EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32006D0253
2006/253/EC: Commission Decision of 6 September 2005 on the adequate protection of personal data contained in the Passenger Name Record of air passengers transferred to the Canada Border Services Agency (notified under document number C(2005) 3248) (Text with EEA relevance)
2006/253/WE: Decyzja Komisji z dnia 6 września 2005 r. w sprawie odpowiedniej ochrony danych osobowych zawartych w Imiennym Rejestrze Pasażerów linii lotniczych, przekazanym do Agencji Służb Granicznych Kanady (notyfikowana jako dokument nr C(2005) 3248) (Tekst mający znaczenie dla EOG)
2006/253/WE: Decyzja Komisji z dnia 6 września 2005 r. w sprawie odpowiedniej ochrony danych osobowych zawartych w Imiennym Rejestrze Pasażerów linii lotniczych, przekazanym do Agencji Służb Granicznych Kanady (notyfikowana jako dokument nr C(2005) 3248) (Tekst mający znaczenie dla EOG)
OJ L 91, 29.3.2006, p. 49–60
(ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, NL, PL, PT, SK, SL, FI, SV)
OJ L 118M, 8.5.2007, p. 515–526
(MT)
Special edition in Bulgarian: Chapter 07 Volume 015 P. 175 - 186
Special edition in Romanian: Chapter 07 Volume 015 P. 175 - 186
No longer in force, Date of end of validity: 21/09/2009
|
29.3.2006 |
PL |
Dziennik Urzędowy Unii Europejskiej |
L 91/49 |
DECYZJA KOMISJI
z dnia 6 września 2005 r.
w sprawie odpowiedniej ochrony danych osobowych zawartych w Imiennym Rejestrze Pasażerów linii lotniczych, przekazanym do Agencji Służb Granicznych Kanady
(notyfikowana jako dokument nr C(2005) 3248)
(Tekst mający znaczenie dla EOG)
(2006/253/WE)
KOMISJA WSPÓLNOT EUROPEJSKICH,
uwzględniając Traktat ustanawiający Wspólnotę Europejską,
uwzględniając dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu takich danych (1), a w szczególności jej art. 25 ust. 6,
A także mając na uwadze, co następuje:
|
(1) |
Na podstawie dyrektywy 95/46/WE, państwa członkowskie zobowiązane są zapewnić, że przekazanie danych osobowych państwu trzeciemu może mieć miejsce jedynie wtedy, gdy takie państwo trzecie zapewnia odpowiedni poziom ochrony i jeżeli ustawodawstwo państw członkowskich zapewniło spełnienie innych postanowień dyrektywy przed dokonaniem takiego przekazania. |
|
(2) |
Komisja może uznać, że państwo trzecie zapewnia odpowiedni poziom ochrony. W takim przypadku, dane osobowe mogą zostać przekazane z państw członkowskich bez wymagania dodatkowych gwarancji. |
|
(3) |
Na podstawie dyrektywy 95/46/WE, poziom ochrony danych powinien zostać oceniony w świetle wszystkich okoliczności związanych z operacją przekazania danych lub z kilkoma operacjami przekazania danych, przy czym szczególną uwagę należy zwrócić na szereg elementów właściwych dla danego przekazania i wymienionych w art. 25 ust. 2 dyrektywy. |
|
(4) |
W ramach transportu lotniczego, „Imienny Rejestr Pasażerów” (PNR) stanowi zapis wszystkich informacji wymaganych od każdego pasażera w celu dokonania rezerwacji, która następnie jest przetwarzana i kontrolowana przez linie lotnicze dokonujące rezerwacji oraz przez uczestniczące linie lotnicze (2). Dla celów niniejszej Decyzji pojęcia „pasażer” i „pasażerowie” obejmują również członków załogi. „Linia lotnicza dokonująca rezerwacji” oznacza linię lotniczą, w której pasażer dokonał swo jej rezerwacji, lub w której dokonano dodatkowych rezerwacji po rozpoczęciu podróży. „Linie lotnicze uczestniczące” oznaczają jakąkolwiek linię lotniczą, w której linia lotnicza dokonująca rezerwacji zarezerwowała dla pasażera miejsce na jeden lub więcej lotów. |
|
(5) |
Agencja Służb Granicznych Kanady (CBSA) wymaga od każdego przewoźnika obsługującego loty do Kanady zapewnienia elektronicznego dostępu do PNR w takim stopniu, w jakim informacje PNR są zebrane i zawarte w systemach rezerwacji automatycznej oraz systemach kontroli wylotów. |
|
(6) |
Wymogi dotyczące przekazania CBSA danych osobowych pasażerów lotniczych zawartych w PNR, oparte są o punkt 107.1 Ustawy Celnej oraz ust. 148 lit. d) Ustawy o Emigracji i Ochronie Uchodźców oraz na przepisach wykonawczych przyjętych zgodnie z tymi ustawami (3). |
|
(7) |
Wspomniane prawodawstwo kanadyjskie dotyczy zwiększenia bezpieczeństwa oraz warunków, na których osoby mogą wjechać na teren kraju. Jest to kwestia, w której Kanada ma suwerenne prawo podejmowania decyzji jurysdykcji ramach swojego prawodawstwa. Co więcej, wymogi tak określone nie są sprzeczne z jakimikolwiek międzynarodowymi zobowiązaniami podjętymi przez Kanadę. Kanada jest państwem demokratycznym, państwem prawa z silnymi tradycjami swobód obywatelskich. Legalność jej procesu stanowienia praw oraz siła i niezawisłość sądownictwa nie podlegają żadnej wątpliwości. Kolejnym gwarantem przeciwdziałającym naruszeniu swobód obywatelskich jest wolność prasy. |
|
(8) |
Wspólnota zobowiązuje się w pełni popierać Kanadę w walce z terroryzmem w granicach prawa wspólnotowego. Prawo wspólnotowe przewiduje działania w celu osiągnięcia koniecznej równowagi pomiędzy kwestiami bezpieczeństwa i zachowania prywatności. Na przykład art. 13 dyrektywy 95/46/WE stanowi, że państwa członkowskie mogą ustanawiać prawa ograniczające zakres niektórych wymagań tej dyrektywy, jeżeli jest to niezbędne ze względu na bezpieczeństwo narodowe, obronność, bezpieczeństwo publiczne, jak również prewencję, dochodzenie, wykrywanie i ściganie przestępstw kryminalnych. |
