a Kanadai Határszolgálati Ügynökség rendelkezésére bocsátott, a légiutasok utasnyilvántartási adatállományában tárolt személyes adatok megfelelő védelméről

tekintettel a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló, 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvre (1) és különösen annak 25. cikke (6) bekezdésére,

A 95/46/EK irányelv 25. cikke (2) bekezdésére tekintettel, a Kanadai Határszolgálati Ügynökség (a továbbiakban: CBSA [Canada Border Services Agency]) a mellékletben megállapított kötelezettségvállalásokkal összhangban úgy tekintendő, mint amely a Közösség részéről történő, Kanadába tartó légijáratokra vonatkozó PNR-adatok továbbításához szükséges megfelelő védelmi szintet biztosítja.

E határozat a CBSA által biztosított védelem megfelelőségét érinti a 95/46/EK irányelv 25. cikke (1) bekezdése előírásainak való megfelelés céljából és nem érinti az említett irányelv egyéb rendelkezéseit végrehajtó, a személyes adatok tagállamokon belül történő feldolgozására vonatkozó egyéb feltételeket és korlátozásokat.

(1) Azon hatáskörök sérelme nélkül, amelyek alapján a tagállamok illetékes hatóságai felléphetnek a 95/46/EK irányelv 25. cikkétől eltérő rendelkezések szerint elfogadott nemzeti rendelkezések betartása érdekében, a tagállamok illetékes hatóságai gyakorolhatják a CBSA felé történő adatáramlás felfüggesztésére vonatkozó már fennálló hatáskörüket abból a célból, hogy megvédjék a magánszemélyeket személyes adataik feldolgozására való tekintettel a következő esetekben:

(2) A felfüggesztésnek véget kell vetni, amint a biztonsági követelmények biztosítva vannak és az érintett tagállamok illetékes hatóságát erről értesítették.

(1) A tagállamok késedelem nélkül értesítik a Bizottságot, amennyiben a 3. cikk szerinti intézkedéseket hoznak.

(2) A tagállamok és a Bizottság kölcsönösen értesítik egymást minden, az adatvédelmi követelményrendszerben beálló változásról és azon esetekről, amelyekben a mellékletben megállapított, a CBSA által felállított adatvédelmi követelményrendszernek való megfelelés biztosításáért felelős illetékes szervek fellépése nem biztosítja e megfelelést.

(3) Amennyiben a 3. cikk, illetve ugyanezen cikk (1) és (2) bekezdése értelmében begyűjtött információ bizonyítékul szolgál arra, hogy a természetes személyek védelmének megfelelő szintjéhez szükséges alapelveket már nem tartják be, vagy hogy a mellékletben megállapított, a CBSA által felállított adatvédelmi követelményrendszernek való megfelelés biztosításáért felelős illetékes szervek nem végzik eredményesen feladatukat, a CBSA-t értesíteni kell, és amennyiben szükséges, a 95/46/EK rendelet 31. cikke (2) bekezdésében említett eljárást kell alkalmazni e határozat hatályon kívül helyezésére vagy felfüggesztésére.

E határozat alkalmazását felügyelni kell és a 95/46/EK irányelv 31. cikke értelmében felállított bizottságnak jelenteni kell bármely vonatkozó ténymegállapítást, beleértve minden olyan ténymegállapítást, amely érintheti az ezen határozat 1. cikkében szereplő azon megítélést, hogy a CBSA részére továbbított, a légiutasok PNR-je által tartalmazott személyes adatok védelme a 95/46/EK irányelv 25. cikkének értelmében megfelelő.

A tagállamok e határozat kihirdetését követő négy hónapon belül megtesznek minden, annak alkalmazásához szükséges intézkedést.

E határozat a kihirdetését követő három év és hat hónap leteltével jár le, amennyiben a 95/46/EK irányelv 31. cikke (2) bekezdésében megállapított eljárással összhangban nem hosszabbítják meg azt.

(2) Ezen határozat alkalmazásában a PNR kifejezés a CBSA kötelezettségvállalásának 4. szakaszában meghatározott előzetes utasinformációs adatokat is magában foglalja.

(3) Utasinformációs (vámigazgatási) rendelkezések és a bevándorlók és menekültek védelméről szóló rendelkezések 269. sz. rendelkezése.

