Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
SduIn- en Uitvoer
Home

2006/253/EG: Beschikking van de Commissie van 6 september 2005 over de passende bescherming van persoonsgegevens in het Passenger Name Record (PNR) van vliegtuigpassagiers die aan de Canada Border Services Agency worden doorgegeven (Kennsigeving geschied onder nummer C(2005) 3248) (Voor de EER relevante tekst)

2006/253/EG: Beschikking van de Commissie van 6 september 2005 over de passende bescherming van persoonsgegevens in het Passenger Name Record (PNR) van vliegtuigpassagiers die aan de Canada Border Services Agency worden doorgegeven (Kennsigeving geschied onder nummer C(2005) 3248) (Voor de EER relevante tekst)

DE COMMISSIE VAN DE EUROPESE GEMEENSCHAPPEN,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens(1), en met name op artikel 25, lid 6,

Overwegende hetgeen volgt:

  1. Krachtens Richtlijn 95/46/EG moeten de lidstaten garanderen dat persoonsgegevens slechts naar een derde land worden doorgegeven indien dat land een passend beschermingsniveau waarborgt en de wetgeving van de betrokken lidstaat die is vastgesteld ter uitvoering van de andere bepalingen van deze richtlijn, al vóór de doorgifte wordt nageleefd.

  2. De Commissie kan vaststellen dat een derde land waarborgen voor een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens zonder aanvullende garanties door de lidstaten worden doorgegeven.

  3. Volgens Richtlijn 95/46/EG moet bij de beoordeling van het gegevensbeschermingsniveau rekening worden gehouden met alle omstandigheden waarin een gegevensdoorgifte of een categorie gegevensdoorgiften plaatsvindt en in het bijzonder met een aantal in artikel 25, lid 2, van de richtlijn opgenomen elementen die van belang zijn voor de doorgifte.

  4. In het kader van het luchtverkeer is het „Passenger Name Record” (PNR) een bestand met de reisgegevens van elke passagier, dat alle informatie bevat die de boekende en de deelnemende luchtvaartmaatschappijen nodig hebben om reserveringen te kunnen verwerken en controleren(2). In deze beschikking omvatten de termen „passagier” en „passagiers” ook de bemanningsleden. Onder „boekende maatschappij” wordt de luchtvaartmaatschappij verstaan waarbij de passagier zijn oorspronkelijke boeking heeft gedaan of waarbij na het begin van de reis verdere boekingen zijn gedaan. Onder „deelnemende maatschappijen” wordt elke luchtvaartmaatschappij verstaan waarbij door de boekende maatschappij voor een passagier een plaats op een of meer vluchten is gereserveerd.

  5. De „Canada Border Services Agency” (CBSA) eist van elke luchtvaartmaatschappij die passagiersvluchten naar Canada verzorgt elektronische toegang tot PNR-gegevens, voorzover deze zijn verzameld en in de geautomatiseerde boekings- en vertrekcontrolesystemen van de betrokken luchtvaartmaatschappij zijn opgeslagen.

  6. De eis van de doorgifte van de passagiersgegevens uit het PNR aan de CBSA stoelt op artikel 107.1 van de „Customs Act” (douanewetgeving) en artikel 148(d) van de „Immigration and Refugee Protection Act” (wet op de immigratie en de bescherming van vluchtelingen) en op uitvoeringsbesluiten daarvan(3).

  7. Deze Canadese wetgeving betreft een verhoging van de veiligheid en de voorwaarden voor toegang tot het land, aangelegenheden waarvoor Canada soeverein besluiten kan treffen. Voorts zijn de vastgestelde voorschriften niet in strijd met enige internationale verplichting die door Canada is aangegaan. Canada is een democratisch land en een rechtsstaat met een lange traditie van burgerlijke vrijheden. De legitimiteit van de wetgevingsprocedures en de capaciteit en onafhankelijkheid van het rechtsstelsel in Canada staan niet ter discussie. Daarnaast is ook de persvrijheid een sterke garantie tegen elk misbruik van de burgerlijke vrijheden.

