.5.2007, p. 515-526 (MT)
ediţie specială în limba bulgară: capitol 07 volum 15 p. 175 - 186
editie speciala in limba româna: capitol 07 volum 15 p. 175 - 186
CS DA DE EL EN ES ET FI FR HU IT LT LV NL PL PT SK SL SV
| BG | ES | CS | DA | DE | ET | EL | EN | FR | GA | IT | LV | LT | HU | MT | NL | PL | PT | RO | SK | SL | FI | SV |
| html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | html | ||||
| tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff | tiff |
| Afişare bilingvă: BG CS DA DE EL EN ES ET FI FR HU IT LT LV NL PL PT RO SK SL SV |
Decizia Comisiei
din 6 septembrie 2005
privind protecția adecvată a datelor cu caracter personal conținute în dosarele pasagerilor aerieni transferate Agenției de Servicii Frontaliere a Canadei
[notificată cu numărul C(2005) 3248]
(Text cu relevanță pentru SEE)
(2006/253/CE)
COMISIA COMUNITĂȚILOR EUROPENE,
având în vedere Tratatul de instituire a Comunității Europene,
având în vedere Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date [1], în special articolul 25 alineatul (6),
întrucât:
(1) Directiva 95/46/CE cere statelor membre să prevadă ca transferul datelor cu caracter personal către o țară terță să poată fi efectuat numai în cazul în care țara terță respectivă asigură un nivel de protecție adecvat și numai în cazul în care este respectată, înainte de transfer, legislația statelor membre de punere în aplicare a altor dispoziții ale directivei.
(2) Comisia poate constata că o țară terță asigură un nivel de protecție adecvat. În acest caz, datele cu caracter personal pot fi transferate din statele membre fără a mai fi necesară nici o garanție suplimentară.
(3) În conformitate cu Directiva 95/46/CE, nivelul de protecție a datelor ar trebui să fie evaluat luându-se în considerare toate împrejurările legate de o operațiune de transfer de date sau de o serie de operațiuni de transfer de date, acordându-se o atenție deosebită anumitor elemente relevante pentru transfer și menționate la articolul 25 alineatul (2).
(4) În contextul transportului aerian, "dosarul pasagerului" (DP) este un fișier care conține informații referitoare la călătorie ale fiecărui pasager. El include toate informațiile necesare pentru a permite prelucrarea și controlul rezervărilor de către companiile aeriene contractante sau partenere [2]. În sensul prezentei decizii, termenii "pasager" și "pasageri" includ și membrii echipajului. "Compania aeriană contractantă" înseamnă compania aeriană la care pasagerul și-a făcut inițial rezervarea sau la care s-au făcut rezervări suplimentare după începerea călătoriei. "Companie aeriană parteneră" înseamnă orice companie aeriană la care compania aeriană contractantă a solicitat un loc, la un zbor sau mai multe zboruri, pentru un pasager.
(5) Agenția de Servicii Frontaliere a Canadei (ASFC) solicită tuturor transportatorilor aerieni care asigură transportul pasagerilor cu destinația Canada să i se furnizeze acces electronic la acele DP primite și stocate în sistemele informatizate de rezervare și de control al plecărilor ale acestor transportatori.
(6) Obligația transferării către ASFC a datelor cu caracter personal conținute în DP-urile pasagerilor aerieni se bazează pe dispozițiile articolului 107.1 din Legea vămilor și alineatul (148) litera (d) din Legea privind imigrația și protecția refugiaților, precum și pe regulamentele de punere în aplicare adoptate în temeiul acestor legi [3].
(7) Legislația canadiană respectivă privește întărirea siguranței și a condițiilor în care persoanele pot intra în țară, probleme în care Canada are putere de decizie suverană în cadrul jurisdicției sale. De asemenea, cerințele nu contravin altor angajamente internaționale luate de Canada. Canada este o țară democratică, guvernată în conformitate cu principiile unui stat de drept și cu o puternică tradiție în privința libertăților civile. Legitimitatea procesului său legislativ, precum și forța și independența puterii sale judecătorești nu pot fi puse sub semnul întrebării. Libertatea presei este o altă garanție puternică împotriva violării libertăților civile.
(8) Comunitatea este pe deplin angajată să sprijine Canada în lupta împotriva terorismului, în limitele impuse de dreptul comunitar. Dreptul comunitar prevede stabilirea unui echilibru necesar între preocupările în domeniul siguranței și cele referitoare la protecția datelor cu caracter personal. De exemplu, articolul 13 din Directiva 95/46/CE permite statelor membre să ia măsuri legislative în vederea restricționării domeniului de aplicare al anumitor cerințe menționate de respectiva directivă, în cazul în care acest lucru este impus de rațiuni ce țin de siguranța națională, apărare, siguranța publică, precum și prevenirea, cercetarea, detectarea și urmărirea penală a infracțiunilor.
(9) Transferurile de date implică controlori speciali, și anume companiile aeriene care asigură legătura între Comunitate și Canada, și un singur destinatar în Canada, respectiv ASFC.
(10) Orice înțelegere destinată stabilirii unui cadru legislativ pentru transferurile de DP către Canada, în special în temeiul prezentei decizii, ar trebui să fie limitată în timp. S-a convenit o perioadă de trei ani și jumătate. În timpul acestei perioade, contextul se poate schimba în mod considerabil, iar Comunitatea și Canada sunt de acord că va fi necesară o revizuire a înțelegerilor.
(11) Prelucrarea de către ASFC a datelor cu caracter personal conținute în DP-urile pasagerilor aerieni care îi sunt transferate este reglementată de condițiile stabilite în Angajamentele Agenției de Servicii Frontaliere a Canadei în legătură cu aplicarea programului său DP (denumite în continuare "angajamentele") și de legislația internă canadiană în condițiile prevăzute de aceste angajamente.