(4) A munkacsoport által 2004. február 11-én elfogadott, az utasnyilvántartási adatállomány és az előzetes utasinformáció légitársaságoktól történő továbbításához szükséges, Kanadában biztosított biztonsági szintről szóló 3/2004 sz. vélemény, amely az alábbi internetes oldalon érhető el: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp88_en.pdf

A munkacsoport által 2005. január 19-én elfogadott, az utasnyilvántartási adatállomány és az előzetes utasinformáció légitársaságoktól történő továbbításához szükséges, Kanadában biztosított biztonsági szintről szóló 1/2005 sz. vélemény, amely az alábbi internetes oldalon érhető el: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp103_en.pdf

MELLÉKLET

A KANADAI HATÁRVÉDELMI ÜGYNÖKSÉG PNR-PROGRAMJÁNAK ALKALMAZÁSÁVAL KAPCSOLATOS KÖTELEZETTSÉGVÁLLALÁSAI

Törvényes felhatalmazás az API- és PNR-adatok gyűjtésére

A kanadai törvények minden légiszállítótól megkövetelik, hogy a Kanadai Határszolgálati Ügynökségnek (a továbbiakban: CBSA) szolgáltasson előzetes utasinformációs adatokat (a továbbiakban: API) és az utasnyilvántartási adatállomány (a továbbiakban: PNR) adatait, minden olyan személyről, aki repülőgéppel Kanadába utazik. Az ilyen adatok megszerzésére és összegyűjtésére szóló törvényes felhatalmazás a vámigazgatási törvények 107.1. szakaszán, az ennek értelmében létrehozott utasinformációs (vámigazgatási) rendelkezéseken [Passenger Information (Customs) Regulations], a bevándorlók és menekültek védelméről szóló okmány [Immigration and Refugee Protection Act] (148) bekezdése 1. pontja d) alpontján, az ennek értelmében létrehozott, a bevándorlók és menekültek védelméről szóló rendelkezések [Immigration and Refugee Protection Regulations] 269. sz. rendelkezésén alapul.

Az API- és PNR-adatok gyűjtésének célja

A CBSA csak a Kanadába érkező járatok esetében fogja az API- és PNR-adatokat gyűjteni. A CBSA az európai és egyéb légiszállítóktól összegyűjtött API- és PNR-adatokat kizárólag olyan személyek azonosítására fogja használni, akiknél fennáll a veszélye annak, hogy a terrorizmushoz vagy a terrorizmushoz kapcsolódó bűncselekményekhez vagy egyéb, transznacionális jellegű súlyos bűncselekményekhez — beleértve a szervezett bűnözést — kapcsolódó árut hoz be az országba, illetve olyan személyek esetében, akik a fentiekben felsorolt bűncselekményekkel való lehetséges kapcsolatuk miatt nem engedhetők be Kanadába.

A CBSA az API- és PNR-adatok segítségével személyeket választ ki, akiket Kanadába érkezésükkor kihallgatásnak vagy vizsgálatnak vet alá, illetve akik esetében a 2. pont alatt felsorolt okokból kifolyólag további nyomozás szükséges. Csak az API- és PNR-adatok automatikus feldolgozása miatt sem a CBSA, sem más kanadai bűnüldözési hatóságok nem kezdik bűnüldözési intézkedés foganatosítását.

Összegyűjtött API- és PNR-adatok

A 2. pontban megjelölt célok érdekében a CBSA által összegyűjtött API-adatelemeket tartalmazó listát a vámigazgatási törvények értelmében létrehozott utasinformációs (vámigazgatási) rendelkezések (3) bekezdésének a)–f) pontjai rögzítik (1). A 2. pontban megjelölt célok érdekében a CBSA által összegyűjtött API-adatelemeket tartalmazó listát az A. függelék rögzíti. A nagyobb biztonság kedvéért a 95/46/EK irányelv (a továbbiakban: az irányelv) 8. 1. cikkének értelmében alkalmazott „szenzitív adatelemek” és minden „szabad szöveg” vagy „általános megjegyzések” rovat ezen 25 adatelem közé nem kerül befoglalásra.

A CBSA nem fogja megkívánni egy légiszállítótól egyrészt, hogy olyan PNR-adatokat gyűjtsön, amelyeket egyébként nem tartana nyilván saját céljaira, másrészt, hogy kiegészítő adatokat gyűjtsön a célra, hogy azok a CBSA számára hozzáférhetővé váljanak. Ennélfogva a CBSA megerősíti, hogy az A. függelékben felsorolt adatelemeket csak abban az esetben fogja gyűjteni, amennyiben a légiszállító vállalta, hogy azokat automatizált foglalási rendszerébe és indulásellenőrzési rendszerébe [departure control systems] helyezi.

A CBSA mielőtt átnézné az A. függelékben rögzített 25 PNR-adatelemet, azok felülvizsgálatáról konzultál és megegyezik az Európai Bizottsággal, abban az esetben,

(a)	ha további hozzáférhető PNR-adatelem jut a CBSA tudomására, és úgy véli, hogy az adatelem szükséges a 2. szakaszban meghatározott célokra való felhasználáshoz; vagy

(b)	ha a CBSA-nak bármikor tudomására jut, hogy egy kifejezett PNR-adatelem a továbbiakban nem szükséges a 2. szakaszban meghatározott célokra való felhasználáshoz.

Az API- és PNR-adatokhoz való hozzáférés módja

7.	A CBSA utasinformációs rendszere (a továbbiakban: PAXIS-rendszer) úgy került felépítésre, hogy fogadni tudja a légiszállítók által lehívott API- és PNR-adatokat.