|
(9) |
Przedmiotowe przekazywanie danych odnosi się do konkretnych kontrolerów, a mianowicie linii lotniczych obsługujących loty ze Wspólnoty do Kanady oraz do wyłącznie jednego odbiorcy w Kanadzie, którym jest CBSA. |
|
(10) |
Jakiekolwiek porozumienie w sprawie ram prawnych dla przekazywania PNR do Kanady, w szczególności w oparciu o niniejszą decyzję, zawarte będzie na czas określony. Czas taki ustalono na trzy i pół roku. W tym okresie treść porozumienia może ulegać znacznym zmianom, a Wspólnota i Kanada zgadzają się, że dokonywanie kontroli takich porozumień będzie niezbędne. |
|
(11) |
Proces przetwarzania przez CBSA danych osobowych zawartych w przekazanych jej PNR pasażerów lotniczych, podlega warunkom określonym w Zobowiązaniach Agencji Służb Granicznych Kanady dotyczącym stosowania jej programu PNR, (zwanych dalej „Zobowiązaniami”) oraz krajowemu prawodawstwu kanadyjskiemu, w stopniu w jakim wskazano w Zobowiązaniach. |
|
(12) |
Jeżeli chodzi o prawodawstwo krajowe Kanady, w niniejszym kontekście stosowne są Ustawa o Prywatności, Ustawa o Dostępie do Informacji oraz punkt 107 Ustawy Celnej, w zakresie w jakim kontrolują one warunki, pod którymi CBSA może odmówić ujawnienia informacji, a tym samym zachować poufny charakter PNR. Ustawa o Prywatności reguluje ujawnienie PNR osobie, której ona dotyczy, co jest blisko związane z prawem jednostki do dostępu. Ustawa o Prywatności znajduje zastosowanie wyłącznie do osób przebywających w Kanadzie. Niemniej jednak CBSA dodatkowo udziela prawa dostępu do informacji PNR dotyczących cudzoziemców, którzy przebywają poza Kanadą. |
|
(13) |
W odniesieniu do Zobowiązań, i zgodnie z postanowieniami punktu 43 niniejszego dokumentu, stwierdzenia zawarte w Zobowiązaniach albo zostały włączone do istniejącego prawodawstwa kanadyjskiego, albo zawarte są w krajowych uregulowaniach, stworzonych specjalnie w tym celu, tak więc stwierdzenia te będą miały skutek prawny. Zobowiązania zostaną w całości opublikowane w Dzienniku Urzędowym Kanady. Stanowią one poważne i przemyślane zobowiązanie ze strony CBSA, a ich zgodność poddana będzie przeglądowi, dokonanemu wspólnie przez Kanadę i Wspólnotę. W razie niezgodności ich prawidłowość może zostać zakwestionowana kanałami administracyjnymi i politycznymi, i jeżeli taka nieprawidłowość będzie się utrzymywać, spowoduje to zawieszenie skutków niniejszej Decyzji. |
|
(14) |
Normy, zgodnie z którymi CBSA będzie przetwarzać dane zawarte w PNR pasażerów, w oparciu o prawodawstwo kanadyjskie i Zobowiązania obejmują podstawowe zasady zapewniające odpowiedni poziom ochrony stosowny dla osób fizycznych. |
|
(15) |
Jeżeli chodzi o zasadę ograniczenia celu, dane osobowe pasażerów lotniczych zawarte w PNR przekazanej do CBSA będą przetwarzane w określonym celu i w konsekwencji używane jedynie w takim zakresie, jaki jest zgodny z celem ich przekazania. W szczególności, dane PNR będą używane ściśle w celach przeciwdziałania i zwalczania: terroryzmu oraz związanych z nim przestępstw; innych poważnych przestępstw, w tym przestępczości zorganizowanej, gdyż z natury rzeczy mają one charakter międzynarodowy. |
|
(16) |
W odniesieniu do zasady jakości danych i proporcjonalności, która musi być brana pod uwagę w związku z ważnymi dla interesu publicznego powodami, dla których przekazywane są dane PNR, dane PNR dostarczone do CBSA nie będą przez nią następnie zmieniane. Przekazanych zostanie maksymalnie 25 kategorii danych PNR, a CBSA skonsultuje i uzgodni z Komisją Europejską dokonanie przeglądu 25 wymaganych elementów PNR, które zamieszczono w Załączniku A, przed przystąpieniem do takiego przeglądu. Dodatkowe informacje osobowe, których poszukiwanie będzie bezpośrednio wynikać z danych PNR, pozyskane zostaną ze źródeł pozarządowych wyłącznie legalnymi kanałami. Ogólną zasadą będzie usuwanie PNR najpóźniej po upływie 3 lat i 6 miesięcy. |
|
(17) |
W odniesieniu do zasady przejrzystości, CBSA zapewni podróżującym informacje w celu jej przekazania i przetworzenia, jak również ujawni tożsamość kontrolera danych oraz inne informacje. |
|
(18) |
W odniesieniu do zasady bezpieczeństwa, CBSA stosuje techniczne i organizacyjne środki bezpieczeństwa, właściwe dla zagrożeń wynikających z przetwarzania danych. |
|
(19) |
Prawa dostępu, wnoszenia korekt i adnotacji, przyjęte są w Ustawie o Prywatności dla osób przebywających w Kanadzie. CBSA rozszerzy te prawa tak, by odnośnie posiadanych przez nią informacji PNR objęły one cudzoziemców, przebywających poza Kanadą. Przewidziane wyjątki są w dużej mierze porównywalne z ograniczeniami, które mogą być nałożone przez państwa członkowskie na mocy art. 13 dyrektywy 95/46/WE. |
|
(20) |
W przyszłości dane przekazywane będą innym władzom państwowym, w tym władzom innych państw, na zasadzie przekazywania informacji każdorazowo potrzebnej dla danego przypadku, z przyczyn takich samych lub zgodnych z tymi, które zostały określone w stwierdzeniu o ograniczeniu celów dotyczącym minimalnej ilości danych. Przekazanie danych może również nastąpić wskutek zaistnienia potrzeby ochrony życiowych interesów osoby, której one dotyczą lub innych osób, zwłaszcza w przypadku znacznego zagrożenia dla zdrowia, jak również w razie jakiegokolwiek postępowania prawnego i innych sytuacji wymaganych prawem. Kategorycznie sprecyzowane warunki ujawnienia zobowiązują agencje otrzymujące przekazane dane do wykorzystania ich wyłącznie dla określonych celów i nie wolno im w przyszłości dalej przekazywać tych danych bez zgody CBSA. Żadne władze innego kraju, prowincji, federalne czy lokalne nie mają bezpośredniego elektronicznego dostępu do danych PNR poprzez bazę danych CBSA. CBSA odmówi publicznego ujawnienia PNR na podstawie zwolnienia z odpowiednich postanowień Ustawy o Dostępie do Informacji oraz Ustawy o Prywatności. |