  8. Binnen de grenzen van de communautaire wetgeving steunt de Gemeenschap Canada ten volle in de strijd tegen het terrorisme. De communautaire wetgeving streeft naar een evenwicht tussen veiligheidseisen en het respect voor het privé-leven. Volgens artikel 13 van Richtlijn 95/46/EG kunnen de lidstaten bijvoorbeeld wettelijke maatregelen nemen om de reikwijdte van bepaalde voorschriften van de richtlijn te beperken, waar dit nodig is om redenen van nationale veiligheid, defensie, openbare veiligheid en met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten.

  9. De bedoelde doorgifte van gegevens betreft specifieke controle-instanties, zoals luchtvaartmaatschappijen die tussen de Gemeenschap en Canada vliegen, en slechts één ontvanger in Canada, de CBSA.

  10. Elke regeling die een wettelijk kader creëert voor de doorgifte van PNR-gegevens naar Canada, met name via deze beschikking, moet een beperkte looptijd hebben. Er is een periode van drie en een half jaar overeengekomen. Tijdens deze periode kan de situatie ingrijpend veranderen en de Gemeenschap en Canada zijn het erover eens dat de regeling zal moeten worden herzien.

  11. Voor de verwerking door de CBSA van de doorgegeven passagiersgegevens uit het PNR gelden de voorwaarden die zijn neergelegd in de Verbintenissen van de CBSA in verband met de toepassing van het PNR-programma (hierna de „verbintenissen” genoemd) en in de nationale wetgeving van Canada waarnaar in deze verbintenissen wordt verwezen.

  12. Wat de nationale wetgeving van Canada betreft, zijn de „Privacy Act”, de „Access to Information Act” en afdeling 107 van de „Customs Act” in deze context in zoverre van belang dat daarin de voorwaarden zijn vastgesteld waaronder de CBSA verzoeken om openbaarmaking kan weigeren en zo het vertrouwelijke karakter van het PNR kan garanderen. De „Privacy Act” regelt de openbaarmaking van de PNR-gegevens aan de betrokkene, tegelijk met het recht van toegang van de betrokkene. De „Privacy Act” is alleen van toepassing voor personen die in Canada aanwezig zijn. Daarnaast garandeert de CBSA aan onderdanen van een ander land echter de toegang tot hun PNR-gegevens ook als zij niet in Canada aanwezig zijn.

  13. Zoals bepaald in punt 43 van de verbintenissen, zijn de bepalingen ervan opgenomen in hetzij de bestaande Canadese wetgeving, hetzij speciaal daartoe opgestelde interne regelingen. Bijgevolg hebben zij kracht van wet. De verbintenissen worden in extenso gepubliceerd in de „Canada Gazette”. Zij getuigen van een ernstig en goed doordacht politiek engagement van de CBSA en de naleving ervan zal door de Gemeenschap en Canada gezamenlijk worden geëvalueerd. Tegen niet-naleving kan eventueel worden opgetreden met wettelijke, administratieve en politieke middelen; bij voortdurende niet-naleving kunnen de effecten van deze beschikking worden opgeschort.

  14. De normen die de CBSA bij het verwerken van PNR-gegevens op basis van de Canadese wetgeving en de verbintenissen zal hanteren, voldoen aan de basiseisen voor een passend beschermingsniveau voor natuurlijke personen.

  15. Wat het beginsel van de gebruiksbeperking betreft, zullen de passagiersgegevens uit het PNR die aan de CBSA worden doorgegeven, voor een specifiek doel worden gebruikt en daarna alleen nog worden aangewend of medegedeeld voorzover dit niet onverenigbaar is met het doel van de doorgifte. Meer bepaald zullen PNR-gegevens uitsluitend worden gebruikt ter preventie en bestrijding van terrorisme en verwante misdrijven en andere zware misdrijven, waaronder georganiseerde misdaad, die van grensoverschrijdende aard zijn.