Az API- és PNR-adatokhoz való hozzáférés és az adatok megőrzése

Amennyiben az API- és PNR-adatok olyan személyhez kapcsolódnak, aki ellen Kanadában nem folyik nyomozás a 2. szakaszban meghatározott célokból kifolyólag, a vonatkozó adatok legfeljebb 3 év 6 hónapig kerülnek megőrzésre a PAXIS-rendszerben. Ezen idő alatt az adatok egyre személytelenebb mértékben kerülnek megőrzésre, a következő módon:

(a)

Az API- és PNR-adatok kézhezvételétől számított 72 órán keresztül azokhoz csak a CBSA operátorainak és felderítő tisztjeinek korlátozott száma férhet hozzá olyan személyek azonosítása céljából, akiket Kanadába érkezésükkor kihallgatásnak vagy vizsgálatnak vetnek alá, illetve akik esetében a 2. szakasz alatt felsorolt okokból kifolyólag további nyomozás szükséges.

(b)

A 72 óra lejárta és a kézhezvételtől számított két év vége közötti időszakban egy személy PNR-rekordja továbbra is a PAXIS-rendszerben marad megőrzésre, ám ahhoz kizárólag a CBSA felderítő tisztjei férhetnek hozzá, akik Kanada egyik nemzetközi repülőterén vagy a CBSA nemzeti székhelyén, Ottawában teljesítenek szolgálatot. A személy neve, akire az információ vonatkozik, ezen hatóságok számára nem lesz hozzáférhető, hacsak ez nem szükséges a 2. szakaszban meghatározott célokból kifolyólag egy Kanadában folytatandó nyomozás érdekében. A PNR-rekord csak abban az esetben kerül újra személyesítésre, ha a hatóságok úgy ítélik meg, hogy a személy nevének ismerete elengedhetetlen a nyomozás lefolytatása érdekében. Ezen időszak alatt a személytelenített adatokat kizárólag a CBSA felderítő elemzői használják trendelemzésekre, valamint a 2. szakaszban meghatározott célokkal összefüggő jövőbeli veszélyindikátorok fejlődésének vizsgálatára.

(c)

A kézhezvételtől számított két év után a PNR-rekord további legfeljebb 1 év 6 hónapos időszakra a PAXIS-rendszerben még megőrzésre marad, azonban az összes adatelem, amely azon személy azonosítására szolgálhatna, akire az információ vonatkozik, csak akkor hozzáférhető, ha a CBSA elnöke azt a 2. szakaszban meghatározott célokból kifolyólag jóváhagyta. Ezen időszak alatt a személytelenített adatokat kizárólag a CBSA felderítő elemzői használják trendelemzésekre, valamint a 2. szakaszban meghatározott célokkal összefüggő jövőbeli veszélyindikátorok fejlődésének vizsgálatára.

(d)

Az API-adatok a PNR-adatoktól elkülönítve kerülnek tárolásra a PAXIS-rendszerben. A PAXIS-rendszerben legfeljebb 3 év 6 hónapos időszakra megőrzésre maradnak, azonban ezen időszak folyamán a személyre vonatkozó API-adatok nem használhatók a személlyel kapcsolatos PNR-adatokhoz való hozzáférés megszerzésére, hacsak a PNR-rekord nem került újra személyesítésre a b) bekezdésben leírt körülmények között.

Amennyiben az API- és PNR-adatok olyan személyhez kapcsolódnak, aki ellen Kanadában nyomozás folyik a 2. szakaszban meghatározott célokból kifolyólag, a vonatkozó adatok a CBSA bűnüldözési adatbázisába kerülnek elhelyezésre. Ezek az adatbázisok csak olyan személyekkel kapcsolatos adatokat tartalmaznak, akik ellen a CBSA jogszabályai értelmében nyomozás vagy bűnüldözési intézkedés folyt. Az ezekhez az adatbázisokhoz való hozzáférés csak azoknak a CBSA-tisztviselőknek biztosított, akiknek feladatkörébe tartozik az ilyen jellegű és szoros felügyelet alatt történő hozzáférés. Az ilyen bűnüldözési adatbázisba helyezett API- és PNR-adatok csak a szükséges időszakra maradnak ott megőrzésre, de semmi esetre sem 6 évet meghaladó időre, amely időpontban megsemmisítésre kerülnek, feltéve, ha nem szükséges kiegészítő időszakra történő további megőrzésük az adatvédelmi törvények vagy az adatokhoz való hozzáférésre vonatkozó törvények rendelkezései alapján, ahogy az a 10. pont b) alpontjában kifejtésre került.

10.

Amennyiben a CBSA az érintett személy érdekeit befolyásoló döntéshozatal céljára használ fel személyes adatokat, azokat a használatot követő 2 év során meg kell őriznie annak érdekében, hogy az érintett személy hozzáférhessen a döntéshozatal alapjául szolgáló információkhoz, hacsak az érintett személy nem engedélyezi azok korábbi megsemmisítését, illetve az adatokhoz való hozzáférésre vonatkozó kérelem esetében az érintett személy számára fenn kell tartani a lehetőséget, hogy gyakorolhassa az adatvédelmi törvények, illetve az adatokhoz való hozzásférésre vonatkozó törvények értelmében biztosított összes jogát.