|
(21) |
CBSA nie otrzymuje danych poufnych w rozumieniu art. 8 dyrektywy 95/46/WE. |
|
(22) |
W odniesieniu do mechanizmów wykonawczych, mających zapewnić zgodność postępowania CBSA z określonymi zasadami, przewidziane są szkolenia oraz informowanie personelu CBSA, jak również sankcje względem poszczególnych członków personelu. Ogólne przestrzeganie prywatności przez CBSA kontrolować będzie niezależny Urząd Kanadyjskiego Komisarza ds. Prywatności, zgodnie z warunkami określonymi w Kanadyjskiej Karcie Praw i Wolności oraz w Ustawie o Prywatności. Komisarz ds. Prywatności może kierować skargi do niego przesłane za pośrednictwem władz ds. ochrony danych w państwach członkowskich w imieniu mieszkańców Wspólnoty, jeżeli dany mieszkaniec uważa, że jego lub jej skarga nie została właściwie rozpatrzona przez CBSA. Zgodność ze Zobowiązaniami będzie corocznie poddawana kontroli w drodze przeglądu dokonywanego wspólnie przez CSBA oraz zespół ze strony Komisji. |
|
(23) |
W interesie przejrzystości i w celu zabezpieczenia zdolności właściwych władz w państwach członkowskich do zapewnienia bezpieczeństwa osób w zakresie przetwarzania ich danych osobowych, potrzebne jest określenie wyjątkowych warunków, w których uzasadnionym może być zawieszenie konkretnych przepływów danych, bez względu na znalezienie odpowiedniej ochrony. |
|
(24) |
Grupa Robocza ds. Ochrony Osób pod względem Przetwarzania Danych Osobowych, utworzona na mocy art. 29 dyrektywy 95/46/WE, wydała opinie na temat poziomu ochrony zapewnionej przez władze kanadyjskie danym pasażerów, o którą opierała się Komisja w swoich negocjacjach z CBSA. Komisja uwzględniła te opinie przygotowując niniejszą Decyzję (4). |
|
(25) |
Środki przewidziane w niniejszej Decyzji są zgodne z opinią Komisji utworzonej na mocy art. 31 ust. 1 dyrektywy 95/46/WE, |
PRZYJMUJE NINIEJSZĄ DECYZJĘ:
Artykuł 1
Dla celów art. 25 ust. 2 dyrektywy 95/46/WE, uważa się, że Kanadyjska Agencja Służb Granicznych (zwana dalej w niniejszym dokumencie CBSA) ma zapewnić odpowiedni poziom ochrony danych PNR przekazywanych ze Wspólnoty w związku z lotami do Kanady, zgodnie ze Zobowiązaniami określonymi w Załączniku.
Artykuł 2
Niniejsza Decyzja dotyczy stopnia, w jakim ochrona zapewniona przez CBSA jest odpowiednia z punktu widzenia realizacji wymagań art. 25 ust. 1 dyrektywy 95/46/WE, przy czym nie ma ona wpływu na inne warunki lub ograniczenia określające wykonanie innych postanowień tej dyrektywy, które dotyczą przetwarzania danych osobowych na terenie państw członkowskich.
Artykuł 3
1. Bez uszczerbku dla swoich praw do podejmowania działań zapewniających zgodność z przepisami krajowymi, przyjętymi zgodnie z postanowieniami innymi niż w art. 25 dyrektywy 95/46/WE, kompetentne władze państw członkowskich mogą, celem ochrony osób w zakresie przetwarzania ich danych osobowych, wykonywać swoje istniejące prawa do zawieszania przepływu danych do CBSA w następujących przypadkach:
|
a) |
Jeżeli kompetentne władze kanadyjskie ustaliły, że CBSA naruszyła stosowne normy ochrony; lub |
|
b) |
Jeżeli istnieje znaczne prawdopodobieństwo, że normy ochrony określone w Załączniku są naruszane, lub jeżeli istnieją zasadne podstawy przypuszczenia, że CBSA nie podejmuje, ani nie podejmie odpowiednich kroków w odpowiednim czasie, by załatwić sporną kwestię, lub też jeżeli kontynuacja przekazu stworzyłoby bezpośrednie zagrożenie poważną szkodą dla osób, których dane są przekazywane, a kompetentne władze w państwach członkowskich usiłowały już w sposób zasadny do okoliczności powiadomić o tym CBSA, z zapewnieniem możliwości reakcji z jej strony. |
2. Zawieszenie ustanie, jak tylko normy ochrony będą zapewnione i kompetentne władze państw członkowskich zostaną o tym powiadomione.
Artykuł 4
1. Państwa członkowskie bezzwłocznie powiadomią Komisję o przyjęciu środków zgodnie z art. 3.
2. Państwa członkowskie i Komisja będą się wzajemnie powiadamiać o jakichkolwiek zmianach w normach ochrony oraz o przypadkach, w których działanie organów odpowiedzialnych za zapewnienie przez CBSA zgodności z normami ochrony według zasad określonych w Załączniku przestaje zapewniać taką zgodność.
3. Jeżeli informacje zebrane zgodnie z art. 3 oraz zgodnie z ust. 1 i 2 niniejszego artykułu dowodzą, że podstawowe zasady potrzebne dla zapewnienia osobom fizycznym odpowiedniego poziomu ochrony nie są już zachowane, lub że nieskutecznym w pełnieniu swojej funkcji stał się jakikolwiek organ odpowiedzialny za zapewnienie, że CBSA w swoich działaniach postępuje zgodnie z normami ochrony, CBSA zostanie o tym powiadomiona i w razie potrzeby zastosowana zostanie procedura, o której mowa w art. 31 ust. 2 dyrektywy 95/46/WE, z uwzględnieniem możliwości uchylenia lub zawieszenia niniejszej Decyzji.