(12) În ceea ce privește legislația internă canadiană, Legea privind protecția informațiilor cu caracter personal, Legea privind accesul la informații și articolul 107 din Legea vămilor sunt relevante în contextul actual în măsura în care ele reglementează condițiile în care ASFC poate să se opună solicitărilor de divulgare și astfel să păstreze confidențialitatea DP-urilor. Legea privind protecția informațiilor cu caracter personal reglementează divulgarea informațiilor din DP către persoanele interesate, în strânsă legătură cu dreptul de acces al acestora. Legea privind protecția informațiilor cu caracter personal se aplică numai persoanelor care sunt prezente în Canada. Cu toate acestea, ASFC acordă acces la informațiile din DP deținute cu privire la un resortisant străin, în cazul în care această persoană nu este prezentă în Canada.
(13) În ceea ce privește angajamentele și în conformitate cu cele prevăzute la articolul 43, dispozițiile angajamentelor au fost incluse în dreptul canadian în vigoare sau sunt înscrise în norme administrative interne formulate în mod special în acest scop și astfel vor avea un efect juridic. Angajamentele se vor publica integral în Gazeta Canadei. Astfel, ele vor reprezenta un angajament serios și bine fundamentat din partea ASFC, iar respectarea lor va fi controlată în comun de Canada și de Comunitate. Nerespectarea lor poate fi combătută, după caz, pe cale juridică, administrativă și politică, iar repetarea nerespectării determină suspendarea efectelor prezentei decizii.
(14) Standardele în conformitate cu care ASFC va prelucra datele DP ale pasagerilor pe baza legislației canadiene și a angajamentelor respectă principiile esențiale necesare pentru asigurarea unui nivel de protecție adecvat al persoanelor fizice.
(15) În ceea ce privește principiul limitării la un scop specific, datele cu caracter personal ale pasagerilor aerieni conținute în DP-urile care sunt transferate către ASFC vor fi prelucrate într-un scop specific, iar ulterior vor fi utilizate sau comunicate mai departe numai în măsura în care această acțiune este compatibilă cu scopul transferului. În special, datele din DP vor fi utilizate strict în scopul prevenirii și al combaterii: terorismului și a infracțiunilor legate de terorism; a altor infracțiuni grave, inclusiv crima organizată, care, prin natura lor, au un caracter transnațional.
(16) În ceea ce privește calitatea datelor și principiul proporționalității, care trebuie luate în considerare împreună cu motivele importante de interes public care justifică transferarea datelor din DP, datele furnizate către ASFC nu vor fi modificate ulterior de către aceasta. Se vor transfera cel mult 25 categorii de date din DP, iar ASFC se va consulta cu Comisia Europeană și va conveni cu aceasta revizuirea celor 25 rubrici de date DP necesare, enumerate în anexa A, înainte de efectuarea oricărei revizuiri. Informațiile personale suplimentare investigate ca rezultat direct al datelor din DP vor fi obținute de la surse neguvernamentale, numai pe cale legală. Ca regulă generală, DP-urile vor fi șterse după o perioadă maximă stabilită la trei ani și șase luni.
(17) În ceea ce privește principiul transparenței, ASFC va furniza informații călătorilor referitoare la scopul transferului și al prelucrării datelor și la identitatea inspectorului responsabil cu prelucrarea datelor, precum și alte informații.
(18) În ceea ce privește principiul siguranței, ASFC ia măsurile de siguranță tehnică și organizațională corespunzătoare cu riscurile prezentate de prelucrarea datelor.
(19) Drepturile de acces, de rectificare și de contestare sunt recunoscute de Legea privind protecția informațiilor cu caracter personal pentru acele persoane care sunt prezente în Canada. ASFC va extinde aceste drepturi în privința informațiilor din DP aflate în posesia sa și străinilor care nu sunt prezenți în Canada. Excepțiile prevăzute sunt în mare măsură comparabile cu restricțiile care pot fi impuse de statele membre în conformitate cu articolul 13 din Directiva 95/46/CE.
(20) Transferuri ulterioare vor fi efectuate, de la caz la caz, către alte autorități guvernamentale, inclusiv autorități guvernamentale străine, în scopuri care sunt identice sau conforme cu cele stabilite în declarația de limitare a scopului privind o cantitate minimă de date. De asemenea, pot fi făcute transferuri pentru protejarea intereselor vitale ale persoanei la care se referă datele sau ale altor persoane, în special în ceea ce privește riscuri pentru sănătate sau în cadrul oricărei proceduri penale sau în cazul altor cerințe prevăzute de lege. Aceste autorități care primesc datele sunt obligate, prin condițiile exprese de divulgare, să utilizeze datele numai în scopurile respective și nu pot să procedeze la un transfer ulterior al datelor fără acordul ASFC. Nicio altă autoritate străină, federală, provincială sau locală nu are acces electronic direct la datele din DP prin bazele de date ASFC. ASFC se va opune divulgării publice a informațiilor din DP pe baza excepțiilor de la dispozițiile relevante din Legea privind accesul la informații și Legea privind protecția informațiilor cu caracter personal.
(21) ASFC nu primește date confidențiale, în sensul articolului 8 din Directiva 95/46/CE.
(22) În ceea ce privește mecanismele de control ce asigură respectarea de către ASFC a acestor principii, se prevede un sistem de formare și de informare a personalului ASFC, precum și sancțiuni cu privire la membrii individuali ai personalului respectiv. Biroul independent al Comisarului Canadei care răspunde de protecția vieții private (Privacy Commissioner of Canada) supraveghează respectarea de către ASFC a confidențialității datelor în general, în condițiile stabilite de Carta canadiană a drepturilor și a libertăților și de Legea privind protecția informațiilor cu caracter personal. Comisariatul Canadei care răspunde de protecția vieții private poate examina plângerile care îi sunt transmise de autoritățile care se ocupă de protecția datelor din statele membre, în numele rezidenților Uniunii Europene, în cazul în care aceștia estimează că plângerile lor nu au fost tratate în mod satisfăcător de către ASFC. Respectarea angajamentelor face obiectul unei examinări anuale comune, efectuate de ASFC și o echipă condusă de Comisie.