(a)	A PAXIS-adatbázisban megőrzött adatok esetében az előírt kétéves megőrzési kötelezettség benne foglaltatik a legfeljebb 3 és fél éves időszakban, amely alatt az adatok ebben az adatbázisban megőrzésre maradnak.

(b)

Bűnüldözési adatbázisban megőrzött adatok esetében az API- és PNR-adatok szükséges esetben legfeljebb 6 évig maradhatnak megőrzésre és a CBSA a 9. szakaszban leírt nyomozási célokra használhatja azokat, valamint további legfeljebb 2 évre, amely időszak alatt az adatvédelmi törvények, illetve az adatokhoz való hozzáférésre vonatkozó törvények értelmében az érintett személy hozzáférhet azokhoz, azonban a CBSA nem használhatja azokat adminisztrációs célokra.

11.	Az API- és PNR-adatok a 8–10. szakaszban leírt megőrzési időszakok lejártakor a nemzeti levéltári törvény [National Archive Act] (2) előírásainak megfelelően megsemmisítésre kerülnek.

API- és PNR-adatoknak más kanadai szervezeti egységek és ügynökségek számára történő közzététele

12.

Az API- és PNR-adatok CBSA által történő bárminemű közzétételét az adatvédelmi törvények, az adatokhoz való hozzáférésre vonatkozó törvények és a CBSA saját jogszabályai irányítják. Bár mentesség vagy kizárás hiányában az adatvédelmi törvények és az adatokhoz való hozzáférésre vonatkozó törvények biztosítják a nyilvántartásokba való betekintés jogát, ezek nem írják elő az API- és PNR-adatok bárminemű kötelező közzétételét. A CBSA weboldalán a nyilvánosság számára hozzáférhetővé teszi az API- és PNR-adatok közzétételét, az azokba való betekintést, valamint az azok felhasználását szabályozó Interim Administrative Guidelines for the Disclosure, Access to and Use of Passenger Name Record (PNR) Data elnevezésű D-1-16-3 szabályzatának (a továbbiakban: a CBSA-nak a PNR-adatok közzétételére vonatkozó politikája) egy példányát. A kötelezettségvállalások 37. szakaszában leírásra kerülő politika értelmében az API- és PNR-adatokat csak a 2. szakaszban rögzített célok esetében lehet más kanadai szervezeti egységekkel megosztani, kivéve, ha a közzététel megidézési vagy elfogatóparancsot, vagy kanadai joghatóság alá tartozó bíróság, személy vagy szervezet adatszolgáltatási felszólítását követően történik, illetve bármely bírósági eljárás céljára.

13.

Az API-és PNR-adatok nem kerülnek ömlesztett formában való közlésre. A CBSA kizárólag eseti alapon és a közzétételre szánt PNR-adatok jelentőségének értékelését követően közli a kiválasztott API- és PNR-adatokat. Csak azokat az API- és PNR-adatelemeket fogja rendelkezésre bocsátani, amelyekről egyértelműen bizonyítást nyert, hogy az adott esetben nélkülözhetetlenek. Minden esetben a lehető legkevesebb adatot bocsátja rendelkezésre.

14.

A CBSA csak abban az esetben tesz közzé API- és PNR-adatokat, amelyekben a címzett kötelezettséget vállal ugyanolyan mértékű adatvédelem mellett, mint amilyenen a CBSA adatvédelme alapul. Az adatvédelmi törvények által támasztott követelmények kötelezik a PNR-adatokat átvevő kanadai kormányzati címzetteket is, amennyiben azok ezen jogszabály programjában felsorolásra kerülnek. Az adatvédelmi törvények olyan személyes adatokra alkalmazandók, amelyek egy azonosítható személyre vonatkoznak, és amelyek bármilyen formában, e törvények hatálya alá tartozó kanadai szövetségi kormányzati szervezeti egysége vagy ügynöksége ellenőrzésével vannak nyilvántartva. Ilyen szervezeti egység vagy ügynökség nincs felhatalmazva személyes adatok gyűjtésére, hacsak az „nem kapcsolódik közvetlenül az intézmény operatív programjához vagy tevékenységéhez”.

15.	A CBSA kialakult szokásból a közzététel feltételeként kötelezettségvállalást követel a kanadai szövetségi vagy tartományi bűnüldözési hatóságoktól, hogy a kapott adatokat nem továbbítják a CBSA engedélye nélkül, hacsak azt a törvény másként nem kívánja meg.

Az API- és PNR-adatok közzététele más országok számára

16.	Az adatvédelmi törvények 8. alszakaszának (2) bekezdése és a vámigazgatási törvények 107. alszakaszának (8) bekezdése értelmében hozott megegyezésnek vagy megállapodásnak megfelelően a CBSA megoszthatja az API- és PNR-adatokat külföldi állam kormányával.