  16. Wat de gegevenskwaliteit en het evenredigheidsbeginsel betreft, die moeten worden gezien in het licht van de belangrijke redenen van openbaar belang waarom PNR-gegevens worden doorgegeven, zij opgemerkt dat deze gegevens na doorgifte aan de CBSA door deze dienst achteraf niet zullen worden gewijzigd. Maximaal 25 PNR-gegevenscategorieën zullen aan de CBSA worden doorgegeven. De CBSA zal met de Europese Commissie afspraken maken over een herziening van de 25 verplichte PNR-gegevens in aanhangsel A, alvorens deze herziening door te voeren. Aanvullende persoonsgegevens die in direct verband met PNR-gegevens nodig worden geacht, worden alleen via legale weg uit andere dan overheidsbronnen verkregen. In de regel worden de PNR-gegevens na maximaal drie jaar en zes maanden vernietigd.

  17. Wat het transparantiebeginsel betreft, zal de CBSA de reizigers van het doel van de doorgifte en verwerking van de gegevens en van de identiteit van de voor de verwerking verantwoordelijke op de hoogte stellen en hun ook andere informatie verstrekken.

  18. Wat het beveiligingsprincipe betreft, neemt de CBSA technische en organisatorische beveiligingsmaatregelen die in verhouding staan tot de aan de verwerking van de gegevens inherente risico's.

  19. Het recht van toegang, rectificatie en aantekening wordt in de „Privacy Act” gegarandeerd voor personen die in Canada aanwezig zijn. De CBSA zal deze rechten voor PNR-gegevens die zij in haar bezit heeft, uitbreiden tot buitenlanders die niet in Canada aanwezig zijn. De uitzonderingen waarin is voorzien, zijn grotendeels vergelijkbaar met de beperkingen die door de lidstaten overeenkomstig artikel 13 van Richtlijn 95/46/EG kunnen worden opgelegd.

  20. Verdere doorgifte naar andere overheidsinstanties, inclusief die in het buitenland, geschiedt van geval tot geval, voor doeleinden die identiek zijn met of aansluiten bij hetgeen in de verklaring over de gebruiksbeperking is aangegeven, en voor een minimumaantal gegevens. Doorgifte is ook mogelijk ter bescherming van de vitale belangen van de betrokkene of van andere personen, meer bepaald wanneer het gaat om belangrijke gezondheidsrisico's, gerechtelijke procedures, of andere bij wet vastgestelde gevallen. De ontvangende instanties zijn expliciet gebonden door de voorwaarden voor vrijgave; zij mogen de gegevens alleen voor het beoogde doel gebruiken en de gegevens niet verder doorgeven zonder toestemming van de CBSA. Andere buitenlandse, federale, provinciale of lokale instanties dan de CBSA hebben geen rechtstreekse elektronische toegang tot de PNR-gegevens via de CBSA-gegevensbanken. Openbare bekendmaking van PNR-gegevens zal door de CBSA worden geweigerd op grond van ontheffingen van de relevante bepalingen van de „Access to Information Act” en de „Privacy Act”.

  21. De CBSA ontvangt geen gevoelige gegevens in de zin van artikel 8 van Richtlijn 95/46/EG.

  22. Wat de handhavingsmechanismen ter waarborging van de naleving van deze beginselen door de CBSA betreft, is voorzien in opleiding en voorlichting voor het personeel van deze dienst, alsook in sancties voor individuele personeelsleden. Op het respect van het CBSA voor het privé-leven in het algemeen wordt toegezien door het onafhankelijke „Office of the Canadian Privacy Commissioner” volgens de in het Canadese handvest van rechten en vrijheden („Canadian Charter of Rights and Freedoms”) en de „Privacy Act” vastgestelde voorwaarden. De „Privacy Commissioner” kan klachten behandelen die door de gegevensbeschermingsautoriteiten van de lidstaten namens een burger van de Gemeenschap bij hem worden ingediend, indien de burger van oordeel is dat zijn klacht door de CBSA niet correct is behandeld. De naleving van de verbintenissen zal elk jaar door de CBSA en een team onder leiding van de Commissie gemeenschappelijk worden geëvalueerd.

  23. In het belang van de transparantie en om de bevoegde autoriteiten in de lidstaten in staat te stellen de bescherming van personen in verband met de verwerking van hun persoonsgegevens te waarborgen, is het noodzakelijk de uitzonderlijke omstandigheden te specificeren die tot een opschorting van de doorgifte van gegevens kunnen leiden, ook al is er een passend beschermingsniveau vastgesteld.