(23) În interesul transparenței și pentru a se garanta capacitatea autorităților competente din statele membre de a asigura protecția persoanelor fizice în ceea ce privește prelucrarea datelor lor cu caracter personal, este necesar să se specifice împrejurările excepționale în care se poate justifica suspendarea fluxurilor specifice de date, independent de constatarea nivelului de protecție corespunzător.
(24) Grupul de lucru pe probleme de protecție a persoanelor cu privire la prelucrarea datelor cu caracter personal, instituit în temeiul articolului 29 din Directiva 95/46/CE, a transmis avize referitoare la nivelul de protecție asigurat de autoritățile canadiene în privința datelor care se referă la pasageri, care au ghidat Comisia pe tot parcursul negocierilor sale cu ASFC. Comisia a luat notă de aceste avize în procesul de elaborare a prezentei decizii [4].
(25) Măsurile prevăzute de prezenta decizie sunt în conformitate cu avizul comitetului instituit prin articolul 31 alineatul (1) din Directiva 95/46/CE,
ADOPTĂ PREZENTA DECIZIE:
Articolul 1
În înțelesul articolului 25 alineatul (2) din Directiva 95/46/CE, se consideră că Agenția de Servicii Frontaliere a Canadei (denumită în continuare "ASFC") asigură un nivel adecvat de protecție a datelor din DP transferate din Comunitate privind zborurile care au drept destinație Canada, în conformitate cu angajamentele din anexă.
Articolul 2
Prezenta decizie se referă la nivelul de protecție adecvat asigurat de ASFC în vederea respectării cerințelor din articolul 25 alineatul (1) din Directiva 95/46/CE și nu afectează alte condiții sau restricții care pun în aplicare alte dispoziții din respectiva directivă ce se referă la prelucrarea datelor cu caracter personal în statele membre.
Articolul 3
(1) Fără a se aduce atingere competențelor lor de a lua măsuri pentru asigurarea respectării dispozițiilor de drept intern adoptate în temeiul altor dispoziții decât cele ale articolului 25 din Directiva 95/46/CE, autoritățile competente din statele membre își pot exercita competențele de care dispun pentru a suspenda transferurile de date către ASFC, în scopul protejării persoanelor fizice cu privire la prelucrarea datelor lor cu caracter personal, în următoarele cazuri:
(a) în cazul în care o autoritate canadiană competentă a constatat că ASFC nu respectă standardele de protecție aplicabile sau
(b) în cazul în care este foarte probabil ca standardele de protecție stabilite în anexa I să nu fie respectate, există motive întemeiate să se creadă că ASFC nu ia sau nu va lua la timp măsuri adecvate pentru soluționarea problemei respective sau continuarea transferului ar crea un risc iminent de prejudicii grave pentru persoanele în cauză, iar autoritățile competente ale statului membru au făcut eforturi rezonabile, în împrejurările respective, de a avertiza ASFC și de a-i da posibilitatea să răspundă.
(2) Suspendarea încetează de îndată ce standardele de protecție sunt asigurate, iar autoritățile competente din statele membre respective sunt notificate în legătură cu aceasta.
Articolul 4
(1) Statele membre informează fără întârziere Comisia în legătură cu măsurile adoptate în conformitate cu articolul 3.
(2) Statele membre și Comisia se informează reciproc în legătură cu orice modificare a standardelor de protecție, precum și în legătură cu cazurile în care măsurile întreprinse de organismele care răspund de verificarea modului în care ASFC respectă standardele de protecție stabilite în anexă nu sunt suficiente pentru a asigura această respectare.
(3) În cazul în care informațiile colectate în conformitate cu articolul 3 și cu alineatele (1) și (2) din prezentul articol demonstrează că nu mai sunt respectate principiile de bază necesare pentru asigurarea unui nivel adecvat de protecție a persoanelor fizice sau în cazul în care oricare organism care răspunde de verificarea modului în care ASFC respectă standardele de protecție stabilite în anexă nu își mai îndeplinește în mod eficient acest rol, trebuie să se informeze ASFC și, în cazul în care este necesar, să se aplice procedura menționată la articolul 31 alineatul (2) din Directiva 95/46/CE, în vederea anulării sau a suspendării prezentei decizii.
Articolul 5
Aplicarea prezentei decizii trebuie să fie monitorizată, iar orice constatare pertinentă se raportează comitetului instituit prin articolul 31 din Directiva 95/46/CE, inclusiv orice dovadă care ar putea afecta estimarea, în temeiul articolului 1 din prezenta decizie, a nivelului adecvat de protecție a datelor cu caracter personal conținute în DP-urile pasagerilor aerieni transferate către ASFC, în înțelesul articolului 25 din Directiva 95/46/CE.
Articolul 6
Statele membre iau toate măsurile necesare pentru a se conforma prezentei decizii în termen de patru luni de la data notificării sale.
Articolul 7
Prezenta decizie expiră după trei ani și șase luni de la data notificării sale, în afara cazului în care valabilitatea ei se prelungește în conformitate cu procedura prevăzută la articolul 31 alineatul (2) din Directiva 95/46/CE.
Articolul 8
Prezenta decizie se adresează statelor membre.
Adoptată la Bruxelles, 6 septembrie 2005.
Pentru Comisie
Franco Frattini
Vicepreședintele
[1] JO L 281, 23.11.1995, p. 31. Directivă astfel cum a fost modificată prin Regulamentul (CE) nr. 1882/2003 (JO L 284, 31.10.2003, p. 1).
[2] În sensul prezentei decizii, termenul DP înglobează și informațiile prealabile referitoare la pasageri (IPP), în conformitate cu secțiunea 4 din "Angajamentele ASFC".
[3] Regulamentele privind informațiile referitoare la pasageri (vamă) și Regulamentul 269 privind imigrarea și protecția refugiaților.