Artykuł 5
Działanie niniejszej Decyzji będzie monitorowane, a jakiekolwiek stosowne wnioski zostaną przekazane Komisji utworzonej na mocy art. 31 dyrektywy 95/46/WE, łącznie z jakimkolwiek dowodem, który mógłby mieć wpływ na stwierdzenie w art. 1 niniejszej Decyzji, że ochrona danych osobowych, zawartych w PNR pasażerów lotniczych przekazanych do CBSA, jest odpowiednia w znaczeniu art. 25 dyrektywy 95/46/WE.
Artykuł 6
Państwa członkowskie podejmą wszelkie środki potrzebne by zastosować się do Decyzji w ciągu czterech miesięcy od daty podania jej do wiadomości.
Artykuł 7
Niniejsza Decyzja traci moc w trzy lata i sześć miesięcy od daty podania jej do wiadomości, chyba że zostanie przedłużona zgodnie z procedurą określoną w art. 31 ust. 2 dyrektywy 95/46/WE.
Artykuł 8
Niniejsza Decyzja skierowana jest do państw członkowskich.
Sporządzono w Brukseli, dnia 6 września 2005 r.
W imieniu Komisji
Franco FRATTINI
Wiceprzewodniczący
(1) Dz.U. L 281 z 23.11.1995 r., str. 31. Dyrektywa zmieniona rozporządzeniem (WE) nr 1882/2003 (Dz.U. L 284, z 31.10.2003 r., str. 1).
(2) Dla celów niniejszej Decyzji, termin „PNR” obejmuje dane Zaawansowanych Informacji Pasażerskich (API), jak określono w punkcie 4 Zobowiązań CBSA.
(3) Rozporządzenia dotyczące Informacji Pasażerskiej (Ceł) oraz rozporządzenie 269 w rozporządzeniach dotyczących Emigracji i Ochrony Uchodźców.
(4) Opinia 3/2004 r. w sprawie poziomu ochrony, zapewnianej w Kanadzie dla Imiennego Rejestru Pasażerów i Zaawansowanych Informacji Pasażerskich przekazywanych z linii lotniczych, przyjęta przez Grupę Roboczą w dniu 11 lutego 2004 r. i dostępna pod adresem: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2004/wp88_en.pdf
Opinia 1/2005 r. w sprawie poziomu ochrony, zapewnianej w Kanadzie dla Imiennego Rejestru Pasażerów i Zaawansowanych Informacji Pasażerskich przekazywanych z linii lotniczych, przyjęta przez Grupę Roboczą w dniu 19 stycznia 2005 r. i dostępna pod adresem: http://europa.eu.int/comm/internal_market/privacy/docs/wpdocs/2005/wp103_en.pdf
ZAŁĄCZNIK
ZOBOWIĄZANIA PRZYJĘTE PRZEZ AGENCJĘ SŁUŻB GRANICZNYCH KANADY W ODNIESIENIU DO ZASTOSOWANIA JEJ PROGRAMU PNR
Upoważnienie prawne do zbierania informacji API i PNR
|
1. |
Wszyscy przewoźnicy, na mocy prawa kanadyjskiego, zobowiązani są do dostarczania Agencji Służb Granicznych Kanady (CBSA) Zaawansowanych Pasażerskich (API) oraz Imiennego Rejestru Pasażerów (PNR), w zakresie dotyczącym wszystkich osób znajdujących się na pokładzie samolotów lecących do Kanady. Prawne upoważnienie CBSA do uzyskiwania i zbierania takich informacji określone jest w punkcie 107.1 Ustawy Celnej oraz w Przepisach dotyczących Informacji Pasażerskiej (Ceł), określonych na mocy powyższej ustawy, jak również w art. 148 ust. 1 lit. d) Ustawy o Emigracji i Ochronie Uchodźców i rozporządzeniu 269 w Przepisach dotyczących Emigracji i Ochrony Uchodźców, określonych na mocy powyższej ustawy. |
Powód zbierania informacji API i PNR
|
2. |
Informacje API i PNR będą zbierane przez CBSA wyłącznie odnośnie lotów przybywających do Kanady. CBSA będzie wykorzystywać informacje zebrane od europejskich i innych przewoźników jedynie w celu identyfikacji osób, które mogą stanowić zagrożenie wskutek przewożenia rzeczy mogących mieć związek z terroryzmem lub podobnymi przestępstwami, lub osób, które nie mają prawa wstępu na teren Kanady właśnie ze względu na ich potencjalny związek z terroryzmem, działaniami związanymi z terroryzmem lub innymi poważnymi przestępstwami, łącznie z przestępczością zorganizowaną, które z natury rzeczy mają charakter trans narodowy. |
|
3. |
Informacje API i PNR będą wykorzystywane przez CBSA w celu określenia osób, które będą następnie poddane bliższemu sprawdzeniu po przybyciu do Kanady, lub w stosunku do których konieczne będzie dalsze postępowanie wyjaśniające, ze względu na którykolwiek z powodów określonych w punkcie 2. Ani CBSA, ani inne kanadyjskie organy ścigania nie rozpoczną żadnego postępowania wykonawczego względem jedynie w oparciu o automatyczne przetwarzanie danych API i PNR. |
Zebrane informacje API i PNR
|
4. |
Lista elementów API, jakie będą zbierane przez CBSA dla celów określonych w punkcie 2, została przedstawiona w ust. 3 lit. a) do f) Przepisów dotyczących Informacji Pasażerskiej (Ceł), Ustawy Celnej (1). Listę elementów PNR, jakie będą zbierane przez CBSA dla celów określonych w punkcie 2 przedstawiono w Załączniku A. Dla większej pewności, „dane poufne” w rozumieniu art. 8.1 dyrektywy 95/46/WE (zwanej dalej „Dyrektywą”), jak również pola „otwartego tekstu” lub „uwag ogólnych” nie będą stanowić części tych 25 elementów. |
|
5. |
CBSA nie będzie wymagać od przewoźnika zbierania takich informacji PNR, jakich przewoźnik nie rejestruje dla własnych celów, jak również nie będzie wymagać od przewoźnika zbierania jakichkolwiek dodatkowych informacji w celu udostępnienia ich CBSA. Dlatego CBSA przyznaje, że będzie zbierać dane wymienione w Załączniku A jedynie w takim stopniu, w jakim przewoźnik zdecydował się je umieścić w swoich systemach automatycznej rezerwacji i systemach kontroli wylotów (DCS). |