17.

Ilyen megegyezések vagy megállapodások egy kifejezetten a CBSA PNR-programjának céljaira kidolgozott egyetértési megállapodást vagy szerződést tartalmazhatnak, amely a CBSA illetékeseit segítségnyújtásra és adatszolgáltatásra kötelezi. Mindkét esetben az adatok csak a 2. szakaszban leírt célokra való felhasználás esetén kerülnek megosztásra, valamint csak akkor, ha az átvevő ország a kötelezettségvállalásoknak megfelelő mértékű adatvédelmet vállal. Minden esetben a lehető legkevesebb adatot bocsátja rendelkezésre más országok számára.

18.	A PAXIS-ban megőrzött API- és PNR-adatok csak olyan országgal kerülnek megosztásra, amely az irányelv szerinti megfelelési megállapítást kapott, illetve az irányelv hatálya alá tartozik.

19.

A 9. szakaszban leírt bűnüldözési adatbázisban megőrzött API- és PNR-adatok egy kölcsönös vámigazgatási segítségnyújtásról szóló egyezménynek [Customs Mutual Assistance Agreement] és egy kölcsönös jogi segítségnyújtásról szóló egyezménynek [Mutual Legal Assistance Agreement] megfelelően kerülnek megosztásra. Ebben az esetben az API- és PNR-adatelemek kizárólag eseti alapon kerülnek megosztásra, és azzal a feltétellel, hogy a CBSA a kérelmet a nyomozással vagy a 2. szakaszban megjelölt bűntett megelőzésével közvetlenül összekötő bizonyítékkal rendelkezik, valamint csak abban az esetben, ha a szolgáltatott adatok kifejezetten szükségesek a szóban forgó nyomozás lefolytatásához.

Az API- és PNR-adatoknak az érintett személy létfontosságú érdekében történő közzététele

20.

A kötelezettségvállalásokban említettek ellenére a CBSA közzétehet API- és PNR-adatokat a megfelelő kanadai vagy más kormányzati szervezeti egységeknek és ügynökségeknek, amennyiben a közzététel szükséges az érintett vagy egyéb személy létfontosságú érdekének védelme szempontjából, különösen jelentős egészségügyi veszélyeztetés esetében.

Az érintett személy tájékoztatása

21.

A CBSA tájékoztatja az utazóközönséget arról, hogy mely adatok szükségesek az API- és PNR-adatállomány feltöltéséhez, valamint a API-adatok felhasználásával kapcsolatos kérdésekről, például általános tájékoztatást nyújt arról a hatóságról, amelynek hatáskörében az adatot begyűjtik, az adatgyűjtés céljáról, az adatvédelemről, az adatmegosztás módjáról és kiterjedéséről, az illetékes CBSA-tisztviselő személyazonosságáról, lehetséges jogorvoslati eljárásokról, a kérdésekkel, problémákkal rendelkező személyek kapcsolattartóiról.

A CBSA PNR-programjának jogi felülvizsgálati mechanizmusa

22.	A PNR-program megfelelőségi felülvizsgálatok és vizsgálatok tárgya lehet a kanadai adatvédelmi biztos és a kanadai általános könyvvizsgálói hivatal [Office of the Auditor General of Canada] részéről.

23.

Kanada független adatvédelmi hatósága, az adatvédelmi biztos folytathat vizsgálatot az ügyben, hogy a kormányzati szervek és ügynökségek betartják-e az adatvédelmi törvényekben foglaltakat, valamint ellenőrizheti milyen mértékben tartja be a CBSA ezeket a kötelezettségvállalásokat. Az elfogadott szabványcélkitűzéseknek és kritériumoknak megfelelően az adatvédelmi biztosi hivatalnak az adatvédelem gyakorlatával és felülvizsgálatával foglalkozó részlege [Privacy Practices and Review Branch of the Office of the Privacy Commissioner] folytathat megfelelőségi felülvizsgálatokat és vizsgálatokat. A kanadai adatvédelmi biztos közzéteheti azokat az adatokat, amelyek megítélése szerint szükségesek az adatvédelmi törvények értelmében folytatandó vizsgálathoz, illetve ezen törvények értelmében készített jelentésben tartalmazott ajánlások és megállapítások alátámasztásához.

24.

A kanadai általános könyvvizsgálói hivatal [Office of the Auditor General of Canada] független ellenőrzéseket végez a kanadai szövetségi kormányzati műveletekről. Ezek az ellenőrzések objektív adatokat szolgáltatnak a kanadai parlament tagjai és a közvélemény számára annak érdekében, hogy elősegítsék a kormányzati tevékenységek nyomon követését és az azokról való elszámolást.

25.