[4] Avizul 3/2004 privind nivelul de protecție asigurat în Canada pentru transmiterea, de către companiile aeriene, a dosarelor pasagerilor și a informațiilor prealabile referitoare la pasageri, adoptat de grupul de lucru la 11 februarie 2004, disponibil la http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp88_en.pdf Aviz 1/2005 privind nivelul de protecție asigurat în Canada pentru transmiterea, de către companiile aeriene, a dosarelor pasagerilor și a informațiilor prealabile referitoare la pasageri, adoptat de grupul de lucru la 19 ianuarie 2005, disponibil la http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp103_en.pdf
--------------------------------------------------
ANEXĂ
ANGAJAMENTE ALE AGENȚIEI DE SERVICII FRONTALIERE A CANADEI ÎN PRIVINȚA APLICĂRII PROGRAMULUI SĂU DP
Baza juridică privind colectarea informațiilor IPP (informații prealabile privind pasagerii) și DP (dosarele pasagerilor)
1. Toate companiile aeriene sunt obligate, în conformitate cu legislația canadiană, să furnizeze Agenției de Servicii Frontaliere a Canadei (ASFC) informații prealabile privind pasagerii (IPP) și dosarele pasagerilor (DP) referitoare la toate persoanele aflate la bordul aeronavelor cu destinația Canada. Baza juridică care îi permite ASFC să obțină și să colecteze astfel de informații se găsește în articolul 107.1 din Legea vămilor și în Regulamentul (vamal) privind informațiile referitoare la pasageri adoptat în temeiul acestei legi, precum și la alineatul (148) paragraful (1) litera (d) din Legea privind imigrația și protecția refugiaților și Regulamentul 269 privind imigrația și protecția refugiaților, adoptat în temeiul acestei legi, prezentat în anexa B.
Scopul colectării informațiilor IPP și DP
2. Datele IPP și DP vor fi colectate de către ASFC numai pentru zborurile care sosesc în Canada. ASFC va utiliza informațiile IPP și DP colectate de la transportatori europeni și de la alți transportatori numai în scopul de a identifica persoanele care prezintă riscul să importe mărfuri legate de terorism sau de alte infracțiuni legate de terorism sau de alte infracțiuni grave (inclusiv crima organizată), care sunt de natură transnațională, sau pentru a identifica persoanele care nu pot fi admise pe teritoriul canadian din cauza posibilității de a avea legături cu terorismul și cu infracțiunile menționate mai sus.
3. Datele IPP și DP vor fi utilizate de către ASFC pentru a depista persoanele care vor fi supuse unui interogatoriu sau unei examinări mai aprofundate la sosirea lor în Canada sau care necesită investigații suplimentare, pentru unul dintre scopurile descrise la alineatul (2). ASFC sau alte organisme canadiene de aplicare a legii nu vor lua măsuri de control numai din motive legate de prelucrarea automatizată a datelor IPP și DP.
Datele IPP și DP colectate
4. Lista elementelor de date IPP care vor fi colectate de ASFC în scopurile prezentate la alineatul (2) este prezentată la alineatul (3) literele (a)-(f) din Regulamentele (vamale) privind informațiile referitoare la pasageri adoptate în temeiul Legii vămilor. [1] Lista elementelor de date DP care vor fi colectate de ASFC în scopurile enumerate la alineatul (2) se menționează în anexa A. Din motive de siguranță, "datele confidențiale" în înțelesul articolului 8.1 din Directiva 95/46/CE (denumită în continuare "directiva") și toate câmpurile de tip "text deschis" sau "observații generale" nu vor fi incluse în aceste 25 elemente de date.
5. ASFC nu va solicita unui transportator aerian să colecteze informații DP pe care transportatorul nu le înregistrează pentru uz propriu și nu va solicita transportatorului să colecteze informații suplimentare pentru a le pune la dispoziția ASFC. Prin urmare, ASFC se angajează că va colecta datele enumerate în anexa A numai în cazul în care un transportator a decis să le introducă în sistemele sale de rezervare informatizată și de control al plecărilor (DCS).
6. ASFC va consulta Comisia Europeană și va conveni cu aceasta revizuirea celor 25 elemente de date DP solicitate, enumerate în anexa A, înainte de efectuarea oricărei astfel de revizuiri,
(a) în cazul în care ASFC constată că sunt disponibile elemente de date DP suplimentare și estimează că aceste elemente de date sunt necesare în scopurile enumerate la punctul 2 sau
(b) în cazul în care ASFC constată, în orice moment, că un anumit element de date DP nu mai este necesar în scopurile enumerate la punctul 2.
Metoda de accesare a informațiilor IPP și DP
7. Sistemul de informare privind pasagerii (denumit în continuare "PAXIS") al ASFC a fost configurat pentru a primi informații IPP și DP de la companiile aeriene.
Păstrarea și accesul la informațiile IPP și DP
8. În cazul în care informațiile IPP și DP se referă la o persoană care nu face, în Canada, obiectul unei anchete pentru unul dintre motivele descrise la alineatul (2), ele sunt memorate în sistemul PAXIS timp de cel mult trei ani și jumătate. În timpul acestei perioade, informațiile vor fi depersonalizate progresiv, după cum urmează:
(a) în cursul primelor 72 de ore de la primirea datelor IPP și DP, informațiile vor fi disponibile numai unui număr limitat de agenți responsabili cu stabilirea țintelor și agenți de informații ai ASFC, care vor utiliza informațiile pentru a identifica persoanele ce vor fi supuse unui interogatoriu sau control mai amănunțit la sosirea lor în Canada, pentru unul dintre motivele menționate la alineatul (2);
(b) după expirarea acestor 72 de ore și până la terminarea perioadei de doi ani de la primire, dosarul DP al unei persoane va fi păstrat în sistemul PAXIS, dar va fi accesibil numai pentru agenții serviciului de informații al ASFC care lucrează într-un aeroport internațional din Canada sau la administrația centrală a ASFC de la Ottawa. Numele persoanei la care se referă informațiile nu va putea fi consultat de acești agenți, cu excepția cazului în care acest lucru este cerut în vederea efectuării unei anchete în Canada, pentru unul dintre motivele descrise la alineatul (2). Dosarul DP va fi personalizat din nou numai în cazul în care agentul apreciază, în mod rezonabil, că numele persoanei este necesar pentru efectuarea anchetei. În această perioadă, informațiile depersonalizate vor fi utilizate de analiștii serviciului de informații al ASFC pentru analizarea tendințelor și stabilirea unor indicatori de risc viitor în cadrul scopurilor menționate la alineatul (2);
(c) după doi ani de la primire, dosarul DP va fi păstrat în sistemul PAXIS pentru o nouă perioadă maximă de un an și jumătate, dar toate elementele de date care ar permite identificarea persoanei la care se referă informațiile vor putea fi consultate numai în cazul în care această acțiune este aprobată de președintele ASFC pentru unul dintre scopurile menționate la alineatul (2). În această perioadă, informațiile depersonalizate vor fi utilizate de analiștii serviciului de informații al ASFC pentru analizarea tendințelor și stabilirea unor indicatori de risc viitor în cadrul scopurilor menționate la alineatul (2);
(d) în sistemul PAXIS, datele IPP se memorează separat de datele DP. Ele se păstrează în sistemul PAXIS pentru o perioadă maximă de 3 ani și jumătate, dar în această perioadă informațiile IPP referitoare la o persoană nu vor fi utilizate pentru a obține accesul la datele DP referitoare la aceeași persoană, cu excepția cazului în care dosarul DP este personalizat din nou din motivele descrise la litera (b).