|
6. |
CBSA skonsultuje i uzgodni z Komisją Europejską dokonanie przeglądu 25 wymaganych elementów PNR, które zamieszczono w Załączniku A, przed przystąpieniem do takiego przeglądu,
|
Metoda dostępu do informacji API i PNR
|
7. |
System Informacji Pasażerskiej CBSA (zwany dalej w niniejszym dokumencie „PAXIS”) został skonfigurowany tak, by odbierał informacje API i PNR przekazywane przez przewoźnika. |
Zachowanie i dostęp do informacji API i PNR
|
8. |
Jeżeli informacje API i PNR dotyczą osoby, która w Kanadzie nie jest przedmiotem postępowania wyjaśniającego z powodów określonych w punkcie 2, zostaną one przechowane w systemie PAXIS najwyżej przez 3,5 roku. W tym okresie informacje będą zachowywane w sposób coraz bardziej depersonalizowany, to znaczy:
|
|
9. |
Jeżeli informacje API i PNR dotyczą osoby, która jest przedmiotem postępowania wyjaśniającego w Kanadzie z powodów opisanych w punkcie 2, to będą one umieszczone w wykonawczej bazie danych CBSA. Takie bazy danych zawierają wyłącznie informacje dotyczące osób, wobec których prowadzono postępowanie wyjaśniające na mocy prawa CBSA. Dostęp do takich baz danych mają jedynie ci urzędnicy CBSA, których obowiązki tego wymagają, przy czym dostęp taki jest ściśle monitorowany. Informacje API i PNR przekazywane do takiej wykonawczej bazy danych będą zatrzymane w systemie przez okres nie dłuższy niż to konieczne, a w każdym przypadku nie dłużej niż 6 lat, po upływie których informacje te zostaną zniszczone, chyba że ich zachowania przez dodatkowy okres wymaga Ustawa o Prywatności lub Ustawa o Dostępie do Informacji, co wyjaśniono w ustępie 10b. |
|
10. |
Jeżeli informacje osobowe wykorzystywane są przez CBSA w celach podjęcia decyzji mającej wpływ na interes osoby, której dotyczą, muszą one być zatrzymane przez CBSA przez okres 2 lat od daty takiego wykorzystania. Celem takiego postępowania jest umożliwienie osobie, której informacje dotyczą, dostępu do tych z nich, w oparciu o które taką decyzję podjęto, chyba że osoba ta wyrazi zgodę na wcześniejsze ich usunięcie, lub jeżeli otrzymano żądanie dostępu do informacji, przez taki okres, aby osoba ta miała możliwość wykonania wszystkich swoich praw z tytułu Ustawy o Prywatności lub Ustawy o Dostępie do Informacji.
|
|
11. |
Informacje API i PNR, po wygaśnięciu okresów zatrzymania określonych w punktach 8 do 10, zostaną zniszczone zgodnie z postanowieniami Ustawy o Archiwach Krajowych (2). |
Ujawnienie informacji API i PNR innym kanadyjskim jednostkom i agencjom
|
12. |
Wszelkie ujawnienia informacji API i PNR dokonane przez CBSA podlegają Ustawie o Prywatności, Ustawie o Dostępie do Informacji oraz własnym prawom CBSA. Jakkolwiek Ustawa o Prywatności i Ustawa o Dostępie do Informacji udzielają prawa dostępu do zapisanych informacji, o ile nie zachodzi jakieś wyłączenie lub wykluczenie, to ustawy te w żaden inny sposób nie wymagają jakiegokolwiek obowiązkowego ujawnienia informacji API czy PNR. Egzemplarz polityki administracyjnej CBSA regulującej ujawnienie, dostępność i wykorzystanie informacji API i PNR, Memorandum D-1-16-3 zatytułowane Tymczasowe Wytyczne Administracyjne dotyczące Ujawniania, Dostępności i Wykorzystania Danych Imiennego Rejestru Pasażerów (PNR), (zwane dalej w niniejszym dokumencie „polityką CBSA dotyczącą ujawnienia PNR”), zostanie opublikowany i będzie powszechnie dostępny na stronie internetowej CBSA. Polityka ta, dalej opisana w punkcie 37 niniejszych Zobowiązań, stanowi że informacjami API i PNR można dzielić się z innymi kanadyjskimi jednostkami rządowymi jedynie w celach określonych w punkcie 2, chyba że ujawnienia dokonano zgodnie z wydanym wezwaniem sądowym lub pełnomocnictwem, lub też nakazem wydanym przez sąd, osobę lub organ z jurysdykcją w Kanadzie zmuszającym do przygotowania informacji, jak również dla celów jakiegokolwiek postępowania sądowego. |
|
13. |
Informacje API i PNR nie będą ujawniane w całości. CBSA uwolni jedynie wybrane informacje API i PNR, każdorazowo dla danego przypadku, i ponadto wyłącznie po dokonaniu oceny stosowności danych informacji PNR, które mają zostać ujawnione. Dostarczone zostaną jedynie te elementy informacji API i PNR, odnośnie których wyraźnie zostanie wykazana ich niezbędność w danej sytuacji. We wszystkich przypadkach, dostarczona zostanie możliwie jak najmniejsza ilość informacji. |
|
14. |
CBSA ujawni jedynie takie informacje API i PNR, których proponowani odbiorcy zobowiążą się udzielić tych samych zabezpieczeń, jakie zapewnia informacjom CBSA. Kanadyjskich odbiorców rządowych obowiązują wymagania Ustawy o Prywatności w takim samym zakresie, w jakim określone są w Załączniku do tej ustawy. Ustawa o Prywatności odnosi się do danych osobowych, dzięki którym można zidentyfikować daną osobę, zapisanych w jakiejkolwiek formie i znajdujących się pod kontrolą kanadyjskiej federalnej jednostki rządowej lub agencji, którą obowiązują przepisy tej ustawy. Taka jednostka lub agencja jest wyłączona ze zbierania jakichkolwiek danych osobowych, chyba że są one „bezpośrednio związane z programem operacyjnym lub działalnością tej instytucji”. |