Az adatvédelmi biztos és az általános könyvvizsgálói hivatal által készített jelentések végső másolatai a parlamentnek eljuttatott éves jelentések keretében hozzáférhetőek a nagyközönség számára, és – megítéléstől függően – az interneten is. A CBSA lehetővé teszi a Bizottság számára a hozzáférést mindazon jelentések másolatához, amelyek valamilyen módon a PNR-programhoz kapcsolódnak.

A CBSA PNR-programjának közös felülvizsgálata

26.	A fent említett, a kanadai törvények értelmében lefolytatott felülvizsgálati folyamat kiegészítéseként a CBSA minden évben, vagy ahogy a körülmények megkívánják és a Bizottsággal egyeztetve, részt vesz a PNR-program közös felülvizsgálatában a CBSA-nak továbbított API- és PNR-adatok vonatkozásában.

Helyreigazítás

Jogi keret

27.

A Kanada alkotmányának részét képező kanadai jogok és szabadságjogok chartája (a továbbiakban: a charta [Charter of Rights and Freedoms]) alkalmazandó minden kormányzati tevékenységre, a jogalkotást is beleértve. A charta 8. szakasza biztosítja az egyén azon jogát, hogy biztonságban legyen az indokolatlan kutatás és lefoglalás ellen, valamint védelmet nyújt a méltányosan elvárható magánélet vonatkozásában. A charta 24. szakasza lehetőséget nyújt az érintett számára, hogy jogainak megsértése esetén hatáskörrel rendelkező bírósághoz forduljon, és olyan jogorvoslatban részesüljön, amilyet a bíróság megfelelőnek ítél az adott helyzetben.

28.

Az adatokhoz való hozzáférésre vonatkozó törvények 1. számú kiterjesztése biztosítja a kanadai szövetségi kormányzat szervezeti egységének ellenőrzése alatt a Kanadában tartózkodó külföldi állampolgárok számára a nyilvántartásokba való betekintés jogát. Az ezen törvényekben meghatározott mentességekre is figyelemmel, egy Kanadában tartózkodó külföldi állampolgár vagy egy Kandában tartózkodó személy a nem Kanadában tartózkodó külföldi állampolgár beleegyezésével az adatokhoz való hozzáférésre vonatkozó törvények keretében kérheti a szóban forgó külföldi állampolgárra vonatkozó adatokhoz való hozzáférést, és ezt a hozzáférést az ezen törvényekben meghatározott különleges és korlátozott számú mentességekre és kizárásokra is figyelemmel, meg is kaphatja.

29.

Az adatvédelmi törvények értelmében a személyes adatokhoz való hozzáférés, valamint javítások és megjegyzések tételére vonatkozó kérelem a 2. számú kiterjesztés értelmében minden Kanadában tartózkodó személy számára biztosított. Ennek következtében az ezen törvényekben meghatározott mentességekre is figyelemmel, egy külföldi állampolgár gyakorolhatja ezen jogait, amennyiben Kanadában tartózkodott.

Adminisztrációs keretek

30.

Az egyénre vonatkozó személyes adatokat tároló kormányzati szervezeti egység mindamellett adminisztratív úton jóváhagyhatja a hozzáférés, a javítás és a megjegyzés tételének a jogát külföldi állampolgárok számára, akik nem tartózkodnak Kanadában. A CBSA a rendelkezésére álló API- és PNR-adatok tekintetében ezen jogokat kiterjeszti EU-állampolgárokra vagy más, nem Kanadában tartózkodó személyekre is, feltéve, hogy a közzététel egyébként is törvényileg engedélyezett.

31.

Az adatvédelmi biztos panaszeljárást kezdményezhet, ha „meggyőződött arról, hogy az adatvédelmi törvények értelmében megfelelő indokok állnak fenn egy ügy kivizsgálásához” és kellő hatáskörrel rendelkezik bármilyen panasz tekintetében vizsgálat lefolytatásához. Ezenkívül az adatvédelmi biztos kezelheti az Európai Unió bármelyik tagállamának adatvédelmi hatóságai által felé továbbított, a Közösség területén lakóhellyel rendelkező polgároktól beérkező panaszokat, amennyiben az érintett polgár felhatalmazta az adatvédelmi hatóságot a nevében történő eljárásra, és amennyiben az érintett polgár úgy véli, hogy az API- és PNR-adatokra vonatkozó adatvédelmi panaszát a CBSA nem vizsgálta ki kielégítően, a 30. bekezdésben megállapított módon. Az adatvédelmi biztos következtetéseit jelentésbe foglalja és minden meghozott intézkedésről értesíti az érintett adatvédelmi hatóságokat.

32.

Az adatvédelmi biztos különleges hatáskörrel is rendelkezik annak kivizsgálásához, hogy a kanadai kormányzati szervek és ügynökségek milyen mértékben tartják be az adatvédelmi törvényekben foglaltakat a személyes adatok gyűjtésére, megőrzésére, felhasználására, közzétételére és megsemmisítésére vonatkozóan.

Az adatok biztonsága

33.