9. În cazul în care datele IPP și DP se referă la o persoană care face obiectul unei anchete în Canada pentru unul dintre motivele descrise la alineatul (2), ele vor fi memorate într-o bază de date de aplicare a legii a ASFC. Aceste baze de date conțin doar informații privind persoanele care au făcut obiectul unei anchete sau care sunt supuse măsurilor de control în conformitate cu legislația ASFC. Accesul la aceste baze de date este rezervat numai acelor agenți ai ASFC ale căror îndatoriri impun acest acces și este strict monitorizat. Datele IPP și DP care sunt transferate către o astfel de bază de date de aplicare a legii vor rămâne în sistemul respectiv numai atât timp cât este necesar să fie păstrate și, în orice caz, pentru o perioadă de cel mult șase ani, după care vor fi distruse, cu excepția cazului în care ele trebuie păstrate pentru o perioadă de timp suplimentară, în temeiul dispozițiilor Legii privind protecția informațiilor cu caracter personal și ale Legii privind accesul la informații, după cum se explică la paragraful (10) litera (b).
10. În cazul în care informații personale sunt utilizate de ASFC în vederea luării unei decizii care afectează interesele persoanei în cauză, ele trebuie păstrate de ASFC timp de doi ani cu începere de la data acestei utilizări, pentru ca persoana respectivă să poată avea acces la informațiile pe care s-a bazat o astfel de decizie, cu excepția cazului în care persoana în cauză consimte ca ele să fie distruse mai devreme sau a cazului în care s-a primit o solicitare de acces la informații; în acest caz, datele trebuie păstrate atâta timp cât persoana respectivă a avut posibilitatea de a-și exercita toate drepturile în conformitate cu Legea privind protecția informațiilor cu caracter personal sau Legea privind accesul la informații.
(a) În cazul datelor păstrate în baza de date PAXIS, această perioadă de doi ani va fi inclusă în perioada maximă de trei ani și jumătate, pe parcursul căreia informațiile vor fi păstrate în baza de date respectivă.
(b) În cazul informațiilor păstrate într-o bază de date de aplicare a legii, informațiile IPP și DP ar putea fi păstrate, în cazul în care este necesar, pentru o perioadă de cel mult șase ani în vederea utilizării de către ASFC în scopurile anchetelor menționate la alineatul (9), iar apoi pentru o nouă perioadă maximă suplimentară de doi ani, pe parcursul căreia ele ar fi disponibile pentru a putea fi accesate de persoana în cauză, în conformitate cu Legea privind protecția informațiilor cu caracter personal sau Legea privind accesul la informații, dar nu pot fi utilizate de ASFC în scopuri administrative.
11. La expirarea perioadei de păstrare prezentate la alineatele (8)-(10), informațiile IPP și DP vor fi distruse, în conformitate cu dispozițiile Legii arhivelor naționale [2].
Divulgarea informațiilor IPP și DP către alte ministere și agenții canadiene
12. Toate divulgările de informații IPP și DP de către ASFC sunt reglementate de Legea privind protecția informațiilor cu caracter personal, Legea privind accesul la informații și legislația proprie a ASFC. Cu toate că Legea privind protecția informațiilor cu caracter personal și Legea privind accesul la informații acordă dreptul de acces la dosare, în afara cazului în care se aplică o excepție sau o excludere, aceste legi nu impun divulgarea obligatorie a informațiilor IPP și DP. O copie a politicii administrative a ASFC care reglementează divulgarea, consultarea și utilizarea informațiilor IPP și DP, Memorandumul D-1-16-3 intitulat Orientări administrative interimare privind divulgarea, consultarea și utilizarea datelor din dosarul pasagerului (DP), (denumit în continuare "Politica ASFC privind divulgarea datelor DP") va fi publicată și disponibilă pentru a fi accesată de public pe site-ul Internet al ASFC. Această politică, descrisă mai detaliat la alineatul (37) din prezentele angajamente, prevede că datele IPP și DP pot fi transmise altor ministere canadiene numai în scopurile menționate la alineatul (2), cu excepția cazului în care divulgarea se face în cadrul unei citații sau al unui mandat sau al unui ordin emis de o instanță, o persoană sau un organism care are jurisdicție în Canada de a solicita prezentarea informațiilor ori în interesul oricărei proceduri judiciare.
13. Datele IPP și DP nu sunt divulgate în totalitate. ASFC va divulga numai informații selecționate pentru fiecare caz în parte și numai după evaluarea relevanței datelor DP specifice care urmează să fie divulgate. Sunt divulgate numai acele elemente specifice ale datelor IPP și DP despre care se demonstrează în mod clar că sunt necesare în împrejurările respective. În toate cazurile, se comunică numai un volum minim posibil de informații.