|
15. |
CBSA wymaga, jako zasady postępowania i jako warunku poprzedzającego ujawnienie, aby władze wykonawcze kanadyjskiego prawa federalnego lub prowincji zobowiązały się nie ujawniać dalej otrzymanej informacji bez zgody CBSA, chyba że jest to wymagane prawem. |
Ujawnienie informacji API i PNR innym krajom
|
16. |
CBSA może podzielić się informacjami API i PNR z rządem innego państwa, zgodnie z porozumieniem lub umową zawartą na mocy podpunktu 8(2) Ustawy o Prywatności oraz podpunktem 107(8) Ustawy Celnej. |
|
17. |
Takie porozumienia lub umowy mogłyby zawierać protokół ustaleń stworzony konkretnie dla celów Programu PRN w CBSA, lub traktat, zgodnie z którym władze CBSA zobowiązane są zapewnić pomoc i informacje. W każdym przypadku, CBSA będzie się dzielić informacjami jedynie w celach zgodnych z ustaleniami punktu 2, oraz wyłącznie wtedy, jeżeli kraj otrzymujący zobowiąże się zabezpieczyć informacje zgodnie z niniejszymi Zobowiązaniami. We wszystkich przypadkach, dostarczona zostanie możliwie jak najmniejsza ilość informacji. |
|
18. |
Informacje API i PNR zatrzymane w PAXIS będą udzielane jedynie takiemu krajowi, który uzyskał decyzję o odpowiedniości zgodnie z tą dyrektywą, lub który jest nią objęty. |
|
19. |
Informacje API i PNR zatrzymane w wykonawczej bazie danych opisanej w punkcie 9 mogą być udzielane zgodnie ze zobowiązaniami traktatu na mocy Umowy o Wzajemnej Pomocy Celnej lub Umowy o Wzajemnej Pomocy Prawnej. W takim przypadku, elementy informacji API i PNR będą udzielane jedynie dla poszczególnych przypadków oraz pod warunkiem, że CBSA jest w posiadaniu dowodu bezpośrednio wykazującego związek pomiędzy żądaniem i postępowaniem wyjaśniającym lub prewencyjnym w związku z przestępstwami, o których mowa w punkcie 2, przy czym informacje będą udzielone tylko w takim zakresie, w jakim jest to niezbędne by dokonać danych wyjaśnień. |
Ujawnienie informacji API i PNR w żywotnym interesie osoby, której dotyczą
|
20. |
Niezależnie od jakichkolwiek przeciwnych postanowień w niniejszych Zobowiązaniach, CBSA może ujawnić informacje API i PNR odpowiednim kanadyjskim lub innym rządowym jednostkom i agencjom, jeżeli takie ujawnienie jest niezbędne dla celów ochrony żywotnych interesów osoby, której dotyczą, zwłaszcza w związku ze znacznym zagrożeniem zdrowia. |
Zawiadomienie osoby, której dotyczą informacje
|
21. |
CBSA powiadomi podróżujących o wymogach dotyczących API i PNR oraz kwestiach związanych z ich wykorzystaniem, łącznie z podaniem ogólnej informacji odnośnie upoważnienia, na mocy którego takie dane będą zbierane, powodów ich zbierania, ochrony zapewnionej takim danym, sposobów i stopnia w jakim dane te będą udzielane innym, tożsamości odpowiedzialnych urzędników CBSA, dostępnego postępowania odszkodowawczego. Pasażerom podana będzie również informacja jak skontaktować się w razie pytań lub wątpliwości. |
Prawne mechanizmy przeglądu programu PNR w CBSA
|
22. |
Program PNR może stać się przedmiotem kontroli zgodności oraz postępowania wyjaśniającego ze strony Komisarza ds. Prywatności Kanady oraz Urzędu Generalnego Rewidenta Kanady. |
|
23. |
Kanadyjski niezależny organ ds. ochrony danych, Komisarz ds. Prywatności Kanady, może badać zgodność postępowania jednostek rządowych i agencji z Ustawą o Prywatności oraz monitorować stopień, w jakim CBSA wypełnia niniejsze Zobowiązania. Po przyjęciu standardowych celów i kryteriów, Dział Praktyk Prywatności i Kontroli Urzędu Komisarza ds. Prywatności może dokonywać kontroli zgodności, jak również przeprowadzać postępowania wyjaśniające. Komisarz ds. Prywatności Kanady może ujawnić informacje, które jego zdaniem są niezbędne do przeprowadzenia postępowania wyjaśniającego z tytułu tej Ustawy, lub do określenia podstawy sformułowania wniosków i zaleceń zawartych w jakimkolwiek raporcie powstałym na mocy tej Ustawy. |
|
24. |
Urząd Generalnego Rewidenta Kanady przeprowadza niezależne kontrole działań kanadyjskiego rządu federalnego. Kontrole takie dostarczają członkom Parlamentu Kanadyjskiego oraz opinii publicznej obiektywnych informacji, umożliwiających nadzorowanie działań Rządu i oczekiwanie od niego wyjaśnień. |
|
25. |
Ostateczne wersje sprawozdań Urzędu Komisarza ds. Prywatności oraz Urzędu Generalnego Rewidenta Kanady udostępniane są opinii publicznej poprzez roczne sprawozdania składane Parlamentowi, oraz, według jego uznania, w Internecie. CBSA zapewni Komisji dostęp do egzemplarzy jakichkolwiek takich sprawozdań, które w jakikolwiek sposób dotyczą programu PNR. |
Wspólny przegląd programu PNR w CBSA
|
26. |
Oprócz powyższych procesów kontrolnych zapewnionych prawem kanadyjskim, CBSA będzie corocznie, lub w razie potrzeby, w zależności od uzgodnień z Komisją, uczestniczyć we wspólnym przeglądzie programu PNR, odnośnie jego części dotyczącej przekazywania danych API i PNR do CBSA. |
Odszkodowanie
Ramy prawne
|
27. |