A PAXIS-rendszerhez való hozzáférés csak a CBSA operátorainak és felderítő tisztjeinek korlátozott számára lesz biztosított, akik Kanada regionális hivatalainak utaskezelési egységeiben, illetve a CBSA székhelyén, Ottawában teljesítenek szolgálatot. Ezek a tisztek a nyilvánosság számára megközelíthetetlen, védett helyiségekben férhetnek hozzá a PAXIS-rendszerhez.

34.

Ahhoz, hogy a tisztek hozzáférhessenek a PAXIS-rendszerhez, két különböző bejelentkezési kódot [login], a rendszer által létrehozott azonosító kódot [user ID] és jelszót [password] kell használniuk. Az első bejelentkezési kód a CBSA helyi hálózatába [CBSA’s Local Area Network] enged belépést, a második pedig az integrált vámrendszerbe [Integrated Customs System], ahonnan be lehet lépni a PAXIS-ba. A CBSA hálózatába és minden, a PAXIS-ban tárolt adathoz való belépés szigorú ellenőrzés alatt történik és válogatott felhasználói csoportra korlátozódik, valamint minden kérdés és a rendszerben található utasok adatainak vizsgálata ellenőrzés tárgyát fogja képezni. Az ellenőrzésről készült jelentés tartalmazza a felhasználó nevét, a felhasználó munkahelyét, a hozzáférés dátumát és időpontját, valamint a megtekintett adatok PNR-dokumentumának számát. Ezenkívül a CBSA a rendszeren belül korlátozza bizonyos API- és PNR-adatelemekhez való hozzáférést „szükséges tudni” [„need to know”] (felhasználó típusa/profilja) alapon. A hozzáférésekkel kapcsolatos ellnőrzések biztosítják, hogy az API- és PNR-adatokhoz való hozzáférés csak a 33. szakaszban leírt személyek számára a 2. szakaszban meghatározott célokra legyen engedélyezhető.

35.

Az API- és PNR-adatokhoz való hozzáférést, azok használatát és közzétételét az adatvédelmi törvények és az adatokhoz való hozzáférésre vonatkozó törvények, valamint a vámigazgatási törvények 107. szakasza és ezen kötelezettségvállalások 37. szakaszában leírt adminisztrációs politika irányítják, amelyek hűen tükrözik az ebben a dokumentumban körvonalazott védelmi és biztonsági intézkedéseket. A vámigazgatási törvények 160. szakasza és belső magatartási kódexek büntetőjogi és egyéb intézkedéseket írnak elő arra az esetre, ha ezek a politikák nem kerülnek betartásra és, ahogy az a fentiekben megállapításra került, az adatvédelmi biztos az adatvédelmi törvények értelmében hatáskörrel rendelkezik, hogy vizsgálatot kezdeményezzen a személyes adatok közzétételének tekintetében.

36.

A CBSA-nak a PNR-adatok közzétételére vonatkozó politikája rögzíti az összes, az API- és PNR-adatokhoz hozzáféréssel rendelkező CBSA-alkalmazott által követendő eljárásokat. A CBSA politikája értelmében az adatok bizalmas jellegét védeni kell és azokat a kanadai jogszabályoknak, valamint a 38. szakaszban leírtakkal megegyezően a CBSA és a kanadai kormányzat adatkezeléshez és az adatok biztonságához kapcsolódó politikájának megfelelően kell kezelni.

37.

A CBSA-nak a PNR-adatok közzétételére vonatkozó politikája az alábbiakat írja elő:

(a)	egy tisztviselő csak abban az esetben tehet közzé API- és PNR-adatokat, engedélyezhet azokhoz hozzáférést, illetve használhatja azokat, amennyiben arra törvény által és a politikával összhangban felhatalmazása van;

(b)	egy tisztviselőnek mindent meg kell tennie annak biztosítása érdekében, hogy harmadik fél számára csak a lényeges adatok kerüljenek közzétételre;

(c)	az adatok csak különlegesen engedélyezett célra és az arra a célra megkívánt lehető legkisebb mértékben kerülnek közzétételre;

(d)	az adatokat csak olyan személyeknek bocsátják a rendelkezésére, illetve azokhoz csak olyan személyeknek engedélyezik a hozzáférést, akiknek operációs tevékenységükből kifolyólag szükséges azokat látniuk;

(e)

az adatvédelmi törvényekre, az adatokhoz való hozzáférésre vonatkozó törvényekre és a nemzeti levéltári törvényekre is figyelemmel, a CBSA és a kanadai pénzügyi bizottság [Treasury Board of Canada] adatkezelési politikájával összhangban minden közzétett adat használat után megsemmisítésre vagy visszatérítésre kerül.

38.

A CBSA-nak a PNR-adatok közzétételére vonatkozó politikája a CBSA különböző egyéb politikáinak részét képezi, amelyek a CBSA statútumai értelmében gyűjtött adatok védelmére és kezelésére vonatkoznak. Ezenkívül a kanadai kormányzat elektronikusrendszer- és adatvédelemre vonatkozó biztonsági politikái mindegyik CBSA-alkalmazottat kötelezik (3).