14. ASFC va divulga date IPP și DP numai în cazul în care destinatarii prevăzuți se angajează să asigure acestor date aceeași protecție care le este asigurată de ASFC. Celelalte servicii guvernamentale canadiene care pot beneficia de informații DP au și ele obligația de a respecta cerințele Legii privind protecția informațiilor cu caracter personal, în măsura în care acestea sunt enumerate în anexa la prezentul document. Legea privind protecția informațiilor cu caracter personal se aplică datelor cu caracter personal care se referă la persoane fizice ce pot fi identificate, informații înregistrate în orice formă și aflate sub controlul guvernului federal canadian sau al unei administrații sau autorități aflate sub incidența legii. Aceste ministere sau agenții nu au dreptul să colecteze nici o informație cu caracter personal, cu excepția celor care "se referă direct la un program de funcționare sau la o activitate a instituției".
15. În conformitate cu practica ASFC, aceasta impune, ca o condiție prealabilă a divulgării, ca autoritățile canadiene federale sau provinciale responsabile cu aplicarea legii să se angajeze că nu vor comunica altor persoane informațiile primite, fără permisiunea ASFC, decât în cazul în care legea cere acest lucru.
Divulgarea informațiilor IPP și DP către alte țări
16. ASFC poate divulga informații IPP și DP către guvernul unui stat străin, în temeiul unei convenții sau al unui acord, în conformitate cu alineatul (8) punctul (2) din Legea privind protecția informațiilor cu caracter personal și alineatul (107) punctul (8) din Legea vămilor.
17. O astfel de convenție sau un astfel de acord ar putea include un memorandum de înțelegere elaborat în mod special pentru Programul DP al ASFC sau un tratat în temeiul căruia autoritățile ASFC sunt invitate să furnizeze asistență și informații. În ambele cazuri, informațiile vor fi divulgate numai pentru un scop care să corespundă cu cele stabilite la alineatul (2) și numai în cazul în care țara destinatară se angajează să garanteze acestor informații o protecție conformă cu prezentele angajamente. În toate cazurile, celeilalte țări i se transmite un volum minim posibil de informații.
18. Datele IPP și DP păstrate în PAXIS vor fi comunicate numai unei țări al cărei nivel adecvat de protecție a fost certificat în conformitate cu prezenta directivă sau care este sub incidența prezentei directivă.
19. Datele IPP și DP păstrate într-o bază de date de aplicare a legii descrisă la alineatul (9) pot fi comunicate în conformitate cu obligațiile convenționale din cadrul unui acord reciproc de asistență în domeniul vamal sau al unui acord reciproc de asistență în domeniul juridic. În acest caz, elementele IPP și DP se comunică doar de la caz la caz și cu condiția ca ASFC să fie în posesia dovezilor care leagă în mod direct solicitarea de ancheta sau prevenirea infracțiunilor menționate la alineatul (2) și numai în măsura în care elementele de date furnizate sunt strict necesare pentru efectuarea anchetei specifice respective.
Divulgarea informațiilor IPP și DP în interesul vital al persoanei în cauză
20. Fără a aduce atingere oricărei dispoziții contrare din prezentele angajamente, ASFC poate divulga informații IPP și DP ministerelor și organismelor din Canada sau din alte țări, în cazul în care o astfel de divulgare este necesară pentru protejarea intereselor vitale ale persoanei în cauză sau ale altor persoane, în special în privința riscurilor importante pentru sănătate.
Notificarea persoanei în cauză
21. ASFC va furniza informații publicului călător în legătură cu cerințele IPP și DP și cu aspectele legate de utilizarea lor, inclusiv informații generale referitoare la autoritatea care răspunde de colectarea datelor, scopul colectării, protecția care va fi acordată datelor, modul și gradul de comunicare a datelor, identitatea agenților responsabili ai ASFC, căile de atac disponibile și punctele de contact la care persoanele se pot adresa cu întrebări sau cu probleme.
Mecanisme de control juridic al programului DP al ASFC
22. Programul DP poate face obiectul controalelor și al anchetelor efectuate cu scopul de a i se stabili conformitatea de către Comisariatul Canadei care răspunde de protecția vieții private și de către Biroul Auditorului General al Canadei (Office of the Auditor General of Canada).
23. Autoritatea independentă de protecție a datelor din Canada, Comisariatul care răspunde de protecția vieții private, poate investiga respectarea dispozițiilor Legii privind protecția informațiilor cu caracter personal de către ministere și organisme și poate monitoriza gradul în care ASFC își îndeplinește prezentele angajamente. Pe baza obiectivelor și al criteriilor standard recunoscute, Direcția de analize și de practici în domeniul protecției vieții private din cadrul Comisariatului Canadei care răspunde de protecția vieții private poate efectua controale de conformitate și anchete. Comisariatul Canadei care răspunde de protecția vieții private poate divulga informații care, în opinia sa, sunt necesare pentru a efectua o anchetă în conformitate cu legea sau pentru a justifica constatări și recomandări care figurează în orice raport întocmit în conformitate cu legea.
24. Biroul Auditorului General al Canadei efectuează un audit independent al măsurilor adoptate de guvernul federal. Aceste activități de audit furnizează membrilor Parlamentului Canadian și publicului informații obiective pentru a le permite să evalueze acțiunile guvernului și să determine guvernul să își justifice acțiunile.
25. Versiunile definitive ale rapoartelor elaborate de Biroul Comisariatului Canadei care răspunde de protecția vieții private și de Biroul Auditorului General al Canadei sunt puse la dispoziția publicului prin rapoarte anuale transmise Parlamentului și, în cazul în care cele două instituții consideră că această acțiune este utilă, pot fi publicate pe Internet. ASFC va permite Comisiei accesul la copii ale tuturor rapoartelor de acest tip care se referă, în orice mod, la programul DP.
Controlul comun al programului DP al ASFC
26. Pe lângă metodele de control menționate mai sus, care sunt prevăzute de legislația canadiană, ASFC va participa, în fiecare an sau cu periodicitatea care va fi necesară și după convenirea acestei acțiuni cu Comisia, la un control comun al programului DP privind transferul de date IPP și DP către ASFC.