  24. De Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens, die bij artikel 29 van Richtlijn 95/46/EG is opgericht, heeft adviezen gegeven over het door de Canadese autoriteiten voor passagiersgegevens geboden beschermingsniveau, waarop de Commissie zich tijdens de onderhandelingen met de CBSA heeft gebaseerd. De Commissie heeft bij de voorbereiding van deze beschikking met deze adviezen rekening gehouden(4).

  25. De in deze beschikking vervatte maatregelen zijn in overeenstemming met het advies van het bij artikel 31, lid 1, van Richtlijn 95/46/EG ingestelde comité,

HEEFT DE VOLGENDE BESCHIKKING GEGEVEN:

Artikel 1

In de zin van artikel 25, lid 2, van Richtlijn 95/46/EG wordt ervan uitgegaan dat de Canadese „Customs Border Services Agency” (hierna CBSA) een passend beschermingsniveau overeenkomstig de verbintenissen in de bijlage biedt voor PNR-gegevens die vanuit de Gemeenschap met betrekking tot vluchten van en naar Canada worden doorgegeven.

Artikel 2

Deze beschikking heeft betrekking op het passende karakter van de bescherming die door de CBSA wordt geboden om aan de vereisten van artikel 25, lid 1, van Richtlijn 95/46/EG te voldoen en laat andere voorwaarden of beperkingen tot uitvoering van andere bepalingen van die richtlijn die op de verwerking van persoonsgegevens in de lidstaten betrekking hebben, onverlet.

Artikel 3

1.

Zonder afbreuk te doen aan hun bevoegdheden om maatregelen te nemen ter uitvoering van nationale bepalingen die zijn goedgekeurd ingevolge andere bepalingen dan artikel 25 van Richtlijn 95/46/EG, kunnen de bevoegde autoriteiten in de lidstaten gebruik maken van hun bestaande bevoegdheden om gegevensstromen naar de CBSA te onderbreken, teneinde personen ten aanzien van de verwerking van hun persoonsgegevens te beschermen in de gevallen waarin:

  1. een bevoegde Canadese autoriteit tot de conclusie is gekomen dat de CBSA in strijd met de toepasselijke normen voor gegevensbescherming handelt; of

  2. het zeer waarschijnlijk is dat niet aan de in de bijlage vastgestelde normen voor gegevensbescherming wordt voldaan, er goede redenen zijn om aan te nemen dat de CBSA niet tijdig passende maatregelen neemt of zal nemen om het desbetreffende probleem op te lossen, de voortzetting van de doorgifte een imminent gevaar voor ernstige schade aan de betrokkene inhoudt en de bevoegde autoriteiten in de lidstaat redelijke inspanningen in deze situatie hebben geleverd om de CBSA in kennis te stellen en de gelegenheid te geven te reageren.

2.

De opschortende maatregel blijft van kracht totdat vaststaat dat de beschermingsnormen worden nageleefd en de bevoegde autoriteiten van de betrokken lidstaten hiervan in kennis zijn gesteld.

Artikel 4

1.

De lidstaten stellen de Commissie onverwijld in kennis wanneer op grond van artikel 3 maatregelen worden genomen.

2.

De lidstaten en de Commissie brengen elkaar op de hoogte van iedere verandering in de normen voor gegevensbescherming en van de gevallen waarin de instanties die verantwoordelijk zijn voor de naleving door de CBSA van de in de bijlage vastgestelde beschermingsnormen, niet in staat zijn deze naleving te garanderen.

3.

Wanneer uit de overeenkomstig artikel 3 en de leden 1 en 2 van dit artikel verzamelde informatie blijkt dat de grondbeginselen voor een passend beschermingsniveau voor natuurlijke personen niet langer vervuld zijn, of dat een instantie die verantwoordelijk is voor de naleving door de CBSA van de in de bijlage vastgestelde beschermingsnormen, haar taak niet naar behoren vervult, wordt de CBSA hiervan in kennis gesteld en indien nodig wordt de in artikel 31, lid 2, van Richtlijn 95/46/EG vastgestelde procedure van kracht om deze beschikking in te trekken of op te schorten.

Artikel 5

Artikel 6

Artikel 7

Artikel 8

BIJLAGE

AANHANGSEL „A”