Kanadyjska Karta Praw i Wolności, która stanowi część Konstytucji Kanadyjskiej, odnosi się do wszystkich działań rządu, łącznie z prawodawstwem. Rozdział 8 Karty gwarantuje prawo bycia zabezpieczonym przed nieuzasadnionym wyszukiwaniem i zawładnięciem danymi oraz chroni zasadne oczekiwanie prywatności. Rozdział 24 Karty zezwala osobie, której prawa zostały naruszone, wnioskować do sądu właściwej jurysdykcji o takie odszkodowanie, jakie taki sąd uzna za odpowiednie w danych okolicznościach. |
|
28. |
Prawo cudzoziemca do dostępu do akt znajdujących się pod kontrolą jednostki kanadyjskiego rządu federalnego, na mocy Orzeczenia Rozszerzającego numer 1 Ustawy o Dostępie do Informacji (ATIA), przyznane jest każdemu, kto przebywa na terenie Kanady. Z zastrzeżeniem zwolnień przewidzianych tą Ustawą, cudzoziemiec przebywający w Kanadzie, lub osoba przebywająca w Kanadzie posiadająca zgodę cudzoziemca przebywającego poza nią, może złożyć wniosek ATIA w sprawie przechowywanych danych danego cudzoziemca i otrzymać do nich dostęp, chyba że zachodzi przypadek specyficznego wyłączenia przewidzianego tą Ustawą. |
|
29. |
Na mocy Ustawy o Prywatności, prawo dostępu do danych osobowych oraz do wprowadzenia zmian lub adnotacji obejmuje również, na mocy Orzeczenia Rozszerzającego numer 2, każdą osobę przebywającą w Kanadzie. Dlatego z zastrzeżeniem wyłączeń przewidzianych tą Ustawą, cudzoziemiec może korzystać ze swoich praw przebywając w Kanadzie. |
Ramy administracyjne
|
30. |
Jednakże oprócz powyższego, jednostka rządowa, która jest w posiadaniu informacji osobowych dotyczących danej osoby, może na drodze administracyjnej umożliwić cudzoziemcom przebywającym poza Kanadą do nich dostęp, wprowadzenie do nich zmian lub adnotacji. CBSA rozszerzy te prawa odnośnie informacji API i PNR znajdujących się w jej posiadaniu na obywateli UE lub inne osoby przebywające poza Kanadą, pod warunkiem że takie ujawnienie dopuszczalne jest w świetle innych przepisów prawa. |
|
31. |
Komisarz ds. Prywatności może wnosić skargę, jeżeli „jest przekonany, że na mocy Ustawy [o Prywatności] istnieją zasadne podstawy do przeprowadzenia postępowania wyjaśniającego odnośnie danej kwestii”. Posiada on również szerokie uprawnienia w zakresie przeprowadzania postępowania wyjaśniającego odnośnie jakiejkolwiek skargi. Ponadto, Komisarz ds. Prywatności może kierować skargi do niego skierowane przez Organy Ochrony Danych (DPA) jakiegokolwiek Państwa Członkowskiego Unii Europejskiej (UE) w imieniu rezydenta UE, w stopniu w jakim taki rezydent upoważni DPA do działania w swoim imieniu, oraz adekwatnie do swojego przekonania, że jego lub jej skarga w sprawie ochrony informacji API i PNR nie została rozpatrzona przez CBSA w sposób zadawalający, jak to określono w punkcie 30 powyżej. Komisarz ds. Prywatności będzie przekazywał swoje wnioski i doradzał konkretnemu organowi lub organom DPA w sprawie ewentualnie podejmowanych działań. |
|
32. |
Komisarz ds. Prywatności posiada również specjalne uprawnienia do sprawdzania, w jakim stopniu kanadyjskie jednostki rządowe i agencje przestrzegają Ustawy o Prywatności, w odniesieniu do zbierania, zatrzymania, wykorzystania, ujawnienia i usunięcia informacji osobowych. |
Zabezpieczenie informacji
|
33. |
Dostęp do systemu PAXIS będzie miała jedynie ograniczona liczba przeszukujących informacji pracowników CBSA lub urzędników wywiadu zlokalizowanych w jednostkach przeszukujących informacje w kanadyjskich urzędach regionalnych oraz w głównej siedzibie CBSA w Ottawie w Kanadzie. Urzędnicy ci będą mieli dostęp do systemu PAXIS w bezpiecznych miejscach roboczych, które nie będą dostępne dla innych. |
|
34. |
W celu uzyskania dostępu do systemu PAXIS, urzędnicy będą musieli użyć dwóch oddzielnych loginów, wykorzystując identyfikację wygenerowaną przez system oraz hasło. Pierwszy login umożliwi dostęp do sieci lokalnej CBSA, podczas gdy drugi umożliwi dostęp do zintegrowanej platformy systemu celnego, co z kolei zapewni dostęp do aplikacji PAXIS. Dostęp do sieci CBSA oraz jakiekolwiek dane zawarte w systemie PAXIS będą ściśle kontrolowane i ograniczone do wybranej grupy użytkowników, a każde dociekanie lub kontrola danych pasażerskich w systemie będzie sprawdzona. Wygenerowana rejestracja kontroli zawierać będzie imię i nazwisko użytkownika, miejsce robocze użytkownika, dzień i godzinę dostępu oraz numer w ewidencji PNR osoby, której dane były celem uzyskania dostępu. CBSA ograniczy również dostęp do poszczególnych elementów API i PNR w systemie na zasadzie „muszę wiedzieć” (rodzaj użytkownika/profil). Te kontrole dostępu zapewnią, że dostęp do informacji API i PNR umożliwiony jest tylko osobom opisanym w punkcie 33, dla celów określonych w punkcie 2. |
|
35. |
Dostęp, wykorzystanie i ujawnienie informacji API i PNR podlega postanowieniom Ustawy o Prywatności, Ustawy o Dostępie do Informacji, jak również punktu 107 Ustawy Celnej i polityki administracyjnej opisanej w punkcie 37 niniejszych Zobowiązań, które odzwierciedlają ochronę i zabezpieczenia określone w niniejszym dokumencie. Punkt 160 Ustawy Celnej i wewnętrzne kodeksy postępowania przewidują sankcje karne na wypadek pogwałcenia zasad tej polityki, i jak stwierdzono powyżej, Komisarz ds. Prywatności na mocy Ustawy o Prywatności jest upoważniony do wszczęcia postępowania w sprawie ujawnienia informacji osobowych. |