Cale de atac
Cadru juridic
27. Carta canadiană a drepturilor și a libertăților, care face parte din Constituția canadiană, se aplică tuturor măsurilor guvernamentale, inclusiv legislației. Articolul 8 din Cartă prevede că persoanele au dreptul de a fi protejate împotriva perchezițiilor și confiscărilor abuzive și au dreptul în mod rezonabil să se aștepte și la protejarea vieții lor private. Articolul 24 din Cartă permite unei persoane ale cărei drepturi au fost încălcate să depună o sesizare la o instanță având jurisdicția competentă, pentru a obține despăgubirile pe care instanța le consideră adecvate și juste în împrejurările respective.
28. Dreptul unui resortisant străin de a avea acces la înregistrările de care dispune un minister al guvernului federal canadian se acordă tuturor persoanelor care se găsesc în Canada, în temeiul Decretului de extindere nr. 1 din Legea accesului la informații (LAI). Un resortisant străin aflat în Canada sau o persoană aflată în Canada care are consimțământul resortisantului străin ce nu este prezent în Canada poate solicita, în temeiul LAI, înregistrări privind resortisantul străin și poate primi dreptul de acces la aceste informații, sub rezerva unui număr limitat de derogări și excluderi specifice prevăzute de lege.
29. În conformitate cu Legea privind protecția informațiilor cu caracter personal, dreptul de a avea acces la informațiile cu caracter personal și de a solicita rectificări sau de a face contestație se extinde, în temeiul Decretului de extindere nr. 2, la orice persoană prezentă în Canada. Prin urmare, cu condiția respectării excepțiilor prevăzute de lege, un resortisant străin poate exercita aceste drepturi în cazul în care este prezent în Canada.
Cadrul administrativ
30. De asemenea, un minister care deține informații referitoare la o persoană poate să permită, pe cale administrativă, drepturi de acces, rectificare și anotare resortisanților străini care nu sunt prezenți în Canada. În privința datelor IPP și DP aflate în posesia sa, ASFC va extinde aceste drepturi la cetățenii UE sau la alte persoane care nu sunt prezente în Canada, cu condiția ca respectiva divulgare să fie permisă de lege.
31. Comisariatul Canadei care răspunde de protecția vieții private poate iniția o plângere în cazul în care "are motive rezonabile să creadă că ar trebui efectuată o anchetă privind o problemă legată de aplicarea Legii [privind protecția informațiilor cu caracter personal]" și dispune de largi competențe de investigare în privința oricărei plângeri. De asemenea, Comisariatul Canadei care răspunde de protecția vieții private poate examina plângerile care îi sunt transmise de autoritățile de protecție a datelor (APD) din oricare stat membru al Uniunii Europene (UE) în numele unui rezident al UE, în măsura în care acest rezident a autorizat APD să acționeze în numele său și consideră că plângerea sa privind protecția datelor referitoare la IPP sau DP nu a fost tratată în mod satisfăcător de ASFC, în conformitate cu dispozițiile alineatului (30) de mai sus. Comisariatul Canadei care răspunde de protecția vieții private va comunica concluziile sale și va informa APD respectivă sau ADP-urile respective cu privire la eventualele acțiuni întreprinse.
32. De asemenea, Comisariatul Canadei care răspunde de protecția vieții private dispune de competențe speciale de a investiga măsura în care ministerele și organismele guvernului canadian respectă dispozițiile Legii privind protecția informațiilor cu caracter personal în ceea ce privește colectarea, păstrarea, utilizarea, divulgarea și distrugerea informațiilor cu caracter personal.
Securitatea informațiilor
33. Accesul la sistemul PAXIS va fi acordat numai unui număr restrâns de agenți ai ASFC responsabili cu stabilirea țintelor și agenți de informații, situați în unități care răspund de identificarea pasagerilor-țintă, în unități canadiene regionale și la sediul central al ASFC de la Ottawa, Canada. Acești agenți vor accesa sistemul PAXIS într-un mediu securizat, inaccesibil publicului.
34. Pentru a accesa sistemul PAXIS, agenții vor trebui să utilizeze două coduri separate de conectare, folosind un cod de utilizator generat de sistem și o parolă. Primul cod de conectare va furniza accesul la rețeaua locală a ASFC, în timp ce cel de-al doilea va furniza accesul la platforma Sistemului vamal integrat, care, la rândul său, asigură accesul la aplicația PAXIS. Accesul la rețeaua ASFC și orice date conținute în sistemul PAXIS va fi strict controlat și restricționat la un grup selectat de utilizatori și vor fi verificate fiecare căutare și fiecare consultare a datelor din sistem referitoare la pasageri. Raportul de verificare generat va conține numele utilizatorului, indicarea postului de lucru al utilizatorului, data și ora accesării și numărul dosarului DP cu informații consultate. ASFC va restricționa și accesul la anumite elemente de date IPP și DP din sistem, acest acces fiind permis numai persoanelor care "trebuie să știe", în funcție de tipul/profilul utilizatorului. Aceste metode de control vor garanta că accesul la informațiile IPP și DP se acordă numai persoanelor descrise la alineatul (33), în scopurile stabilite la alineatul (2).
35. Consultarea, utilizarea și divulgarea informațiilor IPP și DP sunt reglementate de Legea privind protecția informațiilor cu caracter personal, Legea privind accesul la informații și articolul 107 din Legea vămilor, precum și de politica administrativă descrisă la alineatul (37) din prezentele angajamente, care reflectă măsurile de protecție și de securitate definite în prezentul document. Articolul 160 din Legea vămilor și codurile interne de conduită prevăd sancțiuni penale și de altă natură în eventualitatea nerespectării acestor dispoziții și, după cum s-a menționat mai sus, Comisariatul Canadei care răspunde de protecția vieții private este autorizat, în conformitate cu Legea privind protecția informațiilor cu caracter personal, să inițieze o anchetă privind divulgarea informațiilor cu caracter personal.
36. Politica ASFC în domeniul divulgării informațiilor DP stabilește procedurile care trebuie aplicate de toți angajații ASFC care au acces la informații IPP și DP. Politica ASFC este aceea de a proteja confidențialitatea informațiilor și de a le gestiona în conformitate cu legislația canadiană și cu politicile ASFC și ale guvernului canadian în domeniul gestionării și al securității informațiilor, descrise la alineatul (38).