39.	A CBSA összes alkalmazottja tisztában van ezekkel a politikákkal és azok megsértésének következményeivel, valamint azzal, hogy az ezen politikákkal való azonosulás alkalmazásuk feltétele.

Viszonosság elve

40.

A légiforgalmi törvények [Aeronautics Act] lehetővé teszik a bármelyik repülőtérről kiinduló, illetve Kanadából induló járatokat üzemeltető kanadai légiszállítóknak, hogy az ilyen járatok fedélzetén utazó személyekre vonatkozó adatokat bocsássanak azon külföldi állam rendelkezésére, ahova a járat tart, amennyiben az adott állam törvényei megkövetelik az adatok rendelkezésre bocsátását.

41.

Ha az Európai Közösség, az Európai Unió vagy bármelyik tagállama egy légitársaság utasazonosító rendszer bevezetése mellett dönt, és olyan jogszabályt fogad el, amelynek értelmében a légiszállítók kötelesek a hatóságok számára rendelkezésre bocsátani az azon személyekre vonatkozó API- és PNR-adatokat, akik útjuk során érintik Európai Unió bármely tagországát, a légiforgalmi törvények 4. 83. szakasza ezt számukra lehetővé teszi.

A kötelezettségvállalások felülvizsgálata és határideje

42.

E kötelezettségvállalások – amelyek érvényességi ideje Kanada és az Európai Közösség között kötött egyezmény hatálybalépésének napjától számított három év és hat hónap (3,5 év) – értelmében az API- és PNR-adatokat az irányelvvel összhangban a légiszállítók ezen adatoknak a CBSA felé való továbbítása céljából dolgozhatják fel. A hatálybalépéstől számított két év és hat hónap (2,5 év) után a CBSA tárgyalásokat kezdeményezhet a Bizottsággal a kötelezettségvállalások és a támogató megegyezések kiterjesztése céljából, kölcsönösen elfogadható feltételek mellett. Amennyiben ezen kötelezettségvállalások megszűnése előtt nem sikerül kölcsönösen elfogadható megegyezésre jutni, a kötelezettségvállalások nem alkalmazhatóak a továbbiakban az attól kezdve gyűjtött adatokra. Az ezen kötelezettségvállalások hatályban létekor gyűjtött adatok a kötelezettségvállalások értelmében törlésükig továbbra is védettek maradnak.

43.	A CBSA a létező kanadai törvények alkalmazása által, illetve amely területen még nincsenek kanadai jogszabályok, ott kifejezetten az arra a célra hozott rendelkezések útján teljesíti kötekezettségvállalásait.

(1) A (3) bekezdés a)–f) pontjai a következő API-adatokat tartalmazzák: a) a személy vezetékneve, utóneve és második utóneve; b) születési idő; c) nem; d) állampolgárság vagy nemzetiség; e) a személyazonosságot igazoló utazási dokumentum típusa, az utazási dokumentumot kibocsátó ország neve és az utazási dokumentum száma; f) amennyiben van, a foglalási helymeghatározó szám, valamint a kereskedelmi szállítással megbízott, foglalási helymeghatározó számmal nem rendelkező személy vagy bármilyen más személyzeti tag esetében, személyzeti tagságukról szóló értesítés.

(2) Ez a törvény rögzíti a kormányzati nyilvántartások megsemmisítését megelőzően követendő formai követelményeket.

(3) Ezek a politikák a kanadai pénzügyi bizottság titkársága által kiadott alábbi kiadványokban kerülnek bemutatásra: Government Security Policy, 2002. február 1.; és Operational Security Standard: Management of Information Technology Security (MITS), 2004. május 31.

A. FÜGGELÉK

A CBSA ÁLTAL A LÉGISZÁLLÍTÓKTÓL BEKÉRT PNR-ADATELEMEK

Név

API-adat

3.	PNR nyilvántartási helymeghatározó kód

4.	Tervezett indulási időpont

5.	A foglalás időpontja

6.	A jegy kiállításának időpontja

7.	Utazási irodák

8.	Utazási ügynök

9.	Kapcsolattartó személy telefonszáma

10.	Számlázási cím

11.	A fizetés módjával kapcsolatos információk

12.	Törzsutas adatok

13.	A jegy kiállításával kapcsolatos információk

14.	A repülőjegy száma

15.	Megosztott/kettős PNR-adatok

16.	Foglalás nélkül utazó utas [go show]

17.	Jegykezelésre nem jelentkezett utas [no show]

18.	Az utazás útvonalával kapcsolatos információk

19.	Betöltetlen helyre váró utasra vonatkozó információk [standby]

20.	A PNR-ben szereplő egyéb nevek

21.	Repülőútra való bejelentkezés [check in]

22.	Csomagjegy száma

23.	Az ülésre vonatkozó információk

24.	Az ülés száma

25.	Csak odaútra szóló jegy