|
36. |
Polityka CBSA odnośnie ujawnienia PNR określa procedury, których muszą przestrzegać pracownicy CBSA mający dostęp do informacji API i PNR. Polityka CBSA ma chronić poufność informacji i zarządzać nią zgodnie z kanadyjskim prawodawstwem. Polityki CBSA i Rządu Kanadyjskiego związane z zarządzaniem i zabezpieczaniem informacji opisano w punkcie 38. |
|
37. |
Polityka Ujawnienia PNR przez CBSA stanowi, co następuje:
|
|
38. |
Polityka ujawnienia PNR przez CBSA stanowi część ogólnej polityki CBSA odnośnie do ochrony i zarządzania informacjami zbieranymi na mocy różnych statutów stosowanych przez CBSA. Ponadto, wszyscy pracownicy CBSA ograniczeni są politykami bezpieczeństwa Rządu Kanady odnośnie do ochrony systemów elektronicznych i danych. (3) |
|
39. |
Wszyscy pracownicy CBSA znają te polityki oraz konsekwencje w razie braku ich przestrzegania, a przestrzeganie tych zasad jest warunkiem ich zatrudnienia. |
Wzajemność
|
40. |
Ustawa o Lotnictwie pozwala kanadyjskim przewoźnikom lotniczym, obsługującym loty z dowolnego miejsca, lub przewoźnikom obsługującym loty rozpoczynające się w Kanadzie, dostarczać innym krajom informacji dotyczących pasażerów takich lotów, których celem jest dany kraj, jeżeli prawa tego kraju wymagają dostarczenia takiej informacji. |
|
41. |
Jeżeli Wspólnota Europejska, Unia Europejska lub którykolwiek z jej Państw Członkowskich zdecyduje się przyjąć system identyfikacji pasażerów lotniczych i przyjąć prawo, które wymagać będzie od wszystkich przewoźników lotniczych zapewnienia władzom europejskim dostępu do danych API i PNR dla osób, których aktualna trasa podróży obejmuje lot do Unii Europejskiej, punkt 4.83 Ustawy o Lotnictwie zezwoli przewoźnikom lotniczym na spełnienie tego wymagania. |
Przegląd i zakończenie Zobowiązań
|
42. |
Niniejsze Zobowiązania mają zastosowanie przez okres trzech lat i sześciu miesięcy (3,5 roku), począwszy od daty, z którą w życie wchodzi porozumienie pomiędzy Kanadą i Wspólnotą Europejską, zezwalając na przetwarzanie danych API i PNR przez przewoźników dla celów przekazania ich CBSA zgodnie z niniejszą Dyrektywą. Po dwóch latach i sześciu miesiącach (2,5 roku) od wejścia w życie niniejszych Zobowiązań, CBSA rozpocznie rozmowy z Komisją na temat przedłużenia Zobowiązań i jakichkolwiek wspierających porozumień, na warunkach do przyjęcia dla obu stron. Jeżeli porozumienia dogodne dla obu stron nie mogą być zawarte przed datą wygaśnięcia niniejszych Zobowiązań, Zobowiązania przestaną stosować się do jakichkolwiek danych zebranych od tego momentu. Dane zebrane w czasie obowiązywania niniejszych Zobowiązań pozostaną pod ochroną na warunkach Zobowiązań, aż do chwili ich usunięcia. |
|
43. |
CBSA realizuje swoje Zobowiązania poprzez stosowanie aktualnego prawa kanadyjskiego, lub, w kwestiach jeszcze nieuregulowanych prawem kanadyjskim, poprzez przepisy sformułowane specjalnie w tym celu. |
(1) Ust. 3 lit. a) do f) zawierają następujące dane API: (a) nazwisko, imię i jakiekolwiek kolejne imię lub określenie rodowe; (b) datę urodzenia; (c) płeć; (d) obywatelstwo lub narodowość; (e) rodzaj dokumentu podróży, identyfikującego osobę, nazwę kraju w którym dokument ten wystawiono oraz jego numer; (f) ewentualny numer osoby w rejestrze rezerwacji i w przypadku osoby zatrudnionej przy przewozie lub będącej członkiem załogi bez numeru w rejestrze rezerwacji, informacja o statusie takiej osoby jako członka załogi.
(2) Niniejsza Ustawa określa formalności, jakie trzeba dokonać przed zniszczeniem rejestrów rządowych.
(3) Polityki, o których mowa obejmują: Rządową Politykę Bezpieczeństwa opublikowaną przez Ministerstwo Skarbu Kanady w dniu 1 lutego 2002 r. oraz Operacyjną Normę Bezpieczeństwa: Zarządzanie Bezpieczeństwem Technologii Informacyjnej (MITS) opublikowaną przez Ministerstwo Skarbu Kanady w dniu 31 maja 2004 r.
ZAŁĄCZNIK „A”
ELEMENTY DANYCH PNR WYMAGANE PRZEZ CBSA OD PRZEWOŹNIKÓW LOTNICZYCH
|
1. |
Imię i nazwisko |
|
2. |
Dane API |
|
3. |
Kod osoby w rejestrze PRN |
|
4. |
Data zamierzonej podróży |
|
5. |
Data rezerwacji |
|
6. |
Data wydania biletu |
|
7. |
Agencje podróży |
|
8. |
Agent podróży |
|
9. |
Informacja o kontaktach telefonicznych |
|
10. |
Adres do wystawiania faktur |
|
11. |
Informacja o wszystkich formach płatności |
|
12. |
Informacja o pasażerach często korzystających z lotów |
|
13. |
Miejsce na zaznaczenie informacji |
|
14. |
Numer biletu |
|
15. |
Rozbite/podzielone PNR |
|
16. |
Informacja o zrealizowanych rezerwacjach |
|
17. |
Historia niezrealizowanych rezerwacji |
|
18. |
Informacja o wszystkich trasach podróży |
|
19. |
Informacje zapasowe |
|
20. |
Inne nazwiska w PNR |
|
21. |
Kolejność odprawy przed wylotem |
|
22. |
Numery etykiet na bagażu |
|
23. |
Informacja o miejscach siedzących |
|
24. |
Numer miejsca siedzącego |
|
25. |
Bilety w jednym kierunku |