37. Politica ASFC în domeniul divulgării datelor DP prevede:
(a) că un agent poate divulga date IPP și DP și poate permite accesul la acestea sau utilizarea lor numai în cazul în care este autorizat de lege în acest sens și respectă politica ASFC;
(b) că agenții ar trebui să ia toate măsurile corespunzătoare pentru a garanta că terților li se comunică numai informațiile esențiale;
(c) că informațiile vor fi divulgate numai într-un scop autorizat specific și vor fi limitate la volumul minim necesar pentru îndeplinirea scopului respectiv;
(d) că informațiile vor fi furnizate numai persoanelor care trebuie să le consulte în cadrul activității lor profesionale sau vor fi accesate numai de aceste persoane;
(e) că, sub rezerva dispozițiilor Legii privind protecția informațiilor cu caracter personal, ale Legii privind accesul la informații și ale Legii arhivelor naționale, orice informație divulgată va fi distrusă sau returnată după utilizare, în conformitate cu politicile de gestionare a informațiilor ale ASFC și ale Consiliului Trezoreriei din Canada.
38. Politica ASFC în domeniul divulgării datelor DP face parte dintr-un grup de politici ale ASFC privind protecția și gestionarea informațiilor colectate în conformitate cu mandatul său legal. De asemenea, întregul personal al ASFC se angajează să respecte politicile de securitate ale guvernului canadian în ceea ce privește protecția sistemelor electronice și protecția datelor [3].
39. Toți angajații ASFC cunosc aceste politici și consecințele nerespectării lor și sunt conștienți că respectarea lor este o condiție a păstrării locului de muncă.
Reciprocitate
40. Legea aeronauticii permite transportatorilor aerieni canadieni — indiferent de aeroportul lor de plecare — sau oricărui transportator aerian care operează zboruri ce pleacă din Canada să furnizeze unui stat străin informații privind persoanele care se află la bordul acestor aeronave și care au ca destinație statul respectiv, în cazul în care legislația statului în cauză impune furnizarea datelor respective.
41. În cazul în care Comunitatea Europeană, Uniunea Europeană sau oricare dintre statele sale membre decide să introducă un sistem de identificare a pasagerilor aerieni și adoptă o legislație care impune tuturor transportatorilor aerieni să asigure autorităților europene accesul la datele IPP și DP pentru pasagerii al căror itinerar de călătorie curent include un zbor cu destinația Uniunea Europeană, articolul 4.83 din Legea aeronauticii va permite transportatorilor aerieni să dea curs unei astfel de solicitări.
Revizuirea și încetarea angajamentelor
42. Prezentele angajamente se vor aplica pentru o perioadă de trei ani și șase luni (trei ani și jumătate), începând de la data intrării în vigoare a unui acord dintre Canada și Comunitatea Europeană de autorizare a prelucrării datelor IPP și DP de către transportatorii aerieni, în scopul transferării acestor date către ASFC, în conformitate cu directiva. După o perioadă de doi și șase luni (doi ani și jumătate) de la intrarea în vigoare a prezentelor angajamente, ASFC va iniția discuții cu Comisia în scopul extinderii angajamentelor și a oricăror înțelegeri aferente, în condiții reciproc acceptabile pentru ambele părți. În cazul în care nu se poate încheia nici o înțelegere acceptabilă pentru ambele părți înainte de expirarea acestor angajamente, angajamentele nu se mai aplică datelor colectate începând de la acea dată. Datele colectate în perioada de valabilitate a angajamentelor vor rămâne protejate de clauzele prezentelor angajamente, până la ștergerea lor.
43. ASFC își îndeplinește angajamentele aplicând legislația canadiană în vigoare sau, în cazul angajamentelor care nu sunt deja cuprinse în legislația canadiană, regulamente formulate în mod specific în acest scop sau proceduri administrative.
[1] Alineatul (3) literele (a)-(f) conține următoarele date IPP: (a) numele de familie, prenumele și eventual alte prenume ale persoanei respective; (b) data nașterii; (c) sexul; (d) cetățenia sau naționalitatea; (e) tipul și numărul documentului de călătorie care identifică respectiva persoană și numele țării în care a fost eliberat documentul de călătorie; (f) numărul dosarului de rezervare, dacă este cazul, sau, în cazul în care este vorba de persoana care răspunde de mijlocul de transport comercial sau de oricare alt membru al echipajului care nu are număr de dosar de rezervare, notificarea statutului său de membru al echipajului.
[2] Această lege stabilește formalitățile care trebuie îndeplinite înainte de distrugerea arhivelor guvernamentale.
[3] Aceste politici cuprind: Politica guvernului în domeniul securității, publicată de Secretariatul Consiliului Trezoreriei Canadei la 1 februarie 2002 și Standardul operațional de securitate a tehnologiei informației (MITS), publicat de Secretariatul Consiliului Trezoreriei Canadei la 31 mai 2004.
--------------------------------------------------
ANEXA "A"
ELEMENTE DE DATE DP SOLICITATE DE CĂTRE ASFC DE LA TRANSPORTATORII AERIENI
1. Nume
2. Date IPP
3. Cod de referință al înregistrării din DP
4. Data prevăzută a călătoriei
5. Data rezervării
6. Data emiterii biletului
7. Agențiile de turism
8. Agentul de turism
9. Numere de telefon de contact
10. Adresa de facturare
11. Modalitatea de plată
12. Informații privind persoanele care călătoresc frecvent
13. Informații privind emiterea biletelor
14. Numărul biletului
15. Informații privind DP scindate/divizate
16. Pasageri de ultim moment fără rezervare
17. Pasager înregistrat în trecut că nu s-a prezentat pentru călătorie
18. Informații privind întregul itinerar al călătoriei
19. Informații stand-by
20. Alte nume care figurează în DP
21. Ordinea de înregistrare
22. Numerele etichetelor de bagaje
23. Informații privind locul
24. Numărul locului
25. Bilete dus
--------------------------------------------------
| Sus |